網(wǎng)絡(luò)數(shù)據(jù)中心信息系統(tǒng)安全區(qū)域規(guī)劃設(shè)計

陳磊　唐國賓　蔡丹等

關(guān)鍵詞：網(wǎng)絡(luò)數(shù)據(jù)中心;信息系統(tǒng);安全區(qū)域;規(guī)劃方法;安全需求

中圖法分類號：TP393 文獻標(biāo)識碼：A

1引言

為了滿足信息系統(tǒng)在運行與開發(fā)中的安全性需求，應(yīng)在建設(shè)網(wǎng)絡(luò)數(shù)據(jù)中心信息系統(tǒng)時，以安全等級保護2.0要求作為建設(shè)標(biāo)準(zhǔn)。明確只有實現(xiàn)前端感知層物聯(lián)終端的安全管理、中間鏈路側(cè)數(shù)據(jù)傳輸?shù)陌踩雷o、對數(shù)據(jù)進入數(shù)據(jù)中心時安全接入平臺的身份驗證及數(shù)據(jù)準(zhǔn)入、進入數(shù)據(jù)中心后進行“零信任”體系的防護、進入物聯(lián)網(wǎng)平臺后的統(tǒng)一管理及安全威脅態(tài)勢管理等工作，才能滿足系統(tǒng)在運行中，信息存儲的安全性與可靠性。例如，應(yīng)在相關(guān)工作中，保證信息系統(tǒng)物聯(lián)網(wǎng)終端關(guān)閉設(shè)備調(diào)試接口、防范軟硬件逆向工程;系統(tǒng)終端支持本地及遠(yuǎn)程升級，并校驗升級包的合法性;具有邊緣計算能力的信息系統(tǒng)終端，應(yīng)參照邊緣物聯(lián)代理安全要求實行防護等。下文將根據(jù)網(wǎng)絡(luò)數(shù)據(jù)中心信息系統(tǒng)的實際運行需求，對其安全區(qū)域規(guī)劃展開詳細(xì)的設(shè)計研究。

2網(wǎng)絡(luò)數(shù)據(jù)中心信息系統(tǒng)安全區(qū)域規(guī)劃方法設(shè)計

2.1網(wǎng)絡(luò)數(shù)據(jù)中心信息系統(tǒng)各層級安全需求分析

為了確保規(guī)劃設(shè)計的網(wǎng)絡(luò)數(shù)據(jù)中心信息系統(tǒng)安全區(qū)域符合前端運行要求，應(yīng)在開展設(shè)計研究工作前，進行信息系統(tǒng)各層級安全需求分析。下文將從系統(tǒng)感知層、網(wǎng)絡(luò)層、平臺層、應(yīng)用層四個方面，進行各層級安全需求分析。

感知層包括邊緣物聯(lián)代理與本地通信。其中，邊緣物聯(lián)代理應(yīng)具備對自身應(yīng)用、漏洞補丁等重要程序代碼、配置參數(shù)和控制指令等操作的數(shù)字簽名或驗證能力，并支持本地及遠(yuǎn)程升級以及校驗升級包的合法性。因此，此層應(yīng)支持軟件定義安全策略，并支持自動和聯(lián)動處置。系統(tǒng)在運行時，邊緣物聯(lián)代理應(yīng)關(guān)閉設(shè)備調(diào)試接口，防范軟硬件逆向工程，通過系統(tǒng)加固、可信計算等技術(shù)，保障邊緣物聯(lián)代理本體安全。感知層可通過Wi?Fi、載波通信、微功率無線通信等通道（不經(jīng)過安全大區(qū)），在現(xiàn)場互聯(lián)通信。任意兩個直接接入公司安全大區(qū)的終端，如接入的大區(qū)不同，禁止雙方在感知層跨大區(qū)直接通信。如需本地通信，應(yīng)采取等同大區(qū)間隔離強度的技術(shù)措施。不直接接入公司各安全大區(qū)的終端，在與直接接入公司管理信息大區(qū)的終端本地通信時，應(yīng)在網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)格式、數(shù)值有效性上加強過濾和校驗，并實現(xiàn)身份認(rèn)證。在與直接接入公司互聯(lián)網(wǎng)大區(qū)的終端本地通信時，可按需實現(xiàn)身份認(rèn)證和通信數(shù)據(jù)加密傳輸，防范通信數(shù)據(jù)被竊聽或篡改。管理信息大區(qū)側(cè)的本地通信應(yīng)采用抗干擾性強的通信協(xié)議，以此加強通道的安全配置管控。

系統(tǒng)網(wǎng)絡(luò)層涉及網(wǎng)絡(luò)通信、網(wǎng)絡(luò)邊界接入。前者的通道應(yīng)是公司自建光纖專網(wǎng)、電力無線專網(wǎng)、租用的APN和第三方專線。在邊緣物聯(lián)代理、物聯(lián)網(wǎng)終端（含移動終端、機器人）等設(shè)備的支撐下，當(dāng)信息接入系統(tǒng)后，將結(jié)合業(yè)務(wù)應(yīng)用需求，采用相應(yīng)電力物聯(lián)網(wǎng)安全接入網(wǎng)關(guān)、信息網(wǎng)絡(luò)安全隔離裝置，實現(xiàn)雙向認(rèn)證和加密傳輸;后者在邊緣物聯(lián)代理、物聯(lián)網(wǎng)終端等設(shè)備的支撐下，在互聯(lián)網(wǎng)大區(qū)直接訪問公司對內(nèi)業(yè)務(wù)時，應(yīng)采用公司泛在電力物聯(lián)網(wǎng)安全接入網(wǎng)關(guān)，實現(xiàn)雙向認(rèn)證和加密傳輸;無法滿足要求的設(shè)備，在直接訪問互聯(lián)網(wǎng)大區(qū)的公司對內(nèi)業(yè)務(wù)時，應(yīng)在互聯(lián)網(wǎng)大區(qū)外部署前置服務(wù)器，通過前置服務(wù)器進行協(xié)議轉(zhuǎn)換和數(shù)據(jù)歸集。前置服務(wù)器訪問公司互聯(lián)網(wǎng)大區(qū)的公司對內(nèi)業(yè)務(wù)時，應(yīng)采用公司泛在電力物聯(lián)網(wǎng)安全接入網(wǎng)關(guān)，實現(xiàn)雙向認(rèn)證和加密傳輸。

系統(tǒng)網(wǎng)絡(luò)層包括云平臺、物聯(lián)管理平臺。前者可直接按照國家網(wǎng)絡(luò)安全等級預(yù)設(shè)標(biāo)準(zhǔn)進行安全規(guī)劃前的需求分析;后者應(yīng)對接入的感知層設(shè)備進行認(rèn)證，能夠控制接入設(shè)備的訪問;在傳輸敏感信息時，應(yīng)具備保護數(shù)據(jù)資源完整性的能力。同時，物聯(lián)管理平臺應(yīng)具備對邊緣物聯(lián)代理、物聯(lián)網(wǎng)終端集中管控的能力，重點對設(shè)備注冊、在線和離線進行安全監(jiān)測。為了實現(xiàn)雙方聯(lián)動，需要定期做好此區(qū)域的升級，升級內(nèi)容包括但不限于漏洞補丁、配置參數(shù)和應(yīng)用軟件。此外，升級內(nèi)容在正式部署前，應(yīng)進行功能和安全測試。

系統(tǒng)應(yīng)用層包括云端應(yīng)用、APP應(yīng)用。系統(tǒng)應(yīng)用層應(yīng)按照符合物聯(lián)網(wǎng)屬性的應(yīng)用系統(tǒng)進行建設(shè)，并遵照國家網(wǎng)絡(luò)安全等級保護要求和公司現(xiàn)有安全規(guī)章制度執(zhí)行。其中，云端應(yīng)用應(yīng)根據(jù)自身等保定級和業(yè)務(wù)需求實施防護，以此實現(xiàn)業(yè)務(wù)和用戶行為的安全審計;APP應(yīng)用的發(fā)布應(yīng)符合公司要求，發(fā)布前應(yīng)進行統(tǒng)一加固、統(tǒng)一檢測，并對APP應(yīng)用運行狀態(tài)進行安全監(jiān)測。

2.2網(wǎng)絡(luò)數(shù)據(jù)中心信息系統(tǒng)安全區(qū)域劃分流程

在完成網(wǎng)絡(luò)數(shù)據(jù)中心信息系統(tǒng)各層級安全需求分析后，應(yīng)對系統(tǒng)安全區(qū)域劃分進行分析。在此過程中，需明確的是：劃分安全區(qū)域的目的是實現(xiàn)對網(wǎng)絡(luò)中全部內(nèi)容的安全防護，并不是對系統(tǒng)中某一部分信息的安全處理。因此，在劃分時，需要將系統(tǒng)中網(wǎng)絡(luò)數(shù)據(jù)中心信息的安全等級作為基礎(chǔ)，根據(jù)信息所屬的安全域，進行安全區(qū)域劃分。信息系統(tǒng)安全區(qū)域劃分參考圖1，劃分成果可根據(jù)實際情況進行調(diào)整。

完成上述劃分后，對信息系統(tǒng)劃分的安全區(qū)域邊界進行訪問控制、邊界完整性檢查、邊界入侵防范、邊界安全審計、邊界惡意代碼防范、設(shè)備運維管理設(shè)計等工作。通過此種方式，確保劃分的安全區(qū)域在運行中具有較強的可靠性。

2.3各安全區(qū)域的詳細(xì)設(shè)計方案

在明確網(wǎng)絡(luò)數(shù)據(jù)中心信息系統(tǒng)各安全區(qū)域的構(gòu)成后，可以進行各安全區(qū)域詳細(xì)方案的設(shè)計。其中，網(wǎng)絡(luò)數(shù)據(jù)中心安全整體架構(gòu)示意拓?fù)淙鐖D2所示。

根據(jù)網(wǎng)絡(luò)數(shù)據(jù)中心安全整體架構(gòu)，需要從出口防護區(qū)、安全監(jiān)測區(qū)、安全管理區(qū)、資源業(yè)務(wù)區(qū)四個方面，進行各安全區(qū)域詳細(xì)規(guī)劃設(shè)計。

其中，出口防護區(qū)主要針對數(shù)據(jù)中心外部網(wǎng)絡(luò)出口區(qū)域進行安全加固，主要涉及邊界完整性保護、邊界惡意代碼防范以及邊界訪問控制入侵防御等功能。整體規(guī)劃建設(shè)為冗余架構(gòu)，針對出口不同場景需求分別建設(shè)鏈路負(fù)載均衡、抗DDoS、防火墻、上網(wǎng)行為管理與入侵防御。具體建設(shè)如下。

鏈路負(fù)載均衡：規(guī)劃建設(shè)鏈路負(fù)載均衡設(shè)備2臺，具備智能DNS、流量調(diào)度以及鏈路監(jiān)控檢查、業(yè)務(wù)優(yōu)化能力，以提高多運營商鏈路場景下的帶寬利用效率，實現(xiàn)來回路徑一致優(yōu)化訪問效果和多鏈路動態(tài)調(diào)度，保障業(yè)務(wù)連續(xù)性。同時，對于IPv6網(wǎng)絡(luò)的訪問流量，可以轉(zhuǎn)換為IPv4的流量，以此解決“天窗”和“外鏈”問題，實現(xiàn)IPv4向IPv6網(wǎng)絡(luò)的過渡。

抗DDoS：規(guī)劃建設(shè)抗DDoS產(chǎn)品2臺，能夠?qū)W(wǎng)絡(luò)側(cè)Flood、應(yīng)用層、連接型類型的攻擊進行防護，可以在內(nèi)部安全建設(shè)非常充分的情況下，抵御來自外部的DDoS攻擊。

出口防火墻：規(guī)劃建設(shè)出口防火墻2道，支持訪問控制功能，統(tǒng)一對其進行安全配置，以此控制不同業(yè)務(wù)的互聯(lián)網(wǎng)訪問帶寬，防止帶寬擠占。

上網(wǎng)行為管理：規(guī)劃建設(shè)上網(wǎng)行為管理設(shè)備2臺，提供應(yīng)用協(xié)議識別、用戶行為審計、流量管理、防私接路由、用戶認(rèn)證、應(yīng)用緩存等功能，同時提供網(wǎng)安要求的無線路徑對接功能。

入侵防御：規(guī)劃建設(shè)入侵防御設(shè)備2臺，開啟防護策略，識別網(wǎng)絡(luò)多種病毒攻擊。

安全監(jiān)測區(qū)主要通過數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部流量鏡像功能，在避免對業(yè)務(wù)生產(chǎn)造成延時卡頓的前提下，采集對應(yīng)端口的流量以及全網(wǎng)流量進行流量數(shù)據(jù)的高階關(guān)聯(lián)計算，實現(xiàn)針對網(wǎng)絡(luò)系統(tǒng)環(huán)境內(nèi)來自系統(tǒng)和人的已知和未知威脅的防護。整體規(guī)劃建設(shè)為旁路單臺建設(shè)，針對分析內(nèi)容和關(guān)注點不同，建設(shè)復(fù)制分流器、數(shù)據(jù)庫審計、ATP、全流量探針以及工控監(jiān)測審計。

復(fù)制分流器：規(guī)劃建設(shè)復(fù)制分流器1臺，提供流量鏡像、流量的負(fù)載均衡功能，可對流量進行識別及處理，以匹配ACL策略。

數(shù)據(jù)庫審計：規(guī)劃建設(shè)數(shù)據(jù)庫審計設(shè)備1臺，提供對數(shù)據(jù)庫操作行為的全面審計以及高危操作行為的告警功能，以保障核心數(shù)據(jù)的安全。

ATP：規(guī)劃建設(shè)ATP攻擊檢測設(shè)備1臺，提供沙箱檢測、文件偽裝識別、證書偽裝分析等功能，支持以探針角色跟態(tài)勢感知或日志審計等其他平臺聯(lián)合部署，并將威脅檢測結(jié)果上報給平臺。

流量探針：配置流量探針1臺，提供流量分析、流量協(xié)議識別、網(wǎng)絡(luò)應(yīng)用審計以及日志輸出能力，其可作為態(tài)勢感知平臺系統(tǒng)探針，支持選擇性基于日志類型以及日志級別過濾發(fā)送與數(shù)據(jù)平臺日志。

安全運維管理區(qū)主要通過接入數(shù)據(jù)中心的管理網(wǎng)，對整網(wǎng)設(shè)備進行運維、監(jiān)控、檢測、審計，實現(xiàn)安全風(fēng)險事件的可控可管。整體規(guī)劃建設(shè)為管理接入，主要建設(shè)內(nèi)容包括管理網(wǎng)防火墻、漏洞掃描、態(tài)勢感知平臺、殺毒加固管理平臺、堡壘機。對其設(shè)計規(guī)劃的內(nèi)容如表1所示。

云數(shù)據(jù)中心：資源業(yè)務(wù)區(qū)承載各類業(yè)務(wù)系統(tǒng)，該區(qū)域的安全防護主要針對云計算業(yè)務(wù)系統(tǒng)以及其他資源業(yè)務(wù)系統(tǒng)，進行區(qū)域邊界防護和終端殺毒。

防火墻：針對各個業(yè)務(wù)區(qū)域邊界，部署2道防火墻進行邊界防護，控制不同業(yè)務(wù)的互聯(lián)網(wǎng)訪問帶寬，防止帶寬擠占。

無代理殺毒：針對云業(yè)務(wù)區(qū)域，在虛擬化底層融合部署無代理殺毒系統(tǒng)，在保證安全性的前提下，不影響虛擬機的性能與穩(wěn)定性。

3對比實驗

為了證明本文設(shè)計的安全區(qū)域規(guī)劃方法可以提高網(wǎng)絡(luò)數(shù)據(jù)中心信息系統(tǒng)在運行中的安全性，選擇某企業(yè)單位終端作為此次實驗的場所，將基于物聯(lián)網(wǎng)技術(shù)的安全區(qū)域規(guī)劃方法作為傳統(tǒng)方法，設(shè)計以下對比實驗。

實驗中，先按照本文設(shè)計的方法，結(jié)合所選參與實驗單位的建設(shè)規(guī)模、網(wǎng)絡(luò)覆蓋范圍、核心數(shù)據(jù)或隱私數(shù)據(jù)量，對企業(yè)網(wǎng)絡(luò)數(shù)據(jù)中心信息系統(tǒng)各層級安全展開需求分析。明確不同層級安全狀態(tài)后，對信息系統(tǒng)進行安全區(qū)域劃分，并制定各安全區(qū)域的詳細(xì)方案。將設(shè)計后的安全區(qū)域與企業(yè)內(nèi)網(wǎng)進行適配，確保信息可在系統(tǒng)中穩(wěn)定、安全傳輸后，證明本文設(shè)計的方法在企業(yè)內(nèi)網(wǎng)安全規(guī)劃與建設(shè)中的作用。

在此基礎(chǔ)上，使用基于物聯(lián)網(wǎng)技術(shù)安全區(qū)域規(guī)劃方法，根據(jù)已知信息，對數(shù)據(jù)中心安全存儲與調(diào)度方案進行整體規(guī)劃與設(shè)計;將系統(tǒng)劃分為服務(wù)器區(qū)域、外聯(lián)區(qū)域、外網(wǎng)區(qū)域、外端接入?yún)^(qū)域、網(wǎng)絡(luò)運維區(qū)域，并分別對五個區(qū)域進行規(guī)劃布設(shè)。

按照以上兩種方法完成對所選區(qū)域信息系統(tǒng)的規(guī)劃后，輔助使用大數(shù)據(jù)決策技術(shù)與網(wǎng)絡(luò)挖掘技術(shù)，對信息系統(tǒng)在運行中的安全風(fēng)險因素進行提取，根據(jù)提取的因素，再進行不同區(qū)域網(wǎng)絡(luò)安全風(fēng)險的計算。最后，將計算結(jié)果進行量化，將其作為評價本文設(shè)計方法可行性的依據(jù)。其中，不同規(guī)劃區(qū)域安全風(fēng)險值的計算公式如下。

在式（1）中：D表示不同規(guī)劃區(qū)域安全風(fēng)險值;P表示發(fā)生信息系統(tǒng)運行安全事故的概率;F表示風(fēng)險因素;S表示風(fēng)險權(quán)重。其中，F(xiàn)與S的計算公式如下。

按照上述計算公式，可以計算得出兩種不同方法對網(wǎng)絡(luò)數(shù)據(jù)中心信息系統(tǒng)進行安全區(qū)域規(guī)劃后的風(fēng)險值。按照本文所述方法進行規(guī)劃后，系統(tǒng)安全區(qū)域被劃分為四個分區(qū)。而進行傳統(tǒng)規(guī)劃后，系統(tǒng)安全區(qū)域被劃分為五個分區(qū)，對應(yīng)分區(qū)的風(fēng)險值如表2所示。

從表2所示的實驗結(jié)果可以看出，本文所述方法規(guī)劃的安全區(qū)域風(fēng)險值小于傳統(tǒng)方法規(guī)劃的安全區(qū)域風(fēng)險值，證明本文設(shè)計的方法在實際應(yīng)用中可以起到提升網(wǎng)絡(luò)數(shù)據(jù)中心信息系統(tǒng)運行安全的效果。

4結(jié)束語

隨著企業(yè)數(shù)字化轉(zhuǎn)型，越來越多的前端設(shè)備被改造為IP設(shè)備，通過以太網(wǎng)、無線、窄帶物聯(lián)網(wǎng)、4G/5G等網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)回傳。為了在此種條件下實現(xiàn)對網(wǎng)絡(luò)信息安全提供保障，可以開展網(wǎng)絡(luò)數(shù)據(jù)中心信息系統(tǒng)安全區(qū)域規(guī)劃方法的設(shè)計研究。通過對比實驗證明，本文設(shè)計的方法在實際應(yīng)用中可以起到提升網(wǎng)絡(luò)數(shù)據(jù)中心信息系統(tǒng)運行安全的效果。因此，在后續(xù)的研究中，可深化在邊緣數(shù)據(jù)中心通過邊緣物聯(lián)代理先進性有效數(shù)據(jù)梳理，通過將有效數(shù)據(jù)回傳至數(shù)據(jù)中心內(nèi)部的物聯(lián)平臺，實現(xiàn)前端終端設(shè)備的監(jiān)控以及回傳物聯(lián)數(shù)據(jù)的管理。將回傳的物聯(lián)數(shù)據(jù)上送至企業(yè)數(shù)據(jù)中臺，并進行分析、建模，可以實現(xiàn)前端生產(chǎn)數(shù)據(jù)的統(tǒng)籌規(guī)劃分析。通過此種方式，可以達(dá)到促進節(jié)能減排、降本高效，并向“雙碳”逐步演進的目的。

作者簡介：

陳磊（1986—），研究生，高級工程師，研究方向：電氣二次及數(shù)字化。