網絡數據中心信息系統安全區域規劃設計

陳磊　唐國賓　蔡丹等

關鍵詞：網絡數據中心;信息系統;安全區域;規劃方法;安全需求

中圖法分類號：TP393 文獻標識碼：A

1引言

為了滿足信息系統在運行與開發中的安全性需求，應在建設網絡數據中心信息系統時，以安全等級保護2.0要求作為建設標準。明確只有實現前端感知層物聯終端的安全管理、中間鏈路側數據傳輸的安全防護、對數據進入數據中心時安全接入平臺的身份驗證及數據準入、進入數據中心后進行“零信任”體系的防護、進入物聯網平臺后的統一管理及安全威脅態勢管理等工作，才能滿足系統在運行中，信息存儲的安全性與可靠性。例如，應在相關工作中，保證信息系統物聯網終端關閉設備調試接口、防范軟硬件逆向工程;系統終端支持本地及遠程升級，并校驗升級包的合法性;具有邊緣計算能力的信息系統終端，應參照邊緣物聯代理安全要求實行防護等。下文將根據網絡數據中心信息系統的實際運行需求，對其安全區域規劃展開詳細的設計研究。

2網絡數據中心信息系統安全區域規劃方法設計

2.1網絡數據中心信息系統各層級安全需求分析

為了確保規劃設計的網絡數據中心信息系統安全區域符合前端運行要求，應在開展設計研究工作前，進行信息系統各層級安全需求分析。下文將從系統感知層、網絡層、平臺層、應用層四個方面，進行各層級安全需求分析。

感知層包括邊緣物聯代理與本地通信。其中，邊緣物聯代理應具備對自身應用、漏洞補丁等重要程序代碼、配置參數和控制指令等操作的數字簽名或驗證能力，并支持本地及遠程升級以及校驗升級包的合法性。因此，此層應支持軟件定義安全策略，并支持自動和聯動處置。系統在運行時，邊緣物聯代理應關閉設備調試接口，防范軟硬件逆向工程，通過系統加固、可信計算等技術，保障邊緣物聯代理本體安全。感知層可通過Wi?Fi、載波通信、微功率無線通信等通道（不經過安全大區），在現場互聯通信。任意兩個直接接入公司安全大區的終端，如接入的大區不同，禁止雙方在感知層跨大區直接通信。如需本地通信，應采取等同大區間隔離強度的技術措施。不直接接入公司各安全大區的終端，在與直接接入公司管理信息大區的終端本地通信時，應在網絡協議、數據格式、數值有效性上加強過濾和校驗，并實現身份認證。在與直接接入公司互聯網大區的終端本地通信時，可按需實現身份認證和通信數據加密傳輸，防范通信數據被竊聽或篡改。管理信息大區側的本地通信應采用抗干擾性強的通信協議，以此加強通道的安全配置管控。

系統網絡層涉及網絡通信、網絡邊界接入。前者的通道應是公司自建光纖專網、電力無線專網、租用的APN和第三方專線。在邊緣物聯代理、物聯網終端（含移動終端、機器人）等設備的支撐下，當信息接入系統后，將結合業務應用需求，采用相應電力物聯網安全接入網關、信息網絡安全隔離裝置，實現雙向認證和加密傳輸;后者在邊緣物聯代理、物聯網終端等設備的支撐下，在互聯網大區直接訪問公司對內業務時，應采用公司泛在電力物聯網安全接入網關，實現雙向認證和加密傳輸;無法滿足要求的設備，在直接訪問互聯網大區的公司對內業務時，應在互聯網大區外部署前置服務器，通過前置服務器進行協議轉換和數據歸集。前置服務器訪問公司互聯網大區的公司對內業務時，應采用公司泛在電力物聯網安全接入網關，實現雙向認證和加密傳輸。

系統網絡層包括云平臺、物聯管理平臺。前者可直接按照國家網絡安全等級預設標準進行安全規劃前的需求分析;后者應對接入的感知層設備進行認證，能夠控制接入設備的訪問;在傳輸敏感信息時，應具備保護數據資源完整性的能力。同時，物聯管理平臺應具備對邊緣物聯代理、物聯網終端集中管控的能力，重點對設備注冊、在線和離線進行安全監測。為了實現雙方聯動，需要定期做好此區域的升級，升級內容包括但不限于漏洞補丁、配置參數和應用軟件。此外，升級內容在正式部署前，應進行功能和安全測試。

系統應用層包括云端應用、APP應用。系統應用層應按照符合物聯網屬性的應用系統進行建設，并遵照國家網絡安全等級保護要求和公司現有安全規章制度執行。其中，云端應用應根據自身等保定級和業務需求實施防護，以此實現業務和用戶行為的安全審計;APP應用的發布應符合公司要求，發布前應進行統一加固、統一檢測，并對APP應用運行狀態進行安全監測。

2.2網絡數據中心信息系統安全區域劃分流程

在完成網絡數據中心信息系統各層級安全需求分析后，應對系統安全區域劃分進行分析。在此過程中，需明確的是：劃分安全區域的目的是實現對網絡中全部內容的安全防護，并不是對系統中某一部分信息的安全處理。因此，在劃分時，需要將系統中網絡數據中心信息的安全等級作為基礎，根據信息所屬的安全域，進行安全區域劃分。信息系統安全區域劃分參考圖1，劃分成果可根據實際情況進行調整。

完成上述劃分后，對信息系統劃分的安全區域邊界進行訪問控制、邊界完整性檢查、邊界入侵防范、邊界安全審計、邊界惡意代碼防范、設備運維管理設計等工作。通過此種方式，確保劃分的安全區域在運行中具有較強的可靠性。

2.3各安全區域的詳細設計方案

在明確網絡數據中心信息系統各安全區域的構成后，可以進行各安全區域詳細方案的設計。其中，網絡數據中心安全整體架構示意拓撲如圖2所示。

根據網絡數據中心安全整體架構，需要從出口防護區、安全監測區、安全管理區、資源業務區四個方面，進行各安全區域詳細規劃設計。

其中，出口防護區主要針對數據中心外部網絡出口區域進行安全加固，主要涉及邊界完整性保護、邊界惡意代碼防范以及邊界訪問控制入侵防御等功能。整體規劃建設為冗余架構，針對出口不同場景需求分別建設鏈路負載均衡、抗DDoS、防火墻、上網行為管理與入侵防御。具體建設如下。

鏈路負載均衡：規劃建設鏈路負載均衡設備2臺，具備智能DNS、流量調度以及鏈路監控檢查、業務優化能力，以提高多運營商鏈路場景下的帶寬利用效率，實現來回路徑一致優化訪問效果和多鏈路動態調度，保障業務連續性。同時，對于IPv6網絡的訪問流量，可以轉換為IPv4的流量，以此解決“天窗”和“外鏈”問題，實現IPv4向IPv6網絡的過渡。

抗DDoS：規劃建設抗DDoS產品2臺，能夠對網絡側Flood、應用層、連接型類型的攻擊進行防護，可以在內部安全建設非常充分的情況下，抵御來自外部的DDoS攻擊。

出口防火墻：規劃建設出口防火墻2道，支持訪問控制功能，統一對其進行安全配置，以此控制不同業務的互聯網訪問帶寬，防止帶寬擠占。

上網行為管理：規劃建設上網行為管理設備2臺，提供應用協議識別、用戶行為審計、流量管理、防私接路由、用戶認證、應用緩存等功能，同時提供網安要求的無線路徑對接功能。

入侵防御：規劃建設入侵防御設備2臺，開啟防護策略，識別網絡多種病毒攻擊。

安全監測區主要通過數據中心網絡內部流量鏡像功能，在避免對業務生產造成延時卡頓的前提下，采集對應端口的流量以及全網流量進行流量數據的高階關聯計算，實現針對網絡系統環境內來自系統和人的已知和未知威脅的防護。整體規劃建設為旁路單臺建設，針對分析內容和關注點不同，建設復制分流器、數據庫審計、ATP、全流量探針以及工控監測審計。

復制分流器：規劃建設復制分流器1臺，提供流量鏡像、流量的負載均衡功能，可對流量進行識別及處理，以匹配ACL策略。

數據庫審計：規劃建設數據庫審計設備1臺，提供對數據庫操作行為的全面審計以及高危操作行為的告警功能，以保障核心數據的安全。

ATP：規劃建設ATP攻擊檢測設備1臺，提供沙箱檢測、文件偽裝識別、證書偽裝分析等功能，支持以探針角色跟態勢感知或日志審計等其他平臺聯合部署，并將威脅檢測結果上報給平臺。

流量探針：配置流量探針1臺，提供流量分析、流量協議識別、網絡應用審計以及日志輸出能力，其可作為態勢感知平臺系統探針，支持選擇性基于日志類型以及日志級別過濾發送與數據平臺日志。

安全運維管理區主要通過接入數據中心的管理網，對整網設備進行運維、監控、檢測、審計，實現安全風險事件的可控可管。整體規劃建設為管理接入，主要建設內容包括管理網防火墻、漏洞掃描、態勢感知平臺、殺毒加固管理平臺、堡壘機。對其設計規劃的內容如表1所示。

云數據中心：資源業務區承載各類業務系統，該區域的安全防護主要針對云計算業務系統以及其他資源業務系統，進行區域邊界防護和終端殺毒。

防火墻：針對各個業務區域邊界，部署2道防火墻進行邊界防護，控制不同業務的互聯網訪問帶寬，防止帶寬擠占。

無代理殺毒：針對云業務區域，在虛擬化底層融合部署無代理殺毒系統，在保證安全性的前提下，不影響虛擬機的性能與穩定性。

3對比實驗

為了證明本文設計的安全區域規劃方法可以提高網絡數據中心信息系統在運行中的安全性，選擇某企業單位終端作為此次實驗的場所，將基于物聯網技術的安全區域規劃方法作為傳統方法，設計以下對比實驗。

實驗中，先按照本文設計的方法，結合所選參與實驗單位的建設規模、網絡覆蓋范圍、核心數據或隱私數據量，對企業網絡數據中心信息系統各層級安全展開需求分析。明確不同層級安全狀態后，對信息系統進行安全區域劃分，并制定各安全區域的詳細方案。將設計后的安全區域與企業內網進行適配，確保信息可在系統中穩定、安全傳輸后，證明本文設計的方法在企業內網安全規劃與建設中的作用。

在此基礎上，使用基于物聯網技術安全區域規劃方法，根據已知信息，對數據中心安全存儲與調度方案進行整體規劃與設計;將系統劃分為服務器區域、外聯區域、外網區域、外端接入區域、網絡運維區域，并分別對五個區域進行規劃布設。

按照以上兩種方法完成對所選區域信息系統的規劃后，輔助使用大數據決策技術與網絡挖掘技術，對信息系統在運行中的安全風險因素進行提取，根據提取的因素，再進行不同區域網絡安全風險的計算。最后，將計算結果進行量化，將其作為評價本文設計方法可行性的依據。其中，不同規劃區域安全風險值的計算公式如下。

在式（1）中：D表示不同規劃區域安全風險值;P表示發生信息系統運行安全事故的概率;F表示風險因素;S表示風險權重。其中，F與S的計算公式如下。

按照上述計算公式，可以計算得出兩種不同方法對網絡數據中心信息系統進行安全區域規劃后的風險值。按照本文所述方法進行規劃后，系統安全區域被劃分為四個分區。而進行傳統規劃后，系統安全區域被劃分為五個分區，對應分區的風險值如表2所示。

從表2所示的實驗結果可以看出，本文所述方法規劃的安全區域風險值小于傳統方法規劃的安全區域風險值，證明本文設計的方法在實際應用中可以起到提升網絡數據中心信息系統運行安全的效果。

4結束語

隨著企業數字化轉型，越來越多的前端設備被改造為IP設備，通過以太網、無線、窄帶物聯網、4G/5G等網絡實現數據回傳。為了在此種條件下實現對網絡信息安全提供保障，可以開展網絡數據中心信息系統安全區域規劃方法的設計研究。通過對比實驗證明，本文設計的方法在實際應用中可以起到提升網絡數據中心信息系統運行安全的效果。因此，在后續的研究中，可深化在邊緣數據中心通過邊緣物聯代理先進性有效數據梳理，通過將有效數據回傳至數據中心內部的物聯平臺，實現前端終端設備的監控以及回傳物聯數據的管理。將回傳的物聯數據上送至企業數據中臺，并進行分析、建模，可以實現前端生產數據的統籌規劃分析。通過此種方式，可以達到促進節能減排、降本高效，并向“雙碳”逐步演進的目的。

作者簡介：

陳磊（1986—），研究生，高級工程師，研究方向：電氣二次及數字化。