大数据中心安全架构

杨雪峰

摘 要：网络安全是一个事关国家安全的重大战略性问题，党的十八大以来，党中央、国务院高度重视网络安全工作，发展是安全的目的”、“加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力”，为网络安全工作指明了方向。从世界范围看，网络安全事件影响力和破坏性正在加大，网络安全威胁和风险日益突出，并向政治、经济、文化、社会、国防等多领域传导渗透。

关键词：安全;大数据

随着智慧城市建设开展，大数据中心安全管理显得尤为迫切。我们需要从数据基础安全加固、数据资产情况梳理、数据访问监控与风控体系建立、数据管理与运维体系建立、数据安全服务等方面着手，建设立体化数据保护机制，有效保障数据安全。

一.大数据中心安全现状及需求

目前大数据中心云平台基础设施安全建设、数据安全建设相对薄弱，风险识别、管控和审计手段和工具各自分散，难以形成整合事前、事中、事后阶段的综合防控能力，在此大环境下，智慧城市基础设施在数据采集、数据传输、数据存储、应用系统、基础环境及系统互联等各个层面，不断面临着来自内部和外部网络的非授权访问、数据窃取、恶意代码攻击、数据丢失等现实威胁。

二.大數据中心安全建设目标

通过自适应的安全防护体系，根据威胁情报等预测结果做出相应信息安全预警，同时对潜在威胁风险进行持续检测，并动态调整安全防护策略实现对安全事件的阻断，最后对检测结果快速响应（Respond），形成信息安全的预测、阻止、检测、响应的闭环体系。

通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设;为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。

三.大数据中心安全总体方案设计

设计围绕一体化防护原则，不仅考虑了基础安全、云安全和边界的安全，同时也考虑了数据安全和安全大数据平台，建立了一体化的智慧城市级安全防御体系。

大数据中心数据来源丰富，服务对象分布范围广，网络环境建设复杂，数据采集和服务范围涵盖了电子政务外网、公安大数据平台、公共安全视频网直至互联网，不同区域安全网络特点和安全要求完全不同，承载着不同的业务功能。以下按照所在网络区域不同分别进行描述。

1.安全设计构架

依据等级保护“一个中心三重防护”的设计思想，结合云计算功能分层框架和云计算安全特点，构建云计算安全设计防护技术框架。其中一个中心指安全管理中心，三重防护包括安全计算环境、安全区域边界和安全通信网络。

以大数据驱动安全为核心理念，通过在云网络边界和云主机内部署安全探针，收集全量的泛安全数据，通过大数据分析技术形成信息安全态势感知，实现信息安全可视化。

2.数据安全设计架构

为保障各政务部门上云应用数据安全，将依据国家政策法规，采用先进的数据安全技术，建设大数据中心云平台数据安全管理平台，实现数据安全全生命周期监管。

本项目建设主要包括五部分，数据基础安全加固、数据安全资产管理平台建设、数据安全风控平台建设、数据安全管理及运维体系建设和数据安全服务。

数据安全服务：对现有业务系统提供数据资产梳理、数据评估与分级、数据权限管理审批、敏感数据识别与脱敏、数据风险监控预警等数据安全服务，以保障数据的安全性。

3.安全大数据平台设计架构

安全大数据平台由安全数据采集平台，安全数据治理平台、安全大数据基础平台、通用性示范网络安全算法平台、威胁情报平台组成。其中，安全数据采集平台对接流量探针数据、主机探针数据、设备日志、系统日志和威胁情报数据，将各类数据进行范式化处理后建立大数据安全数仓，同时，平台接入市大数据中心用户中心系统，进行统一用户管理，并将运维数据对接到运维保障平台。

四.大数据中心安全建设内容

1.边界安全防护建设

根据大数据中心业务域业务架构设计，需外接各类网络边界进行分别防护。

外网边界需部署下一代防火墙实现边界隔离和入侵防范，保护大数据中心业务域的网络安全。入侵防护系统对从互联网和电子政务外网进入大数据中心业务域的访问流量进行网络入侵攻击、蠕虫木马传播、后门木马控制等恶意行为的检测和防护。

网络管理系统：网络设备、核心服务器、安全设备的统一状态监控、故障告警。

2.云安全建设

大数据中心核心数据域部署需具有网络层、主机层、云平台安全防护体系实现安全防护和管理能力;同时，通过云平台物理资源隔离、VPC控制、VLAN划分、网络层访问控制等技术手段。

大数据中心业务域是大数据中心对外业务开展的核心网络，采用全双链路冗余结构搭建骨干网络，保证网络的高效稳定。网络内部根据业务功能不同划分为骨干链路区、办公接入区、业务域公共服务区、业务域互联网服务区、安全管理区五大部分。

3.数据安全建设

为保障各部门应用数据安全，将依据国家政策法规，采用先进的数据安全技术，进行建设，实现数据安全全生命周期防护。

建设主要包括五部分，数据基础安全加固、敏感数据安全资产管理平台建设、数据安全风控平台建设、数据安全堡垒建设、数据安全监管及运营体系建设和数据安全服务。

数据安全服务：对市现有业务系统提供数据资产梳理、数据评估与分级、数据权限管理审批、敏感数据识别发现、数据风险监控预警等数据安全服务，以保障数据的安全性。

4.安全大数据平台建设

主要建设内容包括：安全大数据基础平台、安全数据采集平台、安全数据治理平台、通用性示范网络安全算法平台、威胁情报平台、安全数据治理服务、数据标准规范服务、大数据中心网络安全威胁感知整体设计方案等内容。

安全数据挖掘人员和安全数据开发人员通过调动标准的数据接口，将数据调入到自己大数据工作空间，在经过算法分析处理后，可以将分析结果数据导出到指定的外部系统的数据库进行展示。