◆姜 海

（山西廣播電視臺 山西 030001）

私有云數(shù)據(jù)中心網(wǎng)絡(luò)及安全設(shè)計策略淺析

◆姜 海

（山西廣播電視臺 山西 030001）

隨著信息技術(shù)的發(fā)展，我們已經(jīng)進入到一個大數(shù)據(jù)時代。企業(yè)的數(shù)據(jù)儲備已經(jīng)逐漸成為企業(yè)實力的象征，企業(yè)所擁有的先進技術(shù)也均以數(shù)據(jù)的形式體現(xiàn)。然而越來越龐大的數(shù)據(jù)信息不可能由企業(yè)自身進行存儲，因此，可以存儲海量數(shù)據(jù)的云端數(shù)據(jù)中心逐漸受到各大企業(yè)的關(guān)注。

私有云；數(shù)據(jù)中心；安全設(shè)計；海量數(shù)據(jù)

0 前言

私有云數(shù)據(jù)中心網(wǎng)絡(luò)的出現(xiàn)，成功解決了企業(yè)海量數(shù)據(jù)難以存儲的問題。然而傳統(tǒng)的私有云數(shù)據(jù)中心結(jié)構(gòu)框架繁瑣、傳輸速度不高、安全性可靠性差、數(shù)據(jù)損壞、數(shù)據(jù)丟失的情況時有發(fā)生，為解決以上問題筆者建議私有云數(shù)據(jù)中心網(wǎng)絡(luò)采用彈性結(jié)構(gòu)，降低網(wǎng)絡(luò)復(fù)雜程度，提高數(shù)據(jù)傳輸速率，并針對目前存在的安全問題采用信息安全技術(shù)體系。本文介紹了私有云數(shù)據(jù)中心網(wǎng)絡(luò)的結(jié)構(gòu)，并對其安全性設(shè)計進行了探討。

1 私有云數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計

1.1 網(wǎng)絡(luò)彈性架構(gòu)

隨著私有云數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)的發(fā)展，目前阿里巴巴、京東、蘇寧易購等著名企業(yè)在搭建其云數(shù)據(jù)中心網(wǎng)絡(luò)時均采用網(wǎng)絡(luò)彈性架構(gòu)。傳統(tǒng)的私有云數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計均采用基于 SDH的多業(yè)務(wù)傳送平臺加上虛擬路由器冗余協(xié)議的組織架構(gòu)，在數(shù)據(jù)的傳輸過程中，接入交換機和匯聚交換機之間需要運行 SDH的多業(yè)務(wù)傳送平臺協(xié)議，處理過程復(fù)雜，傳輸速率緩慢。

而采用彈性架構(gòu)的私有云中心網(wǎng)絡(luò)運用了虛擬交換機網(wǎng)絡(luò)，接入交換機和匯聚交換機處于同一虛擬機網(wǎng)絡(luò)中，數(shù)據(jù)可實時交互。在數(shù)據(jù)的傳輸過程中無需運行SDH的多業(yè)務(wù)傳送平臺協(xié)議，簡化了框架結(jié)構(gòu)，大大提高了傳輸速率。提高了企業(yè)海量數(shù)據(jù)云端存儲的工作效率，使超大容量數(shù)據(jù)短時傳輸成為可能。

1.2 網(wǎng)絡(luò)“扁平化”

傳統(tǒng)的私有云數(shù)據(jù)中心網(wǎng)絡(luò)的架構(gòu)具有三層，第一層位核心層，第二層為匯聚層，最低層為接入層。采用彈性架構(gòu)的私有云網(wǎng)絡(luò)中心將網(wǎng)絡(luò)架構(gòu)進行了“扁平化”設(shè)計，匯聚層和接入層通過虛擬化技術(shù)捆綁連接為一層，由核心層直接連接。這種結(jié)構(gòu)可以更迅速得接入私有云數(shù)據(jù)中心網(wǎng)絡(luò)服務(wù)器，同時也更容易實現(xiàn)虛擬局域網(wǎng)的二層網(wǎng)絡(luò)支撐。

1.3 大二層網(wǎng)絡(luò)

自虛擬化技術(shù)的出現(xiàn)，私有云數(shù)據(jù)中心網(wǎng)絡(luò)服務(wù)器的虛擬化受到了廣泛應(yīng)用。而虛擬化技術(shù)的應(yīng)用必然將會面對虛擬機遷移的問題，就目前的虛擬技術(shù)來講，想要實現(xiàn)虛擬機遷移必須得到虛擬局域網(wǎng)的二層網(wǎng)絡(luò)支撐，隨著數(shù)據(jù)庫的不斷膨脹，大二層網(wǎng)絡(luò)為實現(xiàn)虛擬機遷移也需不斷擴大。

而采用彈性架構(gòu)的私有云中心網(wǎng)絡(luò)的“扁平化”設(shè)計通過虛擬機技術(shù)將多個設(shè)備虛擬成一臺邏輯交換機，同時核心層和接入層的直接連接簡化了大二層網(wǎng)絡(luò)的結(jié)構(gòu)，避免了大二層網(wǎng)絡(luò)中的“生成樹”協(xié)議。同時，多個交換機通過虛擬化技術(shù)統(tǒng)一配置管理，降低了運行維護成本。

1.4 虛擬交換機網(wǎng)絡(luò)

采用虛擬化技術(shù)將服務(wù)器進行虛擬化以后，私有云數(shù)據(jù)中心網(wǎng)絡(luò)將以虛擬機為核心進行云計算，為實現(xiàn)虛擬機之間的相數(shù)據(jù)傳輸，虛擬局域網(wǎng)內(nèi)還需要引入虛擬交換機。虛擬交換機的作用是對接虛擬服務(wù)器，實現(xiàn)虛擬服務(wù)器與外部網(wǎng)絡(luò)的互聯(lián)。

2 信息安全技術(shù)體系

上文提到，私有云數(shù)據(jù)中心網(wǎng)絡(luò)在給企業(yè)帶來便捷的同時，也有可能使企業(yè)承受巨大的損失。在企業(yè)將數(shù)據(jù)存儲到私有云網(wǎng)絡(luò)服務(wù)器中以后，服務(wù)器可能遭受黑客的惡意攻擊，非法竊取企業(yè)的機密數(shù)據(jù)，甚至惡意損壞、篡改企業(yè)的重要數(shù)據(jù)。眾所周知，企業(yè)的競爭力主要體現(xiàn)著企業(yè)的高端技術(shù)上，而技術(shù)均以數(shù)據(jù)的形式存在，因此，將數(shù)據(jù)保存在私有云網(wǎng)絡(luò)服務(wù)器上的風險可想而知。為解決私有云數(shù)據(jù)的安全問題，我們在私有云數(shù)據(jù)中心網(wǎng)絡(luò)中加入了信息安全技術(shù)體系，其中包括身份認證技術(shù)、訪問控制技術(shù)、內(nèi)容安全技術(shù)、監(jiān)控審計技術(shù)和備份恢復(fù)技術(shù)，下文將對各個技術(shù)進行詳細說明。

2.1 身份認證技術(shù)

身份認證技術(shù)是信息安全體系對私有云數(shù)據(jù)中心網(wǎng)絡(luò)的第一項保護措施，所謂身份認證就是對訪問數(shù)據(jù)庫人員進行身份信息核查。只有企業(yè)內(nèi)部人員才能得到授權(quán)從而進入對私有云數(shù)據(jù)中心網(wǎng)絡(luò)，如果發(fā)現(xiàn)訪問人員身份信息非法，系統(tǒng)將對管理人員進行報警，同時記錄其 IP地址。一旦經(jīng)證實是黑客非法傾入想要竊取企業(yè)機密數(shù)據(jù)，將第一時間移交網(wǎng)警。為防止外部人員竊取企業(yè)內(nèi)部人員賬號密碼冒充企業(yè)內(nèi)部人員訪問企業(yè)私有云數(shù)據(jù)中心網(wǎng)絡(luò)，身份認證技術(shù)可采用高科技身份識別，如指紋識別、面部識別、虹膜識別等。

2.2 訪問控制技術(shù)

身份認證技術(shù)是針對企業(yè)外部人員的防護措施，防止企業(yè)外部人員冒充企業(yè)內(nèi)部成員訪問企業(yè)私有云數(shù)據(jù)中心網(wǎng)絡(luò)。而訪問控制技術(shù)作為第二道防護措施針對的是企業(yè)內(nèi)部成員。為防止企業(yè)內(nèi)部員工被競爭對手收買而監(jiān)守自盜，訪問控制技術(shù)針對企業(yè)不同級別的員工設(shè)置不同的訪問權(quán)限，絕不允許越級訪問。訪問控制技術(shù)在不影響員工工作中使用私有云數(shù)據(jù)中心網(wǎng)絡(luò)的前提下，為企業(yè)私有云數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)置了第二道保障。因此，在信息安全技術(shù)體系中，訪問控制技術(shù)是很有必要的。

2.3 內(nèi)容安全技術(shù)

內(nèi)容安全技術(shù)是信息安全體系保護私有云數(shù)據(jù)中心網(wǎng)絡(luò)的第三道防線，實際上也是最后一道防線，內(nèi)容安全技術(shù)主要針對的是私有云數(shù)據(jù)中心網(wǎng)絡(luò)遭到非法侵入后對數(shù)據(jù)的保護。因為系統(tǒng)遭受入侵后帶來的破壞可能是多樣性的，因此內(nèi)容安全系統(tǒng)集合了多種安全防御技術(shù)，從而全方位應(yīng)對非法入侵者在入侵成功后的各種可能性的破壞。企業(yè)可以采用頁面鎖定技術(shù)防止非法入侵者對訪問頁面進行篡改，從而影響企業(yè)內(nèi)部員工對私有云數(shù)據(jù)中心網(wǎng)絡(luò)的正常訪問；使用入侵防御、流量清洗等技術(shù)來防止非法入侵者對服務(wù)器進行惡意攻擊，影響網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸；使用文件加密技術(shù)來保護終端數(shù)據(jù)。

2.4 監(jiān)控審計技術(shù)

上述三項技術(shù)均為針對非法入侵的防御性技術(shù)，而監(jiān)控審計技術(shù)除了防止非法入侵外還是信息安全體系自我檢測、自我完善的技術(shù)。監(jiān)控審計技術(shù)可以為私有云數(shù)據(jù)中心網(wǎng)絡(luò)的信息數(shù)據(jù)、訪問情況和安全狀態(tài)進行實時的監(jiān)控分析。通過對訪問記錄的數(shù)據(jù)分析，可以得到訪問者訪問私有云數(shù)據(jù)中心網(wǎng)絡(luò)的起始點、訪問路徑、訪問方式以及具體的訪問數(shù)據(jù)，從而分析訪問過程中是否存在非法操作或隱藏的安全風險。通過監(jiān)控審計技術(shù)我們不僅可以對私有云數(shù)據(jù)中心網(wǎng)絡(luò)的安全進行實時監(jiān)督，還可以不斷發(fā)現(xiàn)自身存在的隱患漏洞，從而不斷對系統(tǒng)信息安全技術(shù)體系進行完善升級。

2.5 備份恢復(fù)技術(shù)

備份恢復(fù)技術(shù)是信息安全體系對私有云數(shù)據(jù)中心網(wǎng)絡(luò)的第最后一項保護措施，他分為備份和恢復(fù)兩個部分。企業(yè)需要定期對私有云數(shù)據(jù)中心的數(shù)據(jù)進行備份，并記錄備份的時間節(jié)點，一旦數(shù)據(jù)因非法入侵者惡意攻擊、員工操作失誤或硬件等原因發(fā)生損壞立即將其恢復(fù)為對應(yīng)時間節(jié)點備份的數(shù)據(jù)。

3 結(jié)語

私有云數(shù)據(jù)中心網(wǎng)絡(luò)的彈性架構(gòu)和“扁平化”設(shè)計，簡化了私有云數(shù)據(jù)中心網(wǎng)絡(luò)的結(jié)構(gòu)，提高了系統(tǒng)的傳輸速率。信息安全技術(shù)體系通過身份認證技術(shù)、訪問控制技術(shù)、內(nèi)容安全技術(shù)、監(jiān)控審計技術(shù)和備份恢復(fù)技術(shù)的五重保護貫穿了系統(tǒng)的終端層、應(yīng)用層、系統(tǒng)層、網(wǎng)絡(luò)層、物理層，從而全方位的保證了私有云數(shù)據(jù)中心的安全性和可靠性。全新的私有云數(shù)據(jù)中心網(wǎng)絡(luò)將為企業(yè)解決海量數(shù)據(jù)存儲的問題，為企業(yè)發(fā)展提供助力。

[1]張鈺．基于私有云架構(gòu)的廣播電臺融合媒體平臺設(shè)計[J]．電聲技術(shù)，2017．

[2]萬俊偉，陳洪雁，趙靜．云計算技術(shù)在實時航天試驗任務(wù)領(lǐng)域的應(yīng)用驗證[J]．信息網(wǎng)絡(luò)安全，2017．

[3]方溈．基于資源統(tǒng)一標識的國家農(nóng)作物種質(zhì)資源平臺信息系統(tǒng)研究[D]．中國農(nóng)業(yè)科學(xué)院，2015．

[4]趙華龍．云環(huán)境下基于數(shù)字水印技術(shù)的數(shù)據(jù)隱私保護方法研究[D]．西安建筑科技大學(xué)，2014．