◆丁昊天 張晨飛

(中機新時代有限公司 北京 100089)

基于大數(shù)據(jù)平臺的云安全建設(shè)

◆丁昊天 張晨飛

(中機新時代有限公司 北京 100089)

目前大數(shù)據(jù)在世界范圍內(nèi)得到迅速的發(fā)展，但是也在發(fā)展中遇到許多的挑戰(zhàn)，為此，構(gòu)建一整套的大數(shù)據(jù)平臺的云安全體系是非常有必要的。本文主要闡述了大數(shù)據(jù)平臺面對的問題，系統(tǒng)的提出了云安全體系建設(shè)的主要方案，旨在通過完善云安全體系，提高各個單位在云上的運行安全性。

大數(shù)據(jù)；云安全體系；建設(shè)措施

0 引言

隨著云服務(wù)和云計算的發(fā)展，其在發(fā)展過程中面臨的一個重要的挑戰(zhàn)就是云安全，其中，云安全在技術(shù)和管理方面出現(xiàn)了很多問題。在云計算的發(fā)展環(huán)境下，資源共享、多元化的服務(wù)類型以及用戶數(shù)量的大量增長等導(dǎo)致多個方面都出現(xiàn)了一定的問題。最近幾年來，像谷歌、亞馬遜等云計算領(lǐng)先的服務(wù)商都出現(xiàn)了重大的云服務(wù)安全事故，造成大范圍的服務(wù)中斷。所以說，云計算面對的一個重要問題就是其安全性，加強云安全建設(shè)勢在必行。

1 大數(shù)據(jù)安全面臨的風(fēng)險

大數(shù)據(jù)安全勢必是一場斗爭，在大數(shù)據(jù)領(lǐng)導(dǎo)的時代，以電商社交為代表的互聯(lián)網(wǎng)、以微博微信為代表的移動互聯(lián)網(wǎng)、以傳感器為代表的物聯(lián)網(wǎng)、以及金融電信等各行各業(yè)都在產(chǎn)生著大量的數(shù)據(jù)，已經(jīng)開始作為一種生產(chǎn)要素發(fā)揮著極其重要的作用，成為競爭的有力因素。大數(shù)據(jù)雖然包含著比較多的信息量，但是在發(fā)展過程中也因此會產(chǎn)生較多的風(fēng)險挑戰(zhàn)。

在大數(shù)據(jù)環(huán)境下產(chǎn)生了應(yīng)用防護風(fēng)險，資源被泛濫使用和惡用，拒絕服務(wù)攻擊，WEB安全等。虛擬環(huán)境產(chǎn)生安全風(fēng)險。在引進新的虛擬技術(shù)過程中，大數(shù)據(jù)系統(tǒng)就增加了新的安全風(fēng)險，比如說，在一個管理程序中運行多個虛擬機，那么虛擬數(shù)據(jù)中心攻擊的最主要目標(biāo)就是這個管理程序，因為一旦攻破這個管理程序就可以訪問許多個數(shù)據(jù)中心的虛擬系統(tǒng)。

2 基于大數(shù)據(jù)平臺云安全建設(shè)方案

2.1 云平臺安全

云平臺本身的技術(shù)種類繁多，復(fù)雜多樣，還不夠成熟。開發(fā)單位在集數(shù)據(jù)庫、消息隊列等多個功能的云平臺上，通過其提供的語言和工具進行開發(fā)，接口安全和運行安全是云平臺安全的兩個重要部分。

云平臺接口安全。云平臺在開放接口之后面臨的最大的威脅就是通過利用該接口攻擊內(nèi)部外部以及濫用云服務(wù)。在建設(shè)云安全體系中，應(yīng)該加強訪問控制，比如說，實行強用戶認證、保障有效的加密等措施。

云安全運行安全。云平臺開放后面臨的又一個問題就是搭載于云平臺上的用戶 IT系統(tǒng)，需要通過加強安全審核和監(jiān)控用戶應(yīng)用的力度，同時加強不同用戶的系統(tǒng)隔離。使用安全組防火墻提供三層隔離，在同一組的不同服務(wù)器可以互相訪問，不同安全組的服務(wù)器則無法做到這一點。

2.2 服務(wù)器安全

整合服務(wù)器，之所以進行服務(wù)器整合，是因為可以通過整合把部分業(yè)務(wù)轉(zhuǎn)移到虛擬平臺再進行運行，這樣不僅能夠節(jié)約系統(tǒng)資源，而且方便管理容易更新。

對于不同業(yè)務(wù)的系統(tǒng)區(qū)域要進行合理的配置，同一臺服務(wù)器上最好不要部署不同級別的業(yè)務(wù)設(shè)計。

合理劃分安全區(qū)域，在劃分過程中，及時滿足公網(wǎng)訪問和運行維護管理的需求。

要充分保證業(yè)務(wù)之間的隔閡，在服務(wù)器整合之后，重新評估公共防火墻的性能，如果現(xiàn)有的設(shè)備數(shù)量無法滿足所需時，要增加新的防火墻設(shè)備。

加強對虛擬化平臺的防護，保護虛擬化平臺，可以通過啟用現(xiàn)有的安全選項加固系統(tǒng)。

加強云計算的備份與恢復(fù)能力。

2.3 數(shù)據(jù)安全

根據(jù)云計算的自身特點和數(shù)據(jù)生命周期，構(gòu)建云端數(shù)據(jù)安全體系。

數(shù)據(jù)訪問。用戶通常都是需要通過控制臺日常操作才能訪問云資源，把用戶和云產(chǎn)品的對應(yīng)關(guān)系運用對稱加密的形式來鑒別身份。運行維護管理人員在對大數(shù)據(jù)中心和云計算進行操作時都需要雙重鑒定來實現(xiàn)認證，即靜態(tài)密碼結(jié)合動態(tài)令牌。操作時需要的權(quán)限需要多個層面的審批和固化規(guī)則，當(dāng)出現(xiàn)違規(guī)操作時就會自動報警。

數(shù)據(jù)傳輸。用戶的個人賬戶產(chǎn)生的數(shù)據(jù)和云端生產(chǎn)產(chǎn)生的數(shù)據(jù)是兩種不同的數(shù)據(jù)對象，在進行傳輸控制時需要從客戶端到云端，云端再到服務(wù)間，云服務(wù)到云服務(wù)控制這三個層次的控制系統(tǒng)來完成。需要注意的是個人數(shù)據(jù)在從客戶端到云端傳輸時一律都要使用SSL進行加密，后面的兩者都是使用程序進行加密來確保個人數(shù)據(jù)不落地。

數(shù)據(jù)存儲。在保存云端生產(chǎn)數(shù)據(jù)過程中，不管使用的是哪一種云服務(wù)器，都要將數(shù)據(jù)采用碎片分布式離散技術(shù)進行粉碎，就是說數(shù)據(jù)被切割成許多片段通過隨機分散保存在不同的機架，而且每一個片段都會有多個副本進行保存。根據(jù)每一個用戶ID的不同云服務(wù)系統(tǒng)將其云端數(shù)據(jù)進行隔離，客戶的云存儲空間訪問權(quán)限是由其對稱加密所控制的，確保云端數(shù)據(jù)的訪問權(quán)限最小化。

數(shù)據(jù)銷毀。在客戶要求刪除存儲數(shù)據(jù)或者是使用的設(shè)備被售出拋棄時，都要運用內(nèi)存釋放和清空數(shù)據(jù)來徹底刪除所有的數(shù)據(jù)。在云計算環(huán)境下，許多硬盤在外進行維修或者是服務(wù)器報廢時都會導(dǎo)致數(shù)據(jù)失竊，大數(shù)據(jù)中心必須遵循標(biāo)準(zhǔn)流程：磁盤更換時換下來的磁盤每盤都保證消磁，每一個磁盤的消磁記錄都能夠被查到，消磁的視頻做到每天可溯。不斷加大磁盤消磁工作的視頻監(jiān)控力度，完善相應(yīng)的策略，在監(jiān)控過程中確保操作防抵賴性和監(jiān)控視頻的保存完整性。

2.4 虛擬桌面云安全

虛擬桌面的主要作用就是實行集中管理和維護，把用戶的電腦環(huán)境轉(zhuǎn)移到虛擬的主機環(huán)境，在這個環(huán)境下進行管理維護工作。一臺瘦終端、鼠標(biāo)、鍵盤等簡單的設(shè)備就可以組成終端進行操作，極大的降低了運行成本，還提高了管理維護的工作效率，企業(yè)內(nèi)部的坐席業(yè)務(wù)和辦公網(wǎng)絡(luò)等都廣泛使用虛擬桌面。

終端安全。虛擬桌面擁有多樣化形態(tài)的接入終端，既可以通過筆記本、臺式電腦也可以通過各種智能終端或者是瘦終端進行接入，終端必須具有較高的安全性能。在虛擬桌面的終端中，需要多加關(guān)注病毒的查殺或者是制定黑白名單體制，像瘦終端這樣的專用終端，可以通過黑白名單體制來允許操作者僅僅可以運行特定的流程。

接入安全。虛擬桌面可以通過有線接入、無線接入等多種形式進行接入，在保證終端安全的情況下需要多加關(guān)注傳輸數(shù)據(jù)時的安全。如果必須需要外部網(wǎng)絡(luò)進行接入時，需要配置 VPN網(wǎng)關(guān)等必要性程序，只有通過這項程序才可以連接內(nèi)部辦公環(huán)境。

防病毒。可以安裝一般的桌面防病毒軟件來完成虛擬桌面的防病毒工作，但是值得注重的是一般的防病毒軟件也許會有掃描風(fēng)暴或者是更新病毒庫風(fēng)暴等問題。所以可以采用專門的虛擬桌面防病毒系統(tǒng)。這樣的專門針對虛擬桌面設(shè)計的防病毒系統(tǒng)不僅減輕了虛擬桌面自身負擔(dān)，實行任務(wù)調(diào)節(jié)，而且還能避免大量的病毒掃描此類操作共同進行，有效的減輕了系統(tǒng)的負載。

2.5 其他安全

大數(shù)據(jù)安全還要確保設(shè)備及其相關(guān)環(huán)境的安全，關(guān)鍵是要完善大數(shù)據(jù)平臺的管理制度。加強建設(shè)的規(guī)范性，制定嚴(yán)格的管理制度，通過制度來保障大數(shù)據(jù)平臺相關(guān)設(shè)備的安全。首先要嚴(yán)格管理門禁，對大數(shù)據(jù)設(shè)備所在環(huán)境的進出制定嚴(yán)格的時間標(biāo)準(zhǔn)，非標(biāo)準(zhǔn)的時間一律按照相關(guān)制度來進行管理。其次，制定備用物資的存放和使用標(biāo)準(zhǔn)，嚴(yán)格進行該場地的實時監(jiān)控。最后要不斷完善供電消防等基本保障制度。加強賬號異常登錄檢測，在以往的服務(wù)器異常登錄情況中，絕大多數(shù)的情況是受到了入侵或者是攻擊。根據(jù)日常登錄情況，對經(jīng)常登錄的區(qū)域進行識別，需要精確到該區(qū)域所在的具體的地市級，防止出現(xiàn)不必要的損失。快速掃描云服務(wù)器的端口，可以結(jié)合以指紋識別為代表的生物識別技術(shù)來判斷開放端口正在運行的軟件甚至是版本，如果發(fā)現(xiàn)沒有經(jīng)過允許的開放端口，要在第一時間內(nèi)提醒用戶關(guān)閉該開放端口，以防止系統(tǒng)被病毒或者黑客入侵。

3 總結(jié)

伴隨著大數(shù)據(jù)和云計算的廣泛應(yīng)用，我們需要及時發(fā)現(xiàn)當(dāng)中的問題，及時找出解決措施進行處理并且完善。本文基于大數(shù)據(jù)這個平臺，通過5個層面的設(shè)計構(gòu)建了云安全的防護體系，這個體系可以強有力的保證云服務(wù)和云計算的運行安全性，用戶可以利用大數(shù)據(jù)和云安全防護體系不斷創(chuàng)新工作，促進社會的發(fā)展。

[1]羅仟松.基于虛擬數(shù)據(jù)中心的云安全策略研究與設(shè)計[D].山東大學(xué)，2013.

[2]白秀杰，李汝鑫，劉新春，邵宗有.云安全防護體系架構(gòu)研究[J].信息安全與技術(shù)，2013.

[3]胡祥義，馬占國，劉宇.一種云安全架構(gòu)的解決方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011.

[4]曹瑞，劉新龍.云安全解決方案[J].中國鐵路，2017.