鄧利

摘? ?要：為保障電信大數(shù)據(jù)平臺的數(shù)據(jù)安全，文章對電信大數(shù)據(jù)平臺的網(wǎng)絡(luò)安全防護體系設(shè)計進行研究。首先，分析電信大數(shù)據(jù)平臺及電信網(wǎng)的安全現(xiàn)狀;其次，設(shè)計電信大數(shù)據(jù)平臺的網(wǎng)絡(luò)安全防護體系架構(gòu)，包括物理隔離安全、訪問控制安全、實時監(jiān)測預警3個方面。其中，物理隔離安全包括用戶安全訪問平臺、數(shù)據(jù)安全交互平臺，訪問控制安全包括用戶訪問認證機制、行為審計分析機制，實時監(jiān)測預警包括事前監(jiān)測、事中分析、事后處置3種監(jiān)測預警機制。本研究成果已應(yīng)用到某省電信大數(shù)據(jù)平臺建設(shè)工作中，并且取得了較好的使用效果。

關(guān)鍵詞：電信大數(shù)據(jù)平臺;網(wǎng)絡(luò)安全;訪問控制;安全審計

隨著4G，5G、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù)的快速發(fā)展和應(yīng)用，電信行業(yè)的大數(shù)據(jù)平臺建設(shè)項目越來越多。當前，各電信運營商的電信大數(shù)據(jù)平臺已為政府、企業(yè)提供了較多的行業(yè)信息化應(yīng)用和支撐服務(wù)。與此同時，以竊取數(shù)據(jù)資源為目標的網(wǎng)絡(luò)安全事件也越來越多，嚴重威脅各大數(shù)據(jù)平臺的正常運營工作，給社會和人民群眾帶來了較大的經(jīng)濟財產(chǎn)損失以及個人隱私數(shù)據(jù)泄露等問題[1]。為確保電信大數(shù)據(jù)平臺的安全運營，必須進行完備的網(wǎng)絡(luò)安全防護體系設(shè)計，盡可能避免安全威脅事件的發(fā)生[2]。

為解決問題，已有較多的研究團體對大數(shù)據(jù)平臺網(wǎng)絡(luò)安全防護體系進行了設(shè)計。根據(jù)各研究團體的研究對象和研究方法，筆者將當前已有的研究分為3類：（1）從大數(shù)據(jù)平臺的硬件環(huán)境方面進行研究，通過分析和優(yōu)化服務(wù)器、交換路由設(shè)備、安全防御設(shè)備的設(shè)計和部署方法，實現(xiàn)網(wǎng)絡(luò)的安全訪問控制以及對惡意行為的審計問責等工作[3]。（2）從數(shù)據(jù)的全生命周期方面進行研究，通過分析數(shù)據(jù)的來源、傳輸、存儲、處理、應(yīng)用5大環(huán)節(jié)中存在的安全隱患，針對性地設(shè)計大數(shù)據(jù)平臺的安全防護體系[4]。（3）針對各種典型安全事件進行的安全防護設(shè)計。例如，張鋒軍[5]分析了數(shù)據(jù)篡改、信息泄露、數(shù)據(jù)丟失等方面的數(shù)據(jù)安全問題，并總結(jié)了針對每種問題的安全防護技術(shù);陳麗等[6]針對大數(shù)據(jù)平臺中用到的Hadoop技術(shù)架構(gòu)，從每個組件的安全性方面進行了分析，并針對安全問題提供了安全解決方案，有效提升了大數(shù)據(jù)Hadoop平臺的安全性能。

通過對已有研究成果分析可知，當前在大數(shù)據(jù)平臺的網(wǎng)絡(luò)安全方面已取得了較多的研究成果。但是當前的研究主要聚焦在不同維度的通用體系架構(gòu)設(shè)計以及針對單個問題的研究探討中，缺少可快速應(yīng)用于大數(shù)據(jù)平臺網(wǎng)絡(luò)安全防護體系的研究成果，尤其缺少電信行業(yè)大數(shù)據(jù)平臺的網(wǎng)絡(luò)安全防護體系設(shè)計。為解決此問題，本文通過分析電信大數(shù)據(jù)平臺及電信網(wǎng)的安全現(xiàn)狀，設(shè)計電信大數(shù)據(jù)平臺的網(wǎng)絡(luò)安全防護體系架構(gòu)。經(jīng)過一年的應(yīng)用，本文體系架構(gòu)已取得了較好的使用效果。

1? ? 電信大數(shù)據(jù)平臺的網(wǎng)絡(luò)安全現(xiàn)狀

通過對電信大數(shù)據(jù)平臺現(xiàn)狀進行調(diào)研和分析可知，當前電信大數(shù)據(jù)平臺的網(wǎng)絡(luò)安全領(lǐng)域具有以下3個特點：

（1）網(wǎng)絡(luò)規(guī)模越來越大，用戶類型越來越多。隨著電信通信網(wǎng)技術(shù)的全球化發(fā)展，網(wǎng)絡(luò)技術(shù)架構(gòu)和管理體系的全球標準化工作進程逐漸加快，為電信通信網(wǎng)的建設(shè)提供了統(tǒng)一性和開放性保障，有效促進了電信通信網(wǎng)的快速發(fā)展。與此同時，電信通信網(wǎng)承載的業(yè)務(wù)類型也越來越多，用戶規(guī)模越來越大。但是電信通信網(wǎng)的開放性也為網(wǎng)絡(luò)攻擊行為提供了更多的攻擊機會，給網(wǎng)絡(luò)的安全運營帶來了較多安全隱患[7]。

（2）以竊取用戶身份和數(shù)據(jù)為主的違法犯罪活動越來越多。通過對電信大數(shù)據(jù)平臺的運營數(shù)據(jù)統(tǒng)計分析可知，竊取用戶身份和數(shù)據(jù)的違法犯罪活動可以分為內(nèi)部違法犯罪活動和外部違法犯罪活動兩種。其中，內(nèi)部違法犯罪活動主要是由于內(nèi)部員工利用職務(wù)之便，將用戶的數(shù)據(jù)和信息從大數(shù)據(jù)平臺下載到本地后進行銷售，從而獲得非法收入[8]。外部違法犯罪活動是指網(wǎng)絡(luò)黑客采用非法技術(shù)手段，通過竊聽、偽裝、入侵等攻擊手段，非法獲取大數(shù)據(jù)平臺的用戶數(shù)據(jù)和隱私信息。近年來，兩種犯罪活動都向獲取經(jīng)濟利益方向發(fā)展。

（3）網(wǎng)絡(luò)安全漏洞越來較多，導致新型攻擊越來越多。隨著電信通信網(wǎng)規(guī)模的增大、大數(shù)據(jù)平臺的新技術(shù)增多，電信大數(shù)據(jù)平臺出現(xiàn)的漏洞也隨之增加?；谶@些新型漏洞，網(wǎng)絡(luò)入侵人員更加便于實施網(wǎng)絡(luò)入侵和網(wǎng)絡(luò)攻擊。同時，由于大數(shù)據(jù)資源的經(jīng)濟價值較高，使得越來越多的網(wǎng)絡(luò)入侵者自發(fā)地提升了攻擊技術(shù)能力，導致攻擊的類型和數(shù)量越來越多[9]。

2? ? 體系架構(gòu)設(shè)計

2.1? 設(shè)計思路

為了實現(xiàn)大數(shù)據(jù)平臺中的數(shù)據(jù)安全，保障數(shù)據(jù)的私密性、可用性、完整性，本文提出的電信大數(shù)據(jù)平臺的網(wǎng)絡(luò)安全防護體系設(shè)計思路如下：

（1）通過隔離技術(shù)和加密技術(shù)，實現(xiàn)大數(shù)據(jù)傳輸網(wǎng)絡(luò)的安全。大數(shù)據(jù)平臺服務(wù)的用戶類型較多，并且采用多種分布式計算技術(shù)，所以，大數(shù)據(jù)的傳輸安全是大數(shù)據(jù)平臺的最基本要求。在體系架構(gòu)設(shè)計時，需要采用隔離技術(shù)和加密技術(shù)實現(xiàn)數(shù)據(jù)的安全傳輸，保護數(shù)據(jù)的私密性和完整性。

（2）通過分級分類的身份管理和權(quán)限管理機制，實現(xiàn)大數(shù)據(jù)平臺的人員管理安全。用戶身份是進入大數(shù)據(jù)平臺的鑰匙，所以，身份管理是大數(shù)據(jù)平臺入口管理中最重要的工作。在訪問控制設(shè)計時，基于用戶類型不同，采用分級分類的身份管理機制，為不同類型的用戶分配不同級別的權(quán)限，可以有效避免高級別的隱私數(shù)據(jù)被泄露。

（3）針對數(shù)據(jù)生命周期各個階段的風險漏洞制定安全策略，確保數(shù)據(jù)全過程的安全。大數(shù)據(jù)的安全包括數(shù)據(jù)的采集過程安全、存儲過程安全、處理過程安全、使用過程安全等關(guān)鍵環(huán)節(jié)。在設(shè)計數(shù)據(jù)安全策略時，需要從大數(shù)據(jù)的全生命周期分階段設(shè)計，從而避免由于某一階段的漏洞，導致數(shù)據(jù)的整體安全。

（4）通過對訪問和操作過程進行記錄和分析，實現(xiàn)大數(shù)據(jù)平臺事前、事中、事后的安全審計。當大數(shù)據(jù)平臺出現(xiàn)安全隱患或安全事件時，需要能夠快速定位原因和問題，并制定針對性的補救措施，從而將負面影響最小化。在安全事件處理和應(yīng)急響應(yīng)設(shè)計時，需要實現(xiàn)事前的詳細記錄和預警，在事中能夠快速定位事件原因，并進行問題補救。在事件處理之后，還需要具備追蹤溯源的能力，從而更好地改進大數(shù)據(jù)平臺的漏洞，避免同類事件的再次發(fā)生。

2.2? 體系架構(gòu)

為解決電信大數(shù)據(jù)平臺的網(wǎng)絡(luò)安全問題，基于設(shè)計思路和已有研究分析，本文設(shè)計了電信大數(shù)據(jù)平臺的網(wǎng)絡(luò)安全防護體系架構(gòu)，如圖1所示。包括物理隔離安全、訪問控制安全、實時監(jiān)測預警3個方面，物理隔離安全包括用戶安全訪問平臺、數(shù)據(jù)安全交互平臺;訪問控制安全包括用戶訪問認證機制、行為審計分析機制;實時監(jiān)測預警包括事前監(jiān)測、事中分析、事后處置3種監(jiān)測預警機制。

3? ? 架構(gòu)內(nèi)容

3.1? 物理隔離安全

物理隔離安全采用隔離技術(shù)、加密技術(shù)針對數(shù)據(jù)生命周期各個階段的風險漏洞，從網(wǎng)絡(luò)傳輸方面保障大數(shù)據(jù)平臺的底層安全，主要通過部署用戶安全訪問平臺、數(shù)據(jù)安全交互平臺來實現(xiàn)。其中，用戶安全訪問平臺用于實現(xiàn)應(yīng)用的安全訪問和使用，邏輯拓撲如圖2所示。數(shù)據(jù)安全交互平臺用于實現(xiàn)數(shù)據(jù)的安全交換，邏輯拓撲如圖3所示。

從圖2可知，用戶安全訪問平臺邏輯拓撲包括用戶接入?yún)^(qū)、應(yīng)用前置區(qū)、應(yīng)用服務(wù)區(qū)3個模塊。（1）在用戶接入?yún)^(qū)模塊方面，駐地外用戶和外部用戶都采用VPN技術(shù)進行接入;安全防護包括防火墻、IPS，IDS、安全網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備;接入代理采用虛擬桌面技術(shù)，防止網(wǎng)絡(luò)內(nèi)部信息泄露，與應(yīng)用服務(wù)區(qū)的代理控制服務(wù)模塊對應(yīng)。（2）在應(yīng)用前置區(qū)模塊方面，Web應(yīng)用防護部署網(wǎng)站應(yīng)用級入侵防御系統(tǒng)，對用戶接入?yún)^(qū)的Web服務(wù)請求進行安全防護和安全處理。（3）在應(yīng)用服務(wù)區(qū)模塊方面，代理控制服務(wù)包括代理控制服務(wù)、應(yīng)用程序接口（Application Programming Interface，API）代理服務(wù)兩部分功能，其中，代理控制服務(wù)負責為用戶接入?yún)^(qū)的接入代理服務(wù);API代理服務(wù)負責從應(yīng)用后置區(qū)的API接口服務(wù)處獲得服務(wù)。安全防護部分也通過部署網(wǎng)絡(luò)安全設(shè)備的硬件隔離策略，保障應(yīng)用服務(wù)區(qū)的網(wǎng)絡(luò)安全;應(yīng)用后置區(qū)模塊包括應(yīng)用后置、API接口服務(wù)兩部分。其中，應(yīng)用后置負責為應(yīng)用前置區(qū)提供服務(wù);API接口服務(wù)從數(shù)據(jù)中心獲取應(yīng)用，滿足API代理需要的應(yīng)用。

從圖3可知，數(shù)據(jù)安全交互平臺的邏輯拓撲包括數(shù)據(jù)接入?yún)^(qū)、安全隔離區(qū)、數(shù)據(jù)管控區(qū)3個模塊：（1）在數(shù)據(jù)接入?yún)^(qū)模塊方面，安全防護設(shè)備采用防火墻、安全網(wǎng)關(guān)等安全設(shè)備，通過配置訪問控制列表（Access Control Lists，ACL）策略，實現(xiàn)數(shù)據(jù)的單向進入。（2）在安全隔離區(qū)模塊方面，數(shù)據(jù)交換平臺采用網(wǎng)閘設(shè)備，實現(xiàn)數(shù)據(jù)的單向物理隔離。（3）在數(shù)據(jù)管控區(qū)模塊方面，部署數(shù)據(jù)交換管控平臺，通過單向進入控制，實現(xiàn)數(shù)據(jù)的可追蹤和溯源;通過部署流量探針，實現(xiàn)流量可控、可管。

3.2? 訪問控制安全

訪問控制安全采用分級分類的身份管理、權(quán)限管理機制，對訪問和操作過程進行記錄和分析，保障用戶訪問過程的安全。訪問控制安全主要通過實施用戶訪問認證機制、行為審計分析機制來實現(xiàn)。其中，用戶訪問認證機制用于實現(xiàn)用戶訪問過程的權(quán)限管理，其架構(gòu)如圖4所示;行為審計分析機制用于實現(xiàn)用戶使用過程的審計，其架構(gòu)如圖5所示。

從圖4可知，用戶訪問認證機制架構(gòu)包括注冊登錄、操作過程、權(quán)限管控3個模塊：（1）注冊登錄模塊采用人臉識別、聲音識別、虹膜識別、指紋識別4種識別技術(shù)，實現(xiàn)用戶注冊和登錄過程的真實性驗證。（2）操作過程模塊通過采用終端水印、用戶水印技術(shù)，實現(xiàn)用戶違規(guī)操作的不可否認性。（3）權(quán)限管控模塊包括權(quán)限分級、權(quán)限分類、名單管理技術(shù)，確保數(shù)據(jù)的安全訪問和使用。名單管理技術(shù)采用白名單、黑名單、紅名單3種策略對用戶數(shù)據(jù)進行管理。白名單是指記錄良好的用戶名單，可以正常訪問其權(quán)限級別的相關(guān)功能;黑名單是指在使用過程中出現(xiàn)了一些違規(guī)行為，需要對其行為采取限制措施;紅名單是指特殊用戶構(gòu)成的名單，該名單范圍內(nèi)的人員信息不能被低級別權(quán)限的用戶訪問。

從圖5可知，行為審計分析機制架構(gòu)包括基本審計、關(guān)聯(lián)分析、高級審計3個模塊：（1）基本審計的范疇包括登錄信息、賬戶信息、操作信息、數(shù)據(jù)信息4個方面數(shù)據(jù)的審計，操作信息主要審計用戶的操作路徑是否出現(xiàn)異常行為，數(shù)據(jù)信息主要審計用戶對數(shù)據(jù)操作時的流向是否符合預期。（2）關(guān)聯(lián)分析模塊的范疇包括日志分析、網(wǎng)絡(luò)ID、虛擬身份、違規(guī)違約。網(wǎng)絡(luò)ID主要分析用戶的IP地址、MAC地址等網(wǎng)絡(luò)身份與真實身份是否一致;虛擬身份主要分析用戶的郵箱、聯(lián)系方式等信息是否與真實用戶數(shù)據(jù)相一致;違規(guī)違約主要分析用戶在使用過程中是否存在密碼試探、越權(quán)操作、高頻訪問、敏感事件操作等方面的異常行為。（3）高級審計模塊的范疇包括事件審計、安全審計、風險審計。事件審計主要對出現(xiàn)的關(guān)鍵事件進行追蹤和溯源，防止此類事件的再次發(fā)生。安全審計主要從安全的視角，基于法律法規(guī)和相關(guān)制度，進行自我檢查;風險審計主要從預防的角度，對未來不可預知的相關(guān)風險進行提前分析，從而防止此類事件的發(fā)生。

3.3? 實時監(jiān)測預警

實時監(jiān)測預警模塊通過實施事前監(jiān)測、事中分析、事后處置3種監(jiān)測預警機制，實現(xiàn)大數(shù)據(jù)平臺的事前、事中、事后的安全審計，其架構(gòu)如圖6所示。（1）事前監(jiān)測包括態(tài)勢評估、威脅檢測。態(tài)勢評估采用態(tài)勢感知技術(shù)，從綜合、數(shù)據(jù)、資產(chǎn)、漏洞等維度，對大數(shù)據(jù)平臺的安全態(tài)勢進行分析;威脅檢測使用安全防護設(shè)備，執(zhí)行入侵檢測、病毒檢測、流量異常檢測、數(shù)據(jù)報文異常檢測、常見攻擊檢測等日常安全性分析。（2）事中分析包括分析研判、響應(yīng)處置。分析研判主要采用事件關(guān)聯(lián)分析、攻擊鏈條分析、異常行為分析、重點人員和重點事件監(jiān)測分析等技術(shù)，對關(guān)鍵的事件進行深度分析，從而在事件發(fā)生時，能夠快速生成處理策略和應(yīng)急機制。響應(yīng)處置采用實時告警、健全應(yīng)急管理體系等措施，實現(xiàn)安全事件的快速通知、實時阻斷、快速整改。（3）事后處置包括追蹤溯源、問題治理。追蹤溯源基于威脅數(shù)據(jù)和審計結(jié)果，可以快速定位事件的源頭，為事件處置提供準確的信息支撐。問題治理模塊基于成熟的處理機制，對問題進行快速、精準的處理，防止事態(tài)蔓延。

4? ? 結(jié)語

近年來，以竊取數(shù)據(jù)資源為目標的網(wǎng)絡(luò)安全事件已嚴重威脅到大數(shù)據(jù)平臺的正常運營，給社會和人民群眾帶來了較大的經(jīng)濟和財產(chǎn)損失。為保障電信大數(shù)據(jù)平臺的安全運營，本文通過分析電信大數(shù)據(jù)平臺的網(wǎng)絡(luò)安全現(xiàn)狀，制定了網(wǎng)絡(luò)安全防護體系的設(shè)計思路，并基于該思路設(shè)計了電信大數(shù)據(jù)平臺的網(wǎng)絡(luò)安全防護體系架構(gòu)。該研究成果已應(yīng)用到某省電信大數(shù)據(jù)平臺的運營工作中，并且取得了較好的使用效果。下一步將基于本文的研究成果，研究如何制定安全維護方案和相應(yīng)的管理措施，從而使本文提出的網(wǎng)絡(luò)安全防護體系架構(gòu)發(fā)揮更大價值，為大數(shù)據(jù)平臺提供更加安全、可靠的網(wǎng)絡(luò)環(huán)境。

[參考文獻]

[1]王桂芳.大數(shù)據(jù)安全平臺威脅分析[J].數(shù)字化用戶，2017（27）：110-111.

[2]慕文靜，鄭鑫，張曉潔.通信網(wǎng)絡(luò)信息系統(tǒng)的安全防護技術(shù)[J].中國管理信息化，2017（15）：188-189.

[3]曾中良.大數(shù)據(jù)時代的企業(yè)信息安全保障[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（8）：137-138.

[4]郭乃網(wǎng)，蘇運，瞿海妮，等.電力大數(shù)據(jù)安全體系架構(gòu)研究與應(yīng)用[J].中國電業(yè)（技術(shù)版），2016（4）：32-35.

[5]張鋒軍.大數(shù)據(jù)技術(shù)研究綜述[J].通信技術(shù)，2014（11）：1240-1248.

[6]陳麗，黃晉，王銳.Hadoop大數(shù)據(jù)平臺安全問題和解決方案的綜述[J].計算機系統(tǒng)應(yīng)用，2018（1）：1-9.

[7]孫付杰.電信通信網(wǎng)絡(luò)傳輸安全維護方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（1）：18-20.

[8]張學淵，梁雄健.關(guān)于通信網(wǎng)可靠性定義的探討[J].北京郵電大學學報，2017（2）：33-38.

[9]黃居安.電信通信網(wǎng)絡(luò)安全維護方案分析與闡述[J].信息與電腦（理論版），2016（11）：149-150.

Abstract：In order to ensure the data security of telecom big data platform， this paper studies the design of network security protection system for telecom big data platform. Firstly， the security status of telecom big data platform and telecommunication network is analyzed. Secondly， the network security protection architecture of telecom big data platform is designed， including physical isolation security， access control security， real-time monitoring and early warning， among them， physical isolation security includes user security access platform and data security interaction platform， access control security includes user access authentication mechanism and behavior audit analysis mechanism. Real-time monitoring and early warning includes three kinds of monitoring and early warning mechanisms： pre-monitoring， in-process analysis and post-processing. The research results have been applied to the construction of a large-scale telecom platform in a province， and achieved good results.

Key words：telecom big data platform; network security; access control; security audit