楊雪峰

摘 要：網(wǎng)絡(luò)安全是一個事關(guān)國家安全的重大戰(zhàn)略性問題，黨的十八大以來，黨中央、國務院高度重視網(wǎng)絡(luò)安全工作，發(fā)展是安全的目的”、“加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強網(wǎng)絡(luò)安全防御能力和威懾能力”，為網(wǎng)絡(luò)安全工作指明了方向。從世界范圍看，網(wǎng)絡(luò)安全事件影響力和破壞性正在加大，網(wǎng)絡(luò)安全威脅和風險日益突出，并向政治、經(jīng)濟、文化、社會、國防等多領(lǐng)域傳導滲透。

關(guān)鍵詞：安全;大數(shù)據(jù)

隨著智慧城市建設(shè)開展，大數(shù)據(jù)中心安全管理顯得尤為迫切。我們需要從數(shù)據(jù)基礎(chǔ)安全加固、數(shù)據(jù)資產(chǎn)情況梳理、數(shù)據(jù)訪問監(jiān)控與風控體系建立、數(shù)據(jù)管理與運維體系建立、數(shù)據(jù)安全服務等方面著手，建設(shè)立體化數(shù)據(jù)保護機制，有效保障數(shù)據(jù)安全。

一.大數(shù)據(jù)中心安全現(xiàn)狀及需求

目前大數(shù)據(jù)中心云平臺基礎(chǔ)設(shè)施安全建設(shè)、數(shù)據(jù)安全建設(shè)相對薄弱，風險識別、管控和審計手段和工具各自分散，難以形成整合事前、事中、事后階段的綜合防控能力，在此大環(huán)境下，智慧城市基礎(chǔ)設(shè)施在數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、應用系統(tǒng)、基礎(chǔ)環(huán)境及系統(tǒng)互聯(lián)等各個層面，不斷面臨著來自內(nèi)部和外部網(wǎng)絡(luò)的非授權(quán)訪問、數(shù)據(jù)竊取、惡意代碼攻擊、數(shù)據(jù)丟失等現(xiàn)實威脅。

二.大數(shù)據(jù)中心安全建設(shè)目標

通過自適應的安全防護體系，根據(jù)威脅情報等預測結(jié)果做出相應信息安全預警，同時對潛在威脅風險進行持續(xù)檢測，并動態(tài)調(diào)整安全防護策略實現(xiàn)對安全事件的阻斷，最后對檢測結(jié)果快速響應（Respond），形成信息安全的預測、阻止、檢測、響應的閉環(huán)體系。

通過為滿足物理安全、網(wǎng)絡(luò)安全、主機安全、應用安全、數(shù)據(jù)安全五個方面基本技術(shù)要求進行技術(shù)體系建設(shè);為滿足安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理五個方面基本管理要求進行管理體系建設(shè)。

三.大數(shù)據(jù)中心安全總體方案設(shè)計

設(shè)計圍繞一體化防護原則，不僅考慮了基礎(chǔ)安全、云安全和邊界的安全，同時也考慮了數(shù)據(jù)安全和安全大數(shù)據(jù)平臺，建立了一體化的智慧城市級安全防御體系。

大數(shù)據(jù)中心數(shù)據(jù)來源豐富，服務對象分布范圍廣，網(wǎng)絡(luò)環(huán)境建設(shè)復雜，數(shù)據(jù)采集和服務范圍涵蓋了電子政務外網(wǎng)、公安大數(shù)據(jù)平臺、公共安全視頻網(wǎng)直至互聯(lián)網(wǎng)，不同區(qū)域安全網(wǎng)絡(luò)特點和安全要求完全不同，承載著不同的業(yè)務功能。以下按照所在網(wǎng)絡(luò)區(qū)域不同分別進行描述。

1.安全設(shè)計構(gòu)架

依據(jù)等級保護“一個中心三重防護”的設(shè)計思想，結(jié)合云計算功能分層框架和云計算安全特點，構(gòu)建云計算安全設(shè)計防護技術(shù)框架。其中一個中心指安全管理中心，三重防護包括安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)。

以大數(shù)據(jù)驅(qū)動安全為核心理念，通過在云網(wǎng)絡(luò)邊界和云主機內(nèi)部署安全探針，收集全量的泛安全數(shù)據(jù)，通過大數(shù)據(jù)分析技術(shù)形成信息安全態(tài)勢感知，實現(xiàn)信息安全可視化。

2.數(shù)據(jù)安全設(shè)計架構(gòu)

為保障各政務部門上云應用數(shù)據(jù)安全，將依據(jù)國家政策法規(guī)，采用先進的數(shù)據(jù)安全技術(shù)，建設(shè)大數(shù)據(jù)中心云平臺數(shù)據(jù)安全管理平臺，實現(xiàn)數(shù)據(jù)安全全生命周期監(jiān)管。

本項目建設(shè)主要包括五部分，數(shù)據(jù)基礎(chǔ)安全加固、數(shù)據(jù)安全資產(chǎn)管理平臺建設(shè)、數(shù)據(jù)安全風控平臺建設(shè)、數(shù)據(jù)安全管理及運維體系建設(shè)和數(shù)據(jù)安全服務。

數(shù)據(jù)安全服務：對現(xiàn)有業(yè)務系統(tǒng)提供數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)評估與分級、數(shù)據(jù)權(quán)限管理審批、敏感數(shù)據(jù)識別與脫敏、數(shù)據(jù)風險監(jiān)控預警等數(shù)據(jù)安全服務，以保障數(shù)據(jù)的安全性。

3.安全大數(shù)據(jù)平臺設(shè)計架構(gòu)

安全大數(shù)據(jù)平臺由安全數(shù)據(jù)采集平臺，安全數(shù)據(jù)治理平臺、安全大數(shù)據(jù)基礎(chǔ)平臺、通用性示范網(wǎng)絡(luò)安全算法平臺、威脅情報平臺組成。其中，安全數(shù)據(jù)采集平臺對接流量探針數(shù)據(jù)、主機探針數(shù)據(jù)、設(shè)備日志、系統(tǒng)日志和威脅情報數(shù)據(jù)，將各類數(shù)據(jù)進行范式化處理后建立大數(shù)據(jù)安全數(shù)倉，同時，平臺接入市大數(shù)據(jù)中心用戶中心系統(tǒng)，進行統(tǒng)一用戶管理，并將運維數(shù)據(jù)對接到運維保障平臺。

四.大數(shù)據(jù)中心安全建設(shè)內(nèi)容

1.邊界安全防護建設(shè)

根據(jù)大數(shù)據(jù)中心業(yè)務域業(yè)務架構(gòu)設(shè)計，需外接各類網(wǎng)絡(luò)邊界進行分別防護。

外網(wǎng)邊界需部署下一代防火墻實現(xiàn)邊界隔離和入侵防范，保護大數(shù)據(jù)中心業(yè)務域的網(wǎng)絡(luò)安全。入侵防護系統(tǒng)對從互聯(lián)網(wǎng)和電子政務外網(wǎng)進入大數(shù)據(jù)中心業(yè)務域的訪問流量進行網(wǎng)絡(luò)入侵攻擊、蠕蟲木馬傳播、后門木馬控制等惡意行為的檢測和防護。

網(wǎng)絡(luò)管理系統(tǒng)：網(wǎng)絡(luò)設(shè)備、核心服務器、安全設(shè)備的統(tǒng)一狀態(tài)監(jiān)控、故障告警。

2.云安全建設(shè)

大數(shù)據(jù)中心核心數(shù)據(jù)域部署需具有網(wǎng)絡(luò)層、主機層、云平臺安全防護體系實現(xiàn)安全防護和管理能力;同時，通過云平臺物理資源隔離、VPC控制、VLAN劃分、網(wǎng)絡(luò)層訪問控制等技術(shù)手段。

大數(shù)據(jù)中心業(yè)務域是大數(shù)據(jù)中心對外業(yè)務開展的核心網(wǎng)絡(luò)，采用全雙鏈路冗余結(jié)構(gòu)搭建骨干網(wǎng)絡(luò)，保證網(wǎng)絡(luò)的高效穩(wěn)定。網(wǎng)絡(luò)內(nèi)部根據(jù)業(yè)務功能不同劃分為骨干鏈路區(qū)、辦公接入?yún)^(qū)、業(yè)務域公共服務區(qū)、業(yè)務域互聯(lián)網(wǎng)服務區(qū)、安全管理區(qū)五大部分。

3.數(shù)據(jù)安全建設(shè)

為保障各部門應用數(shù)據(jù)安全，將依據(jù)國家政策法規(guī)，采用先進的數(shù)據(jù)安全技術(shù)，進行建設(shè)，實現(xiàn)數(shù)據(jù)安全全生命周期防護。

建設(shè)主要包括五部分，數(shù)據(jù)基礎(chǔ)安全加固、敏感數(shù)據(jù)安全資產(chǎn)管理平臺建設(shè)、數(shù)據(jù)安全風控平臺建設(shè)、數(shù)據(jù)安全堡壘建設(shè)、數(shù)據(jù)安全監(jiān)管及運營體系建設(shè)和數(shù)據(jù)安全服務。

數(shù)據(jù)安全服務：對市現(xiàn)有業(yè)務系統(tǒng)提供數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)評估與分級、數(shù)據(jù)權(quán)限管理審批、敏感數(shù)據(jù)識別發(fā)現(xiàn)、數(shù)據(jù)風險監(jiān)控預警等數(shù)據(jù)安全服務，以保障數(shù)據(jù)的安全性。

4.安全大數(shù)據(jù)平臺建設(shè)

主要建設(shè)內(nèi)容包括：安全大數(shù)據(jù)基礎(chǔ)平臺、安全數(shù)據(jù)采集平臺、安全數(shù)據(jù)治理平臺、通用性示范網(wǎng)絡(luò)安全算法平臺、威脅情報平臺、安全數(shù)據(jù)治理服務、數(shù)據(jù)標準規(guī)范服務、大數(shù)據(jù)中心網(wǎng)絡(luò)安全威脅感知整體設(shè)計方案等內(nèi)容。

安全數(shù)據(jù)挖掘人員和安全數(shù)據(jù)開發(fā)人員通過調(diào)動標準的數(shù)據(jù)接口，將數(shù)據(jù)調(diào)入到自己大數(shù)據(jù)工作空間，在經(jīng)過算法分析處理后，可以將分析結(jié)果數(shù)據(jù)導出到指定的外部系統(tǒng)的數(shù)據(jù)庫進行展示。