◆丁昊天 張晨飛

(中機(jī)新時(shí)代有限公司 北京 100089)

基于大數(shù)據(jù)平臺(tái)的云安全建設(shè)

◆丁昊天 張晨飛

(中機(jī)新時(shí)代有限公司 北京 100089)

目前大數(shù)據(jù)在世界范圍內(nèi)得到迅速的發(fā)展，但是也在發(fā)展中遇到許多的挑戰(zhàn)，為此，構(gòu)建一整套的大數(shù)據(jù)平臺(tái)的云安全體系是非常有必要的。本文主要闡述了大數(shù)據(jù)平臺(tái)面對(duì)的問(wèn)題，系統(tǒng)的提出了云安全體系建設(shè)的主要方案，旨在通過(guò)完善云安全體系，提高各個(gè)單位在云上的運(yùn)行安全性。

大數(shù)據(jù)；云安全體系；建設(shè)措施

0 引言

隨著云服務(wù)和云計(jì)算的發(fā)展，其在發(fā)展過(guò)程中面臨的一個(gè)重要的挑戰(zhàn)就是云安全，其中，云安全在技術(shù)和管理方面出現(xiàn)了很多問(wèn)題。在云計(jì)算的發(fā)展環(huán)境下，資源共享、多元化的服務(wù)類型以及用戶數(shù)量的大量增長(zhǎng)等導(dǎo)致多個(gè)方面都出現(xiàn)了一定的問(wèn)題。最近幾年來(lái)，像谷歌、亞馬遜等云計(jì)算領(lǐng)先的服務(wù)商都出現(xiàn)了重大的云服務(wù)安全事故，造成大范圍的服務(wù)中斷。所以說(shuō)，云計(jì)算面對(duì)的一個(gè)重要問(wèn)題就是其安全性，加強(qiáng)云安全建設(shè)勢(shì)在必行。

1 大數(shù)據(jù)安全面臨的風(fēng)險(xiǎn)

大數(shù)據(jù)安全勢(shì)必是一場(chǎng)斗爭(zhēng)，在大數(shù)據(jù)領(lǐng)導(dǎo)的時(shí)代，以電商社交為代表的互聯(lián)網(wǎng)、以微博微信為代表的移動(dòng)互聯(lián)網(wǎng)、以傳感器為代表的物聯(lián)網(wǎng)、以及金融電信等各行各業(yè)都在產(chǎn)生著大量的數(shù)據(jù)，已經(jīng)開始作為一種生產(chǎn)要素發(fā)揮著極其重要的作用，成為競(jìng)爭(zhēng)的有力因素。大數(shù)據(jù)雖然包含著比較多的信息量，但是在發(fā)展過(guò)程中也因此會(huì)產(chǎn)生較多的風(fēng)險(xiǎn)挑戰(zhàn)。

在大數(shù)據(jù)環(huán)境下產(chǎn)生了應(yīng)用防護(hù)風(fēng)險(xiǎn)，資源被泛濫使用和惡用，拒絕服務(wù)攻擊，WEB安全等。虛擬環(huán)境產(chǎn)生安全風(fēng)險(xiǎn)。在引進(jìn)新的虛擬技術(shù)過(guò)程中，大數(shù)據(jù)系統(tǒng)就增加了新的安全風(fēng)險(xiǎn)，比如說(shuō)，在一個(gè)管理程序中運(yùn)行多個(gè)虛擬機(jī)，那么虛擬數(shù)據(jù)中心攻擊的最主要目標(biāo)就是這個(gè)管理程序，因?yàn)橐坏┕テ七@個(gè)管理程序就可以訪問(wèn)許多個(gè)數(shù)據(jù)中心的虛擬系統(tǒng)。

2 基于大數(shù)據(jù)平臺(tái)云安全建設(shè)方案

2.1 云平臺(tái)安全

云平臺(tái)本身的技術(shù)種類繁多，復(fù)雜多樣，還不夠成熟。開發(fā)單位在集數(shù)據(jù)庫(kù)、消息隊(duì)列等多個(gè)功能的云平臺(tái)上，通過(guò)其提供的語(yǔ)言和工具進(jìn)行開發(fā)，接口安全和運(yùn)行安全是云平臺(tái)安全的兩個(gè)重要部分。

云平臺(tái)接口安全。云平臺(tái)在開放接口之后面臨的最大的威脅就是通過(guò)利用該接口攻擊內(nèi)部外部以及濫用云服務(wù)。在建設(shè)云安全體系中，應(yīng)該加強(qiáng)訪問(wèn)控制，比如說(shuō)，實(shí)行強(qiáng)用戶認(rèn)證、保障有效的加密等措施。

云安全運(yùn)行安全。云平臺(tái)開放后面臨的又一個(gè)問(wèn)題就是搭載于云平臺(tái)上的用戶 IT系統(tǒng)，需要通過(guò)加強(qiáng)安全審核和監(jiān)控用戶應(yīng)用的力度，同時(shí)加強(qiáng)不同用戶的系統(tǒng)隔離。使用安全組防火墻提供三層隔離，在同一組的不同服務(wù)器可以互相訪問(wèn)，不同安全組的服務(wù)器則無(wú)法做到這一點(diǎn)。

2.2 服務(wù)器安全

整合服務(wù)器，之所以進(jìn)行服務(wù)器整合，是因?yàn)榭梢酝ㄟ^(guò)整合把部分業(yè)務(wù)轉(zhuǎn)移到虛擬平臺(tái)再進(jìn)行運(yùn)行，這樣不僅能夠節(jié)約系統(tǒng)資源，而且方便管理容易更新。

對(duì)于不同業(yè)務(wù)的系統(tǒng)區(qū)域要進(jìn)行合理的配置，同一臺(tái)服務(wù)器上最好不要部署不同級(jí)別的業(yè)務(wù)設(shè)計(jì)。

合理劃分安全區(qū)域，在劃分過(guò)程中，及時(shí)滿足公網(wǎng)訪問(wèn)和運(yùn)行維護(hù)管理的需求。

要充分保證業(yè)務(wù)之間的隔閡，在服務(wù)器整合之后，重新評(píng)估公共防火墻的性能，如果現(xiàn)有的設(shè)備數(shù)量無(wú)法滿足所需時(shí)，要增加新的防火墻設(shè)備。

加強(qiáng)對(duì)虛擬化平臺(tái)的防護(hù)，保護(hù)虛擬化平臺(tái)，可以通過(guò)啟用現(xiàn)有的安全選項(xiàng)加固系統(tǒng)。

加強(qiáng)云計(jì)算的備份與恢復(fù)能力。

2.3 數(shù)據(jù)安全

根據(jù)云計(jì)算的自身特點(diǎn)和數(shù)據(jù)生命周期，構(gòu)建云端數(shù)據(jù)安全體系。

數(shù)據(jù)訪問(wèn)。用戶通常都是需要通過(guò)控制臺(tái)日常操作才能訪問(wèn)云資源，把用戶和云產(chǎn)品的對(duì)應(yīng)關(guān)系運(yùn)用對(duì)稱加密的形式來(lái)鑒別身份。運(yùn)行維護(hù)管理人員在對(duì)大數(shù)據(jù)中心和云計(jì)算進(jìn)行操作時(shí)都需要雙重鑒定來(lái)實(shí)現(xiàn)認(rèn)證，即靜態(tài)密碼結(jié)合動(dòng)態(tài)令牌。操作時(shí)需要的權(quán)限需要多個(gè)層面的審批和固化規(guī)則，當(dāng)出現(xiàn)違規(guī)操作時(shí)就會(huì)自動(dòng)報(bào)警。

數(shù)據(jù)傳輸。用戶的個(gè)人賬戶產(chǎn)生的數(shù)據(jù)和云端生產(chǎn)產(chǎn)生的數(shù)據(jù)是兩種不同的數(shù)據(jù)對(duì)象，在進(jìn)行傳輸控制時(shí)需要從客戶端到云端，云端再到服務(wù)間，云服務(wù)到云服務(wù)控制這三個(gè)層次的控制系統(tǒng)來(lái)完成。需要注意的是個(gè)人數(shù)據(jù)在從客戶端到云端傳輸時(shí)一律都要使用SSL進(jìn)行加密，后面的兩者都是使用程序進(jìn)行加密來(lái)確保個(gè)人數(shù)據(jù)不落地。

數(shù)據(jù)存儲(chǔ)。在保存云端生產(chǎn)數(shù)據(jù)過(guò)程中，不管使用的是哪一種云服務(wù)器，都要將數(shù)據(jù)采用碎片分布式離散技術(shù)進(jìn)行粉碎，就是說(shuō)數(shù)據(jù)被切割成許多片段通過(guò)隨機(jī)分散保存在不同的機(jī)架，而且每一個(gè)片段都會(huì)有多個(gè)副本進(jìn)行保存。根據(jù)每一個(gè)用戶ID的不同云服務(wù)系統(tǒng)將其云端數(shù)據(jù)進(jìn)行隔離，客戶的云存儲(chǔ)空間訪問(wèn)權(quán)限是由其對(duì)稱加密所控制的，確保云端數(shù)據(jù)的訪問(wèn)權(quán)限最小化。

數(shù)據(jù)銷毀。在客戶要求刪除存儲(chǔ)數(shù)據(jù)或者是使用的設(shè)備被售出拋棄時(shí)，都要運(yùn)用內(nèi)存釋放和清空數(shù)據(jù)來(lái)徹底刪除所有的數(shù)據(jù)。在云計(jì)算環(huán)境下，許多硬盤在外進(jìn)行維修或者是服務(wù)器報(bào)廢時(shí)都會(huì)導(dǎo)致數(shù)據(jù)失竊，大數(shù)據(jù)中心必須遵循標(biāo)準(zhǔn)流程：磁盤更換時(shí)換下來(lái)的磁盤每盤都保證消磁，每一個(gè)磁盤的消磁記錄都能夠被查到，消磁的視頻做到每天可溯。不斷加大磁盤消磁工作的視頻監(jiān)控力度，完善相應(yīng)的策略，在監(jiān)控過(guò)程中確保操作防抵賴性和監(jiān)控視頻的保存完整性。

2.4 虛擬桌面云安全

虛擬桌面的主要作用就是實(shí)行集中管理和維護(hù)，把用戶的電腦環(huán)境轉(zhuǎn)移到虛擬的主機(jī)環(huán)境，在這個(gè)環(huán)境下進(jìn)行管理維護(hù)工作。一臺(tái)瘦終端、鼠標(biāo)、鍵盤等簡(jiǎn)單的設(shè)備就可以組成終端進(jìn)行操作，極大的降低了運(yùn)行成本，還提高了管理維護(hù)的工作效率，企業(yè)內(nèi)部的坐席業(yè)務(wù)和辦公網(wǎng)絡(luò)等都廣泛使用虛擬桌面。

終端安全。虛擬桌面擁有多樣化形態(tài)的接入終端，既可以通過(guò)筆記本、臺(tái)式電腦也可以通過(guò)各種智能終端或者是瘦終端進(jìn)行接入，終端必須具有較高的安全性能。在虛擬桌面的終端中，需要多加關(guān)注病毒的查殺或者是制定黑白名單體制，像瘦終端這樣的專用終端，可以通過(guò)黑白名單體制來(lái)允許操作者僅僅可以運(yùn)行特定的流程。

接入安全。虛擬桌面可以通過(guò)有線接入、無(wú)線接入等多種形式進(jìn)行接入，在保證終端安全的情況下需要多加關(guān)注傳輸數(shù)據(jù)時(shí)的安全。如果必須需要外部網(wǎng)絡(luò)進(jìn)行接入時(shí)，需要配置 VPN網(wǎng)關(guān)等必要性程序，只有通過(guò)這項(xiàng)程序才可以連接內(nèi)部辦公環(huán)境。

防病毒?？梢园惭b一般的桌面防病毒軟件來(lái)完成虛擬桌面的防病毒工作，但是值得注重的是一般的防病毒軟件也許會(huì)有掃描風(fēng)暴或者是更新病毒庫(kù)風(fēng)暴等問(wèn)題。所以可以采用專門的虛擬桌面防病毒系統(tǒng)。這樣的專門針對(duì)虛擬桌面設(shè)計(jì)的防病毒系統(tǒng)不僅減輕了虛擬桌面自身負(fù)擔(dān)，實(shí)行任務(wù)調(diào)節(jié)，而且還能避免大量的病毒掃描此類操作共同進(jìn)行，有效的減輕了系統(tǒng)的負(fù)載。

2.5 其他安全

大數(shù)據(jù)安全還要確保設(shè)備及其相關(guān)環(huán)境的安全，關(guān)鍵是要完善大數(shù)據(jù)平臺(tái)的管理制度。加強(qiáng)建設(shè)的規(guī)范性，制定嚴(yán)格的管理制度，通過(guò)制度來(lái)保障大數(shù)據(jù)平臺(tái)相關(guān)設(shè)備的安全。首先要嚴(yán)格管理門禁，對(duì)大數(shù)據(jù)設(shè)備所在環(huán)境的進(jìn)出制定嚴(yán)格的時(shí)間標(biāo)準(zhǔn)，非標(biāo)準(zhǔn)的時(shí)間一律按照相關(guān)制度來(lái)進(jìn)行管理。其次，制定備用物資的存放和使用標(biāo)準(zhǔn)，嚴(yán)格進(jìn)行該場(chǎng)地的實(shí)時(shí)監(jiān)控。最后要不斷完善供電消防等基本保障制度。加強(qiáng)賬號(hào)異常登錄檢測(cè)，在以往的服務(wù)器異常登錄情況中，絕大多數(shù)的情況是受到了入侵或者是攻擊。根據(jù)日常登錄情況，對(duì)經(jīng)常登錄的區(qū)域進(jìn)行識(shí)別，需要精確到該區(qū)域所在的具體的地市級(jí)，防止出現(xiàn)不必要的損失?？焖賿呙柙品?wù)器的端口，可以結(jié)合以指紋識(shí)別為代表的生物識(shí)別技術(shù)來(lái)判斷開放端口正在運(yùn)行的軟件甚至是版本，如果發(fā)現(xiàn)沒(méi)有經(jīng)過(guò)允許的開放端口，要在第一時(shí)間內(nèi)提醒用戶關(guān)閉該開放端口，以防止系統(tǒng)被病毒或者黑客入侵。

3 總結(jié)

伴隨著大數(shù)據(jù)和云計(jì)算的廣泛應(yīng)用，我們需要及時(shí)發(fā)現(xiàn)當(dāng)中的問(wèn)題，及時(shí)找出解決措施進(jìn)行處理并且完善。本文基于大數(shù)據(jù)這個(gè)平臺(tái)，通過(guò)5個(gè)層面的設(shè)計(jì)構(gòu)建了云安全的防護(hù)體系，這個(gè)體系可以強(qiáng)有力的保證云服務(wù)和云計(jì)算的運(yùn)行安全性，用戶可以利用大數(shù)據(jù)和云安全防護(hù)體系不斷創(chuàng)新工作，促進(jìn)社會(huì)的發(fā)展。

[1]羅仟松.基于虛擬數(shù)據(jù)中心的云安全策略研究與設(shè)計(jì)[D].山東大學(xué)，2013.

[2]白秀杰，李汝鑫，劉新春，邵宗有.云安全防護(hù)體系架構(gòu)研究[J].信息安全與技術(shù)，2013.

[3]胡祥義，馬占國(guó)，劉宇.一種云安全架構(gòu)的解決方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011.

[4]曹瑞，劉新龍.云安全解決方案[J].中國(guó)鐵路，2017.