大數(shù)據(jù)的基礎(chǔ)安全保障論文

1/1大數(shù)據(jù)的基礎(chǔ)安全保障論文大數(shù)據(jù)的基礎(chǔ)安全保障論文

目前，浙江省人力社保信息系統(tǒng)業(yè)務(wù)應(yīng)用和數(shù)據(jù)存儲(chǔ)正從分散部署逐步走向大集中，省級(jí)數(shù)據(jù)中心作為浙江省人力社保數(shù)據(jù)存儲(chǔ)、網(wǎng)絡(luò)傳輸和數(shù)據(jù)計(jì)算的中心，基礎(chǔ)網(wǎng)絡(luò)及安全建設(shè)，是提升網(wǎng)絡(luò)性能和可靠性，確保網(wǎng)絡(luò)信息安全的保障，對(duì)于數(shù)據(jù)中心充分利用設(shè)備資源，促進(jìn)信息系統(tǒng)有效整合，信息資源共享共用也至關(guān)重要。

數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì)

網(wǎng)絡(luò)是連接數(shù)據(jù)中心所有資源的唯一通用實(shí)體，構(gòu)建堅(jiān)實(shí)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施將為數(shù)據(jù)中心業(yè)務(wù)運(yùn)行、管理與運(yùn)維提供保障。浙江省人力社保數(shù)據(jù)中心采用同城雙數(shù)據(jù)中心架構(gòu)，之間配置4臺(tái)CWDM設(shè)備，用裸光纖通過CWDM鏈路復(fù)用技術(shù)實(shí)現(xiàn)IP網(wǎng)絡(luò)和SAN網(wǎng)絡(luò)的互聯(lián)互通。每一對(duì)裸光纖復(fù)用出4路1GB鏈路用于IP網(wǎng)絡(luò)連接，4路2GB鏈路用于SAN網(wǎng)絡(luò)連接，并將兩對(duì)裸光纖復(fù)用的光纖通道進(jìn)行捆綁，以提高互聯(lián)鏈路可靠性。數(shù)據(jù)中心按照分區(qū)、分層、分級(jí)、高可用的建設(shè)原則，用于提升系統(tǒng)平臺(tái)和業(yè)務(wù)數(shù)據(jù)集中運(yùn)營的抗風(fēng)險(xiǎn)能力。

分區(qū)建設(shè)：

良好的邏輯分區(qū)設(shè)計(jì)與安全域劃分是數(shù)據(jù)中心網(wǎng)絡(luò)的必備基礎(chǔ)，根據(jù)業(yè)務(wù)系統(tǒng)的相關(guān)性、數(shù)據(jù)流的訪問要求和系統(tǒng)安全控制的要求等，把數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)分成內(nèi)網(wǎng)區(qū)、外聯(lián)區(qū)和互聯(lián)網(wǎng)區(qū)，每個(gè)區(qū)有自己的核心交換、服務(wù)器、安全邊界設(shè)備等，之間做好嚴(yán)格地逐級(jí)訪問控制。

分層建設(shè)：

建立核心、匯聚、接人三層網(wǎng)絡(luò)，形成完整的網(wǎng)絡(luò)架構(gòu)體系，為以后數(shù)據(jù)中心資源“池化”打好堅(jiān)實(shí)的網(wǎng)絡(luò)基礎(chǔ);兩個(gè)數(shù)據(jù)中心各部署兩臺(tái)高性能的H3C12508交換機(jī)構(gòu)建網(wǎng)絡(luò)核心層，實(shí)現(xiàn)各功能區(qū)域間的高速數(shù)據(jù)交換能力和突發(fā)流量適應(yīng)能力;每一中心采用4臺(tái)H3C7506E交換機(jī)作為匯聚層，采用虛擬化技術(shù)以及跨設(shè)備的鏈路聚合技術(shù)，在保障冗余性的同時(shí)合理規(guī)避環(huán)路可能帶來的影響，提供大密度GE/10GE端口實(shí)現(xiàn)與接入層互聯(lián)，并部署各類安全、應(yīng)用優(yōu)化業(yè)務(wù)，如在交換機(jī)上集成防火墻、負(fù)載均衡板卡等;接入層采用H3C5800系列，支持高密度千兆接入、萬兆接入，支持堆疊，有較好擴(kuò)展和上行雙鏈路冗余能力。

分級(jí)建設(shè)：

在網(wǎng)絡(luò)上實(shí)現(xiàn)三級(jí)的服務(wù)器應(yīng)用訪問架構(gòu)，Web層、應(yīng)用層和數(shù)據(jù)層之間通過交換網(wǎng)絡(luò)的互連，層層的安全保護(hù)，形成結(jié)構(gòu)清晰的易于部署的服務(wù)器接入架構(gòu)。

高可用性建設(shè)：

雙中心通過良好的整體規(guī)劃設(shè)計(jì)，實(shí)現(xiàn)匯聚層、接入層和服務(wù)器接入的高可用性。具體來說匯聚交換設(shè)備之間采用VRRP，而安全、應(yīng)用優(yōu)化設(shè)備之間的VRRP，則旁掛到匯聚交換機(jī)上，盡量消除性能瓶頸。接入到匯聚層采用三角型接法，VLAN跨匯聚層交換機(jī)，鏈路冗余，故障收斂時(shí)間短，并采用IRF技術(shù)，實(shí)現(xiàn)分布式設(shè)備管理、分布式路由和跨設(shè)備鏈路聚合。服務(wù)器用兩塊甚至多網(wǎng)卡捆綁，采用多鏈路上行接入。另外，在設(shè)備及鏈路層面建設(shè)時(shí)考慮了以下因素：硬件設(shè)備冗余;物理鏈路冗余;二層路徑冗余;三層路徑冗余;快速故障檢測技術(shù);不間斷轉(zhuǎn)發(fā)技術(shù)。

數(shù)據(jù)中心網(wǎng)絡(luò)安全體系設(shè)計(jì)

浙江省人力社保數(shù)據(jù)中心承載著浙江省人力社保核心業(yè)務(wù)系統(tǒng)和數(shù)據(jù)，同時(shí)與地稅、公安、銀行、醫(yī)院等部門有業(yè)務(wù)交互和數(shù)據(jù)交換，因此數(shù)據(jù)中心的網(wǎng)絡(luò)安全必須與業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)融合，并且能夠平滑的部署在網(wǎng)絡(luò)中。浙江省人力社保數(shù)據(jù)中心的網(wǎng)絡(luò)安全建設(shè)中的主要思想之一就是層次化的分級(jí)安全，把安全分成多個(gè)等級(jí)，劃分不同的安全域，這與數(shù)據(jù)中心對(duì)安全的內(nèi)在要求是相輔相成的。

數(shù)據(jù)中心在內(nèi)網(wǎng)、外網(wǎng)、外聯(lián)網(wǎng)等網(wǎng)絡(luò)邊界部署防火墻，用于對(duì)服務(wù)器訪問的端口安全控制;在各個(gè)網(wǎng)絡(luò)區(qū)域的訪問接入處分別部署入侵防御系統(tǒng)，用來防御來自應(yīng)用層的`攻擊，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)性能的全面保護(hù);通過網(wǎng)閘確保內(nèi)網(wǎng)與外網(wǎng)網(wǎng)絡(luò)隔離，同時(shí)實(shí)現(xiàn)數(shù)據(jù)的安全交換;在內(nèi)、外網(wǎng)分別部署網(wǎng)絡(luò)防病毒系統(tǒng)，保護(hù)全網(wǎng)的服務(wù)器和用戶終端;制定一系列的安全管理策略，包括訪問控制策略、攻擊抵御策略、滲透抵御策略、病毒控制策略、流量控制策略、風(fēng)險(xiǎn)管理策略、補(bǔ)丁管理策略等等。

具體來說，就是按照業(yè)務(wù)類型分為不同的邏輯區(qū)域，每個(gè)分區(qū)制定不同的安全策略和信任模型。從實(shí)際部署來看，又分為：邊界訪問控制、深度智能防御和智能安全管理。

邊界控制是最基本的要求，用于控制各類用戶對(duì)數(shù)據(jù)中心的訪問。為此，在匯聚交換機(jī)上部署H3CSecBladeII萬兆防火墻實(shí)現(xiàn)多業(yè)務(wù)集成，數(shù)據(jù)交互通過背板直接進(jìn)行，具有高性能和高可靠的雙重優(yōu)勢，避免交換機(jī)在線部署的性能瓶頸和單點(diǎn)故障;與防火墻旁掛部署方式相比，又具有配置策略簡單、不改變數(shù)據(jù)轉(zhuǎn)發(fā)路徑、流量轉(zhuǎn)發(fā)過程清晰、部署維護(hù)簡單等渚多優(yōu)點(diǎn)。

深度智能防御中，針對(duì)數(shù)據(jù)中心的各類DDoS攻擊、木馬、病毒入侵層出不窮，IPS部署在網(wǎng)絡(luò)的關(guān)鍵路徑上，通過對(duì)流經(jīng)該關(guān)鍵路徑上的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行2到7層的深度分析，能精確、實(shí)時(shí)地識(shí)別并阻斷或限制蠕蟲、病毒、木馬、DoS/DDoS、掃描、間諜軟件、協(xié)議異常、網(wǎng)絡(luò)釣魚、P2P、IM、網(wǎng)游等網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)濫用，從而可為客戶網(wǎng)絡(luò)提供三大保護(hù)功能：保護(hù)網(wǎng)絡(luò)應(yīng)用、保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、保護(hù)網(wǎng)絡(luò)性能。

在智能安全管理領(lǐng)域，部署H3CSecCenter管理主流廠家的安全與網(wǎng)絡(luò)產(chǎn)品、流量與攻擊的實(shí)時(shí)監(jiān)控、海量事件關(guān)聯(lián)和威脅分析、安全審計(jì)分析與追蹤溯源。數(shù)據(jù)中心除了大量的網(wǎng)絡(luò)設(shè)備在運(yùn)行外，更多是各類服務(wù)器、操作系統(tǒng)之間的業(yè)務(wù)交互，海量的告警、監(jiān)控、SNMP、WMI等消息不斷的在網(wǎng)絡(luò)中傳播，必須要對(duì)這些安全事件、網(wǎng)絡(luò)事件、系統(tǒng)事件、應(yīng)用事件進(jìn)行統(tǒng)一的收集和管理，并通過智能化的分析把原始數(shù)據(jù)轉(zhuǎn)換、篩選為智能安全的有效信息。

數(shù)據(jù)中心網(wǎng)絡(luò)智能及虛擬化

配置F5、H3CSecBladeLB等網(wǎng)絡(luò)鏈路和應(yīng)用負(fù)載均衡設(shè)備，解決服務(wù)器任務(wù)調(diào)度和資源占用不均衡的狀況，提高業(yè)務(wù)系統(tǒng)的整體性能。通過對(duì)各種應(yīng)用進(jìn)行識(shí)別和區(qū)分，并對(duì)服務(wù)器、防火墻進(jìn)行健康檢測和性能檢測，采用自適應(yīng)智能算法將各種網(wǎng)絡(luò)及應(yīng)用訪問請(qǐng)求均衡分發(fā)至不同設(shè)備上，極大地提高了應(yīng)用訪問速度。另外，隨著業(yè)務(wù)的持續(xù)發(fā)展、系統(tǒng)的更新升級(jí)、設(shè)備的不斷增多，數(shù)據(jù)中心面臨著資源分配與業(yè)務(wù)發(fā)展無法完美匹配的難題。在數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)及安全建設(shè)中，采用虛擬化技術(shù)，將不同的業(yè)務(wù)隔離開來，彼此不能互訪，從而保證業(yè)務(wù)的安全需求，也可將不同業(yè)務(wù)的資源隔離開來，從而保證業(yè)務(wù)對(duì)于數(shù)據(jù)中心資源的需求。具體來說，核心、匯聚交換機(jī)可采用虛擬化以及跨設(shè)備的鏈路聚合技術(shù)，防火墻可采用虛擬化功能集成或旁掛在匯聚交換機(jī)上，配合網(wǎng)絡(luò)虛擬化完成數(shù)據(jù)中心資源的虛擬化等。

總結(jié)起來，浙江省人力社保數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)建設(shè)具有以下特點(diǎn)：雙中心三層網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)各功能區(qū)域間的高速數(shù)據(jù)轉(zhuǎn)發(fā);故障收斂時(shí)間短，系統(tǒng)運(yùn)行可靠，業(yè)務(wù)持續(xù)性強(qiáng);各區(qū)域問安全關(guān)系明確，各自安全