大数据和云计算环境下网络安全分析与解决方案研究

关键词：大数据；云计算；网络安全；数据中心；解决方案

0　引　言

1　当前网络安全现状和面临威胁

1.1　网络安全现状

1.2　网络安全面临威胁

1.2.1　自然灾害

1.2.2　病毒攻击

1.2.3　黑客入侵

1.2.4　安全漏洞

1.3　网络安全面临威胁应对策略

2数据中心网络安全解决方案

2.1　数据中心网络安全防护基本思路

2.2　数据中心网络安全防护策略

2.3　数据中心网络安全部署

2.3.1　总体网络安全物理架构设计

2.3.1.2　数据中心互联区安全防护设计

2.3.1.1　数据中心核心区架构设计

2.3.1.3　数据中心生产业务区安全防护设计

2.3.1.4　数据中心互联网服务区安全防护设计

2.3.1.5　数据中心办公网接入区安全防护设计

2.3.1.6　数据中心运维管理区安全防护设计

当前，新一代信息技术的高速发展已将社会推入了“大云智物”（大数据、云计算、人工智能、物联网）时代。大数据分析、数据挖掘、云平台、智能网联汽车、移动支付、人脸支付等高新技术正重塑全球经济竞争格局，改变着我们的生活方式。但随着这些技术的拓展应用， 信息泄密、病毒勒索、黑客攻击等网络安全问题也日显突出，严重威胁着个人安全甚至国家安全 [1-2]。如何保证大数据和云计算环境下的网络安全，成为亟需解决的问题。

1.1　网络安全现状

近年来，信息泄密、恶意病毒勒索、社会工程学攻击（电信诈骗）、互联网暴力等事件频发，全球网络攻防对抗的强度、频率、规模和影响力不断升级，攻击对象逐步从公共互联网向工业互联网转移，国家网络空间安全和利益面临更深层次挑战。国内多家企业遭受工业主机勒索病毒攻击，涉及汽车生产、智能制造、能源电力、烟草等行业几十余家企业，大多数都导致了工业主机蓝屏，文件加密，生产停工， 损失严重。中国政府和企业围绕网络安全需求， 正从健全制度机制、建设技术手段、促进产业发展、强化人才培育等诸多方面，构建网络安全综合防护体系 。

1.2　网络安全面临威胁

1.2.1　自然灾害

自然灾害引起的网络安全威胁发生概率相对较小。当发生自然灾害时，会造成网络设备的损坏、通讯线路中断、数据丢失等，对公民、企业、政府的财产安全造成威胁，产生损失。应对此种威胁，首先网络设备机房的选址应当避免事故多发地段，做好物理安全防护工作；其次还要做好数据资源的异地备份、定时定期备份等相关备份工作，当灾害发生后，仍能实现灾后重建工作。

1.2.2　病毒攻击

木马病毒、蠕虫病毒、宏病毒等病毒攻击造成的网络安全威胁较为常见。木马病毒是一种潜伏式病毒，它会篡改程序的部分内容，隐藏在程序、浏览器中，当启动程序后也会激活木马向后门 IP 主机发送窃取的信息，造成用户信息泄密，从而导致财产损失，但它不具有感染性；蠕虫病毒是一种能够自我繁殖的病毒， 它会将自己分割成几部分存储在不同的文件夹下，难以把它销毁清除，它通过破坏系统层面的代码来引发系统崩溃、宕机等；宏病毒是一种寄存在文档或模板宏中的计算机病毒，具有隐蔽性强、传播迅速、危害严重等特点。近年来， 很多病毒发生异变，综合了不同病毒的特点， 变得潜伏更深、能够自我繁殖、很难完全清除， 同样危害性也变得更大。

1.2.3　黑客入侵

病毒攻击属于被动攻击，而黑客入侵则是主动攻击。一些常见的攻击方式如下：不法分子利用互联网 TCP/IP 传输协议的漏洞，通过控制大量 IP 地址，向目标提出大量访问请求，而目标无法及时处理，造成系统延迟无法反馈， 产生拒绝服务攻击；通过远程控制或跳板控制计算机、其他设备等嗅探、窃听用户隐私或机密文件等，造成财产、隐私权等遭到侵犯，产生嗅探攻击；伪造重要门户网站如银行、企业、政府网站，窃取用户登录密码和验证码，迅速转账或入侵数据库，造成财产损失，产生钓鱼攻击；此外，还有跨站脚本攻击、社会工程学攻击、恶意程序等攻击手段。

1.2.4　安全漏洞

不法分子也常利用现阶段系统和程序遗留的安全漏洞，嵌入病毒进行攻击以牟取暴利。

现在主流的操作系统 Windows、Linuxs 中仍含有安全漏洞，如从 2018 年 8 月起流行的比特币勒索病毒就是利用 Windows 系统的漏洞进行病毒传播和实现攻击，通过漏洞对计算机进行攻破后加密，以存在其中的重要资料要挟勒索比特币，在国际国内都造成了巨大的影响和损失。

现在很多智能物联设备都是基于 Linuxs 系统编写的程序，一些安全团队已经实现了通过编写模型欺骗智能汽车的驾驶系统，使得智能汽车在导航地图上“隐身”或者篡改接受到的红绿灯等指示信息、加减速等关键操作信息， 造成安全隐患。

1.3网络安全面临威胁应对策略

当前应对网络安全威胁有两种常见技术[6-7：] 访问控制和身份认证。将存储信息的地方比作一间间房子，访问控制就是在这一间间房子门上加一把锁，确保有权限访问的人才能进入房间访问，即只有拥有对应权限才能进行相应访问，这就是访问控制技术，主要有强制访问控制、基于角色的访问控制、自主访问控制等访问控制策略；身份认证技术则是确保进入房间的人是正确的人，主要认证技术包括：（1）基于信息密码的身份认证，如静态密码、口令认证等；（2）基于信任物体的身份认证，如 ID 卡、智能一卡通等；（3）基于生物特征的身份认证， 如人脸识别、指纹认证、虹膜识别等。

在大数据和云计算环境中，数据中心是枢纽和核心，承担着数据搜集、汇聚、存储、处理、展示、交易等职责，既面临来自互联网的外部威胁，又与工业生产等内部安全问题相互交织， 属于融合发展网络安全新威胁。其安全问题可概括为三个层次：

一是安全问题爆发造成工业企业内部功能或服务中断、信息泄露等，进而衍生安全生产事故等重大安全问题；

二是如果数据泄露等安全事件在航空航天、石油化工、能源军工等重要领域爆发，会严重影响国家关键信息基础设施的运行安全；

三是以上两个层次安全问题交织演进，会严重影响企业的安全生产和安全运营，多行业、多领域安全问题爆发进而会干扰国民经济的运行，影响国计民生和公共利益，危害国家安全 。

2.1　数据中心网络安全防护基本思路

根据国家标准要求，数据中心安全技术体系架构应包含物理、网络、系统、应用和数据等层面，如图 1 所示。

图 1 数据中心安全技术体系架构

从网络层面来看，需要进行分域防护、边界防护、访问控制、入侵防范、安全审计等， 同时随着新一代信息技术及未来业务的不断发展，应完成对其边界的安全防护设计。

根据数据中心业务系统的安全等级及所在的网络结构情况，将数据中心网络整体划分为六大安全域，分别是数据中心核心区、数据中心互联区、生产业务区、互联网服务区、办公网接入区和运维管理区。根据对上述安全区域划分情况，数据中心内部安全防护建设应制定边界访问控制、网络通信监控及集中安全管理策略，通过部署技术措施将策略加以落实，实现数据传输的可控、可审计。

2.2　数据中心网络安全防护策略

数据中心网络安全防护建设，依据核心业务系统的访问关系，考虑访问人员、应用、组件和数据库之间的数据流向，以制定安全防护策略，确定系统部署位置及安全等级，划分安全域，并部署访问控制、协议过滤、入侵检测、安全审计等安全防护措施：

（1）将不同安全保护级别的业务系统分别部署在相应等级安全区域内。

（2）在数据中心各区域间边界，采用访问控制措施实施区域边界保护，确保只允许指定业务应用和管理数据流通过。

（3）在数据中心核心区边界，部署入侵检测系统并制定适当的策略进行入侵行为监测。

（4）在数据中心业务系统区数据交互处， 部署安全审计设备，对非法或未授权的行为进行监控审计。

（5）在数据中心管理区，部署安全设备管理系统，对设备登录、设备运行状态、安全设备策略下发进行统一管理。

（6）按照各自区域的安全级别保护要求对部署在其中的主机、服务器、网络设备、信息系统、数据进行安全保护。

（7）对访问网络设备的用户进行身份认证， 确保只有授权的网络管理员可以进行配置管理。设置访问控制列表，限制网络设备的可访问人员。

（8）增加除口令以外的其他技术措施，采用数字证书等加强对管理员的身份认证，实现双因素认证。

（9）及时备份安全、网络设备的配置数据， 保证配置数据的安全。

2.3　数据中心网络安全部署

2.3.1　总体网络安全物理架构设计

数据中心安全技术防护体系从外到内构成纵深防御的体系，按照等级保护对网络防护的要求，数据中心内部安全防护建设，根据信息系统安全等级进行分区，制定分区数据互访安全防护策略，其总体网络安全物理架构如图 2 所示。

图 2 总体网络安全物理架构

数据中心核心区、数据中心互联区、生产业务区、互联网服务区、办公网接入区和运维管理区等六种不同业务接入区之间采取以下安全策略：

（1）根据 MAC 地址、IP 地址、端口、协议类型、访问时间等内容，对全网用户的访问请求和数据进行包过滤。根据防火墙规则，凡是没有明确允许的访问请求，全部禁止。

（2）各不同区域防火墙设备以网关方式部署，通过配置网络设备的策略路由，将访问请求发送到防火墙设备，由防火墙设备对跨域访问行为进行访问控制。

（3）对于经过防火墙外出的数据包，首先提取访问源和目的的安全标记，然后根据安全标记判断本次访问是否符合防火墙强制访问控制规则。如果不符合，丢弃数据包；如果符合， 则进行网络地址转换后发送。

（4）对于经过防火墙进入的数据包，首先提取访问源和目的的安全标记。对于远程接入用户，根据用户安全标记来判断是否符合接入控制规则。如果不符合，丢弃数据包；如果符合， 则按照源和目的安全标记的强制访问控制规则进行判断，如果匹配规则，判断是否需要进行网络地址转换，如果不需要，直接进行数据转发。

（5）在互联网区域通过流量镜像方式将进出网络的所有数据流量镜像到入侵检测设备。入侵检测设备配置数据分析与威胁检测规则， 对数据中可能包含的恶意扫描、漏洞溢出攻击、弱口令猜测、暴力破解攻击、拒绝服务攻击等恶意行为进行检测。发现攻击行为后，自动产生告警信息，记录攻击来源地址、攻击目的地址、网络协议、使用的源端口、受攻击的目的端口、攻击发起时间、攻击结束时间、攻击发生的次数、攻击类别、严重级别、利用的漏洞名称、问题解决建议等信息。

2.3.1.1　数据中心核心区架构设计

建设数据中心核心区的数据交换区域，为各区域访问数据提供横向及纵向的高速转发 , 图3 为数据中心核心数据交换图。

图 3 数据中心核心数据交换

数据中心核心区建设方案如下：

（1）通过部署两台高性能数据中心级高速转发交换机设备，提供整个数据中心企业五个区域的数据互访转发，实现整网数据的上通下达。

（2）在数据中心核心交换机上旁挂漏扫设备，作为数据中心内部主要安全扫描平台，负责针对多个子网内的各类型终端所采用的操作系统进行安全漏洞扫描和审计。

2.3.1.2　数据中心互联区安全防护设计

在数据中心互联区的广域网边界部署防火墙、流量控制等设备，制定安全策略，保障通过运营商 SDH 专线接入的分支机构对数据中心访问的安全性以及重点业务的带宽，同时实现分支机构接入和异地区域中心的互联。

图 4 数据中心互联区安全防护架构

数据中心互联区安全防护架构如图 4 所示， 具体安全防护方案为：

（1）通过边界路由设备对异地数据中心进行 SDH 专线链路连接，实现两地数据中心业务互访和数据备份。

（2）通过边界路由设备对国内其他城市分支机构进行 SDH 专线链路连接，实现分支机构访问内网需求。

（3）通过流量控制将带宽较小的 SDH 链路承载的数据进行可视化呈现，并进一步根据数据业务重要级别进行流量控制策略定制，保障重要数据稳定传输。

（4）防火墙以路由模式接入，串联部署至广域网边界与数据中心交换机之间，采用访问控制及协议过滤等技术手段，确保进出数据中心边界流量的安全。

（5）双机防火墙开通会话同步，避免异步流量导致业务中断的问题。

2.3.1.3　数据中心生产业务区安全防护设计

为了防止内网用户在使用网络资源时的不合规使用或恶意破坏等行为，同时对业务系统相互之间的访问能力加以限制，数据中心生产业务区具体安全防护方案为：

（1）防火墙设备提供全网用户及设备对生产业务区域访问防护。

（2）对各业务进行业务划分，区分不同业务。

（3）将各业务进行系统梳理，对各业务之间有访问需求的相关业务进行策略定制，限制互访。

（4）对各分公司进行访问策略划分，对无业务往来和数据访问的公司进行策略隔离。

2.3.1.4　数据中心互联网服务区安全防护设计

针对互联网边界接入区的威胁，采用的防护手段包括对外部攻击的访问控制、对授权用户的接入管理、实施入侵检测和恶意代码的防护，考虑网络安全威胁的发展趋势，数据中心所有业务模块使用专业设备，提供安全的、灵活的安全操作。

图 5 数据中心互联网服务区安全防护架

数据中心互联网服务区安全防护架构如图 5 所示，具体安全防护方案为：

（1）部署防 DDoS 设备对内网进行有效的DDoS 防护。

（2）通过负载均衡设备实现内网局域网用户访问互联网资源的分流和负载，避免因内网流量过大导致 DMZ 区域提供的外网服务不能访问。

（3）在负载均衡设备上旁路部署 IPS，用于检测来自互联网的攻击。IPS 既进行入侵检测， 又进行记录及告警，避免误阻断导致的业务访问中断。

（4）互联网外侧防火墙部署在外网门户区 ，按照安全等级，将园区网、DMZ 服务器区和互联网划分进不同的安全区域，控制不同安全区域之间的访问流量，保证园区和 DMZ 服务器区域的安全。

（5）防火墙 1 串行接入，双机热备部署， 增强抗攻击能力，对外网进行第一层隔离。

（6）在 DMZ 服务器区部署 WAF 防火墙， 串行在整个 DMZ 区域的主干链路上，对访问DMZ 区域中 WEB 应用服务器的流量进行监控和审计，用于针对园区内设置的网站服务器系统所面临的互联网安全威胁，防范来自互联网的网站 WEB 应用类攻击。

（7）由于网络威胁和入侵 90% 以上均来自互联网威胁，异构防火墙 2 串行接入，对外网进行第二层隔离，提高安全性，双机热备部署， 提升抗攻击能力强，同时将互联网 DMZ 与核心区隔离。

2.3.1.5　数据中心办公网接入区安全防护设计

由于用户主要分布在数据中心办公网接入区，该区域是整网中数据访问发起的最大源头， 同时也是内网中信息安全事件最高发的区域。进行合理的安全访问控制策略和安全审计部署能够有效的应对内网威胁和减轻核心区域的无效数据流量对网络资源的浪费。

图 6 数据中心办公网接入区安全防护架构

数据中心办公网接入区安全防护架构如图 6 所示，具体安全防护方案为：

（1）防火墙串行接入在办公区域出口，对用户权限进行按组合理划分，制定相应访问策略。

（2）结合现有 DLP 终端内容审计系统，对办公区用户进行内容审计，实现从终端发现信息安全事件并解决信息安全事件。

2.3.1.6　数据中心运维管理区安全防护设计

在安全管理技术建设方面，结合数据中心情况，通过部署集中安全管理设备，实现设备的集中管理、日志统一收集及安全审计，实现对部署设备的统一管理，并结合数据中心已部署的如日志管理系统、网络管理系统等对其收集的日志进行实时同步汇总分析。

图 7 数据中心运维管理区安全防护架构

数据中心运维管理区安全防护架构如图 7 所示，具体安全防护方案为：

（1）堡垒机访问策略仅允许相关管理人员进行访问和登录，其余人员和网段访问一律通过安全策略禁止。

（2）运维管理区部署堡垒机设备，实施统一账户管理策略，对所有服务器、网络设备、安全设备等账号进行集中管理，对账号进行全生命周期监控，并且，对设备进行审计巡检员、运维操作员、设备管理员等自定义特殊角色设置，以满足审计需求。

（3）堡垒机设备能够对字符串、图形、文件传输、数据库等全程操作行为审计，通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作， 对违规行为进行事中控制。对终端指令信息能够进行精确搜索，进行录像精确定位。

本研究对大数据和云计算环境下的网络安全现状、面临威胁和应对策略进行了分析，并提出了一种数据中心的网络安全解决方案。当今的网络环境日益复杂，网络安全所面临的挑战也日益严峻，各种网络安全威胁层出不穷。只有不断丰富和完善网络安全解决方案 , 构建网络安全综合防护体系，才能应对诸多挑战。