大数据和云计算环境下网络安全探究

2021-07-02李朝霞刘金春

通信电源技术 2021年5期

李朝霞，刘金春，温源

（联通数字科技有限公司，北京 100084）

1 大数据和云计算的内在联系和应用优势

1.1 内在联系

近些年来我国社会经济发展水平逐渐提升，在此背景下各种新兴技术层出不穷，并在各个领域都得到了广泛应用，其中大数据和云计算技术凭借自身更强的优势成为了新时代发展的重要技术。大数据本身有着较快的数据流转速度，同时还具有类型多样化以及数据量大的特点。灵活应用大数据技术以充分发挥其在数据收集处理方面的应用优势，切实提高数据收集处理的质量和效率。云计算主要是在互联网技术的基础上形成的新技术，其在应用过程中具有计算速度较快的特征，应用范围较为广阔。云计算与大数据之间存在着密不可分的联系，大数据的处理不仅需要使用单台计算机，还需要采用分布式架构针对海量数据分布挖掘，其实现过程需要以云存储、分布式数据库以及云计算分布处理等技术作为基础支撑。当前社会各界开始广泛关注大数据，并积极探索二者之间的联系，具体关系如图1所示。

图1 大数据和云计算的内在联系

1.2 应用优势

在实际应用过程中，大数据和云计算技术具有独特的特征和优势，其投入成本相对较少。传统数据中心的建设往往需要耗费大量人力和物力，成本较高，对于部分企业来说压力较大，在成本因素的制约下难以更好地建设本公司的数据中心。在大数据和云计算技术不断应用发展的过程中，两者可以有效保障企业各项数据的安全，降低建设成本，使企业能够在云计算服务的基础上租用其他服务，这不仅能够有效降低企业各项运营成本，还能简化管理步骤，推动企业未来的整体发展[1-3]。

随着大数据和云计算的迅速发展，计算机资源广泛分布于由大量计算机组成的资源池，用户可以综合考虑各方面影响因素，根据自身在资源方面的实际需求进行连接。此外，用户还可以基于数据云结合自身需求展开相应的计算工作，通过终端接入数据中心进行接入，从而实现对资源的合理利用。从资源的覆盖层面进行分析，云计算本身属于一个较大的资源池，其中涉及到海量的信息资源，可以切实保障资源共享的实效性。云计算能够对互联网的访问方式进行选择，客户则可以通过对计算机资源池中软硬件的应用提高自身的数据访问能力，并提升数据存储计算水平。云计算本身的应用优势还体现在数据按需服务以及数据虚拟化等方面，其核心在于应用虚拟技术，在应用底层架构的过程中达到抽象化的效果，同时为设备差异和兼容透明化提供强有力的支持，有助于促进后续底层数据统一化管理效率的提高[4-6]。

除此之外，大数据和云计算实际应用过程中具有较强的灵活性，能够为后续管理工作的高质量开展提供方便。大数据和云计算技术实质上属于一种虚拟技术，能够实现对全部数据资源的合理连接，可以充分发挥人工管理和数据软件操作的作用，帮助用户精准快速地找到需要的数据资源。在此过程中，操作人员可以突破时间或空间等因素的限制，对相应的资源进行自动化查询，查询时通过合理运用虚拟技术平台开展资源深度挖掘工作，进而提升其查询资源内容的精确性，提高查询效率。用户在实际展开操作的时候，需要事先建立客户终端账号，以便于此后的资源服务顺利进行。

2 大数据和云计算环境下基于数据中心的网络安全防护策略

2.1 基本思路

结合相关标准进行分析，架构数据中心安全技术体系时应当从网络层、系统层、数据层、物理层以及应用层等方面入手。

基于网络层面进行分析，可以将其划分成安全审计、边界防护、入侵防范、分域防护以及访问控制几部分。当前我国新一代信息技术和未来业务正处在飞速发展的过程中，在该背景下要高效开展对于数据中心网络边界的安全防护设计工作。根据数据中心业务系统本身所处的网络结构和安全等级进行划分，涉及到核心区、互联区、生产业务区、互联网服务区、办公网接入区以及运维管理区6大安全区。具体情况如图2所示。

图2 数据中心整体架构图

2.2 具体部署

2.2.1 核心区防护设计

核心区的防护设计重点在于高效建设数据交换区域，从而为各项数据的高速转发提供良好的支持。具体建设应当注重两方面的问题，一是技术人员可以在现有设备的基础上增设两台高性能设备，为后续数据中心整体各项数据之间的互访和转发奠定坚实的基础，尽可能提高整网数据流通的有效性；二是技术人员可以将相应的漏洞扫描设备增设在数据中心的核心交换机上，针对各个子网中涉及到的使用终端和操作系统展开全方位的安全漏洞扫描以及审计工作[7-10]。

2.2.2 互联区防护设计

技术人员在进行互联区具体防护方案设计的时候需要在灵活应用边界路由设备的基础上与异地数据中心展开相应的SDH专线连接，从而不断提升数据中心在数据备份和业务互访方面的实效性。而且技术人员需要合理应用边界路由设备，展开同其他城市分支机构之间的SDN专线连接，切实保证分支机构对于内网的访问需求相适应。此外，技术人员可以在相关流量控制设备的基础上提升那些具有带宽较小特点的SDH链路承载数据的可视化水平，综合考虑当前数据业务的实际级别，针对性地制定出与实际情况相符合的流量控制策略，从根本上确保各类重要数据的传输更加安全和稳定。在防护墙的接入方面可以采用路由模式，并将其在数据中心交换机与广域网边界之间进行串联部署，通过合理应用各种协议过滤和访问控制等技术切实提升各项数据中心边界流量进出的稳定性及安全性。

2.2.3 生产业务区防护设计

防火墙设备的应用能够在全网设备及相关用户访问生产业务区域的过程中发挥出较好的防护效果。立足现有的条件，开展对各项业务的划分工作，实现对于不同业务的有效区分。同时全面系统地对各业务展开相应的梳理工作，并针对那些存在访问需求的业务制定相应的策略，以起到限制互访的作用。此外，还需要详细划分各个分公司之间独有的访问策略，并针对那些不存在数据访问和业务往来的公司进行策略隔离。

2.2.4 互联网服务区防护设计

在互联网服务区的防护设计方面，技术人员需要重点关注来源于互联网便捷接入区的风险，所采用的具体防护措施应当涉及到针对恶意代码的防护并开展入侵检测工作等，综合考虑当前我国在网络安全方面的实际情况及发展趋势，需要加强对各种专业设备的应用，并提升各种安全操作的灵活性和安全性。由于绝大多数的网络入侵和网络威胁都来源于互联网，因此异构防火墙串行接入，在原有的基础上为外网增设第二层隔离，从而有效提升其安全稳定性，并提高其当前数据中心所具有的抗攻击能力。

2.2.5 办公接入区防护设计

优化开展相应的安全设计部署并制定安全访问控制策略能够最大限度减少核心区域的无效数据流量，并高效规避各种内网威胁，对于网络安全和网络资源的有效利用有着重要的促进作用。技术人员在进行办公接入区防护设计的过程中应当合理制定安全防护方案。防火墙需串行接入到办公区域出口的位置，按组科学开展用户权限的划分工作，并针对性地制定与之相适应的访问策略。同时与当前多拥有数据泄露防护（Data Leakage Prevention，DLP）终端内容的审计系统有效结合，针对办公区用户展开相应的内容审计工作，从而在终端第一时间发现并及时妥善解决信息安全事件。

2.2.6 运维管理区防护设计

首先，在堡垒机访问方面，只有部分管理人员拥有访问和登录的权限，其他人员访问将会被禁止。

其次，将堡垒机设备布置在运维管理区，统一管理账户，并集中开展针对各项账号的管理工作，例如安全设备管理、网络设备管理以及相关服务器管理等，同时结合实际情况设置设备管理员或运维操作员等，保障满足具体的审计需求。

最后，灵活采用堡垒机设备落实数据库和文件传输等操作全过程的审计工作，采用设备录像等手段对工作人员的实际操作行为进行实时动态监控，以便在第一时间发现违规操作，并迅速进行合理控制，切实提升运维管理的实效性。