陈磊　唐国宾　蔡丹等

关键词：网络数据中心;信息系统;安全区域;规划方法;安全需求

中图法分类号：TP393 文献标识码：A

1引言

为了满足信息系统在运行与开发中的安全性需求，应在建设网络数据中心信息系统时，以安全等级保护2.0要求作为建设标准。明确只有实现前端感知层物联终端的安全管理、中间链路侧数据传输的安全防护、对数据进入数据中心时安全接入平台的身份验证及数据准入、进入数据中心后进行“零信任”体系的防护、进入物联网平台后的统一管理及安全威胁态势管理等工作，才能满足系统在运行中，信息存储的安全性与可靠性。例如，应在相关工作中，保证信息系统物联网终端关闭设备调试接口、防范软硬件逆向工程;系统终端支持本地及远程升级，并校验升级包的合法性;具有边缘计算能力的信息系统终端，应参照边缘物联代理安全要求实行防护等。下文将根据网络数据中心信息系统的实际运行需求，对其安全区域规划展开详细的设计研究。

2网络数据中心信息系统安全区域规划方法设计

2.1网络数据中心信息系统各层级安全需求分析

为了确保规划设计的网络数据中心信息系统安全区域符合前端运行要求，应在开展设计研究工作前，进行信息系統各层级安全需求分析。下文将从系统感知层、网络层、平台层、应用层四个方面，进行各层级安全需求分析。

感知层包括边缘物联代理与本地通信。其中，边缘物联代理应具备对自身应用、漏洞补丁等重要程序代码、配置参数和控制指令等操作的数字签名或验证能力，并支持本地及远程升级以及校验升级包的合法性。因此，此层应支持软件定义安全策略，并支持自动和联动处置。系统在运行时，边缘物联代理应关闭设备调试接口，防范软硬件逆向工程，通过系统加固、可信计算等技术，保障边缘物联代理本体安全。感知层可通过Wi?Fi、载波通信、微功率无线通信等通道（不经过安全大区），在现场互联通信。任意两个直接接入公司安全大区的终端，如接入的大区不同，禁止双方在感知层跨大区直接通信。如需本地通信，应采取等同大区间隔离强度的技术措施。不直接接入公司各安全大区的终端，在与直接接入公司管理信息大区的终端本地通信时，应在网络协议、数据格式、数值有效性上加强过滤和校验，并实现身份认证。在与直接接入公司互联网大区的终端本地通信时，可按需实现身份认证和通信数据加密传输，防范通信数据被窃听或篡改。管理信息大区侧的本地通信应采用抗干扰性强的通信协议，以此加强通道的安全配置管控。

系统网络层涉及网络通信、网络边界接入。前者的通道应是公司自建光纤专网、电力无线专网、租用的APN和第三方专线。在边缘物联代理、物联网终端（含移动终端、机器人）等设备的支撑下，当信息接入系统后，将结合业务应用需求，采用相应电力物联网安全接入网关、信息网络安全隔离装置，实现双向认证和加密传输;后者在边缘物联代理、物联网终端等设备的支撑下，在互联网大区直接访问公司对内业务时，应采用公司泛在电力物联网安全接入网关，实现双向认证和加密传输;无法满足要求的设备，在直接访问互联网大区的公司对内业务时，应在互联网大区外部署前置服务器，通过前置服务器进行协议转换和数据归集。前置服务器访问公司互联网大区的公司对内业务时，应采用公司泛在电力物联网安全接入网关，实现双向认证和加密传输。

系统网络层包括云平台、物联管理平台。前者可直接按照国家网络安全等级预设标准进行安全规划前的需求分析;后者应对接入的感知层设备进行认证，能够控制接入设备的访问;在传输敏感信息时，应具备保护数据资源完整性的能力。同时，物联管理平台应具备对边缘物联代理、物联网终端集中管控的能力，重点对设备注册、在线和离线进行安全监测。为了实现双方联动，需要定期做好此区域的升级，升级内容包括但不限于漏洞补丁、配置参数和应用软件。此外，升级内容在正式部署前，应进行功能和安全测试。

系统应用层包括云端应用、APP应用。系统应用层应按照符合物联网属性的应用系统进行建设，并遵照国家网络安全等级保护要求和公司现有安全规章制度执行。其中，云端应用应根据自身等保定级和业务需求实施防护，以此实现业务和用户行为的安全审计;APP应用的发布应符合公司要求，发布前应进行统一加固、统一检测，并对APP应用运行状态进行安全监测。

2.2网络数据中心信息系统安全区域划分流程

在完成网络数据中心信息系统各层级安全需求分析后，应对系统安全区域划分进行分析。在此过程中，需明确的是：划分安全区域的目的是实现对网络中全部内容的安全防护，并不是对系统中某一部分信息的安全处理。因此，在划分时，需要将系统中网络数据中心信息的安全等级作为基础，根据信息所属的安全域，进行安全区域划分。信息系统安全区域划分参考图1，划分成果可根据实际情况进行调整。

完成上述划分后，对信息系统划分的安全区域边界进行访问控制、边界完整性检查、边界入侵防范、边界安全审计、边界恶意代码防范、设备运维管理设计等工作。通过此种方式，确保划分的安全区域在运行中具有较强的可靠性。

2.3各安全区域的详细设计方案

在明确网络数据中心信息系统各安全区域的构成后，可以进行各安全区域详细方案的设计。其中，网络数据中心安全整体架构示意拓扑如图2所示。

根据网络数据中心安全整体架构，需要从出口防护区、安全监测区、安全管理区、资源业务区四个方面，进行各安全区域详细规划设计。

其中，出口防护区主要针对数据中心外部网络出口区域进行安全加固，主要涉及边界完整性保护、边界恶意代码防范以及边界访问控制入侵防御等功能。整体规划建设为冗余架构，针对出口不同场景需求分别建设链路负载均衡、抗DDoS、防火墙、上网行为管理与入侵防御。具体建设如下。

链路负载均衡：规划建设链路负载均衡设备2台，具备智能DNS、流量调度以及链路监控检查、业务优化能力，以提高多运营商链路场景下的带宽利用效率，实现来回路径一致优化访问效果和多链路动态调度，保障业务连续性。同时，对于IPv6网络的访问流量，可以转换为IPv4的流量，以此解决“天窗”和“外链”问题，实现IPv4向IPv6网络的过渡。

抗DDoS：规划建设抗DDoS产品2台，能够对网络侧Flood、应用层、连接型类型的攻击进行防护，可以在内部安全建设非常充分的情况下，抵御来自外部的DDoS攻击。

出口防火墙：规划建设出口防火墙2道，支持访问控制功能，统一对其进行安全配置，以此控制不同业务的互联网访问带宽，防止带宽挤占。

上网行为管理：规划建设上网行为管理设备2台，提供应用协议识别、用户行为审计、流量管理、防私接路由、用户认证、应用缓存等功能，同时提供网安要求的无线路径对接功能。

入侵防御：规划建设入侵防御设备2台，开启防护策略，识别网络多种病毒攻击。

安全监测区主要通过数据中心网络内部流量镜像功能，在避免对业务生产造成延时卡顿的前提下，采集对应端口的流量以及全网流量进行流量数据的高阶关联计算，实现针对网络系统环境内来自系统和人的已知和未知威胁的防护。整体规划建设为旁路单台建设，针对分析内容和关注点不同，建设复制分流器、数据库审计、ATP、全流量探针以及工控监测审计。

复制分流器：规划建设复制分流器1台，提供流量镜像、流量的负载均衡功能，可对流量进行识别及处理，以匹配ACL策略。

数据库审计：规划建设数据库审计设备1台，提供对数据库操作行为的全面审计以及高危操作行为的告警功能，以保障核心数据的安全。

ATP：规划建设ATP攻击检测设备1台，提供沙箱检测、文件伪装识别、证书伪装分析等功能，支持以探针角色跟态势感知或日志审计等其他平台联合部署，并将威胁检测结果上报给平台。

流量探针：配置流量探针1台，提供流量分析、流量协议识别、网络应用审计以及日志输出能力，其可作为态势感知平台系统探针，支持选择性基于日志类型以及日志级别过滤发送与数据平台日志。

安全运维管理区主要通过接入数据中心的管理网，对整网设备进行运维、监控、检测、审计，实现安全风险事件的可控可管。整体规划建设为管理接入，主要建设内容包括管理网防火墙、漏洞扫描、态势感知平台、杀毒加固管理平台、堡垒机。对其设计规划的内容如表1所示。

云数据中心：资源业务区承载各类业务系统，该区域的安全防护主要针对云计算业务系统以及其他资源业务系统，进行区域边界防护和终端杀毒。

防火墙：针对各个业务区域边界，部署2道防火墙进行边界防护，控制不同业务的互联网访问带宽，防止带宽挤占。

无代理杀毒：针对云业务区域，在虚拟化底层融合部署无代理杀毒系统，在保证安全性的前提下，不影响虚拟机的性能与稳定性。

3对比实验

为了证明本文设计的安全区域规划方法可以提高网络数据中心信息系统在运行中的安全性，选择某企业单位终端作为此次实验的场所，将基于物联网技术的安全区域规划方法作为传统方法，设计以下对比实验。

实验中，先按照本文设计的方法，结合所选参与实验单位的建设规模、网络覆盖范围、核心数据或隐私数据量，对企业网络数据中心信息系统各层级安全展开需求分析。明确不同层级安全状态后，对信息系统进行安全区域划分，并制定各安全区域的详细方案。将设计后的安全区域与企业内网进行适配，确保信息可在系统中稳定、安全传输后，证明本文设计的方法在企业内网安全规划与建设中的作用。

在此基础上，使用基于物联网技术安全区域规划方法，根据已知信息，对数据中心安全存储与调度方案进行整体规划与设计;将系统划分为服务器区域、外联区域、外网区域、外端接入区域、网络运维区域，并分别对五个区域进行规划布设。

按照以上两种方法完成对所选区域信息系统的规划后，辅助使用大数据决策技术与网络挖掘技术，对信息系统在运行中的安全风险因素进行提取，根据提取的因素，再进行不同区域网络安全风险的计算。最后，将计算结果进行量化，将其作为评价本文设计方法可行性的依据。其中，不同规划区域安全风险值的计算公式如下。

在式（1）中：D表示不同规划区域安全风险值;P表示发生信息系统运行安全事故的概率;F表示风险因素;S表示风险权重。其中，F与S的计算公式如下。

按照上述计算公式，可以计算得出两种不同方法对网络数据中心信息系统进行安全区域规划后的风险值。按照本文所述方法进行规划后，系统安全区域被划分为四个分区。而进行传统规划后，系统安全区域被划分为五个分区，对应分区的风险值如表2所示。

从表2所示的实验结果可以看出，本文所述方法规划的安全区域风险值小于传统方法规划的安全区域风险值，证明本文设计的方法在实际应用中可以起到提升网络数据中心信息系统运行安全的效果。

4结束语

随着企业数字化转型，越来越多的前端設备被改造为IP设备，通过以太网、无线、窄带物联网、4G/5G等网络实现数据回传。为了在此种条件下实现对网络信息安全提供保障，可以开展网络数据中心信息系统安全区域规划方法的设计研究。通过对比实验证明，本文设计的方法在实际应用中可以起到提升网络数据中心信息系统运行安全的效果。因此，在后续的研究中，可深化在边缘数据中心通过边缘物联代理先进性有效数据梳理，通过将有效数据回传至数据中心内部的物联平台，实现前端终端设备的监控以及回传物联数据的管理。将回传的物联数据上送至企业数据中台，并进行分析、建模，可以实现前端生产数据的统筹规划分析。通过此种方式，可以达到促进节能减排、降本高效，并向“双碳”逐步演进的目的。

作者简介：

陈磊（1986—），研究生，高级工程师，研究方向：电气二次及数字化。