基于SDN架構的災備中心數據安全威脅及應對方法

◆楊 波

（北京市地震局 北京 100080）

基于SDN架構的災備中心數據安全威脅及應對方法

◆楊 波

（北京市地震局 北京 100080）

SDN是一種新興的維護網絡安全的技術，為系列網絡安全問題提供了解決之道。基于SDN架構用于災備中心，能大大地提高災備中心數據的安全性，具有一定的實踐應用意義。本文分析了災備的定義、分類、恢復資源要素及安全威脅等，利用SDN架構一種全新的災備數據網絡，為災備中心數據安全提供了極大的保障。

SDN；災備中心數據；威脅；應對

1 災備相關概述及其存在的安全威脅分析

1.1 災備定義、分類及恢復資源要素

所謂的災備，是災難備份的簡稱，具體指當突發災難，包括地震、水災、火災、設備癱瘓故障以及各種人為故障時，可以利用信息系統數據的遠程備份，來將原有數據恢復的一種方式。

根據災備的使用與實際情況來看，災備多分為三大類，即數據級災備、應用級災備和業務級災備。其中數據級災備主要是針對大數據系統的各項數據進行災難備份，通過對數據的遠程備份，確保發生災難后，能快速完整地恢復數據信息，確保原有數據不會遭受破壞。這也是災備的基礎環節，構建簡單，成本投入較低。而應用級災備在數據級災備的基礎上，新增了應用系統級災備的內容，遇到突發災難時，能短時間恢復數據，還能完整接管整個信息系統，保障性較數據級災備更高[2]。

眾所周知，無論是數據級災備還是應用級災備都屬于IT范圍，而對于業務而言，除了IT保障外，還需要一定的非IT系統保障，才能確保在出現災難時，在保證數據、應用系統完好的情況下，擁有一個備份工作場所，繼續開展業務。這就是所謂的業務級災備，需要電話、掃描儀、打印機、傳真等辦公設備，這一災備級別是最高級的。

從《信息安全技術信息系統災難恢復規范》中不難發現，支持災難恢復資源的共有7大要素，分別為數據備份系統、備用數據處理系統、備用網絡系統、備用基礎設施、專業技術支持能力、運行維護管理能力、災難恢復預案等[3]。每一個要素都為災難資源恢復做出了一定的支持與貢獻，是不可或缺的組成部分。

1.2 災備中心數據存在的安全威脅分析

隨著對計算機網絡的大量應用，數據量也隨之急劇增長，據相關數據統計，2008年較2007年各種新增數據就高達281ExaByte，增長近75%，遠遠超過了可用存儲介質264 ExaByte總容量約6%。而數據的飛速增加，給災備數據中心帶來的最直觀問題，就是存儲問題，需要不斷地增加存儲介質，部署災備中心數據空間等。同時，數據量的急劇增長也給災備中心數據系統帶來極大挑戰，需要對大量的硬件進行整體升級以提升系統處理能力。

災備系統多需要異地部署，對數據傳輸具有較高要求，相應地也加大了對傳輸寬帶的要求，而傳統的傳輸寬帶由于傳輸時間長，很可能降低系統的運行效率，無法及時完成相關數據的傳輸，從而導致災備系統功能發揮效果不佳。

數據量的加大，在敏感數據的完整安全保護上也提出了新的挑戰，需要同時關注數據的可用性、完整性以及機密性。而原有的一些災備系統，在數據處理上更集中于其可用性，而忽略了對數據完整性及機密性的重視，也給災備中心數據帶來一定的安全威脅。

2 基于SDN架構的災備中心威脅應對方法探析

隨著社會各界對災備中心數據安全的關注提高，了解到傳統災備中心存在著數據存儲不足、數據傳輸不及時、網絡安全存在隱患等重大挑戰。本文在軟件定義網絡（SDN）基礎上，架構一個虛擬融合的災備中心網絡，力求進一步提高對災備中心數據的安全防護。

2.1 SDN概述

（1）定義

SDN源自于美國斯坦福大學的一個研究，主要利用上層開放的應用資源接口，通過進行軟件編程來實現對網絡架構中的問題解決。簡單來說，SDN就是基于OpenFlow 技術的一種軟件定義網絡。

（2）支持技術

SDN的廣泛應用實踐，在于其具有很多其他無法比擬的關鍵性技術，包括：網絡操作系統、轉發面抽象建模、OpenFlow技術等。SDN的智能化性能實現離不開網絡操作系統（NOS）的支持，主要任務是進行轉發面數據流的有效管控。轉發面抽象建模是SDN的核心關鍵技術之一，采用抽象建模的方式更便于上下層之間的交互，并統一為上層應用提供接口，支持數據的交流。而OpenFlow技術則在轉發面控制協議基礎上，將其抽象成多級流表轉發模型，通過將OpenFlow流表由網絡控制器，傳到OpenFlow交換機的過程，來加強對交換機轉發的控制[4]。

（3）SDN架構

根據SDN網絡架構可以明顯看出，其有效的將傳統的網絡設備解耦成了分離形式，以此實現控制與轉發分離的目的。在這一架構中，主要包含應用、控制、轉發3層架構。

2.2 災備中心數據的安全防護

依據災備中心數據實際進行SDN架構，其安全防護更多在控制和應用平面上，可以通過增強安全策略的沖突檢測，確保其一致性以及網絡的可用性，在控制平面上能有效地維護數據轉發的穩定，或是通過在應用平面上，加大安全應用的開發部署，也能實現對災備中心數據的安全防護。

而在SDN應用平面上進行安全應用的部署，最常見的就是防火墻的應用。尤其是Neutron在虛擬網絡安全中的應用具有良好的數據安全防護效果，不僅如此其也加快了對負載均衡、VPN等功能的研發。Neutron防火墻功能的實現，主要由防火墻策略、防火墻規則以及虛擬防火墻組成。

其中最基礎的就是防火墻規則，對包過濾所涉及的信息、執行動作進行定義；防火墻策略就是對防火墻規則的一個大集合[5]；虛擬防火墻需要依靠OpenStack平臺來實現，同時要與防火墻策略相適應才能發揮防火墻功能。加強SDN架構下災備數據中心防火墻技術，有利于進一步阻礙對數據的破壞，提供一層保護膜。

除了防火墻技術外，OpenFlow技術還能有效地防止DDoS的攻擊，為災備中心數據安全防護提供幫助。日本某公司在2012年就利用SDN對其災備中心網絡進行了革新，并重新進行了網絡部署，還巧妙地利用OpenFlow交換機實現了對DDoS攻擊的防護，具有一定的借鑒價值。

首先，需要在災備數據總入口路由器及其他涉及到的路由器旁設置一臺OpenFlow交換機，并將入侵檢測設備部署在總入口處。SDN控制器會巧妙的將路由器、IPS與軟件接口相連，當檢測到了DDoS攻擊時，IPS通過接口發送通知給SDN控制器，就會自動的更改入口路由器的相關配置，并將發送目標流量引至OpenFlow交換機，就會對這些進行相關處理[6]。即對DDoS惡意攻擊報文進行分析、刪除、清理，而將正常的報文的IP地址還原，再送回總入口的路由器，接收相關數據信息。

同時為了確保數據的安全，還可以利用子數據中心的OpenFlow交換機進行二次清洗，大大地提高了災備中心數據的安全性。

通過與傳統災備中心系統的對比，可以看出基于SDN架構的網絡系統，具有一定的優勢，尤其在數據安全防護上。可以利用控制器和軟件接口就能對路由器、流量清洗設備進行統一的管理，體現了其高效的可控性，更加嚴謹科學。同時，在DDoS攻擊防護中，成本低，成效顯著，只需利用SDN架構中的OpenFlow協議和控制器就能實現，且其對攻擊的監測是全天24小時的自動化管理，通過報警設備提醒技術人員進行安全防護。

同時OpenFlow交換機在識別流量時具有一定的靈活性，通過規制的不同，在清洗完成惡意流量后，還能自動回復原有IP地址，避免形成環路，帶來不便。當然，利用OpenFlow技術進行DDoS攻擊防護，不會對整個災備中心SDN架構產生較大影響，無需進行修改，具有一定的通用性和便捷性。

3 結語

綜上所述，災備對于數據、系統等的恢復重建具有積極作用，能有效地降低由于突發災難造成的各種破壞。災備的重要性日益突出，也逐漸受到各領域的關注與重視，尤其是如何在當前技術條件下，建立完善的災備數據系統，以及確保其安全穩定性成為重要話題。

SDN是一種新興并應用范圍較廣的技術，能將系統分離為應用、控制、轉發3部分，將其應用到災備數據中心安全防護上，其效果不容小覷。

[1]邵延峰，賈哲.軟件定義網絡安全技術研究[J].無線電工程，2016.

[2]白勇.數據級災難備份技術的理論與實踐[J].金融科技時代，2012.

[3]楊義先，姚文斌，陳釗.信息系統災備技術綜論[J].北京郵電大學學報，2010.

[4]王淑玲，李濟漢等.SDN架構及安全性研究[J].電信科學，2013.

[5]郭春梅，張如輝，畢學堯.SDN網絡技術及其安全性研究[J].信息網絡安全，2012.

[6]陶冶，張尼等.SDN安全防護技術研究[J].電信技術，2014.