私有云數(shù)據(jù)中心網(wǎng)絡(luò)及安全設(shè)計(jì)策略淺析

◆姜 海

（山西廣播電視臺(tái) 山西 030001）

私有云數(shù)據(jù)中心網(wǎng)絡(luò)及安全設(shè)計(jì)策略淺析

◆姜 海

（山西廣播電視臺(tái) 山西 030001）

隨著信息技術(shù)的發(fā)展，我們已經(jīng)進(jìn)入到一個(gè)大數(shù)據(jù)時(shí)代。企業(yè)的數(shù)據(jù)儲(chǔ)備已經(jīng)逐漸成為企業(yè)實(shí)力的象征，企業(yè)所擁有的先進(jìn)技術(shù)也均以數(shù)據(jù)的形式體現(xiàn)。然而越來越龐大的數(shù)據(jù)信息不可能由企業(yè)自身進(jìn)行存儲(chǔ)，因此，可以存儲(chǔ)海量數(shù)據(jù)的云端數(shù)據(jù)中心逐漸受到各大企業(yè)的關(guān)注。

私有云；數(shù)據(jù)中心；安全設(shè)計(jì)；海量數(shù)據(jù)

0 前言

私有云數(shù)據(jù)中心網(wǎng)絡(luò)的出現(xiàn)，成功解決了企業(yè)海量數(shù)據(jù)難以存儲(chǔ)的問題。然而傳統(tǒng)的私有云數(shù)據(jù)中心結(jié)構(gòu)框架繁瑣、傳輸速度不高、安全性可靠性差、數(shù)據(jù)損壞、數(shù)據(jù)丟失的情況時(shí)有發(fā)生，為解決以上問題筆者建議私有云數(shù)據(jù)中心網(wǎng)絡(luò)采用彈性結(jié)構(gòu)，降低網(wǎng)絡(luò)復(fù)雜程度，提高數(shù)據(jù)傳輸速率，并針對(duì)目前存在的安全問題采用信息安全技術(shù)體系。本文介紹了私有云數(shù)據(jù)中心網(wǎng)絡(luò)的結(jié)構(gòu)，并對(duì)其安全性設(shè)計(jì)進(jìn)行了探討。

1 私有云數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)

1.1 網(wǎng)絡(luò)彈性架構(gòu)

隨著私有云數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)的發(fā)展，目前阿里巴巴、京東、蘇寧易購等著名企業(yè)在搭建其云數(shù)據(jù)中心網(wǎng)絡(luò)時(shí)均采用網(wǎng)絡(luò)彈性架構(gòu)。傳統(tǒng)的私有云數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)均采用基于 SDH的多業(yè)務(wù)傳送平臺(tái)加上虛擬路由器冗余協(xié)議的組織架構(gòu)，在數(shù)據(jù)的傳輸過程中，接入交換機(jī)和匯聚交換機(jī)之間需要運(yùn)行 SDH的多業(yè)務(wù)傳送平臺(tái)協(xié)議，處理過程復(fù)雜，傳輸速率緩慢。

而采用彈性架構(gòu)的私有云中心網(wǎng)絡(luò)運(yùn)用了虛擬交換機(jī)網(wǎng)絡(luò)，接入交換機(jī)和匯聚交換機(jī)處于同一虛擬機(jī)網(wǎng)絡(luò)中，數(shù)據(jù)可實(shí)時(shí)交互。在數(shù)據(jù)的傳輸過程中無需運(yùn)行SDH的多業(yè)務(wù)傳送平臺(tái)協(xié)議，簡(jiǎn)化了框架結(jié)構(gòu)，大大提高了傳輸速率。提高了企業(yè)海量數(shù)據(jù)云端存儲(chǔ)的工作效率，使超大容量數(shù)據(jù)短時(shí)傳輸成為可能。

1.2 網(wǎng)絡(luò)“扁平化”

傳統(tǒng)的私有云數(shù)據(jù)中心網(wǎng)絡(luò)的架構(gòu)具有三層，第一層位核心層，第二層為匯聚層，最低層為接入層。采用彈性架構(gòu)的私有云網(wǎng)絡(luò)中心將網(wǎng)絡(luò)架構(gòu)進(jìn)行了“扁平化”設(shè)計(jì)，匯聚層和接入層通過虛擬化技術(shù)捆綁連接為一層，由核心層直接連接。這種結(jié)構(gòu)可以更迅速得接入私有云數(shù)據(jù)中心網(wǎng)絡(luò)服務(wù)器，同時(shí)也更容易實(shí)現(xiàn)虛擬局域網(wǎng)的二層網(wǎng)絡(luò)支撐。

1.3 大二層網(wǎng)絡(luò)

自虛擬化技術(shù)的出現(xiàn)，私有云數(shù)據(jù)中心網(wǎng)絡(luò)服務(wù)器的虛擬化受到了廣泛應(yīng)用。而虛擬化技術(shù)的應(yīng)用必然將會(huì)面對(duì)虛擬機(jī)遷移的問題，就目前的虛擬技術(shù)來講，想要實(shí)現(xiàn)虛擬機(jī)遷移必須得到虛擬局域網(wǎng)的二層網(wǎng)絡(luò)支撐，隨著數(shù)據(jù)庫的不斷膨脹，大二層網(wǎng)絡(luò)為實(shí)現(xiàn)虛擬機(jī)遷移也需不斷擴(kuò)大。

而采用彈性架構(gòu)的私有云中心網(wǎng)絡(luò)的“扁平化”設(shè)計(jì)通過虛擬機(jī)技術(shù)將多個(gè)設(shè)備虛擬成一臺(tái)邏輯交換機(jī)，同時(shí)核心層和接入層的直接連接簡(jiǎn)化了大二層網(wǎng)絡(luò)的結(jié)構(gòu)，避免了大二層網(wǎng)絡(luò)中的“生成樹”協(xié)議。同時(shí)，多個(gè)交換機(jī)通過虛擬化技術(shù)統(tǒng)一配置管理，降低了運(yùn)行維護(hù)成本。

1.4 虛擬交換機(jī)網(wǎng)絡(luò)

采用虛擬化技術(shù)將服務(wù)器進(jìn)行虛擬化以后，私有云數(shù)據(jù)中心網(wǎng)絡(luò)將以虛擬機(jī)為核心進(jìn)行云計(jì)算，為實(shí)現(xiàn)虛擬機(jī)之間的相數(shù)據(jù)傳輸，虛擬局域網(wǎng)內(nèi)還需要引入虛擬交換機(jī)。虛擬交換機(jī)的作用是對(duì)接虛擬服務(wù)器，實(shí)現(xiàn)虛擬服務(wù)器與外部網(wǎng)絡(luò)的互聯(lián)。

2 信息安全技術(shù)體系

上文提到，私有云數(shù)據(jù)中心網(wǎng)絡(luò)在給企業(yè)帶來便捷的同時(shí)，也有可能使企業(yè)承受巨大的損失。在企業(yè)將數(shù)據(jù)存儲(chǔ)到私有云網(wǎng)絡(luò)服務(wù)器中以后，服務(wù)器可能遭受黑客的惡意攻擊，非法竊取企業(yè)的機(jī)密數(shù)據(jù)，甚至惡意損壞、篡改企業(yè)的重要數(shù)據(jù)。眾所周知，企業(yè)的競(jìng)爭(zhēng)力主要體現(xiàn)著企業(yè)的高端技術(shù)上，而技術(shù)均以數(shù)據(jù)的形式存在，因此，將數(shù)據(jù)保存在私有云網(wǎng)絡(luò)服務(wù)器上的風(fēng)險(xiǎn)可想而知。為解決私有云數(shù)據(jù)的安全問題，我們?cè)谒接性茢?shù)據(jù)中心網(wǎng)絡(luò)中加入了信息安全技術(shù)體系，其中包括身份認(rèn)證技術(shù)、訪問控制技術(shù)、內(nèi)容安全技術(shù)、監(jiān)控審計(jì)技術(shù)和備份恢復(fù)技術(shù)，下文將對(duì)各個(gè)技術(shù)進(jìn)行詳細(xì)說明。

2.1 身份認(rèn)證技術(shù)

身份認(rèn)證技術(shù)是信息安全體系對(duì)私有云數(shù)據(jù)中心網(wǎng)絡(luò)的第一項(xiàng)保護(hù)措施，所謂身份認(rèn)證就是對(duì)訪問數(shù)據(jù)庫人員進(jìn)行身份信息核查。只有企業(yè)內(nèi)部人員才能得到授權(quán)從而進(jìn)入對(duì)私有云數(shù)據(jù)中心網(wǎng)絡(luò)，如果發(fā)現(xiàn)訪問人員身份信息非法，系統(tǒng)將對(duì)管理人員進(jìn)行報(bào)警，同時(shí)記錄其 IP地址。一旦經(jīng)證實(shí)是黑客非法傾入想要竊取企業(yè)機(jī)密數(shù)據(jù)，將第一時(shí)間移交網(wǎng)警。為防止外部人員竊取企業(yè)內(nèi)部人員賬號(hào)密碼冒充企業(yè)內(nèi)部人員訪問企業(yè)私有云數(shù)據(jù)中心網(wǎng)絡(luò)，身份認(rèn)證技術(shù)可采用高科技身份識(shí)別，如指紋識(shí)別、面部識(shí)別、虹膜識(shí)別等。

2.2 訪問控制技術(shù)

身份認(rèn)證技術(shù)是針對(duì)企業(yè)外部人員的防護(hù)措施，防止企業(yè)外部人員冒充企業(yè)內(nèi)部成員訪問企業(yè)私有云數(shù)據(jù)中心網(wǎng)絡(luò)。而訪問控制技術(shù)作為第二道防護(hù)措施針對(duì)的是企業(yè)內(nèi)部成員。為防止企業(yè)內(nèi)部員工被競(jìng)爭(zhēng)對(duì)手收買而監(jiān)守自盜，訪問控制技術(shù)針對(duì)企業(yè)不同級(jí)別的員工設(shè)置不同的訪問權(quán)限，絕不允許越級(jí)訪問。訪問控制技術(shù)在不影響員工工作中使用私有云數(shù)據(jù)中心網(wǎng)絡(luò)的前提下，為企業(yè)私有云數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)置了第二道保障。因此，在信息安全技術(shù)體系中，訪問控制技術(shù)是很有必要的。

2.3 內(nèi)容安全技術(shù)

內(nèi)容安全技術(shù)是信息安全體系保護(hù)私有云數(shù)據(jù)中心網(wǎng)絡(luò)的第三道防線，實(shí)際上也是最后一道防線，內(nèi)容安全技術(shù)主要針對(duì)的是私有云數(shù)據(jù)中心網(wǎng)絡(luò)遭到非法侵入后對(duì)數(shù)據(jù)的保護(hù)。因?yàn)橄到y(tǒng)遭受入侵后帶來的破壞可能是多樣性的，因此內(nèi)容安全系統(tǒng)集合了多種安全防御技術(shù)，從而全方位應(yīng)對(duì)非法入侵者在入侵成功后的各種可能性的破壞。企業(yè)可以采用頁面鎖定技術(shù)防止非法入侵者對(duì)訪問頁面進(jìn)行篡改，從而影響企業(yè)內(nèi)部員工對(duì)私有云數(shù)據(jù)中心網(wǎng)絡(luò)的正常訪問；使用入侵防御、流量清洗等技術(shù)來防止非法入侵者對(duì)服務(wù)器進(jìn)行惡意攻擊，影響網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸；使用文件加密技術(shù)來保護(hù)終端數(shù)據(jù)。

2.4 監(jiān)控審計(jì)技術(shù)

上述三項(xiàng)技術(shù)均為針對(duì)非法入侵的防御性技術(shù)，而監(jiān)控審計(jì)技術(shù)除了防止非法入侵外還是信息安全體系自我檢測(cè)、自我完善的技術(shù)。監(jiān)控審計(jì)技術(shù)可以為私有云數(shù)據(jù)中心網(wǎng)絡(luò)的信息數(shù)據(jù)、訪問情況和安全狀態(tài)進(jìn)行實(shí)時(shí)的監(jiān)控分析。通過對(duì)訪問記錄的數(shù)據(jù)分析，可以得到訪問者訪問私有云數(shù)據(jù)中心網(wǎng)絡(luò)的起始點(diǎn)、訪問路徑、訪問方式以及具體的訪問數(shù)據(jù)，從而分析訪問過程中是否存在非法操作或隱藏的安全風(fēng)險(xiǎn)。通過監(jiān)控審計(jì)技術(shù)我們不僅可以對(duì)私有云數(shù)據(jù)中心網(wǎng)絡(luò)的安全進(jìn)行實(shí)時(shí)監(jiān)督，還可以不斷發(fā)現(xiàn)自身存在的隱患漏洞，從而不斷對(duì)系統(tǒng)信息安全技術(shù)體系進(jìn)行完善升級(jí)。

2.5 備份恢復(fù)技術(shù)

備份恢復(fù)技術(shù)是信息安全體系對(duì)私有云數(shù)據(jù)中心網(wǎng)絡(luò)的第最后一項(xiàng)保護(hù)措施，他分為備份和恢復(fù)兩個(gè)部分。企業(yè)需要定期對(duì)私有云數(shù)據(jù)中心的數(shù)據(jù)進(jìn)行備份，并記錄備份的時(shí)間節(jié)點(diǎn)，一旦數(shù)據(jù)因非法入侵者惡意攻擊、員工操作失誤或硬件等原因發(fā)生損壞立即將其恢復(fù)為對(duì)應(yīng)時(shí)間節(jié)點(diǎn)備份的數(shù)據(jù)。

3 結(jié)語

私有云數(shù)據(jù)中心網(wǎng)絡(luò)的彈性架構(gòu)和“扁平化”設(shè)計(jì)，簡(jiǎn)化了私有云數(shù)據(jù)中心網(wǎng)絡(luò)的結(jié)構(gòu)，提高了系統(tǒng)的傳輸速率。信息安全技術(shù)體系通過身份認(rèn)證技術(shù)、訪問控制技術(shù)、內(nèi)容安全技術(shù)、監(jiān)控審計(jì)技術(shù)和備份恢復(fù)技術(shù)的五重保護(hù)貫穿了系統(tǒng)的終端層、應(yīng)用層、系統(tǒng)層、網(wǎng)絡(luò)層、物理層，從而全方位的保證了私有云數(shù)據(jù)中心的安全性和可靠性。全新的私有云數(shù)據(jù)中心網(wǎng)絡(luò)將為企業(yè)解決海量數(shù)據(jù)存儲(chǔ)的問題，為企業(yè)發(fā)展提供助力。

[1]張鈺．基于私有云架構(gòu)的廣播電臺(tái)融合媒體平臺(tái)設(shè)計(jì)[J]．電聲技術(shù)，2017．

[2]萬俊偉，陳洪雁，趙靜．云計(jì)算技術(shù)在實(shí)時(shí)航天試驗(yàn)任務(wù)領(lǐng)域的應(yīng)用驗(yàn)證[J]．信息網(wǎng)絡(luò)安全，2017．

[3]方溈．基于資源統(tǒng)一標(biāo)識(shí)的國家農(nóng)作物種質(zhì)資源平臺(tái)信息系統(tǒng)研究[D]．中國農(nóng)業(yè)科學(xué)院，2015．

[4]趙華龍．云環(huán)境下基于數(shù)字水印技術(shù)的數(shù)據(jù)隱私保護(hù)方法研究[D]．西安建筑科技大學(xué)，2014．