基于大數據平臺的云安全建設

◆丁昊天 張晨飛

(中機新時代有限公司 北京 100089)

基于大數據平臺的云安全建設

◆丁昊天 張晨飛

(中機新時代有限公司 北京 100089)

目前大數據在世界范圍內得到迅速的發展，但是也在發展中遇到許多的挑戰，為此，構建一整套的大數據平臺的云安全體系是非常有必要的。本文主要闡述了大數據平臺面對的問題，系統的提出了云安全體系建設的主要方案，旨在通過完善云安全體系，提高各個單位在云上的運行安全性。

大數據；云安全體系；建設措施

0 引言

隨著云服務和云計算的發展，其在發展過程中面臨的一個重要的挑戰就是云安全，其中，云安全在技術和管理方面出現了很多問題。在云計算的發展環境下，資源共享、多元化的服務類型以及用戶數量的大量增長等導致多個方面都出現了一定的問題。最近幾年來，像谷歌、亞馬遜等云計算領先的服務商都出現了重大的云服務安全事故，造成大范圍的服務中斷。所以說，云計算面對的一個重要問題就是其安全性，加強云安全建設勢在必行。

1 大數據安全面臨的風險

大數據安全勢必是一場斗爭，在大數據領導的時代，以電商社交為代表的互聯網、以微博微信為代表的移動互聯網、以傳感器為代表的物聯網、以及金融電信等各行各業都在產生著大量的數據，已經開始作為一種生產要素發揮著極其重要的作用，成為競爭的有力因素。大數據雖然包含著比較多的信息量，但是在發展過程中也因此會產生較多的風險挑戰。

在大數據環境下產生了應用防護風險，資源被泛濫使用和惡用，拒絕服務攻擊，WEB安全等。虛擬環境產生安全風險。在引進新的虛擬技術過程中，大數據系統就增加了新的安全風險，比如說，在一個管理程序中運行多個虛擬機，那么虛擬數據中心攻擊的最主要目標就是這個管理程序，因為一旦攻破這個管理程序就可以訪問許多個數據中心的虛擬系統。

2 基于大數據平臺云安全建設方案

2.1 云平臺安全

云平臺本身的技術種類繁多，復雜多樣，還不夠成熟。開發單位在集數據庫、消息隊列等多個功能的云平臺上，通過其提供的語言和工具進行開發，接口安全和運行安全是云平臺安全的兩個重要部分。

云平臺接口安全。云平臺在開放接口之后面臨的最大的威脅就是通過利用該接口攻擊內部外部以及濫用云服務。在建設云安全體系中，應該加強訪問控制，比如說，實行強用戶認證、保障有效的加密等措施。

云安全運行安全。云平臺開放后面臨的又一個問題就是搭載于云平臺上的用戶 IT系統，需要通過加強安全審核和監控用戶應用的力度，同時加強不同用戶的系統隔離。使用安全組防火墻提供三層隔離，在同一組的不同服務器可以互相訪問，不同安全組的服務器則無法做到這一點。

2.2 服務器安全

整合服務器，之所以進行服務器整合，是因為可以通過整合把部分業務轉移到虛擬平臺再進行運行，這樣不僅能夠節約系統資源，而且方便管理容易更新。

對于不同業務的系統區域要進行合理的配置，同一臺服務器上最好不要部署不同級別的業務設計。

合理劃分安全區域，在劃分過程中，及時滿足公網訪問和運行維護管理的需求。

要充分保證業務之間的隔閡，在服務器整合之后，重新評估公共防火墻的性能，如果現有的設備數量無法滿足所需時，要增加新的防火墻設備。

加強對虛擬化平臺的防護，保護虛擬化平臺，可以通過啟用現有的安全選項加固系統。

加強云計算的備份與恢復能力。

2.3 數據安全

根據云計算的自身特點和數據生命周期，構建云端數據安全體系。

數據訪問。用戶通常都是需要通過控制臺日常操作才能訪問云資源，把用戶和云產品的對應關系運用對稱加密的形式來鑒別身份。運行維護管理人員在對大數據中心和云計算進行操作時都需要雙重鑒定來實現認證，即靜態密碼結合動態令牌。操作時需要的權限需要多個層面的審批和固化規則，當出現違規操作時就會自動報警。

數據傳輸。用戶的個人賬戶產生的數據和云端生產產生的數據是兩種不同的數據對象，在進行傳輸控制時需要從客戶端到云端，云端再到服務間，云服務到云服務控制這三個層次的控制系統來完成。需要注意的是個人數據在從客戶端到云端傳輸時一律都要使用SSL進行加密，后面的兩者都是使用程序進行加密來確保個人數據不落地。

數據存儲。在保存云端生產數據過程中，不管使用的是哪一種云服務器，都要將數據采用碎片分布式離散技術進行粉碎，就是說數據被切割成許多片段通過隨機分散保存在不同的機架，而且每一個片段都會有多個副本進行保存。根據每一個用戶ID的不同云服務系統將其云端數據進行隔離，客戶的云存儲空間訪問權限是由其對稱加密所控制的，確保云端數據的訪問權限最小化。

數據銷毀。在客戶要求刪除存儲數據或者是使用的設備被售出拋棄時，都要運用內存釋放和清空數據來徹底刪除所有的數據。在云計算環境下，許多硬盤在外進行維修或者是服務器報廢時都會導致數據失竊，大數據中心必須遵循標準流程：磁盤更換時換下來的磁盤每盤都保證消磁，每一個磁盤的消磁記錄都能夠被查到，消磁的視頻做到每天可溯。不斷加大磁盤消磁工作的視頻監控力度，完善相應的策略，在監控過程中確保操作防抵賴性和監控視頻的保存完整性。

2.4 虛擬桌面云安全

虛擬桌面的主要作用就是實行集中管理和維護，把用戶的電腦環境轉移到虛擬的主機環境，在這個環境下進行管理維護工作。一臺瘦終端、鼠標、鍵盤等簡單的設備就可以組成終端進行操作，極大的降低了運行成本，還提高了管理維護的工作效率，企業內部的坐席業務和辦公網絡等都廣泛使用虛擬桌面。

終端安全。虛擬桌面擁有多樣化形態的接入終端，既可以通過筆記本、臺式電腦也可以通過各種智能終端或者是瘦終端進行接入，終端必須具有較高的安全性能。在虛擬桌面的終端中，需要多加關注病毒的查殺或者是制定黑白名單體制，像瘦終端這樣的專用終端，可以通過黑白名單體制來允許操作者僅僅可以運行特定的流程。

接入安全。虛擬桌面可以通過有線接入、無線接入等多種形式進行接入，在保證終端安全的情況下需要多加關注傳輸數據時的安全。如果必須需要外部網絡進行接入時，需要配置 VPN網關等必要性程序，只有通過這項程序才可以連接內部辦公環境。

防病毒?？梢园惭b一般的桌面防病毒軟件來完成虛擬桌面的防病毒工作，但是值得注重的是一般的防病毒軟件也許會有掃描風暴或者是更新病毒庫風暴等問題。所以可以采用專門的虛擬桌面防病毒系統。這樣的專門針對虛擬桌面設計的防病毒系統不僅減輕了虛擬桌面自身負擔，實行任務調節，而且還能避免大量的病毒掃描此類操作共同進行，有效的減輕了系統的負載。

2.5 其他安全

大數據安全還要確保設備及其相關環境的安全，關鍵是要完善大數據平臺的管理制度。加強建設的規范性，制定嚴格的管理制度，通過制度來保障大數據平臺相關設備的安全。首先要嚴格管理門禁，對大數據設備所在環境的進出制定嚴格的時間標準，非標準的時間一律按照相關制度來進行管理。其次，制定備用物資的存放和使用標準，嚴格進行該場地的實時監控。最后要不斷完善供電消防等基本保障制度。加強賬號異常登錄檢測，在以往的服務器異常登錄情況中，絕大多數的情況是受到了入侵或者是攻擊。根據日常登錄情況，對經常登錄的區域進行識別，需要精確到該區域所在的具體的地市級，防止出現不必要的損失。快速掃描云服務器的端口，可以結合以指紋識別為代表的生物識別技術來判斷開放端口正在運行的軟件甚至是版本，如果發現沒有經過允許的開放端口，要在第一時間內提醒用戶關閉該開放端口，以防止系統被病毒或者黑客入侵。

3 總結

伴隨著大數據和云計算的廣泛應用，我們需要及時發現當中的問題，及時找出解決措施進行處理并且完善。本文基于大數據這個平臺，通過5個層面的設計構建了云安全的防護體系，這個體系可以強有力的保證云服務和云計算的運行安全性，用戶可以利用大數據和云安全防護體系不斷創新工作，促進社會的發展。

[1]羅仟松.基于虛擬數據中心的云安全策略研究與設計[D].山東大學，2013.

[2]白秀杰，李汝鑫，劉新春，邵宗有.云安全防護體系架構研究[J].信息安全與技術，2013.

[3]胡祥義，馬占國，劉宇.一種云安全架構的解決方案[J].網絡安全技術與應用，2011.

[4]曹瑞，劉新龍.云安全解決方案[J].中國鐵路，2017.