大數(shù)據(jù)的基礎安全保障論文

　　目前，浙江省人力社保信息系統(tǒng)業(yè)務應用和數(shù)據(jù)存儲正從分散部署逐步走向大集中，省級數(shù)據(jù)中心作為浙江省人力社保數(shù)據(jù)存儲、網(wǎng)絡傳輸和數(shù)據(jù)計算的中心，基礎網(wǎng)絡及安全建設，是提升網(wǎng)絡性能和可靠性，確保網(wǎng)絡信息安全的保障，對于數(shù)據(jù)中心充分利用設備資源，促進信息系統(tǒng)有效整合，信息資源共享共用也至關重要。

　　數(shù)據(jù)中心基礎網(wǎng)絡設計

　　網(wǎng)絡是連接數(shù)據(jù)中心所有資源的唯一通用實體，構(gòu)建堅實的網(wǎng)絡基礎設施將為數(shù)據(jù)中心業(yè)務運行、管理與運維提供保障。浙江省人力社保數(shù)據(jù)中心采用同城雙數(shù)據(jù)中心架構(gòu)，之間配置4臺CWDM設備，用裸光纖通過CWDM鏈路復用技術(shù)實現(xiàn)IP網(wǎng)絡和SAN網(wǎng)絡的互聯(lián)互通。每一對裸光纖復用出4路1GB鏈路用于IP網(wǎng)絡連接，4路2GB鏈路用于SAN網(wǎng)絡連接，并將兩對裸光纖復用的光纖通道進行捆綁，以提高互聯(lián)鏈路可靠性。數(shù)據(jù)中心按照分區(qū)、分層、分級、高可用的建設原則，用于提升系統(tǒng)平臺和業(yè)務數(shù)據(jù)集中運營的抗風險能力。

　　分區(qū)建設：

　　良好的邏輯分區(qū)設計與安全域劃分是數(shù)據(jù)中心網(wǎng)絡的必備基礎，根據(jù)業(yè)務系統(tǒng)的相關性、數(shù)據(jù)流的訪問要求和系統(tǒng)安全控制的要求等，把數(shù)據(jù)中心基礎網(wǎng)絡分成內(nèi)網(wǎng)區(qū)、外聯(lián)區(qū)和互聯(lián)網(wǎng)區(qū)，每個區(qū)有自己的核心交換、服務器、安全邊界設備等，之間做好嚴格地逐級訪問控制。

　　分層建設：

　　建立核心、匯聚、接人三層網(wǎng)絡，形成完整的網(wǎng)絡架構(gòu)體系，為以后數(shù)據(jù)中心資源“池化”打好堅實的網(wǎng)絡基礎;兩個數(shù)據(jù)中心各部署兩臺高性能的H3C 12508交換機構(gòu)建網(wǎng)絡核心層，實現(xiàn)各功能區(qū)域間的高速數(shù)據(jù)交換能力和突發(fā)流量適應能力;每一中心采用4臺H3C 7506E交換機作為匯聚層，采用虛擬化技術(shù)以及跨設備的鏈路聚合技術(shù)，在保障冗余性的同時合理規(guī)避環(huán)路可能帶來的影響，提供大密度GE/10GE端口實現(xiàn)與接入層互聯(lián)，并部署各類安全、應用優(yōu)化業(yè)務，如在交換機上集成防火墻、負載均衡板卡等;接入層采用H3C 5800系列，支持高密度千兆接入、萬兆接入，支持堆疊，有較好擴展和上行雙鏈路冗余能力。

　　分級建設：

　　在網(wǎng)絡上實現(xiàn)三級的服務器應用訪問架構(gòu)，Web層、應用層和數(shù)據(jù)層之間通過交換網(wǎng)絡的互連，層層的安全保護，形成結(jié)構(gòu)清晰的易于部署的服務器接入架構(gòu)。

　　高可用性建設：

　　雙中心通過良好的整體規(guī)劃設計，實現(xiàn)匯聚層、接入層和服務器接入的高可用性。具體來說匯聚交換設備之間采用VRRP，而安全、應用優(yōu)化設備之間的VRRP，則旁掛到匯聚交換機上，盡量消除性能瓶頸。接入到匯聚層采用三角型接法，VLAN跨匯聚層交換機，鏈路冗余，故障收斂時間短，并采用IRF技術(shù)，實現(xiàn)分布式設備管理、分布式路由和跨設備鏈路聚合。服務器用兩塊甚至多網(wǎng)卡捆綁，采用多鏈路上行接入。另外，在設備及鏈路層面建設時考慮了以下因素：硬件設備冗余;物理鏈路冗余;二層路徑冗余;三層路徑冗余;快速故障檢測技術(shù);不間斷轉(zhuǎn)發(fā)技術(shù)。

　　數(shù)據(jù)中心網(wǎng)絡安全體系設計

　　浙江省人力社保數(shù)據(jù)中心承載著浙江省人力社保核心業(yè)務系統(tǒng)和數(shù)據(jù)，同時與地稅、公安、銀行、醫(yī)院等部門有業(yè)務交互和數(shù)據(jù)交換，因此數(shù)據(jù)中心的網(wǎng)絡安全必須與業(yè)務系統(tǒng)實現(xiàn)融合，并且能夠平滑的部署在網(wǎng)絡中。浙江省人力社保數(shù)據(jù)中心的網(wǎng)絡安全建設中的主要思想之一就是層次化的分級安全，把安全分成多個等級，劃分不同的安全域，這與數(shù)據(jù)中心對安全的內(nèi)在要求是相輔相成的。

　　數(shù)據(jù)中心在內(nèi)網(wǎng)、外網(wǎng)、外聯(lián)網(wǎng)等網(wǎng)絡邊界部署防火墻，用于對服務器訪問的端口安全控制;在各個網(wǎng)絡區(qū)域的訪問接入處分別部署入侵防御系統(tǒng)，用來防御來自應用層的攻擊，實現(xiàn)對網(wǎng)絡應用、網(wǎng)絡基礎設施和網(wǎng)絡性能的全面保護;通過網(wǎng)閘確保內(nèi)網(wǎng)與外網(wǎng)網(wǎng)絡隔離，同時實現(xiàn)數(shù)據(jù)的安全交換;在內(nèi)、外網(wǎng)分別部署網(wǎng)絡防病毒系統(tǒng)，保護全網(wǎng)的服務器和用戶終端;制定一系列的安全管理策略，包括訪問控制策略、攻擊抵御策略、滲透抵御策略、病毒控制策略、流量控制策略、風險管理策略、補丁管理策略等等。

　　具體來說，就是按照業(yè)務類型分為不同的邏輯區(qū)域，每個分區(qū)制定不同的安全策略和信任模型。從實際部署來看，又分為：邊界訪問控制、深度智能防御和智能安全管理。

　　邊界控制是最基本的要求，用于控制各類用戶對數(shù)據(jù)中心的訪問。為此，在匯聚交換機上部署H3C SecBlade II萬兆防火墻實現(xiàn)多業(yè)務集成，數(shù)據(jù)交互通過背板直接進行，具有高性能和高可靠的雙重優(yōu)勢，避免交換機在線部署的性能瓶頸和單點故障;與防火墻旁掛部署方式相比，又具有配置策略簡單、不改變數(shù)據(jù)轉(zhuǎn)發(fā)路徑、流量轉(zhuǎn)發(fā)過程清晰、部署維護簡單等渚多優(yōu)點。

　　深度智能防御中，針對數(shù)據(jù)中心的各類DDoS攻擊、木馬、病毒入侵層出不窮，IPS部署在網(wǎng)絡的關鍵路徑上，通過對流經(jīng)該關鍵路徑上的網(wǎng)絡數(shù)據(jù)流進行2到7層的深度分析，能精確、實時地識別并阻斷或限制蠕蟲、病毒、木馬、DoS/DDoS、掃描、間諜軟件、協(xié)議異常、網(wǎng)絡釣魚、P2P、IM、網(wǎng)游等網(wǎng)絡攻擊或網(wǎng)絡濫用，從而可為客戶網(wǎng)絡提供三大保護功能：保護網(wǎng)絡應用、保護網(wǎng)絡基礎設施、保護網(wǎng)絡性能。

　　在智能安全管理領域，部署H3C SecCenter管理主流廠家的安全與網(wǎng)絡產(chǎn)品、流量與攻擊的實時監(jiān)控、海量事件關聯(lián)和威脅分析、安全審計分析與追蹤溯源。數(shù)據(jù)中心除了大量的網(wǎng)絡設備在運行外，更多是各類服務器、操作系統(tǒng)之間的業(yè)務交互，海量的告警、監(jiān)控、SNMP、WMI等消息不斷的在網(wǎng)絡中傳播，必須要對這些安全事件、網(wǎng)絡事件、系統(tǒng)事件、應用事件進行統(tǒng)一的收集和管理，并通過智能化的分析把原始數(shù)據(jù)轉(zhuǎn)換、篩選為智能安全的有效信息。

　　數(shù)據(jù)中心網(wǎng)絡智能及虛擬化

　　配置F5、H3C SecBlade LB等網(wǎng)絡鏈路和應用負載均衡設備，解決服務器任務調(diào)度和資源占用不均衡的狀況，提高業(yè)務系統(tǒng)的整體性能。通過對各種應用進行識別和區(qū)分，并對服務器、防火墻進行健康檢測和性能檢測，采用自適應智能算法將各種網(wǎng)絡及應用訪問請求均衡分發(fā)至不同設備上，極大地提高了應用訪問速度。另外，隨著業(yè)務的持續(xù)發(fā)展、系統(tǒng)的更新升級、設備的不斷增多，數(shù)據(jù)中心面臨著資源分配與業(yè)務發(fā)展無法完美匹配的難題。在數(shù)據(jù)中心基礎網(wǎng)絡及安全建設中，采用虛擬化技術(shù)，將不同的業(yè)務隔離開來，彼此不能互訪，從而保證業(yè)務的安全需求，也可將不同業(yè)務的資源隔離開來，從而保證業(yè)務對于數(shù)據(jù)中心資源的需求。具體來說，核心、匯聚交換機可采用虛擬化以及跨設備的鏈路聚合技術(shù)，防火墻可采用虛擬化功能集成或旁掛在匯聚交換機上，配合網(wǎng)絡虛擬化完成數(shù)據(jù)中心資源的虛擬化等。

　　總結(jié)起來，浙江省人力社保數(shù)據(jù)中心基礎網(wǎng)絡建設具有以下特點：雙中心三層網(wǎng)絡架構(gòu)，實現(xiàn)各功能區(qū)域間的高速數(shù)據(jù)轉(zhuǎn)發(fā);故障收斂時間短，系統(tǒng)運行可靠，業(yè)務持續(xù)性強;各區(qū)域問安全關系明確，各自安全實施，不會影響其它區(qū)域;根據(jù)不同區(qū)域和層次功能按需建設，業(yè)務部署靈活，可以非常方便的增加新業(yè)務區(qū)，而不改變原有的網(wǎng)絡結(jié)構(gòu);網(wǎng)絡結(jié)構(gòu)清晰，便于日常運維和問題定位。這些為數(shù)據(jù)中心業(yè)務應用和數(shù)據(jù)存儲提供了堅實的基礎。

【大數(shù)據(jù)的基礎安全保障論文】相關文章：

云計算資源池數(shù)據(jù)安全防護及保障技術(shù)分析論文08-29

探析基于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全論文07-26

淺析如何提高電力營銷系統(tǒng)基礎數(shù)據(jù)的質(zhì)量論文04-30

網(wǎng)絡安全與大數(shù)據(jù)的關系論文04-07

強化基礎管理提升煤礦安全保障水平04-29

橋梁施工安全保障途徑思考論文05-06

大數(shù)據(jù)驅(qū)動模式計算機基礎的研究分析論文05-05

數(shù)據(jù)挖掘論文04-29

企業(yè)安全大數(shù)據(jù)平臺建設及實現(xiàn)論文05-02

大數(shù)據(jù)時代網(wǎng)絡安全研究論文05-02