数据中心与大数据安全方案-电科院
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1. 数据中心与大数据安全方案
1.1 数据中心与大数据安全概述
随着信息技术的迅猛发展,大数据技术在各行各业的逐步落地,越来越多的单位和组织建设数据中心、部署大数据平台,进行海量数据的采集、存储、计算和分析,开发多种大数据应用解决业务问题。
在大数据为业务带来巨大价值的同时,也带来了潜在的安全风险。一方面,传统数据中心面临的安全风险如网络攻击、系统漏洞等依然存在;另一方面,针对大数据的数据集中、数据量大、数据价值大等新特点的安全风险更加凸显,一旦数据被非法访问甚至泄漏损失非常巨大。
1.2 数据中心与大数据安全风险分析
数据中心和大数据环境下的安全风险分析如下:
合规性风险:数据中心的建设需满足等级保护或分级保护的标准,即需要
建设安全技术、管理、运维体系,达到可信、可控、可管的目标。为了满
足合规性需求,需要在安全技术、运维、管理等方面进行更加灵活、冗余的建设。
基础设施物理安全风险:物理层指的是整个网络中存在的所有的信息机房、通信线路、硬件设备等,保证计算机信息系统基础设施的物理安全是保障整个大数据平台安全的前提。
边界安全风险:数据中心的边界包括接入终端、服务器主机、网络等,终
端包括固定和移动终端都存在被感染和控制的风险,服务器主机存在被入侵和篡
改的风险,数据中心网络存在入侵、攻击、非法访问等风险。
平台安全风险:大数据平台大多在设计之初对安全因素考虑较少,在身份
认证、访问控制授权、审计、数据安全方面较为薄弱,存在冒名、越权访问等风险,需要进行全方位的安全加固。
业务安全风险:大数据的应用和业务是全新的模式,在代码安全、系统漏洞、Web安全、访问和审计等多个方面存在安全风险。
数据安全风险:由于数据集中、数据量大、数据价值大,在大数据环境下
数据的安全尤为重要,数据的访问控制、保密性、完整性、可用性方面都存在严峻的安全风险。
运营管理风险:安全技术和策略最终要通过安全运营管理来落实,安全运
营管理非常重要,面临管理疏漏、响应不及时或力度不够、安全监控和分
析复杂等风险。
1.3 数据中心与大数据安全解决方案
1.3.1 设计原则
本方案需要充分考虑长远发展需求,统一规划、统一布局、统一设计、规范标准,并根据实际需要及投资金额,突出重点、分步实施,保证系统建设的完整性和投资的有效性。在方案设计和项目建设中应当遵循以下的原则:
合规性和规范化原则
安全规划和建设应严格遵循国家信息安全等级保护或分级保护标准和行业
有关法律法规和技术规范的要求,同时兼顾参考国际上较为成熟的ISO27000、
CSA的成熟范例,从技术、运行管理等方面对项目的整体建设和实施进行设计,充分体现标准化和规范化。
国产自主化原则
大数据中心信息的安全,关乎整个上层应用的信息系统平稳运转和工作正常开展,采用国产化自主可控的硬件和软件进行数据中心和大数据安全,避免国外技术封锁和后面带来的根本性安全风险。
适度安全原则
任何信息系统都不能做到绝对的安全,在安全规划过程中,要在安全需求、安全风险和安全成本之间进行平衡和折中,过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建设的初衷,因此该安全规划在进行设计的过程中,一方面要严格遵循基本要求,从物理、网络、主机、应用、数据、虚拟化、虚拟网络等层面加强防护措施,保障信息系统的机密性、完整性和可用性,另外也要综合考虑业务和成本的因素,针对信息系统的实际风险,提出对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。
技术管理并重原则
信息安全问题从来就不是单纯的技术问题,把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的,仅仅通过部署安全产品很难完全覆盖所有的信息安全问题,因此必须要把技术措施和管理措施结合起来,更有效的保障信息系统的整体安全性。
先进性和成熟性原则
所建设的安全体系应当在设计理念、技术体系、产品选型等方面实现先进性和成熟性的统一。首先,云产品必须成熟,更加遵守标准。第二,云供应商必须与用户签署相关合同协议,这有助于客户满足云合规性的需求。并且,选择目前和未来一定时期内有代表性和先进性的成熟的安全技术,既保证当前系统的高安全可靠,又满足系统在很长生命周期内有持续的可维护和可扩展性。
动态调整原则
信息安全问题不是静态的。信息系统安全保障体系的设计和建设,必须遵循动态性原则。必须适应不断发展的信息技术和不断改变的脆弱性,必须能够及时地、不断地改进和完善系统的安全保障措施。
保密原则
项目的整体过程和结果应严格保密,涉及项目的所有人员均需签署保密协议,未经授权,对项目涉及的任何信息不得泄露。
1.3.2 总体架构
针对数据中心与大数据安全的安全分析,基于上述设计原则,数据中心与
针对数据中心与大数据安全威胁的多样化、体系化,防御体系利用先发优 势,在各个层面进行纵深覆盖,实现风险分化、协同互补,构建一套环环相扣 的威胁感知、边界安全防护、平台安全防护、业务安全防护、数据安全防护多 重纵深防御体系。从云端到终端、从业务到数据、从事前到事后,为数据中心 提供无所不在的全方位保护,在大数据环境中为用户提供多层次、多维度、体 系化纵深防御的解决方案,综合提升应对新型安全威胁的能力,真正做到看得 见的安全和有效安全。
威胁感知: 360建立了基于大数据安全分析和威胁情报的云计算中心,形 成有效对抗新型威胁的防御和检测体系,通过该体系,可以挖掘未知威 胁、预知风险,全面、快速、准确地感知过去、现在、为了的威胁态势, 同时经过提炼后的情报信息会实时同步到边界、业务、数据安全防护体系 中,大幅提升边界、平台、业务、数据的整体安全防护能力。
边界安全防护:基于业务的风险和控制需求,划分不同的物理 / 逻辑安全区 域,在安全区域边界、网络出口边界、无线接入边界、终端接入边界建立 健全的边界立体防控体系,基于天擎终端安全、天堤网关安全等产品实现
边界协同防大数据安全的总体架构如下: