- 相關推薦
大數據的基礎安全保障論文
目前,浙江省人力社保信息系統業務應用和數據存儲正從分散部署逐步走向大集中,省級數據中心作為浙江省人力社保數據存儲、網絡傳輸和數據計算的中心,基礎網絡及安全建設,是提升網絡性能和可靠性,確保網絡信息安全的保障,對于數據中心充分利用設備資源,促進信息系統有效整合,信息資源共享共用也至關重要。
數據中心基礎網絡設計
網絡是連接數據中心所有資源的唯一通用實體,構建堅實的網絡基礎設施將為數據中心業務運行、管理與運維提供保障。浙江省人力社保數據中心采用同城雙數據中心架構,之間配置4臺CWDM設備,用裸光纖通過CWDM鏈路復用技術實現IP網絡和SAN網絡的互聯互通。每一對裸光纖復用出4路1GB鏈路用于IP網絡連接,4路2GB鏈路用于SAN網絡連接,并將兩對裸光纖復用的光纖通道進行捆綁,以提高互聯鏈路可靠性。數據中心按照分區、分層、分級、高可用的建設原則,用于提升系統平臺和業務數據集中運營的抗風險能力。
分區建設:
良好的邏輯分區設計與安全域劃分是數據中心網絡的必備基礎,根據業務系統的相關性、數據流的訪問要求和系統安全控制的要求等,把數據中心基礎網絡分成內網區、外聯區和互聯網區,每個區有自己的核心交換、服務器、安全邊界設備等,之間做好嚴格地逐級訪問控制。
分層建設:
建立核心、匯聚、接人三層網絡,形成完整的網絡架構體系,為以后數據中心資源“池化”打好堅實的網絡基礎;兩個數據中心各部署兩臺高性能的H3C 12508交換機構建網絡核心層,實現各功能區域間的高速數據交換能力和突發流量適應能力;每一中心采用4臺H3C 7506E交換機作為匯聚層,采用虛擬化技術以及跨設備的鏈路聚合技術,在保障冗余性的同時合理規避環路可能帶來的影響,提供大密度GE/10GE端口實現與接入層互聯,并部署各類安全、應用優化業務,如在交換機上集成防火墻、負載均衡板卡等;接入層采用H3C 5800系列,支持高密度千兆接入、萬兆接入,支持堆疊,有較好擴展和上行雙鏈路冗余能力。
分級建設:
在網絡上實現三級的服務器應用訪問架構,Web層、應用層和數據層之間通過交換網絡的互連,層層的安全保護,形成結構清晰的易于部署的服務器接入架構。
高可用性建設:
雙中心通過良好的整體規劃設計,實現匯聚層、接入層和服務器接入的高可用性。具體來說匯聚交換設備之間采用VRRP,而安全、應用優化設備之間的VRRP,則旁掛到匯聚交換機上,盡量消除性能瓶頸。接入到匯聚層采用三角型接法,VLAN跨匯聚層交換機,鏈路冗余,故障收斂時間短,并采用IRF技術,實現分布式設備管理、分布式路由和跨設備鏈路聚合。服務器用兩塊甚至多網卡捆綁,采用多鏈路上行接入。另外,在設備及鏈路層面建設時考慮了以下因素:硬件設備冗余;物理鏈路冗余;二層路徑冗余;三層路徑冗余;快速故障檢測技術;不間斷轉發技術。
數據中心網絡安全體系設計
浙江省人力社保數據中心承載著浙江省人力社保核心業務系統和數據,同時與地稅、公安、銀行、醫院等部門有業務交互和數據交換,因此數據中心的網絡安全必須與業務系統實現融合,并且能夠平滑的部署在網絡中。浙江省人力社保數據中心的網絡安全建設中的主要思想之一就是層次化的分級安全,把安全分成多個等級,劃分不同的安全域,這與數據中心對安全的內在要求是相輔相成的。
數據中心在內網、外網、外聯網等網絡邊界部署防火墻,用于對服務器訪問的端口安全控制;在各個網絡區域的訪問接入處分別部署入侵防御系統,用來防御來自應用層的攻擊,實現對網絡應用、網絡基礎設施和網絡性能的全面保護;通過網閘確保內網與外網網絡隔離,同時實現數據的安全交換;在內、外網分別部署網絡防病毒系統,保護全網的服務器和用戶終端;制定一系列的安全管理策略,包括訪問控制策略、攻擊抵御策略、滲透抵御策略、病毒控制策略、流量控制策略、風險管理策略、補丁管理策略等等。
具體來說,就是按照業務類型分為不同的邏輯區域,每個分區制定不同的安全策略和信任模型。從實際部署來看,又分為:邊界訪問控制、深度智能防御和智能安全管理。
邊界控制是最基本的要求,用于控制各類用戶對數據中心的訪問。為此,在匯聚交換機上部署H3C SecBlade II萬兆防火墻實現多業務集成,數據交互通過背板直接進行,具有高性能和高可靠的雙重優勢,避免交換機在線部署的性能瓶頸和單點故障;與防火墻旁掛部署方式相比,又具有配置策略簡單、不改變數據轉發路徑、流量轉發過程清晰、部署維護簡單等渚多優點。
深度智能防御中,針對數據中心的各類DDoS攻擊、木馬、病毒入侵層出不窮,IPS部署在網絡的關鍵路徑上,通過對流經該關鍵路徑上的網絡數據流進行2到7層的深度分析,能精確、實時地識別并阻斷或限制蠕蟲、病毒、木馬、DoS/DDoS、掃描、間諜軟件、協議異常、網絡釣魚、P2P、IM、網游等網絡攻擊或網絡濫用,從而可為客戶網絡提供三大保護功能:保護網絡應用、保護網絡基礎設施、保護網絡性能。
在智能安全管理領域,部署H3C SecCenter管理主流廠家的安全與網絡產品、流量與攻擊的實時監控、海量事件關聯和威脅分析、安全審計分析與追蹤溯源。數據中心除了大量的網絡設備在運行外,更多是各類服務器、操作系統之間的業務交互,海量的告警、監控、SNMP、WMI等消息不斷的在網絡中傳播,必須要對這些安全事件、網絡事件、系統事件、應用事件進行統一的收集和管理,并通過智能化的分析把原始數據轉換、篩選為智能安全的有效信息。
數據中心網絡智能及虛擬化
配置F5、H3C SecBlade LB等網絡鏈路和應用負載均衡設備,解決服務器任務調度和資源占用不均衡的狀況,提高業務系統的整體性能。通過對各種應用進行識別和區分,并對服務器、防火墻進行健康檢測和性能檢測,采用自適應智能算法將各種網絡及應用訪問請求均衡分發至不同設備上,極大地提高了應用訪問速度。另外,隨著業務的持續發展、系統的更新升級、設備的不斷增多,數據中心面臨著資源分配與業務發展無法完美匹配的難題。在數據中心基礎網絡及安全建設中,采用虛擬化技術,將不同的業務隔離開來,彼此不能互訪,從而保證業務的安全需求,也可將不同業務的資源隔離開來,從而保證業務對于數據中心資源的需求。具體來說,核心、匯聚交換機可采用虛擬化以及跨設備的鏈路聚合技術,防火墻可采用虛擬化功能集成或旁掛在匯聚交換機上,配合網絡虛擬化完成數據中心資源的虛擬化等。
總結起來,浙江省人力社保數據中心基礎網絡建設具有以下特點:雙中心三層網絡架構,實現各功能區域間的高速數據轉發;故障收斂時間短,系統運行可靠,業務持續性強;各區域問安全關系明確,各自安全實施,不會影響其它區域;根據不同區域和層次功能按需建設,業務部署靈活,可以非常方便的增加新業務區,而不改變原有的網絡結構;網絡結構清晰,便于日常運維和問題定位。這些為數據中心業務應用和數據存儲提供了堅實的基礎。
【大數據的基礎安全保障論文】相關文章:
探析基于大數據環境下的數據安全論文07-26
網絡安全與大數據的關系論文04-07
強化基礎管理提升煤礦安全保障水平04-29
橋梁施工安全保障途徑思考論文05-06
大數據驅動模式計算機基礎的研究分析論文05-05
數據挖掘論文04-29
企業安全大數據平臺建設及實現論文05-02
大數據時代網絡安全研究論文05-02