大數(shù)據(jù)的基礎(chǔ)安全保障論文
目前,浙江省人力社保信息系統(tǒng)業(yè)務(wù)應(yīng)用和數(shù)據(jù)存儲正從分散部署逐步走向大集中,省級數(shù)據(jù)中心作為浙江省人力社保數(shù)據(jù)存儲、網(wǎng)絡(luò)傳輸和數(shù)據(jù)計算的中心,基礎(chǔ)網(wǎng)絡(luò)及安全建設(shè),是提升網(wǎng)絡(luò)性能和可靠性,確保網(wǎng)絡(luò)信息安全的保障,對于數(shù)據(jù)中心充分利用設(shè)備資源,促進信息系統(tǒng)有效整合,信息資源共享共用也至關(guān)重要。
數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)設(shè)計
網(wǎng)絡(luò)是連接數(shù)據(jù)中心所有資源的唯一通用實體,構(gòu)建堅實的網(wǎng)絡(luò)基礎(chǔ)設(shè)施將為數(shù)據(jù)中心業(yè)務(wù)運行、管理與運維提供保障。浙江省人力社保數(shù)據(jù)中心采用同城雙數(shù)據(jù)中心架構(gòu),之間配置4臺CWDM設(shè)備,用裸光纖通過CWDM鏈路復用技術(shù)實現(xiàn)IP網(wǎng)絡(luò)和SAN網(wǎng)絡(luò)的互聯(lián)互通。每一對裸光纖復用出4路1GB鏈路用于IP網(wǎng)絡(luò)連接,4路2GB鏈路用于SAN網(wǎng)絡(luò)連接,并將兩對裸光纖復用的光纖通道進行捆綁,以提高互聯(lián)鏈路可靠性。數(shù)據(jù)中心按照分區(qū)、分層、分級、高可用的建設(shè)原則,用于提升系統(tǒng)平臺和業(yè)務(wù)數(shù)據(jù)集中運營的抗風險能力。
分區(qū)建設(shè):
良好的邏輯分區(qū)設(shè)計與安全域劃分是數(shù)據(jù)中心網(wǎng)絡(luò)的必備基礎(chǔ),根據(jù)業(yè)務(wù)系統(tǒng)的相關(guān)性、數(shù)據(jù)流的訪問要求和系統(tǒng)安全控制的要求等,把數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)分成內(nèi)網(wǎng)區(qū)、外聯(lián)區(qū)和互聯(lián)網(wǎng)區(qū),每個區(qū)有自己的核心交換、服務(wù)器、安全邊界設(shè)備等,之間做好嚴格地逐級訪問控制。
分層建設(shè):
建立核心、匯聚、接人三層網(wǎng)絡(luò),形成完整的網(wǎng)絡(luò)架構(gòu)體系,為以后數(shù)據(jù)中心資源“池化”打好堅實的網(wǎng)絡(luò)基礎(chǔ);兩個數(shù)據(jù)中心各部署兩臺高性能的H3C 12508交換機構(gòu)建網(wǎng)絡(luò)核心層,實現(xiàn)各功能區(qū)域間的高速數(shù)據(jù)交換能力和突發(fā)流量適應(yīng)能力;每一中心采用4臺H3C 7506E交換機作為匯聚層,采用虛擬化技術(shù)以及跨設(shè)備的鏈路聚合技術(shù),在保障冗余性的同時合理規(guī)避環(huán)路可能帶來的影響,提供大密度GE/10GE端口實現(xiàn)與接入層互聯(lián),并部署各類安全、應(yīng)用優(yōu)化業(yè)務(wù),如在交換機上集成防火墻、負載均衡板卡等;接入層采用H3C 5800系列,支持高密度千兆接入、萬兆接入,支持堆疊,有較好擴展和上行雙鏈路冗余能力。
分級建設(shè):
在網(wǎng)絡(luò)上實現(xiàn)三級的服務(wù)器應(yīng)用訪問架構(gòu),Web層、應(yīng)用層和數(shù)據(jù)層之間通過交換網(wǎng)絡(luò)的互連,層層的安全保護,形成結(jié)構(gòu)清晰的易于部署的服務(wù)器接入架構(gòu)。
高可用性建設(shè):
雙中心通過良好的整體規(guī)劃設(shè)計,實現(xiàn)匯聚層、接入層和服務(wù)器接入的高可用性。具體來說匯聚交換設(shè)備之間采用VRRP,而安全、應(yīng)用優(yōu)化設(shè)備之間的'VRRP,則旁掛到匯聚交換機上,盡量消除性能瓶頸。接入到匯聚層采用三角型接法,VLAN跨匯聚層交換機,鏈路冗余,故障收斂時間短,并采用IRF技術(shù),實現(xiàn)分布式設(shè)備管理、分布式路由和跨設(shè)備鏈路聚合。服務(wù)器用兩塊甚至多網(wǎng)卡捆綁,采用多鏈路上行接入。另外,在設(shè)備及鏈路層面建設(shè)時考慮了以下因素:硬件設(shè)備冗余;物理鏈路冗余;二層路徑冗余;三層路徑冗余;快速故障檢測技術(shù);不間斷轉(zhuǎn)發(fā)技術(shù)。
數(shù)據(jù)中心網(wǎng)絡(luò)安全體系設(shè)計
浙江省人力社保數(shù)據(jù)中心承載著浙江省人力社保核心業(yè)務(wù)系統(tǒng)和數(shù)據(jù),同時與地稅、公安、銀行、醫(yī)院等部門有業(yè)務(wù)交互和數(shù)據(jù)交換,因此數(shù)據(jù)中心的網(wǎng)絡(luò)安全必須與業(yè)務(wù)系統(tǒng)實現(xiàn)融合,并且能夠平滑的部署在網(wǎng)絡(luò)中。浙江省人力社保數(shù)據(jù)中心的網(wǎng)絡(luò)安全建設(shè)中的主要思想之一就是層次化的分級安全,把安全分成多個等級,劃分不同的安全域,這與數(shù)據(jù)中心對安全的內(nèi)在要求是相輔相成的。
數(shù)據(jù)中心在內(nèi)網(wǎng)、外網(wǎng)、外聯(lián)網(wǎng)等網(wǎng)絡(luò)邊界部署防火墻,用于對服務(wù)器訪問的端口安全控制;在各個網(wǎng)絡(luò)區(qū)域的訪問接入處分別部署入侵防御系統(tǒng),用來防御來自應(yīng)用層的攻擊,實現(xiàn)對網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)性能的全面保護;通過網(wǎng)閘確保內(nèi)網(wǎng)與外網(wǎng)網(wǎng)絡(luò)隔離,同時實現(xiàn)數(shù)據(jù)的安全交換;在內(nèi)、外網(wǎng)分別部署網(wǎng)絡(luò)防病毒系統(tǒng),保護全網(wǎng)的服務(wù)器和用戶終端;制定一系列的安全管理策略,包括訪問控制策略、攻擊抵御策略、滲透抵御策略、病毒控制策略、流量控制策略、風險管理策略、補丁管理策略等等。
具體來說,就是按照業(yè)務(wù)類型分為不同的邏輯區(qū)域,每個分區(qū)制定不同的安全策略和信任模型。從實際部署來看,又分為:邊界訪問控制、深度智能防御和智能安全管理。
邊界控制是最基本的要求,用于控制各類用戶對數(shù)據(jù)中心的訪問。為此,在匯聚交換機上部署H3C SecBlade II萬兆防火墻實現(xiàn)多業(yè)務(wù)集成,數(shù)據(jù)交互通過背板直接進行,具有高性能和高可靠的雙重優(yōu)勢,避免交換機在線部署的性能瓶頸和單點故障;與防火墻旁掛部署方式相比,又具有配置策略簡單、不改變數(shù)據(jù)轉(zhuǎn)發(fā)路徑、流量轉(zhuǎn)發(fā)過程清晰、部署維護簡單等渚多優(yōu)點。
深度智能防御中,針對數(shù)據(jù)中心的各類DDoS攻擊、木馬、病毒入侵層出不窮,IPS部署在網(wǎng)絡(luò)的關(guān)鍵路徑上,通過對流經(jīng)該關(guān)鍵路徑上的網(wǎng)絡(luò)數(shù)據(jù)流進行2到7層的深度分析,能精確、實時地識別并阻斷或限制蠕蟲、病毒、木馬、DoS/DDoS、掃描、間諜軟件、協(xié)議異常、網(wǎng)絡(luò)釣魚、P2P、IM、網(wǎng)游等網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)濫用,從而可為客戶網(wǎng)絡(luò)提供三大保護功能:保護網(wǎng)絡(luò)應(yīng)用、保護網(wǎng)絡(luò)基礎(chǔ)設(shè)施、保護網(wǎng)絡(luò)性能。
在智能安全管理領(lǐng)域,部署H3C SecCenter管理主流廠家的安全與網(wǎng)絡(luò)產(chǎn)品、流量與攻擊的實時監(jiān)控、海量事件關(guān)聯(lián)和威脅分析、安全審計分析與追蹤溯源。數(shù)據(jù)中心除了大量的網(wǎng)絡(luò)設(shè)備在運行外,更多是各類服務(wù)器、操作系統(tǒng)之間的業(yè)務(wù)交互,海量的告警、監(jiān)控、SNMP、WMI等消息不斷的在網(wǎng)絡(luò)中傳播,必須要對這些安全事件、網(wǎng)絡(luò)事件、系統(tǒng)事件、應(yīng)用事件進行統(tǒng)一的收集和管理,并通過智能化的分析把原始數(shù)據(jù)轉(zhuǎn)換、篩選為智能安全的有效信息。
數(shù)據(jù)中心網(wǎng)絡(luò)智能及虛擬化
配置F5、H3C SecBlade LB等網(wǎng)絡(luò)鏈路和應(yīng)用負載均衡設(shè)備,解決服務(wù)器任務(wù)調(diào)度和資源占用不均衡的狀況,提高業(yè)務(wù)系統(tǒng)的整體性能。通過對各種應(yīng)用進行識別和區(qū)分,并對服務(wù)器、防火墻進行健康檢測和性能檢測,采用自適應(yīng)智能算法將各種網(wǎng)絡(luò)及應(yīng)用訪問請求均衡分發(fā)至不同設(shè)備上,極大地提高了應(yīng)用訪問速度。另外,隨著業(yè)務(wù)的持續(xù)發(fā)展、系統(tǒng)的更新升級、設(shè)備的不斷增多,數(shù)據(jù)中心面臨著資源分配與業(yè)務(wù)發(fā)展無法完美匹配的難題。在數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)及安全建設(shè)中,采用虛擬化技術(shù),將不同的業(yè)務(wù)隔離開來,彼此不能互訪,從而保證業(yè)務(wù)的安全需求,也可將不同業(yè)務(wù)的資源隔離開來,從而保證業(yè)務(wù)對于數(shù)據(jù)中心資源的需求。具體來說,核心、匯聚交換機可采用虛擬化以及跨設(shè)備的鏈路聚合技術(shù),防火墻可采用虛擬化功能集成或旁掛在匯聚交換機上,配合網(wǎng)絡(luò)虛擬化完成數(shù)據(jù)中心資源的虛擬化等。
總結(jié)起來,浙江省人力社保數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)建設(shè)具有以下特點:雙中心三層網(wǎng)絡(luò)架構(gòu),實現(xiàn)各功能區(qū)域間的高速數(shù)據(jù)轉(zhuǎn)發(fā);故障收斂時間短,系統(tǒng)運行可靠,業(yè)務(wù)持續(xù)性強;各區(qū)域問安全關(guān)系明確,各自安全實施,不會影響其它區(qū)域;根據(jù)不同區(qū)域和層次功能按需建設(shè),業(yè)務(wù)部署靈活,可以非常方便的增加新業(yè)務(wù)區(qū),而不改變原有的網(wǎng)絡(luò)結(jié)構(gòu);網(wǎng)絡(luò)結(jié)構(gòu)清晰,便于日常運維和問題定位。這些為數(shù)據(jù)中心業(yè)務(wù)應(yīng)用和數(shù)據(jù)存儲提供了堅實的基礎(chǔ)。
【大數(shù)據(jù)的基礎(chǔ)安全保障論文】相關(guān)文章:
數(shù)據(jù)丟失防護保障數(shù)據(jù)安全論文12-08
設(shè)備基礎(chǔ)數(shù)據(jù)的實施保障服務(wù) -管理資料01-01
開放政務(wù)數(shù)據(jù)保障公眾數(shù)據(jù)權(quán)論文12-08
云計算資源池數(shù)據(jù)安全防護及保障技術(shù)分析論文12-16
保障網(wǎng)站安全運營 設(shè)置數(shù)據(jù)庫安全三大措施 -電腦資料01-01