【《大数据平台安全加固工程应用案例分析》4700字】

大数据平台安全加固工程应用案例分析目录TOC\o"1-3"\h\u24526大数据平台安全加固工程应用 1319711.1项目背景 1175271.2系统现状 1141911.2.1大数据资源池现状 1201861.2.2安全现状分析 239231.3本期安全建设需求 3293571.4工程建设方案 4285471.4.1网络安全分域 412161.4.2入侵检测系统（IDS） 4246971.4.3DPI 4324951.4.4堡垒机 5171191.4.5综合安全审计 6154971.4.6安全加固服务和安全运维服务 7217101.4.7方案总结 7项目背景中国电信云公司2015年启动了大数据资源池工程建设，收集中国电信各网络、各系统的数据和用户信息，经过平台的挖掘处理操作，向第三方提供相关产品。目前云公司已成功设计开发出天翼探针探针、实时竞价、数据终端魔方三款大数据产品，已完成产品上线前的测试，计划于2020年上半年正式上线。由于大数据资源池的部分数据涉及用户的敏感信息（如身份证号码、家庭住址、银行卡号等），为了有效避免用户个人信息的泄漏风险，必须要针对大数据资源池实施严格的安全加固措施，全面提升其安全防护等级，有效防止个人用户信息泄露象，并在此基础上为数据平台安全运行提供保障。ADDINNE.Ref.{6735403C-D8E4-454F-BE7F-21345D5F7218}[47]系统现状大数据资源池现状大数据资源池组网情况如下图所示：图5-SEQ图\*ARABIC\s21大数据资源池组网现状图以下针对不同设备的组网进行详细阐述：（1）网络层：汇聚交换机万兆线路双上联至园区的核心交换机，防火墙两条万兆线路旁挂至汇聚交换机，接入交换机以成对或多对万兆线路双上联至两台汇聚交换机，实现网络层的负载均衡、链路冗余。（2）计算服务器：万兆线路双上联至两台汇聚交换机传输内网通信数据；4条千兆线路端口绑定后双上联至两台接入交换机传输至外网的数据。安全现状分析当前大数据资源池安全保障手段包括VLAN划分和配置防火墙。（一）VLAN划分根据数据通信及网络访问需求，大数据资源池网络访问区域可分为5类，共划分了6个VLAN：表5-SEQ表格\*ARABIC\s21大数据资源池网络访问区域及VLAN划分表序号区域功能涉及服务器VLAN号1计算网↔计算网计算网内部访问，不需要访问其他网络计算及存储服务器10X2采集网↔计算网采集网与计算网的互相访问，不需要访问其他网络采集服务器、计算及存储服务器10Y3管理网↔计算网、服务网、采集网可访问全部服务器，主要用于管理服务器计算及存储服务器、采集服务器、管理服务器、对外服务器10Z4管理网+服务网↔外网服务器运行监控管理服务器主用：20X备用：20Z5采集网↔外网采集外网数据采集服务器20Y（二）防火墙目前，大数据资源池配置一对防火墙，旁挂至汇聚交换机，作为转发路径处理所有进出公网的数据流量，同时开启了NAT地址转换，作为内网和外网间隔离的网关，只开放需求端口。针对大数据资源池在采取以上各类安全防护之外目前还没有形成其他可靠的安全防护措施。按照数据量飞速的增长和累计，各类敏感信息在内的用户数据将不断经过大数据平台的采集、存储、处理和分析，如果不进行有效的安全防护，信息泄露和平台被攻击的风险将与日俱增。为大数据资源池建立完整的安全体系和进行全面的安全加固需尽快完成。本期安全建设需求为保证相关产品的正式上线，本期工程以2020年1月底工程实现为目标，满足大数据资源池初期安全建设需求，以此为基础对第三方所发出的各类数据进行深入审计，通过这种方式来完成大数据资源池网络安全基础建设，进行各个子域全面的安全加固。具体安全建设需求如下：（1）针对大数据资源池的网络安全分域：可以充分结合实际业务开展的具体特征来实现网络安全域精确划分，通过这种方式全面整合各网络安全域的边界。（2）针对数据内容进行检测和审计：面对海量发布信息需要进行深入的审计和检测，这样才能避免在数据发布中产生敏感信息泄露问题。（3）安全防护：进行系统安全基线配置和安全加固，实现统一接入、身份认证、访问控制等功能。（4）针对数据的安全监控：增加网络主机，并全面审计网络和各类安全设备日志；针对非法入侵，全面提升其监测能力，让安全综合审计能力得到有效提升。（5）安全预警：完成安全加固后，对大数据资源池整体进行安全测评。工程建设方案网络安全分域本期工程根据整体现状，规划增加设置外联区域作为内外网物理隔离的专用区域，将原外网交互4台物理主机调整到新增域中。资源池原有2台防火墙调整到外联区域，进行边界安全防护隔离，并扩容万兆光口。本期工程新规划安全管理域，新增审计设备和堡垒机，实现内容检测和审计、安全防护、安全监控等功能。入侵检测系统（IDS）针对整个大数据平台的入侵检测系统主要是将协议分析技术、特征分析提取、安全信息识别等进行综合后构建起的一种新型入侵检测技术，能够针对外来网络的各种攻击行为进行精确识别，同时针对入侵信息进行实时报警和记录，通过响应方式的多元化来充分保障网络系统的整体安全。此外，该系统还能够实现防火墙的有效联动，两者在融合之后能够共同构建起一种建立在主动检测技术基础之上的动态化防御体系。ADDINNE.Ref.{6735403C-D8E4-454F-BE7F-21345D5F7218}[48]针对大数据安全平台配置了网络入侵检测系统IDS，该系统与核心交换机之间通过跨接方式实现双端口监听，从而实时监测经过核心交换机的全量数据。为了能够充分保障IDS系统的日志审计管理能够实现统一化，将安全综合审计设备设置在系统的安全管理域。DPIDPI（DeepPacketInspection）技术，通常情况下也被称为是深度包检测技术，该技术是以应用层流量检测和控制技术作为基础，当以dpi技术所建立起来的带宽系统中通过IP数据包、TCP或者是udp数据流的情况时，能够针对IP包载荷中所包含的各类内容进行深入读取之后，来实现osi协议应用层信息的进一步重组，在此基础上就能够详细获取整个应用程序内容，最后具体针对数据流量严格按照管理策略来实现深入整形。DPI技术在实际应用过程中主要具备了业务识别、控制以及统计等一些详细功能。ADDINNE.Ref.{6735403C-D8E4-454F-BE7F-21345D5F7218}[49]本期大数据资源池安全加固DPI功能需求包括数据服务协议、访问控制列表（ACL）、交换格式（JSON、XML）和数据服务内容。堡垒机为了能够充分保障大数据平台能够实现账户、权限、认证、审计各类管理工作的集中化，引入了一种堡垒机。堡垒机可为主机应用系统提供单点登陆，其核心功能如下：ADDINNE.Ref.{6735403C-D8E4-454F-BE7F-21345D5F7218}[50]1）登录操作：面向系统中的数据库、各类安全设备、操作系统，能够相应的按照特定周期来提供密码的自动更改，让密码的管理过程得到进一步简化，这样用户在登录系统的过程中就不需要记录繁琐的密码；2）实现账号管理：针对整个系统中所包含的各类网络设备、服务器以及安全设备等应用过程中需要的各类账号实施集中化管理，而且可以从全生命周期的角度实现各类账号的及时监控；3）针对个人身份进行认证：通过认证机构的统一化管理，可以相应的配备动态口令、硬件Key以及静态密码等多重认证方式，在此基础上就能够保障系统与第三方认证服务器之间建立起有效的连接；4）实现资源的授权：面向系统中的目标设备、协议类型IP、行为等相关要素，通过授权相关操作，实现用户资源的安全性得到最大程度保障；5）访问控制：支持对不同用户进行不同策略的制定和颗粒度的访问控制，最大限度的保护用户资源的安全，严防非法、越权访问事件的发生；6）针对个人操作进行审计：对各运维人员使用系统、数据库、安全以及网络设备采取的各种操作设施及其监控，针对操作过程中的各类违规行为进行事中控制。能够能够精确地搜索不同终端指令所对应的信息，并完成精确定位。部署方案：堡垒机部署在安全管理域，采用物理旁路、逻辑串联的部署思路，首先通过配置交换机或需要管理设备的访问控制策略，只允许堡垒机的IP可以访问需要管理的设备；其次在堡垒机建立与交换机的连接之后，确保保障运维人员与堡垒机IP之间实现可达。通过合理的布置堡垒机，能够让整个大数据平台运维管控实现集中化和有序化，通过唯一身份标识的基本原则针对个人访问和账户进行集中化控制，进而实现与各类网络设备和不同服务器之间的无缝连接，满足后期的运维管控和审计的精细化和集中化需求，将人为引发的安全风险控制在最低程度，尽可能避免产生安全损失，同时能够达到各类合规一些要求，为企业效益提供基本保障。综合安全审计在大数据的运维管理、安全事件追溯和取证调查等方面，大数据构架体系的安全审计发挥的作用是不可替代的。为实现大数据资源池整体的数据、设备及访问管理，本期新增安全综合审计系统，实现对全量硬件设备的统一日志收集和审计。对各类业务审计系统进行部署时，按照相应规则实现运维人员的身份行为审计，同时也可以针对内部机制进行逐步强化：采取集中审计的模式来针对运维人员的各类操作行为进行全面记录和分析，这样就能够为后期进行日志查询和分析提供极大的便利。存储容量测算：在当前的大数据平台中，所使用的日志审计系统应同时面向超过200多台的设备进行日志审计。考虑单台设备日志日志数3000条/小时，且每一条日志大小为1KB的情况，则每天面对200台设备需要审计的日志数量能够达到1440万条，总体的审计量能够达到15GB。按照系统的审计需求，需要将审计结果和原始信息至少保留6个月，由此可以计算出，系统内部配置的Raid5的SATA硬盘容量最少要达到3.5TB。部署方案：对于整个平台中所配置的安全审计系统来说，其本身其属于软硬件设备共同构成的一种产品，硬件部分中主要涉及到的是被保护服务域以及安全管理服务域中所涉及到的交换机。由于日志审计主要采取的是旁路监听的模式，因此必须要将镜像端口设置在交换机上。软件主要是在服务器上进行安装，而服务器本身与网络之间进行连接，在此基础上才能够保证各组件之间实现正常通讯。针对业务审计系统进行配置的过程中，对大数据平台基础网络结构和运维模式不会产生影响。对于大数据资源池环境来说安全审计系统主要是面向其各类操作行为来全面实施细粒度合规性的审计。在全面分析、记录和详细汇报被授权人员的各类网络访问行为之后，为用户提供事前规划预防、事中监测、风险响应、是否追综合合规报告等各类功能，并对系统本地的日志信息进行收集、统一存储及关联分析，加强对运维人员的行为监管、避免核心资产（数据库、服务器、网络设备等）损失、保障业务系统的正常运营。安全加固服务和安全运维服务必须要严格落实和执行大数据业务中出现的设备基线配置和漏洞缺陷管控措施，同时还要对整个系统中各类安全设备的正常运维给予充分保障。本期购买了一次安全漏扫和安全加固服务，同时也购买了半年安全运维服务。具体内容包括远程漏洞扫描服务、系统安全加固指导、安全监控服务、运维安全审计服务、集中日志审计服务、审计日志及安全监控日志的完整性保障、入侵防御服务、安全策略运行维护服务和安全设备运维护服务。方案总结本期大数据资源池安全加固工程在大数据资源池严格实施安全分域，将系统内部当前配置的4台物理主机和两台防火墙设备划分到外联域，同时将交换机和DPI调整至外联域中，通过这种方式来实现与外部网络连接的统一化。与此同时对各子域进行管理的过程中要相应的增加堡垒机和安全审计系统，通过这种模式能够实现系统一键登录，并实现各类账号的身份认证和管理，同时也能够针对个人日志信息进行综合审计。本期还增加一套网络入侵检测系统IDS旁挂在核心交换机上，接入核心交换机进行数据监听，对所有经过核心交换机的数据流量全量检测。本期工程新增设备如下表所示。表5-2本期工程新增设备表序号设备名称建设方式单位数量配置需求1架顶交换机新建台2单台配置48个千兆和4个万兆光口2防火墙扩容台2每台扩容2个万兆光口3堡垒机+安全审计新建台1能够对整个大数据平台的设备等进行日志的统一收集与