隨着大數據應用的开展���,大數據所依託雲平台上的基礎設施安全���、認證及授權���、端到端傳輸安全��、數據安全��、密鑰安全等面臨很多的挑戰。雖然數據中心的內部及邊界安全防護區配置了一些策略路由器���、堡壘機���、防火牆����、入侵檢測等網絡防護設備���,但這只是網絡訪問管理層面的基本防護����,中間環節缺少對身份認證���、數據保護等可信的密碼應用功能防護。evo真人(中国)信息的大數據云密碼應用方案顺利获得解決網絡實體鑑別��、通信加密����、數據完整性��、行為抗抵賴等問題����,可以為大數據的網絡���、應用���、數據给予全方位的密碼應用保障。
一.大數據安全問題與需求分析
1).國家政策需求分析
1.����《國務院關於印發促進大數據开展行動綱要的通知》需要加強對基於大數據的網絡安全問題和網絡安全技術的研究����,建立和完善大數據安全保障體系。
2.等保2.0要求重點對大數據����、雲計算等進行全面防護要求����,對於涉及到身份的真實性����、行為的抗抵賴����、內容的機密性和完整性等安全風險���,要求使用密碼技術给予網絡安全的保護支持。
2).大數據業務安全風險分析
1.數據傳輸風險分析
網絡是雲服務器之間��、服務端和客戶端之間數據傳輸的紐帶���,是雲安全的主要組成部分����,在雲安全環境下���,其既面臨傳統安全威脅����,又面臨網絡邊界模糊化��、網絡攻擊集中化等安全威脅。
網絡邊界模糊化帶來的威脅��:在雲安全環境中��,虛擬化技術導致網絡邊界正在逐漸模糊化���,在虛擬網絡中���,同一台物理設備上的虛擬機之間通信��,與外部網絡不會發生數據交換����,外部網絡可以在物理計算機內部完成。 數據不會顺利获得傳統的邊界保護設備���,這將導致傳統的邊界保護設備對這部分數據失去作用。
惡意攻擊帶來的威脅���:在雲安全環境中��,大量用戶數據保存在雲端����,一旦攻擊者顺利获得戶外的網絡節點進行外部攻擊��,取得數據控制權����,將會對雲上所有應用產生影響���,所有敏感信息和數據面臨被竊取���、篡改��、刪除等安全威脅。
2.數據存儲風險分析
大數據應用系統的數據庫普遍存儲了各種業務數據���、財務信息����、用戶信息等含有敏感信息的數據���,大部分都是明文存儲���,而且開發人員��、業務人員����、運維人員都可能直接接觸到數據本身��,此外��,拖庫或惡意繞開訪問靜態數據文件��,黑客只需還原或附加數據庫即可直接瀏覽用戶數據���,這對大量敏感數據構成威脅。
3.密鑰使用及存儲風險分析
在大數據安全實踐中����,普遍採用Kerberos作為服務的安全認證方式��,對於敏感數據���,在大數據系統中建立了加密區域���,並啟用了密鑰管理服務以進行加密存儲���,加密區的密鑰則使用密鑰文件存儲於系統目錄中���,存在密鑰文件損壞或丟失的風險��,安全性不夠��,關鍵生命周期和策略無法控制;加密區域中數據的加密和解密將影響系統性能����,從而拖累數據分析的響應時間。密鑰的使用及存儲不符合等級保護及密碼測評相關要求。
4.客戶端業務接入安全風險分析
大數據應用系統通常接入終端多種多樣���,既有傳統PC終端���,又有以手機主的移動終端��,每個終端都面臨許多安全威脅����,例如系統漏洞����,軟件漏洞��,病毒��,特洛伊木馬等等。如此多的終端融入雲安全環境後��,攻擊者可以顺利获得任意終端對其發起攻擊���,使其安全防護面臨空前威脅。
5.終端用戶身份真實性風險分析
大數據應用系統中的終端用戶的身份也是多種多樣����,有內部辦公人員��、運維管理人員����、社會公眾等用戶角色����,其身份的真實性如果僅僅依靠註冊信息����,那麼用戶名及口令很容易別假冒或盜用。因此如果用戶身份不能確保真實����,則會導致數據本身也可能夾雜偽造數據而成為“無主不可信數據”。
6.數據及行為可追溯
大數據應用系統在數據的訪問及操作���、業務流程的申辦及審核過程中��,如果未建立行為溯源機制���,當數據發生非法泄露或惡性行為失控事件後���,找不到該數據集的泄露��、漏洞責任源����,不利於敏感信息的保密。
因此所有敏感數據的訪問用戶及業務申辦審批流程各環節均需要對個人的訪問及申辦審批行為負責���,最大限度避免核心數據顺利获得內部泄密和非法篡改。
綜上所述��,不論是在大數據平台的服務端還是客戶端��,所有業務均面臨由於密碼應用缺失造成的安全風險���,可以歸納總結為三個方面的安全問題����,即認證安全��:客戶端的身份真實性���、數據及行為可追溯;傳輸安全��:客戶端的接入安全��、服務端的數據傳輸安全;存儲安全��:服務端的數據存儲安全���、密鑰使用及存儲安全。
二.大數據云密碼應用解決方案介紹
1).方案總體架構
evo真人(中国)大數據云密碼應用解決方案主要依賴基礎密碼設備或系統给予的雲密碼服務���,在兩個數據中心分別部署相同的密碼基礎設施���,實現雲密碼應用雙活模式。密碼基礎設施包括雲服務器密碼機����、簽名驗簽服務器��、IPSec/SSL VPN安全網關��、時間戳服務器等密碼硬件設備��,以及以密碼硬件設備為基礎的雲密碼資源池子系統����、數字證書認證子系統���、雲密鑰管理服務子系統���、電子簽章服務子系統���、雲加密傳輸存儲服務等��,這些密碼基礎設施顺利获得定製化和標準化兩類密碼服務接口��,為上層大數據平台自身及其承載的應用系統给予一站式的雲密碼應用支撐服務。
圖(1)方案總體網絡架構圖
圖(2)大數據中心密碼基礎設施組成
2).關鍵技術介紹
1.大數據云密碼應用拓撲及介紹
圖(3)雲密碼應用拓撲圖
雲密碼應用中離不開密碼基礎設施的支撐��,密碼設備虛擬化是實現雲密碼應用的關鍵技術之一����,該項目中主要應用到的虛擬化密碼設備是支持虛擬密碼機的雲服務器密碼機。
雲服務器密碼機在雲平台環境下����,基於SR-IOV虛擬化技術����,以網絡形式����,可以為多個租戶的應用系統给予密碼服務。虛擬密碼機是在雲服務器密碼機上��,採用虛擬化技術創建出來的给予類同實體密碼機服務的密碼服務實例。
2.雲密碼應用雙活設計拓撲及描述
圖(4)雲密碼應用雙活設計拓撲圖
為了滿足兩個數據中心的雙活要求��,密碼基礎設施也完成了雙活模式的部署��,該項目中關鍵核心技術就是密鑰等重要數據的安全同步。
設備認證
密碼基礎設施採用設備認證機制���,設備完成雙向認證後���,才可安全通訊。
安全傳輸
密鑰等重要的數據顺利获得國密SSL協議安全傳輸����,並對傳輸數據進行簽名及完整性校驗����,確保數據安全同步。
瞬間遷移
密碼基礎設施如遇一側發生故障���,在客戶無感知的情況下進行的瞬間遷移����,確保雲密碼應用的高可用性。
3.大數據云密碼應用所需相關產品
雲服務器密碼機
簽名驗簽服務器
數字證書服務子系統
雲密鑰管理服務子系統
電子簽章服務子系統
IPSEC VPN綜合安全網關
時間戳服務器
智能密碼鑰匙
