随着大数据科学与云计算的迅猛发展,信息网络和信息系统基础架构、系统结构发生变化。在数据与信息安全方面,单纯依靠入侵检测、安全与病毒探测等传统技术已经远不能满足当下爆炸式增长的病毒攻击现状,故为了避免网络入侵等黑客行为与阻拦安全防护行为的出现,企业级的大数据平台在基础云环境和大数据环境下的信息安全防护技术得以蓬勃发展,可在保证数据完整性的条件下确保信息安全,具有较强的可操作性。
云计算关键技术
云计算是指在网络技术高速发展的基础上,通过网络存储、负载均衡、虚拟化、分布式计算等现代计算机处理技术,将网络中多个计算机实体融合起来,建立一套具有强大计算能力的系统,为用户提供方便、可靠、强大的计算能力,通过不断提高云平台能力,减少用户在本地实体中投资的资金,云计算技术框架如图一所示。
IaaS安全
IaaS 层是云计算平台的最底层,可为上层智慧云应用提供计算、存储、网络等资源,故 IaaS 层的安全直接关系到整个云平台的安全。
IaaS 层的安全可从以下几点考虑:
物理环境安全:在访问控制方面,应注意对云机房的重要区域进行划分和隔离,对重要区域人员进出进行监控;在应急保障方面,应具备足够的冗余来保障网络和电力的供应,为重要的设备提供长期的供电电源。
设备主机安全:在访问控制方面,应该确保口令的复杂程度,限制非法登录的次数,口令定期更换;在配置管理方面,应对重要的主机以及虚拟机的计算、内存、网络资源的使用情况进行监控;在安全评估方面,应对重要的虚拟机和主机设备进行定期的安全性测试和评估,并根据测试和评估的结果进行整改。
PaaS层安全
PaaS层主要依赖于IaaS提供的计算、存储、网络等资源,可为上层云平台应用的运行提供支撑,常见的存储技术由GFS(如图二所示)、HDFS 等。
PaaS 层的安全主要分为以下几点:
接口安全:云平台是一个相对开放的平台,为保证服务器、存储、网络等资源能够被云平台良好地调度与管理,要求系统能够提供一系列开放的API 接口,云计算运行管理平台能够通过 API 接口、命令行脚本实现对设备的配置与策略下发,故可以考虑利用身份验证机制和加密密钥等方式来解决安全问题。
数据库安全:在访问控制方面,应该确保口令的复杂程度,限制非法登录的次数,口令定期更换;对每一个访问数据库的用户按照操作内容分配所需最小权限;定期对多余、异常的账户进行清理;在安全审计上,关于数据库的审计应单独部署,对数据库用户行为、资源使用情况以及重要命令使用要进行记录。
SaaS层安全
SaaS层可提供访问服务,企业级数据中心应用软件统一部署在云机房的服务器上,用户可以通过互联网访问相关数据和服务。
SaaS层的安全主要分为以下几点:
多租户安全:需要考虑采用隔离的手段来保证资源使用的独立性;采用访问控制列表来控制各户访问的边界;SaaS中的一些应用收集和产生的数据较为敏感,需对重要数据进行加密;应用管理是分散的,会有多个管理用户参与管理,可以建立完善的集中身份认证系统,防止系统的非法访问。
应用程序安全:一般可通过部署Web应用设备为应用层提供安全防护,对相关的数据应用进行统一安全管理。
云计算和大数据环境下的信息加密法
云计算环境下的数据敏感模型建立
依据数据的敏感性不同,在被泄露和破坏后给个人、企业和国家所造成的损害程度也不同,故对于不同敏感等级的数据,所采取的保护方案也应当更加具有针对性,如可以从安全技术的管理方面来入手。首先建立起相关的敏感数据模型,在进行数据加密前将数据进行等级的划分, 依据敏感程度不同可以选择全盘加密、部分数据加密以及完全不加密等方式,从中制定出最为适合的加密方案,从而有效提高加密的效果。
另外,因为加密方案的级别越高,为了确保数据的安全性,加密的过程和时间也就越长,除了需要全盘加密的数据外,建立数据敏感模型,能够有效节省时间。在选择加密方案的过程中,应充分判断出需要破解密文所花费的代价,确保加密信息的价值高于破译的代价。总之,为确保云计算环境下的数据存储的安全性和高效性,在进行加密前建立数据敏感模型是非常必要的,不过用户除了通过加密方案对数据进行加密的自主保护行为之外,还需要通过云计算系统所提供的审计保护来确保数据的安全强度。
数据加密法
数据风险区域示意图如图三所示。数据风险区域可划分为: 源信息与数据源;数据起始端终端; 局域网系统数据发送方; 源端边界; 公共共享区域; 终端边界; 局域网系统数据获取方; 数据接收端终端; 数据获取端B。
云计算环境下,不仅认证服务、数据加密存储、安全管理以及安全日志和审计有安全问题,数据的隔离、迁移和残留等方面也有较大的安全隐患。因为不同用户所存储的数据可能会被放置在同一空间内,从而造成非授权访问的现象,当服务器出现问题时,就会将数据转移至其他能够正常运行的服务中。但在这一过程中,往往会出现信息泄露等问题。从目前的情况来看,这些问题还没有很好的解决办法,需要进一步地研究和探讨。
企业级云计算数据中心信息安全技术应用示例
生物识别
用户可以拍摄脸部照片或用智能手机记录声音,并发送到云端进行识别,面部、虹膜、指纹和声音之类的生物特征数据中包含可以唯一识别其所有者的信息,而对于这些敏感信息需保护其免于无关访问。在生物识别系统中,生物特征数据通常经处理后与存储在数据库中的某些模板进行比较,以确定系统是否识别生物特征数据的所有者,虽然基于云的生物识别具备许多优点,例如用户识别系统支持用户数量的可扩展性、随时随地访问识别服务等,但是当云不受信任时,应该对生物特征数据和模板数据库进行加密,同时云也需要能够执行所需的识别操作。
电子健康
DNA、心电图、核磁共振图像等个人生物学和医学数据包含了有关人体的重要信息,例如:医疗保健提供方等第三方可能希望访问这些数据来诊断疾病、确定某个人的健康状况;基于各种医疗目的(如流行病学调查)对数据库进行协作研究或统计回顾性分析,这些数据的云存储和处理对于这些应用是非常有益的,例如医疗保健机构可以免于应对管理和维护计算系统的工作,还可以轻松实现多个组织之间医疗数据库的共享和协同研究。另一方面,这些个人资料若没有得到适当的保护可能会对当事人的隐私构成重大风险,并对其生活造成不良影响,例如携带特定致癌基因的人,其投保请求可能遭到医疗保险公司拒绝,员工可能因具有患某种疾病的倾向而无缘签 署终身劳动合同,对采用公共云的那些应用来讲,加强此类个人数据的保护,同时不影响云处理数据结果是至关重要的。
云视频监控
云视频监控是一项智能的视频托管服务,用户可以用较低的成本部署监控摄像头,摄像头录制的视频上传至云端,云端存储监控视频数据并自动检测异常事件,必要时将向用户报警。 云视频监控系统可利用云端的存储和计算能力,并支持异构终端随时随地远程观看,采取资源租用的模式满足灵活变化的用户需求。
中培教育IT常青树专家王老师指出,在云计算和大数据背景下,企业级数据中心将这二者融合起来可实现软件的服务功能,不仅能为用户提供更加高效的计算服务,还能够有效降低成本,加快计算的反应速度以及灵活程度,基于目前竞争极为激烈的环境下,对于云计算模式的数据存储安全问题及关键技术也有了一定的分析和成果,进一步扩大了云计算和大数据发展空间。
想了解更多IT资讯,请访问中培教育官网:中培教育