1、1. 数据中心与大数据安全方案1.1 数据中心与大数据安全概述随着信息技术的迅猛发展,大数据技术在各行各业的逐步落地,越来越多的单位和组织建设数据中心、部署大数据平台,进行海量数据的采集、存储、计算和分析,开发多种大数据应用解决业务问题。在大数据为业务带来巨大价值的同时,也带来了潜在的安全风险。一方面,传统数据中心面临的安全风险如网络攻击、系统漏洞等依然存在;另一方面,针对大数据的数据集中、数据量大、数据价值大等新特点的安全风险更加凸显,一旦数据被非法访问甚至泄漏损失非常巨大。1.2 数据中心与大数据安全风险分析数据中心和大数据环境下的安全风险分析如下: 合规性风险:数据中心的建设需满足等级保
2、护或分级保护的标准,即需要建设安全技术、管理、运维体系,达到可信、可控、可管的目标。为了满足合规性需求,需要在安全技术、运维、管理等方面进行更加灵活、冗余的建设。 基础设施物理安全风险:物理层指的是整个网络中存在的所有的信息机房、通信线路、硬件设备等,保证计算机信息系统基础设施的物理安全是保障整个大数据平台安全的前提。 边界安全风险:数据中心的边界包括接入终端、服务器主机、网络等,终端包括固定和移动终端都存在被感染和控制的风险,服务器主机存在被入侵和篡改的风险,数据中心网络存在入侵、攻击、非法访问等风险。 平台安全风险:大数据平台大多在设计之初对安全因素考虑较少,在身份认证、访问控制授权、审计
3、、数据安全方面较为薄弱,存在冒名、越权访问等风险,需要进行全方位的安全加固。 业务安全风险:大数据的应用和业务是全新的模式,在代码安全、系统漏洞、Web 安全、访问和审计等多个方面存在安全风险。 数据安全风险:由于数据集中、数据量大、数据价值大,在大数据环境下数据的安全尤为重要,数据的访问控制、保密性、完整性、可用性方面都存在严峻的安全风险。 运营管理风险:安全技术和策略最终要通过安全运营管理来落实,安全运营管理非常重要,面临管理疏漏、响应不及时或力度不够、安全监控和分析复杂等风险。1.3 数据中心与大数据安全解决方案1.3.1 设计原则本方案需要充分考虑长远发展需求,统一规划、统一布局、统一
4、设计、规范标准,并根据实际需要及投资金额,突出重点、分步实施,保证系统建设的完整性和投资的有效性。在方案设计和项目建设中应当遵循以下的原则: 合规性和规范化原则安全规划和建设应严格遵循国家信息安全等级保护或分级保护标准和行业有关法律法规和技术规范的要求,同时兼顾参考国际上较为成熟的ISO27000、CSA 的成熟范例,从技术、运行管理等方面对项目的整体建设和实施进行设计,充分体现标准化和规范化。 国产自主化原则大数据中心信息的安全,关乎整个上层应用的信息系统平稳运转和工作正常开展,采用国产化自主可控的硬件和软件进行数据中心和大数据安全,避免国外技术封锁和后面带来的根本性安全风险。 适度安全原则
5、任何信息系统都不能做到绝对的安全,在安全规划过程中,要在安全需求、安全风险和安全成本之间进行平衡和折中,过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建设的初衷,因此该安全规划在进行设计的过程中,一方面要严格遵循基本要求,从物理、网络、主机、应用、数据、虚拟化、虚拟网络等层面加强防护措施,保障信息系统的机密性、完整性和可用性,另外也要综合考虑业务和成本的因素,针对信息系统的实际风险,提出对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。 技术管理并重原则信息安全问题从来就不是单纯的技术问题,把防范黑客入侵和病毒感染理解为信息安全问题的全
6、部是片面的,仅仅通过部署安全产品很难完全覆盖所有的信息安全问题,因此必须要把技术措施和管理措施结合起来,更有效的保障信息系统的整体安全性。 先进性和成熟性原则所建设的安全体系应当在设计理念、技术体系、产品选型等方面实现先进性和成熟性的统一。首先,云产品必须成熟,更加遵守标准。第二,云供应商必须与用户签署相关合同协议,这有助于客户满足云合规性的需求。并且,选择目前和未来一定时期内有代表性和先进性的成熟的安全技术,既保证当前系统的高安全可靠,又满足系统在很长生命周期内有持续的可维护和可扩展性。 动态调整原则信息安全问题不是静态的。信息系统安全保障体系的设计和建设,必须遵循动态性原则。必须适应不断发
7、展的信息技术和不断改变的脆弱性,必须能够及时地、不断地改进和完善系统的安全保障措施。 保密原则项目的整体过程和结果应严格保密,涉及项目的所有人员均需签署保密协议,未经授权,对项目涉及的任何信息不得泄露。1.3.2 总体架构针对数据中心与大数据安全的安全分析,基于上述设计原则,数据中心与大数据安全的总体架构如下:针对数据中心与大数据安全威胁的多样化、体系化,防御体系利用先发优势,在各个层面进行纵深覆盖,实现风险分化、协同互补,构建一套环环相扣的威胁感知、边界安全防护、平台安全防护、业务安全防护、数据安全防护多重纵深防御体系。从云端到终端、从业务到数据、从事前到事后,为数据中心提供无所不在的全方位
8、保护,在大数据环境中为用户提供多层次、多维度、体系化纵深防御的解决方案,综合提升应对新型安全威胁的能力,真正做到看得见的安全和有效安全。 威胁感知:360 建立了基于大数据安全分析和威胁情报的云计算中心,形成有效对抗新型威胁的防御和检测体系,通过该体系,可以挖掘未知威胁、预知风险,全面、快速、准确地感知过去、现在、为了的威胁态势,同时经过提炼后的情报信息会实时同步到边界、业务、数据安全防护体系中,大幅提升边界、平台、业务、数据的整体安全防护能力。 边界安全防护:基于业务的风险和控制需求,划分不同的物理/逻辑安全区域,在安全区域边界、网络出口边界、无线接入边界、终端接入边界建立健全的边界立体防控
9、体系,基于天擎终端安全、天堤网关安全等产品实现边界协同防御,同时通过与威胁情报中心的情报交互,以及流量的上下文情景感知分析,实现动态策略自动下发与阻断,将已知或未知威胁阻断在边界之外,有效保护各边界区域的网络信息安全。 平台安全防护:通过建立大数据分布式环境中的 4A 体系(账号 Account、认证 Authentication、授权 Authorization、审计 Audit),保证只有具备合法账号、通过身份认证、经过访问授权的人才能使用大数据平台,且具备平台各个系统使用和访问的集中统一审计与监控。 业务安全防护:通过对业务和应用的深入分析,从业务系统的代码缺陷、自身加固不足入手,再对用
10、户数据业务访问的行为详细审计分析,进行源代码安全检测、分析、溯源、缺陷管理,建立系统漏洞管理和响应机制;对 Web 系统进行安全扫描、监测、防护;进行日志、数据库、大数据方面的审计。 数据安全防护:对大数据平台中的数据进行加密和数据密级管理,基于分布式数据复制、校验等技术实现数据的完整性、可用性,通过网关敏感信息检查、终端敏感信息检查、终端数据加密实现数据的安全可控和防泄漏。数据中心和大数据安全体系的设计理念是在整体安全攻防体系下考虑大数据平台和数据安全,主要特点如下: 安全体系是一个整体:大数据安全不是孤立的,要基于整体安全攻防体系来构建大数据安全。整体安全攻防体系包括威胁感知、边界安全、平
11、台安全、业务安全、数据安全等。 大数据环境的 4A 体系:在分布式、海量数据的大数据环境中,构建用于大数据平台内所有系统的统一账号(Account)、认证(Authentication)、授权(Authorization)、审计(Audit)4A 体系。 大数据加密体系:所有数据加密存储、加密传输,实现数据密级管理体系,根据不同密级的数据选择不同强度加密算法、数据多层加密。 差异化多级防御:不同安全产品基于不同安全技术从不同角度保护系统的安全,防止单点被突破后整体安全沦陷。1.3.3 安全威胁感知基于 360 云端大数据中心和企业本地大数据中心以及数据中心流量分析,安全威胁感知体系可以及时洞察
12、展现数据中心的安全威胁和安全态势。360 态势感知与安全运营平台 NGSOC 及时发现本地的威胁和异常,同时通过图形化、可视化的技术将这些威胁和异常的总体安全态势进行展现。360 天眼能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源。360 NGSOC 和 360 天眼都基于云端威胁情报中心提供的可机读威胁情报与本地流量数据相结合,威胁情况可以根据数据中心实际情况采取在线产线、云端推送、离线拷贝等多种灵活方式进入数据中心。1.3.3.1 威胁态势感知360 态势感知与安全运营平台 NGSOC 是基于 360 威胁情报和
13、本地大数据技术的对用户本地的安全数据进行快速、自动化的关联分析,及时发现本地的威胁和异常,同时通过图形化、可视化的技术将这些威胁和异常的总体安全态势展现给用户的系统。360 态势感知与安全运营平台一方面可基于 360 自有的多维度海量互联网安全数据,进行情报挖掘与云端关联分析,提前洞悉各种安全威胁,并将威胁情报以可机读格式推送到本地系统,供本地威胁检测和分析时使用,另一方面,360 态势感知与安全运营平台可对本地全量数据进行采集和存储,利用大数据技术在本地进行安全数据分析和威胁溯源。整个设计将遵循发现、阻断、取证、溯源、研判、拓展的安全业务闭环设计,使得用户能通过产品各个功能模块完成威胁处置的
14、全过程。360 态势感知与安全运营平台 NGSOC 主要实现以下功能: 日志检索日志检索 APP 的主要功能是对采集到的全量原始日志进行快速检索,可实现千亿条日志秒级检索的性能。 关联分析关联分析 APP 是方便安全分析人员对多维度数据进行关联并分析攻击路径、取得攻击证据链的工具。在此 APP 上安全分析员可以将原始网络流量日志、原始主机日志、安全设备告警、威胁情报、互联网基础数据等多维度数据进行关联,寻找攻击者的在内网留下的痕迹,对攻击进行溯源和研判,并按照时间维度形成攻击证据链。 威胁情报利用通过从 360 云端获取(在线查询、云端推送或离线拷贝)可机读威胁情报,本地系统可自动创建分析规则
15、,对本地网络中采集的数据进行实时比对比对,发现可疑的连接行为;同时,可利用威胁情报对历史数据进行比对,以发现曾经发生过的 APT 攻击行为或本地网络中的 Botnet 主机,并可利用情报对安全事件进行溯源分析。 告警响应中心360 态势感知与安全运营平台采集的数据维度较多,太多的日志和告警反而让安全管理员无从下手。通过告警响应中心,安全管理员可将多个不同维度的数据进行关联后再做研判,这样可大大减少有效告警数量,提升安全管理效率。在告警响应中心,安全管理员可将潜在的威胁的判定逻辑做成关联规则,实时的发现符合威胁判定逻辑的内网行为,并产生告警。在发现关联告警后,安全管理员可将告警内容和响应建议通过
16、邮件、短信等方式发送给指定的安全事件处置人员,或者将其推送到下级处置中心,如:天擎终端管控中心。在下级处置中心完成事件处置后,告警响应中心会将告警事件标记为“已处置”。 报表中心提供丰富的报表管理功能;根据时间、数据类型等定期自动生成报表,提供打印、导出以及邮件送达等服务;直观地为管理员提供决策和分析的数据基础,帮助管理员掌握网络及业务系统的状况。报表可以保存为 HTML、EXCEL、文本、PDF、WORD、PNG 等多种格式,提供报表模版的导入、导出功能,用户可根据需求自定义相关报表模版进行数据的导入、导出。 网站监控网站监控 APP 是用于监测网站安全性与可用性的系统,与常见监控技术不同的
17、是网站监控 APP 采用了云扫描、互联网漏洞众测平台及云多点探测等新技术,解决了以往网站监测仅依靠本地漏洞扫描及人工值守存在的时效性和准确性等问题。网站监控系统能通过云扫描技术对大量网站同时进行漏洞扫描,并具备篡改、挂马及暗链的发现能力,通过互联网漏洞众测平台保证漏洞(包括 WEB 0Day)发现的准确性及时效性,通过云多点监测全天候对大量网站进行可用性监测。 安全仪表板利用系统采集的海量数据,并根据用户不同的安全分析应用场景,精心定义了四类不同的安全仪表板,分别为资产威胁视图、互联网威胁视图、安全告警视图、资产安全监控视图。资产威胁视图中定义了内网资产拓扑、资产安全事件告警及漏洞统计、资产风
18、险统计、组件状态等仪表板;互联网威胁视图中定义了外部威胁视图、外联安全事件告警统计、外联安全事件告警详情等仪表板;安全告警视图中主要定义了安全事件告警详情、安全事件告警处置、安全事件处置状态等仪表板;资产安全监控视图中主要定义了安全域资产信息统计、安全域各维度告警及风险统计、安全域所包含资产的漏洞详情等仪表板。通过这些仪表板的使用,极大提高了安全事件的可视化展现能力,同时帮助分析人员从视图中快速发现异常,提供深入分析的线索。 可视化的事件溯源分析通过利用威胁情报发现 APT 攻击或 Botnet 主机后,可进一步通过系统提供的可视化分析工具和海量的云端安全数据,对事件进行溯源分析,在互联网范围
19、内发现类似的攻击事件,找出攻击事件背后的团伙和实际的攻击者,提高分析人员对安全事件的溯源分析能力。 态势感知大屏态势感知大屏 APP 提供 4 种面向不同安全场景的态势监控界面:APT 攻击态势、DDoS 攻击态势、僵木蠕毒安全态势和网站安全态势。1.3.3.2 大数据安全分析360 天眼新一代威胁感知系统(以下简称“天眼”)可基于 360 自有的多维度海量互联网数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并向客户推送定制的专属威胁情报。同时结合部署在客户本地的大数据平台,进行本地流量深度分析。360 天眼能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源,帮助企业防患于未察。
