軟件平臺安全體系建設

1、 1 / 10軟件平臺安全體系建設 某某軟件管理平臺，作為云平臺和大數據相結合的特殊系統(tǒng)平臺，需要重新設計和構建大數據安全架構和開放數據服務，從安全設計、安全運營等各個角度考慮，部署整體的安全解決方案。保障大數據計算過程、數據形態(tài)、應用價值的安全。1.1 1.1 安全設計 安全設計本項目的安全設計主要包含六個方面的內容：物理與環(huán)境安全、主機與存儲安全、網絡安全、虛擬化安全、數據安全、應用安全等，具體說明如下：1.2 1.2 物理

2、與 物理與環(huán)境安全 境安全物理與環(huán)境安全，是指保護大數據平臺免遭地震、水災、火災等事故以及人為行為導致的破壞。主要措施包括物理位置的正確選擇、物理訪問控制、防盜竊和防破壞、防雷、防火、防靜電、防塵、防電磁干擾等。大數據平臺機房、UPS 電源、監(jiān)控等場地設施和周圍環(huán)境及消防安全，嚴格按照國家相關標準，并滿足 24 小時不間斷運行的要求進行設計建設。1.3 1.3 主機與存 主機與存儲安全 安全大數據平臺的主機包括物理服務器、虛擬機，以及安

3、全設備在內的所有計算機設備，主要指它們在操作系統(tǒng)和數據庫系統(tǒng)層面的安全。主機安全問題主要包括操作系統(tǒng)本身缺陷所帶來的不安全因素，包括身份認證、訪問控制、系統(tǒng)漏洞等，操作系統(tǒng)的安全配置問題、病毒對操作系統(tǒng)的威脅等。主機安全，要求做到身份鑒別、訪問控制、安全審計、入侵防御、惡意代碼控制、資源控制等，主要采取的措施和技術手段包括身份認證、主機安全審計、主機入侵防御、主機防病毒系統(tǒng)等。本項目選擇高端存儲虛擬化平臺，除了提供最好的性能，擴展性，還

4、提供了業(yè)界最高的安全性。通過存儲虛擬分區(qū)，應用主機安全保護，SAN 安全保護，數據安全與統(tǒng)一容災等眾多技術保障云計算系統(tǒng)的安全。1.4 1.4 網絡安全 安全在網絡安全方面，主要做到以下幾個方面的安全防護，包括網絡架構安全、網絡訪問控制、網絡安全審計、邊界完整性檢查、網絡入侵防御、網絡設備防護?？刹扇〉闹饕踩胧┖图夹g包括防火墻、IPS、網絡安全審計系統(tǒng)、防病毒、防病毒網關、強身份認證等。此處，特別值得提出的是，拒絕服務攻擊對云計算來

5、說，其風險是非常凸顯的。拒絕服務攻擊 DoS 和 DDoS 不是云服務所特有的。但是，在云服務的技術環(huán)境中，企業(yè)中的關鍵核心數據、服務來開了企業(yè)網，企業(yè)到云服務中心。更多的應用和集成業(yè)務開始依3 / 10數據偽造，從而獲取傳輸的內容與傳輸協(xié)議。3、后端采集在后端采集數據，其實就是將數據采集的傳輸與加密交給了產品本身，認為產品本身的后端數據是可信的。而后端采集數據到分析系統(tǒng)中則是通過內網進行傳輸，這個階段不存在安全和隱私性問題。同時，內網

6、傳輸基本不會因為網絡原因丟失數據，所以傳輸的數據可以比較理想地保證數據的完整性與真實性。技術層面，可采用 Java、PHP、Python、Ruby 等后端語言的 SDK，以及 LogAgent、BatchImporter、FormatImporter 等導入工具，支持在后端采集。4、采集后的 antispam 清洗對于可以運用模擬器操作數據源或者直接用機器運行來偽造數據這一類技術手段，可在采集數據后再進行 antisapm 清洗數據。這

7、些清洗有很多不同的策略，比較常見的有：基于統(tǒng)計信息進行清洗、基于特征值進行清洗、基于設備真實性進行清洗等方式。1.8 1.8 數據存 數據存儲安全 安全提供數據存儲的安全保護，保證數據安全。1、數據分級存儲提供智能的分級存儲管理，對用戶完全透明，自動完成數據在不同的存儲設備之間的遷移。2、數據備份與恢復按數據類型、使用頻率等指標對數據進行分類備份與恢復。3、信息清除管理信息清除管理提供數據清除的管理功能，將信息清除納入數據管理流程，保證

8、數據安全。1.9 1.9 數據 數據備份安全 份安全能夠對重要信息進行備份和恢復； 提供關鍵網絡設備、通信線路和數據處理系統(tǒng)的硬件冗余，保證系統(tǒng)的可用性；提供本地數據備份與恢復功能，完全數據備份至少每天一次，備份介質場外存放；提供異地數據備份功能，利用通信網絡將關鍵數據定時批量傳送至備用場地； 采用冗余技術設計網絡拓撲結構，避免關鍵節(jié)點存在單點故障；提供主要網絡設備、通信線路和數據處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。1.10 1.1