◆楊 波

（北京市地震局 北京 100080）

基于SDN架構(gòu)的災(zāi)備中心數(shù)據(jù)安全威脅及應(yīng)對方法

◆楊 波

（北京市地震局 北京 100080）

SDN是一種新興的維護網(wǎng)絡(luò)安全的技術(shù)，為系列網(wǎng)絡(luò)安全問題提供了解決之道?；赟DN架構(gòu)用于災(zāi)備中心，能大大地提高災(zāi)備中心數(shù)據(jù)的安全性，具有一定的實踐應(yīng)用意義。本文分析了災(zāi)備的定義、分類、恢復(fù)資源要素及安全威脅等，利用SDN架構(gòu)一種全新的災(zāi)備數(shù)據(jù)網(wǎng)絡(luò)，為災(zāi)備中心數(shù)據(jù)安全提供了極大的保障。

SDN；災(zāi)備中心數(shù)據(jù)；威脅；應(yīng)對

1 災(zāi)備相關(guān)概述及其存在的安全威脅分析

1.1 災(zāi)備定義、分類及恢復(fù)資源要素

所謂的災(zāi)備，是災(zāi)難備份的簡稱，具體指當(dāng)突發(fā)災(zāi)難，包括地震、水災(zāi)、火災(zāi)、設(shè)備癱瘓故障以及各種人為故障時，可以利用信息系統(tǒng)數(shù)據(jù)的遠程備份，來將原有數(shù)據(jù)恢復(fù)的一種方式。

根據(jù)災(zāi)備的使用與實際情況來看，災(zāi)備多分為三大類，即數(shù)據(jù)級災(zāi)備、應(yīng)用級災(zāi)備和業(yè)務(wù)級災(zāi)備。其中數(shù)據(jù)級災(zāi)備主要是針對大數(shù)據(jù)系統(tǒng)的各項數(shù)據(jù)進行災(zāi)難備份，通過對數(shù)據(jù)的遠程備份，確保發(fā)生災(zāi)難后，能快速完整地恢復(fù)數(shù)據(jù)信息，確保原有數(shù)據(jù)不會遭受破壞。這也是災(zāi)備的基礎(chǔ)環(huán)節(jié)，構(gòu)建簡單，成本投入較低。而應(yīng)用級災(zāi)備在數(shù)據(jù)級災(zāi)備的基礎(chǔ)上，新增了應(yīng)用系統(tǒng)級災(zāi)備的內(nèi)容，遇到突發(fā)災(zāi)難時，能短時間恢復(fù)數(shù)據(jù)，還能完整接管整個信息系統(tǒng)，保障性較數(shù)據(jù)級災(zāi)備更高[2]。

眾所周知，無論是數(shù)據(jù)級災(zāi)備還是應(yīng)用級災(zāi)備都屬于IT范圍，而對于業(yè)務(wù)而言，除了IT保障外，還需要一定的非IT系統(tǒng)保障，才能確保在出現(xiàn)災(zāi)難時，在保證數(shù)據(jù)、應(yīng)用系統(tǒng)完好的情況下，擁有一個備份工作場所，繼續(xù)開展業(yè)務(wù)。這就是所謂的業(yè)務(wù)級災(zāi)備，需要電話、掃描儀、打印機、傳真等辦公設(shè)備，這一災(zāi)備級別是最高級的。

從《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》中不難發(fā)現(xiàn)，支持災(zāi)難恢復(fù)資源的共有7大要素，分別為數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)、備用網(wǎng)絡(luò)系統(tǒng)、備用基礎(chǔ)設(shè)施、專業(yè)技術(shù)支持能力、運行維護管理能力、災(zāi)難恢復(fù)預(yù)案等[3]。每一個要素都為災(zāi)難資源恢復(fù)做出了一定的支持與貢獻，是不可或缺的組成部分。

1.2 災(zāi)備中心數(shù)據(jù)存在的安全威脅分析

隨著對計算機網(wǎng)絡(luò)的大量應(yīng)用，數(shù)據(jù)量也隨之急劇增長，據(jù)相關(guān)數(shù)據(jù)統(tǒng)計，2008年較2007年各種新增數(shù)據(jù)就高達281ExaByte，增長近75%，遠遠超過了可用存儲介質(zhì)264 ExaByte總?cè)萘考s6%。而數(shù)據(jù)的飛速增加，給災(zāi)備數(shù)據(jù)中心帶來的最直觀問題，就是存儲問題，需要不斷地增加存儲介質(zhì)，部署災(zāi)備中心數(shù)據(jù)空間等。同時，數(shù)據(jù)量的急劇增長也給災(zāi)備中心數(shù)據(jù)系統(tǒng)帶來極大挑戰(zhàn)，需要對大量的硬件進行整體升級以提升系統(tǒng)處理能力。

災(zāi)備系統(tǒng)多需要異地部署，對數(shù)據(jù)傳輸具有較高要求，相應(yīng)地也加大了對傳輸寬帶的要求，而傳統(tǒng)的傳輸寬帶由于傳輸時間長，很可能降低系統(tǒng)的運行效率，無法及時完成相關(guān)數(shù)據(jù)的傳輸，從而導(dǎo)致災(zāi)備系統(tǒng)功能發(fā)揮效果不佳。

數(shù)據(jù)量的加大，在敏感數(shù)據(jù)的完整安全保護上也提出了新的挑戰(zhàn)，需要同時關(guān)注數(shù)據(jù)的可用性、完整性以及機密性。而原有的一些災(zāi)備系統(tǒng)，在數(shù)據(jù)處理上更集中于其可用性，而忽略了對數(shù)據(jù)完整性及機密性的重視，也給災(zāi)備中心數(shù)據(jù)帶來一定的安全威脅。

2 基于SDN架構(gòu)的災(zāi)備中心威脅應(yīng)對方法探析

隨著社會各界對災(zāi)備中心數(shù)據(jù)安全的關(guān)注提高，了解到傳統(tǒng)災(zāi)備中心存在著數(shù)據(jù)存儲不足、數(shù)據(jù)傳輸不及時、網(wǎng)絡(luò)安全存在隱患等重大挑戰(zhàn)。本文在軟件定義網(wǎng)絡(luò)（SDN）基礎(chǔ)上，架構(gòu)一個虛擬融合的災(zāi)備中心網(wǎng)絡(luò)，力求進一步提高對災(zāi)備中心數(shù)據(jù)的安全防護。

2.1 SDN概述

（1）定義

SDN源自于美國斯坦福大學(xué)的一個研究，主要利用上層開放的應(yīng)用資源接口，通過進行軟件編程來實現(xiàn)對網(wǎng)絡(luò)架構(gòu)中的問題解決。簡單來說，SDN就是基于OpenFlow 技術(shù)的一種軟件定義網(wǎng)絡(luò)。

（2）支持技術(shù)

SDN的廣泛應(yīng)用實踐，在于其具有很多其他無法比擬的關(guān)鍵性技術(shù)，包括：網(wǎng)絡(luò)操作系統(tǒng)、轉(zhuǎn)發(fā)面抽象建模、OpenFlow技術(shù)等。SDN的智能化性能實現(xiàn)離不開網(wǎng)絡(luò)操作系統(tǒng)（NOS）的支持，主要任務(wù)是進行轉(zhuǎn)發(fā)面數(shù)據(jù)流的有效管控。轉(zhuǎn)發(fā)面抽象建模是SDN的核心關(guān)鍵技術(shù)之一，采用抽象建模的方式更便于上下層之間的交互，并統(tǒng)一為上層應(yīng)用提供接口，支持數(shù)據(jù)的交流。而OpenFlow技術(shù)則在轉(zhuǎn)發(fā)面控制協(xié)議基礎(chǔ)上，將其抽象成多級流表轉(zhuǎn)發(fā)模型，通過將OpenFlow流表由網(wǎng)絡(luò)控制器，傳到OpenFlow交換機的過程，來加強對交換機轉(zhuǎn)發(fā)的控制[4]。

（3）SDN架構(gòu)

根據(jù)SDN網(wǎng)絡(luò)架構(gòu)可以明顯看出，其有效的將傳統(tǒng)的網(wǎng)絡(luò)設(shè)備解耦成了分離形式，以此實現(xiàn)控制與轉(zhuǎn)發(fā)分離的目的。在這一架構(gòu)中，主要包含應(yīng)用、控制、轉(zhuǎn)發(fā)3層架構(gòu)。

2.2 災(zāi)備中心數(shù)據(jù)的安全防護

依據(jù)災(zāi)備中心數(shù)據(jù)實際進行SDN架構(gòu)，其安全防護更多在控制和應(yīng)用平面上，可以通過增強安全策略的沖突檢測，確保其一致性以及網(wǎng)絡(luò)的可用性，在控制平面上能有效地維護數(shù)據(jù)轉(zhuǎn)發(fā)的穩(wěn)定，或是通過在應(yīng)用平面上，加大安全應(yīng)用的開發(fā)部署，也能實現(xiàn)對災(zāi)備中心數(shù)據(jù)的安全防護。

而在SDN應(yīng)用平面上進行安全應(yīng)用的部署，最常見的就是防火墻的應(yīng)用。尤其是Neutron在虛擬網(wǎng)絡(luò)安全中的應(yīng)用具有良好的數(shù)據(jù)安全防護效果，不僅如此其也加快了對負載均衡、VPN等功能的研發(fā)。Neutron防火墻功能的實現(xiàn)，主要由防火墻策略、防火墻規(guī)則以及虛擬防火墻組成。

其中最基礎(chǔ)的就是防火墻規(guī)則，對包過濾所涉及的信息、執(zhí)行動作進行定義；防火墻策略就是對防火墻規(guī)則的一個大集合[5]；虛擬防火墻需要依靠OpenStack平臺來實現(xiàn)，同時要與防火墻策略相適應(yīng)才能發(fā)揮防火墻功能。加強SDN架構(gòu)下災(zāi)備數(shù)據(jù)中心防火墻技術(shù)，有利于進一步阻礙對數(shù)據(jù)的破壞，提供一層保護膜。

除了防火墻技術(shù)外，OpenFlow技術(shù)還能有效地防止DDoS的攻擊，為災(zāi)備中心數(shù)據(jù)安全防護提供幫助。日本某公司在2012年就利用SDN對其災(zāi)備中心網(wǎng)絡(luò)進行了革新，并重新進行了網(wǎng)絡(luò)部署，還巧妙地利用OpenFlow交換機實現(xiàn)了對DDoS攻擊的防護，具有一定的借鑒價值。

首先，需要在災(zāi)備數(shù)據(jù)總?cè)肟诼酚善骷捌渌婕暗降穆酚善髋栽O(shè)置一臺OpenFlow交換機，并將入侵檢測設(shè)備部署在總?cè)肟谔?。SDN控制器會巧妙的將路由器、IPS與軟件接口相連，當(dāng)檢測到了DDoS攻擊時，IPS通過接口發(fā)送通知給SDN控制器，就會自動的更改入口路由器的相關(guān)配置，并將發(fā)送目標(biāo)流量引至OpenFlow交換機，就會對這些進行相關(guān)處理[6]。即對DDoS惡意攻擊報文進行分析、刪除、清理，而將正常的報文的IP地址還原，再送回總?cè)肟诘穆酚善?，接收相關(guān)數(shù)據(jù)信息。

同時為了確保數(shù)據(jù)的安全，還可以利用子數(shù)據(jù)中心的OpenFlow交換機進行二次清洗，大大地提高了災(zāi)備中心數(shù)據(jù)的安全性。

通過與傳統(tǒng)災(zāi)備中心系統(tǒng)的對比，可以看出基于SDN架構(gòu)的網(wǎng)絡(luò)系統(tǒng)，具有一定的優(yōu)勢，尤其在數(shù)據(jù)安全防護上?？梢岳每刂破骱蛙浖涌诰湍軐β酚善鳌⒘髁壳逑丛O(shè)備進行統(tǒng)一的管理，體現(xiàn)了其高效的可控性，更加嚴謹科學(xué)。同時，在DDoS攻擊防護中，成本低，成效顯著，只需利用SDN架構(gòu)中的OpenFlow協(xié)議和控制器就能實現(xiàn)，且其對攻擊的監(jiān)測是全天24小時的自動化管理，通過報警設(shè)備提醒技術(shù)人員進行安全防護。

同時OpenFlow交換機在識別流量時具有一定的靈活性，通過規(guī)制的不同，在清洗完成惡意流量后，還能自動回復(fù)原有IP地址，避免形成環(huán)路，帶來不便。當(dāng)然，利用OpenFlow技術(shù)進行DDoS攻擊防護，不會對整個災(zāi)備中心SDN架構(gòu)產(chǎn)生較大影響，無需進行修改，具有一定的通用性和便捷性。

3 結(jié)語

綜上所述，災(zāi)備對于數(shù)據(jù)、系統(tǒng)等的恢復(fù)重建具有積極作用，能有效地降低由于突發(fā)災(zāi)難造成的各種破壞。災(zāi)備的重要性日益突出，也逐漸受到各領(lǐng)域的關(guān)注與重視，尤其是如何在當(dāng)前技術(shù)條件下，建立完善的災(zāi)備數(shù)據(jù)系統(tǒng)，以及確保其安全穩(wěn)定性成為重要話題。

SDN是一種新興并應(yīng)用范圍較廣的技術(shù)，能將系統(tǒng)分離為應(yīng)用、控制、轉(zhuǎn)發(fā)3部分，將其應(yīng)用到災(zāi)備數(shù)據(jù)中心安全防護上，其效果不容小覷。

[1]邵延峰，賈哲.軟件定義網(wǎng)絡(luò)安全技術(shù)研究[J].無線電工程，2016.

[2]白勇.數(shù)據(jù)級災(zāi)難備份技術(shù)的理論與實踐[J].金融科技時代，2012.

[3]楊義先，姚文斌，陳釗.信息系統(tǒng)災(zāi)備技術(shù)綜論[J].北京郵電大學(xué)學(xué)報，2010.

[4]王淑玲，李濟漢等.SDN架構(gòu)及安全性研究[J].電信科學(xué)，2013.

[5]郭春梅，張如輝，畢學(xué)堯.SDN網(wǎng)絡(luò)技術(shù)及其安全性研究[J].信息網(wǎng)絡(luò)安全，2012.

[6]陶冶，張尼等.SDN安全防護技術(shù)研究[J].電信技術(shù)，2014.