数据中心与大数据安全系统建设的总体架构

针对数据中心与大数据安全威胁的多样化、体系化，防御体系利用先发优势，在各个层面进行纵深覆盖，实现风险分化、协同互补，构建一套环环相扣的威胁感知、边界安全防护、平台安全防护、业务安全防护、数据安全防护多重纵深防御体系。

从云端到终端、从业务到数据、从事前到事后，为数据中心提供无所不在的全方位保护，在大数据环境中为用户提供多层次、多维度、体系化纵深防御的解决方案，综合提升应对新型安全威胁的能力，真正做到看得见的安全和有效安全。

1、边界安全防护

基于业务的风险和控制需求，在安全区域边界、网络出口边界、无线接入边界、终端接入边界建立健全的边界立体防控体系，网关安全等实现边界协同防御，同时通过与威胁情报中心的情报交互，以及流量的上下文情景感知分析，实现动态策略自动下发与阻断，将已知或未知威胁阻断在边界之外，有效保护各边界区域的网络信息安全。

通过建立大数据分布式环境中的 4A 体系（账号 Account、认证 Authentication、授权 Authorization、审计 Audit），保证只有具备合法账号、通过身份认证、经过访问授权的人才能使用大数据平台，且具备平台各个系统使用和访问的集中统一审计与监控。

通过对业务和应用的深入分析，从业务系统的代码缺陷、自身加固不足入手，再对用户数据业务访问的行为详细审计分析，进行源代码安全检测、分析、溯源、缺陷管理，建立系统漏洞管理和响应机制；对 Web 系统进行安全扫描、监测、防护；进行日志、数据库、大数据方面的审计。

对大数据平台中的数据进行加密和数据密级管理，基于分布式数据复制、校验等技术实现数据的完整性、可用性，通过网关敏感信息检查、终端敏感信息检查、终端数据加密实现数据的安全可控和防泄漏。

数据中心和大数据安全体系的设计理念是在整体安全攻防体系下考虑大数据平台和数据安全，主要特点如下：

安全体系是一个整体：大数据安全不是孤立的，要基于整体安全攻防体系来构建大数据安全。整体安全攻防体系包括威胁感知、边界安全、平台安全、业务安全、数据安全等。
大数据环境的 4A 体系：在分布式、海量数据的大数据环境中，构建用于大数据平台内所有系统的统一账号（Account）、认证（Authentication）、授权（Authorization）、审计（Audit）4A 体系。
大数据加密体系：所有数据加密存储、加密传输，实现数据密级管理体系，根据不同密级的数据选择不同强度加密算法、数据多层加密。
差异化多级防御：不同安全产品基于不同安全技术从不同角度保护系统的安全，防止单点被突破后整体安全沦陷。