1、书书书 ,基金项目微型电脑应用 年第 卷第期基金项目:厦门市科技计划()作者简介:裴炜旻(),男,大专,工程师,研究方向为网络安全、网络管理与运行;彭宏(),男,本科,工程师,研究方向为软件研发;陈武鑫(),男,本科,工程师,研究方向为网络管理与运行;施雅娴(),女,本科,工程师,研究方向为网络管理与运行;庄培峰(),男,本科,工程师,研究方向为网络安全。通信作者:王继伟(),男,硕士,高级工程师,研究方向为医疗信息化、人工智能在医疗领域的应用。文章编号:()基于 技术的数据中心网络改造设计与实践裴炜旻,王继伟,彭宏,陈武鑫,施雅娴,庄培峰(陆军第七十三集团军医院,福建,厦门 )摘要:随着信息
2、技术的快速发展,云计算、大数据、物联网、人工智能等新兴技术加速了医疗行业数字化转型也带来更多的安全挑战。传统的网络架构已无法满足医院信息化建设的安全需求。为了应对日益增长的网络安全威胁,医院引进基于软件定义网络技术()的 建设方案。在数据中心中分阶段建立动态自适应的网络安全闭环体系,更好为用户提供安全、快速、稳定的网络服务。关键词:;应用实时地图;安全资源池;应用微隔离中图分类号:文献标志码:,(,):,(),:;引言新冠疫情的爆发重创了全球经济、政治、医疗和社会体系,为了应对疫情、全球各政企单位纷纷开展远程办公和互联网线上业务,这种情形为网络犯罪分子提供了可乘之机。疫情期间,利用新冠病毒相关
3、信息作为诱饵,针对医疗卫生行业的网络钓鱼、勒索病毒攻击、零日漏洞、等网络攻击事件层出不穷。同时医疗卫生行业内部业务的非法授权访问,员工失误,数据窃取等内部威胁也层出不穷。年 月 爆 出 的 供 应 链 攻 击 事 件 致 使 全 球 高 达 余家政企单位感染后门程序 。其中不乏美国政府单位及各大安全厂商。年月宏碁电脑遭 勒索软件攻击,黑客开价 亿创纪录。传统网络安全架构在这种两面夹击的局面下显得捉襟见肘,已无法适应当前日益严峻的信息安全需求。设计目标在传统数据中心环境中,许多安全设备被部署在边界位置,这些设备通常结合了多种功能(如防火墙、入侵检测、数据泄露保护及防病毒等)。这些设备在用户对数据
4、中心访问时产生的南北向数据可以起到很好的安全隔离作用,而数据中心内部服务器之间东西向的数据,则会绕开安全设备监管成为安全隐患。在安全事件中,黑客一旦绕过边界防御侵入数据中心后,会花费大量时间在数据中心网络内部横向移动攻击其他服务器,试图找到他们想要的战利品使其利益最大化。而对这种横向移动没有有效控制的传统安全架构为黑客提供一条简易大道。为了应对日益增长的网络安全威胁,医院在取得国家信息安全等级保护 三级资格成果的基础上,引进基于软件定义网络技术()的服务链()网络建设方案,建立基于业务意图的弹性网络架构,以解决数据中心内南北向和东西向的安全防护问题。使其更好为用户提供安全、快速、稳定的网络服务
5、。改造实践 是近年来被广泛应用的一种新型网络结构。,基金项目微型电脑应用 年第 卷第期在开放网络基金会的定义中被描述为“在 体系结构中,控制平面和数据平面是解耦的,网络智能和状态在逻辑上是集中的,底层网络基础设施是从应用程序中分离出来的”。这种分离为网络管理员提供了高效使用网络资源和简化资源配置的能力。此外 还带来了可编程的功能:使网络管理员可以基于业务意图,轻松快速地管理、配置和优化网络资源,以支持不断变化的和发展的业务需求。随着虚拟化、分布式应用的兴起,医院数据中心的数据和应用分布在成百上千服务器或虚拟机上,任务需要在这些服务器上进行分发、计算、汇总、返回,及虚拟机资源的迁移。这些会大大增
6、加数据中心内网络东西向流量。面对这复杂的网络环境,利用 技术对数据中心网络进行安全改造不建议也不可能一蹴而就。考虑到医疗卫生行业的特殊性、医院业务连续性的要求,须制定合理有效的实施策略、分阶段开展网络改造工作。获取应用实时地图数据报文在网络中传递时需要经过各式各样的业务节点,才能保证网络能够按照设计要求提供给用户安全、快速、稳定的网络服务。当网络流量按照业务逻辑所要求的既定的顺序,经过的这些业务点(大部分是安全设备)时就是服务链,其模型如图所示。当数据中心内成千上万的服务链错综复杂地交织在一起,就构成了一张应用程序实时地图。其本质上就是应用程序上下文,包括整个数据中心和云环境中所有应用程序以及
7、组件之间所有活动流量、开发端口、进程端到端的关系可视化。一旦有了应用程序实时图,我们就能图服务链模型为应用添加分组标签。依照四类通用元数据为应用打标签:应用场景、位置、环境、角色。即它们属于哪个应用场景、所在的位置(数据中心、云环境、地理位置)、环境(开发、测试、生产)及角色(服务器、数据库服务器、处理服务器等)。通过分组标签就能了解应用程序是什么,它们在哪里托管,以及它们如何相互交互,才能为实施合理有效的安全策略和制定精细的访问控制打下坚实基础,从而更有针对性开展网络安全改造工作。安全资源池化 网络架构设计理念是将网络的控制平面和数据转发平面进行分离,从而通过集中的控制器中的软件平台去实现可
8、编程化控制底层硬件,实现对网络资源灵活的按需调配。医院一改传统网络架构中安全设备“糖葫芦串”的静态部署模式,利用 技术,实现数据中心内全域网络流量“编程化”。医院在双数据中心内分别部署两台支持 协议的核心交换机作为数据中心网络“心脏”,通过虚拟化技术将两台核心交换机被虚拟化为一台逻辑设备。同时采用链路聚合技术与园区网络进行对接,保证了链路的负载均衡、冗余备份;控制器以多机实时应用集群部署提供 小时不间断服务,发现链路故障时可实现 快速切换,保障关键业务不中断。所有的安全设备分组旁挂于核心交换机边安全管理区内形成安全资源池(见图)。安全资源池内同组安全设备并联部署并通过线缆实现双主模式运行,设备
9、间实时同步会话和策略列表,且采用二层透明模式双线连接到核心设备,支持引流和回流链路分开;通过开放网络控制器高级组件所产生的流表集中控制核心交换机数据包转发行为,动态牵引流量到需要的安全资源上进行业务流量的安全检测和分析(物理旁路,逻辑串联),实现数据中心内流量南北向安全(用户与服务器之间的安全)。控制器在按需引流的基础上还可以给同一业务流分配多种逻辑业务流路径,以负载均衡方式的部署满足业务级的可靠性备份,既避免了传统网络架构带来的单点故障、性能瓶颈、难以扩容、故障排查困难等隐患,又充分利用了原有设备,保护投资。图网络架构改造前后对比 应用微隔离网络微分段:通过执行源到目标的访问控制权限,在虚拟
10、网络内部逻辑上分隔用户和设备组,通常是对访问控制列表的实例化也称访问控制组策略。由国外组织 撰写的评估报告指出,通过针对不同颗粒度、逐步收紧的分段策略对比测试,在数据中心内采用细颗粒度的应用微隔离策略可有效限制黑客横向移动能力;随着工作负载的增加,黑客横向移动能力的难度将大幅增加。医院基于不同的分组标签,利用微分段机制将数据中心网络中不同的应用划分成多个实例,每个实例可以根据安全性、管理机制以及其他因素进行独立设计不同安全策略。例:数据库采取严格的访问控制策略,只允许特定用户访问,并执行数据泄露保护控制及防火墙保护。系统采取开放的访问控制策略,启用 应用防护。实例间通过服务链()进行连接(见图
11、)。当实例间通过服务链互相访问时,控制器依据不同实例的安全策略和应用分组标签定制不同的功能服 ,基金项目微型电脑应用 年第 卷第期务链:不同标签组的应用之间拒绝访问,仅具有相同标签组的应用之间访问服务时,控制器才会引导特定流量流经安全资源池内单个或多个安全组件具体取决于需要消除的风险,从而建立一条可根据业务需求实时调整动态的安全服务链,实现数据流量的东西向安全(服务器与服务器间的安全)。医院通过微分段机制既实现了应用微隔离,限制了恶意软件在数据中心内的横向传播;又通过动态的安全功能服务链提供了更高的安全访问控制效率,支持非敏感信息更加高效地 通 过 网 络,为 用 户 提 供 安 全、快 速、
12、稳 定 的 网 络服务。图实例模型总结医院以应用为中心、使用现有成熟的安全产品和技术、根据具体的应用场景、按照全新的逻辑组合建立起动态自适应的网络安全闭环体系。实现了对数据中心内物理计算环境、云计算环境多域整合统一管理;又能在不同的应用场景中提供强大的功能视图,采用不同的安全设计方案以匹配所设计的特定意图。既实现了对用户及设备活动全程可控的安全访问控制,同时实现了全域流量数据可视化、提升了医院运营团队运维效率。改造后的网络架构能更快、更灵活且无缝地部署网络以支持不断变化和发展的业务需求。下一阶段医院计划积极总结数据中心网络改造中的成功经验,并应用到医院园区智慧化网络建设;同时加速建立智能化的统
13、一安全管理平台,建立和完善全场景的安全态势监控、安全威胁实时预警、安全威胁紧急响应的能力。实现医院 运维全流程智能化、自动化,让信息安全更好地为智慧医院建设保驾护航。参考文献汤其宇,贾正余,王士勇,等新冠肺炎疫情防控期间网络安全结构升级与实现 中国数字医学,():(美)约翰多诺万(),(美)克里什普拉布()主编【】郎为民等译软件定义网络之旅:构建更智能、更快速、更灵活的未来网络北京:人民邮电出版社,张林霞,何利文,黄俊基于 网络的安全设备路由研究计算机工程与应用,():徐玉伟,赵宝康,时向泉,等容器化安全服务功能链低延迟优化编排研究信息网络安全,():丁万夫,须成忠,古亮面向 和 融合机制的标
14、准化业务链平台研究小型微型计算机系统,():(收稿日期:檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿檿)(上接第 页)总结在这里研究了电网中新兴的数据驱动 攻击。探究了一种基于截断奇异值分解的数据驱动 攻击方案的原理,该方案仅利用测量协方差矩阵的第一主特征向量。因此,不需要伪秩或模型顺序信息。此外,还研究了攻击强度和估计信号子空间精度之间的权衡问题。通过对该方法的研究,可以知道,通过特有的协方差矩阵能够有效识别该攻击。此外,该方案的核心思想还可应用于具有类似线性模型的其他网络物理系统。但目前,该方案仍有不足,如计算过程较为复杂,并且在效率方面仍有提高空间,未来可以结合人工智能,诸如深度学习的相关知识,进行优化。参考文献高翔,陈贵凤,赵宏雷基于数据挖掘的电力信息系统网络安全态势评估 电测与仪表,():,:,():刘俊辉智能电网中虚假数据注入攻击方法与检测方法的研究广州:广东工业大学,():,():徐彬彬 攻击和检测设计及其在典型网络化控制系统中的实现杭州:浙江工业大学,:,():王轶楠电力信息物理系统建模及网络攻击环境下的脆弱性研究杭州:浙江大学,薛东博智 能 电 网 中虚假数 据 注 入 攻 击 检 测 研 究 重庆:重庆邮电大学,():():(收稿日期:)
