數(shù)據(jù)中心安全防護體系探究 陳南

1、數(shù)據(jù)中心安全防護體系探究陳南摘要：數(shù)據(jù)中心在日常運維過程中，存在很多風(fēng)險點，主要涉及物理風(fēng)險、網(wǎng) 絡(luò)風(fēng)險、系統(tǒng)風(fēng)險、數(shù)據(jù)安全風(fēng)險等。本文旨在研究如何加強數(shù)據(jù)中心安全防控， 防范數(shù)據(jù)中心各類風(fēng)險點，提出必要措施，保障數(shù)據(jù)中心穩(wěn)定運行可靠。關(guān)鍵詞：數(shù)據(jù)中心，風(fēng)險點，安防措施一、概述隨著企業(yè)朝信息化、智能化的飛速發(fā)展，數(shù)據(jù)中心對于各大行業(yè)的主營業(yè)務(wù) 將是一個重要的支撐。對于信息系統(tǒng)及其數(shù)據(jù)進行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一管 理、統(tǒng)一服務(wù)使用，數(shù)據(jù)中心在其中扮演的角色越發(fā)重要。但是，由于數(shù)據(jù)中心 對于業(yè)務(wù)系統(tǒng)數(shù)據(jù)的集中存儲與處理，也使得數(shù)據(jù)中心的風(fēng)險防范變得尤為關(guān)鍵。 數(shù)據(jù)中心的風(fēng)險來源主要為物理風(fēng)險、網(wǎng)

2、絡(luò)風(fēng)險、系統(tǒng)風(fēng)險、數(shù)據(jù)風(fēng)險等。做好 數(shù)據(jù)中心的安全防范，確保信息系統(tǒng)安全穩(wěn)定運行，將保障企業(yè)主營業(yè)務(wù)穩(wěn)定可 靠。二、物理風(fēng)險防范數(shù)據(jù)中心物理風(fēng)險防范主要涉及失電風(fēng)險、空調(diào)故障風(fēng)險、失火風(fēng)險、安防 風(fēng)險等。失電風(fēng)險：為保障數(shù)據(jù)中心供電可靠，除正常市電供應(yīng)外，宜采用不間斷電 源ups系統(tǒng)、后備電源（柴油發(fā)電機）和sts靜態(tài)轉(zhuǎn)換開關(guān)作為日常供電的有效 補充。空調(diào)故障風(fēng)險：信息設(shè)備受環(huán)境溫濕度的影響很大，為保障其正常運行，數(shù) 據(jù)中心常年運轉(zhuǎn)空調(diào)制冷系統(tǒng)，使機房設(shè)備穩(wěn)定運行在溫度22-28C，濕度45-55 的環(huán)境之內(nèi)。為應(yīng)對空調(diào)故障風(fēng)險，應(yīng)加裝應(yīng)急空調(diào)系統(tǒng)，當(dāng)空調(diào)系統(tǒng)發(fā)生故障 導(dǎo)致停運時，應(yīng)急空調(diào)系統(tǒng)

3、將自動啟動，保障機房、ups室的正常運行。失火風(fēng)險：數(shù)據(jù)中心應(yīng)配備消防系統(tǒng)對整個數(shù)據(jù)中心區(qū)域進行全方位覆蓋， 消防系統(tǒng)應(yīng)包括火警自動報警、消防聯(lián)動控制、電源管理、氣體滅火、火災(zāi)應(yīng)急 廣播、防雷措施等。安防風(fēng)險：數(shù)據(jù)中心應(yīng)配置高防護級別的門禁系統(tǒng)，部署于重要區(qū)域，包括 機房，后備電源間、高壓配電間、弱電間、安全出口等。在安防上還應(yīng)配置電子 圍欄報警、視頻監(jiān)控、一鍵式報警、出入口閘機及金屬物探測、RFID、防沖撞柱 等。三、網(wǎng)絡(luò)風(fēng)險防范數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)計宜采取內(nèi)外網(wǎng)隔離，重要系統(tǒng)分區(qū)分域的方式。在數(shù)據(jù) 中心信息內(nèi)、外網(wǎng)網(wǎng)絡(luò)關(guān)鍵節(jié)點應(yīng)部署安全防護設(shè)備，采用網(wǎng)絡(luò)防火墻、防 DDOS系統(tǒng)、IDS和IPS

4、系統(tǒng)、防病毒系統(tǒng)、桌面管理和行為審計系統(tǒng)、負載均衡 設(shè)備、網(wǎng)管軟件、網(wǎng)絡(luò)分析系統(tǒng)等來保障網(wǎng)絡(luò)安全。網(wǎng)絡(luò)防火墻:可使用透明模式部署于網(wǎng)絡(luò)邊界，應(yīng)用包過濾策略，阻斷危險ip 地址，開放信任策略，保護內(nèi)部區(qū)域免受外界攻擊和非法訪問嘗試?？砷_啟事件 日志分析、訪問日志分析、http日志分析等功能，定期進行策略庫的備份及清理 工作。應(yīng)具備WEB應(yīng)用防火墻模塊，供漏洞防護、Web流量優(yōu)化、HTTP協(xié)議加 固等專業(yè)的Web應(yīng)用安全防護功能，高效保障Web服務(wù)器的可用和可靠。具備 基于應(yīng)用/用戶識別的訪問控制、流量控制、NAT轉(zhuǎn)發(fā)、ISP鏈路負載均衡、安全 威脅阻斷等功能。防DDOS系統(tǒng)：可采用旁路部署的方式

5、進行DDoS攻擊的防護，實現(xiàn)對流量的 按需清洗，能夠支持ARP、VLAN、鏈路聚合等網(wǎng)絡(luò)層協(xié)議以及靜態(tài)路由、RIP、 OSPF、BGP、策略路由等路由協(xié)議，滿足各種組網(wǎng)應(yīng)用。IDS和IPS系統(tǒng)：IDS可采用旁路部署于交換機側(cè)，檢測區(qū)域存在的各種安全 事件。開啟入侵檢測、策略管理、日志管理、日志審計等功能。IPS可采用旁路 部署方式，檢測分布式拒絕服務(wù)攻擊，對各種蠕蟲、病毒進行實時攔截，保障信 息內(nèi)網(wǎng)服務(wù)器集群的安全。滿足各種復(fù)雜網(wǎng)絡(luò)環(huán)境對應(yīng)用層安全防護的高性能、 高可靠和易管理的需求，是應(yīng)用層安全保障的最佳選擇。防病毒系統(tǒng)：在數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部署防病毒系統(tǒng)，客戶端與服務(wù)器端均安裝 防病毒軟件，開

6、啟防病毒和防間諜軟件防護、主動型威脅防護、網(wǎng)絡(luò)威脅防護等 功能，定期進行全盤殺毒掃描。桌面管理和行為審計系統(tǒng)：數(shù)據(jù)中心桌面終端機應(yīng)安裝桌面管理系統(tǒng)，實現(xiàn) 弱口令、漏洞與補丁的監(jiān)控管理。行為審計系統(tǒng)則部署于數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)，包括 行為分析、行為控制、帶寬管理、URL應(yīng)用、ACL管理等功能，對數(shù)據(jù)中心內(nèi)部 人員實現(xiàn)行為的審計管理。負載均衡設(shè)備：通過健康檢查和負載均衡調(diào)度算法，將客戶端的訪問請求合 理地分發(fā)到數(shù)據(jù)中心的各臺服務(wù)器上，以保證數(shù)據(jù)中心的響應(yīng)速度和業(yè)務(wù)連續(xù)性， 并大大提升服務(wù)器的使用效率和彈性伸縮能力；通過靜態(tài)表項匹配及動態(tài)鏈路檢 測等技術(shù)，對多條鏈路狀態(tài)進行實時的探測和監(jiān)控，確保流量以最合

7、理及快速的 方式分發(fā)到不同鏈路上，實現(xiàn)業(yè)務(wù)的高效傳輸；通過TCP優(yōu)化、TCP復(fù)用、SSL 卸載/加速、壓縮、緩存等技術(shù)，來提高用戶的訪問速度和應(yīng)用體驗。網(wǎng)管軟件：通過部署網(wǎng)管軟件系統(tǒng)，統(tǒng)一管理數(shù)據(jù)中心主機、網(wǎng)絡(luò)設(shè)備使用 狀態(tài)，分析各鏈路帶寬使用情況并動態(tài)調(diào)整分配帶寬，自動生成網(wǎng)絡(luò)拓撲并實時 監(jiān)控和報警、追蹤終端用戶、管理IP地址等。網(wǎng)絡(luò)分析系統(tǒng)：在數(shù)據(jù)中心網(wǎng)絡(luò)出口處部署網(wǎng)絡(luò)分析系統(tǒng)，并將出口處的流 量鏡像至網(wǎng)絡(luò)分析硬件，通過網(wǎng)絡(luò)分析實現(xiàn)對網(wǎng)絡(luò)流量中協(xié)議的深度分析。硬件 探針部署在網(wǎng)絡(luò)中靠近外聯(lián)鏈路或者業(yè)務(wù)層的位置，構(gòu)成業(yè)務(wù)流量的長期數(shù)據(jù)收 集。同時部署管理服務(wù)器，對業(yè)務(wù)流量情況進行長期監(jiān)控統(tǒng)計

8、分析。網(wǎng)絡(luò)探針可 以通過旁路監(jiān)聽方式接入網(wǎng)絡(luò)鏈路監(jiān)聽，或直接接入交換機（路由器）的網(wǎng)絡(luò)鏡像 端口進行監(jiān)聽。對負載均衡鏈路，需要將多條負載均衡的鏈路進行合并監(jiān)控。四、信息系統(tǒng)風(fēng)險防范定期使用漏洞掃描工具對數(shù)據(jù)中心重要信息系統(tǒng)開展漏洞掃描,針對暴露出來 的漏洞進行系統(tǒng)的漏洞修復(fù)。定期對重要信息系統(tǒng)開展等級測評，并根據(jù)測評結(jié)果進行必要的安全加固。在日常數(shù)據(jù)中心管理中，使用運維審計系統(tǒng)加強運維人員日常管理，通過運 維審計系統(tǒng)的應(yīng)用有效控制內(nèi)外部人員對服務(wù)器、網(wǎng)絡(luò)設(shè)備等IT基礎(chǔ)設(shè)施的操作 風(fēng)險，建立安全的運維操作通道，記錄、實時監(jiān)控并回放所有維護操作過程和結(jié) 果，識別并阻斷違規(guī)操作，通過對運維操作事前的

9、主動控制、事中的實時監(jiān)控、 事后的操作審計實現(xiàn)對運維操作過程的集中、統(tǒng)一管理。通過日志分析管理系統(tǒng)，利用主被動結(jié)合的手段實時不間斷地采集日志，并 將這些信息匯集到審計中心，進行集中化存儲、備份、查詢、審計、告警、響應(yīng)， 并出具豐富的報表報告，實現(xiàn)全生命周期的日志管理。五、數(shù)據(jù)風(fēng)險防范數(shù)據(jù)中心存在大量的存儲陣列用來存放重要的信息數(shù)據(jù)，在不間斷的數(shù)據(jù)傳 輸與復(fù)制過程中，為保障數(shù)據(jù)冗余安全，存儲磁盤陣列擬采用raid 5、raid6或raid10的數(shù)據(jù)保護模式。通過備份系統(tǒng)對重要信息系統(tǒng)的數(shù)據(jù)庫、文件系統(tǒng)進行定期備份。建立數(shù)據(jù) 中心統(tǒng)一備份平臺，制定科學(xué)的備份策略，對重要核心業(yè)務(wù)系統(tǒng)等進行統(tǒng)一的數(shù)

10、據(jù)備份與恢復(fù)，集中管理備份數(shù)據(jù)與資源，保障業(yè)務(wù)系統(tǒng)正常運行。備份環(huán)境建設(shè)應(yīng)等待業(yè)務(wù)系統(tǒng)正式部署投運后，按照業(yè)務(wù)系統(tǒng)的實際需求再 規(guī)劃建設(shè)，以滿足業(yè)務(wù)系統(tǒng)的備份數(shù)據(jù)恢復(fù)驗證需求。備份系統(tǒng)的部署可以有效 防止設(shè)備故障、生產(chǎn)事故等引起的數(shù)據(jù)丟失，可以有效提升核心業(yè)務(wù)系統(tǒng)的運行 連續(xù)性。當(dāng)數(shù)據(jù)中心信息系統(tǒng)面臨大規(guī)模災(zāi)難或不可預(yù)見的意外事件時，仍然可 以保證數(shù)據(jù)安全。定期開展信息系統(tǒng)本機及異機恢復(fù)演練，確保備份數(shù)據(jù)有效可用。六、總結(jié)數(shù)據(jù)中心的安全防護體系涉及物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全四 個部分。應(yīng)做好每一部分的安全防控，才能確保數(shù)據(jù)中心穩(wěn)定運行。其次還應(yīng)該 注重數(shù)據(jù)中心人員安全意識的教育，并在制度上有所約束，制定相應(yīng)的安全防范 及應(yīng)急管理制度。綜上所述，由于國內(nèi)外安全威脅層次不窮，安全形勢愈發(fā)嚴(yán)峻。 面對可能出現(xiàn)的新風(fēng)險，數(shù)據(jù)中心安全防護體系的完善任重道遠，尚需不斷努力， 在科技發(fā)展中進一步深入開展研究，不斷更新自身的防護技術(shù)，致力于營造一個安 全可用的企業(yè)信息化環(huán)境。參考文獻翁潔.數(shù)據(jù)中心災(zāi)備