数据中心安全防护体系探究 陈南 摘要:数据中心在日常运维过程中,存在很多风险点,主要涉及物理风险、网络风险、系统风险、数据安全风险等。本文旨在研究如何加强数据中心安全防控,防范数据中心各类风险点,提出必要措施,保障数据中心稳定运行可靠。 关键词:数据中心,风险点,安防措施 一、概述 随着企业朝信息化、智能化的飞速发展,数据中心对于各大行业的主营业务将是一个重要的支撑。对于信息系统及其数据进行统一规划、统一建设、统一管理、统一服务使用,数据中心在其中扮演的角色越发重要。但是,由于数据中心对于业务系统数据的集中存储与处理,也使得数据中心的风险防范变得尤为关键。数据中心的风险来源主要为物理风险、网络风险、系统风险、数据风险等。做好数据中心的安全防范,确保信息系统安全稳定运行,将保障企业主营业务稳定可靠。 二、物理风险防范 数据中心物理风险防范主要涉及失电风险、空调故障风险、失火风险、安防风险等。 失电风险:为保障数据中心供电可靠,除正常市电供应外,宜采用不间断电源ups系统、后备电源(柴油发电机)和sts静态转换开关作为日常供电的有效补充。 空调故障风险:信息设备受环境温湿度的影响很大,为保障其正常运行,数据中心常年运转空调制冷系统,使机房设备稳定运行在温度22-28℃,湿度45-55的环境之内。为应对空调故障风险,应加装应急空调系统,当空调系统发生故障导致停运时,应急空调系统将自动启动,保障机房、ups室的正常运行。 失火风险:数据中心应配备消防系统对整个数据中心区域进行全方位覆盖,消防系统应包括火警自动报警、消防联动控制、电源管理、气体灭火、火灾应急广播、防雷措施等。 安防风险:数据中心应配置高防护级别的门禁系统,部署于重要区域,包括机房,后备电源间、高压配电间、弱电间、安全出口等。在安防上还应配置电子围栏报警、视频监控、一键式报警、出入口闸机及金属物探测、RFID、防冲撞柱等。 三、网络风险防范 数据中心的网络设计宜采取内外网隔离,重要系统分区分域的方式。在数据中心信息内、外网网络关键节点应部署安全防护设备,采用网络防火墙、防DDOS系统、IDS和IPS系统、防病毒系统、桌面管理和行为审计系统、负载均衡设备、网管软件、网络分析系统等来保障网络安全。 网络防火墙: 可使用透明模式部署于网络边界,应用包过滤策略,阻断危险ip地址,开放信任策略,保护内部区域免受外界攻击和非法访问尝试。可开启事件日志分析、访问日志分析、http日志分析等功能,定期进行策略库的备份及清理工作。应具备WEB应用防火墙模块,供漏洞防护、Web流量优化、HTTP协议加固等专业的Web应用安全防护功能,高效保障Web服务器的可用和可靠。具备基于应用/用户识别的访问控制、流量控制、NAT转发、ISP链路负载均衡、安全威胁阻断等功能。 防DDOS系统:可采用旁路部署的方式进行DDoS攻击的防护,实现对流量的按需清洗,能够支持ARP、VLAN、链路聚合等网络层协议以及静态路由、RIP、OSPF、BGP、策略路由等路由协议,满足各种组网应用。 IDS和IPS系统:IDS可采用旁路部署于交换机侧,检测区域存在的各种安全事件。开启入侵检测、策略管理、日志管理、日志审计等功能。IPS可采用旁路部署方式,检测分布式拒绝服务攻击,对各种蠕虫、病毒进行实时拦截,保障信息内网服务器集群的安全。满足各种复杂网络环境对应用层安全防护的高性能、高可靠和易管理的需求,是应用层安全保障的最佳选择。 防病毒系统:在数据中心网络内部署防病毒系统,客户端与服务器端均安装防病毒软件,开启防病毒和防间谍软件防护、主动型威胁防护、网络威胁防护等功能,定期进行全盘杀毒扫描。 桌面管理和行为审计系统:数据中心桌面终端机应安装桌面管理系统,实现弱口令、漏洞与补丁的监控管理。行为审计系统则部署于数据中心网络内,包括行为分析、行为控制、带宽管理、URL应用、ACL管理等功能,对数据中心内部人员实现行为的审计管理。 负载均衡设备:通过健康检查和负载均衡调度算法,将客户端的访问请求合理地分发到数据中心的各台服务器上,以保证数据中心的响应速度和业务连续性,并大大提升服务器的使用效率和弹性伸缩能力;通过静态表项匹配及动态链路检测等技术,对多条链路状态进行实时的探测和监控,确保流量以最合理及快速的方式分发到不同链路上,实现业务的高效传输;通过TCP优化、TCP复用、SSL卸载/加速、压缩、缓存等技术,来提高用户的访问速度和应用体验。 网管软件:通过部署网管软件系统,统一管理数据中心主机、网络设备使用状态,分析各链路带宽使用情况并动态调整分配带宽,自动生成网络拓扑并实时监控和报警、追踪终端用户、管理IP地址等。 网络分析系统:在数据中心网络出口处部署网络分析系统,并将出口处的流量镜像至网络分析硬件,通过网络分析实现对网络流量中协议的深度分析。硬件探针部署在网络中靠近外联链路或者业务层的位置,构成业务流量的长期数据收集。同时部署管理服务器,对业务流量情况进行长期监控统计分析。网络探针可以通过旁路监听方式接入网络链路监听,或直接接入交换机(路由器)的网络镜像端口进行监听。对负载均衡链路,需要将多条负载均衡的链路进行合并监控。 四、信息系统风险防范 定期使用漏洞扫描工具对数据中心重要信息系统开展漏洞扫描,针对暴露出来的漏洞进行系统的漏洞修复。 定期对重要信息系统开展等级测评,并根据测评结果进行必要的安全加固。 在日常数据中心管理中,使用运维审计系统加强运维人员日常管理,通过运维审计系统的应用有效控制内外部人员对服务器、网络设备等IT基础设施的操作风险,建立安全的运维操作通道,记录、实时监控并回放所有维护操作过程和结果,识别并阻断违规操作,通过对运维操作事前的主动控制、事中的实时监控、事后的操作审计实现对运维操作过程的集中、统一管理。 通过日志分析管理系统,利用主被动结合的手段实时不间断地采集日志,并将这些信息汇集到审计中心,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的报表报告,实现全生命周期的日志管理。 五、数据风险防范 数据中心存在大量的存储阵列用来存放重要的信息数据,在不间断的数据传输与复制过程中,为保障数据冗余安全,存储磁盘阵列拟采用raid 5、raid6或raid10的数据保护模式。 通过备份系统对重要信息系统的数据库、文件系统进行定期备份。建立数据中心统一备份平台,制定科学的备份策略,对重要核心业务系统等进行统一的数据备份与恢复,集中管理备份数据与资源,保障业务系统正常运行。 备份环境建设应等待业务系统正式部署投运后,按照业务系统的实际需求再规划建设,以满足业务系统的备份数据恢复验证需求。备份系统的部署可以有效防止设备故障、生产事故等引起的数据丢失,可以有效提升核心业务系统的运行连续性。当数据中心信息系统面临大规模灾难或不可预见的意外事件时,仍然可以保证数据安全。 定期开展信息系统本机及异机恢复演练,确保备份数据有效可用。 六、总结 数据中心的安全防护体系涉及物理安全、网络安全、系统安全、数据安全四个部分。应做好每一部分的安全防控,才能确保数据中心稳定运行。其次还应该注重数据中心人员安全意识的教育,并在制度上有所约束,制定相应的安全防范及应急管理制度。综上所述,由于国内外安全威胁层次不穷,安全形势愈发严峻。面对可能出现的新风险,数据中心安全防护体系的完善任重道远,尚需不断努力,在科技发展中进一步深入开展研究,不断更新自身的防护技术,致力于营造一个安全可用的企业信息化环境。 参考文献 [1]翁洁. 数据中心灾备系统风险管理[J]. 信息系统工程,2013,(07): 68. [2]海燕. 数据集中下信息系统的风险控制[J]. 华南金融电脑,2010,18(08):56-57. [3]孙煜程.面向数据中心的安全风险评估信息系统的设计与实现[D].山东大学,2014. [4]孙红梅,贾瑞生. 大数据时代企业信息安全管理体系研究[J]. 科技管理研究,2016,36(19):210-213. 本文来源:https://www.wddqw.com/doc/245d5fad5d0e7cd184254b35eefdc8d377ee1457.html