校园数据中心层次安全策略应用研究.pdfVIP

文章编号： 1671-1742 （ 2007 ） 01-0076-04 校园数据中心层次安全策略应用研究 张 靖 （攀枝花学院网络中心，四川 攀枝花 617000 ） 摘要：校园数据中心是数字化校园的核心基础，包含了各种网络应用和服务的数据，其安全性关系到各项网络 应用 系 统 的 安 全 和 稳 定 运 行。参 考 OSI 模 型 原 理 和 根 据 现 实 运 行 情 况，提 出 了 校 园 数 据 中 心 层 次 性 安 全 防 范 策 略，分级分层部署，保证了校园网络系统应用安全，具有一定的使用价值。 关 键 词：数据中心；层次；安全；策略 中图分类号： TP393 .18 文献标识码： A 收稿日期： 2006-05-23 校园数据中心是数字化校园的枢纽，是学校的信息中心，是保证数字化校园的各个应用系统稳定、高效的 运行的基础。数据中心包含各种应用服务器及数据，必须建立切实可行的安全防范体系，才能保证数据的安 全，提供可靠的应用服务。单一的网络安全产品，或者各种安全产品、安全技术的简单堆砌并不能保证网络的 安全性能，只有在安全策略的指导下，才能有效地保证校园数据中心内关键业务和关键数据的安全。 1 层次安全 传统的计算机安全模型中， 1985 年推出的 TCSEC 模型是静态计算机安全模型的代表， P2DR 模型是可适应 网络安全理论或称为动态信息安全理论的主要模型，它是 TCSEC 模型的发展，也是目前被普遍采用的安全模 型。 P2DR 模型包含 4 个主要部分： Policy （安全策略）、 Protection （防护）、 Detection （检测）和 Response （响应）。防 护、检测和响应组成了一个所谓的“完 整 的、动 态 的”安 全 循 环，在 安 全 策 略 的 整 体 指 导 下 保 证 信 息 系 统 的 安 全［1］。 图 1 数据中心层次安全 目前 网 络 安 全 是 技 术 与 管 理 的 有 效 结 合，但 P2DR 忽 略 了 管 理 的 重 要 性。 根据 OSI 模型原理和实际运行情况，数据中心的安全按照数据处理和传输分层 次进行安全防范，分为 6 个层次：物理环境、网络传输、操作系统、数据库、应用及 管理，以此建立数据中心的安全防范策略和措施，分级分层部署，保证数据中心 应用安全。如图 1 所示。 2 物理环境安全 为保护计算机设备、设施（含网络）以及其它媒体免遭地震、水灾、火灾、有害 气体和其它环境事故（如电磁污染等）破 坏，应 采 取 的 保 护 措 施，对 于 重 要 的 数 据，需要进行异地备份［2］。 2 .1 运行环境 要在物理环境上保证运行系统的安全、稳定的运行，数据中心机房的运行环 境应需要从以下几方面来考虑。 （ 1 ）功能区域划分。机房分为设备区和工作区。设备区主要用于放置网络设备、恒温恒湿空调、 UPS 等设 备，工作区主要用于操作人员及放置控制设备。 （ 2 ）机房环境。机房提供恒温、恒湿、无尘的环境。在装修机房的时候，需要安装防静电地板，作好防雷、接 地，机房的温度应保持在 21C 左右。 （ 3 ）安全监控。为防止人为故意破坏及盗窃，安装基于 IP 的摄像监控系统，记录机房内人员等活动情况。 第 22 卷第 1 期 2007 年 2 月 成 都 信 息 工 程 学 院 学 报 JOURNAL OF CHENGDU UNIVERSITY OF INFORMATION TECHNOLOGY Vol . 22 No . 1 Feb . 2007 安装门禁系统，禁止无关人员入内，禁止工作人员非法跨工作区操作。 （ 4 ）机房布线。机房布线需要注意将数据线与电源线分开，同时做好标记。 （ 5 ）消防系统。使用烟雾报警系统和环保气体灭火系统。 （ 6 ）电力供应。供配电系统的安全、可靠是保证机房设备安全可靠运行的关键，保证两路独立电源接入。 机房设备属于一级负荷，按一级负荷的供电要求必须保证两个以上独立的电源点供电。结合实际情况，采用市 电 + UPS 后备电池相结合的供电方式。接地系统由大楼提供，要确保机房内计算机系统与动力、照明系统接 地相对独立。 2 .2 设备稳定可靠 服务器、交换机系统是整个数据中心的基本核心系统，设备性能稳定可靠，保证 7 ! 24 小时运行，设备关键 硬件冗余，并方便扩充。 图 2 双机备份系统结构示意图 2 .3 数据备份 人为的错误、硬 盘 的 损 毁、电 脑 病 毒、自 然 灾 难 等 都 有 可 能 导 致 系统的瘫痪以及数据的丢失，给数据中心造成重大的、甚至是灾难性 的损失。要真正保 证 数 据 的 安 全 可 靠，提 高 当 灾 难 出 现 时 的 抵 御 与 恢复能力，就必须做好数据的备份。如图 2 所示双机热备。