数据中心安全策略的体系架构与功能设计汇编.docx

数据中心安全策略的体系架构与功能设计数据中心建设的安全策略 数据中心安全策略的体系架构数据中心安全的内容已从原来的保密性和完整性扩展为信息的可用性、核查性、真实性、抗抵赖性以及可靠性等范围，更涉及到包括计算机硬件系统、操作系统、应用程序以及与应用程序相关联的计算机网络硬件设施和数据库系统等计算机网络体系的方方面面，具体架构如图1所示。从图1中可以看出，数据中心建设的安全策略包括4层：硬件安全防护层、数据安全检测层、数据隔离恢复层和数据安全备份层。数据中心安全策略的功能设计硬件安全防护层数据中心建设的硬件安全主要采用的策略包括高速带宽、服务器负载平衡以及防火墙的使用。（1）高速带宽（High Speed Bandwidth）为了使数据中心在激烈的计算机网络竞争中处于领先地位，高质量的网络连接是维持高质量数据中心的基本要素。为避免因计算机网络带宽的共享问题产生冲突而降低数据中心的功能和效率，应该为数据中心的管理者和使用者提供最大限度的利用带宽。（2）服务器负载平衡（Server Load Balancing）单一的服务器不能满足数据中心日益增加的用户访问量、数据资源和信息资源。数据中心的应用系统采用了3层结构，数据中心中大量复杂的查询、重复的计算以及动态超文本网页的生成都是通过服务器来实现的，而服务器的速度一直都是数据中心数据处理速度的“瓶颈” 。为了满足ISP/ICP的需求，提高数据中心服务器的访问性能，数据中心建设采用了服务器负载均衡的先进技术。网络负载均衡器是一个非常重要的计算机网络产品，利用一个IP资源就可以根据用户的要求产生多个虚拟的IP服务器，按照一定协议能够使它们协调一致地工作。不同的用户或者不同的访问请求可以访问到不同的服务器，使得多个服务器可以同时并行工作，提高服务器的访问性能。如果当计算机“黑客” 攻击某台服务器而导致该服务器的系统瘫痪时，负载均衡器和负载均衡技术会关闭其与该系统的连接，将其访问分流到其他服务器上，保证了数据中心持续稳定的工作。（3）防火墙（Firewall）防火墙技术是位于Internet之间或者内部网络之间以及Internet与内部网络之间的计算机网络设备或计算机中的一个功能模块，主要由硬件防火墙与软件防火墙按照一定的安全策略建立起来的有机组成体，目的在于保护内部网络或计算机主机的安全。原则上只有在内部网络安全策略中合法的通信量才能顺利进出防火墙。具体功能包括保护数据的完整性、保护网络的有效性和保护数据的精密性。防火墙的使用便于数据中心硬件资源和软件资源集中的安全管理，安全策略的强制执行，从而降低了计算机网络的脆弱性，提高了数据中心的安全保密性。数据安全检测层 数据安全检测层包括数据的入侵检测和数据与安全审计两大功能，主要完成隐患数据和操作进不来以及隐患数据和操作查得出的任务。（1）入侵检测（Intrusion Detection）数据的入侵检测是一种积极的安全防护技术，是继防火墙之后的第二道安全闸门，是把数据中心的关口前移，对入侵行为进行安全检测，让存在安全隐患的数据不能进入到数据中心，主要通过收集和分析用户的网络行为；安全日志、审计规则和数据；网络中计算机系统中的若干关键点的信息，检查进入数据中心以及数据中心内部的操作、数据是否违反安全策略以及是否存在被攻击的迹象。主要采用模式匹配、统计分析和完整性分析3种分析策略。数据中心建设的入侵检测采用的是公共入侵检测框架（CIDF），其具体架构如图2所示。入侵检测系统可以根据对数据和操作的分析，检测出数据中心是否受到外部或者内部的入侵和攻击。（2）安全审计（Security Auditing）数据安全审计的作用是审计和检查出危害数据中心的操作和数据。数据安全审计系统是数据中心中的一个独立的应用系统，主要针对数据中心内部的各种安全隐患和业务风险，根据既定的审计规则（数据审计字典）对数据中心系统运行的各种操作和各种数据进行跟踪记录，采用误用检测技术、异常检测技术以及数据挖掘技术审计和检测数据中心存在的安全漏洞以及安全漏洞被利用的方式。安全审计系统主要采用分层的思想进行构建，具体结构如图3所示。安全审计系统的目标是随着数据入侵检测技术的不断成熟，安全审计系统知识库、规则库以及审计数据库的不断完善，最终实现对数据中心各种操作和数据的实时与准实时的审计和处理，达到数据中心安全防范的整体目标。数据隔离恢复层数据隔离恢复层是对数据中心中的隐患或者不安全数据和操作进行的相关处理，包括数据隔离和数据恢复，主要目的是将隐患或者不安全数据和操作赶出数据中心，以保证数据中心的安全。（1）数据隔离（Data Isolation）为了避免隐患或者不安全数据和操作造成的数据受损范围的扩大，当发现数据中心存在隐患或者不安全数据和操作时，必须进行数据隔离，禁止所有用户对相关数据的