数据中心安全管理体系构架探究.docVIP

数据中心安全管理体系构架探究 　　摘要：针对政府部门或者金融机构构建安全数据中心，对现有的安全隐患做简要的介绍和分析，在此基础之上提出信息系统和相应的安全防御系统架构的解决方案，以及配套的安全管理制度建设，为系统设计人员和流程管理人员提供了一套完整的工作思路，为系统运维人员指明了安全生产监控工作的重点。 关键词关键词：安全管理；数据中心；信息安全；DDOS 中图分类号：TP309.2 文献标识码：A 文章编号文章编号2013）007015203 0 前言 在当今信息化高速发展的时代，政府部门或者金融机构都面临着海量统计数据的处理，它们以信息系统为基础，以互联网为途径，为社会公众提供各种各样的服务。这些机构内部通过信息系统处理海量的数据，既要求具有高效性，保证工作的顺利进行；也要求充分保障流程的安全性，在对公众提供服务的同时，能够抵御互联网的各种安全威胁。这就需要在设计信息系统和相应的安全防御系统架构时，既要在实现上简单可行，又要在管理上统一有效，节约实施和运维成本，真正达到“绿色数据中心”的要求。 1 现有安全隐患 除管理制度上的安全隐患之外，数据中心的主要安全隐患来自于现有网络各种攻击技术。 2.1 数据中心边界 数据中心边界在整个网络架构中起到网关的作用，作为内部应用系统和互联网的信息交互通道，公众通过它来对应用系统进行访问[2]。它允许重要的应用数据通过，首当其冲地遭到各种病毒攻击，针对这一区域采用一些有效的防御措施和解决方案尤为重要。 在数据中心边界，设置一系列安全方案，其中包括： （1）配置安全预警系统。集病毒扫描、入侵检测（Intrusion Detection）和网络监视功能于一体，实时捕获网络之间传输的所有数据，利用内置的病毒和攻击特征库，通 过使用模式匹配和统计分析的方法，检测出网络上发生的病毒入侵、违反安全策略的行为和异常现象，分析可能出现的攻击行为，对各种入侵行为做出响应，同时在不影响网络性能的前提下进行监测，避免由外部攻击造成的损失[3]。并在数据库中记录有关事件，作为事后分析的依据，实时对CPU占用率进行检查，防御DDoS攻击，保持系统的可用性。 （2）部署高性能的防火墙、防病毒网关，过滤掉容易受到病毒袭击的服务端口组，在网络边缘实现病毒监测、拦截和清除等功能。 （3）专网加密机和CA认证中心。专网加密机主要是通过对所传输信息进行加密，接收方用私有密钥对接收到的信息进行解密，避免信息在传输中遭到破坏。认证中心针对信息的安全性、完整性、正确性和不可否认性等问题，采用了数字签名技术，通过数字证书把证书持有者的公开密钥（Public Key）与用户身份信息紧密安全地结合起来，以实现身份确认和不可否认性。 （4）进行应用协议检查。针对HTTP、FTP、SMTP和POP3协议进行内容检查、病毒清除等工作，对互联网与邮件进行访问控制，包括日志记录、认证、授权和审计，以保证互联网服务安全。同时，通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系，不但可以保护数据中心资源不受外来侵犯，同时也可以阻止内部用户对外部不良资源的滥用。 另外，为保证互联网数据传输交互的安全性，可通过虚拟专用网络（Virtual Private Network，简称VPN）技术，实现不同地理位置的子部门或者分支机构用户对应用信息系统的安全访问。VPN技术为用户提供了一种通过公用网络安全地对内部专用网络进行远程访问的连接方式。VPN连接使用隧道作为传输通道，而这个隧道是建立在公共网络或专用网络基础之上。使用该技术可以为系统节点之间的数据传输提供点到点的安全通道，能有效提高数据传输的安全性和稳定性[4] 。 2.2 应用信息系统 政府部门或者金融机构通过各类应用信息系统对社会公众提供服务。信息系统通常设计成浏览器/服务器（Browser/Server）体系结构，通过Internet/Intranet模式下的数据库应用，实现不同的人员、从不同的地点、以不同的接入方式（如LAN、WAN、Internet/Intranet等）访问和操作共同的数据库，能有效地保护数据平台和管理访问权限[5]。在系统实体上，应用信息系统包括Web服务器、应用系统、数据库系统以及存储区域。 应用信息系统相对于数据中心的其它两部分而言，有较强的独立性。另外，各应用系统部署时相对独立，为不同的应用系统服务器分配不同的IP地址，当新业务系统上线或者原有应用系统升级时，不会影响到数据中心的架构，不影响其它应用系统及整个网络的正常运行。 2.2.1 Web访问安全 Web服务器对外部的用户提供Web访问的功能，因此