數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)與設(shè)計要求作文

　　摘要：目前國內(nèi)企業(yè)信息化建設(shè)、電子政務(wù)興起都將倚靠數(shù)據(jù)集中的蓬勃發(fā)展。同時，數(shù)據(jù)大集中以及大數(shù)據(jù)的推動也必將倚靠數(shù)據(jù)中心的建設(shè)。作為網(wǎng)絡(luò)中資源最密集的載體、數(shù)據(jù)交換最頻繁的中心基礎(chǔ)網(wǎng)絡(luò)，數(shù)據(jù)中心網(wǎng)絡(luò)的研究與設(shè)計將成為等級保護(hù)建設(shè)工作的重要內(nèi)容。本文分析采用數(shù)據(jù)中心網(wǎng)絡(luò)安全特征的基礎(chǔ)上，探尋與傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)安全特征的差異，結(jié)合信息系統(tǒng)安全等級保護(hù)的基本要求，從技術(shù)、物理、管理三個方面，針對在新的數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)中可能導(dǎo)致的安全問題，探討了數(shù)據(jù)中心網(wǎng)絡(luò)在安全設(shè)計層面的新標(biāo)準(zhǔn)與新要求。

　　關(guān)鍵詞：等保測評；數(shù)據(jù)中心；基礎(chǔ)網(wǎng)絡(luò)

　　伴隨著互聯(lián)網(wǎng)中的應(yīng)用程序日漸豐富與多樣化，數(shù)據(jù)中心的基礎(chǔ)運(yùn)行環(huán)境由原來的C/S架構(gòu)逐漸向由通過網(wǎng)絡(luò)設(shè)備互聯(lián)的服務(wù)器集群的方面轉(zhuǎn)型。因此，由傳統(tǒng)的通過硬件、操作系統(tǒng)、操作系統(tǒng)之上的應(yīng)用系統(tǒng)所組成的基礎(chǔ)架構(gòu)變得越來越復(fù)雜。然而，這越來越復(fù)雜的結(jié)果導(dǎo)致即將轉(zhuǎn)型為數(shù)據(jù)中心的安全體系帶來了更多的風(fēng)險與困難，一些數(shù)據(jù)中心的安全策略配置不當(dāng)或者不正確，往往都會給非法入侵者留下可被利用的后門或漏洞。盡管網(wǎng)絡(luò)管理員、系統(tǒng)管理員、系統(tǒng)安全員等相關(guān)負(fù)責(zé)人都已經(jīng)擁有相對較高的安全防護(hù)理念與意識，并通過不斷架設(shè)安全設(shè)備來保障數(shù)據(jù)中心的安全性與健壯性，但對于層出不窮和日益完善的黑ke攻擊手段，這些傳統(tǒng)的防御理念和措施仍不足以保障數(shù)據(jù)中心的安全。因此，管理集約化、精細(xì)化的產(chǎn)物——數(shù)據(jù)集中就應(yīng)運(yùn)而生。目前國內(nèi)企業(yè)信息化建設(shè)、電子政務(wù)興起都將倚靠數(shù)據(jù)集中的蓬勃發(fā)展。同時，數(shù)據(jù)大集中以及大數(shù)據(jù)的推動也必將倚靠數(shù)據(jù)中心的建設(shè)。作為網(wǎng)絡(luò)中資源最密集的載體、數(shù)據(jù)交換最頻繁的中心基礎(chǔ)網(wǎng)絡(luò)，數(shù)據(jù)中心無疑是一個充滿發(fā)展前景的新星產(chǎn)業(yè)。然而，數(shù)據(jù)中心由于是大數(shù)據(jù)的集合，必然包含無數(shù)信息與機(jī)密，對于數(shù)據(jù)中心上的任何防護(hù)漏洞必將導(dǎo)致無法計算的損失，因此構(gòu)筑一道完善且完整的安全防護(hù)體系將是其首要解決的問題。

　　一、現(xiàn)有數(shù)據(jù)中心安全分析

　　1.1針對應(yīng)用層面的攻擊。應(yīng)用層面的攻擊方式包括緩沖區(qū)代碼溢出、植入病毒、蠕蟲攻擊、植入后門木馬等，其中，應(yīng)用攻擊中最典型的方式為蠕蟲攻擊。蠕蟲是指"通過計算機(jī)網(wǎng)絡(luò)進(jìn)行自我復(fù)制的惡意程序，泛濫時可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓"[1]。從本質(zhì)上講，蠕蟲可以在網(wǎng)絡(luò)中主動進(jìn)行傳播，進(jìn)而對系統(tǒng)進(jìn)行破壞，而病毒則需要手工干預(yù)，比如利用外部存儲介質(zhì)的讀寫、點(diǎn)擊非法鏈接而被植入病毒。

　　1.2針對網(wǎng)絡(luò)層面的攻擊。在數(shù)據(jù)中心中針對網(wǎng)絡(luò)層面的攻擊主要包括分布式拒絕服務(wù)攻擊（DDoS）、拒絕服務(wù)攻擊（DoS）等。雖然DDOS/DOS存在由來已久，但其破壞力卻仍然被網(wǎng)絡(luò)管理員以及安全管理員所忌憚。最常見的DDOS攻擊方法有ECF（EstablishedConnectionFlood）、SYNFlood和CPSF(ConnectionPerSecondFlood)。DOS攻擊程序有UDP反彈以及ICMPSmurf等方式。DDOS/DoS攻擊利用了TCP/IP的開放性原則，即協(xié)議自身規(guī)定的從任意源地址向任意目標(biāo)地址都可以發(fā)送數(shù)據(jù)包，導(dǎo)致DDOS/DOS利用合理的、海量的、不間斷的服務(wù)請求來耗盡網(wǎng)絡(luò)、系統(tǒng)等可利用的資源，使得合法用戶無法獲取正常的服務(wù)響應(yīng)。隨著分布式技術(shù)的不斷的完善與改進(jìn)，及時在網(wǎng)絡(luò)和系統(tǒng)性能的大幅提升的今天，數(shù)以億計的主機(jī)同時對某一網(wǎng)絡(luò)系統(tǒng)發(fā)起攻擊，造成的后果不言而喻，最直接的影響即使網(wǎng)絡(luò)癱瘓、系統(tǒng)無法正常使用。

　　1.3針對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊。數(shù)據(jù)中心作為一個充滿發(fā)展前景的新星產(chǎn)業(yè)。又是大數(shù)據(jù)的集合，其中包含了無數(shù)信息與機(jī)密數(shù)據(jù)，即使外圍安全設(shè)備部署的再完善，如果內(nèi)部管理不當(dāng)，依然會被攻破，而且來自內(nèi)部的攻擊更具破壞性。企業(yè)內(nèi)部的不法分子在充分了解數(shù)據(jù)中心的架構(gòu)與部署的前提下，不僅可以通過黑ke技術(shù)繞過防火墻，還可以憑借對網(wǎng)絡(luò)構(gòu)架的充分了解，通過嗅探技術(shù)、違規(guī)訪問、攻擊路由器/交換機(jī)設(shè)備等手段，訪問非授權(quán)的數(shù)據(jù)，這將無疑對企業(yè)造成更為重大的損失。

　　1.4數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計原則。由于數(shù)據(jù)中心承載著其上用戶的所有機(jī)密數(shù)據(jù)、核心業(yè)務(wù)或核心技術(shù)，并且數(shù)據(jù)中心還為內(nèi)部之間提供數(shù)據(jù)之間的交換與業(yè)務(wù)之間的交互。因此，在構(gòu)建數(shù)據(jù)中心的網(wǎng)絡(luò)安全時，要從以下幾個方面進(jìn)行合理規(guī)劃與建設(shè)：

　　1.4.1安全分區(qū)：要將數(shù)據(jù)中心的網(wǎng)絡(luò)劃分為各個不同的安全區(qū)域，同時確保不同區(qū)域之間未經(jīng)許可不能訪問，用戶和客戶機(jī)在對數(shù)據(jù)中心訪問時只可以訪問他可以訪問的區(qū)域，禁止違規(guī)外聯(lián)和非法訪問以及惡性的入侵攻擊。

　　1.4.2性能保障：要通過建立高性能、可靠性高的網(wǎng)絡(luò)環(huán)境，確保數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)耐暾�性，同時可以利用CRC循環(huán)校驗算法校驗數(shù)據(jù)在網(wǎng)絡(luò)中的丟失情況，使得數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中加了雙重保險。

　　1.4.3技管并重：很多人會認(rèn)為，只要技術(shù)上有了足夠的保證，那么安全性必然有了保證。其實不然，正所謂系統(tǒng)的安全性保證都是三分靠技術(shù)，七分靠管理，技術(shù)層面設(shè)計得再優(yōu)良，也要有與之對應(yīng)的管理制度去推動。1.4.4新近原則：及時汲取當(dāng)前最新的安全技術(shù)，以減輕安全管理的負(fù)擔(dān)為目標(biāo)，實現(xiàn)安全管理的自動化，同時減小因為人為管理認(rèn)知上的漏洞對系統(tǒng)安全造成威脅。

　　1.4.5平衡發(fā)展：在構(gòu)建數(shù)據(jù)中心的時候要充分考慮今后業(yè)務(wù)和網(wǎng)絡(luò)安全的共同協(xié)調(diào)發(fā)展，既要能滿足今后業(yè)務(wù)的擴(kuò)展，又要能夠?qū)崿F(xiàn)當(dāng)前技術(shù)與未來新技術(shù)的無縫鏈接，避免只滿足系統(tǒng)安全要求，而給業(yè)務(wù)發(fā)展帶來障礙，或者為了擴(kuò)展業(yè)務(wù)而忽視了安全建設(shè)的情況發(fā)生。

　　二、數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計要求

　　2.1物理安全設(shè)計要求

　　2.1.1物理訪問控制。機(jī)房存放著網(wǎng)絡(luò)設(shè)備、服務(wù)器、辦公環(huán)境以及信息系統(tǒng)的設(shè)備和存儲數(shù)據(jù)的介質(zhì)及相關(guān)設(shè)備場所，機(jī)房各出入口應(yīng)安排專人負(fù)責(zé)，記錄進(jìn)入的人員，劃分關(guān)鍵設(shè)備與非關(guān)鍵區(qū)域，區(qū)域之間通過玻璃隔斷實現(xiàn)物理隔離，關(guān)鍵區(qū)域采用智能卡和指紋識別的門禁系統(tǒng)，對進(jìn)入關(guān)鍵區(qū)域人員實現(xiàn)“雙道”鑒別。

　　2.1.2溫濕度控制。機(jī)房存放著不同業(yè)務(wù)系統(tǒng)的主機(jī)，由于主機(jī)在運(yùn)行時會產(chǎn)生大量的熱量，而保證良好機(jī)房環(huán)境的精密空調(diào)系統(tǒng)則成為不可獲取的必備設(shè)施。而機(jī)房精密空調(diào)系統(tǒng)就是為了保證公司內(nèi)部機(jī)房中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等一系列硬件設(shè)施能夠連續(xù)、穩(wěn)定、可靠地運(yùn)行，同時，精密空調(diào)系統(tǒng)還需要維持機(jī)房內(nèi)恒溫恒濕狀態(tài)，防止靜電現(xiàn)象的`產(chǎn)生導(dǎo)致設(shè)備的損壞。

　　2.1.3電力供應(yīng)。公司機(jī)房的其供電要求非常高，按照等級保護(hù)四級系統(tǒng)的要求應(yīng)采用UPS不間斷電源，以保證在機(jī)房斷電的同時，通過UPS不間斷的供電來保證機(jī)房內(nèi)部實施的穩(wěn)定、正常運(yùn)行，為電力搶修贏得時間。同時其供配電系統(tǒng)應(yīng)采用N+1冗余并機(jī)技術(shù)以實現(xiàn)空調(diào)設(shè)備、動力設(shè)備、照明設(shè)備、測試設(shè)備等設(shè)備的正常使用。

　　2.1.4動力環(huán)境監(jiān)控系統(tǒng)。數(shù)據(jù)中心機(jī)房除了部署視頻監(jiān)控系統(tǒng)、UPS系統(tǒng)、消防系統(tǒng)、精密空調(diào)系統(tǒng)，還應(yīng)該部署水敏感檢測裝置、紅外告警裝置等，且所有系統(tǒng)統(tǒng)一集成動力環(huán)境監(jiān)控系統(tǒng)中，方便機(jī)房管理員有效了解溫濕度、消防、電源、UPS等狀態(tài)以及告警信息，及時對告警信息進(jìn)行分析和處理。

　　2.2網(wǎng)絡(luò)安全設(shè)計要求

　　2.2.1區(qū)域邊界安全。應(yīng)能夠?qū)��?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查；應(yīng)逐步采用網(wǎng)絡(luò)準(zhǔn)入、終端控制、身份認(rèn)證、可信計算等技術(shù)手段，維護(hù)網(wǎng)絡(luò)邊界完整性。安全區(qū)邊界應(yīng)當(dāng)采取必要的安全防護(hù)措施，禁止任何穿越數(shù)據(jù)中心中不同業(yè)務(wù)之間邊界的通用網(wǎng)絡(luò)服務(wù)。數(shù)據(jù)中心中的的業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)具有高安全性和高可靠性，禁止采用安全風(fēng)險高的通用網(wǎng)絡(luò)服務(wù)功能。

　　2.2.2拒絕服務(wù)攻擊。在數(shù)據(jù)中心中針對網(wǎng)絡(luò)層面的攻擊主要包括分布式拒絕服務(wù)攻擊（DDoS）、拒絕服務(wù)攻擊（DoS）等。雖然DDOS/DOS存在由來已久，但其破壞力卻仍然被網(wǎng)絡(luò)管理員以及安全管理員所忌憚。最常見的DDOS攻擊方法有ECF（EstablishedConnectionFlood）、SYNFlood和CPSF(ConnectionPerSecondFlood)。部署相關(guān)的網(wǎng)絡(luò)安全設(shè)備，抵御DDOS/DOS的攻擊。

　　2.2.3網(wǎng)絡(luò)設(shè)備防護(hù)。實施工程師和客戶之間存在不可或缺交流的問題，大部分實施工作以能夠“通信”為原則，忽略網(wǎng)絡(luò)設(shè)備安全防護(hù)的能力。設(shè)備應(yīng)該關(guān)閉使用多余接口、采用SSHV2作為遠(yuǎn)程管理協(xié)議、為不同管理員分配不同權(quán)限的賬號，實現(xiàn)“權(quán)限分離，多人賬號管理”根據(jù)業(yè)務(wù)的要求，制定詳細(xì)訪問控制策略，提升網(wǎng)絡(luò)設(shè)備的安全性。

　　2.2.4惡意代碼防護(hù)。隨著技術(shù)的快速，數(shù)據(jù)中心網(wǎng)絡(luò)面臨各種可能性的攻擊。緩沖區(qū)代碼溢出、植入病毒、蠕蟲攻擊、植入后門木馬等，其中，應(yīng)用攻擊中最典型的方式為蠕蟲攻擊。蠕蟲是指“通過計算機(jī)網(wǎng)絡(luò)進(jìn)行自我復(fù)制的惡意程序，泛濫時可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓”[1]。在數(shù)據(jù)中心網(wǎng)絡(luò)出口處部署惡意代碼防護(hù)系統(tǒng)，防止計算機(jī)病毒、木馬和蠕蟲從網(wǎng)絡(luò)邊界處入侵而造成的傳播破壞，對惡意代碼進(jìn)行檢測和清除。

　　2.2.5入侵防護(hù)防御系統(tǒng)。隨著業(yè)務(wù)系統(tǒng)發(fā)展的需要，WEB服務(wù)器需要暴露公網(wǎng)環(huán)境中，隨時都面臨被攻擊的可能性。在DMZ邊界部署入侵防御系統(tǒng)，能夠阻止蠕蟲、病毒、木馬、拒絕服務(wù)攻擊、間諜軟件、VOIP攻擊以及點(diǎn)到點(diǎn)應(yīng)用濫用，制定詳細(xì)入侵防范策略，修改默認(rèn)策略，發(fā)生攻擊行為時記錄日志。

　　2.3安全審計設(shè)計要求

　　2.3.1日志服務(wù)器。日志可以幫助我們分析設(shè)備是否正常，網(wǎng)絡(luò)是否健康，任何設(shè)備或系統(tǒng)都應(yīng)該建立完整的日志系統(tǒng)。部署日志服務(wù)器，對交換機(jī)、路由器、安全及相關(guān)設(shè)備運(yùn)行日志進(jìn)行集中收集，便于管理員了解網(wǎng)絡(luò)運(yùn)行情況以及方便故障排除。

　　2.3.2安全審計。數(shù)據(jù)中心部署審計平臺網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量、管理記錄等進(jìn)行監(jiān)測和記錄，記錄時間、類型、用戶、時間類型、事件是否成功等相關(guān)信息，利用審計平臺生成的記錄和報表進(jìn)行定期分析，為了方便管理員能夠及時準(zhǔn)確地了解網(wǎng)絡(luò)設(shè)備運(yùn)行狀況和發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。

　　2.4數(shù)據(jù)備份與恢復(fù)設(shè)計要求

　　涉及數(shù)據(jù)中心的業(yè)務(wù)相對比較重要，數(shù)據(jù)大而多，多存放于本地或異地容易容災(zāi)系統(tǒng)，一旦發(fā)生不可預(yù)見對的困難，影響范圍廣和后果難以估計。因此，數(shù)據(jù)中心必須具備備份與恢復(fù)檢測，確認(rèn)信息的完整性和可用性，確保數(shù)據(jù)能夠及時恢復(fù)。數(shù)據(jù)備份與基本要求：

　�。�1）每天進(jìn)行增加備份，每周進(jìn)行全額備份；

　�。�2）應(yīng)部署異地容災(zāi)系統(tǒng)，通過數(shù)據(jù)中心基礎(chǔ)架構(gòu)實現(xiàn)關(guān)鍵數(shù)據(jù)的異地備份；

　�。�3）與容災(zāi)中心進(jìn)行異地備份要進(jìn)行完整性校驗，確保備份數(shù)據(jù)有效性；

　　（4）數(shù)據(jù)須至少每個月進(jìn)行恢復(fù)測試，以確保備份的有效性和備份恢復(fù)的可行性。

　　三、結(jié)束語

　　數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)突破了傳統(tǒng)的物理結(jié)構(gòu)限制的壁壘，高效整合和利用了各項基礎(chǔ)設(shè)施資源，為網(wǎng)絡(luò)技術(shù)發(fā)展和虛擬化技術(shù)發(fā)展帶來革命性突破，同時也給信息產(chǎn)業(yè)帶來新的機(jī)遇。但新的技術(shù)總是伴隨著新的安全隱患，而安全問題若不能得到合理解決將會阻礙其技術(shù)的發(fā)展，這需要在未來技術(shù)發(fā)展中深入分析和了解以尋求解決之道。數(shù)據(jù)中心建設(shè)過程中的網(wǎng)絡(luò)安全是數(shù)據(jù)中心安全體系的最基本、也是最重要的環(huán)節(jié)，只有合理的設(shè)計網(wǎng)絡(luò)安全規(guī)劃方案，并提供持續(xù)安全加固的擴(kuò)展性設(shè)計，才可以保證基礎(chǔ)網(wǎng)絡(luò)平臺的安全性與可靠性。但要構(gòu)建全方位、高安全的數(shù)據(jù)中心體系，還需要融合物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全、應(yīng)用安全、以及管理制度等方面，從各種安全角度出發(fā)進(jìn)行相應(yīng)的安全規(guī)劃，并不斷完善數(shù)據(jù)中心的安全防范等級。

　　作者:馮國禮 李蓉 王曄 單位:國網(wǎng)寧夏電力公司信息通信公司

　　參考文獻(xiàn)

　　[1]GB/T22239-2008.信息系統(tǒng)安全等級保護(hù)基本要求[S].

　　[2]劉凱明.云計算信息系統(tǒng)等級保護(hù)安全設(shè)計要求初探,2012年.

　　[3]胡維浩.淺談數(shù)據(jù)中心的安全運(yùn)行管理[J].華南金融電腦,2002,10.

【數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)與設(shè)計要求作文】相關(guān)文章：

讀網(wǎng)絡(luò)安全與道德讀本有感作文400字08-20

網(wǎng)絡(luò)安全小學(xué)作文10-16

網(wǎng)絡(luò)安全作文(3篇)02-20

【精品】網(wǎng)絡(luò)安全作文合集5篇04-13

【實用】網(wǎng)絡(luò)安全作文合集3篇02-15

實用的網(wǎng)絡(luò)安全作文四篇01-20

精選網(wǎng)絡(luò)安全作文合集3篇01-18

觀光果園的設(shè)計與管理(轉(zhuǎn)載)作文400字04-03

材料的選擇與運(yùn)用作文教學(xué)設(shè)計10-27

網(wǎng)絡(luò)安全作文500字（通用8篇）03-19