數據中心網絡安全防護與設計要求

導語：數據中心網絡安全防護與設計要求一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：目前國內企業信息化建設、電子政務興起都將倚靠數據集中的蓬勃發展。同時，數據大集中以及大數據的推動也必將倚靠數據中心的建設。作為網絡中資源最密集的載體、數據交換最頻繁的中心基礎網絡，數據中心網絡的研究與設計將成為等級保護建設工作的重要內容。本文分析采用數據中心網絡安全特征的基礎上，探尋與傳統數據中心網絡安全特征的差異，結合信息系統安全等級保護的基本要求，從技術、物理、管理三個方面，針對在新的數據中心網絡架構中可能導致的安全問題，探討了數據中心網絡在安全設計層面的新標準與新要求。

關鍵詞：等保測評；數據中心；基礎網絡

伴隨著互聯網中的應用程序日漸豐富與多樣化，數據中心的基礎運行環境由原來的C/S架構逐漸向由通過網絡設備互聯的服務器集群的方面轉型。因此，由傳統的通過硬件、操作系統、操作系統之上的應用系統所組成的基礎架構變得越來越復雜。然而，這越來越復雜的結果導致即將轉型為數據中心的安全體系帶來了更多的風險與困難，一些數據中心的安全策略配置不當或者不正確，往往都會給非法入侵者留下可被利用的后門或漏洞。盡管網絡管理員、系統管理員、系統安全員等相關負責人都已經擁有相對較高的安全防護理念與意識，并通過不斷架設安全設備來保障數據中心的安全性與健壯性，但對于層出不窮和日益完善的黑客攻擊手段，這些傳統的防御理念和措施仍不足以保障數據中心的安全。因此，管理集約化、精細化的產物——數據集中就應運而生。目前國內企業信息化建設、電子政務興起都將倚靠數據集中的蓬勃發展。同時，數據大集中以及大數據的推動也必將倚靠數據中心的建設。作為網絡中資源最密集的載體、數據交換最頻繁的中心基礎網絡，數據中心無疑是一個充滿發展前景的新星產業。然而，數據中心由于是大數據的集合，必然包含無數信息與機密，對于數據中心上的任何防護漏洞必將導致無法計算的損失，因此構筑一道完善且完整的安全防護體系將是其首要解決的問題。

一、現有數據中心安全分析

1.1 針對應用層面的攻擊。應用層面的攻擊方式包括緩沖區代碼溢出、植入病毒、蠕蟲攻擊、植入后門木馬等，其中，應用攻擊中最典型的方式為蠕蟲攻擊。蠕蟲是指"通過計算機網絡進行自我復制的惡意程序，泛濫時可以導致網絡阻塞和癱瘓"[1]。從本質上講，蠕蟲可以在網絡中主動進行傳播，進而對系統進行破壞，而病毒則需要手工干預，比如利用外部存儲介質的讀寫、點擊非法鏈接而被植入病毒。1.2 針對網絡層面的攻擊。在數據中心中針對網絡層面的攻擊主要包括分布式拒絕服務攻擊（DDoS）、拒絕服務攻擊（DoS）等。雖然DDOS/DOS存在由來已久，但其破壞力卻仍然被網絡管理員以及安全管理員所忌憚。最常見的DDOS攻擊方法有ECF（Established Connection Flood）、SYN Flood和CPSF(Connection Per Second Flood)。DOS攻擊程序有UDP反彈以及ICMP Smurf等方式。DDOS/DoS攻擊利用了TCP/IP的開放性原則，即協議自身規定的從任意源地址向任意目標地址都可以發送數據包，導致DDOS/DOS利用合理的、海量的、不間斷的服務請求來耗盡網絡、系統等可利用的資源，使得合法用戶無法獲取正常的服務響應。隨著分布式技術的不斷的完善與改進，及時在網絡和系統性能的大幅提升的今天，數以億計的主機同時對某一網絡系統發起攻擊，造成的后果不言而喻，最直接的影響即使網絡癱瘓、系統無法正常使用。1.3 針對網絡基礎設施的攻擊。數據中心作為一個充滿發展前景的新星產業。又是大數據的集合，其中包含了無數信息與機密數據，即使外圍安全設備部署的再完善，如果內部管理不當，依然會被攻破，而且來自內部的攻擊更具破壞性。企業內部的不法分子在充分了解數據中心的架構與部署的前提下，不僅可以通過黑客技術繞過防火墻，還可以憑借對網絡構架的充分了解，通過嗅探技術、違規訪問、攻擊路由器/交換機設備等手段，訪問非授權的數據，這將無疑對企業造成更為重大的損失。1.4 數據中心網絡安全設計原則。由于數據中心承載著其上用戶的所有機密數據、核心業務或核心技術，并且數據中心還為內部之間提供數據之間的交換與業務之間的交互。因此，在構建數據中心的網絡安全時，要從以下幾個方面進行合理規劃與建設：1.4.1安全分區：要將數據中心的網絡劃分為各個不同的安全區域，同時確保不同區域之間未經許可不能訪問，用戶和客戶機在對數據中心訪問時只可以訪問他可以訪問的區域，禁止違規外聯和非法訪問以及惡性的入侵攻擊。1.4.2性能保障：要通過建立高性能、可靠性高的網絡環境，確保數據在網絡中傳輸的完整性，同時可以利用CRC循環校驗算法校驗數據在網絡中的丟失情況，使得數據在網絡傳輸過程中加了雙重保險。1.4.3技管并重：很多人會認為，只要技術上有了足夠的保證，那么安全性必然有了保證。其實不然，正所謂系統的安全性保證都是三分靠技術，七分靠管理，技術層面設計得再優良，也要有與之對應的管理制度去推動。1.4.4新近原則：及時汲取當前最新的安全技術，以減輕安全管理的負擔為目標，實現安全管理的自動化，同時減小因為人為管理認知上的漏洞對系統安全造成威脅。1.4.5平衡發展：在構建數據中心的時候要充分考慮今后業務和網絡安全的共同協調發展，既要能滿足今后業務的擴展，又要能夠實現當前技術與未來新技術的無縫鏈接，避免只滿足系統安全要求，而給業務發展帶來障礙，或者為了擴展業務而忽視了安全建設的情況發生。

二、數據中心網絡安全設計要求

2.1 物理安全設計要求

2.1.1 物理訪問控制。機房存放著網絡設備、服務器、辦公環境以及信息系統的設備和存儲數據的介質及相關設備場所，機房各出入口應安排專人負責，記錄進入的人員，劃分關鍵設備與非關鍵區域，區域之間通過玻璃隔斷實現物理隔離，關鍵區域采用智能卡和指紋識別的門禁系統，對進入關鍵區域人員實現“雙道”鑒別。2.1.2 溫濕度控制。機房存放著不同業務系統的主機，由于主機在運行時會產生大量的熱量，而保證良好機房環境的精密空調系統則成為不可獲取的必備設施。而機房精密空調系統就是為了保證公司內部機房中的網絡設備、安全設備、服務器等一系列硬件設施能夠連續、穩定、可靠地運行，同時，精密空調系統還需要維持機房內恒溫恒濕狀態，防止靜電現象的產生導致設備的損壞。2.1.3 電力供應。公司機房的其供電要求非常高，按照等級保護四級系統的要求應采用UPS不間斷電源，以保證在機房斷電的同時，通過UPS不間斷的供電來保證機房內部實施的穩定、正常運行，為電力搶修贏得時間。同時其供配電系統應采用N+1冗余并機技術以實現空調設備、動力設備、照明設備、測試設備等設備的正常使用。2.1.4 動力環境監控系統。數據中心機房除了部署視頻監控系統、UPS系統、消防系統、精密空調系統，還應該部署水敏感檢測裝置、紅外告警裝置等，且所有系統統一集成動力環境監控系統中，方便機房管理員有效了解溫濕度、消防、電源、UPS等狀態以及告警信息，及時對告警信息進行分析和處理。

2.2 網絡安全設計要求

2.2.1 區域邊界安全。應能夠對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查；應逐步采用網絡準入、終端控制、身份認證、可信計算等技術手段，維護網絡邊界完整性。安全區邊界應當采取必要的安全防護措施，禁止任何穿越數據中心中不同業務之間邊界的通用網絡服務。 數據中心中的的業務系統應當具有高安全性和高可靠性，禁止采用安全風險高的通用網絡服務功能。2.2.2 拒絕服務攻擊。在數據中心中針對網絡層面的攻擊主要包括分布式拒絕服務攻擊（DDoS）、拒絕服務攻擊（DoS）等。雖然DDOS/DOS存在由來已久，但其破壞力卻仍然被網絡管理員以及安全管理員所忌憚。最常見的DDOS攻擊方法有ECF（Established Connection Flood）、SYN Flood和CPSF(Connection Per Second Flood)。部署相關的網絡安全設備，抵御DDOS/DOS的攻擊。2.2.3 網絡設備防護。實施工程師和客戶之間存在不可或缺交流的問題，大部分實施工作以能夠“通信”為原則，忽略網絡設備安全防護的能力。設備應該關閉使用多余接口、采用SSH V2作為遠程管理協議、為不同管理員分配不同權限的賬號，實現“權限分離，多人賬號管理”根據業務的要求，制定詳細訪問控制策略，提升網絡設備的安全性。2.2.4 惡意代碼防護。隨著技術的快速，數據中心網絡面臨各種可能性的攻擊。緩沖區代碼溢出、植入病毒、蠕蟲攻擊、植入后門木馬等，其中，應用攻擊中最典型的方式為蠕蟲攻擊。蠕蟲是指“通過計算機網絡進行自我復制的惡意程序，泛濫時可以導致網絡阻塞和癱瘓”[1]。在數據中心網絡出口處部署惡意代碼防護系統，防止計算機病毒、木馬和蠕蟲從網絡邊界處入侵而造成的傳播破壞，對惡意代碼進行檢測和清除。2.2.5 入侵防護防御系統。隨著業務系統發展的需要，WEB服務器需要暴露公網環境中，隨時都面臨被攻擊的可能性。在DMZ邊界部署入侵防御系統，能夠阻止蠕蟲、病毒、木馬、拒絕服務攻擊、間諜軟件、VOIP攻擊以及點到點應用濫用，制定詳細入侵防范策略，修改默認策略，發生攻擊行為時記錄日志。

2.3 安全審計設計要求

2.3.1 日志服務器。日志可以幫助我們分析設備是否正常，網絡是否健康，任何設備或系統都應該建立完整的日志系統。部署日志服務器，對交換機、路由器、安全及相關設備運行日志進行集中收集， 便于管理員了解網絡運行情況以及方便故障排除。2.3.2 安全審計。數據中心部署審計平臺網絡設備的運行狀況、網絡流量、管理記錄等進行監測和記錄，記錄時間、類型、用戶、時間類型、事件是否成功等相關信息，利用審計平臺生成的記錄和報表進行定期分析，為了方便管理員能夠及時準確地了解網絡設備運行狀況和發現網絡入侵行為。

2.4 數據備份與恢復設計要求

涉及數據中心的業務相對比較重要，數據大而多，多存放于本地或異地容易容災系統，一旦發生不可預見對的困難，影響范圍廣和后果難以估計。因此，數據中心必須具備備份與恢復檢測，確認信息的完整性和可用性，確保數據能夠及時恢復。數據備份與基本要求：（1）每天進行增加備份，每周進行全額備份；（2）應部署異地容災系統，通過數據中心基礎架構實現關鍵數據的異地備份；（3）與容災中心進行異地備份要進行完整性校驗，確保備份數據有效性；（4）數據須至少每個月進行恢復測試，以確保備份的有效性和備份恢復的可行性。

三、結束語

數據中心網絡技術突破了傳統的物理結構限制的壁壘，高效整合和利用了各項基礎設施資源，為網絡技術發展和虛擬化技術發展帶來革命性突破，同時也給信息產業帶來新的機遇。但新的技術總是伴隨著新的安全隱患，而安全問題若不能得到合理解決將會阻礙其技術的發展，這需要在未來技術發展中深入分析和了解以尋求解決之道。數據中心建設過程中的網絡安全是數據中心安全體系的最基本、也是最重要的環節，只有合理的設計網絡安全規劃方案，并提供持續安全加固的擴展性設計，才可以保證基礎網絡平臺的安全性與可靠性。但要構建全方位、高安全的數據中心體系，還需要融合物理安全、網絡安全、主機安全、數據安全、應用安全、以及管理制度等方面，從各種安全角度出發進行相應的安全規劃，并不斷完善數據中心的安全防范等級。

作者:馮國禮 李蓉 王曄 單位:國網寧夏電力公司信息通信公司

參考文獻

[1]GB/T22239-2008.信息系統安全等級保護基本要求[S].

[2]劉凱明.云計算信息系統等級保護安全設計要求初探,2012年.

[3]胡維浩.淺談數據中心的安全運行管理[J].華南金融電腦,2002,10.