数据中心安全防护体系探究 陈南

1、数据中心安全防护体系探究陈南摘要：数据中心在日常运维过程中，存在很多风险点，主要涉及物理风险、网 络风险、系统风险、数据安全风险等。本文旨在研究如何加强数据中心安全防控， 防范数据中心各类风险点，提出必要措施，保障数据中心稳定运行可靠。关键词：数据中心，风险点，安防措施一、概述随着企业朝信息化、智能化的飞速发展，数据中心对于各大行业的主营业务 将是一个重要的支撑。对于信息系统及其数据进行统一规划、统一建设、统一管 理、统一服务使用，数据中心在其中扮演的角色越发重要。但是，由于数据中心 对于业务系统数据的集中存储与处理，也使得数据中心的风险防范变得尤为关键。 数据中心的风险来源主要为物理风险、网

2、络风险、系统风险、数据风险等。做好 数据中心的安全防范，确保信息系统安全稳定运行，将保障企业主营业务稳定可 靠。二、物理风险防范数据中心物理风险防范主要涉及失电风险、空调故障风险、失火风险、安防 风险等。失电风险：为保障数据中心供电可靠，除正常市电供应外，宜采用不间断电 源ups系统、后备电源（柴油发电机）和sts静态转换开关作为日常供电的有效 补充。空调故障风险：信息设备受环境温湿度的影响很大，为保障其正常运行，数 据中心常年运转空调制冷系统，使机房设备稳定运行在温度22-28C，湿度45-55 的环境之内。为应对空调故障风险，应加装应急空调系统，当空调系统发生故障 导致停运时，应急空调系统

3、将自动启动，保障机房、ups室的正常运行。失火风险：数据中心应配备消防系统对整个数据中心区域进行全方位覆盖， 消防系统应包括火警自动报警、消防联动控制、电源管理、气体灭火、火灾应急 广播、防雷措施等。安防风险：数据中心应配置高防护级别的门禁系统，部署于重要区域，包括 机房，后备电源间、高压配电间、弱电间、安全出口等。在安防上还应配置电子 围栏报警、视频监控、一键式报警、出入口闸机及金属物探测、RFID、防冲撞柱 等。三、网络风险防范数据中心的网络设计宜采取内外网隔离，重要系统分区分域的方式。在数据 中心信息内、外网网络关键节点应部署安全防护设备，采用网络防火墙、防 DDOS系统、IDS和IPS

4、系统、防病毒系统、桌面管理和行为审计系统、负载均衡 设备、网管软件、网络分析系统等来保障网络安全。网络防火墙:可使用透明模式部署于网络边界，应用包过滤策略，阻断危险ip 地址，开放信任策略，保护内部区域免受外界攻击和非法访问尝试。可开启事件 日志分析、访问日志分析、http日志分析等功能，定期进行策略库的备份及清理 工作。应具备WEB应用防火墙模块，供漏洞防护、Web流量优化、HTTP协议加 固等专业的Web应用安全防护功能，高效保障Web服务器的可用和可靠。具备 基于应用/用户识别的访问控制、流量控制、NAT转发、ISP链路负载均衡、安全 威胁阻断等功能。防DDOS系统：可采用旁路部署的方式

5、进行DDoS攻击的防护，实现对流量的 按需清洗，能够支持ARP、VLAN、链路聚合等网络层协议以及静态路由、RIP、 OSPF、BGP、策略路由等路由协议，满足各种组网应用。IDS和IPS系统：IDS可采用旁路部署于交换机侧，检测区域存在的各种安全 事件。开启入侵检测、策略管理、日志管理、日志审计等功能。IPS可采用旁路 部署方式，检测分布式拒绝服务攻击，对各种蠕虫、病毒进行实时拦截，保障信 息内网服务器集群的安全。满足各种复杂网络环境对应用层安全防护的高性能、 高可靠和易管理的需求，是应用层安全保障的最佳选择。防病毒系统：在数据中心网络内部署防病毒系统，客户端与服务器端均安装 防病毒软件，开

6、启防病毒和防间谍软件防护、主动型威胁防护、网络威胁防护等 功能，定期进行全盘杀毒扫描。桌面管理和行为审计系统：数据中心桌面终端机应安装桌面管理系统，实现 弱口令、漏洞与补丁的监控管理。行为审计系统则部署于数据中心网络内，包括 行为分析、行为控制、带宽管理、URL应用、ACL管理等功能，对数据中心内部 人员实现行为的审计管理。负载均衡设备：通过健康检查和负载均衡调度算法，将客户端的访问请求合 理地分发到数据中心的各台服务器上，以保证数据中心的响应速度和业务连续性， 并大大提升服务器的使用效率和弹性伸缩能力；通过静态表项匹配及动态链路检 测等技术，对多条链路状态进行实时的探测和监控，确保流量以最合

7、理及快速的 方式分发到不同链路上，实现业务的高效传输；通过TCP优化、TCP复用、SSL 卸载/加速、压缩、缓存等技术，来提高用户的访问速度和应用体验。网管软件：通过部署网管软件系统，统一管理数据中心主机、网络设备使用 状态，分析各链路带宽使用情况并动态调整分配带宽，自动生成网络拓扑并实时 监控和报警、追踪终端用户、管理IP地址等。网络分析系统：在数据中心网络出口处部署网络分析系统，并将出口处的流 量镜像至网络分析硬件，通过网络分析实现对网络流量中协议的深度分析。硬件 探针部署在网络中靠近外联链路或者业务层的位置，构成业务流量的长期数据收 集。同时部署管理服务器，对业务流量情况进行长期监控统计

8、分析。网络探针可 以通过旁路监听方式接入网络链路监听，或直接接入交换机（路由器）的网络镜像 端口进行监听。对负载均衡链路，需要将多条负载均衡的链路进行合并监控。四、信息系统风险防范定期使用漏洞扫描工具对数据中心重要信息系统开展漏洞扫描,针对暴露出来 的漏洞进行系统的漏洞修复。定期对重要信息系统开展等级测评，并根据测评结果进行必要的安全加固。在日常数据中心管理中，使用运维审计系统加强运维人员日常管理，通过运 维审计系统的应用有效控制内外部人员对服务器、网络设备等IT基础设施的操作 风险，建立安全的运维操作通道，记录、实时监控并回放所有维护操作过程和结 果，识别并阻断违规操作，通过对运维操作事前的

9、主动控制、事中的实时监控、 事后的操作审计实现对运维操作过程的集中、统一管理。通过日志分析管理系统，利用主被动结合的手段实时不间断地采集日志，并 将这些信息汇集到审计中心，进行集中化存储、备份、查询、审计、告警、响应， 并出具丰富的报表报告，实现全生命周期的日志管理。五、数据风险防范数据中心存在大量的存储阵列用来存放重要的信息数据，在不间断的数据传 输与复制过程中，为保障数据冗余安全，存储磁盘阵列拟采用raid 5、raid6或raid10的数据保护模式。通过备份系统对重要信息系统的数据库、文件系统进行定期备份。建立数据 中心统一备份平台，制定科学的备份策略，对重要核心业务系统等进行统一的数

10、据备份与恢复，集中管理备份数据与资源，保障业务系统正常运行。备份环境建设应等待业务系统正式部署投运后，按照业务系统的实际需求再 规划建设，以满足业务系统的备份数据恢复验证需求。备份系统的部署可以有效 防止设备故障、生产事故等引起的数据丢失，可以有效提升核心业务系统的运行 连续性。当数据中心信息系统面临大规模灾难或不可预见的意外事件时，仍然可 以保证数据安全。定期开展信息系统本机及异机恢复演练，确保备份数据有效可用。六、总结数据中心的安全防护体系涉及物理安全、网络安全、系统安全、数据安全四 个部分。应做好每一部分的安全防控，才能确保数据中心稳定运行。其次还应该 注重数据中心人员安全意识的教育，并在制度上有所约束，制定相应的安全防范 及应急管理制度。综上所述，由于国内外安全威胁层次不穷，安全形势愈发严峻。 面对可能出现的新风险，数据中心安全防护体系的完善任重道远，尚需不断努力， 在科技发展中进一步深入开展研究，不断更新自身的防护技术，致力于营造一个安 全可用的企业信息化环境。参考文献翁洁.数据中心灾备