IDC机房合作方案V3.1

数据中心引入信息安全服务方案规划北京三思网安科技有限公司刘明昭v3.02017/5/2目 录一、国内数据中心存在的问题 21现有数据中心存在的问题 21.1 数据中心的可靠性和可用性不足 21.2 数据中心的可持续发展能力严重不足 21.3 数据中心的专业化运维管理水平不高 31.4 数据中心的能耗成本居高不下 31.5 数据中心的绩效评估困难 3二、国内数据中心的的发展历程与运维管理框架32.1数据中心发展历程 32.1.1计算中心，即数据存储和简单计算阶段，出现于20世纪60年代32.1.2信息中心，即数据处理及业务应用阶段，出现于20世纪80年代42.1.3服务中心，即服务性数据中心阶段，出现于21世纪初42.2数据中心运维管理框架 42.2.1 人员 52.2.2 流程 52.2.3 产品 52.2.4 服务商 6三、三思网安作为服务商可提供的技术服务 63.1渗透测试服务 63.1.1 服务介绍 63.1.2 服务及价值 63.2信息安全咨询与评估协助服务 -73.2.1 服务介绍 73.2.2 服务及价值 73.3信息漏洞检测服务 73.3.1 服务简介及价值 73.4安全托管服务 83.4.1 服务简介 83.4.2 服务及价值 83.4.3 增值服务 8四、数据中心引入安全服务带来的价值 84.1增加收入来源； 94.2提高核心竞争力（更安全可靠）；91/9数据中心引入信息安全服务方案规划近几年来伴随着互联网、云计算的快速发展，虚拟化技术的成熟， IDC数据中心的数量、规模以及租户数在不断扩大。 IDC数据中心主要是为互联网内容提供商、企事业单位提供服务器托管、空间租用、主机域名、企业邮箱等服务。随着客户业务不断的向互联网化发展， 保障租户业务和数据安全方面的重要性不言而喻。当前IDC数据中心面临着多攻击类型、多业务类型、多运营模式带来的安全挑战及威胁，如何为租户提供更好的安全增值服务已经成为了 IDC服务提供商关注的焦点。一、国内数据中心存在的问题现有数据中心存在的问题数据中心作为机构信息系统的运行中心、测试中心和灾备中心，承担着机构的核心业务运营、信息资源服务、关键业务计算、数据存储和备份，以及确保业务连续性等重要任务。机构对数据中心的依赖性日渐加强，然而现实情况并不尽如人意，现有的数据中心普遍存在以下问题。1.1 数据中心的可靠性和可用性不足数据大集中在节约整体成本、提高IT效率的同时，也对数据中心的可靠性和可用性提出了更高的需求。如果核心数据中心发生瘫痪，将造成机构的业务停顿，企业对数据中心基础设施和运行维护的要求更高。近几年，包括银行、保险、证券、民航等行业相继出现了一些数据中心故障，造成了很大的社会影响和经济损失，很多数据中心的可靠性和可用性令人担忧。1.2 数据中心的可持续发展能力严重不足随着IT技术的高速发展，新一代高密度服务器和存储设备不断涌现。伴随着业务扩展和信息化程度的提高，如今的数据中心已不再只是支持某些单一的应用或是日常的数据存储和计算功能，而是要为整个业务运营系统的正常运行提供支撑和服务。目前，大多数机构数据中心无法做到资源的灵活分配，而在资源共享、提高设备利用率等方面也不能完全实现。2/91.3 数据中心的专业化运维管理水平不高目前的数据中心与以往相比，规模更为庞大，结构也更加复杂。传统的数据中心运维管理水平普遍较低、专业化程度不高，显然已无法适应机构对数据中心合规性、可用性、经济性和服务性的要求，严重影响到数据中心的生命周期。1.4 数据中心的能耗成本居高不下目前，数据中心的能耗成本居高不下，并呈现急速上升之势。造成这种局面的因素有很多，例如服务器的利用率不高，数据中心的供电系统设计不合理等。国内不少数据中心的电力成本每年超过了千万元。 2007年我国IT产品的总耗电约为300亿~500亿千瓦时，几乎相当于三峡电站一年的发电总量。“绿色节能”已成为数据中心的主要诉求。1.5 数据中心的绩效评估困难到目前为止，数据中心建设作为提升机构核心竞争力的手段已被更多的企业决策者们所认同，但是绩效评估现状多少有些令人沮丧。 少则千万、多则上亿元的资金投入并没有在财务绩效方面有显著的改善和提升， 有些企业反而陷入了无休止的系统维护升级和资金被迫不断投入的窘境之中。二、国内数据中心的的发展历程与运维管理框架2.1数据中心发展历程从业务功能上划分，在数据中心基础设施的基础上，结合不同的应用需求，具有数据处理、灾难备份、网络服务、开发测试、用户支持等功能。从数据中心功能变迁进化的角度，数据中心经历了三种形态的发展， 即计算中心、信息中心和服务中心。2.1.1 计算中心，即数据存储和简单计算阶段，出现于 20世纪60年代最初，数据中心通常被称为计算中心， 在称为“机房”的空间中放置一个或多个服务器，其主要功能是数据存储 (或称：数据存放)和简单计算，存储数据的介质主要有磁鼓、磁带和磁盘。其主要特点是：功能单一，仅仅用于数据或电子文档的集中存放和管理。3/92.1.2 信息中心，即数据处理及业务应用阶段，出现于 20世纪80年代该阶段数据中心大多被称为 “信息中心”。其功能有了较大的扩展，数据存储能力大幅提高;基于网络通信技术和数据开发利用技术的 MIS(管理信息系统)、CallCenter(呼叫中心)、MRPⅡ(制造资源计划管理系统)、CRM(客户关系管理系统)、ERP(企业资源计划管理系统)等应用系统开始普及，数据中心开始承担核心计算、数据存储备份和业务支撑等功能，以满足机构业务发展的需要。数据中心的可用性有较大的提高。在该阶段，数据中心的重要性逐渐显现，对某些行业(如金融行业)而言，数据中心已成为必不可少的业务支撑平台。2.1.3 服务中心，即服务性数据中心阶段，出现于 21世纪初随着信息化建设的不断深入，机构对信息系统和数据完整性的依赖程度越来越高。机构对数据中心的可用性和服务性的要求更高， IT服务管理成为一种标准化的工作，并借助 IT技术实现集中的自动化管理 ;同时IT绩效成为IT服务管理工作的一部分，IT服务质量成为关注重点。在这个阶段，数据中心不仅是成本中心，更是机构信息化的服务中心。该阶段数据中心除承担核心计算、数据存储及备份外，开始承担机构的核心业务运营支撑、信息资源服务及业务连续性管理等功能。2.2数据中心运维管理框架所谓数据中心运维管理框架是指管理一个数据中心所使用的方法与手段的总称。那么，应该用什么样的方法与手段来管理数据中心呢 ?在此，信息技术基础架构库(InformationTechnologyInfrastructureLibrary，ITIL)给出了一个比较好的管理框架，即所谓的 4Ps：4/92.2.1 人员数据中心所需要管理的对象，包括基础设施、IT设备、系统与数据、管理工具和人员等。人员是数据中心运维管理的基础，也是数据中心运维管理的核心。一个好的数据中心运维管理框架，少不了合适的技术和管理人员。只有具备相应知识背景与管理经验的人，才能有效地整合上述资源，为客户提供符合质量与合同要求的IT服务。2.2.2 流程流程是数据中心运维管理质量的保证。作为客户IT服务的物理载体，数据中心存在的目的就是保证服务可以按质、按量地提供。服务与产品有着许多的不同，其中最核心的不同在于服务本身是看不见、摸不着的，但又是能通过服务商与客户的互动为客户所感受到的。为确保最终提供给客户的服务是符合服务合同的要求，数据中心需要把现在的管理工作抽象成不同的管理流程，并把流程之间的关系、流程的角色、流程的触发点、流程的输入与输出等进行详细定义。2.2.3 产品产品是数据中心运维管理的加速器。 数据中心运维管理涉及的对象庞杂， 且重复性工作较多。若完全依靠人工去完成这些工作， 一方面对人员的技能与数量有较高的要求，另一方面在工作质量的保证方面也存在风险。 为此，越来越多的数据中心在开展运维管理工作时使用大量工具， 目的是通过这些工具的部署取代5/9一些监控、操作、配置文件、工作流管理等大量重复性工作，最终实现提升运维水平、降低运维风险、减少运维成本的目的。2.2.4 服务商服务商是数据中心运维管理的支持者。作为专业化的数据中心运维管理，有效地整合数据中心管理对象，并最终为用户提供专业化的服务才是数据中心服务提供者的核心价值所在。而且，数据中心运维管理中涉及了太多不同种类的设备，数据中心也不可能把所有的技术与管理工作独自承担。聘用一批既懂变压器、发电机、UPS，又了解空调、消防、防火设备，同时还精通IT相关软硬件的人员，对于任何一个企业或机构均是极大的成本支出。所以，数据中心需要与许多设备供应和服务提供商建立良好的战略合作关系。三、三思网安作为服务商可提供的技术服务3.1渗透测试服务3.1.1 服务介绍PTS（PenetrationTestService）渗透测试服务是由三思公司的渗透测试专家(来自于CCERT安全实验室),模拟黑客的攻击方法，对信息系统的安全现状进行评估的一种方法。渗透测试过程包括对系统的弱点、技术缺陷或漏洞的主动分析,并通过对发现的漏洞进行利用,从而达到测试目的。渗透测试根据发起的地点及方式不同,分为外部渗透测试EPTS（ExternalPenetrationTestService）和内部渗透测试IPTS（InternalPenetrationTestService）。3.1.2 服务及价值外部渗透测试EPTS通过Internet发起，对客户的Web站点，Mail服务器等可以通过Internet访问的主机和设备进行渗透。外部渗透测试可以测试当前网络防火墙及其它安全措施对站点的防护能力， 及时发现对外防御措施存在的漏洞或缺陷。内部渗透测试 IPTS从客户企业内部网络发起，对客户的各种应用系统和网络设备进行渗透。内部渗透测试模拟黑客来自企业内部或者黑客已经控制个别内6/9部主机的情况，可以测试客户对内部机密信息的保护能力及内部网络系统的防护能力。三思为客户提供外部渗透测试EPTS服务和内部渗透测试IPTS服务,由三思经验丰富的安全专家结合您的需求进行渗透测试,提供渗透测试报告，并详细解释报告内容，包括发现的风险点及需要采取的补救措施。在客户修补完成后，进行补充测试，确定所发现的漏洞已经被修复。3.2信息安全咨询与评估协助服务 -3.2.1 服务介绍三思安全咨询和评估专业专员通过问卷调查，现场访谈和现场检查（包括设备抽样进行漏洞扫描和分析），形成专业的信息安全评估报告。该报告涵盖了客户在信息安全管理和技术方面的主要策略、流程和技术实现，分析当前策略、流程和技术实现中存在的漏洞和面临的风险，并对相关漏洞给出补救措施建议，对风险提出警示。3.2.2 服务及价值专业的信息安全风险评估有助于客户了解当前存在的信息安全管理缺陷及技术漏洞。客户可以依据相关建议采取适当的措施，完成管理策略和流程，采取技术手段弥补相关漏洞，从而使企业面临的信息安全风险降低，达到可以接受的水平。同时专业的信息安全风险评估也可以协助客户通过相关认证，比如ISO27001、PCI认证等。3.3信息漏洞检测服务3.3.1 服务简介及价值PRHT（Periodicity RemoteHealthTest）先进漏洞诊断系统是由三思公司自主研发的信息系统基础设施安全检测平台。 PRHT结合最新的安全理念，为客户提供检查结果与解决方案紧密结合的检测报告， 并提供全方位的网络安全远程支持服务。PRHT系统以Web为基础，简单易用，其后台是进行弱点和漏洞分析的大型云计算安全分析平台。该平台通过远程对客户系统进行探测和分析， 检查并报7/9告系统中存在的弱点和漏洞，为网络和系统管理员采取补救措施及实施安全策略提供准确的参考，从而最终达到增强网络安全性的目的。3.4安全托管服务3.4.1 服务简介三思公司的信息系统专家组 (来自于 CCERT安全实验室)为广大客户提供MSS（ManagedSecurityServices）安全托管服务。三思专家对托管系统的安全配置与管理全面负责，为客户提供可跟踪管理的安全配置管理。 安全管理服务涵盖客户主要服务器系统、防火墙系统、网络基础设施（包括路由器和交换机），保障客户的主要业务系统安全稳定运行，防止客户的系统受到入侵或攻击者损害。3.4.2 服务及价值一般的用户IT系统都是由多种业务服务器（包括WEB服务器、邮件服务器、数据库服务器等）、网络基础设施（包括接入路由器、核心交换机等）、网络安全设施（包括防病毒服务器、日志系统、入侵检测或防护系统等） 组成。保障IT系统的安全运行，保护企业和客户的信息不被泄漏，就需要有专业的团队对 IT系统进行周期性的安全评估检测和配置检测，每天对系统日志进行分析和审核，这些繁重的任务不但需要花费很多人力、 物力，也需要有专业知识的人员进行分析。MSS安全托管服务提供给客户完全放心的安全服务，无论是客户的主要业务服务器还是主要网络设备，三思都可以提供安全性配置管理服务。用户不用担心系统漏洞无人管理，安全配置太过复杂，一切由三思的安全专家为您解决。客户只需要专注于业务应用。3.4.3 增值服务购买MSS的客户不仅可以享受到全年安全配置服务，全年的电话和邮件支持，还可以参加客户增值服务计划。增值服务包括一次免费的网站挂马检测，每年周期性的漏洞检测。四、数据中心引入安全服务带来的价值8/94.1增加收入来源；随着项目推进再具体确认：具体合作模式的敲定，需要先建立在双方合作基础深度认同上。有过数次合作的愉快尝试，双方才能彼此信赖、利益依存。4.2提高核心竞争力（更安全可靠）；