数据中心安全管理体系构架研究

数据中心安全管理体系构架研究摘要：针对政府部门或者金融机构构建安全数据中心，对现有的安全隐患做简要的介绍和分析，在此基础之上提出信息系统和相应的安全防御系统架构的解决方案，以及配套的安全管理制度建设，为系统设计人员和流程管理人员提供了一套完整的工作思路，为系统运维人员指明了安全生产监控工作的重点。关键词：安全管理；数据中心；信息安全；DDOS0前言在当今信息化高速发展的时代，政府部门或者金融机构都面临着海量统计数据的处理，它们以信息系统为基础，以互联网为途径，为社会公众提供各种各样的服务。这些机构内部通过信息系统处理海量的数据，既要求具有高效性，保证工作的顺利进行；也要求充分保障流程的安全性，在对公众提供服务的同时，能够抵御互联网的各种安全威胁。这就需要在设计信息系统和相应的安全防御系统架构时，既要在实现上简单可行，又要在管理上统一有效，节约实施和运维成本，真正达到“绿色数据中心”的要求。1现有安全隐患除管理制度上的安全隐患之外，数据中心的主要安全隐患来自于现有网络各种攻击技术。数据中心边界数据中心边界在整个网络架构中起到网关的作用，作为内部应用系统和互联网的信息交互通道，公众通过它来对应用系统进行访问［2］。它允许重要的应用数据通过，首当其冲地遭到各种病毒攻击，针对这一区域采用一些有效的防御措施和解决方案尤为重要。在数据中心边界，设置一系列安全方案，其中包括：(1)配置安全预警系统。集病毒扫描、入侵检测(IntrusionDetection)和网络监视功能于一体，实时捕获网络之间传输的所有数据，利用内置的病毒和攻击特征库，通过使用模式匹配和统计分析的方法，检测出网络上发生的病毒入侵、违反安全策略的行为和异常现象，分析可能出现的攻击行为，对各种入侵行为做出响应，同时在不影响网络性能的前提下进行监测，避免由外部攻击造成的损失［3］。并在数据库中记录有关事件，作为事后分析的依据，实时对CPU占用率进行检查，防御DDoS攻击，保持系统的可用性。(2)部署高性能的防火墙、防病毒网关，过滤掉容易受到病毒袭击的服务端口组，在网络边缘实现病毒监测、拦截和清除等功能。(3)专网加密机和CA认证中心。专网加密机主要是通过对所传输信息进行加密，接收方用私有密钥对接收到的信息进行解密，避免信息在传输中遭到破坏。认证中心针对信息的安全性、完整性、正确性和不可否认性等问题，采用了数字签名技术，通过数字证书把证书持有者的公开密钥(PublicKey)与用户身份信息紧密安全地结合起来，以实现身份确认和不可否认性。(4)进行应用协议检查。针对HTTP、FTP、SMTP和POP3协议进行内容检查、病毒清除等工作，对互联网与邮件进行访问控制，包括日志记录、认证、授权和审计，以保证互联网服务安全。同时，通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系，不但可以保护数据中心资源不受外来侵犯，同时也可以阻止内部用户对外部不良资源的滥用。另外，为保证互联网数据传输交互的安全性，可通过虚拟专用网络（VirtualPrivateNetwork,简称VPN）技术，实现不同地理位置的子部门或者分支机构用户对应用信息系统的安全访问。VPN技术为用户提供了一种通过公用网络安全地对内部专用网络进行远程访问的连接方式。VPN连接使用隧道作为传输通道，而这个隧道是建立在公共网络或专用网络基础之上。使用该技术可以为系统节点之间的数据传输提供点到点的安全通道，能有效提高数据传输的安全性和稳定性［4］。应用信息系统政府部门或者金融机构通过各类应用信息系统对社会公众提供服务。信息系统通常设计成浏览器/服务器（810亚5。1/5。皿。1）体系结构，通过Internet/Intranet模式下的数据库应用，实现不同的人员、从不同的地点、以不同的接入方式（如LAN、WAN、Internet/Intranet等）访问和操作共同的数据库，能有效地保护数据平台和管理访问权限［5］。在系统实体上，应用信息系统包括Web服务器、应用系统、数据库系统以及存储区域。应用信息系统相对于数据中心的其它两部分而言，有较强的独立性。另外，各应用系统部署时相对独立，为不同的应用系统服务器分配不同的IP地址，当新业务系统上线或者原有应用系统升级时，不会影响到数据中心的架构，不影响其它应用系统及整个网络的正常运行。Web访问安全Web服务器对外部的用户提供Web访问的功能，因此其安全保障要求很高。Web服务器保证外部有权限的用户通过它正常地访问数据中心，针对这一区域采用一些有效的防御措施和解决方案也是必不可少的。针对Web访问可能造成的数据泄密或病毒攻击，采用一系列方案进行处理。首先，用户身份的确认在B/S系统中是不可或缺的，这就需要进行严格的访问控制和用户权限控制［8］；其次，需要引入对Web应用进行内容审查和应用隔离机制，删除或者关闭不必要的服务;针对敏感数据，为了保护其在传送过程中的安全，可采用SSL/TLS(SecuritySocketLayer/TransportLayerSecurity)加密机制［6］；采用网站防护系统对Web服务器进行加固。SSI/TLS是用来解决点到点数据安全传输和传输双方的身份认证而提出来的安全传输协议。它在客户端和服务器之间提供安全通信，允许双方互相认证、使用信息的数字签名来提供完整性、通过加密提供消息保密性。应用及数据库安全应用及数据库服务器为应用信息系统的核心部分，也是B/S体系不可缺少的部分。这一部分用到的关键技术有：可扩展标记语言(EXtensibleMarkupLanguage，简称XML)、简单对象访问协议(SimpleObjectAccessProtocol,简称SOAP)、AJAX(AsynchronousJavaScriptandXML)等。针对这一区域，可以利用XML数据加密技术、SOAP数字签名技术等，保证应用安全。数字加密技术可以防止公用或私有化信息在网络上被拦截或窃取。数字签名可以验证消息源的可靠性，还可以保证消息发送者不能否认发出的消息［7］。存储介质安全数据中心的安全，不但需要有完善的信息安全方案，还需要覆盖到安全存储的部分，这是和传统的数据中心完全不同的地方。数据库靠一系列存储介质来实现对数据的存储。针对存储部分的安全策略和解决方案主要有：动态和静态的数据加密［8］、存储数据的访问控制、数据的分段管理等。通过对安全问题和存储介质的研究和探索，若干标准也相应被推出，这也是当前的热点课题之一。信息安全管理平台在数据中心内部针对应用信息系统部署了防病毒等一系列安全设备后，可以在一定程度上提高安全防御水平，降低发生泄密事件的概率。在此基础之上，为加强对系统的统一管理，引入信息安全管理平台。信息安全管理平台的目的是给整个系统(包括数据中心边界和应用信息系统)做实时的监控和维护。信息安全管理平台实时对网络设备、服务器、安全设备、数据库、中间件、应用系统的安全状况进行统一监控，采集安全事件和日志信息，进行整合和关联分析，评估安全风险，审计用户行为，产生安全事故和告警并及时进行应急响应，确保相关系统业务持续运行，协助管理人员排除安全隐患和安全故障，同时为相关部门的信息安全审计和考核提供技术手段和依据，实现全网的安全集中监控、审计和应急响应，全面提升数据中心的信息安全保障能力。对数据中心的安全运维人员而言，只需通过对信息安全管理平台的监控即可实现对整个系统的监控，大大减少了工作量，提高了工作效率。安全管理制度建设数据中心应尽力保障数据中心环境中的网络设备和服务器能够稳定、可靠地运行，从而向客户提供高质量的服务。在数据中心安全运行中，人始终是最重要的因素，因此有必要进行相关制度建设，并使进出机房人员遵守数据中心的有关制度，从而确保数据中心的正常运作。在制度建设中，要考虑制度涵盖数据中心的物理安全、网络安全、系统安全和数据安全。建立健全相关安全保密、机房访问、环境管理、设备管理等制度，依据《中华人民共和国计算机信息网络安全保密规定》，严格控制对数据中心和机房的访问，保持所使用的办公环境和机房环境的整齐、清洁、有序［9］。结语数据中心的建设是一个系统化的工程，不但需要考虑性能、容量、环保，安全性同样值得大家关注。针对纷繁复杂的网络攻击，我们在构建数据中心时，既要考虑到能够有效消除各种安全隐患，又要考虑到系统的灵活性和延续性，便于升级和维护，同时还要求系统能支持数据的完整性、应用的可达性，采用合理的安全体系结构和安全管理制度可以事半功倍。参考文献：[1]李军.DDoS攻击全面解析J].网络安全技术与应用，2007(9).[2]吴晓光.多维度透析数据中心建设J].金融电子化，2010(12).[3]黄迪.电子政务网安全技术研究及应用[口].重庆：重庆大学，2008.[4]赵磊.政务网络风险评估与安全控制[0.上海：上海交通大学，2008.[5]钟秀玉