数据中心安全管理体系构架研究

数据中心安全管理体系构架研究

摘要：针对政府部门或者金融机构构建安全数据中心，对现有的安全隐患做简要的介绍和分析，在此基础之上提出信息系统和相应的安全防御系统架构的解决方案，以及配套的安全管理制度建设，为系统设计人员和流程管理人员提供了一套完整的工作思路，为系统运维人员指明了安全生产监控工作的重点。

关键词：安全管理；数据中心；信息安全；DDOS

0 前言

在当今信息化高速发展的时代，政府部门或者金融机构都面临着海量统计数据的处理，它们以信息系统为基础，以互联网为途径，为社会公众提供各种各样的服务。这些机构内部通过信息系统处理海量的数据，既要求具有高效性，保证工作的顺利进行；也要求充分保障流程的安全性，在对公众提供服务的同时，能够抵御互联网的各种安全威胁。这就需要在设计信息系统和相应的安全防御系统架构时，既要在实现上简单可行，又要在管理上统一有效，节约实施和运维成本，真正达到“绿色数据中心”的要求。

1 现有安全隐患

除管理制度上的安全隐患之外，数据中心的主要安全隐患来自于现有网络各种攻击技术。

2.1 数据中心边界

数据中心边界在整个网络架构中起到网关的作用，作为内部应用

系统和互联网的信息交互通道，公众通过它来对应用系统进行访问[2]。它允许重要的应用数据通过，首当其冲地遭到各种病毒攻击，针对这一区域采用一些有效的防御措施和解决方案尤为重要。

在数据中心边界，设置一系列安全方案，其中包括：

（1）配置安全预警系统。集病毒扫描、入侵检测（Intrusion Detection）和网络监视功能于一体，实时捕获网络之间传输的所有数据，利用内置的病毒和攻击特征库，通

过使用模式匹配和统计分析的方法，检测出网络上发生的病毒入侵、违反安全策略的行为和异常现象，分析可能出现的攻击行为，对各种入侵行为做出响应，同时在不影响网络性能的前提下进行监测，避免由外部攻击造成的损失[3]。并在数据库中记录有关事件，作为事后分析的依据，实时对CPU占用率进行检查，防御DDoS攻击，保持系统的可用性。

（2）部署高性能的防火墙、防病毒网关，过滤掉容易受到病毒袭击的服务端口组，在网络边缘实现病毒监测、拦截和清除等功能。

（3）专网加密机和CA认证中心。专网加密机主要是通过对所传输信息进行加密，接收方用私有密钥对接收到的信息进行解密，避免信息在传输中遭到破坏。认证中心针对信息的安全性、完整性、正确性和不可否认性等问题，采用了数字签名技术，通过数字证书把证书持有者的公开密钥（Public Key）与用户身份信息紧密安全地结合起来，以实现身份确认和不可否认性。

（4）进行应用协议检查。针对HTTP、FTP、SMTP和POP3协

议进行内容检查、病毒清除等工作，对互联网与邮件进行访问控制，包括日志记录、认证、授权和审计，以保证互联网服务安全。同时，通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系，不但可以保护数据中心资源不受外来侵犯，同时也可以阻止内部用户对外部不良资源的滥用。

另外，为保证互联网数据传输交互的安全性，可通过虚拟专用网络（Virtual Private Network，简称VPN）技术，实现不同地理位置的子部门或者分支机构用户对应用信息系统的安全访问。VPN技术为用户提供了一种通过公用网络安全地对内部专用网络进行远程访问的连接方式。VPN连接使用隧道作为传输通道，而这个隧道是建立在公共网络或专用网络基础之上。使用该技术可以为系统节点之间的数据传输提供点到点的安全通道，能有效提高数据传输的安全性和稳定性[4] 。

2.2 应用信息系统

政府部门或者金融机构通过各类应用信息系统对社会公众提供服务。信息系统通常设计成浏览器/服务器（Browser/Server）体系结构，通过Internet/Intranet模式下的数据库应用，实现不同的人员、从不同的地点、以不同的接入方式（如LAN、W AN、Internet/Intranet 等）访问和操作共同的数据库，能有效地保护数据平台和管理访问权限[5]。在系统实体上，应用信息系统包括Web服务器、应用系统、数据库系统以及存储区域。

应用信息系统相对于数据中心的其它两部分而言，有较强的独立

性。另外，各应用系统部署时相对独立，为不同的应用系统服务器分配不同的IP地址，当新业务系统上线或者原有应用系统升级时，不会影响到数据中心的架构，不影响其它应用系统及整个网络的正常运行。

2.2.1 Web访问安全

Web服务器对外部的用户提供Web访问的功能，因此其安全保障要求很高。Web服务器保证外部有权限的用户通过它正常地访问数据中心，针对这一区域采用一些有效的防御措施和解决方案也是必不可少的。

针对Web访问可能造成的数据泄密或病毒攻击，采用一系列方案进行处理。首先，用户身份的确认在B/S系统中是不可或缺的，这就需要进行严格的访问控制和用户权限控制[8]；其次，需要引入对Web应用进行内容审查和应用隔离机制，删除或者关闭不必要的服务；针对敏感数据，为了保护其在传送过程中的安全，可采用SSL/TLS （Security Socket Layer/Transport Layer Security）加密机制[6]；采用网站防护系统对Web服务器进行加固。SSI/TLS是用来解决点到点数据安全传输和传输双方的身份认证而提出来的安全传输协议。它在客户端和服务器之间提供安全通信，允许双方互相认证、使用信息的数字签名来提供完整性、通过加密提供消息保密性。

2.2.2 应用及数据库安全应用及数据库服务器为应用信息系统的核心部分，也是B/S体系不可缺少的部分。这一部分用到的关键技术有：可扩展标记语言（EXtensible Markup Language，简称XML）、简

单对象访问协议（Simple Object Access Protocol，简称SOAP）、AJAX （Asynchronous JavaScript and XML）等。

针对这一区域，可以利用XML数据加密技术、SOAP数字签名技术等，保证应用安全。数字加密技术可以防止公用或私有化信息在网络上被拦截或窃取。数字签名可以验证消息源的可靠性，还可以保证消息发送者不能否认发出的消息[7]。

2.2.3 存储介质安全

数据中心的安全，不但需要有完善的信息安全方案，还需要覆盖到安全存储的部分，这是和传统的数据中心完全不同的地方。数据库靠一系列存储介质来实现对数据的存储。

针对存储部分的安全策略和解决方案主要有：动态和静态的数据加密[8]、存储数据的访问控制、数据的分段管理等。通过对安全问题和存储介质的研究和探索，若干标准也相应被推出，这也是当前的热点课题之一。

2.3 信息安全管理平台

在数据中心内部针对应用信息系统部署了防病毒等一系列安全设备后，可以在一定程度上提高安全防御水平，降低发生泄密事件的概率。在此基础之上，为加强对系统的统一管理，引入信息安全管理平台。

信息安全管理平台的目的是给整个系统（包括数据中心边界和应用信息系统）做实时的监控和维护。

信息安全管理平台实时对网络设备、服务器、安全设备、数据库、