数据中心保护方案

数据中心保护方案

数据中心集中了应急指挥平台所有重要的信息资产。而信息资产的集中往往会带来两个问题：一是安全性问题，如何保证信息资产不丢失，不被窃取；二是服务稳定性问题，如何在大访问量的情况下保证服务的连贯性。

7.7.5.1、安全保障

从安全角度看，数据中心可以被划分为三个主要的层次，通过对层次的划分以及所有安全威胁在层次上的对应，组织可以对安全威胁采用对应的安全解决方案，并对这些解决方案进行统一规划。当在每一层次部署对应安全解决方案时，也非常清晰的定义和确定了将被包含或影响到的业务。

数据中心安全性的三个主要的层次是：

（1）IT基础设施和物理安全性：

●这一层泛指整个IT基础设施，数据中心需要IT基础设施来运行有

效的业务操作，IT基础设施的弹性将决定业务操作的总体效率和可

用性。数据中心也存储所有的数据，这些数据是业务事务和应用处

理所生成的结果。

●这一层的安全性解决方案主要集中于保护技术设施不受物理和逻辑

上的攻击，其他主要集中方面是基础设施和应用的监控和管理。

（2）应用和数据安全性：

●这一层是指业务应用的安全性，业务应用被内部和外部终端用户实

际访问，是处理业务事务的资产，并提供电子商务。

●这一层的安全性解决方案主要集中于提供对应用的受控访问、验证

用户身份、用户的provisioning和授权、审查用户操作，并通过加密

来保护数据。

●面向应用的攻击：常见的包括恶意蠕虫、病毒、缓冲溢出代码、后

门木马等，最典型的应用攻击莫过于“蠕虫”。应用攻击的共同特点

是利用了软件系统在设计上的缺陷，其传播都基于现有的业务端口，

因此应用攻击可以毫不费力的躲过那些传统的或者具有少许深度检

测功能的防火墙。

●面向网络的攻击：除了由于系统漏洞造成的应用攻击外，数据中心

还要面对拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）的

挑战。DOS/DDOS是一种传统的网络攻击方式，然而其破坏力却十

分强劲。常见的DDOS攻击方法有SYN Flood、Established Connection

Flood和Connection Per Second Flood。已发现的DOS攻击程序有

ICMP Smurf、UDP 反弹，而典型的DDOS攻击程序有Zombie、

TFN2K、Trinoo 和Stacheldraht等。

（3）管理安全性

●这一层是指业务流程和操作的安全性，当管理团队作出高级策略决

定时，管理安全性主要进行基础设施和应用的安全性的实现和配置。

策略和标准的成功与否取决于如何在这一层上实现和实施级别，这

使组织能够运行业务，而不会有意或无意的违背组织策略，并防止

业务遇到合法的或其他类型的安全问题。

●这一层的安全性解决方案主要包括一些方案或服务，这些方案或服

务帮助组织实施并自动操作安全策略和流程，最终用户了解规划并

完成整网的安全管理和报告。

7.7.5.2、可用性保障

随着信息化的迅速发展，信息中心已经从分立的“计算中心＋网络中心”模式发展成计算与网络集成一体的数据中心。作为信息化的基础核心，数据中心将汇集高性能计算、数据通讯、语音通讯等功能于一体，成为支撑未来业务发展的平台。

但是，作为应急指挥平台网络的核心，数据中心面临着众多的挑战。扩展性、灵活性、高性能、可靠性和安全性，无一不是对数据中心的要求。尤其重要的一点是：应急响应多为突发性请求，发生紧急事故时，瞬间流量激增，对服务器的响应能力是一个极大的考验。在访问请求急剧增长的时候，如何保证服务器提供快速、稳定的数据到客户端至关重要。

仅靠不断增加带宽是不能满足上述需求的，想提高服务器应用的响应度，就

需要在现有网络中部署专门的硬件加速引擎，用于提高服务器应用的性能。

硬件加速引擎需要具备应用加速和负载均衡功能。首先，必须具备负载均衡能力，通过对服务器健康状态的检查，将访问流量均衡地分摊到各个服务器上；其次，建议通过TCP优化、内容压缩、负载均衡、SSL加速等技术，达到对单个访问进行加速。

7.7.5.3、安全模型

数据中心安全部署图

7.7.5.4、推荐产品

为了避免多台设备糖葫芦式部署带来的管理问题和单点故障问题，建议防火墙、IPS和流量清洗等模块以插卡形式集成在数据中心核心交换机上。

应用优化引擎具有应用加速和负载均衡功能，需要基于硬件架构并具有并行运算能力，避免在多种应用加速功能同时开启的时候，导致性能成指数下降。