近期习总书记访美,网络安全问题作为一项重要议题,体现了两个大国对网络安全问题的担忧。数据中心是信息系统资源最、数据交换最频繁的地方,也是安全事件的多发地带,任何防护上的疏漏将导致无法弥补的损失。此外,随着新一代数据中心建设热潮的兴起,新技术,新设备越来越负载,这些也为数据中心安全引入诸多不确定的因素,因此提升数据中心的安全防护至关重要。
保护数据中心是一项庞大的工程,即便一点疏忽,也可能带来巨大的威胁。我国曾发布过《中华人民共和国计算机信息系统安全保护条例》和《计算机信息系统安全保护等级划分准则》(GB17859-1999),对数据中心安全有明确的规定策略和保护要求。一般我们可以将数据中心安全分为三个方面:物理安全、网络安全和系统安全。物理安全指的是防止服务器、网络设备、数据中心所有设施等免遭地震、水灾、火灾等环境事故以及人为因素造成的破坏。网络安全指的是防止数据中心遭到信息泄露、数据完整性破坏、拒绝服务攻击、网络病毒、间谍软件与垃圾邮件攻击等。系统安全指的是通过采用双机热备份技术、备份与恢复策略、用户与权限管理、安全审计等提升数据中心运行安全的技术。最新热议的话题指的是网络安全范围的内容。
数据中心面临着诸多影响网络安全的威胁,在表1列出了数据中心常见的五大威胁:
所谓“魔高一尺,道高一丈”,面对这些对数据中心安全的多种威胁,也相应的有一系列消除威胁的方法,下面将一一详细讨论。
针对数据中心的非法访问,要对数据中心各类服务器的登录密码进行加密,设置复杂度要高。按照业内普遍的规则:一般6个月内所有的登录设备都要更换一次密码。在数据中心网络的入口增加防火墙、IPS等设备增强数据中心的防攻击能力。定期检查数据中心设备,及时发现配置不合理的地方,配置漏洞。防止外界非法访问到数据中心内部数据。
针对数据中心的恶意破坏,要对数据中心的设备软件定期升级,提供数据中心设备的防攻击性能。在采购数据中心设备时,要与厂家的设备安全进行深入交流。保证使用的设备存在漏洞。Windows、Linux、Vxworks等几大操作系统都会定期发布一些系统漏洞,这些漏洞会被黑客利用,从而破坏数据中心的信息系统。因此要及时更细数据中心设备的运行软件。
针对数据中心的信息泄露,要对数据中心增加流量清洗、防火墙病毒过滤,应用软件管理。数据中心的攻击以DDoS为主。可以在数据中心出口的下行链路部署清洗中心,对大流量DDOS攻击给予清洗。通过在数据中心出口链路部署流量检测系统,检测异常流量攻击,并上报流量清洗系统进行异常流量清洗,最后将清洗后的正常业务流量重新注入网络中。
针对数据中心的病毒传播,要增强数据中心防范病毒的能力。在数据中心网络环境下,计算机病毒具有不可估量的威胁性和破坏力。数据中心的所有服务器要部署防病毒软件,并实时进行病毒库的更新,采用反病毒技术有效地防病毒。反病毒技术包括预防、检测和攻杀三项功能,一般防毒软件均采用此技术。很多防病毒软件的服务器端可以结合操作系统工作组或域平台做到自动分发,能够有效查杀系统中的病毒。
针对数据中心的人为泄露,要增强数据中心的人员管理。“三分技术,七分管理”。大量事实表明,在影响数据中心网络安全运行的事件中,大多数都是由于管理不善或者控制不严造成的。近期美国的棱镜门事件、维基泄密事件都是内部的人员进行信息泄露的。因此人是数据中心网络安全的主体,只有管理好数据中心的人才能最有效的保证数据中心的安全。
为增加对数据中心人员的管理。要健全各项数据中心设备的安全运行管理和防范制度,加强工作人员的责任心的教育和团队协作精神的培养。保持充足的人力资源,合理搭配人员组合,优化工作调度程序,使运行操作人员有合理的休息和调整时间。在物质和精神上有所倾斜,使他们的工作得到认同,从而树立职业荣誉感,在工作中体现自身的价值。
针对数据中心不同的功能区和不同的管理人员进行物理隔离,加强严格的管理制度。采用生物识别技术,如指纹识别、视网膜识别等,结合门禁系统,进行严格的身份控制。在完成对接入用户的身份认证后,根据事先确定的授权信息,控制接入用户能够访问的设备,以及能够使用的应用和服务。数据中心任何数据不允许个人带出或通过网络传递到数据中心以外。
数据中心是将各种网络资源、硬件设备、软件数据与管理制度集成一体的技术架构,数据中心的安全性能是整个信息系统运行的稳固基础。随着网络技术的不断发展,数据中心的安全隐患也会随之更新,因此安全防范体系也要顺应网络技术的发展不断更新,数据中心安全将是一个永恒的话题。必须常抓数据中心的安全运行,管理必须常抓不懈。
保护数据中心是一项庞大的工程,即便一点疏忽,也可能带来巨大的威胁。我国曾发布过《中华人民共和国计算机信息系统安全保护条例》和《计算机信息系统安全保护等级划分准则》(GB17859-1999),对数据中心安全有明确的规定策略和保护要求。一般我们可以将数据中心安全分为三个方面:物理安全、网络安全和系统安全。物理安全指的是防止服务器、网络设备、数据中心所有设施等免遭地震、水灾、火灾等环境事故以及人为因素造成的破坏。网络安全指的是防止数据中心遭到信息泄露、数据完整性破坏、拒绝服务攻击、网络病毒、间谍软件与垃圾邮件攻击等。系统安全指的是通过采用双机热备份技术、备份与恢复策略、用户与权限管理、安全审计等提升数据中心运行安全的技术。最新热议的话题指的是网络安全范围的内容。
数据中心面临着诸多影响网络安全的威胁,在表1列出了数据中心常见的五大威胁:
所谓“魔高一尺,道高一丈”,面对这些对数据中心安全的多种威胁,也相应的有一系列消除威胁的方法,下面将一一详细讨论。
针对数据中心的非法访问,要对数据中心各类服务器的登录密码进行加密,设置复杂度要高。按照业内普遍的规则:一般6个月内所有的登录设备都要更换一次密码。在数据中心网络的入口增加防火墙、IPS等设备增强数据中心的防攻击能力。定期检查数据中心设备,及时发现配置不合理的地方,配置漏洞。防止外界非法访问到数据中心内部数据。
针对数据中心的恶意破坏,要对数据中心的设备软件定期升级,提供数据中心设备的防攻击性能。在采购数据中心设备时,要与厂家的设备安全进行深入交流。保证使用的设备存在漏洞。Windows、Linux、Vxworks等几大操作系统都会定期发布一些系统漏洞,这些漏洞会被黑客利用,从而破坏数据中心的信息系统。因此要及时更细数据中心设备的运行软件。
针对数据中心的信息泄露,要对数据中心增加流量清洗、防火墙病毒过滤,应用软件管理。数据中心的攻击以DDoS为主。可以在数据中心出口的下行链路部署清洗中心,对大流量DDOS攻击给予清洗。通过在数据中心出口链路部署流量检测系统,检测异常流量攻击,并上报流量清洗系统进行异常流量清洗,最后将清洗后的正常业务流量重新注入网络中。
针对数据中心的病毒传播,要增强数据中心防范病毒的能力。在数据中心网络环境下,计算机病毒具有不可估量的威胁性和破坏力。数据中心的所有服务器要部署防病毒软件,并实时进行病毒库的更新,采用反病毒技术有效地防病毒。反病毒技术包括预防、检测和攻杀三项功能,一般防毒软件均采用此技术。很多防病毒软件的服务器端可以结合操作系统工作组或域平台做到自动分发,能够有效查杀系统中的病毒。
针对数据中心的人为泄露,要增强数据中心的人员管理。“三分技术,七分管理”。大量事实表明,在影响数据中心网络安全运行的事件中,大多数都是由于管理不善或者控制不严造成的。近期美国的棱镜门事件、维基泄密事件都是内部的人员进行信息泄露的。因此人是数据中心网络安全的主体,只有管理好数据中心的人才能最有效的保证数据中心的安全。
为增加对数据中心人员的管理。要健全各项数据中心设备的安全运行管理和防范制度,加强工作人员的责任心的教育和团队协作精神的培养。保持充足的人力资源,合理搭配人员组合,优化工作调度程序,使运行操作人员有合理的休息和调整时间。在物质和精神上有所倾斜,使他们的工作得到认同,从而树立职业荣誉感,在工作中体现自身的价值。
针对数据中心不同的功能区和不同的管理人员进行物理隔离,加强严格的管理制度。采用生物识别技术,如指纹识别、视网膜识别等,结合门禁系统,进行严格的身份控制。在完成对接入用户的身份认证后,根据事先确定的授权信息,控制接入用户能够访问的设备,以及能够使用的应用和服务。数据中心任何数据不允许个人带出或通过网络传递到数据中心以外。
数据中心是将各种网络资源、硬件设备、软件数据与管理制度集成一体的技术架构,数据中心的安全性能是整个信息系统运行的稳固基础。随着网络技术的不断发展,数据中心的安全隐患也会随之更新,因此安全防范体系也要顺应网络技术的发展不断更新,数据中心安全将是一个永恒的话题。必须常抓数据中心的安全运行,管理必须常抓不懈。