如何做好數據中心的安全監控和防護

文｜宋海濤、趙建國、王秋華

如何做好數據中心的安全監控和防護

文｜宋海濤、趙建國、王秋華

信息數據的安全監控和防護技術

信息數據的安全是指信息數據在存儲、傳遞和處理過程中保持其完整、真實、可用和不被泄漏的特性，即保密性、完整性、可用性、可控性和可審查性。信息數據安全的對象主要有實體安全、網絡安全、傳輸安全、應用安全和用戶安全。

信息數據的安全技術防護的分為三個階段。

初期是系統審計技術階段。主要是側重于記錄用戶使用信息系統的過程，以便審計人員事后發現用戶的違規操作行為，但其管理功能有限，且無法及時阻止違規行為的發生。

后來是主機監控技術階段。主要是防止單臺主機信息泄漏和違規操作行為發生，具有初步的主動防護功能并有較強的控制手段，設控制、主機網絡控制、用戶認證等，但采用的主要還是單點加固的機制，防護體系不夠完整，存在安全“瓶頸”。

目前是可信網絡與數據安全技術階段。在這一階段，強化了整體防御能力，增加了“可信”的概念，其中包括可信終端、可信軟件和可信用戶等內容。整個控制過程不僅僅限于單一的時間點，而是從終端系統接入網絡開始的整個生命周期，利用交換機、防火墻對非法終端進行隔離，利用入侵檢測、防病毒、漏洞掃描、審計軟件等對用戶行為進行檢測，借助補丁軟件、木馬專殺工具對終端進行保護。除整體防御之外，它也更加貼近關鍵數據，通過透明的加密技術、虛擬磁盤技術、文件重定向技術直接保護電子文檔和數據的安全。

數據中心的主要技術風險

除了承受自然災害、人為破壞、操作失誤、系統軟硬件故障等風險外，由于數據中心是多媒體數據庫和各業務信息數據集于一體，具有聯網節點數量大、多業務系統互聯等特點，因而又面臨由集中帶來的以下八類技術風險。

1.各業務系統整合帶來的風險。根據數據中心“數據集中、資源整合”的要求，原來分散開發和部署的應用系統在數據集中的環境下需要作進一步的梳理和整合，在此轉變過程中，硬件的更新、軟件的升級以及整合之后系統之間的相互制約，都會對各系統產生一定的影響。如果遷移整合過程沒有規范的標準作為準則，或者出現細節上的失誤，都會對各系統的平穩連續運行造成不良影響。

2.信息數據自身的安全風險。隨著大部分業務數據都基本上集中在數據中心，其分析利用的效率固然會大大提高，但信息數據集中的過程也是風險相對集中的過程，一旦數據中心的存儲數據發生丟失、混亂或是被破壞等現象，造成的后果將蔓延，造成大范圍的不良影響。

3.系統設計不科學帶來的風險。數據中心各業務系統應具有基本的海量聯機事務處理能力，在對此類系統進行開發之前，對單位時間內事務或交易發生量的估算非常重要，一方面要對基本的處理能力作準確估算，同時不失前瞻性，另一方面又要防止過度夸大業務量，造成信息資源浪費。因此，在開發業務系統時(尤其是在自主開發時)，一定程度上存在著業務系統處理能力不足或者資源閑置的風險。

4.網絡通信“瓶頸”風險。數據集中同時也意味著網絡壓力的集中，網絡帶寬如果無法滿足大量的信息數據傳輸要求，就會存在由于通信阻塞造成信息數據及交換的風險。

5.維護與管理風險。由于數據中心的體系結構和運行管理相對復雜，由此對技術人員的運維和管理水平提出了更高的要求，如果科技隊伍的技術水平沒有配套地提升，如果沒有針對數據集中的工作環境制訂詳細的運維管理和應急處置制度，那么面對突如其來的風險事故時，將難以及時處理以確保系統連續穩定的運行。

6.遭受攻擊與入侵風險。數據中心的作用和風險都較以往分散式的體系結構更為突出，因此在一定程度上就更加可能成為入侵攻擊的目標與對象，且與以往相比，由于地位突出，數據中心遭受攻擊強度會更大、持續時間會更長、方式種類會更多，故一旦沒有配套的安全防護技術體系，后果將不堪設想。

7.應急事件的風險。數據中心為發揮其業務處理和分析的高效性，需要跨部門開展多層次、多種類的協作，在此業務架構和技術架構下，應急演練涉及面廣、操作難度大，可能會造成無法開展應急演練或演練次數銳減的情況，演練實質效果很難保證，從而導致區域數據中心發生重大故障時，業務恢復效率低，技術風險不斷擴大。

8.其它配套體系不完善帶來的風險。數據中心的建設過程同樣也是配套設施不斷完善的過程，在此期間，災難備份中心建設相對滯后，IT資源監控的技術手段有待豐富，數據中心在風險方面的宣傳仍是空白，當核心系統或設備發生故障時，由于自身風險定位不明確，將難以迅速地采取有效的應對措施。

隨著業務不斷發展，加強信息化基礎設施建設，建立核心機房（數據中心），形成了成熟完整的多媒體數據中心。數據集中極大提升了信息的完整和共享能力，但同時也將數據安全風險集中到了數據中心，由于各種信息數據直接匯聚到數據中心進行統一管理，數據中心變得愈加龐大和復雜，其中的數據也變得愈加關鍵。本文在核心機房的數據中心建設的背景下如何做好機房的安全監控和防護技術。

數據中心安全防護策略

為實現從原有分散式系統到集中式系統平穩過渡，首先要從技術上和管理上完善系統整合的標準、規范和流程，在充分了解技術細節的前提下，使系統的遷移工作以科學和固定的模式來實施，從細節上確保系統遷移整合的正確性、完整性和可審計性，不但要使結果符合要求，更要使整個過程可控制。其次，是要盡可能使用可靠、先進的技術手段，一方面提高系統遷移整合工作的效率和準確性，另一方面促使科技隊伍多學多用、活學活用，同步提高信息技術水平。

數據集中后，數據的安全性問題日益突出，對此，首先是要做好數據的備份和恢復準備工作，在區域數據中心的主機服務器中可以利用數據一致性技術(如時間戳技術)等解決數據不一致的問題，以及使用數據備份中經常用到的數據復制技術(如遠程鏡像技術、快照技術等)，在數據丟失的緊急情況下使數據能得到及時恢復，避免對業務造成影響。其次，要根據不同業務系統涉密性和安全性等級，通過嚴格的存儲訪問控制技術來實現安全訪問，在網絡存儲中使用IPSAN等技術，建立數據的卷綁定，設置主機的訪問權限，如讀寫權限、通過密碼訪問(CHAP認證)等。再者，要加強對元數據的管理，通過元數據優化、提取和語義一致等功能的參考模型來支持元數據的再使用、一致性、完整性和共享性。

數據中心對應用系統的功能和性能提出了許多全新的要求，一個系統能否勝任，其設計過程非常關鍵。首先，在系統設計初期，必須充分與業務系統溝通，確定業務量的變化范圍，由此一方面確定系統的性能范圍，另一方面使系統的技術架構與業務架構相吻合，切實發揮對業務的支持和促進作用。其次，在系統設計過程中，可以廣泛應用已有的、成熟的軟件工程設計技術，例如面向對象設計方法和以及成熟的設計模式，設計模式是被反復使用、經過分類編目的、具有高可用性的代碼設計經驗的總結，能夠有效保證系統設計的高可用性，應對系統設計的風險。第三，大型系統在上線之前必須經過嚴格反復的測試，從中發現問題、總結問題、修改問題，以保證系統具有勝任數據中心業務處理的高品質。

對于業務量飆升帶來的區域數據中心網絡通信“瓶頸”問題，首先要注重避免在網絡核心區中存在單點故障風險，在網絡設計中，應盡可能使用設備的雙機熱備(如路由器、防火墻、核心交換機的雙機熱備)，以及采用不同通信運營商的冗余線路來解決線路備份問題，保證網絡通信的可靠性。其次是要根據實際流量增長的需求，拓寬通訊帶寬。同時合理利用網絡設備的負載均衡技術，有效填補網絡線路和不同的網絡設備之間的速率差距，確保充分利用網絡資源。

數據中心在各個專項領域都提出了更高的要求，因此，有必要加強現有技術人員的培訓，在條件允許的情況下，進行集中培訓和學習，或引進具有專項技能或運維經驗的人才來補充維護團隊，使得區域數據中心各項運行維護工作運作順暢，并具有過硬的異常處理能力。同時，應注重IT操作流程的完善，以及配套操作和審計流程的自動化，強化規范操作的落實和監督，降低維護與管理的風險。

防止區域數據中心受到外來攻擊和入侵，主要是在網絡設備、網絡設計、入侵監測和病毒防治等方面，通過各種技術手段，強化網絡安全和主機安全水平(這方面的內容將在第四部分中詳細介紹)。

信息數據集中格局形成后，作為配套設施建設，應該相應成立數據中心應急處置小組，其中包括領導、行政、業務、技術、電力保障等各層次的應急隊伍，明確各層次的職責，制定合理可操作的區域數據中心應急預案。同時，應該根據應急預案定期開展多種形式的演練，使用模擬技術使演練更加逼真，以提高區域數據中心的應急處置能力。

災難備份中心的重要性和必要性毋庸贅述，它是信息安全的“最后一道防線”，災難中心的建設對于不同機構的數據中心來說，從成本因素考慮，可視實際情況不同而采用不同的形式，在管理、技術和資金方面有優勢等的大型數據中心可單獨建立災難中心，反之，則可租用和共享災難備份中心。

數據中心網絡安全防護

首先是硬件設備安全，所使用的設備必須符合國家質量技術監督局、公安部《安全技術防范產品管理辦法》規定，具有生產許可證，安全認證符合我國3C認證要求和安全與警用電子產品型式檢驗要求，或具有美國、日本、歐盟等技術先進國家安全防范行業安全認證書，對重要安全產品還必須獲得國家保密和安全部門的評測和認證。

在內聯網中，如果信息傳輸采用公用信道，且TCP／IP協議具有開放性，那么數據很容易被竊取、篡改和假冒。而在外聯網，如果某些業務系統數據的源頭來自各網點，而內聯網與外部的連接是通過FR、DDN、X.25和PSTN實現，則必須在鏈路層和網絡層采用一定的安全措施。在鏈路層，采用支持FR和X25協議的加密設備進行鏈路加密，并且對個別重要業務的通信使用單獨設立PVC通道；在網絡層，首先要在內聯網與外聯網之間使用防火墻、路由器進行數據包過濾、地址轉換(NAT)等技術手段，對來自接入網的非法訪問進行控制，其次要在局域網內設置虛擬專用網絡，實現內外網隔離，再者是建立統一的網絡管理平臺和監控平臺。

網絡接入和訪問控制。一是為了提高網絡速度，減少網絡數據包的數量(特別是廣播包的數量)，就必須對網絡進行虛網(VLan)的劃分，因為業務的劃分與部門的設置有著密切的關系，所以劃分VLan的原則可以部門為主體進行劃分。二是設計信息停火區(DMZ)，用來放置與各互連單位進行信息交換的服務器。外部用戶訪問DMZ中的各服務器時，必須先經過防火墻的地址轉換，然后將數據包送到放置在防火墻DMZ區的各個服務器。通過這種網絡結構，可以制定針對服務器的安全策略，也可以制訂指向內網的安全策略，還可以根據針對服務器的各種攻擊進行防范。三是結合實際情況，按照相關安全要求禁止遠程接人方式。入侵檢測系統(IDS和IPS)。IDS／IPS一般部署在不同安全級別的網絡邊界，可用于監測和抵御網絡威脅。在區域數據中心有必要使用專門的人侵檢測系統，對網絡運行進行實時監控，捕獲網絡異常事件和訪問特定機器的數據包，按一定的規則進行分析、檢測，從而確定是否有計算機對網絡或受保護的計算機進行攻擊，進而堵塞系統設置中的安全漏洞。IDS／IPS對各類黑客攻擊行為以及新型的未知的攻擊行為能夠實時監控，自動檢測可疑行為，及時發現來自網絡外部或內部的攻擊，并實時響應，切斷攻擊方的連接。

采用虛擬專用網(vPN)。數據在對外傳輸時，為保證所有在網絡上傳輸的重要數據的安全性，可以使用VPN技術對重要數據進行加密處理，加密后的數據不僅能夠確保其私密性，還具有信息身份認證功能和抗攻擊功能，其他人無法將偽造的信息在VPN隧道上傳輸，并且即使他人截獲了數據信息，也無法對加密的信息進行破解。

數據中心主機安全防護

除了網絡基礎環境的安全外，數據中心主機的信息安全防護體系是另一個重點，一般來說，主機基本上都處在內聯網中，所采取安全防護措施主要有以下幾個方面。

1．防病毒、蠕蟲和惡意軟件；清除木馬和間諜軟件。防病毒、蠕蟲和惡意軟件可以說是最基本的主機安全防護措施，它可以防止計算機病毒通過網絡進行傳播和擴散，并對信息資源和網絡設備進行保護。區域數據中心主機可安裝業界流行的防病毒軟件并開啟自動防護功能，同時部署防病毒服務器，供客戶主機進行實時更新，以防遭受新型病毒、蠕蟲和惡意軟件的破壞。木馬和間諜軟件可以說是一種特殊的病毒，除盜取業務系統的用戶和密碼，然后進行破壞以外，有些木馬和間諜軟件還可能會用來盜取重要文件，危害企業秘密信息的安全。因此，除了部署企業版防病毒軟件以外，還可定期使用專用工具對主機進行全面掃描，清除木馬、間諜軟件。

2．操作系統安全和補丁分發系統、主機漏洞的管理。一是保證主機上安裝的操作系統和軟件必須是正版軟件，以及確保只安裝與業務相關的軟件。二是根據操作指引，關閉操作系統中不必要的服務，啟用相關安全策略。三是針對操作系統和軟件本身存在漏洞和安全隱患，在區域數據中心部署補丁分發系統，強制對所有主機進行補丁更新，保證操作系統和應用軟件的安全性。使用成熟的漏洞掃描系統，基于其最新的安全漏洞庫，對區域數據中心主機漏洞進行定期掃描，分析和檢測主機中存在的弱點和漏洞，并按照修補方法和安全實施策略進行加固。

3．日志分析管理。對數據中心主機的業務系統、操作系統和安全防護系統的日志進行分析，如通過對業務系統中失敗登錄的次數、硬盤使用的情況、文件錯誤的分析來跟蹤業務系統的狀態；通過分析操作系統的設備驅動程序啟動失敗情況、硬件錯誤、服務運行等日志，解決操作系統和硬件的故障；通過對防病毒系統日志進行分析，發現區域病毒發作的特點并提出解決方法。

4．主機數據文件安全。可以考慮采用以下方式增強數據文件的安全性：一是對于以文件形式存放的涉密文，全部轉化PDF格式并使用在線驗證的加密機制，其加密算法采用的是256位的AES對稱加密，另外對涉密文件的權限進行控制(如設置為“能看、不能改、不能打印”等)，進一步對文件進行防護；二是對信息數據進行加密，特別是對使用數據庫保存的業務數據，對其中的數據進行加密，使用密文進行保存。

新華社通信技術局）