數據中心安全性建設與評估指標介紹

米沃奇

隨著人們對個人隱私數據安全的關注，數據中心安全受到越來越高的重視。當人們訪問數據中心時，首先的顧慮是個人的信息會不會被泄露，自己的訪問是不是安全的。這對數據中心提出了更高的要求，數據中心不僅要提供全年不間斷的訪問，還要確保數據不丟失，不被竊取。下面我們就針對數據安全中心的建設與評估二方面做詳細介紹。

一、數據中心的網絡安全建設

由于數據中心承載著用戶的核心業務和機密數據，同時為內部、外部以及合作伙伴等客戶提供業務交互和數據交換，因此在新一代的數據中心建設過程中，安全體系建設成為重點的主題。數據中心安全圍繞數據為核心，從數據的訪問、使用、破壞、修改、丟失、泄漏等多方面維度展開，一般來說包括以下幾個方面：

1）物理安全：主要指數據中心機房的安全，包括機房的選址，機房場地安全，防電磁輻射泄漏，防靜電，防火等內容；

2）網絡安全：指數據中心網絡自身的設計、構建和使用以及基于網絡的各種安全相關的技術和手段，如防火墻，IPS，安全審計等；

3）系統安全：包括服務器操作系統、數據庫、中間件等在內的系統安全，以及為提高這些系統的安全性而使用安全評估管理工具所進行的系統安全分析和加固；

4）數據安全：數據的保存以及備份和恢復設計；

5）信息安全：完整的用戶身份認證以及安全日志審計跟蹤，以及對安全日志和事件的統一分析和記錄；

拋開物理安全的考慮，網絡是數據中心所有系統的基礎平臺，網絡安全從而成為數據中心安全的基礎支持。因此合理的網絡安全體系設計、構建安全可靠的數據中心基礎網絡平臺是進行數據中心安全建設的基本內容。

網絡是數據傳輸的載體，數據中心網絡安全建設一般要考慮以下三個方面：

1）合理規劃網絡的安全區域以及不同區域之間的訪問權限，保證針對用戶或客戶機進行通信提供正確的授權許可，防止非法的訪問以及惡性的攻擊入侵和破壞；

2）建立高可靠的網絡平臺，為數據在網絡中傳輸提供高可用的傳輸通道，避免數據的丟失，并且提供相關的安全技術防止數據在傳輸過程中被讀取和改變；

3）提供對網絡平臺支撐平臺自身的安全保護，保證網絡平臺能夠持續的高可靠運行。

綜合以上幾點，數據中心的網絡安全建設可以參考以下原則：

1）整體性原則：單純一種安全手段不可能解決全部安全問題；

2）多重保護原則：不把整個系統的安全寄托在單一安全措施或安全產品上；

3）性能保障原則：安全產品的性能不能成為影響整個網絡傳輸的瓶頸；

4）平衡性原則：制定規范措施，實現保護成本與被保護信息的價值平衡；

5）可管理、易操作原則：盡量采用最新的安全技術，實現安全管理的自動化，以減輕安全管理的負擔，同時減小因為管理上的疏漏而對系統安全造成的威脅；

6）適應性、靈活性原則：充分考慮今后業務和網絡安全協調發展的需求，避免因只滿足了系統安全要求，而給業務發展帶來障礙的情況發生；

7）高可用性原則：安全方案、安全產品也要遵循網絡高可用性原則；

8）技術與管理并重原則：“三分技術，七分管理”，從技術角度出發的安全方案的設計必須有與之相適應的管理制度同步制定，并從管理的角度評估安全設計方案的可操作性；

9）投資保護原則：要充分發揮現有設備的潛能，避免投資的浪費。

數據中心的網絡安全是數據中心安全體系的最基本環節，通過合理的網絡安全設計方法可以保證基礎網絡平臺的安全可靠，并提供持續安全加固的擴展性設計。但是要想構建全面安全的數據中心，還需要數據安全、系統安全、信息安全等方面從其他的安全角度出發進行相應的安全規劃，不斷完善數據中心的安全防范等級。

二、數據中心安全性評估指標

一個數據中心是否是安全的，要通過一系列的數據來說話，這就需要對常用的數據中心安全指標要有所了解，通過這些安全指標對數據中心進行考核，從而對數據中心安全進行有效評估。

首先，要對數據中心日常運營的安全管理，這部分主要側重對數據中心資產進行管理，并對數據中心整體進行風險管理，在管理上找出提升安全性的方法。主要包括：資產管理、脆弱性管理、風險管理、策略管理，關聯分析等。資產管理就是對數據中心各種設備、物品、人員進行管理，確保這些資產的安全，這包括對物品的監控，人員的管理，還要考慮物品的損耗。每個公司周期性的要進行資產盤點，就是資產管理，對于數據中心也不例外，通過一些管理軟件做好資產管理工作；脆弱性管理一般人并不了解，脆弱性是對一個或多個資產弱點的總稱，弱點是資產本身存在的。對資產的弱點進行有效評估和識別，將可以獲得數據中心整體的脆弱性情況，一般是通過問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等方式對數據中心脆弱性進行評估，然后制定一些管理措施，避免脆弱性演變為安全事件；風險管理和脆弱性管理類似，要對數據中心整體進行風險評估，然后有效避免安全事件發生；策略管理是指在防火墻、安全軟件上做的各種過濾設置、訪問控制，對各個網段的互訪進行控制，對各種VPN訪問進行嚴格檢查，這些設置非常繁雜，也很多，大型的數 據中心往往需要防火墻下發數萬條的訪問控制配置，這里的每條配置都有特定含義，一般不輕易進行修改，否則就容易給數據安全運行帶來風險，需要對系統安全特別熟悉的人評估后才能進行修改；關聯分析就是從給定的數據集中發現頻繁出現的項集模式知識，目的是挖掘數據記錄中不同數據項之間的橫向關聯性，關聯分析有很多算法可應用于數據中心安全評價，對數據中心安全性進行評估。

其次，要對數據中心安全做一些具體的防護措施，通過對這些防護措施進行評價得出數據中心的安全性程度。主要包括：實時監控、安全預警、故障信息顯示、設備管理、設備監控、日志審計、響應管理等等。數據中心的數據安全隨時會受到各種各樣的威脅，要對數據訪問做實時監控，主要包括軟硬件方面的安全防護，數據訪問的安全管理，異常數據的過濾等。實時監控的目的就是及時發現數據中心的安全隱患，并給出安全預警，對故障信息進行顯示，以便數據中心運維人員可以采取保護措施，更加智能的系統在發現安全危險時，軟件也可以自行啟動防護措施。實時監控還應具有一定的容錯能力，不能因為用戶誤操作等原因使系統出錯、退出或死機，具有對本身硬件故障、各監控級間的通信故障、軟件運行故障自診斷功能，并給出告警提示。整個一套安全防護系統有完善的日志信息記錄、設備運行狀態監控、響應管理等，通過這些機制來確保數據中心的數據安全。“魔高一尺，道高一丈”，數據中心雖然不可避免會存在一定漏洞，但有了完善的安全設備監控，依然可以確保數據中心的安全，所以在數據中心從內到外，從軟到硬，部署全方位的安全防護系統，才能保證數據的安全。

最后，要對訪問數據內容進行分析，這種安全管理更加深入、細化，直接對數據內容進行安全檢查，主要有異常流量分析和行為合規性檢測。先說異常流量分析，嚴格的來講，正常業務流量之外的流量，都應該歸類為異常流量的范疇。狹義范疇上的異常流量主要指：病毒、蠕蟲、木馬、垃圾應用（P2P下載/在線視頻/在線游戲等）、攻擊（各種D0S攻擊流量）等影響網絡和業務正常運行的流量，這些異常流量必須要通過專業的安全設備才能檢測出來，所以必須要在數據中心的各個人口部署一些異常流量監測的設備。行為合規性檢測著重檢查的是用戶的一些異常行為，比如盜號、洗號。惡意用戶使用木馬等手段盜取賬號后，使用程序或者手工的方式，批量對盜取的賬號和密碼的有效性進行檢測，然后將賬戶內的資金轉移。網上存在大量網絡水軍，受雇于網絡公關公司，為他人發帖回帖造勢，以發帖量來獲取報酬，嚴重影響網站的正常運營。還有很多網站為了商業目的，會使用程序批量抓取競爭對手的數據，例如商旅網站會抓取競爭對手的機票價格、文學網站會抓取其他網站的原創作品。很多網站會開展投票或者點擊廣告賺金幣的業務，有人為了拉選票，使用自動化程序，進行大量投票，這些行為會嚴重違反投票結果的公平性。還有很多非正常的訪問行為，這些行為對數據中心安全造成了很大的隱患，一旦發現需要立即采取防護措施。

以上介紹了數據中心安全性評估的主要指標，每一類都有不少的評估參數，數據中心要實現所有這些安全保障，非常不容易。還好，已經有不少的安全設備已經幫助數據中心實現了這些功能。不過很難有一個廠家覆蓋到所有的安全評估指標，這些安全廠商都有各自側重的領域，在部分方面做得比較出色，這樣需要數據中心來進行選擇，一般是通過使用多個安全廠商的組合拳來保障數據中心的安全。