李穎和

隨著IT應(yīng)用程度的日益提高,數(shù)據(jù)中心對于客戶的價值與日俱增,相應(yīng)的,數(shù)據(jù)中心的安全建設(shè)也迫在眉睫。面對日益繁復(fù)的應(yīng)用和日漸頻繁的外部攻擊,一個好的數(shù)據(jù)中心除了應(yīng)對數(shù)據(jù)的存儲和傳遞之外,能否保證數(shù)據(jù)的安全性也是衡量其合格與否的重要標志。而面對不斷變化的外來攻擊,數(shù)據(jù)中心的建設(shè)對安全也有了更高的要求。

安全需求的四個維度

數(shù)據(jù)中心的安全需求有些是通用性的,如分區(qū)和地址規(guī)劃問題、惡意代碼防范問題、惡意入侵問題等;有些是獨有的保密性需求,比如雙層安全防護、數(shù)據(jù)庫審計等;有些是獨有的服務(wù)保證性需求,比如服務(wù)器、鏈路和站點的負載均衡、應(yīng)用系統(tǒng)優(yōu)化等?？傮w來看,數(shù)據(jù)中心對于安全的需求可以從四個緯度來衡量:通用安全性需求、業(yè)務(wù)信息保密性需求、業(yè)務(wù)服務(wù)保證性需求、業(yè)務(wù)安全績效性需求。

通用性的安全威脅可能出現(xiàn)的情況包括:攻擊者通過惡意代碼或木馬程序,對網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用系統(tǒng)進行攻擊;內(nèi)部人員未經(jīng)授權(quán)接入外部網(wǎng)絡(luò),或下載/拷貝軟件或文件、打開可疑郵件時引入病毒;攻擊者利用應(yīng)用系統(tǒng)、操作系統(tǒng)中的后門程序攻擊系統(tǒng);授權(quán)用戶操作失誤導致系統(tǒng)文件被覆蓋、數(shù)據(jù)丟失或不能使用。

業(yè)務(wù)信息安全性威脅則包括:內(nèi)部人員利用技術(shù)或管理漏洞,未經(jīng)授權(quán)修改重要系統(tǒng)數(shù)據(jù)或系統(tǒng)程序;攻擊者利用各種工具獲取身份鑒別數(shù)據(jù),并對鑒別數(shù)據(jù)進行分析和解剖,獲得鑒別信息,未經(jīng)授權(quán)訪問網(wǎng)絡(luò)、系統(tǒng),或非法使用應(yīng)用軟件、文件和數(shù)據(jù);以及攻擊者利用網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計缺陷旁路安全策略,未經(jīng)授權(quán)訪問網(wǎng)絡(luò)。

業(yè)務(wù)服務(wù)保證性威脅指的是:諸如攻擊者利用分布式拒絕服務(wù)攻擊等拒絕服務(wù)攻擊工具,惡意消耗網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源,導致拒絕服務(wù);攻擊者利用各種工具獲取身份鑒別數(shù)據(jù),并對鑒別數(shù)據(jù)進行分析和解剖,獲得鑒別信息,未經(jīng)授權(quán)訪問網(wǎng)絡(luò)、系統(tǒng),或非法使用應(yīng)用軟件、文件和數(shù)據(jù);以及粗放式業(yè)務(wù)服務(wù)能力方式提高了總體擁有成本這類的威脅。

安全建設(shè)績效性威脅則指的是:業(yè)務(wù)流量變化導致安全策略部署需要調(diào)整;業(yè)務(wù)種類變化導致安全部署需要調(diào)整;全網(wǎng)設(shè)備管理存在門戶不同、管理分散,導致定位問題緩慢;以及缺乏整體的IT規(guī)劃,沒有有效的技術(shù)手段制成IT規(guī)劃、決策。

數(shù)據(jù)中心安全有“三高”要求

根據(jù)對數(shù)據(jù)中心所受到的威脅的分析,業(yè)界對數(shù)據(jù)中心安全的建設(shè)有了更多的考慮。猶如現(xiàn)在鑄造一把好鎖,不僅需要先進的機械原理,還會輔之以各種電子化的技術(shù)。目前業(yè)內(nèi)普遍認可,在構(gòu)建數(shù)據(jù)中心時也要突破以往的思路,站在更高的高度上、更全面地重新思考以下方面:

首先是高安全。木桶原理直觀說明了安全需要全方位防御,核心數(shù)據(jù)作為企業(yè)的最寶貴的資產(chǎn)和生命線,它的安全需要強有力的保障,避免病毒、攻擊、非授權(quán)的訪問與泄密,同時保障訪問記錄的審查和監(jiān)督應(yīng)成為數(shù)據(jù)中心安全運營的必備條件。

其次是高性能。數(shù)據(jù)與業(yè)務(wù)集中后,流程整合、信息挖掘和實時工作等新應(yīng)用系統(tǒng)對數(shù)據(jù)中心內(nèi)部系統(tǒng)的帶寬、響應(yīng)時間、吞吐量等提出了更高的要求,多媒體數(shù)據(jù)、Web 2.0、移動3G和高性能計算等業(yè)務(wù)的廣泛應(yīng)用不斷吞噬著數(shù)據(jù)中心的處理能力、網(wǎng)絡(luò)帶寬。

最后是高可靠。數(shù)據(jù)中心已成為企業(yè)IT系統(tǒng)的心臟,如何保證數(shù)據(jù)中心在各種條件下的安全和穩(wěn)定運行,如何保障數(shù)據(jù)中心的各種業(yè)務(wù)連續(xù)性,也是IT行業(yè)面臨的一個大挑戰(zhàn)。

這“三高”可以說是構(gòu)建一個安全穩(wěn)定的數(shù)據(jù)中心的最基本,也是最重要的要求。除此以外,應(yīng)用優(yōu)化、低成本與易管理,以及現(xiàn)在業(yè)內(nèi)普遍提倡的綠色的概念,也都是一個好的數(shù)據(jù)中心所應(yīng)當具備的條件。

基于對數(shù)據(jù)中心架構(gòu)的深入研究和對各種安全問題的了解,H3C在其新一代數(shù)據(jù)中心解決方案中通過以iSPN智能安全滲透網(wǎng)絡(luò)理念、面向安全的網(wǎng)絡(luò)設(shè)計,實現(xiàn)了網(wǎng)絡(luò)與安全的智能融合管理,為新一代數(shù)據(jù)中心應(yīng)用提供了高性能、高安全的數(shù)據(jù)中心保護解決方案,為客戶提供了增值的數(shù)據(jù)中心網(wǎng)絡(luò)。