【51CTO.com 綜合消息】一個(gè)裝滿了貨物的倉庫，總會引來各種各樣不必要的“光顧者”。就好像我們企業(yè)的數(shù)據(jù)中心一樣，越是核心的業(yè)務(wù)應(yīng)用、越是敏感的數(shù)據(jù)，越容易遭受來自外界的攻擊。

隨著IT應(yīng)用程度的日益提高，數(shù)據(jù)中心對于客戶的價(jià)值與日俱增，相應(yīng)的，數(shù)據(jù)中心的安全建設(shè)也迫在眉睫。面對日益繁復(fù)的應(yīng)用和日漸頻繁的外界攻擊，一個(gè)好的數(shù)據(jù)中心除了應(yīng)對數(shù)據(jù)的存儲和傳遞之外，能否保證數(shù)據(jù)的安全性也是衡量其合格與否的重要標(biāo)志。而面對不斷變化的外來攻擊，數(shù)據(jù)中心的建設(shè)對安全也有了更高的要求。

數(shù)據(jù)中心安全需求的四個(gè)維度

數(shù)據(jù)中心的安全需求有些是通用性的，如分區(qū)和地址規(guī)劃問題、惡意代碼防范問題、惡意入侵問題等；有些是獨(dú)有的保密性需求，比如雙層安全防護(hù)、數(shù)據(jù)庫審計(jì)等；有些是獨(dú)有的服務(wù)保證性需求，比如服務(wù)器、鏈路和站點(diǎn)的負(fù)載均衡、應(yīng)用系統(tǒng)優(yōu)化等。總體來看，數(shù)據(jù)中心對于安全的需求可以從四個(gè)緯度來衡量：通用安全性需求、業(yè)務(wù)信息保密性需求、業(yè)務(wù)服務(wù)保證性需求、業(yè)務(wù)安全績效性需求。

通用性的安全威脅可能出現(xiàn)的情況包括攻擊者通過惡意代碼或木馬程序，對網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用系統(tǒng)進(jìn)行攻擊；內(nèi)部人員未經(jīng)授權(quán)接入外部網(wǎng)絡(luò)、或下載/拷貝軟件或文件、打開可疑郵件時(shí)引入病毒；攻擊者利用應(yīng)用系統(tǒng)、操作系統(tǒng)中的后門程序攻擊系統(tǒng)；授權(quán)用戶操作失誤導(dǎo)致系統(tǒng)文件被覆蓋、數(shù)據(jù)丟失或不能使用等。

業(yè)務(wù)信息安全性威脅則包括內(nèi)部人員利用技術(shù)或管理漏洞，未經(jīng)授權(quán)修改重要系統(tǒng)數(shù)據(jù)或系統(tǒng)程序；攻擊者利用各種工具獲取身份鑒別數(shù)據(jù)，并對鑒別數(shù)據(jù)進(jìn)行分析和解剖，獲得鑒別信息，未經(jīng)授權(quán)訪問網(wǎng)絡(luò)、系統(tǒng)，或非法使用應(yīng)用軟件、文件和數(shù)據(jù)；以及攻擊者利用網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)缺陷旁路安全策略，未經(jīng)授權(quán)訪問網(wǎng)絡(luò)等。

業(yè)務(wù)服務(wù)保證性威脅指的是諸如攻擊者利用分布式拒絕服務(wù)攻擊等拒絕服務(wù)攻擊工具，惡意消耗網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源，導(dǎo)致拒絕服務(wù)；攻擊者利用各種工具獲取身份鑒別數(shù)據(jù)，并對鑒別數(shù)據(jù)進(jìn)行分析和解剖，獲得鑒別信息，未經(jīng)授權(quán)訪問網(wǎng)絡(luò)、系統(tǒng)，或非法使用應(yīng)用軟件、文件和數(shù)據(jù)；以及粗放式業(yè)務(wù)服務(wù)能力方式提高了總體擁有成本這類的威脅。

安全建設(shè)績效性威脅則指的是業(yè)務(wù)流量變化導(dǎo)致安全策略部署需要調(diào)整；業(yè)務(wù)種類變化導(dǎo)致安全部署需要調(diào)整；全網(wǎng)設(shè)備管理存在門戶不同、管理分散，導(dǎo)致定位問題緩慢；以及缺乏整體的IT規(guī)劃，沒有有效的技術(shù)手段制成IT規(guī)劃、決策等。

構(gòu)建數(shù)據(jù)中心安全有“三高”要求

根據(jù)對數(shù)據(jù)中心所受到的威脅的分析，業(yè)界對數(shù)據(jù)中心安全的建設(shè)有了更多的考慮。猶如現(xiàn)在鑄造一把好鎖，不僅需要嚴(yán)格的機(jī)械原理，還會輔之以各種電子化的技術(shù)。目前業(yè)內(nèi)普遍認(rèn)可，在構(gòu)建數(shù)據(jù)中心時(shí)也要突破以往的思路，站在更高、更全面的高度上重新思考以下方面：

首先是高安全。木桶原理直觀說明了安全需要全方位防御，核心數(shù)據(jù)作為企業(yè)的最寶貴的資產(chǎn)和生命線，需要強(qiáng)有力的保障數(shù)據(jù)中心的安全訪問，避免病毒、攻擊、非授權(quán)的訪問與泄密，以及保障訪問記錄的審查和監(jiān)督已經(jīng)成為數(shù)據(jù)中心安全運(yùn)營的必備條件；

其次是高性能。數(shù)據(jù)與業(yè)務(wù)集中后，流程整合、信息挖掘和實(shí)時(shí)工作等新應(yīng)用系統(tǒng)對數(shù)據(jù)中心內(nèi)部系統(tǒng)的帶寬、響應(yīng)時(shí)間、吞吐量等提出了更高的要求，多媒體數(shù)據(jù)、Web2.0、移動3G和高性能計(jì)算等業(yè)務(wù)的廣泛應(yīng)用不斷吞噬著數(shù)據(jù)中心的處理能力、網(wǎng)絡(luò)帶寬。安全如何保證不成為萬兆網(wǎng)絡(luò)的性能瓶頸，如何提供更高的帶寬、更好的響應(yīng)時(shí)間，也是企業(yè)管理者關(guān)注的核心問題之一；

最后是高可靠。數(shù)據(jù)中心已成為企業(yè)IT系統(tǒng)的心臟，如何保證數(shù)據(jù)中心在各種條件下的安全和穩(wěn)定運(yùn)行，如何保障數(shù)據(jù)中心的各種業(yè)務(wù)連續(xù)性，也是IT行業(yè)面臨的一個(gè)巨大挑戰(zhàn)；

這“三高”可以說是構(gòu)建一個(gè)安全穩(wěn)定的數(shù)據(jù)中心的最基本，也是最重要的要求。除此以外，應(yīng)用優(yōu)化、低成本與易管理，以及現(xiàn)在業(yè)內(nèi)普遍提倡的綠色的概念，也都是一個(gè)好的數(shù)據(jù)中心所應(yīng)當(dāng)具備的條件。

業(yè)界最佳的數(shù)據(jù)中心保護(hù)方案全面迎戰(zhàn)“三高”

基于對數(shù)據(jù)中心架構(gòu)的深入研究和對各種安全問題的了解， H3C在其新一代數(shù)據(jù)中心解決方案中通過以iSPN智能安全滲透網(wǎng)絡(luò)理念、面向安全的網(wǎng)絡(luò)設(shè)計(jì)，實(shí)現(xiàn)了網(wǎng)絡(luò)與安全的智能融合管理，為新一代數(shù)據(jù)中心應(yīng)用提供了高性能、高安全的數(shù)據(jù)中心保護(hù)解決方案，為客戶提供了增值的數(shù)據(jù)中心網(wǎng)絡(luò)。

首先，安全防護(hù)是一個(gè)整體，任何疏漏都可能被攻擊者利用并導(dǎo)致破壞。安全防御系統(tǒng)通過高端防火墻和IPS實(shí)現(xiàn)2~7全面安全防御，并通過SecBlade安全插卡，將安全隔離、深度入侵防御、DDoS防御、VPN、流量分析和協(xié)議分析（含數(shù)據(jù)庫審計(jì)）等技術(shù)融合于H3C S75E/S95/ S95E/S58系列交換：一方面通過防火墻插卡、IPS插卡、AFC插卡能夠阻斷各種網(wǎng)絡(luò)攻擊和異常流量，為用戶提供從物理層到應(yīng)用層的全方位安全防護(hù)；另一方面通過NetStream流量分析插卡、ACG應(yīng)用控制插卡、負(fù)載均衡插卡和SSL VPN插卡能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)行為的精細(xì)化管理和性能優(yōu)化，提升用戶的網(wǎng)絡(luò)使用效率。

其次，在部署時(shí)充分考慮數(shù)據(jù)中心高可靠性要求，安全設(shè)備支持雙機(jī)狀態(tài)熱備、雙電源、業(yè)務(wù)接口卡支持熱插拔等特性，并且安全系統(tǒng)采用“交換機(jī)+SecBlade插卡”方式部署，即可達(dá)到萬兆級安全防護(hù)能力，同時(shí)整網(wǎng)設(shè)備明顯減少，避免傳統(tǒng)糖葫蘆串式結(jié)構(gòu)，也極大地方便了網(wǎng)絡(luò)與業(yè)務(wù)部署、任何設(shè)備故障時(shí)，業(yè)務(wù)流量自動繞行，徹底消除單點(diǎn)故障的風(fēng)險(xiǎn)，同時(shí)大大降低了用戶的綜合成本。

再次，為解決萬兆網(wǎng)絡(luò)安全性能瓶頸問題，H3C的40G超萬兆防火墻F5000-A5和業(yè)界唯一的萬兆防火墻模塊可滿足大型企業(yè)、運(yùn)營商和數(shù)據(jù)中心網(wǎng)絡(luò)的高性能安全防護(hù)需求。同時(shí)提供八種SecBlade安全板卡，可以實(shí)現(xiàn)性能無限擴(kuò)展、為用戶提供融合多業(yè)務(wù)的一體化網(wǎng)絡(luò)安全解決方案，滿足大容量數(shù)據(jù)中心需求。

最后，通過4~7層負(fù)載均衡、SSL 加速、Web 加速、Http數(shù)據(jù)壓縮等技術(shù)，保證在訪問請求急劇增長時(shí)，服務(wù)器不會因不堪重負(fù)而反應(yīng)緩慢，實(shí)現(xiàn)對數(shù)據(jù)中心的整體性能進(jìn)行優(yōu)化，為用戶提供更佳體驗(yàn)；同時(shí)，通過安全管理平臺與iMC開放智能管理中樞實(shí)現(xiàn)對設(shè)備、服務(wù)器的配置、監(jiān)控和管理。

由于能夠?qū)?shù)據(jù)中心安全實(shí)施充分、全面的保障，H3C數(shù)據(jù)中心保護(hù)解決方案在國家環(huán)保部、國家人保部、國家知識產(chǎn)局、中國公安部、工總行南北數(shù)據(jù)中心、上海農(nóng)行、江西省農(nóng)行、山東省農(nóng)信、萬和證券、成都市政府、數(shù)迅IDC等用戶中都已經(jīng)有了成功的應(yīng)用。方案不僅充分滿足了用戶對數(shù)據(jù)存儲、計(jì)算等方面的需求，更提供了全面的保護(hù)措施，使用戶可以安心無憂地基于數(shù)據(jù)中心開展更為豐富、深入的應(yīng)用，充分發(fā)揮出了數(shù)據(jù)中心應(yīng)有的價(jià)值。