摘要：越来越多的企业对数据中心建设青睐有佳。在享受数据中心带来生产力提高的同时，其内在的安全建设成为了业内的热点。让数据中心远离安全威胁，促使其在管理、运维上向安全靠拢，已经成为当前的建设趋势。有安全专家表示，在建设数据中心之初就采用灵活的部署模式，则可以大大降低数据中心所面临的安全风险。

第1页:数据中心与网络 第2页:关注DDoS攻击

　　数据中心与网络
　　
　　随着越来越多的大型企业青睐集中运行的IT部署方式，国内大量企业经营活动的各种业务系统都逐渐向Internet和Intranet环境靠拢。作为这种集中模式的代表，数据中心的出现极大地促进了企业业务的发展。但与此同时，受制于数据中心对网络的依赖，Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，也对安全提出了更高的要求。
　　
　　新华人寿IT经理表示，一旦数据中心系统安全受到严重威胁，甚至处于瘫痪状态，将会给企业、社会、乃至整个国家带来巨大的经济损失。如何使企业的数据中心运行在安全的环境下，使其免受黑客攻击、病毒、木马、恶意程序的入侵，已成为数据中心安全建设的重点。
　　
　　对此，新华人寿确立了数据中心安全与企业网络安全的互动战略。在企业数据中心不断发展的同时，网络规模也在不断地扩大，并在不同的地区建有分公司或分支机构，本地庞大的企业内网和分布在全国各地的网络之间互相连接形成一个更加庞大的网络。在这个庞大的网络中，数据中心与网络的紧密联系是安全战略的重点。
　　
　　在此基础上，新华人寿提出了数据中心与企业网络共生关系的三大安全法则。
　　
　　第一，确保Internet的安全性。目前互联网应用越来越广泛，黑客与病毒无孔不入，这极大地影响了Internet的可靠性和安全性。保护Internet、加强网络安全建设，从应用的角度看，属于数据中心安全的一部分。
　　
　　第二，确保内网的安全性。与数据中心联系最为紧密的，就是企业内网。内部网络存在的安全隐患主要有：未授权访问;破坏数据完整性;拒绝服务攻击;计算机病毒传播;缺乏完整的安全策略;缺乏监控和防范技术手段;缺乏有效的手段来评估网络系统和操作系统的安全性;缺乏自动化的集中数据备份及灾难恢复措施等。
　　
　　比如常见的计算机病毒在企业内部网络传播;内部网络可能被外部黑客攻击;对外的服务器(如：WWW、FTP、邮件服务器等)没有安全防护，容易被黑客攻击;内部某些重要的服务器或网络被非法访问，造成信息泄密;内部网络用户上网行为没有有效监控管理，影响日常工作效率，容易形成内部网络的安全隐患。无疑，这些问题都需要进行相应的安全部署与化解。
　　
　　第三，确保数据中心与分支机构的安全性。在数据中心与分支机构的连接中，安全问题不可忽视。其中典型的有：大量的垃圾邮件占用网络和系统资源，影响正常的工作;分支机构网络和总部网络连接安全和数据交换之间的安全问题;远程、移动用户对公司内部网络的安全访问。而这些也是新华人寿需要确保的安全重点。
　　
　　部署防御体系
　　
　　当然，对于不同规模的公司，其实现的安全方式也不尽相同。对于老牌的中国人寿来说，他们提出，要想在数据中心和网络的边缘做到完整防护，至少需要做到以下几点。
　　
　　第一，部署高性能的防火墙、防病毒网关。这类产品能够在企业网络边缘实现病毒检测、拦截和清除的功能。中国人寿在总部、分支机构网络边缘分别布置不同性能的产品，以便保护总部和分支机构内部网络和对外服务器不受黑客的攻击。同时，通过VPN功能，为分支机构、远程、移动用户提供一个安全的远程连接。
　　
　　第二，配置安全预警系统。在企业内部，中国人寿配置了一些相关的安全预警系统作为辅助系统。此类安全预警系统集病毒扫描、入侵检测和网络监视功能于一身，它能实时捕获网络之间传输的所有数据，利用内置的病毒和攻击特征库，通过使用模式匹配和统计分析的方法，检测出网络上发生的病毒入侵、违反安全策略的行为和异常现象，并在数据库中记录有关事件，作为事后分析的依据。
　　
　　中国人寿的安全专家表示，建设安全预警系统的目标是：全面、准确、高效、稳定、安全、快速。全面是指能检测已知的各种病毒和攻击;准确是指检测的结果准确，误报率低;高效是指检测引擎的运行效率高，由于现在的网络带宽越来越宽，只有高效的引擎才能在检测时不丢包;稳定是指系统运行稳定可靠;安全是指预警系统自身的安全，由于引擎中保存了大量检测到的敏感信息，因此对其自身的保护是十分重要的;快速是指对新的漏洞和新的攻击方法反应快，系统升级简便。
　　
　　第三，开展有针对性的网络边缘防护。中国人寿在实施了多种安全系统之后，开展了针对HTTP、FTP、SMTP和POP3协议的内容检查、病毒清除的工作。同时，通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系，不但可以保护数据中心资源不受外来的侵犯，同时可以阻止内部用户对外部不良资源的滥用。
　　
　　目前来看，中国人寿的防御方案可以对各种应用协议具有100%的记录能力。有些安全级别较高的部门甚至要求内部员工上网信息识别粒度达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控，可以规范网络内部的上网行为，提高工作效率，同时避免对企业内部数据中心的运行产生安全隐患。
　　
　　在部署防御体系的同时，对于数据中心的安全管理也不能忽视。对此，中国人寿青睐灵活的安全控制台和基于Web的管理方式。与三年前不同的是，目前有越来越多的安全厂商开始在各自的安全产品中提供灵活的控制台管理和Web管理两种方式。
　　
　　通过应用这两种管理方式，中国人寿的IT经理可以在数据中心中灵活、简便地根据企业的实际情况设置、修改安全策略。而对于数据中心与网络的连接，类似的控制方式也便于管理员及时掌握了解当前的运行信息。
　　
　　另一个好的现象是，中国人寿已经根据自身情况进行了模块化的安全组合，并制定了分析日志和安全统计报表的制度，这种工作方式有些时候比单独的产品更加重要。据介绍，中国人寿的数据中心安全防御方案中都包括相应的报表系统，这些系统可以自动生成各种形式的攻击统计报表，形式包括日报表，月报表，年报表等。中国人寿的IT经理通过来源分析、目标分析、类别分析等多种分析方式，可以以直观、清晰的方式从总体上分析企业内部发生的各种事件，有助于管理人员提高对数据中心的安全管理。