数据中心网络安全建设方案研究

数据中心网络安全建设方案研究

李征

130203198403260612

摘要：当前，国内外网络安全形势日趋严峻，新型数据中心作为数字经济时代的国家战略资源，在基础设施智能化运营、全融合数据共享开放、重要系统支撑数字化转型等背景下，其安全风险也日益凸显，不容忽视。基于此，对数据中心网络安全建设方案进行研究，以供参考。

关键词：数据中心；网络安全；建设方案

引言

近几年，随着新兴ICT业务的发展，网络安全越来越受到人们关注。网络安全的相关法律法规相继出台，让安全合规成为企业数字化转型的刚性要求。根据《中华人民共和国网络安全法》，网络安全应做到“三同步”，即“同步规划、同步建设、同步运营”，将网络安全防护融入到规划、设计、建设、验收、备案变更、维护评估、整改加固、退网的全过程，实现网络安全防护工作规范化、流程化、常态化。

1数据中心安全能力需求

1.1等保2.0对数据中心安全能力提出要求

为适应云计算、大数据、物联网及工业控制等新技术的安全需求，国家适时出台了等保2.0的建设体系。等保2.0的要求包括安全物理环境、安全通信网络、安全区域边界、安全计算环境及安全管理中心5个方面。物理安全一般在机房建设初期进行了考虑，安全相关制度需在数据中心投入使用时制定，相关安全配套建设需要与网络建设做到“三同步”，根据安全通信网络、安全区域边界以及安全计算环境的需求配置安全设备。

1.2黑洞路由传递需求

大型IDC设置有专门的IDC出口路由器，在网络边界做汇总回程路由的时候有些网段不在内网中，但是又包含在汇总后的网段中，这些路由通过缺省路由进行转发，能根据默认路由回到原来的路由器，这就形成了环路，影响路由器的处理效率。因此，面向IDC出口的黑洞路由传递是在大型数据中心建设中需要解决的问题之一。

2网络安全存在的问题

2.1管理人员安全技能薄弱、人员数量不足

信息系统的管理人员配置严重不足，专职管理人员紧缺，一人身兼系统管理员、安全员、审计员多职的情况比比皆是。二级部门信息系统管理人员都为非专业人员，管理人员的安全技能薄弱，安全意识欠缺。单位的网络安全运维管理人员不具备充足的专业技术水平，信息系统缺乏专业的运维管理，安全管理受到严重阻滞。网络安全与使用便捷性是矛盾的，这导致在网络安全管理上，因为不便捷性，经常遇到重重阻碍，导致网络安全管理不够完善。在计算机网络建设中，硬件和软件相辅相成，是不容忽视的基础。如果对计算机软件和硬件的维护升级及管理不充分，网络安全建设的运行效果也会受到不利的影响。针对当前的情况，管理人员在维护网络软硬件方面还有较大的不足，进而导致网络安全依然存在威胁。一些外来数据并没有进行严格的审查，导致整个网络系统在运行的过程中出现了严重的安全事故。如传文件的过程中外网的文件大多直接通过FTP服务器传输到内网，也没有定期升级病毒库，这可能会造成该网段的电脑感染病毒。

2.2安全管理制度不够完善

现有的网络安全体系下，从信息系统规划建设，到上线使用，内容都已发生巨大变化，原先的网络管理规范已无法保证信息化使用人员、运维人员和管理人员的行为规范性。管理上存在的漏洞，导致较大的安全隐患。参照《信息安全技术网络安全等级保护测评要求》，建立相应规章制度，如人员组织架构制度、数据共享规范、数据中心管理制度、安全运维监控制度，备份管理制度等，才能有效地配套现行网络安全要求，保障网络安全防护系统落地。

2.3安全运维不成体系

建设初期，只考虑功能，忽略安全，导致在后期的运维工作中也只考虑到相应的硬件及软件的运维建设。近年来部分高校陆续投入安全运维建设，但不够系统，未覆盖系统的全生命周期。如上线安全检测、中期运行漏洞检测、专项安全检查、安全事件应急管理预案等。

3数据中心安全建设方案分析

3.1安全能力池部署位置选择

从安全原子能力的实现方式来看，可以将安全能力分为流量型和非流量型安全原子能力，以实现安全防护。流量型一般包括网关类安全能力及镜像类安全能力，网关类通过VPN/PBR/VxLAN/SRv6等技术，将流量牵引至安全能力池内，流量经过处理后再回注被防护对象，此类安全能力与业务流量相关，时延要求较低。镜像类将访问流量镜像至安全资源池内进行分析，并将结果反馈至安全管理系统。非流量型安全能力要求IP可达即可，安全原子能力只需与被防护目标网络IP可达，对时延要求比流量型的要求更低。根据以上安全能力的分类，安全能力的部署位置有两种选择，即集中部署和近源部署，集中部署可以构建统一的安全能力池，安全能力资源共建共享，集约化建设运营。近源部署则是将部分安全能力在防护目标的近源侧进行本地化部署，下沉至IDC机房，作为安全能力池的延伸，经由安全管理平台统一管理，通过近源流量牵引实现安全防护。

3.2安全能力池架构选择

在安全能力组网架构选择上，传统的安全设备以串式为主，此种方案能较好地对数据流进行安全保障，组网简单，此组网架构存在一个弊端，即串式安全架构安全能力池可扩展性差，单台设备故障影响整体的安全能力，所有流量流经所有安全设备，安全设备间紧耦合。针对传统安全架构遇到的挑战，F5借助强大的全栈安全服务引擎，推出了SSLO，即SSL可视化与智能编排解决方案，可以做到安全能力资源池动态扩展、精分流量编排、设备故障快速隔离、安全设备灰度发布、以安全业务服务为调度核心。借鉴F5SSLO安全架构编排理念，采用基于园区汇聚并行安全架构部署方式，可以完成数据中心的安全能力部署。

4数据中心网络安全体系研究

4.1加强数据中心基础设施安全防护

基于数据中心基础设施及智能化DCIM运维管理平台安全风险，考虑从采集、传输、应用等层面加强基础设施OT安全建设。例如，采用密码技术进行设备身份鉴别，定期进行底层设备系统软件升级，及时修复漏洞，使用安全传输协议并对重要指令数据进行机密性、完整性以及真实性保护。覆盖数据采集、传输、存储、处理、交换、销毁等全生命周期，制定数据安全防护策略，通过数据加密传输、数据安全计算、数据资产溯源追踪、数据安全存储等技术措施，构建数据资产身份标识、数据流向权属监管等能力，实时监控数据资源安全态势，动态掌握数据资源分布和应用情况，最终形成“数盾”体系，确保数据安全。

4.2统筹打造新型数据中心安全运营管理中心

构建统一安全运营中心，统筹网络安全管控能力，协同控制网络中各个安全组件，以“协同防御”“全面预警”“态势感知”为核心，构建全面、主动的网络安全防御体系。能够及时发现外部攻击、横向威胁、资产外联等信息安全事件和威胁，对各类攻击行为和威胁进行追踪溯源，高效联动处置各类安全事件、威胁、预警事务，提升智能化、精准化、主动化的安全保障能力，使得网络安全可感知、可预判、可阻断、可追溯。

4.3安全总体框架

针对数据中心的典型特征和面临的安全风险，以国家政策标准为准绳，以安全运营管理中心为抓手，通过夯实共性安全基础设施底座，加强纵深防护体系建设，提供安全及密码服务能力并持续改进安全运营保障，打造出IT安全和OT安全一体化的新型数据中心安全保障体系。

结束语

2020年12月，国家发展改革委联合中央网信办、工业和信息化部、国家能源局共同印发《关于加快构建全国一体化大数据中心协同创新体系的指导意见》，优化数据中心基础设施“东数西算”建设布局，加快提升大数据安全水平，强化对算力和数据资源的安全防护，构建贯穿基础网络、数据中心、云平台、数据、应用等一体协同安全保障体系。同时，“新基建”上云扩大了数据中心的安全边界，应根据用户需求提出整体解决方案，主动防御。

参考文献

[1]李志民.基于数据中心的LKJ基础数据存储与交互系统研究[D].郑州大学,2020.

[2]王康.大学网络安全及应用交付解决方案——以某“211工程”重点建设高校为例[J].信息系统工程,2018(10):69-72+74.

[3]王安.X高校智慧校园建设项目方案规划与实施研究[D].青岛科技大学,2018.

[4]邹茁.H省海事信息系统安全等级保护方案设计与优选[D].吉林大学,2018.

[5]盛利强.新零售下HB公司信息化建设研究[D].浙江工业大学,2017.