数据中心安全迫在眉睫
随着各地电力公司信息化的不断发展和国家电网“SG168”工程的实施,越来越多的网络应用随之投入使用。面对越来越丰富的网络应用,数据大集中是管理集约化、精细化的必然要求,是电力企业优化业务流程、管理流程的必要手段,数据大集中已经成为电力企业信息化建设的发展趋势。目前,重庆市电力公司大部分应用系统已经实现了数据大集中,为重庆电力实现信息的集约化管理起到了非常积极的作用。但是,作为网络中数据交换最频繁、资源最密集的地方,数据中心无疑是个充满着巨大诱惑的数字城堡,任何防护上的疏漏必将会导致不可估量的损失。因此,构筑一道坚固的安全防御体系将是重庆电力数据中心必须面对的问题。
数据中心安全迫在眉睫
随着电力企业应用日益深化,基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素,未实施正确安全策略的数据中心,黑客和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害,但对于日趋成熟和危险的各类攻击手段,目前的防御措施显然力不从心。实现数据大集中之后,重庆电力数据中心需要根据以下的重要安全需求,设计自身的安全体系。
访问控制需求
重庆电力数据中心面临的网络威胁情况是比较复杂的。如果在数据中心边界没有一个可集中控制访问请求的措施,很容易被恶意攻击者或有其它企图的人员利用核心服务器的弱点进行非法入侵。入侵者可以利用多种入侵手段,如获取口令、拒绝服务攻击、SYN Flood攻击、IP欺骗攻击等等获取系统权限,进入系统内部。所以需要在数据中心部署访问控制系统,有效地监控内部网和公共网之间的活动,并对数据进行过滤与控制,保证内部网络的安全。
入侵防御需求
访问控制系统可以静态的实施访问控制策略,防止一些非法的访问等。但对利用合法的访问手段或其它的攻击手段(比如利用内部系统的漏洞等)对系统入侵和内部用户的入侵等是没有办法控制的。因此系统内需要建设统一的符合国家规定的安全检测机制,实现对网络系统进行自动的入侵检测和分析,对非法信息予以过滤,提高系统整体安全性。
防病毒需求
防病毒必须立足于系统全网的角度,除了在终端上部署放病毒产品控制病毒对终端的破坏之外,更应该在数据中心出口部署安全产品,控制病毒的传播。目前,病毒已经不再是单纯的蠕虫,而是集合了木马、间谍软件等恶意代码于一身的混合型病毒,破坏性更大,并且这种混合型的病毒传播速度、传播渠道都更快和更广。因此,增加了检测和防范的难度。病毒入侵网络的主要途径就是网关,因此,部署网关防病毒产品,控制网络病毒的传播至关重要。
安全审计需求
日志审计是信息安全的重要方面,它是实现安全事件的可追查性、不可否认性的重要数据环节。对于重庆电力数据中心由于数据来源多、数据量大、数据类型复杂,将面临大量的攻击事件。良好的安全审计能力是分析数据中心安全状况的必要条件。
“三重保护、一体防御”的防护思想
针对前面对重庆电力数据中心安全需求的分析,一般情况下可能会采用多个安全产品组合的方式来应对越来越复杂的安全威胁,也就是我们常说的“糖葫芦”解决方案。这种解决方案给用户网络带来了看似比较健全的安全体系,实际上却带来了许多潜在的问题,包括网络时延加大、总体带宽受限、采购成本提高、管理维护困难等。因此,“糖葫芦”式的安全解决方案无法满足重庆电力数据中心的安全需求。目前,重庆市电力公司数据中心需要一个全方位一体化的安全解决方案,将安全部署渗透到整个数据中心的设计、部署、运维中,为数据中心搭建起一个立体的、无缝的安全平台,真正做到把安全从数据链路层贯穿到网络应用层的目标,使安全保护无处不在。启明星辰的安全专家把整个数据中心的安全防御设计思想概括为“三重保护、一体防御”。
以数据中心服务器资源为核心向外延伸有三重保护功能:依托高性能硬件的一体化安全网关的防火墙引擎提供了对网络报文深度检测的第一重防御;以具有全面扫描能力的病毒和恶意代码检测引擎作为构成对数据中心网络的第二重保护;依托精确的入侵防御引擎作为数据中心网络的第三重保护。可以用一个形象的比喻来说明对数据中心的三重保护,数据中心就像一个国家,来往的商客就像访问数据中心的报文;防火墙是驻守在国境线上的军队,一方面担负着守卫国土,防御外族攻击(DDOS)的重任,另一方面负责检查来往商客的身份(访问控制);病毒和恶意代码过滤是国家的警察,随时准备捉拿虽然拥有合法身份,但仍在从事违法乱纪活动的商客(蠕虫病毒),以保卫社会秩序;入侵防御系统(IPS)就像企业雇佣的保安,提供最基本的安全监管,时刻提防由内外部人员造成的破坏。
“一体防御”让用户对日趋复杂的网络威胁防御变得轻松从容。管理者不必再为选择产品的部署方案而烦恼,只需要部署一套安全产品就可以防范混合型攻击对网络造成的危害。网络管理员只需要熟悉一套安全产品的配置就可以轻松掌握整个网络资源利用情况和面临的威胁情况,在网络出现故障的时候通过强大的安全审计日志系统能够很快定位到出现问题的关键点。
统一思想,实现有效部署
根据“三重保护、一体防御”的设计思想,要使机关数据中心和公司各个网络之间安全隔离,最安全、可靠、合理的解决方案就是在网络的连接处配置一体化安全网关。天清汉马USG一体化安全网关采用高性能的硬件架构和一体化的软件设计,集防火墙、VPN、网关防病毒、入侵防御(IPS)、抗拒绝服务攻击(Anti-DOS)、Web内容过滤、反垃圾邮件等多种安全技术于一身,同时全面支持QoS、负载均衡、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护。
在重庆电力数据中心与机关网络之间部署两台天清汉马USG一体化安全网关作为主要防护设备。两台天清汉马USG互为冗余备份,为用户带来更加简单且全面的安全体验。
天清汉马USG实现的“三重保护”体系同时为数据中心网络提供了从链路层到应用层的多层防御体系,数据中心网络边界安全定位在传输层与网络层的安全上,通过状态防火墙引擎可以把安全信任网络和非安全网络进行隔离,并提供对DDOS和多种畸形报文攻击的防御。网关防病毒引擎和入侵防护引擎可以针对应用流量做深度分析与检测,同时配合精心研究的攻击特征知识库和用户规则,既可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络应用层的保护。天清汉马USG的“一体防御”体系中强大的日志审计系统可让系统管理员时刻了解网络系统的实时状况,包括网络流量、并发连接数、网络入侵行为、病毒流量等,给网络安全策略的制订提供了指导性依据。
应用顺畅,效果突显
根据“三重保护一体防御”的思想,重庆电力成功地为数据中心建立了一套完整的安全体系。利用这个安全体系,重庆电力不仅可以有效地阻挡病毒、黑客等恶意攻击,而且还可以通过一体化的日志审计系统,及时掌握网络的安全状况和安全等级,适时地做出有效的防御方法。从目前重庆电力数据中心的运营来看,自从部署了启明星辰的安全架构以来,中心运营顺畅,彻底远离了恶意威胁的攻击,使数据中心完全投入到业务的运营中来,为重庆电力的业务运营提供了强大的支持。
(来源:启明星辰 陈胜权)
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
