互联网数据中心安全管理方案

本文旨在介绍互联网数据中心网络架构主要特征和多层设计原则，分析互联网数据中心面临的主要安全威胁，对其安全规划和部署实施提出方案建议。

互联网域包括实施自助管理的管理用户和访问应用的最终用户。

接入域为用户接入数据中心提供统一的界面和接口，又称为非军事化隔离区（DMZ）。服务域提供域名解析、身份认证授权、IP地址转换等网络服务功能。计算域提供计算服务，可以根据安全需求再划分安全子域。管理域提供安全管理、运营管理、业务管理等。

相对来说，计算域和管理域的安全级别最高，服务域和接入域次之，用户域最低。

1.3分级

服务器资源是数据中心的核心，按服务器服务功能将其分为可管理的层次，打破将所有功能都驻留在单一服务器时带来的安全隐患，增强了扩展性和可用性。

服务器层直接与接入设备相连，提供面向客户的应用，如IIS、服务器等等。

应用层用来粘合面向用户的应用程序、后端的数据库服务器或存储服务器，如WebLogic、J2EE等中间件技术。

数据库层包含了所有的数据库、存储和被不同应用程序共享的原始数据，如MSSQLServer、Oracle9i、等。

在以上3种的分层分区域的设计下，不同网络区域之间的安全关系明确，可对每个区域进行安全实施，而对其他区域不会干扰；最大限度地隔离故障区域，加快故障收敛时间，提高可用性；可根据不同的区域和层次的功能分别建设，业务部署灵活；网络结构清晰，易管理。

首先应制订正式、有效、全面的安全管理制度，在安全管理机构与岗位设置上严格把关。加强系统安全运维管理，定期进行设备检查、安全监察、漏洞扫描，并采取及时地安全事件处置措施，还可利用辅助性管理工具，实现安全配置的自动管理。

在安全信息和事件管理方面，应对网络设备、主机服务器、数据库、应用系统、云平台自身管理节点的安全信息与事件进行管理，进行安全日志管理，针对操作日志、运行日志、故障日志等进行管理，提供设备、主机、应用系统、漏洞、网络流量、主机资产等报告。

在用户身份认证与访问管理方面，应按照不同用户等级，设计相应的数据中心资源访问用户的访问权限。用户访问等级权限应区分管理员用户、普通用户的不同权限。

在故障管理方面，应进行故障预防管理，通过对高危操作的预防以达到将隐患消除在萌芽状态的目的。

可根据不同高危类别，设定不同级别的高危动作。应进行故障管理，如告警处理、故障处理、应急处理、部件更换等方面。

由于互联网数据中心设备的集中、数据的集中、应用的集中以及通过互联网的访问模式的特点，为提供企业级的优质的业务服务能力，互联网数据中心安全成为其建设和运营最需要关注的问题，需要在安全设备部署和安全管理两方面共同配合，搭建一个立体无缝的安全平台，形成全方位一体化的安全防御系统。同时，互联网数据中心的网络安全的建设是一个不断发展更新的过程，需要及时的调整已有的安全策略，设计新的网络安全方案、技术和服务，进行更全面和完善的网络安全规划和建设。

原文链接：https://www.sohu.com/a/332065699_610463

版权归原作者所有,如有侵权请联系删除。