数据中心网络安全服务管理系统的设计

2023-02-16

随着信息数据的发展, 越来越多的企业建立起自己的数据中心, 该数据中心运行包括企业资源计划系统、人力资源管理、知识管理、技术管理等业务系统。企业不同的业务部门相互联系, 资源共享、技术交流等, 提高企业生产工作效率, 保证信息数据安全管理。

一、总体设计

ITSM是目前公认的企业信息技术管理的最有效途径, ITSM是以ITIL为基础, 满足用户的各种业务需求, 同时也注重强调网络安全的保护。ITIL为网络安全的具体措施提供了可靠的理论依据和指导, 采取不同等级的安全服务管理措施, 并通过ITIL来完成信息技术系统的基础结构和服务管理。CM-DB配置系统、集中式监控平台、自动化管理平台、流程管理平台和数据显示平台是数据中心网络安全服务管理系统的主要组成部分。CM-DB是管理系统中的主要部分, 也是其他平台运行的基础, 并为其他平台提供服务。在上图中CMDB配置管理系统是数据中心网络安全, CM-DB作为一种单一的数据资源配置, 能够帮助管理系统对信息理解的准确性。集中式监控平台主要是在系统的业务管理方面, 包括系统性质和功能管理、事件管理。集中式监控平台是对系统中的各个子系统进行监控。对储存管理系统以及机房环境进行监控更有利于对数据中心网络安全服务管理系统进行管理, 了解系统运行状态。自动化管理平台主要包括两大部分, 即信息收集处理和现实的监控平台。自动化管理平台主要是通过自上而下的操作方式, 对物理服务器和虚拟服务器负责, 他的主要管理功能包括作业调度、补缺管理漏洞、软件发布、版本更新、数据审核、以及系统运行状态等管理。数据显示平台是数据中心、用户操作界面以及其他系统接入平台, 数据显示平台数据中心的管理者能够掌握到系统中所有的信息, 包括企业状况、资源数据管理、用户访问等数据信息, 通过这些系统信息, 对数据中心的信息系统情况进行全面的了解, 掌握时事动态。

二、故障自动检测

(1) 故障因果模型图, 由于数据中心网络结构越来越复杂, 因此数据中心系统中的的安全问题也逐渐增多, 这些安全问题对数据中心管理人员造成了巨大的困扰。网络故障随着连接层和应用层的延伸而快速传播。根据网络故障可以通过构建故障传播模型模型对网络故障进行定位。 (2) 基于因果图剪枝的故障检测。利用因果图需要将因果图转化为矢量输出和输入, 根据因果图的生成规则, 分别将矢量输出和输入。基于剪枝因果故障图, 该故障图有7个测点, input={web、服务故障、输出包丢失、ITCP、大量重传、输入包丢失、超速、网络拥堵、缓冲溢出}, output={浏览器故障、服务器故障、操作系统故障、数据库故障、ODNS、硬件故障、输出缓冲溢出、广播风暴}, 设置0为正常, 1为异常原因, 上述的输入和输出表示为input={1、0、0、0、0、0}, output={1、1、1、1、0、0、0、0}, 在求解该问题时, 用传统的方法进行求救, 对每一个节点可能诱发的原因进行运算, 最后的出结果, 这种方式比较复杂, 效率不高。

三、互联网数据中心安全威胁

入侵攻击、拒绝服务攻击/分布式拒绝攻击和病毒是数据中心主要面对的安全隐患。数据中心网络安全防护措施系统各种各样, 各网络系统平台不同的安全设备之间相互合作, 共同形成以以整个安全防护网。能够减少非法入侵和病毒入侵, 防止和减少对整个数据中心网络系统安全的攻击。通过拒绝服务攻击和分布式拒绝服务攻击扰乱数据中心运营。这种攻击是数据中心攻击中最常见的一种, 同时也需要防范攻击者通过内部僵尸主机对其他主机进行攻击。攻击者还可以通过利用软件中的病毒、恶意软件、特伊木马等漏洞, 对数据中心主机进行控制, 然后复制数据信息, 造成数据中心安全威胁。

四、数据中心网络安全服务管理系统设计的具体措施

(1) 虚拟专用网。虚拟专用网是为了在不安全的环境下, 保证用户安全访问和数据传输安全, 是数据中心安全防护的重要措施之一。虚拟专用网简单的说就是建立一个公网外的临时的, 安全稳定的虚拟网络。网络的虚拟专用网应用包括防火墙到防火墙虚拟专用网应用和移动用户到虚拟专用网防火墙/网关设备虚拟专用网应用, 其中前者只能应用于企业内部之间的通信交流, 而后者支持一些IP地址固定的移动办公员工, 这些员工可以通过互联网直接对企业资源信息进行访问。随着互联网数据中心业务服务项目不断的增加, 还需要保证在一些对互联网宽带有限制的环境下实现虚拟专用网的应用, 保证和提高数据中心业务服务质量和数据中心业务服务系统安全。目前, 网络控制和应用控制是常见的虚拟专用网, 通过利用虚拟专用网和访问管理, 加强对访问控制管理和数据中心安全服务系统。 (2) 虚拟局域网。由于数据中心服务业务需求多样且复杂的原因, 导致数据中心服务器之间的流量远小于服务器与用户之间的流量, 因此就需要虚拟局部网将不同业务需求的用户进行隔开, 并分配相应的虚拟局部网和IP子网。虚拟局部网的专用端口的连接通信也有不同级别的划分和应用, 比如服务器与虚拟局部网端口连接, 只能用在混杂端口通信中, 而路由器或交换器与混杂端口连接, 可用在共有的端口通信, 共有通信则可用于用户之间的通信连接。 (3) 防火墙。防火墙是公认的最基本也是最直接的安全设备, 隔离不同信任级别的安全区域, 保护数据中心安全, 同时提供安全部署和防御能力。在受到拒绝服务攻击和分布式拒绝服务攻击过程中会导致产生的流量巨大, 因此, 防御拒绝服务攻击和分布式拒绝服务攻击对防火墙的技术要求都十分之高。就目前而言, 数据中心对防火墙最大的需求就是在运行状态下的检测功能和虚拟防火墙。流动性较大的状态检测技术主要是提高更高的转发能力。一般而言, 在物理防火墙无法维持实际网络运行操作时, 则需要建立虚拟防火墙, 将根据物理防火墙为依据所划分出的互相不干扰的虚拟防火墙, 并根据数据中心服务的不同需求进行不同等级访问控制。此外还可以建立控制流量的QualityofService机制的防火墙, 针对不同的应用和服务, 做出合理的流量配置和流量控制, 防止出现某个应用流量消耗大而其他应用少这种流量配置失衡现象。 (4) 流量清洗。在数据中心端口处进行流量清洗布置, 保证有效的控制和警告攻击、检测异常流量, 当发现异常流量时, 自动开启防御装置, 将异常的流量进行清洗, 对正常的流量直接引入服务器中。 (5) 入侵防御。入侵防御系统主要是针对应用层攻击进行防御, 比如特伊木马、病毒、恶意软件等, 在数据中心的出口和内部系统中设立一些防护措施, 主动对这些攻击进行防御, 拦截异常流量, 并与防火墙和安全网关相配合, 形成一条从连接层到应用层的系统防御。入侵防御系统必须要有较高的性能, 才能满足数据中心的应用流量检测要求, 高效率、高精度的入侵检测防御检测系统才能对数据中心应用层的攻击进行及时的检测以及启动防御系统设备。 (6) 安全管理。除了以上的在连接层和应用层进行安全防御外, 还需要建立安全管理系统, 以满足数据中心安全运营要求, 并保证数据中心的安全设备的统一管理。制定安全管理制度, 从制度上对数据中心安全进行严格把关, 防止出现安全管理机构和机构岗位出现安全问题。

加强安全管理, 对机器设备进行定期检查、数据中心系统进行安全检测、漏洞检测, 并采取有效措施进行处理, 提高数据中心安全服务管理。在安全信息和管理方面, 必须要对每个管理设备进行安全管理, 比如主机、数据库、应用系统、加速器、文件管理、软件下载、应用流量等管理点, 还要针对操作、运行、故障日志进行管理。在访问管理和用户身份认证方面, 可根据用户的信任等级, 设置不同等级的访问权限。比如将不同等级访问用户分为管理员和普通用户。在故障管理方面, 设立预防故障管理、处理故障管理, 根据预防故障管理通过预防一些有威胁倾向的访问和操作进行防御, 消除潜在的安全隐患。

五、结束语

由于数据中心设备、数据信息、应用集中, 以及主要是通过访问为特征, 为用户提供优质的服务业务, 数据中心的安全服务管理也逐渐成为整个系统中最需要解决的问题。加强数据中心网络安全服务管理系统的设计需要从安全设备和安全管理两方面同时进行防御。同样, 数据中心安全服务管理系统是不断发展的过程, 需要对安全系统进行不断的调整, 对已设置的安全设备进行更新, 及时调整安全防御策略, 不断设计出更系统全面的安全管理方案。

摘要：随着科学技术的发展, 数据中心网络安全问题备受关注, 如何加强数据中心网络安全服务管理, 是目前数据中心研发人员面临的主要问题。本文分析数据中心网络安全服务管理体系的总体设计, 以及威胁互联网数据中心网络安全的危险因素, 并提出有效合理的设计方案, 从而提高数据中心网络安全服务系统的安全性。

关键词：数据中心,网络安全,设计,网络威胁