數(shù)據(jù)中心云安全建設(shè)方案

1、數(shù)據(jù)中心云安全建設(shè)方案2017-3-23目 錄1項(xiàng)目建設(shè)背景22云數(shù)據(jù)中心潛在安全風(fēng)險(xiǎn)分析22.1從南北到東西的安全22.2數(shù)據(jù)傳輸安全22.3數(shù)據(jù)存儲(chǔ)安全32.4數(shù)據(jù)審計(jì)安全32.5云數(shù)據(jù)中心的安全風(fēng)險(xiǎn)控制策略33數(shù)據(jù)中心云安全平臺(tái)建設(shè)的原則33.1標(biāo)準(zhǔn)性原則33.2成熟性原則43.3先進(jìn)性原則43.4擴(kuò)展性原則43.5可用性原則43.6安全性原則44數(shù)據(jù)中心云安全防護(hù)建設(shè)目標(biāo)54.1建設(shè)高性能高可靠的網(wǎng)絡(luò)安全一體的目標(biāo)54.2建設(shè)以虛擬化為技術(shù)支撐的目標(biāo)54.3以集中的安全服務(wù)中心應(yīng)對(duì)無(wú)邊界的目標(biāo)54.4滿足安全防護(hù)與等保合規(guī)的目標(biāo)65云安全防護(hù)平臺(tái)建設(shè)應(yīng)具備的功能模塊65.1防火墻功能6

2、5.2入侵防御功能75.3負(fù)載均衡功能75.4病毒防護(hù)功能85.5安全審計(jì)86結(jié)束語(yǔ)81 項(xiàng)目建設(shè)背景2 云數(shù)據(jù)中心潛在安全風(fēng)險(xiǎn)分析云數(shù)據(jù)中心在效率、業(yè)務(wù)敏捷性上有明顯的優(yōu)勢(shì)。然而，應(yīng)用、服務(wù)和邊界都是動(dòng)態(tài)的，而不是固定和預(yù)定義的，因此實(shí)現(xiàn)高效的安全十分具有挑戰(zhàn)性。傳統(tǒng)安全解決方案和策略還沒(méi)有足夠的準(zhǔn)備和定位來(lái)為新型虛擬化數(shù)據(jù)中心提供高效的安全層，這是有很多原因的，總結(jié)起來(lái)，云數(shù)據(jù)中心主要的安全風(fēng)險(xiǎn)面臨以下幾方面：122.1 從南北到東西的安全在傳統(tǒng)數(shù)據(jù)中心里，防火墻、入侵防御，以及防病毒等安全解決方案主要聚焦在內(nèi)外網(wǎng)之間邊界上通過(guò)的流量，一般叫做南北向流量或客戶端服務(wù)器流量。 在云數(shù)據(jù)中心里

3、，像南北向流量一樣，交互式數(shù)據(jù)中心服務(wù)和分布式應(yīng)用組件之間產(chǎn)生的東西向流量也對(duì)訪問(wèn)控制和深度報(bào)文檢測(cè)有剛性的需求。多租戶云環(huán)境也需要租戶隔離和向不同的租戶應(yīng)用不同的安全策略，這些租戶的虛擬機(jī)往往是裝在同一臺(tái)物理服務(wù)器里的。 傳統(tǒng)安全解決方案是專(zhuān)為物理環(huán)境設(shè)計(jì)的，不能將自己有效地插入東西向流量的環(huán)境中，所以它們往往需要東西向流量被重定向到防火墻、深度報(bào)文檢測(cè)、入侵防御，以及防病毒等服務(wù)鏈中去。這種流量重定向和靜態(tài)安全服務(wù)鏈的方案對(duì)于保護(hù)東西向流量是效率很低的，因?yàn)樗鼤?huì)增加網(wǎng)絡(luò)的延遲和制造性能瓶頸，從而導(dǎo)致應(yīng)用響應(yīng)時(shí)間的緩慢和網(wǎng)絡(luò)掉線。2.2 數(shù)據(jù)傳輸安全 通常情況下，數(shù)據(jù)中心保存有大量的租戶私密

4、數(shù)據(jù)，這些數(shù)據(jù)往往代表了租戶的核心競(jìng)爭(zhēng)力，如租戶的客戶信息、財(cái)務(wù)信息、關(guān)鍵業(yè)務(wù)流程等等。在云數(shù)據(jù)中心模式下，租戶將數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳遞到云數(shù)據(jù)中心服務(wù)商進(jìn)行處理時(shí)，面臨著幾個(gè)方面的問(wèn)題：一是如何確保租戶的數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中嚴(yán)格加密不被竊??；二是如何保證云數(shù)據(jù)中心服務(wù)商在得到數(shù)據(jù)時(shí)不將租戶絕密數(shù)據(jù)泄露出去；三是在云數(shù)據(jù)中心服務(wù)商處存儲(chǔ)時(shí)，如何保證訪問(wèn)用戶經(jīng)過(guò)嚴(yán)格的權(quán)限認(rèn)證并且是合法的數(shù)據(jù)訪問(wèn)，并保證租戶在任何時(shí)候都可以安全訪問(wèn)到自身的數(shù)據(jù)。2.3 數(shù)據(jù)存儲(chǔ)安全數(shù)據(jù)存儲(chǔ)是非常重要的環(huán)節(jié)，其中包括數(shù)據(jù)的存儲(chǔ)位置、數(shù)據(jù)的相互隔離、數(shù)據(jù)的災(zāi)難恢復(fù)等。在云數(shù)據(jù)中心模式下，云數(shù)據(jù)中心在高度整合的大容量存儲(chǔ)空間

5、上，開(kāi)辟出一部分存儲(chǔ)空間提供給租戶使用。但客戶并不清楚自己的數(shù)據(jù)被放置在哪臺(tái)服務(wù)器上；云數(shù)據(jù)中心服務(wù)商在存儲(chǔ)資源所在國(guó)是否會(huì)存在信息安全等問(wèn)題，能否確保租戶數(shù)據(jù)不被泄露；同時(shí)，在這種數(shù)據(jù)存儲(chǔ)資源共享的環(huán)境下，即使采用了安全隔離與安全資源按需部署的方式，實(shí)現(xiàn)云數(shù)據(jù)中心各個(gè)租戶之間的有限隔離。2.4 數(shù)據(jù)審計(jì)安全在云數(shù)據(jù)中心環(huán)境下，云數(shù)據(jù)中心服務(wù)商如何在確保不對(duì)其他租戶的數(shù)據(jù)計(jì)算帶來(lái)風(fēng)險(xiǎn)的同時(shí)，又提供必要的信息支持，以便協(xié)助第三方機(jī)構(gòu)對(duì)數(shù)據(jù)的產(chǎn)生進(jìn)行安全性和準(zhǔn)確性的審計(jì)，實(shí)現(xiàn)租戶的合規(guī)性要求，也是安全建設(shè)方面需要考慮的維度。2.5 云數(shù)據(jù)中心的安全風(fēng)險(xiǎn)控制策略為了更好的消除潛在的安全風(fēng)險(xiǎn)，讓更多用

6、戶享受到云數(shù)據(jù)中心服務(wù)的優(yōu)點(diǎn)，在云環(huán)境中，如果某虛機(jī)由于某種原因中了病毒，從內(nèi)部向其它虛機(jī)和外部網(wǎng)絡(luò)發(fā)起端口掃描和DoS等攻擊，缺少安全控制策略的的情況下，只能將有問(wèn)題的虛機(jī)從網(wǎng)絡(luò)中移除，讓問(wèn)題虛機(jī)的管理員線下解決問(wèn)題后，才允許連接回網(wǎng)絡(luò)，這樣的處理方案簡(jiǎn)單粗暴，雖然隔離了攻擊，但也同時(shí)斷掉了問(wèn)題虛機(jī)的對(duì)外服務(wù)。 對(duì)于云環(huán)境，雖然外部可能部署入侵防御設(shè)施，但可能存在這樣的情況，某虛機(jī)由于弱口令之類(lèi)的漏洞被遠(yuǎn)程控制，然后黑客以此虛機(jī)為跳板，再對(duì)其它虛機(jī)進(jìn)行漏洞掃描和利用入侵，DoS攻擊會(huì)產(chǎn)生大量的會(huì)話，可能通過(guò)云管理平臺(tái)發(fā)現(xiàn)，然而從內(nèi)部發(fā)起的漏洞入侵的過(guò)程在網(wǎng)絡(luò)層面上與正常訪問(wèn)無(wú)異，無(wú)法被發(fā)現(xiàn)，

7、因此對(duì)于虛擬之間的安全防護(hù)一定要做到安全風(fēng)險(xiǎn)與安全事件的可控、可視、可溯源。3 數(shù)據(jù)中心云安全平臺(tái)建設(shè)的原則33.1 標(biāo)準(zhǔn)性原則云數(shù)據(jù)中心的云安全建設(shè)必須符合安全建設(shè)的標(biāo)準(zhǔn)，做到安全風(fēng)險(xiǎn)可控的效果，能夠提供防火墻、入侵防御、防病毒、抗DDOS、負(fù)載均衡、審計(jì)、流量分析等安全資源模塊，對(duì)安全資源可進(jìn)行模塊化選擇，基于不同的租戶選擇不同的安全策略服務(wù)；對(duì)有安全管理需求的，必須提供獨(dú)立的安全策略管理界面，方便租戶進(jìn)行按需的安全策略部署。3.2 成熟性原則應(yīng)支持主流的虛擬化技術(shù)且安全可控，可根據(jù)業(yè)務(wù)需要進(jìn)行靈活定制開(kāi)發(fā)與功能擴(kuò)展，在選擇云安全建設(shè)的提供方，需具備相關(guān)的云安全應(yīng)用案例與成熟配套的解決方案

8、。3.3 先進(jìn)性原則在實(shí)用和安全的基礎(chǔ)上，平臺(tái)設(shè)計(jì)要有一定的前瞻性，必須考慮應(yīng)用和需求的發(fā)展以及技術(shù)的進(jìn)步，從而確保系統(tǒng)具備可持續(xù)發(fā)展能力。云安全平臺(tái)需支持虛擬化技術(shù)，能夠?qū)踩Y源模塊，進(jìn)行虛擬化部署，形成安全資源池，將安全資源與數(shù)據(jù)中心的虛機(jī)業(yè)務(wù)深度融合，實(shí)現(xiàn)東西向的流量防護(hù)，主要安全設(shè)備需支持TRILL、VxLAN、OpenFlow等標(biāo)準(zhǔn)化協(xié)議，具備國(guó)際標(biāo)準(zhǔn)的SDN功能，兼容第三方標(biāo)準(zhǔn)的SDN控制系統(tǒng)，能夠與其他軟硬件系統(tǒng)配合使用。3.4 擴(kuò)展性原則考慮到未來(lái)發(fā)展的需要，云安全平臺(tái)必須具備高擴(kuò)展性，能在不影響現(xiàn)有業(yè)務(wù)正常使用的情況下平滑擴(kuò)展。本次建設(shè)完成后，隨著業(yè)務(wù)需求的增長(zhǎng)，后期可單獨(dú)

9、擴(kuò)展對(duì)應(yīng)的安全資源，使得性能與容量都呈線性上升，并保證設(shè)備可以充分利舊。3.5 可用性原則需通過(guò)對(duì)安全資源，例如防火墻、入侵防御、防病毒、VPN、負(fù)載均衡、流量分析、審計(jì)等安全資源模塊，實(shí)現(xiàn)簡(jiǎn)化管理、高效運(yùn)維的目的。云安全平臺(tái)能提供豐富的監(jiān)控管理界面與工具，實(shí)現(xiàn)統(tǒng)一管理，所有的安全日志統(tǒng)一收集、展示、存儲(chǔ)。3.6 安全性原則云安全設(shè)備選型需符合國(guó)家分保技術(shù)要求，系統(tǒng)安全可靠，建立完善的冗余備份和安全防范體系，保障平臺(tái)高可靠和端到端的安全，具有多重安全防護(hù)，無(wú)單一崩潰點(diǎn)，應(yīng)急手段豐富。4 數(shù)據(jù)中心云安全防護(hù)建設(shè)目標(biāo)44.1 建設(shè)高性能高可靠的網(wǎng)絡(luò)安全一體的目標(biāo)為了應(yīng)對(duì)云數(shù)據(jù)中心環(huán)境下的流量模型變

10、化，安全防護(hù)體系的部署需要朝著高性能的方向調(diào)整。在現(xiàn)階段多條高速鏈路匯聚成的大流量已經(jīng)比較普遍，在這種情況下，安全設(shè)備必然要具備對(duì)高密度的10GE甚至100G接口的處理能力；無(wú)論是獨(dú)立的機(jī)架式安全設(shè)備，還是配合數(shù)據(jù)中心高端交換機(jī)的各種安全業(yè)務(wù)引擎，都可以根據(jù)用戶的云規(guī)模和建設(shè)思路進(jìn)行合理配置；同時(shí)，考慮到云數(shù)據(jù)中心的業(yè)務(wù)永續(xù)性，設(shè)備的部署必須要考慮到高可靠性的支持，諸如雙機(jī)熱備、配置同步、電源風(fēng)扇的冗余、鏈路捆綁聚合、硬件BYPASS等特性，真正實(shí)現(xiàn)大流量匯聚情況下的基礎(chǔ)安全防護(hù)。4.2 建設(shè)以虛擬化為技術(shù)支撐的目標(biāo)目前，虛擬化已經(jīng)成為云數(shù)據(jù)中心服務(wù)商提供“按需服務(wù)”的關(guān)鍵技術(shù)手段，包括基礎(chǔ)網(wǎng)

11、絡(luò)架構(gòu)、存儲(chǔ)資源、計(jì)算資源以及應(yīng)用資源都已經(jīng)在支持虛擬化方面向前邁進(jìn)了一大步，只有基于這種虛擬化技術(shù)，才可能根據(jù)不同用戶的需求，提供個(gè)性化的存儲(chǔ)計(jì)算及應(yīng)用資源的合理分配，并利用虛擬化實(shí)例間的邏輯隔離實(shí)現(xiàn)不同用戶之間的數(shù)據(jù)安全。安全無(wú)論是作為基礎(chǔ)的網(wǎng)絡(luò)架構(gòu)，還是基于安全即服務(wù)的理念，都需要支持虛擬化，這樣才能實(shí)現(xiàn)端到端的虛擬化計(jì)算。從網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的角度（如狀態(tài)防火墻的安全隔離和訪問(wèn)控制），需要考慮支持虛擬化的防火墻，不同用戶可以基于VLAN等映射到不同的虛擬化實(shí)例中，每個(gè)虛擬化實(shí)例具備獨(dú)立的安全控制策略，以及獨(dú)立的管理職能。4.3 以集中的安全服務(wù)中心應(yīng)對(duì)無(wú)邊界的目標(biāo)和傳統(tǒng)的安全建設(shè)模型強(qiáng)調(diào)邊界

12、防護(hù)不同，存儲(chǔ)計(jì)算等資源的高度整合，使得不同的租戶用戶在申請(qǐng)?jiān)茢?shù)據(jù)中心服務(wù)時(shí)，只能實(shí)現(xiàn)基于邏輯的劃分隔離，不存在物理上的安全邊界。在這種情況下，已經(jīng)不可能基于每個(gè)或每類(lèi)型用戶進(jìn)行流量的匯聚并部署獨(dú)立的安全系統(tǒng)。因此安全服務(wù)部署應(yīng)該從原來(lái)的基于各子系統(tǒng)的安全防護(hù)，轉(zhuǎn)移到基于整個(gè)云數(shù)據(jù)中心網(wǎng)絡(luò)的安全防護(hù)，建設(shè)集中的安全服務(wù)中心，以適應(yīng)這種邏輯隔離的物理模型。云數(shù)據(jù)中心服務(wù)商或租戶私有云管理員可以將需要進(jìn)行安全服務(wù)的用戶流量，通過(guò)合理的技術(shù)手段引入到集中的安全服務(wù)中心，完成安全服務(wù)后再返回到原有的轉(zhuǎn)發(fā)路徑。這種集中的安全服務(wù)中心，既可以實(shí)現(xiàn)用戶安全服務(wù)的單獨(dú)配置提供，又能有效的節(jié)約建設(shè)投資，考慮在一

13、定收斂比的基礎(chǔ)上提供安全服務(wù)能力。4.4 滿足安全防護(hù)與等保合規(guī)的目標(biāo)云數(shù)據(jù)中心的應(yīng)用帶來(lái)了極大的便利，在降低采購(gòu)、運(yùn)維等成本的同時(shí)，極大的提升了系統(tǒng)的效率，簡(jiǎn)化了管理，并使得應(yīng)用具有了非常簡(jiǎn)便的彈性擴(kuò)展的能力。但是，云計(jì)算也模糊了安全的邊界，使得傳統(tǒng)的信息安全防護(hù)手段不再適用。事實(shí)上，信息安全問(wèn)題已經(jīng)成為企業(yè)用戶使用云資源的主要障礙，因此安全防護(hù)應(yīng)為云建設(shè)的重中之重。安全防護(hù)需求又可以細(xì)分為云基礎(chǔ)架構(gòu)的安全防護(hù)以及租戶自身的安全防護(hù)。同時(shí)信息安全等級(jí)保護(hù)制度作為我國(guó)信息安全建設(shè)的基本國(guó)策，是必須要滿足的。按照等保定級(jí)指南進(jìn)行評(píng)估，一般的云數(shù)據(jù)中心至少應(yīng)該達(dá)到等保三級(jí)的要求。5 云安全防護(hù)平臺(tái)

14、建設(shè)應(yīng)具備的功能模塊云安全系統(tǒng)平臺(tái)需支持按需提供各種安全服務(wù)，并支持安全管理模塊的虛擬化功能，能夠?yàn)椴煌臉I(yè)務(wù)及租戶之間提供獨(dú)立的管理操作界面。各項(xiàng)安全服務(wù)應(yīng)全部支持安全虛擬化功能，可提供定制化的業(yè)務(wù)處理流程，各虛擬系統(tǒng)之間轉(zhuǎn)發(fā)平面隔離，一個(gè)虛擬系統(tǒng)資源耗盡不影響其他虛擬系統(tǒng)正常運(yùn)行，且邏輯隔離，確保各虛擬系統(tǒng)內(nèi)部業(yè)務(wù)的數(shù)據(jù)安全。虛擬化安全設(shè)備應(yīng)具有以下的安全功能：5.1 防火墻功能需提供基于物理硬件的防火墻和安全隔離與訪問(wèn)控制功能，實(shí)現(xiàn)按照租戶和各類(lèi)業(yè)務(wù)的重要性、應(yīng)用對(duì)象的不同，在基礎(chǔ)資源虛擬化平臺(tái)內(nèi)部不同業(yè)務(wù)之間進(jìn)行安全隔離管控。1）端口級(jí)訪問(wèn)控制：可對(duì)不同安全域間的數(shù)據(jù)包進(jìn)行管控，可實(shí)時(shí)

15、監(jiān)控?cái)?shù)據(jù)包的狀態(tài)，可制定基于IP、端口、出入接口、數(shù)據(jù)流方向的控制策略，實(shí)現(xiàn)通過(guò)防火墻的數(shù)據(jù)流的安全控制。2）支持安全域劃分、訪問(wèn)隔離、攻擊防范、NAT、IPSec/SSL/PPTP/L2TP VPN等功能；支持靜態(tài)路由、RIP、OSPF、BGP、ISIS、MPLS、PBR等IPv4單播路由協(xié)議，支持IGMP、PIM、MSDP等IPv4組播路由協(xié)議。3）內(nèi)容過(guò)濾策略：設(shè)置基于HTTP、SMTP、FTP、TELNET、SMTP、POP3等協(xié)議的過(guò)濾，控制級(jí)別到命令級(jí)別，針對(duì)郵件進(jìn)行主題、正文、收發(fā)件人、附件名等的過(guò)濾。4）會(huì)話連接控制：針對(duì)某一端口或設(shè)備進(jìn)行連接數(shù)限制，以此控制網(wǎng)絡(luò)流量，以及部分

16、DOS、DDOS攻擊。5）帶寬管理策略：根據(jù)業(yè)務(wù)優(yōu)先級(jí)進(jìn)行帶寬管理設(shè)置，保證重要業(yè)務(wù)的帶寬使用，保證業(yè)務(wù)的可用性。6）流量分析：能以圖表方式顯示實(shí)時(shí)流量、當(dāng)日流量、歷史流量、常見(jiàn)協(xié)議流量和自定義協(xié)議流量，支持主機(jī)流量排名及協(xié)議流量排名功能7）IP/MAC綁定策略：進(jìn)行IP與MAC地址綁定，防止地址欺騙。8）身份認(rèn)證策略：采用防火墻本地認(rèn)證，進(jìn)行用戶級(jí)別的訪問(wèn)控制，通過(guò)身份控制與授權(quán)管理共同確保信息資源的機(jī)密性。9）管理權(quán)限策略：防火墻的設(shè)備管理員權(quán)限分級(jí)管理，不同管理員權(quán)限不同，例如可通過(guò)權(quán)限控制撥號(hào)訪問(wèn)的用戶數(shù)量等。5.2 入侵防御功能需提供入侵防御功能，采用細(xì)粒度檢測(cè)技術(shù)，協(xié)議分析技術(shù)，誤

17、用檢測(cè)技術(shù)，協(xié)議異常檢測(cè)，防止各種攻擊和欺騙，能夠?qū)χ匾踩录峁┒喾N報(bào)警機(jī)制。1）針對(duì)端口掃描類(lèi)、木馬后門(mén)、緩沖區(qū)溢出、IP碎片攻擊等進(jìn)行監(jiān)視和報(bào)警。2）深層攻擊檢測(cè)：支持對(duì)會(huì)話狀態(tài)檢測(cè)、應(yīng)用層協(xié)議完全解析、誤用檢測(cè)、異常檢測(cè)等多種檢測(cè)技術(shù)，并支持自定義協(xié)議和檢測(cè)事件。3）碎片攻擊防范：支持IP碎片重組、TCP流重組、引擎級(jí)的事件歸并、報(bào)警縮略再分析、規(guī)則閾值修改、多網(wǎng)段定義檢測(cè)等功能。4）能夠應(yīng)付各種SNA類(lèi)型和應(yīng)用層的強(qiáng)力攻擊行為，包括消耗目的端的各種資源如網(wǎng)絡(luò)帶寬、系統(tǒng)性能等攻擊。5）安全狀態(tài)監(jiān)控：要求攻擊事件監(jiān)控功能顯示每一條事件的威脅程度、流行程度、事件名稱(chēng)、源IP、目的IP、發(fā)

18、生時(shí)間、最近24小時(shí)發(fā)生次數(shù)、最近十分鐘發(fā)生次數(shù)、合并方式，實(shí)時(shí)事件顯示精確到秒。5.3 負(fù)載均衡功能需提供負(fù)載均衡功能，能夠結(jié)合虛擬化管理系統(tǒng)為不同的業(yè)務(wù)及虛擬數(shù)據(jù)中心提供全局負(fù)載均衡、鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡和應(yīng)用加速、SSL卸載、智能DNS等功能，以實(shí)現(xiàn)重要業(yè)務(wù)系統(tǒng)的不間斷訪問(wèn)，保障業(yè)務(wù)連續(xù)性。1）調(diào)度算法：要求具備豐富的4-7層負(fù)載均衡和鏈路負(fù)載均衡功能。負(fù)載均衡調(diào)度算法應(yīng)至少包括輪詢、比重法、最小鏈接、最小響應(yīng)時(shí)間、隨機(jī)、源地址/目的地址/源端口HASH、就近性選擇、基于帶寬的調(diào)度以及基于HTTP內(nèi)容的調(diào)度等算法。2）應(yīng)用交付能力：要求具備對(duì)鏈路、服務(wù)器及全局負(fù)載均衡功能，并支持

19、TCP優(yōu)化、SSL加速、緩存、壓縮、智能路由等應(yīng)用加速和DDoS等安全防護(hù)功能，確保應(yīng)用的快速、安全、可用。5.4 病毒防護(hù)功能需提供病毒防護(hù)功能，能夠集成第三方專(zhuān)業(yè)防病毒廠商的專(zhuān)業(yè)病毒庫(kù)，能夠?qū)Σ《?、蠕蟲(chóng)、間諜軟件、木馬后門(mén)等常見(jiàn)計(jì)算機(jī)病毒具有高精度的檢測(cè)能力。5.5 安全審計(jì)需提供安全審計(jì)功能，能夠全面詳實(shí)地記錄網(wǎng)絡(luò)內(nèi)流經(jīng)監(jiān)聽(tīng)出口的各種網(wǎng)絡(luò)行為，保存周期不少于60天；日志以加密的方式存放，按權(quán)限讀??；網(wǎng)絡(luò)行為日志需記錄包括使用者、分組、訪問(wèn)時(shí)間、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、訪問(wèn)類(lèi)型、訪問(wèn)地址、帳號(hào)等關(guān)鍵數(shù)據(jù)項(xiàng)。6 結(jié)束語(yǔ)盡管基于云數(shù)據(jù)中心環(huán)境的安全建設(shè)方案和思

20、路就是將安全內(nèi)嵌到云計(jì)算中心的虛擬基礎(chǔ)網(wǎng)絡(luò)架構(gòu)中，并通過(guò)安全服務(wù)的方式進(jìn)行交互，不僅可以增強(qiáng)云計(jì)算中心的安全防護(hù)能力和安全服務(wù)的可視交付，還可以根據(jù)風(fēng)險(xiǎn)預(yù)警進(jìn)行實(shí)時(shí)的策略控制。這將使得云數(shù)據(jù)中心的服務(wù)交付更加安全可靠。一輩子時(shí)光在匆忙中流逝，誰(shuí)都無(wú)法挽留。多少人前半生忙忙碌碌，奔波追逐，后半生回望過(guò)去，難免感嘆一生的碌碌無(wú)為，恨時(shí)光短暫，荒廢了最好的光陰。人過(guò)中年，不停跟時(shí)間妥協(xié)，之所以不爭(zhēng)搶?zhuān)幨赖?，完全是?jīng)過(guò)世故的淬煉，達(dá)到心智的成熟。有朋友問(wèn)我，怎樣寫(xiě)出滋潤(rùn)心靈的文字？是要查字典，引用名言，還是有什么規(guī)律？我笑著回，隨心隨意，不為難自己。你為難自己，就要刻意去效仿，你不隨心隨意就要被名

21、利世俗困擾，自然心態(tài)會(huì)有偏差，文字也染上了俗氣?，F(xiàn)實(shí)生活中，不乏完美主義者，終日在不食人間煙火的意境中活著，虛擬不切合實(shí)際。如此，唯有活在當(dāng)下，才是真正的人生箋言。常常想，不想活在過(guò)去的人，是經(jīng)歷了太多的大起大落，不想被束縛在心靈蝸居里的人，是失去的太多，一番大徹大悟后，對(duì)視的眼神定會(huì)愈發(fā)清澈，坦然笑對(duì)人生的雨雪冰霜。對(duì)于隨波逐流的人們，難免要被世俗困擾，不問(wèn)過(guò)去，不畏將來(lái)又將是怎么樣的一種糾葛，無(wú)從知曉。不得不說(shuō)，人是活在矛盾中的。既要簡(jiǎn)單，又難淡然，掙扎在名利世俗中，一切身不由己，又有那樣的生活是我們自己想要的呢？人前，你笑臉相迎，帶著偽裝的面具，不敢輕易得罪人；人后，黯然傷懷，總感嘆命運(yùn)

22、的不公平，人生的不如意；常常仰望別人的幸福，而忽視了自己，卻不知你與他所想要的幸福，都只得一二，十之八九只有在希冀中追求，不是嗎？人活一輩子，心懷夢(mèng)想，蒼涼追夢(mèng)，難能可貴的是執(zhí)著向前，義無(wú)反顧，最懼怕瞻前顧后，退縮不前。一生短暫如光影交錯(cuò)，有幾個(gè)人能放下?tīng)拷O，有幾個(gè)人能不難為自己，活的精彩呢！我們的一生，是匆忙的行走，誰(shuí)的人生，不是時(shí)刻在被命運(yùn)捉弄中前行。我想，我是無(wú)法和命運(yùn)抗衡的，卻又時(shí)刻想做真實(shí)的自己。眼下的生活是一面鏡子，對(duì)照著卑微的自己，心有萬(wàn)千光芒，無(wú)法放棄的卻總是太多太多。中年，人生的分水嶺，不再有小女孩的浪漫情懷，撒嬌賣(mài)萌，穿著也越發(fā)簡(jiǎn)單，舒適即可。年輕時(shí)可以穿緊身裙，牛仔褲，甚

23、至小一碼的高跟鞋，不惜磨破了腳板，夾痛了腳趾，依舊笑魘如花，人前賣(mài)弄。年少時(shí)，青春做砝碼，別人的一句贊美能心頭飄飄然，走在馬路上，陌生男子的回頭率，成了青春的資本，忘乎所以。年齡越大，對(duì)身邊的一切似乎沒(méi)了熱情，爭(zhēng)吵，攀比，打扮，都沒(méi)了興趣。有人說(shuō)，女人要愛(ài)自己，打扮的漂漂亮亮的才行，而我卻恰恰相反，正如有一天涂了口紅出門(mén)，兒子嚇了一跳，一句太庸俗，再昂貴品牌的口紅你都不適合，讓我啞然失笑。原來(lái)，他寧愿喜歡素面朝天的媽媽?zhuān)膊幌胍C揉造作的中年婦女，我必須保持最初的簡(jiǎn)潔，亦或簡(jiǎn)單。居家女人雖平庸，卻總想活出真我。不喜歡的東西，學(xué)會(huì)舍棄，生活趨于安靜。每天打理家務(wù)，照顧子女，空閑的時(shí)間看看書(shū)，散散

24、步，陪婆婆去買(mǎi)菜，少一些功利心，多一些平常心，生活便達(dá)到了想要的簡(jiǎn)單。人過(guò)中年天過(guò)午，流逝的時(shí)間不會(huì)等我的。不想為難自己了，幾十年光陰里，不停做著事與愿違的選擇，極力說(shuō)服自己，多替別人想想，多顧及別人的感受，卻忽視了委屈的自己。我承認(rèn)，給自己負(fù)擔(dān)，就是難為自己。不愿意放下，就是心態(tài)使然。其實(shí)，你大可不必為了別人改變自己，為自己活著，才是真理。從今天起，不愿意迎合的人，選擇放手；卑鄙下流，虛情假意的損友，拒絕交往，只要隨心隨意，什么都不是難題。要明白，他們走近你的世界，只想利用你，卻從不顧及你的感受，既保持若即若離，又想無(wú)償索求，時(shí)刻為難著你，美其名曰這是一份難得的緣一輩子時(shí)光在匆忙中流逝，誰(shuí)都

25、無(wú)法挽留。多少人前半生忙忙碌碌，奔波追逐，后半生回望過(guò)去，難免感嘆一生的碌碌無(wú)為，恨時(shí)光短暫，荒廢了最好的光陰。人過(guò)中年，不停跟時(shí)間妥協(xié)，之所以不爭(zhēng)搶?zhuān)幨赖?，完全是?jīng)過(guò)世故的淬煉，達(dá)到心智的成熟。有朋友問(wèn)我，怎樣寫(xiě)出滋潤(rùn)心靈的文字？是要查字典，引用名言，還是有什么規(guī)律？我笑著回，隨心隨意，不為難自己。你為難自己，就要刻意去效仿，你不隨心隨意就要被名利世俗困擾，自然心態(tài)會(huì)有偏差，文字也染上了俗氣?，F(xiàn)實(shí)生活中，不乏完美主義者，終日在不食人間煙火的意境中活著，虛擬不切合實(shí)際。如此，唯有活在當(dāng)下，才是真正的人生箋言。常常想，不想活在過(guò)去的人，是經(jīng)歷了太多的大起大落，不想被束縛在心靈蝸居里的人，是失去的太多，一番大徹大悟后，對(duì)視的眼神定會(huì)愈發(fā)清澈，坦然笑對(duì)人生的雨雪冰霜。對(duì)于隨波逐流的人們，難免要被世俗困擾，不問(wèn)過(guò)去，不畏將來(lái)又將是怎么樣的一種糾葛，無(wú)從知曉。不得不說(shuō)，人是活在矛盾中的。既要簡(jiǎn)單，又難淡然，掙扎在名利世俗中，一切身不由己，又有那樣的生活是我們自己想要的呢？人前，你笑臉相迎，帶著偽裝的面具，不敢輕易得罪人；人后，黯然傷懷，總感嘆命運(yùn)的不公平，人生的不如意；常常仰望別人的幸福，而忽視了自己，卻