數(shù)據(jù)中心安全策略的體系架構(gòu)與功能設(shè)計(jì)_第1頁(yè)
數(shù)據(jù)中心安全策略的體系架構(gòu)與功能設(shè)計(jì)_第2頁(yè)
數(shù)據(jù)中心安全策略的體系架構(gòu)與功能設(shè)計(jì)_第3頁(yè)
數(shù)據(jù)中心安全策略的體系架構(gòu)與功能設(shè)計(jì)_第4頁(yè)
數(shù)據(jù)中心安全策略的體系架構(gòu)與功能設(shè)計(jì)_第5頁(yè)
已閱讀5頁(yè),還剩3頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、精品數(shù)據(jù)中心安全策略的體系架構(gòu)與功能設(shè)計(jì)一、數(shù)據(jù)中心建設(shè)的安全策略1.數(shù)據(jù)中心安全策略的體系架構(gòu)數(shù)據(jù)中心安全的內(nèi)容已從原來(lái)的保密性和完整性擴(kuò)展為信息的可用性、核查性、真實(shí)性、抗抵賴(lài)性以及可靠性等范圍,更涉及到包括計(jì)算機(jī)硬件系統(tǒng)、操作系統(tǒng)、應(yīng)用程序以及與應(yīng)用程序相關(guān)聯(lián)的計(jì)算機(jī)網(wǎng)絡(luò)硬件設(shè)施和數(shù)據(jù)庫(kù)系統(tǒng)等計(jì)算機(jī)網(wǎng)絡(luò)體系的方方面面,具體架構(gòu)如圖1所示。從圖1中可以看出,數(shù)據(jù)中心建設(shè)的安全策略包括4層:硬件安全防護(hù)層、數(shù)據(jù)安全檢測(cè)層、數(shù)據(jù)隔離恢復(fù)層和數(shù)據(jù)安全備份層高速帶寬.!S費(fèi)器鍬蚊¥飛、防火城硬件安全防護(hù)房,-1-JE-,-nI一raa-1r1-u=m.»t-ir”ii,;一.&

2、quot;入侵格贏、安全審計(jì)數(shù)據(jù)安全構(gòu)冽瞌!-.!-4.-1“;a-.-=.aih,”一-hmm-.saam»;t-=,*k.-=«.8_»-.=r-明心隱黑轂廨內(nèi)動(dòng)罐更觸昵數(shù)墀時(shí)闌憬復(fù)房L-1rIS,IF->-!?,'!"-.*W丐TTr-IHI-1一.一,1I_IIII|TI,一_一.一_K!據(jù)巾的同樂(lè).也糊出餐份數(shù)據(jù)安全備協(xié)展JL121MO1圖1數(shù)據(jù)中心安全體系結(jié)構(gòu)2.數(shù)據(jù)中心安全策略的功能設(shè)計(jì)2.1. 硬件安全防護(hù)層數(shù)據(jù)中心建設(shè)的硬件安全主要采用的策略包括高速帶寬、服務(wù)器負(fù)載平衡以及防火墻的使用。(1)高速帶寬(HighSpeedB

3、andwidth)為了使數(shù)據(jù)中心在激烈的計(jì)算機(jī)網(wǎng)絡(luò)競(jìng)爭(zhēng)中處于領(lǐng)先地位,高質(zhì)量的網(wǎng)絡(luò)連接是維持高質(zhì)量數(shù)據(jù)中心的基本要素。為避免因計(jì)算機(jī)網(wǎng)絡(luò)帶寬的共享問(wèn)題產(chǎn)生沖突而降低數(shù)據(jù)中心的功能和效率,應(yīng)該為數(shù)據(jù)中心的管理者和使用者提供最大限度的利用帶寬。(2)服務(wù)器負(fù)載平衡(ServerLoadBalancing)單一的服務(wù)器不能滿足數(shù)據(jù)中心日益增加的用戶(hù)訪問(wèn)量、數(shù)據(jù)資源和信息資源。數(shù)據(jù)中心的應(yīng)用系統(tǒng)采用了3層結(jié)構(gòu),數(shù)據(jù)中心中大量復(fù)雜的查詢(xún)、重復(fù)的計(jì)算以及動(dòng)態(tài)超文本網(wǎng)頁(yè)的生成都是通過(guò)服務(wù)器來(lái)實(shí)現(xiàn)的,而服務(wù)器的速度一直都是數(shù)據(jù)中心數(shù)據(jù)處理速度的“瓶頸”。為了滿足ISP/ICP的需求,提高數(shù)據(jù)中心服務(wù)器的訪問(wèn)性

4、能,數(shù)據(jù)中心建設(shè)采用了服務(wù)器負(fù)載均衡的先進(jìn)技術(shù)。網(wǎng)絡(luò)負(fù)載均衡器是一個(gè)非常重要的計(jì)算機(jī)網(wǎng)絡(luò)產(chǎn)品,利用一個(gè)IP資源就可以根據(jù)用戶(hù)的要求產(chǎn)生多個(gè)虛擬的IP服務(wù)器,按照一定協(xié)議能夠使它們協(xié)調(diào)一致地工作。不同的用戶(hù)或者不同的訪問(wèn)請(qǐng)求可以訪問(wèn)到不同的服務(wù)器,使得多個(gè)服務(wù)器可以同時(shí)并行工作,提高服務(wù)器的訪問(wèn)性能。如果當(dāng)計(jì)算機(jī)“黑客”攻擊某臺(tái)服務(wù)器而導(dǎo)致該服務(wù)器的系統(tǒng)癱瘓時(shí),負(fù)載均衡器和負(fù)載均衡技術(shù)會(huì)關(guān)閉其與該系統(tǒng)的連接,將其訪問(wèn)分流到其他服務(wù)器上,保證了數(shù)據(jù)中心持續(xù)穩(wěn)定的工作。(3)防火墻(Firewall)防火墻技術(shù)是位于Internet之間或者內(nèi)部網(wǎng)絡(luò)之間以及Internet與內(nèi)部網(wǎng)絡(luò)之間的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)

5、備或計(jì)算機(jī)中的一個(gè)功能模塊,主要由硬件防火墻與軟件防火墻按照一定的安全策略建立起來(lái)的有機(jī)組成體,目的在于保護(hù)內(nèi)部網(wǎng)絡(luò)或計(jì)算機(jī)主機(jī)的安全。原則上只有在內(nèi)部網(wǎng)絡(luò)安全策略中合法的通信量才能順利進(jìn)出防火墻。具體功能包括保護(hù)數(shù)據(jù)的完整性、保護(hù)網(wǎng)絡(luò)的有效性和保護(hù)數(shù)據(jù)的精密性。防火墻的使用便于數(shù)據(jù)中心硬件資源和軟件資源集中的安全管理,安全策略的強(qiáng)制執(zhí)行,從而降低了計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性,提高了數(shù)據(jù)中心的安全保密性。2.2. 數(shù)據(jù)安全檢測(cè)層數(shù)據(jù)安全檢測(cè)層包括數(shù)據(jù)的入侵檢測(cè)和數(shù)據(jù)與安全審計(jì)兩大功能,主要完成隱患數(shù)據(jù)和操作進(jìn)不來(lái)以及隱患數(shù)據(jù)和操作查得出的任務(wù)。(1)入侵檢測(cè)(IntrusionDetection)數(shù)據(jù)

6、的入侵檢測(cè)是一種積極的安全防護(hù)技術(shù),是繼防火墻之后的第二道安全閘門(mén),是把數(shù)據(jù)中心的關(guān)口前移,對(duì)入侵行為進(jìn)行安全檢測(cè),讓存在安全隱患的數(shù)據(jù)不能進(jìn)入到數(shù)據(jù)中心,主要通過(guò)收集和分析用戶(hù)的網(wǎng)絡(luò)行為;安全日志、審計(jì)規(guī)則和數(shù)據(jù);網(wǎng)絡(luò)中計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)的信息,檢查進(jìn)入數(shù)據(jù)中心以及數(shù)據(jù)中心內(nèi)部的操作、數(shù)據(jù)是否違反安全策略以及是否存在被攻擊的跡象。主要采用模式匹配、統(tǒng)計(jì)分析和完整性分析3種分析策略。數(shù)據(jù)中心建設(shè)的入侵檢測(cè)采用的是公共入侵檢測(cè)框架(CIDF),其具體架構(gòu)如圖2所示。入侵檢測(cè)系統(tǒng)可以根據(jù)對(duì)數(shù)據(jù)和操作的分析,檢測(cè)出數(shù)據(jù)中心是否受到外部或者內(nèi)部的入侵和攻擊。位始數(shù)據(jù)一物件產(chǎn),I需HB2CIDF入

7、侵檢演煉符結(jié)瑞(2)安全審計(jì)(SecurityAuditing)數(shù)據(jù)安全審計(jì)的作用是審計(jì)和檢查出危害數(shù)據(jù)中心的操作和數(shù)據(jù)。數(shù)據(jù)安全審計(jì)系統(tǒng)是數(shù)據(jù)中心中的一個(gè)獨(dú)立的應(yīng)用系統(tǒng),主要針對(duì)數(shù)據(jù)中心內(nèi)部的各種安全隱患和業(yè)務(wù)風(fēng)險(xiǎn),根據(jù)既定的審計(jì)規(guī)則(數(shù)據(jù)審計(jì)字典)對(duì)數(shù)據(jù)中心系統(tǒng)運(yùn)行的各種操作和各種數(shù)據(jù)進(jìn)行跟蹤記錄,采用誤用檢測(cè)技術(shù)、異常檢測(cè)技術(shù)以及數(shù)據(jù)挖掘技術(shù)審計(jì)和檢測(cè)數(shù)據(jù)中心存在的安全漏洞以及安全漏洞被利用的方式。安全審計(jì)系統(tǒng)主要采用分層的思想進(jìn)行構(gòu)建,具體結(jié)構(gòu)如圖3所示。安全審計(jì)系統(tǒng)的目標(biāo)是隨著數(shù)據(jù)入侵檢測(cè)技術(shù)的不斷成熟,安全審計(jì)系統(tǒng)知識(shí)庫(kù)、規(guī)則庫(kù)以及審計(jì)數(shù)據(jù)庫(kù)的不斷完善,最終實(shí)現(xiàn)對(duì)數(shù)據(jù)中心各種操作和

8、數(shù)據(jù)的實(shí)時(shí)與準(zhǔn)實(shí)時(shí)的審計(jì)和處理,達(dá)到數(shù)據(jù)中心安全防范的整體目標(biāo)。數(shù)需安全布計(jì)箱Mft推忖、還原散據(jù)探:嚶隼圖3數(shù)據(jù)安全定計(jì)系統(tǒng)的結(jié)構(gòu)"2.3. 數(shù)據(jù)隔離恢復(fù)層數(shù)據(jù)隔離恢復(fù)層是對(duì)數(shù)據(jù)中心中的隱患或者不安全數(shù)據(jù)和操作進(jìn)行的相關(guān)處理,包括數(shù)據(jù)隔離和數(shù)據(jù)恢復(fù),主要目的是將隱患或者不安全數(shù)據(jù)和操作趕出數(shù)據(jù)中心,以保證數(shù)據(jù)中心的安全。(1)數(shù)據(jù)隔離(DataIsolation)為了避免隱患或者不安全數(shù)據(jù)和操作造成的數(shù)據(jù)受損范圍的擴(kuò)大,當(dāng)發(fā)現(xiàn)數(shù)據(jù)中心存在隱患或者不安全數(shù)據(jù)和操作時(shí),必須進(jìn)行數(shù)據(jù)隔離,禁止所有用戶(hù)對(duì)相關(guān)數(shù)據(jù)的請(qǐng)求,在數(shù)據(jù)修復(fù)之后解除隔離,從而有效地避免在數(shù)據(jù)恢復(fù)階段由于數(shù)據(jù)共享導(dǎo)致的

9、數(shù)據(jù)中心受損范圍的擴(kuò)大,包括物理隔離技術(shù)和軟件隔離技術(shù)兩個(gè)層面。主要策略包括以下方面: 隔離的完整性數(shù)據(jù)隔離僅對(duì)受損數(shù)據(jù)有效,而不影響用戶(hù)合法的數(shù)據(jù)請(qǐng)求,同時(shí),數(shù)據(jù)隔離的粒度要盡可能的小,數(shù)據(jù)項(xiàng)級(jí)別要達(dá)到元組級(jí)或者元素級(jí)。 隔離的有效性除了受損數(shù)據(jù)恢復(fù)進(jìn)程,任何用戶(hù)請(qǐng)求都不能直接訪問(wèn)受損數(shù)據(jù),即使是請(qǐng)求中子查詢(xún)操作也應(yīng)該被隔離。 隔離的效率隔離數(shù)據(jù)不需占用太多的系統(tǒng)空間資源,同時(shí),受損數(shù)據(jù)的隔離應(yīng)具有較高的執(zhí)行效率,且不會(huì)對(duì)數(shù)據(jù)中心的系統(tǒng)性能造成較大的影響。(2)數(shù)據(jù)恢復(fù)(DataReconstruction)數(shù)據(jù)隔離恢復(fù)層應(yīng)該具有較強(qiáng)的自愈性,能夠及時(shí)自動(dòng)修復(fù)受損的數(shù)據(jù),以保證數(shù)據(jù)中心系統(tǒng)的

10、穩(wěn)定性和數(shù)據(jù)的完整性。2.4. 數(shù)據(jù)安全備份層數(shù)據(jù)的安全備份是數(shù)據(jù)中心容災(zāi)的基礎(chǔ),是指防止數(shù)據(jù)中心的數(shù)據(jù)由于操作失誤、系統(tǒng)故障或者惡意攻擊而導(dǎo)致的丟失,將數(shù)據(jù)全部或部分復(fù)制的過(guò)程。為了保證數(shù)據(jù)的安全,在數(shù)據(jù)中心中通常使用兩個(gè)或者多個(gè)數(shù)據(jù)庫(kù),互為主、備用,包括數(shù)據(jù)庫(kù)的實(shí)時(shí)同步和數(shù)據(jù)庫(kù)的備份兩個(gè)方面。( 1)實(shí)時(shí)同步(Real-timeSynchronization)數(shù)據(jù)庫(kù)的實(shí)時(shí)同步主要是指根據(jù)需要使數(shù)據(jù)庫(kù)操作持部分或者完全一致。數(shù)據(jù)庫(kù)的實(shí)時(shí)同步有兩種實(shí)現(xiàn)方式:一種是根據(jù)數(shù)據(jù)庫(kù)中的訪問(wèn)日志,采用鏡像技術(shù)使主用數(shù)據(jù)庫(kù)與備用數(shù)據(jù)庫(kù)中的數(shù)據(jù)保持絕對(duì)一致,當(dāng)主用數(shù)據(jù)庫(kù)發(fā)生故障或損壞時(shí),備用數(shù)據(jù)庫(kù)可以自動(dòng)代

11、替其功能,并作為恢復(fù)主用數(shù)據(jù)庫(kù)的數(shù)據(jù)源。這種方式往往比較適合同一種類(lèi)型的數(shù)據(jù)庫(kù),并且數(shù)據(jù)庫(kù)的數(shù)據(jù)結(jié)構(gòu)完全一致的情況。如果要把這種數(shù)據(jù)庫(kù)的同步方式應(yīng)用于不同類(lèi)型的數(shù)據(jù)庫(kù)或者是不同的數(shù)據(jù)結(jié)構(gòu)時(shí)都會(huì)遇到困難。另一種實(shí)現(xiàn)方式是通過(guò)分析主、備用數(shù)據(jù)庫(kù)中的內(nèi)容,找出之問(wèn)的差異,并將差異部分的記錄寫(xiě)入對(duì)方數(shù)據(jù)庫(kù)中,達(dá)到數(shù)據(jù)同步的目的。這種方式對(duì)數(shù)據(jù)庫(kù)的類(lèi)型以及數(shù)據(jù)庫(kù)的數(shù)據(jù)結(jié)構(gòu)沒(méi)有嚴(yán)格要求,這是因?yàn)楫?dāng)數(shù)據(jù)從一個(gè)數(shù)據(jù)庫(kù)中調(diào)出,在寫(xiě)入另一數(shù)據(jù)庫(kù)中之前,可以做適當(dāng)?shù)臄?shù)據(jù)類(lèi)型轉(zhuǎn)換,從而實(shí)現(xiàn)數(shù)據(jù)庫(kù)中的數(shù)據(jù)一致。而且還可以使用ODBC接口來(lái)訪問(wèn)數(shù)據(jù)庫(kù),因而,這種數(shù)據(jù)庫(kù)同步的實(shí)現(xiàn)方式可以適用于各種類(lèi)型數(shù)據(jù)庫(kù)以及各種數(shù)據(jù)結(jié)構(gòu)

12、的數(shù)據(jù)庫(kù)之間的數(shù)據(jù)同步。( 2)數(shù)據(jù)庫(kù)備份(DataBackup)常用的數(shù)據(jù)備份方式有定期磁盤(pán)(光盤(pán))備份數(shù)據(jù)、遠(yuǎn)程數(shù)據(jù)庫(kù)備份、網(wǎng)絡(luò)數(shù)據(jù)鏡像和遠(yuǎn)程鏡像磁盤(pán)。數(shù)據(jù)中心建設(shè)主要采用網(wǎng)絡(luò)備份方式,網(wǎng)絡(luò)備份主要通過(guò)專(zhuān)業(yè)的數(shù)據(jù)存儲(chǔ)管理軟件結(jié)合相應(yīng)的硬件和存儲(chǔ)設(shè)備來(lái)實(shí)現(xiàn),采用如下策略和手段: 完全備份每天對(duì)數(shù)據(jù)中心的數(shù)據(jù)進(jìn)行完全備份,保證數(shù)據(jù)庫(kù)的實(shí)時(shí)同步,主要優(yōu)點(diǎn)是數(shù)據(jù)恢復(fù)及時(shí)、完整,缺點(diǎn)是備份繁瑣、費(fèi)時(shí),且占用大量的空間資源。 增量備份指定每周的一天進(jìn)行一次完全備份,其余時(shí)間只進(jìn)行新增或者修改數(shù)據(jù)的備份,主要優(yōu)點(diǎn)是節(jié)省備份時(shí)間和空間資源,缺點(diǎn)是數(shù)據(jù)恢復(fù)比較麻煩。 差分備份指定每周的一天進(jìn)行一次完全備份,其余時(shí)間只進(jìn)行所有與這天不同數(shù)據(jù)的備份,差分備份可以較好地避免完全備份和增量備份帶來(lái)的缺陷。在數(shù)據(jù)中心的建設(shè)中,通常是綜合使用以上3種策略,

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論