隨著人們對個人隱私數(shù)據(jù)安全的關注,數(shù)據(jù)中心安全受到越來越高的重視。當人們訪問數(shù)據(jù)中心時,首先的顧慮是是否個人的信息會被泄露,自己的訪問是否是安全的。這對數(shù)據(jù)中心提出了更高的要求,數(shù)據(jù)中心不僅要提供全年不中斷的訪問,還要確保數(shù)據(jù)不丟失,不被竊取。一個數(shù)據(jù)中心是否是安全的,空口無憑,要通過一系列的數(shù)據(jù)來說話,這就需要對常用的數(shù)據(jù)中心安全指標要有所了解,通過這些安全指標對數(shù)據(jù)中心進行考核,從而對數(shù)據(jù)中心安全進行有效評估。
首先,要對數(shù)據(jù)中心日常運營的安全管理,這部分主要側(cè)重對數(shù)據(jù)中心資產(chǎn)進行管理,并對數(shù)據(jù)中心整體進行風險管理,在管理上找出提升安全性的方法。主要包括:資產(chǎn)管理、脆弱性管理、風險管理、策略管理,關聯(lián)分析等。資產(chǎn)管理就是對數(shù)據(jù)中心各種設備、物品、人員進行管理,確保這些資產(chǎn)的安全,這包括對物品的監(jiān)控,人員的管理,還要考慮物品的損耗。每個企業(yè)周期性的要進行資產(chǎn)盤點,就是資產(chǎn)管理,對于數(shù)據(jù)中心也不例外,通過一些管理軟件做好資產(chǎn)管理工作;脆弱性管理一般人并不了解,脆弱性是對一個或多個資產(chǎn)弱點的總稱,弱點是資產(chǎn)本身存在的。對資產(chǎn)的弱點進行有效評估和識別,將可以獲得數(shù)據(jù)中心整體的脆弱性情況,一般是通過問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等方式對數(shù)據(jù)中心脆弱性進行評估,然后制定一些管理措施,避免脆弱性演變?yōu)榘踩录?;風險管理和脆弱性管理類似,要對數(shù)據(jù)中心整體進行風險評估,然后有效避免安全事件發(fā)生;策略管理是指在防火墻、安全軟件上做的各種過濾設置、訪問控制,對各個網(wǎng)段的互訪進行控制,對各種VPN訪問進行嚴格檢查,這些設置非常繁雜,也很多,大型的數(shù)據(jù)中心往往需要防火墻下發(fā)數(shù)萬條的訪問控制配置,這里的每條配置都有特定含義,一般不輕易進行修改,否則就容易給數(shù)據(jù)安全運行帶來風險,需要對系統(tǒng)安全特別熟悉的人評估后才能進行修改;關聯(lián)分析就是從給定的數(shù)據(jù)集中發(fā)現(xiàn)頻繁出現(xiàn)的項集模式知識,目的是挖掘數(shù)據(jù)記錄中不同數(shù)據(jù)項之間的橫向關聯(lián)性,關聯(lián)分析有很多算法可應用于數(shù)據(jù)中心安全評價,對數(shù)據(jù)中心安全性進行評估。
其次,要對數(shù)據(jù)中心安全做一些具體的防護措施,通過對這些防護措施進行評價得出數(shù)據(jù)中心的安全性程度。主要包括:實時監(jiān)控、安全預警、故障信息顯示、設備管理、設備監(jiān)控、日志審計、響應管理等等。數(shù)據(jù)中心的數(shù)據(jù)安全隨時會受到各種各樣的威脅,要對數(shù)據(jù)訪問做實時監(jiān)控,主要包括軟硬件方面的安全防護,數(shù)據(jù)訪問的安全管理,異常數(shù)據(jù)的過濾等。實時監(jiān)控的目的就是及時發(fā)現(xiàn)數(shù)據(jù)中心的安全隱患,并給出安全預警,對故障信息進行顯示,以便數(shù)據(jù)中心運維人員可以采取保護措施,更加智能的系統(tǒng)在發(fā)現(xiàn)安全危險時,軟件也可以自行啟動防護措施。實時監(jiān)控還應具有一定的容錯能力,不能因為用戶誤操作等原因使系統(tǒng)出錯、退出或死機,具有對本身硬件故障、各監(jiān)控級間的通信故障、軟件運行故障自診斷功能,并給出告警提示。整個一套安全防護系統(tǒng)有完善的日志信息記錄、設備運行狀態(tài)監(jiān)控、響應管理等,通過這些機制來確保數(shù)據(jù)中心的數(shù)據(jù)安全。“魔高一尺,道高一丈”,數(shù)據(jù)中心雖然不可避免會存在一定漏洞,但有了完善的安全設備監(jiān)控,依然可以確保數(shù)據(jù)中心的安全,所以在數(shù)據(jù)中心從內(nèi)到外,從軟到硬,部署全方位的安全防護系統(tǒng),才能保證數(shù)據(jù)的安全。
最后,要對訪問數(shù)據(jù)內(nèi)容進行分析,這種安全管理更加深入、細化,直接對數(shù)據(jù)內(nèi)容進行安全檢查,主要有異常流量分析和行為合規(guī)性檢測。先說異常流量分析,嚴格的來講,正常業(yè)務流量之外的流量,都應該歸類為異常流量的范疇。狹義范疇上的異常流量主要指:病毒、蠕蟲、木馬、垃圾應用(P2P下載/在線視頻/在線游戲等)、攻擊(各種DOS攻擊流量)等影響網(wǎng)絡和業(yè)務正常運行的流量,這些異常流量必須要通過專業(yè)的安全設備才能檢測出來,所以必須要在數(shù)據(jù)中心的各個入口部署一些異常流量監(jiān)測的設備。行為合規(guī)性檢測著重檢查的是用戶的一些異常行為,比如盜號洗號:惡意用戶使用木馬等手段盜取帳號后,使用程序或者手工的方式,批量對盜取的帳號和密碼的有效性進行檢測,然后將賬戶內(nèi)的資金轉(zhuǎn)移。網(wǎng)上存在大量網(wǎng)絡水軍,受雇于網(wǎng)絡公關公司,為他人發(fā)帖回帖造勢,以發(fā)帖量來獲取報酬,嚴重影響網(wǎng)站的正常運營。還有很多網(wǎng)站為了商業(yè)目的,會使用程序批量抓取競爭對手的數(shù)據(jù),例如商旅網(wǎng)站會抓取競爭對手的機票價格;文學網(wǎng)站會抓取其他網(wǎng)站的原創(chuàng)作品。很多網(wǎng)站會開展投票或者點擊廣告賺金幣的業(yè)務,有人為了拉選票,使用自動化程序,進行大量投票,這些行為會嚴重違反投票結(jié)果的公平性。還有很多非正常的訪問行為,這些行為對數(shù)據(jù)中心安全造成了很大的隱患,一旦發(fā)現(xiàn)需要立即采取防護措施。
以上三類介紹了數(shù)據(jù)中心安全性評估的主要指標,每一類都有不少的評估參數(shù),數(shù)據(jù)中心要實現(xiàn)所有這些安全保障,非常不容易。還好,已經(jīng)有不少的安全設備已經(jīng)幫助數(shù)據(jù)中心實現(xiàn)了這些功能。不過很難有一個廠家覆蓋到所有的安全評估指標,這些安全廠商都有各自側(cè)重的領域,在部分方面做得比較出色,這樣需要數(shù)據(jù)中心來進行選擇,一般是通過使用多個安全廠商的組合拳來保障數(shù)據(jù)中心的安全。