【摘要】
2024年8月,我参加了某公司的数据中心建设项目,并担任项目经理,负责项目的规划设计、进度跟踪、相关问题调度协调等工作。整个项目投资总额600多万元,历时6个月。某公司为了加强信息化资源整合,将不再允许各个分公司和生产单位单独建设信息化数据中心及业务系统。项目实施完成后,数据中心将承载全公司的信息化系统业务,因此保障数据中心的网络和信息安全成为了项目建设的重中之重。我从项目实践出发讨论网络系统的安全设计,首先论述目前网络安全和信息安全主流的技术和方法:其次结合作者在该项目的具体实践与国家等级保护的具体要求,重点分析了项目中采用的硬件安全产品、软件安全产品以及管理措施:最后分析和评估了该项目中安全系统的效果、瓶颈以及相关改进措施。
【正文】
某公司是一家基础通信运营商,数据中心负责各种业务系统、网管系统、支持系统的接入,很多系统因为业务需要,需要面向公众提供互联网服务,因此会时刻受到来自互联网的安全威胁,比如DDoS 攻击、安全渗透等。由于各个系统的应用不同,暴露的端口不同,受到攻击的类型也各不相同,因此提高数据中心的安全防护能力势在必行。公司数据中心建设项目于2020年8月正式启动,我担任项目组组长,负责整个项目的规划设计、进度跟踪、相关问题调度协调等工作。整个项目投资总额600多万元,历时6 个月。公司数据中心建设项目的重要任务之一就是保障数据中心的网络与信息安全。
为了提高数据中心网络系统的安全性,结合项目实际,我们进行了三个方面的设计及考虑:一是对比了目前主流的网络安全和信息安全技术和方法;二是根据项目需求和国家等级保护的具体要求,进行合适的信息系统等保定级备案,重点分析了在网络安全和信息安全中采用的硬件安全产品、软件安全产品以及管理措施;三是分析和评估项目中网络安全指施的效果、瓶颈以及相关改进措施。
下面我就这三个方面的设计及考虑进行详细的论述。
—、主流的网络和信息安全技术分析
数据中心常用的网络和信息安全技术有异常流量检测技术、恶意代码防护技术、僵尸木马蠕虫防护技术、web防护技术、抗 DDos 流量清洗技术。其中,抗 DDos 政击和 Web 防护对数据中心来说是最基础和关键的能力。针对不同流量大小的攻击,可以有三种方式来进行应对:
(1)网络流量小于1Gb/s时,可以采取部署防火墙的方式进行应对。
(2)网络流量小于 10Gb/s时,可 以采取流量牵引、流量清洗和路由黑洞的方式进行应对。
(3)网络流量高于10Gb/s时,可以采取分布式 CDN 和近源防护的方式进行应对。
Web 防护可以分为硬件 WAF 和软件 WAF 两种方式。硬件 WAF 使用专用硬件,处理性能强大:软件 WAF 则采用开源软件方式搭建,处理性能稍弱,但具有良好的性价比。主要的信息安全技术有上网日志留存技术、不良信息监测技术、一键封停技术等。其中不良信,息验测技术和一键封停技术对数据中心米说非常重要。在数据中心中,大量的公网用户通过互联通道访问数据中心的业务系统,各个系统可能存在被政古或者滲透后被避留的不良信恩。因此部署不良信息监控平台对整个数据中心的业务系统起着关健性的保护作用。同时为了规避凤险,降低影响,在发现不良信息后,应具有立即响应和处置能力,所以一键关停功能也至关重要。
二、数据中心网络安全方案分析
本项目涉及 31 个分公司和10个生产单位,共有79 个业务系统。有的业务系统,比如 CRM系统需要保持稳定,能持续为公众提供服务,属于较为重要的信息系统。公司的数据中心中类似于CRM 的系统不下 20 个,我们将这些信息系统的安全等级均定为三级。即认定这些信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。关于数据中心的网络安全建设项目方案,我重点介绍以下三个方面:
(1)采购硬件安全产品。
为了抗 DDos 攻击,我们在数据中心核心交换机上,以旁路的方式,部署华为 EDUMON8000应对普通低于 1Gb/s 的流量攻击。在数据中心互联网出口区,部署华为的入侵检测设备 NIP5000和 AntiDDos8000 清洗设备,通过路由牵引和黑洞路由的方式,应对低于10Gb/s 的玫击。针对 Web应用攻击,则通过部署华为 WAF5000 Web 应用防火墙利用其独创的行为状态链检测技术,有效应对盗链、跨站请求伪造等特殊的 Web 攻击。
(2)采购软件安全产品。
为了检测和发现不良信息,我们部署了不良信息检测平台。在系统前端以独占带宽的方式接入web 爬虫系统。通过爬虫系统对目标网站进行数据搜索采集后,回传给后台数据接收处理服务器,由数据接收处理服务器将数据归类写入数据库和存储空间,供用户查询和管理。针对一键关停,通过部署一键关停平台,后端人员可以在3分钟内完成问题网站的关闭。
(3)加强管理措施。
我们制定了《某公司信息系统操作规程》,对管理人员的工作做了详细要求,并与年终考核相关联。比如:工作人员定期对计算机信息系统安全运行进行常规检查,及时排除各种安全隐患;工作人员应定期对重要数据进行备份等。
三、项目实施效果分析
项目在实施完成后,各类信息系统与数据中心均达到了等保三级的安全防护要求。在实际测试中,针对 10Cb; 的流量的政古,目前配置的安全系统,能在10秒之内,检测并自动进行防护,在最初的网络规划设计中,对网络设备本身的安全考虑不多,在此问题上,我提出了将网络设备安全城迎铒划分为控制平面、转发平面、管理平面三大安全层面,每个安全层面的具体功能不同。控制平面主要目标是保证设备系统资源的可用性和路由的安全性,使得路由器可以正常实现路由交换、更新。转发平面主,要目标是对异常流量进行控制,过滤常见病毒流量,包括:UDP 端口为 1434、1026 和1027 的流量,TCP端口为 445 的流量。管理平面主要目标是保护路由器远程管理及本地服务的安全性,关闭 T 网络设备不使用的管理平面服务,如 FTP/SFTP、HTTP 服务、NETCONP 等。这样操作之后,网络设备本身的安全得到加强。
历时8个月,在整个项目组全体成员的共同努力下,某公司的数据中心建设项目,如期顺利完成。项目得到了领导、用户的认可,特别是在网络安全设计上,给予了高度评价。当然,在项目实施过程中也遇到了一些问题,比如配合业主单位在各分公司的协调上遇到了 不少困难,安全系统的运维培训也没有组织到位,在今后的项目设计规划中,我将总结经验和教训,不斯学习改进,不断提升网络设计工作能力和水平。