【51CTO.com 綜合消息】一個裝滿了貨物的倉庫，總會引來各種各樣不必要的“光顧者”。就好像我們企業的數據中心一樣，越是核心的業務應用、越是敏感的數據，越容易遭受來自外界的攻擊。

隨著IT應用程度的日益提高，數據中心對于客戶的價值與日俱增，相應的，數據中心的安全建設也迫在眉睫。面對日益繁復的應用和日漸頻繁的外界攻擊，一個好的數據中心除了應對數據的存儲和傳遞之外，能否保證數據的安全性也是衡量其合格與否的重要標志。而面對不斷變化的外來攻擊，數據中心的建設對安全也有了更高的要求。

數據中心安全需求的四個維度

數據中心的安全需求有些是通用性的，如分區和地址規劃問題、惡意代碼防范問題、惡意入侵問題等；有些是獨有的保密性需求，比如雙層安全防護、數據庫審計等；有些是獨有的服務保證性需求，比如服務器、鏈路和站點的負載均衡、應用系統優化等?？傮w來看，數據中心對于安全的需求可以從四個緯度來衡量：通用安全性需求、業務信息保密性需求、業務服務保證性需求、業務安全績效性需求。

通用性的安全威脅可能出現的情況包括攻擊者通過惡意代碼或木馬程序，對網絡、操作系統或應用系統進行攻擊；內部人員未經授權接入外部網絡、或下載/拷貝軟件或文件、打開可疑郵件時引入病毒；攻擊者利用應用系統、操作系統中的后門程序攻擊系統；授權用戶操作失誤導致系統文件被覆蓋、數據丟失或不能使用等。

業務信息安全性威脅則包括內部人員利用技術或管理漏洞，未經授權修改重要系統數據或系統程序；攻擊者利用各種工具獲取身份鑒別數據，并對鑒別數據進行分析和解剖，獲得鑒別信息，未經授權訪問網絡、系統，或非法使用應用軟件、文件和數據；以及攻擊者利用網絡結構設計缺陷旁路安全策略，未經授權訪問網絡等。

業務服務保證性威脅指的是諸如攻擊者利用分布式拒絕服務攻擊等拒絕服務攻擊工具，惡意消耗網絡、操作系統和應用系統資源，導致拒絕服務；攻擊者利用各種工具獲取身份鑒別數據，并對鑒別數據進行分析和解剖，獲得鑒別信息，未經授權訪問網絡、系統，或非法使用應用軟件、文件和數據；以及粗放式業務服務能力方式提高了總體擁有成本這類的威脅。

安全建設績效性威脅則指的是業務流量變化導致安全策略部署需要調整；業務種類變化導致安全部署需要調整；全網設備管理存在門戶不同、管理分散，導致定位問題緩慢；以及缺乏整體的IT規劃，沒有有效的技術手段制成IT規劃、決策等。

構建數據中心安全有“三高”要求

根據對數據中心所受到的威脅的分析，業界對數據中心安全的建設有了更多的考慮。猶如現在鑄造一把好鎖，不僅需要嚴格的機械原理，還會輔之以各種電子化的技術。目前業內普遍認可，在構建數據中心時也要突破以往的思路，站在更高、更全面的高度上重新思考以下方面：

首先是高安全。木桶原理直觀說明了安全需要全方位防御，核心數據作為企業的最寶貴的資產和生命線，需要強有力的保障數據中心的安全訪問，避免病毒、攻擊、非授權的訪問與泄密，以及保障訪問記錄的審查和監督已經成為數據中心安全運營的必備條件；

其次是高性能。數據與業務集中后，流程整合、信息挖掘和實時工作等新應用系統對數據中心內部系統的帶寬、響應時間、吞吐量等提出了更高的要求，多媒體數據、Web2.0、移動3G和高性能計算等業務的廣泛應用不斷吞噬著數據中心的處理能力、網絡帶寬。安全如何保證不成為萬兆網絡的性能瓶頸，如何提供更高的帶寬、更好的響應時間，也是企業管理者關注的核心問題之一；

最后是高可靠。數據中心已成為企業IT系統的心臟，如何保證數據中心在各種條件下的安全和穩定運行，如何保障數據中心的各種業務連續性，也是IT行業面臨的一個巨大挑戰；

這“三高”可以說是構建一個安全穩定的數據中心的最基本，也是最重要的要求。除此以外，應用優化、低成本與易管理，以及現在業內普遍提倡的綠色的概念，也都是一個好的數據中心所應當具備的條件。

業界最佳的數據中心保護方案全面迎戰“三高”

基于對數據中心架構的深入研究和對各種安全問題的了解， H3C在其新一代數據中心解決方案中通過以iSPN智能安全滲透網絡理念、面向安全的網絡設計，實現了網絡與安全的智能融合管理，為新一代數據中心應用提供了高性能、高安全的數據中心保護解決方案，為客戶提供了增值的數據中心網絡。

首先，安全防護是一個整體，任何疏漏都可能被攻擊者利用并導致破壞。安全防御系統通過高端防火墻和IPS實現2~7全面安全防御，并通過SecBlade安全插卡，將安全隔離、深度入侵防御、DDoS防御、VPN、流量分析和協議分析（含數據庫審計）等技術融合于H3C S75E/S95/ S95E/S58系列交換：一方面通過防火墻插卡、IPS插卡、AFC插卡能夠阻斷各種網絡攻擊和異常流量，為用戶提供從物理層到應用層的全方位安全防護；另一方面通過NetStream流量分析插卡、ACG應用控制插卡、負載均衡插卡和SSL VPN插卡能夠實現對網絡行為的精細化管理和性能優化，提升用戶的網絡使用效率。

其次，在部署時充分考慮數據中心高可靠性要求，安全設備支持雙機狀態熱備、雙電源、業務接口卡支持熱插拔等特性，并且安全系統采用“交換機+SecBlade插卡”方式部署，即可達到萬兆級安全防護能力，同時整網設備明顯減少，避免傳統糖葫蘆串式結構，也極大地方便了網絡與業務部署、任何設備故障時，業務流量自動繞行，徹底消除單點故障的風險，同時大大降低了用戶的綜合成本。

再次，為解決萬兆網絡安全性能瓶頸問題，H3C的40G超萬兆防火墻F5000-A5和業界唯一的萬兆防火墻模塊可滿足大型企業、運營商和數據中心網絡的高性能安全防護需求。同時提供八種SecBlade安全板卡，可以實現性能無限擴展、為用戶提供融合多業務的一體化網絡安全解決方案，滿足大容量數據中心需求。

最后，通過4~7層負載均衡、SSL 加速、Web 加速、Http數據壓縮等技術，保證在訪問請求急劇增長時，服務器不會因不堪重負而反應緩慢，實現對數據中心的整體性能進行優化，為用戶提供更佳體驗；同時，通過安全管理平臺與iMC開放智能管理中樞實現對設備、服務器的配置、監控和管理。

由于能夠對數據中心安全實施充分、全面的保障，H3C數據中心保護解決方案在國家環保部、國家人保部、國家知識產局、中國公安部、工總行南北數據中心、上海農行、江西省農行、山東省農信、萬和證券、成都市政府、數迅IDC等用戶中都已經有了成功的應用。方案不僅充分滿足了用戶對數據存儲、計算等方面的需求，更提供了全面的保護措施，使用戶可以安心無憂地基于數據中心開展更為豐富、深入的應用，充分發揮出了數據中心應有的價值。