随着各地电力公司信息化的不断发展和国家电网“SG168”工程的实施,越来越多的网络应用随之投入使用。面对越来越丰富的网络应用,数据大集中是管理集约化、精细化的必然要求,是电力企业优化业务流程、管理流程的必要手段,数据大集中已经成为电力企业信息化建设的发展趋势。目前,重庆市电力公司大部分应用系统已经实现了数据大集中,为重庆电力实现信息的集约化管理起到了非常积极的作用。但是,作为网络中数据交换最频繁、资源最密集的地方,数据中心无疑是个充满着巨大诱惑的数字城堡,任何防护上的疏漏必将会导致不可估量的损失。因此,构筑一道坚固的安全防御体系将是重庆电力数据中心必须面对的问题。
数据中心安全迫在眉睫
随着电力企业应用日益深化,基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素,未实施正确安全策略的数据中心,黑客和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害,但对于日趋成熟和危险的各类攻击手段,目前的防御措施显然力不从心。实现数据大集中之后,重庆电力数据中心需要根据以下的重要安全需求,设计自身的安全体系。
访问控制需求
重庆电力数据中心面临的网络威胁情况是比较复杂的。如果在数据中心边界没有一个可集中控制访问请求的措施,很容易被恶意攻击者或有其它企图的人员利用核心服务器的弱点进行非法入侵。入侵者可以利用多种入侵手段,如获取口令、拒绝服务攻击、SYN Flood攻击、IP欺骗攻击等等获取系统权限,进入系统内部。所以需要在数据中心部署访问控制系统,有效地监控内部网和公共网之间的活动,并对数据进行过滤与控制,保证内部网络的安全。
入侵防御需求
访问控制系统可以静态的实施访问控制策略,防止一些非法的访问等。但对利用合法的访问手段或其它的攻击手段(比如利用内部系统的漏洞等)对系统入侵和内部用户的入侵等是没有办法控制的。因此系统内需要建设统一的符合国家规定的安全检测机制,实现对网络系统进行自动的入侵检测和分析,对非法信息予以过滤,提高系统整体安全性。
防病毒需求
防病毒必须立足于系统全网的角度,除了在终端上部署放病毒产品控制病毒对终端的破坏之外,更应该在数据中心出口部署安全产品,控制病毒的传播。目前,病毒已经不再是单纯的蠕虫,而是集合了木马、间谍软件等恶意代码于一身的混合型病毒,破坏性更大,并且这种混合型的病毒传播速度、传播渠道都更快和更广。因此,增加了检测和防范的难度。病毒入侵网络的主要途径就是网关,因此,部署网关防病毒产品,控制网络病毒的传播至关重要。
安全审计需求
日志审计是信息安全的重要方面,它是实现安全事件的可追查性、不可否认性的重要数据环节。对于重庆电力数据中心由于数据来源多、数据量大、数据类型复杂,将面临大量的攻击事件。良好的安全审计能力是分析数据中心安全状况的必要条件。
“三重保护、一体防御”的防护思想
针对前面对重庆电力数据中心安全需求的分析,一般情况下可能会采用多个安全产品组合的方式来应对越来越复杂的安全威胁,也就是我们常说的“糖葫芦”解决方案。这种解决方案给用户网络带来了看似比较健全的安全体系,实际上却带来了许多潜在的问题,包括网络时延加大、总体带宽受限、采购成本提高、管理维护困难等。因此,“糖葫芦”式的安全解决方案无法满足重庆电力数据中心的安全需求。目前,重庆市电力公司数据中心需要一个全方位一体化的安全解决方案,将安全部署渗透到整个数据中心的设计、部署、运维中,为数据中心搭建起一个立体的、无缝的安全平台,真正做到把安全从数据链路层贯穿到网络应用层的目标,使安全保护无处不在。启明星辰的安全专家把整个数据中心的安全防御设计思想概括为“三重保护、一体防御”。
以数据中心服务器资源为核心向外延伸有三重保护功能:依托高性能硬件的一体化安全网关的防火墙引擎提供了对网络报文深度检测的第一重防御;以具有全面扫描能力的病毒和恶意代码检测引擎作为构成对数据中心网络的第二重保护;依托精确的入侵防御引擎作为数据中心网络的第三重保护。可以用一个形象的比喻来说明对数据中心的三重保护,数据中心就像一个国家,来往的商客就像访问数据中心的报文;防火墙是驻守在国境线上的军队,一方面担负着守卫国土,防御外族攻击(DDOS)的重任,另一方面负责检查来往商客的身份(访问控制);病毒和恶意代码过滤是国家的警察,随时准备捉拿虽然拥有合法身份,但仍在从事违法乱纪活动的商客(蠕虫病毒),以保卫社会秩序;入侵防御系统(IPS)就像企业雇佣的保安,提供最基本的安全监管,时刻提防由内外部人员造成的破坏。
“一体防御”让用户对日趋复杂的网络威胁防御变得轻松从容。管理者不必再为选择产品的部署方案而烦恼,只需要部署一套安全产品就可以防范混合型攻击对网络造成的危害。网络管理员只需要熟悉一套安全产品的配置就可以轻松掌握整个网络资源利用情况和面临的威胁情况,在网络出现故障的时候通过强大的安全审计日志系统能够很快定位到出现问题的关键点。
