点击进入频道51CTO旗下网站
数据中心安全域划分与防护技术
为了消除上述数据中心存在的安全隐患，为核心数据提供可靠、便捷的使用环境，可以将数据中心的安全体系划分为以下3个安全区域。
作者：佚名来源：E-WORKS| 14:54
为了消除数据中心存在的安全隐患，为核心数据提供可靠、便捷的使用环境，可以将数据中心安全体系划分为以下3个安全区域。
1 管理访问安全域
通常园区网络存储基础设施，如图l所示。图中服务器被连接到一个SAN结构的存储环境中，并且访问主存储阵列，主存储阵列通过光纤网络连接到备份存储阵列。管理数据存储通常是在一台管理终端上安装存储管理平台。通过IP网络与存储阵列互联，这种为管理存储阵列形成的区域称为管理访问域。管理访问域存在2个威胁：一是由于通常是通过IP网络来管理存储阵列，这样增加了未授权主机连接到存储网络的可能性；二是存储管理软件的远程控制台功能也增加了被攻击的可能性。
图1 校园网存储基础设施示意图
针对数据中心基础设施的访问安全，常用的访问安全防护技术包括：
（1）控制管理权限。控制管理权限目的在于防止攻击者假冒管理员身份或提升用户身份和使用权限，来非法获得数据闭。访问控制防护技术的使用通常包括3个方面：一是合理设置管理员使用权限，不要把存储系统所有控制权授权给一个用户：二是将存储系统的身份管理与第三方的认证系统相结合，可以使用基于角色的访问控制（RBAC）策略分配不同的管理权限；三是使用审计系统来加强安全管理。
（2）保护管理网络。防护方法主要有3种：一是加密管理数据流，采用安全的通信通道SSH或SSI/TLS来传送管理数据流；二是通过存储设备和交换机的配置。只允许某些特定的主机拥有管理权限，并且对主机能够发出什么命令操作做出限制，将访问控制措施制定到存储阵列级别，明确哪台主机拥有对那个阵列的管理权限；三是增强IP网络的安全措施，针对特定设备的数据流以及管理性协议的数据流，使用IP路由器和交换机在IP网络层进行限制，从而将未授权设备的威胁降到最低。
2应用程序访问安全域
应用程序通常是通过文件系统或数据库接口来访问存储阵列中的数据，通过应用程序访问数据称为应用程序访问域。该域遇到的安全威胁主要包括2个方面：一是在访问应用程序过程中伪造用户身份或提升访问权限来非法获取数据；二是未授权的主机伪造合法主机的身份，访问应用程序篡改数据，窥探网络或执行DOS攻击等。其常用的安全防护技术包括以下几个方面。
2.1 控制用户对数据的访问
首先，进行主机认证。使用用户身份认证授权系统实现应用程序的访问控制，确保用户身份不被假冒，也可以使用挑战握手认证协议（challenge-handshake authentication protocol）、光纤通道安全协议（fibre channel security protocol）和IPsec来认证主机。其次。为数据资源指定安全控制措施。通过在交换机上将网络划分分区来控制存储资源的访问，分区可将网络划分为多个路径，以便于在不同的路径上传输不同的数据：也可以通过逻辑单元屏蔽决定哪些主机可以访问哪些存储设备。一些设备支持将一台主机的WWN映射到一个特定的FC端口。从该端口连接到一个特定的逻辑单元，最安全的方法是将WWN和物理端口绑定。最后，通过在所有参与设备上记录重要的日志来实现审计核查控制管理工作。
2.2保护存储基础设施
保护存储基础设备的安全控制措施要能够应对以下威胁：一是对传输中的数据人为授权篡改。破坏数据完整性；二是对应用系统进行攻击，实施降低可用性的拒绝服务；三是对网络数据进行网络窥探，造成数据保密性受损。
保护存储网络的安全控制分为网络连接设施的完整性和存储网络加密性。网络连接完整性通过认证系统，防止未经过适当认证的主机添加到存储区域网中；存储网络加密方法使用IPsec来保护基于IP的存储网络以及FC-SP来保护FC网络。
首先，在定义数据中心职责时，可通过基于角色的访问控制来赋予用户使用权限，使他们能够行使他们的角色。其次，存储系统的管理网络应当在逻辑上与其他网络隔离，这样降低了管理难度，增强了安全性。IP网络分段可以通过路由器或防火墙的基于IP地址的包过滤功能、交换机的基于MAC地址的VLAN和端口级的安全措施来实现。最后，控制对设备的访问和FC开关的布线，以保证存储设施得到保护。如果一个设备被一个未授权的用户进行了物理访问。那么所有其他已制定的安全措施就会失效。
2.3数据加密
保护数据安全的最重要的一方面是保护存储阵列中的数据，这方面的主要威胁是数据被篡改和存储介质丢失。防范措施是加密存储在存储介质上的数据或加密即将传送的数据；在数据生命周期结束时将数据彻底从硬盘上清除，使其不能恢复。数据应当在生成时尽快加密，如果在主机上不能实施加密，可以在主机和存储介质之间部署加密设备加密数据，这样可以保护目标设备中静态数据和传输中的数据。
3备份、恢复和存储安全域
备份涉及到将数据从一个存储阵列复制到备份介质，该安全域的威胁有假冒备份恢复站点的合法身份进行篡改数据、网络窥探和DOS攻击。防范方法主要是提高备份软件安全性，制定好存储备份环境的安全配置，严格控制远程备份软件的使用。
【编辑推荐】
【责任编辑： TEL：（010）】
大家都在看猜你喜欢
热点头条聚焦关注热点
24H热文一周话题本月最赞
讲师：1825人学习过
讲师：7812人学习过
讲师：329人学习过
精选博文论坛热帖下载排行
程序设计实践并不只是写代码。程序员必须评论各种折衷方案，在许多可能性之中做出选择、排除错误、做测试和改进程序性能，还要维护自己或其...
订阅51CTO邮刊{{data.item.arttitle}}
作者 {{data.item.artauthorname}} {{data.item.artcreatetime}}
请使用浏览器的分享功能分享到微信等400-633-1888
当前位置：
广州永顺数据中心安全防护服务项目
广州永顺数据中心安全防护服务项目
信息发布日期：
招标编号：GDDYLYCGGS加入日期：地 区：广州市内 容：****数据中心安全防护项目采购人为中国电信股份有限公司**分公司，项目资金已落实，现已具备采购条件，拟采取单一来源方式采购，现进行公示。
一、采购内容
为满足****数据中心安全防护服务需求，拟采购包括物理安全、网络安全、主机安全、数据安全、应用安全与安全管理等服务。
&招标公告正文
广州永顺数据中心安全防护项目采购人为中国电信股份有限公司广州分公司，项目资金已落实，现已具备采购条件，拟采取单一来源方式采购，现进行公示。
一、采购内容
为满足广州永顺数据中心安全防护服务需求，拟采购包括物理安全、网络安全、主机安全、数据安全、应用安全与安全管理等服务。
二、单一来源采购原因
因永顺数据中心基础设施、管理平台为广东科云辰航科技公司为电信客户定制建设，现电信客户针对该机房的安全防护服务涉及科云公司承接的基础设施、管理平台，根据中电信广州[号&&转发省公司关于印发中国电信广东公司采购采购管理办法的通知&&,本项目的采购符合以下情形：（四）非工程建设项目的货物和服务，涉及企业的秘密等其他不适宜通过竞争方式选取供应商。可以单一来源采购，建议向广东科云辰航计算科技有限责任公司定向采购。【说明：采购用单一来源采购的原因主要参考《招标投标法》、《招投标法实施条例》和《通信工程建设项目招标投标管理办法》的规定进行描述。】
三、单一来源采购供应商
广东科云辰航计算科技有限责任公司。
四、公示媒体和期限
本次公示在招标网()和中国电信外部门户网站（ http://caigou.chinatelecom.com.cn/MSS-PORTAL）上发布，其他媒体转载无效。
公示期自2017年 12 月 12 日至2017年 12 月14 日24时00分，共3天。【说明：公示起始日应为公示发布第二天，起始日和截止日应避开法定休息日、节假日。】
五、联系方式
单位名称：中国电信股份有限公司广州分公司
联系人：张艳华
地址： 广州市天河区体育东路128号
邮编：510610
公示期间，如果对本项目采购内容、拟采用的采购方式和供应商选择等有议或质疑，请以书面形式签字或加盖章单位公章，以纸质文件或电子扫描件的方式向采购人提出。
采购人：中国电信股份有限公司广州分公司
中标展示专区
·青海金安建设工程有限公司中标
·南京虚谷科技发展有限公司中标
·北京天泰北斗科技有限公司中标
·佛山市中南装饰工程有限公司中标
·河南省计算机应用技术研究所有限公司中标
·广西建工集团第二建筑工程有限责任公中标
·广西建工集团第一建筑工程有限责任公中标
·安徽艺源建筑艺术设计有限责任公司中标
·太极计算机股份有限公司中标
·广州泰合信息技术有限公司中标
·北京安新海创科技有限公司中标
·江西大族电源科技有限公司中标
华东: 　　　　　　
华北: 　　　　
东北: 　　
华南: 　　
西北: 　　　　
西南: 　　　　
华中: 　　
客户咨询:400-633-1888　　　　　　信息发布电话:010-　　　　传真号码:010-　　　　　　 总部地址:北京市海淀区车道沟一号青东商务区A座七层(100089)
北京智诚风信网络科技有限公司　 　北京中招国联科技有限公司　　　　 北京中招国联咨询有限公司　　　　 北京国建伟业咨询有限公司　　　　 哈尔滨中招国联科技有限公司
Copyright & 　版权所有　
　京公网安备66我是招标业主
已享特权 会员到期时间：
我是供应商
我是招标业主
热门招标：
永顺数据中心安全防护服务招标公告
永顺数据中心安全防护服务招标公告
所属地区：
招标业主：
中国***公司
信息类型：
加入时间：
招标代理：
截止时间：
2017年**月**日
&&广略安全防护项目采购人为略X分公司，项目资金已落实，现已具备采购条件，拟采取单一来源方式采购，略公示。
一、采购内容
为满足广略安全防护服务需求，拟采购包括物理安全、网络安全、主机安全、数据安全、应用安全与安全管理等服务。
二、单一来源采购原因
略基础设施、管理平台为略为电信客户定制建设，现电信客户针对该机房的安全略承接的基础设施、管理平台，根据中电信X[2017年#月#号&&转发省公司关于略采购采购管理办法的通知&&,本项目的采购符合以下情形：（四）非工程建设项目的货物和服务，涉及企业的秘密等其他不适宜通过竞争方式选取供应商。可以单一来源采购，建议向X科云辰航略定向采购。【说明：采购用单一来源采购的原因主要参考《招标投标法》、《招投标法实施条例》和《略投标管理办法》略描述。】
三、单一来源采购供应商
X科云辰航略。
五、联系方式
单位名称：略X分公司
联系人：张艳华
邮箱： ## @189.cn
地址： X市X区体育东路128号
公示期间，如果对本项目采购内容、拟采用的采购方式和供应商选择等有议或质疑，请以书面形式签字或加盖章单位公章，以纸质文件或电子扫描件的方式向采购人提出。
采购人：略X分公司
日期：2017年#月#日
阅读已结束，我要开始购买
投标文件撰写咨询
采招网利用行业内的资深招投标专业人士为会员单位提供工程类、货物类...
代购标书服务
代购标书服务是中国采招网接收会员委托，代为购买招标文件，并快速邮 ...
详情可咨询：400-810-9688
采招网账号登录 没有账号？
记住登录状态
扫描微信服务号
中标结果打包下载
代购标书急速代购
人工查询最新进展
发布招标采购信息
提示对手新动态
每日接收定制信息
供应商邀请参与招标
标书代写免费报价
热门城市招标
更多企业邀请，点击进入频道
如您与以下单位关系不错，可以让他帮忙引荐以下哦~
加载中。。。
采招人脉圈即刻帮您实现通过关系找项目，通过项目找关系
帮帮我！请留下您的意见和建议 ×
错误信息类型
信息日期过期
信息不全面
附件下载打不开
内容与标题不符
信息无内容
附件上传错误的
信息类型错误
请输入内容
，即可查看免费招标信息
法人/总经理
招投标负责人（招投标办）
销售人员（业务部）
后勤人员（行政部）
我同意接受网站《用户服务条款》
服务热线：400-810-9688
，即可查看免费招标信息
服务热线：400-810-9688
，优先匹配项目，提高中标率！
电子邮箱：
填写您所关注的产品关键词分，以便我们将优质招标、项目及是发送至您的邮箱。}