[互联网数据中心安全管理]消防安全管理制度范本

　　中图分类号：TN915.1 文献标志码：A 文章编号：1009-6868 (2012) 04-0023-004　　摘要：文章认为互联网数据中心面临的主要安全威胁包括侵入攻击、拒绝服务攻击和分布式拒绝服务攻击、蠕虫病毒等。在数据中心网络安全建设和管理中，文章建议从网络架构、安全设备、安全管理多方面保障互联网数据中心安全。具体手段上建议采取网络多层多区域设计原则，建立安全边界，实施不同等级的安全措施和防护办法，以形成多层次的网络架构；部署多方面的网络安全设备，形成全方位一体化安全防护体系；制订健全的安全管理和运维制度，建设系统的安全管理体系。
　　关键词：互联网数据中心；网络架构；安全威胁；安全技术；安全管理
　　Abstract:Security threats for data centers include intrusion, denial of service, distributed denial of service, and worms. In this paper, we suggest that research into data center security should focus on network architecture, security equipment, and security management. We suggest ways of securing a data center, including building an architecture based on multilayers and multizones, establishing secure borders, and using different levels of security and different protective measures. We also suggest deploying a wide range of network security devices and formulating security management and operation and maintenance rules.
　　Key words:Internet data center; network architecture; security threats; security management.
　　互联网数据中心是企业数据、应用大集中以及企业IT应用对互联网服务提供模式的依赖的集中体现，是以机房和网络资源为依托，以专业化技术支撑队伍为基础，为各类用户提供各种资源出租以及相关增值服务，并定期向用户收取相应服务费用的一种电信级服务。互联网数据中心提供的主要业务包括主机托管、资源出租、系统维护、管理服务，以及其他支撑、运行服务等，需要具有完善的设备、专业化的管理和完善的应用级服务能力。
　　近十年来，随着互联网的高速发展和企业用户对数据中心依赖的增长，互联网数据中心的需求向着更大容量、更高能力、超大规模、多种业务模式和运营模式同时存在的方向升级。就近年来多次大型互联网数据中心服务中断事故的社会影响来看，构建具有更高可靠性和服务能力的互联网数据中心，成为其发展的一个重要诉求。
　　网络作为连接数据中心IT组件、实现外部访问的唯一实体，构建坚实的网络基础设施、构建网络与安全相融合的互联网数据中心平台将为互联网数据中心业务提供非常重要的保障。
　　本文介绍互联网数据中心网络架构主要特征和多层设计原则，分析互联网数据中心面临的主要安全威胁，对其安全规划和部署实施提出方案建议[1-8]。
　　1 互联网数据中心网络
　　多层设计原则
　　从本质上说，互联网数据中心网络多层设计原则是划分区域、划分层次、各自负责安全防御任务，即将复杂的数据中心内部网络和主机元素按一定的原则分为多个层次多个部分，形成良好的逻辑层次和分区。
　　数据中心用户的业务可分为多个子系统，彼此之间会有数据共享、业务互访、数据访问控制与隔离的需求，根据业务相关性和流程需要，需要采用模块化设计，实现低耦合、高内聚，保证系统和数据的安全性、可靠性、灵活扩展性、易于管理，把用户的整个IT系统按照关联性、管理等方面的需求划分为多个业务板块系统，而每个系统有自己单独的核心交换，服务器，安全边界设备等，逐级访问控制，并采用不同等级的安全措施和防护手段。
　　互联网数据中心网络可同时从3个方面划分层次和区域：
　　(1)根据内外部分流原则分层。
　　(2)根据业务模块隔离原则分区。
　　(3)根据应用分层次访问原则来分级。
　　1.1 分层
　　根据内外部分流原则，数据中心网络可分为4层：互联网接入层、汇聚层、业务接入层和运维管理层。
　　最常见的数据中心网络分层如图1所示。
　　互联网接入层配置核心路由器实现与互联网的互联，对互联网数据中心内网和外网的路由信息进行转换和维护，并连接汇聚层的各汇聚交换机，形成数据中心的网络核心。
　　汇聚层配置汇聚交换机实现向下汇聚业务接入层各业务区的接入交换机，向上与核心路由器互联。部分流量管理设备、安全设备部署在该层。大客户或重点业务可直接接入汇聚层交换机。
　　业务接入层通过接入交换机接入各业务区内部的各种服务器设备、网络设备等。
　　运维管理层一般独立成网，与业务网络进行隔离，通过运维管理层的接入及汇聚交换机连接管理子系统各种设备。
　　1.2 分区
　　按照关联性、管理、安全防护等方面的不同需求，可将数据中心网络划分为不同的区域：互联网域、接入域、服务域、管理域、计算域等，各安全域之间经过防火墙隔离，确保相应的访问控制策略。
　　互联网域包括实施自助管理的管理用户和访问应用的最终用户。接入域为用户接入数据中心提供统一的界面和借口，又称为非军事化隔离区(DMZ)。服务域提供域名解析、身份认证授权、IP地址转换等网络服务功能。计算域提供计算服务，可以根据安全需求再划分安全子域。管理域提供安全管理、运营管理、业务管理等。