摘要:
2024年8月,我参加了某公司数据中心建设项目,并担任项目经理,负责项目的规划设计,进度跟踪,相关问题调度协调等工作。整个项目投资总额600多万元,历时6个月。某公司为了加强信息化资源整合,将不再允许各个分公司和生产单位单独建设信息化数据中心及业务系统。项目实施完成后,数据中心将承载全公司信息化系统业务,因此保障数据中心的网路和信息安全成为了项目建设的重中之重。我从项目实践出发讨论网络系统的安全设计 ,首先论述目前网路安全和信息安全的主流技术和方法;其次结合作者在该项目的具体实践与国家等级保护的具体要求,重点分析了项目中采用的硬件安全产品,软件安全产品及管理措施,最后分析和评估了该项目中安全系统的效果古,瓶颈以及相关改进措施。
正文:
某公司是一家基础通信运营商,数据中心负责各种业务系统,网管系统,支持系统的接入,很多系统因业务的需要,需要面向公众提供互联网服务,因此会时刻受到来自互联网的安全威胁,比如DDOs攻击安全渗透等。由于各个系统的应用不同,暴露的端口不同,受到的攻击的类型也各不相同,因此提高数据中心的安全防护能力势在必行。公司数据中心项目建设于2020年8月正式启动,我担任项目组组长,负责整个项目的规划设计,进度跟踪,相关问题调度协调等工作。整个项目投资总额600多万元,历时6个月。公司数据中心建设项目的重要任务之一是保障数据中心的网络与信息安全。
为了提高数据中心网络系统的安全性,结合项目实际,我进行了三个方面的设计及考虑;一是对比了目前主流的网络安全和信息安全技术和方法;二是根据项目需求和国家等级保护的具体要求,进行合适的信息系统等保定级备案,重点分析了网络完全和信息安全中采用的硬件安全产品以及管理措施;三是分析和评估项目中网络安全措施的效果,瓶颈以及相关改进措施。下面我就这三个方面的设计及考虑进行详细的论述。
一.主流的网络和信息安全技术分析
数据中心常用的网络和信息安全技术有异常流量的检测技术,恶意代码防护技术,僵尸代码防护技术,僵尸木马蠕虫防护技术,抗ddos流量清洗技术。其中,抗DDOS攻击和WEB防护对数据中心来说是最基础和关键的能力。
针对不同流量大小的攻击,可以有三种方式来进行应对:
1.网络流量小于1Gb/S时,可以采取部署防火墙的方式进行应对。
2.网络流量小于10Gb/s时,可以采取流量牵引,流量清洗和路由黑洞的方式进行应对。
3.网络流量高于10Gb/s时,可以采取分布式CDNHE 近源防护的方式进行应对。
WEB防护可以分为硬件WAF和软件WA两种方式,。硬件WA使用专用硬件,处理性能强大;软件WAF则采用开源软件方式搭建,处理性能稍弱,但具有良好的性价比。
主要的信息安全技术有上网日志留存技术,不良信息检测技术,一键封停技术等。其中不良信息监测技术和一键封停技术对数据中心非常重要。在数据中心中,大量的公网用户通过互联网通道访问数据中心的业务系统,各个系统可能存在被攻击者货渗透着后被遗留的不良信息。因此部署不良信息监控平台对整个数据中心得业务系统起着关键性得保护作用。同时为了规避风险,降低影响,在发现不良信息后,应具有立即响应和处置能力,所以一键关停功能也至关重要。
二.数据中心网络安全方案分析
本项目涉及31个分公司和10个生产单位,共有79个业务系统。有的业务系统,比如CRM系统需要保持稳定,能持续为公众提供服务,属于较为重要得信息系统。公司的数据中心类似于CRM的系统不下20个,我们将这些信息系统的安全系统的安全等级定为三级。即认定这些信息系统受到破坏后,会对社会秩序和公共利益造成损害,或者对国家安全造成损害。
关于数据中心的网络安全建设项目方案,我重点介绍以下三个方面:
(1)采购硬件安全产品。
为了抗DDOS攻击,我们在数据中心核心交换机上,以旁路的方式,部署华为EDUMON8000应对普通低于1Gb/s的流量攻击。在数据中心互联网出口区,部署华为的入侵检测设备NIP5000和AntiDDos8000清洗设备,通过路由牵引和黑洞路由的方式,应对低于10Gb/s的攻击。针对WEb应用攻击,则通过部署华为WAF5000Web应用防火墙利用其独创的行为状态链接检测技术,有效应对盗链,跨站请求伪造等特殊的Web攻击。
(2)采购软件安全产品
为了检测系统和发现不良信息,我们部署了不良信息检测平台。在系统前端以独占带宽的方式接入Web爬虫系统。通过爬虫系统对目标网站进行数据搜索采集后,回传给后台数据接收处理服务器,由数据处理接收处理服务器将数据接收处理服务器将数据归类写入数据库和存储空间,供用用户查询和管理。针对一键关停,通过部署一键关停平台,后端人员可以在上分钟内完成问题网站的关闭。
(3)加强管理措施。
我们制定了《某公司信息系统操作规程》,对管理人员的工作做了详细要求,并于年终考核相关联。比如:工作人员定期对计算机信息系统安全运行进行常规检查,及时排除各种安全隐患;工作人员应定期重要数据进行备份等。
三.项目实施效果分析
项目在实施完成后,各类信息系统与数据中心均达到了等保三级安全防护要求。在实际测试中,针对10GB/S的流量攻击,目前配置的安全系统,能在10秒之内,检测并自动进行防护。
在最初的网络规划设计中,对网络设备本身的安全考虑不多,在问题上,我提出了将网络设备安全域逻辑分为控制平面,转发平面,管理平面等三大安全层面,每个安层面的具体功能不同。控制平面目标是保证设备系统资源的可用性和路由的安全性,使得路由器可以正常实现路由交换,更新。转发平面主要目标是对异常流量进行控制,过滤产常见的病毒流量,包括:UDP端口为1434,1026和1027的流量,TCP的端口号为445的流量。管理平台主要目标是保护路由远程管理及本地服务的安全性,关闭IP网络设备不使用的管理平面服务,如FTP/SFTP,HTTP服务,NETCONF等。这样的操作之后,网络设备本身的安全得到加强。
历时8个月,在整个项目组全体成员的共同努力下,某公司的数据中心建设项目,如期顺利完成。项目得到了领导,用户的认可,特别是在网络安全设计上,给予了高度评价。当然,在项目实施过程中也遇到了一些问题,比如配合业主单位在各分公司的协调上遇到了不少困难,安全系统的运维培训也没有组织到位,在今后的项目设计规划中,我将总结经验和教训,不断学习改进,不断提升网络设计工作能力和水平。