数据中心网络安全类增值服务解析(2)

发布时间:2012-03-12 14:10 作者:佚名来源:中国联通点击:加载中...次

　　集中管理：在一些大型的IDC，将会部署多台入侵防护设备，对这些设备进行集中的安全策略管理、安全日志管理是实现可运营的重要支撑。IDC增值业务管理员只需要在集中管理平台上，即可开通增值业务和进行运维处理。

　　方案部署对现有网络的影响。购买此服务的新IDC客户，他们的托管服务器、租用主机等直接安装到此增值业务区域。对于购买此服务的老IDC客户，可以通过网络连接调整，接入到增值业务区的网络设备上。为此，方案部署可能会对网络产生某些影响，如：网络连接的调整，需要将当前的主机连接到指定的增值业务交换机上。网络设备配置的调整，为保持IDC客户当前IP地址不变，可能会在接入/汇聚交换机上修改VLAN配置等。

　　所需设备(软件)清单

　　3.3产品功能

　　阻止漏洞攻击：针对黑客入侵，IPS具备基于协议异常、会话状态识别和七层应用行为等攻击识别功能。并且可针对Windows、Unix、Linux等操作系统漏洞的攻击进行阻止，漏洞类型包括了Stack and Heap Buffer overflow、Format string error、Memory access error、Memory corruption、 Access control and Design weakness等等。

　　阻止木马传播：IPS在阻止木马传播上有以下特点：可检测基于ActiveX、XML、VML、MDAC等的漏洞，可阻止访问者在浏览网站时被诱使植入木马的攻击;可检测利用Dropper技术隐藏木马的Microsoft Office文件，可阻止下载并启动这些文档;如 Rootkit的木马，它们被黑客植入系统后也会跟外界通讯或进行扫瞄等，IPS可以侦测这些特殊的行为，如TFN、Trin00、Stacheldraht、Phatbot、Netbus、Evilbot等跟外界通讯行为，以及TCP、UDP scan 或 ICMP probing等行为;具有丰富的漏洞特征库可以实现对木马的精准拦截。

　　阻止间谍软件：大部分间谍软件由于是通过广告、浏览器漏洞、自订功能如ActiveX插件来诱使不够小心谨慎的用户安装的。IPS内置如Gator、180solutions、Internet Optimizer Spyware等相关的特征，通过检测下载可执行程序、ActiveX、Java applet等可疑的活动，实现阻止间谍软件通过广告、浏览器漏洞、自定义ActiveX插件等渠道实现安装。

　　阻止蠕虫扩散：IPS具备阻止已知和未知蠕虫的扩散。阻止已知蠕虫扩散，针对已知蠕虫通过扫描存在漏洞的主机来进行扩散，IPS内建完善的对Zotob Worm、MS SQL Slammer Worm等蠕虫的控制攻击特征识别码，可以检测蠕虫企图扫描漏洞主机的行为，并进而拦阻丢弃其恶意数据包。

　　阻止未知蠕虫扩散：针对未知蠕虫通过扫瞄存在漏洞的主机来进行扩散，IPS厂商跟踪着各种最新发布的漏洞，为相应漏洞及时构建攻击识别码，当发现蠕虫尝试利用这些漏洞来入侵时会立即拦阻丢弃尝试入侵的数据包，阻止蠕虫扩散。

　　4、数据存储备份服务

　　非常停机所造成的后果各不相同，对金融、民航等信息化程度较高的行业，直接关系到公众切身利益和社会稳定，一旦出了问题，极易造成灾难事件;而有些行业或企业对IT系统依赖性不高或未涉及到关键业务，往往不易形成灾难事件。因此不同行业不同应用，对灾备需求程度并不一样。通过对行业需求的分析，金融客户的容灾需求最为迫切，商业客户的容灾需求最为广泛，政府客户的容灾需求紧急而复杂，其它行业也都在不同程度上对数据备份有所需求。随着国内信息化建设的发展，人们对重要信息系统的灾难恢复日益重视，灾难备份中心的建设已经得到电信、金融、政府、大企业等行业客户的高度重视。07年11月1日国务院信息化工作办公室编制的《重要信息系统灾难恢复指南》正式升级成为国家标准《信息系统灾难恢复规范》(GB/T 20988-2007)，标志着中国的灾备市场已经进入了快速增长期。存储服务是一个系统工程，其建设和维护专业性要求非常高，建立运营级共享灾备平台，面向行业用户提供全面的灾备外包服务产品，共享灾备已经成为业务转型中的新亮点。

　　4.1产品概述

　　数据存储服务(Data Storage Service)：依托集中存储业务平台，为客户提供数据存储、数据备份/恢复等服务，同时可以提供加密、防病毒等增值服务。既一旦客户生产中心发生灾难，存储服务平台将在协议约定的恢复时间点(RPO)内，迅速协助客户恢复丢失的数据，或在协议约定的恢复时间目标(RTO)内接替客户生产中心的运行，迅速协助客户恢复协议约定范围内的业务运作。从目前看它包括外包服务中的咨询、开发、集成服务，最终将以统一的数据存储服务交付用户。参考《重要信息系统灾难恢复指南》：

　　数据备份系统：数据备份的技术，范围，RPO，RTO约定。

　　备用基础设施：大客户平台中心选址与建设，备用的机房及工作辅助设施和生活设施。

　　备用数据处理系统：备用的服务器、小型机，符合客户应用数据处理能力，处于就绪还是运行状态。

　　备用网络系统：备用网络通信设备系统与备用通信线路的选择、使用状况。

　　技术支持：软件、硬件和网络等方面的技术支持要求，技术支持的组织架构，各类技术支持人员的数量和素质等。

　　运行维护管理：运行维护管理组织架构，人员的数量和素质，运行维护管理制度。

　　灾难恢复预案：明确“整体要求”，“制订过程的要求”，“教育、培训和演练要求”，“管理要求”。

　　4.2产品定位

　　本产品适用于金融、民航等信息化程度较高的行业，中小企业客户也有需求，政府客户的容灾需求紧急而复杂，其它行业也都在不同程度上对数据备份有所需求。可适用于IDC内的托管用户，也适用于外部行业用户和中小企业用户。

　　4.3产品功能

　　1.数据存储功能

　　存储空间租赁：将存储空间提供给用户，并供用户使用。需要依据用户业务配置相应带宽，但是，应同时对存储空间的访问状态、稳定性负责。租用空间分级：提供给用户的空间可划分为不同性能和不同可靠性的等级。如：对于高性能的应用提供SAS快速空间，对于性能要求不高的应用提供大容量SATA空间，不同的空间可以划分不同的可靠性等级，如：高等级的RAID10空间和普通等级的RAID5空间。历史时间点保存：对于提供给用户的存储空间，提供连续的时间点备份，在用户放在租用空间上的数据提供数据丢失或中病毒后的迅速恢复，恢复时间即为之前做过相应备份的时间点。数据存储功能列表：

　　2.数据备份功能

　　备份空间提供：根据用户的数据量按需提供备份数据存储空间;远程备份功能：通过备份软件实现定制备份方案和备份、恢复策略，提供相应的备份链路，并满足用户的备份需求;备份文件多时间点保存：对备份空间内的数据进行多时间点的保存，保存效果同存储空间租用，备份空间的数据最多可保存255个历史版本;对Windows提供系统备份功能：利用Windows保护软件，为Windows的操作系统及应用数据提供系统级备份，同时提供数据及操作系统的恢复。对备份数据的二次备份：备份的数据可以提供二次保护手段，在其它独立设备另存数据副本;备份加密功能：对备份软件的备份数据提供加密，保障客户的数据安全性，此项功能为增强型功能。数据备份功能列表：

　　类型种类涉及组件参数选项

　　数据备份与恢复备份空间租用链路10/100/1000Mb/s

　　机房参考IDC托管服务

　　维护参考IDC托管服务

　　备份存储空间RAID5低速硬盘(7200rpm)

　　备份存储空间快照12小时/1次

　　24小时/1次

　　二次备份备份空间数据复制至其它独立空间

　　备份空间+

　　备份软件租用链路100Mb/s

　　1000Mb/s

　　机房参考IDC托管服务