趙凝霞 趙遠(yuǎn)飛 張桂蘭

摘 要：數(shù)據(jù)中心是用于容納計(jì)算機(jī)系統(tǒng)和相關(guān)組件（如電信和存儲系統(tǒng)）的設(shè)施。它通常包括需要的冗余或備用電源、冗余數(shù)據(jù)通信連接、環(huán)境控制（例如空調(diào)、滅火）和各種安全設(shè)備?；谠朴?jì)算的數(shù)據(jù)中心安全體系能有效保障數(shù)據(jù)中心運(yùn)行的安全性和可靠性，本文對該體系的特點(diǎn)和模式進(jìn)行了研究，以進(jìn)一步提高數(shù)據(jù)中心的運(yùn)行安全性。

關(guān)鍵詞：云計(jì)算；數(shù)據(jù)中心；安全體系

1.數(shù)據(jù)中心的安全管理

物理安全在數(shù)據(jù)中心中也起著重要作用。現(xiàn)場的實(shí)際出入通常限于選定的人員，控制措施包括一個分層的安全系統(tǒng)，通常從柵欄、系船柱和披風(fēng)開始。如果數(shù)據(jù)中心很大，或者其中的任何系統(tǒng)包含敏感信息，那么攝像機(jī)監(jiān)控和永久保安幾乎總是存在。某些數(shù)據(jù)保護(hù)法規(guī)要求記錄訪問權(quán)限。為此，一些組織使用提供訪問日志報告的訪問控制系統(tǒng)。數(shù)據(jù)記錄可在主入口、機(jī)械室入口和白色空間以及設(shè)備柜中進(jìn)行。機(jī)柜中的現(xiàn)代訪問控制允許與智能配電單元集成，以便鎖可以通過同一設(shè)備供電和聯(lián)網(wǎng)。

數(shù)據(jù)中心基礎(chǔ)安全管理（DCIM）是信息技術(shù)和設(shè)施管理學(xué)科的集成，用于集中監(jiān)控、管理和智能規(guī)劃數(shù)據(jù)中心關(guān)鍵系統(tǒng)的容量。通過實(shí)施專門的軟件、硬件和傳感器，DCIM為IT和設(shè)施基礎(chǔ)設(shè)施中所有相互依賴的系統(tǒng)提供了通用的實(shí)時監(jiān)控和管理平臺。

根據(jù)實(shí)施類型的不同，DCIM產(chǎn)品可以幫助數(shù)據(jù)中心經(jīng)理識別和消除風(fēng)險源，以提高關(guān)鍵IT系統(tǒng)的可用性。DCIM產(chǎn)品還可用于確定設(shè)施和IT基礎(chǔ)架構(gòu)之間的相互依賴關(guān)系，以提醒設(shè)施經(jīng)理注意系統(tǒng)冗余方面的差距，并提供動態(tài)、全面的功耗和效率基準(zhǔn)，以衡量“綠色I(xiàn)T”計(jì)劃的成效。

測量和理解數(shù)據(jù)中心效率指標(biāo)非常重要。這一領(lǐng)域的許多討論都集中在能源問題上，但PUE之外的其他指標(biāo)可以更詳細(xì)地描述數(shù)據(jù)中心的運(yùn)營情況。服務(wù)器、存儲和員工利用率指標(biāo)有助于更完整地查看企業(yè)數(shù)據(jù)中心。在許多情況下，磁盤容量未使用，在許多情況下，組織以20 %或更低的利用率運(yùn)行服務(wù)器。更有效的自動化工具還可以增加單個管理員可以處理的服務(wù)器或虛擬機(jī)的數(shù)量。

DCIM提供商正越來越多地與計(jì)算流體動力學(xué)提供商建立聯(lián)系，以預(yù)測數(shù)據(jù)中心中復(fù)雜的氣流模式。CFD組件對于量化計(jì)劃的未來變化對冷卻彈性、容量和效率的影響是必要的。

圖1 數(shù)據(jù)中心網(wǎng)絡(luò)操作控制室

2.基于云計(jì)算的數(shù)據(jù)中心安全體系

只有正確的防御實(shí)施到位，云安全體系結(jié)構(gòu)才是有效的。一個高效的云安全體系結(jié)構(gòu)應(yīng)該認(rèn)識到安全管理將出現(xiàn)的問題。安全管理部門通過安全控制來解決這些問題。這些控制措施旨在保護(hù)系統(tǒng)中的任何弱點(diǎn)，并減少攻擊的影響。盡管云安全體系結(jié)構(gòu)背后有許多類型的控件，但它們通常包括以下部分。

圖2 云計(jì)算數(shù)據(jù)安全中心

2.1威懾控制

這些控制旨在減少對數(shù)據(jù)中心的攻擊。威懾控制與柵欄或財產(chǎn)上的警告標(biāo)志非常相似，通常通過通知潛在攻擊者如果他們繼續(xù)下去將會有不良后果來降低威脅級別。有些人認(rèn)為它們是預(yù)防性控制的一部分。

2.2預(yù)防控制

預(yù)防性控制通常通過減少（如果不是實(shí)際消除）漏洞來加強(qiáng)系統(tǒng)對事件的防范。例如，對云用戶的強(qiáng)身份驗(yàn)證使得未經(jīng)授權(quán)的用戶訪問云系統(tǒng)的可能性降低，并且更有可能肯定地識別云用戶。

2.3偵探控制

檢測控制旨在檢測發(fā)生的任何事件并做出適當(dāng)反應(yīng)。一旦發(fā)生攻擊，檢測控制將向預(yù)防或糾正控制發(fā)出信號，以解決問題。系統(tǒng)和網(wǎng)絡(luò)安全監(jiān)控，包括入侵檢測和防范安排，通常用于檢測對云系統(tǒng)和支持通信基礎(chǔ)設(shè)施的攻擊。

2.4糾正控制

糾正控制通常通過限制損害來減少事件的后果。它們在事件期間或之后生效?；謴?fù)系統(tǒng)備份以重建受損的系統(tǒng)是糾正控制的一個示例。

3.安全維度

一般建議根據(jù)風(fēng)險選擇和實(shí)施信息安全控制，通常通過評估威脅、漏洞和影響。數(shù)據(jù)中心安全問題可以通過各種方式進(jìn)行分組。云訪問安全代理（CASBs）是介于云服務(wù)用戶和云應(yīng)用程序之間的軟件，用于監(jiān)視所有活動并實(shí)施安全策略。

3.1身份管理

每個企業(yè)都有自己的身份管理系統(tǒng)來控制對信息和計(jì)算資源的訪問。云提供商或使用聯(lián)邦或SSO技術(shù)將客戶的身份管理系統(tǒng)集成到他們自己的基礎(chǔ)設(shè)施中，或使用基于生物特征的身份識別系統(tǒng)，或提供他們自己的身份管理系統(tǒng)。例如，CloudID提供了基于云的隱私保護(hù)和跨企業(yè)生物識別。它將用戶的機(jī)密信息與他們的生物特征聯(lián)系起來，并以加密的方式存儲。利用可搜索的加密技術(shù)，在加密域中執(zhí)行生物識別，以確保云提供商或潛在攻擊者無法訪問任何敏感數(shù)據(jù)，甚至無法訪問單個查詢的內(nèi)容。

3.2人身安全

云服務(wù)提供商在物理上保護(hù)IT硬件（服務(wù)器、路由器、電纜等），防止未經(jīng)授權(quán)的訪問，并確?；竟?yīng)（如電力）足夠強(qiáng)勁，以盡量減少中斷的可能性。這通常通過從數(shù)據(jù)中心提供云應(yīng)用程序來實(shí)現(xiàn)。

3.3人員安全措施

與IT和與云服務(wù)相關(guān)的其他專業(yè)人員相關(guān)的各種信息安全問題通常通過雇傭前、雇傭期和雇傭后的活動來處理，例如安全篩選潛在招聘人員、安全意識和培訓(xùn)計(jì)劃。

3.4隱私

提供商確保所有關(guān)鍵數(shù)據(jù)（例如信用卡號）都被屏蔽或加密，并且只有授權(quán)用戶才能訪問全部數(shù)據(jù)。此外，數(shù)字身份和憑據(jù)必須得到保護(hù)，提供商收集或生成的有關(guān)云中客戶活動的任何數(shù)據(jù)也必須得到保護(hù)。

4.結(jié)語

近年來，隨著數(shù)據(jù)中心應(yīng)用范圍的不斷擴(kuò)大，其安全性問題也引起了越來越多的關(guān)注。基于云計(jì)算的數(shù)據(jù)中心安全體系可以有效加強(qiáng)數(shù)據(jù)中心的安全防御系數(shù)，降低數(shù)據(jù)泄露、丟失、被竊取的風(fēng)險。

參考文獻(xiàn)

[1]林小村.數(shù)據(jù)中心建設(shè)與運(yùn)行管理[M].北京：科學(xué)出版社，2010：39-40.

[2]陳康，鄭緯民.云計(jì)算：系統(tǒng)實(shí)例與研究現(xiàn)狀[J].軟件學(xué)報，2013（5）：37-48.

（作者單位：1.中興通訊股份有限公司；2.北京金谷財行投資有限公司；3.南京安仁電子科技有限公司）