企业建设趋势：数据中心安全

部署防御体系

　　当然，对于不同规模的公司，其实现的安全方式也不尽相同。对于老牌的中国人寿来说，他们提出，要想在数据中心和网络的边缘做到完整防护，至少需要做到以下几点。

　　第一，部署高性能的防火墙、防病毒网关。这类产品能够在企业网络边缘实现病毒检测、拦截和清除的功能。中国人寿在总部、分支机构网络边缘分别布置不同性能的产品，以便保护总部和分支机构内部网络和对外服务器不受黑客的攻击。同时，通过VPN功能，为分支机构、远程、移动用户提供一个安全的远程连接。

　　第二，配置安全预警系统。在企业内部，中国人寿配置了一些相关的安全预警系统作为辅助系统。此类安全预警系统集病毒扫描、入侵检测和网络监视功能于一身，它能实时捕获网络之间传输的所有数据，利用内置的病毒和攻击特征库，通过使用模式匹配和统计分析的方法，检测出网络上发生的病毒入侵、违反安全策略的行为和异常现象，并在数据库中记录有关事件，作为事后分析的依据。

　　中国人寿的安全专家表示，建设安全预警系统的目标是：全面、准确、高效、稳定、安全、快速。全面是指能检测已知的各种病毒和攻击；准确是指检测的结果准确，误报率低；高效是指检测引擎的运行效率高，由于现在的网络带宽越来越宽，只有高效的引擎才能在检测时不丢包；稳定是指系统运行稳定可靠；安全是指预警系统自身的安全，由于引擎中保存了大量检测到的敏感信息，因此对其自身的保护是十分重要的；快速是指对新的漏洞和新的攻击方法反应快，系统升级简便。

　　第三，开展有针对性的网络边缘防护。中国人寿在实施了多种安全系统之后，开展了针对HTTP、FTP、SMTP和POP3协议的内容检查、病毒清除的工作。同时，通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系，不但可以保护数据中心资源不受外来的侵犯，同时可以阻止内部用户对外部不良资源的滥用。

　　目前来看，中国人寿的防御方案可以对各种应用协议具有100%的记录能力。有些安全级别较高的部门甚至要求内部员工上网信息识别粒度达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控，可以规范网络内部的上网行为，提高工作效率，同时避免对企业内部数据中心的运行产生安全隐患。

　　在部署防御体系的同时，对于数据中心的安全管理也不能忽视。对此，中国人寿青睐灵活的安全控制台和基于Web的管理方式。与三年前不同的是，目前有越来越多的安全厂商开始在各自的安全产品中提供灵活的控制台管理和Web管理两种方式。

　　通过应用这两种管理方式，中国人寿的IT经理可以在数据中心中灵活、简便地根据企业的实际情况设置、修改安全策略。而对于数据中心与网络的连接，类似的控制方式也便于管理员及时掌握了解当前的运行信息。

　　另一个好的现象是，中国人寿已经根据自身情况进行了模块化的安全组合，并制定了分析日志和安全统计报表的制度，这种工作方式有些时候比单独的产品更加重要。据介绍，中国人寿的数据中心安全防御方案中都包括相应的报表系统，这些系统可以自动生成各种形式的攻击统计报表，形式包括日报表，月报表，年报表等。中国人寿的IT经理通过来源分析、目标分析、类别分析等多种分析方式，可以以直观、清晰的方式从总体上分析企业内部发生的各种事件，有助于管理人员提高对数据中心的安全管理。