提升数据中心安全的内在潜力

数据中心 ＳＡＵＰ基于管理层认知、安全部门地位、安全问题处理、建设成本及改进等内容，将安全能力划分为具有层次和递进关系的５个阶段：不确定期、觉醒期、启蒙期、智慧期和确定期。

在划分安全能力阶段以后，下一步的目标就是将数据中心价值定位与安全能力相对应，然后实现每阶段安全能力的建设和提升。

数据中心价值定位在不断变化，ＳＡＵＰ建议从业务价值和安全需求两个纬度出发，基于有效的安全战略，将核心价值与安全方法进行有效耦合，满足客户的动态、个性化安全需求，实现数据中心安全能力的持续创新与适应。

基础更牢固

·安全基础化

数据中心作为低成本的产品发布和展示平台，这个阶段的用户缺少安全意识和必要的防护手段，处于“不知道会有安全问题”的状态，属于安全能力的不确定期，建议采取基础安全策略，通过部署大容量、高性能的逻辑访问控制和入侵检测等安全组件，实现对业务性能无影响、经济灵活的安全保障。

·安全纵深化

数据中心作为单一业务的承载平台，用户将传统业务Ｗｅｂ化提高效率和降低成本，这个阶段用户有一定的安全意识，也会尝试采取一些安全手段，但仍然无法有效缓解安全威胁，处于思考和困惑“安全问题是否一定不能避免”的状态。属于安全能力的觉醒期，建议采取深度安全策略，从业务全流程考虑安全问题，在安全传输和安全处理的基础上，同时实现数据的安全存储。

·安全域划分

基于安全模型进行域划分是保障安全的有效手段，安全域划分需要结合安全规范和行业特点来进行。

·ＶＰＮ安全接入

ＶＰＮ技术可以解决数据中心远程维护的安全需求，也可以满足基于互联网的多个分支机构的经济、安全连接。

·终端安全威胁缓解

终端安全威胁的发展速度和危害程度日趋严重，是安全问题发生的主要源头，不但需要提高用户的安全意识，同时需要高度兼容、功能丰富的方案，为终端提供多层次的保护，集中升级和统一管理。

·服务器多层防护

考虑计算资源的重要性和敏感性，服务器面临的安全威胁更加广泛，服务器防护需要考虑兼容性和稳定性，从网络／攻击保护、系统控制和审计／告警方面来保障服务器的安全。

·安全事件审计

通过部署分布式的安全日志系统，实现安全事件的及时监控和审计，使数据中心用户对自己所处的网络环境和安全状态有更清楚的认识。

·数据安全存储

数据中心作为业务发布平台，要求实现数据的安全存储，以及存储系统的扩展性和较高性价比。通过专业的存储设备（磁盘阵列、ＶＴＬ）以及备份软件，可以提供灵活的存储和备份解决方案。

· 安全协作化

数据中心作为关联业务的承载平台，成为业务的整合平台，这个阶段的用户处于有沟通渠道和有计划地解决安全问题的状态，属于安全能力的启蒙期，建议采取协作安全策略。安全能力建设的重点包括两方面，一是建设符合国际标准的信息安全管理体系，实现安全与管理体系的融合、协作；二是通过多种可订制的备份、灾难恢复服务，实现高可用能力保障与业务的同步。

网络更安全

·与网络技术融合

安全产品包括支持虚拟、高速接口、网络智能特性等功能，实现安全与网络在技术层面的完美融合。

·与网络管理融合

通过统一平台实现安全与网络的管理融合，有效降低数据中心的管理和维护成本，实现安全与网络在管理层面的完美融合。

·漏洞管理及系统加固

数据中心服务器的各种ＯＳ、应用的广泛部署以及版本差异，系统级的安全漏洞必然是一个长期的安全威胁，需要尽量减少系统漏洞修复与遭受攻击之前的时间差，通过安全漏洞检查和强制系统加固，实现安全能力与安全标准和策略之间的高度协作。

·信息安全管理体系建设

简单依靠安全技术并不能实现安全能力提升，必须考虑建设符合国际标准的信息安全管理体系，建立国际化、高水准的运营服务管理制度，在安全体系和运维等软环境上向国际规范看齐，为用户提供更好的定制服务。

·数据高可用存储

数据中心作为多种业务集成的整合平台，在安全存储的基础上对于系统可用性提出了更高要求，基于先进的存储技术与丰富的工程实践，通过提供包括多种可订制的备份、灾难恢复服务，用户可以获得高度持续的数据存储服务能力。

·安全可信化

在新经济时代ＩＴ是新兴业务的重要驱动力，数据中心开始作为业务创新的承载平台，这个阶段用户的安全改进活动已经融入日常运作中，可以预防绝大部分的安全问题，属于安全能力的智慧期，建议采取可信安全策略。其安全能力建设的重点包括两方面，一是对业务和流量进行深度识别、控制，实现精细化管理；二是部署旁路检测、动态引流的ＤＤｏＳ防护方案，实现数据中心整体ＳＬＡ保障。

业务更稳定

·业务识别与控制

对业务和流量进行识别、控制是建设可信承载平台的基本能力要求，通过建立“用户－业务－流量” 的对应关系，实现“应用可识别，用户可区分，流量可控制，业务可增值”，充分满足数据中心精细化管理的需求。

·异常流量智能清洗

数据中心直接面对来自互联网的各种异常流量的威胁，尤其是ＤＤｏＳ攻击对ＳＬＡ造成严重影响，通过部署旁路检测、动态引流和架构分离＋功能融合的ＤＤｏＳ综合防护方案，同时满足ＤＤｏＳ防御和业务识别与控制的安全需求，有效降低ＣＡＰＥＸ和ＯＰＥＸ。

·电子邮件综合防护

电子邮件在提升沟通效率的同时，也带来了新的安全问题和挑战：邮件内容检测和回溯，以及垃圾邮件。有效的电子邮件安全解决方案需要具备两方面特性，一方面是能够高效发现、抵御以电子邮件为载体的各种恶意攻击，另外一个方面就是保证电子邮件中重要信息的安全、可控传输。

·安全事故级管理通过部署自动化的安全事故管理服务，实现对安全事故的及时识别、优先级制订、闭合响应及持续检测，及时对数据中心网络环境中的安全威胁与事故做出快速响应，协助用户降低安全风险。

· 安全自动化

数据中心最终将成为协助客户获取竞争优势的战略应用平台，这个阶段的用户可以按需来调用安全服务，属于安全能力的确定期，即安全自动化阶段，安全能力成为标准、通用、弹性和共享的战略资源。

安全能力成为按需自动调用的战略资源，与以下三个领域的成熟度有关：

·关键制约解除：平台、网络、存储的异构互连和统一管理；

·基础架构完善：网络、计算、存储和其他ＩＴ技术持续发展；

·系统智能发展：ＳＯＡ、平台整合、资源虚拟和系统模块化。

ＳＡＵＰ作为衡量和建设安全能力的参考方法，目的是帮助数据中心用户识别业务现状与安全能力之间的关系，并基于业界最佳实践对可采取的安全策略和安全方法提出建议，实现数据中心商业价值的提升。