數(shù)據(jù)中心安全圍繞數(shù)據(jù)為核心，從數(shù)據(jù)的訪問、使用、破壞、修改、丟失、泄漏等多方面維度展開，一般來說包括以下幾個(gè)方面：

物理安全：主要指數(shù)據(jù)中心機(jī)房的安全，包括機(jī)房的選址，機(jī)房場地安全，防電磁輻射泄漏，防靜電，防火等內(nèi)容；

網(wǎng)絡(luò)安全：指數(shù)據(jù)中心網(wǎng)絡(luò)自身的設(shè)計(jì)、構(gòu)建和使用以及基于網(wǎng)絡(luò)的各種安全相關(guān)的技術(shù)和手段，如防火墻，IPS，安全審計(jì)等；

系統(tǒng)安全：包括服務(wù)器操作系統(tǒng)，數(shù)據(jù)庫，中間件等在內(nèi)的系統(tǒng)安全，以及為提高這些系統(tǒng)的安全性而使用安全評估管理工具所進(jìn)行的系統(tǒng)安全分析和加固；

數(shù)據(jù)安全：數(shù)據(jù)的保存以及備份和恢復(fù)設(shè)計(jì)；

信息安全：完整的用戶身份認(rèn)證以及安全日志審計(jì)跟蹤，以及對安全日志和事件的統(tǒng)一分析和記錄；

拋開物理安全的考慮，網(wǎng)絡(luò)是數(shù)據(jù)中心所有系統(tǒng)的基礎(chǔ)平臺(tái)，網(wǎng)絡(luò)安全從而成為數(shù)據(jù)中心安全的基礎(chǔ)支持。因此合理的網(wǎng)絡(luò)安全體系設(shè)計(jì)、構(gòu)建安全可靠的數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)平臺(tái)是進(jìn)行數(shù)據(jù)中心安全建設(shè)的基本內(nèi)容。

數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)原則

網(wǎng)絡(luò)是數(shù)據(jù)傳輸?shù)妮d體，數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)一般要考慮以下三個(gè)方面：

合理規(guī)劃網(wǎng)絡(luò)的安全區(qū)域以及不同區(qū)域之間的訪問權(quán)限，保證針對用戶或客戶機(jī)進(jìn)行通信提供正確的授權(quán)許可，防止非法的訪問以及惡性的攻擊入侵和破壞；

建立高可靠的網(wǎng)絡(luò)平臺(tái)，為數(shù)據(jù)在網(wǎng)絡(luò)中傳輸提供高可用的傳輸通道，避免數(shù)據(jù)的丟失，并且提供相關(guān)的安全技術(shù)防止數(shù)據(jù)在傳輸過程中被讀取和改變；

提供對網(wǎng)絡(luò)平臺(tái)支撐平臺(tái)自身的安全保護(hù)，保證網(wǎng)絡(luò)平臺(tái)能夠持續(xù)的高可靠運(yùn)行；

綜合以上幾點(diǎn)，數(shù)據(jù)中心的網(wǎng)絡(luò)安全建設(shè)可以參考以下原則：

整體性原則：“木桶原理”，單純一種安全手段不可能解決全部安全問題；

多重保護(hù)原則：不把整個(gè)系統(tǒng)的安全寄托在單一安全措施或安全產(chǎn)品上；

性能保障原則：安全產(chǎn)品的性能不能成為影響整個(gè)網(wǎng)絡(luò)傳輸?shù)钠款i；

平衡性原則：制定規(guī)范措施，實(shí)現(xiàn)保護(hù)成本與被保護(hù)信息的價(jià)值平衡 ；

可管理、易操作原則：盡量采用最新的安全技術(shù)，實(shí)現(xiàn)安全管理的自動(dòng)化，以減輕安全管理的負(fù)擔(dān)，同時(shí)減小因?yàn)楣芾砩系氖杪┒鴮ο到y(tǒng)安全造成的威脅；

適應(yīng)性、靈活性原則：充分考慮今后業(yè)務(wù)和網(wǎng)絡(luò)安全協(xié)調(diào)發(fā)展的需求，避免因只滿足了系統(tǒng)安全要求，而給業(yè)務(wù)發(fā)展帶來障礙的情況發(fā)生；

高可用原則：安全方案、安全產(chǎn)品也要遵循網(wǎng)絡(luò)高可用性原則；

技術(shù)與管理并重原則：“三分技術(shù)，七分管理”，從技術(shù)角度出發(fā)的安全方案的設(shè)計(jì)必須有與之相適應(yīng)的管理制度同步制定，并從管理的角度評估安全設(shè)計(jì)方案的可操作性

投資保護(hù)原則：要充分發(fā)揮現(xiàn)有設(shè)備的潛能，避免投資的浪費(fèi)；

數(shù)據(jù)中心網(wǎng)絡(luò)安全體系設(shè)計(jì)

模塊化功能分區(qū)

為了進(jìn)行合理的網(wǎng)絡(luò)安全設(shè)計(jì)，首先要求對數(shù)據(jù)中心的基礎(chǔ)網(wǎng)絡(luò)，采用模塊化的設(shè)計(jì)方法，根據(jù)數(shù)據(jù)中心服務(wù)器上所部署的應(yīng)用的用戶訪問特性和應(yīng)用的核心功能，將數(shù)據(jù)中心劃分為不同的功能區(qū)域。

采用模塊化的架構(gòu)設(shè)計(jì)方法可以在數(shù)據(jù)中心中清晰區(qū)分不同的功能區(qū)域，并針對不同功能區(qū)域的安全防護(hù)要求來進(jìn)行相應(yīng)的網(wǎng)絡(luò)安全設(shè)計(jì)。這樣的架構(gòu)設(shè)計(jì)具有很好的伸縮性，根據(jù)未來業(yè)務(wù)發(fā)展的需要，可以非常容易的增加新的區(qū)域，而不需要對整個(gè)架構(gòu)進(jìn)行大的修改，具備更好的可擴(kuò)展性。因?yàn)槊總€(gè)區(qū)域的安全功能是根據(jù)每個(gè)區(qū)域的特性進(jìn)行定義，因此可以在不影響其他應(yīng)用或者整個(gè)區(qū)域的情況下單獨(dú)進(jìn)行安全部署，對于一次性建設(shè)投資或分階段建設(shè)的情況下都可以很好進(jìn)行網(wǎng)絡(luò)安全的布局。

“核心-邊緣”安全邊界定義

采用模塊化的架構(gòu)設(shè)計(jì)方法將數(shù)據(jù)中心分為多個(gè)功能區(qū)域后，由于不同功能區(qū)域之間會(huì)有相互通訊的需求，因此整個(gè)網(wǎng)絡(luò)架構(gòu)形成“核心-邊緣”的結(jié)構(gòu)特性，如圖1所示，以數(shù)據(jù)中心核心區(qū)為中心，其他功能區(qū)域與核心區(qū)相連，成為數(shù)據(jù)中心網(wǎng)絡(luò)的邊緣區(qū)域。為了更好的保證數(shù)據(jù)中心的網(wǎng)絡(luò)性能，數(shù)據(jù)中心核心區(qū)一般只提供高速的數(shù)據(jù)轉(zhuǎn)發(fā)功能，不做安全控制的部署，在這個(gè)區(qū)域需要重點(diǎn)規(guī)劃的是核心區(qū)的高可靠和高性能保證。

在這種“核心-邊緣”的結(jié)構(gòu)特性下，各功能區(qū)域同核心區(qū)域相連的接口成為該區(qū)域的網(wǎng)絡(luò)安全邊界。從業(yè)務(wù)和安全控制的角度出發(fā)，在各功能區(qū)域的邊界需要采用一定的技術(shù)手段（通常部署防火墻硬件設(shè)備）定義成獨(dú)立的安全區(qū)域。不同安全區(qū)域之間的網(wǎng)絡(luò)如果需要相互訪問，應(yīng)該遵從有限互通的原則，按照不同功能區(qū)域之間安全信任級別的不同，在安全邊界上部署不同的訪問控制策略，禁止不同區(qū)域之間的網(wǎng)絡(luò)在不采取任何安全訪問控制的前提下直接互通。

“點(diǎn)、線、面”安全布局

安全邊界的定義實(shí)現(xiàn)了對不同區(qū)域之間相互訪問的控制，而各個(gè)功能區(qū)域內(nèi)根據(jù)安全保護(hù)等級的要求以及安全訪問的特性，需要分別設(shè)計(jì)各自的網(wǎng)絡(luò)安全布局。

“點(diǎn)、線、面”安全布局的核心思想是以對不同安全區(qū)域被訪問主體的訪問控制管理為安全防御主線，結(jié)合不同區(qū)域的安全級別和應(yīng)用要求，在安全訪問 “線路”上部署不同的安全“點(diǎn)”設(shè)備，并且對整個(gè)數(shù)據(jù)中心區(qū)域規(guī)劃統(tǒng)一的安全事件發(fā)現(xiàn)、收集、分析、處理的機(jī)制和技術(shù)實(shí)現(xiàn)，實(shí)現(xiàn)安全“面”的統(tǒng)一管理。

這里以互聯(lián)網(wǎng)模塊區(qū)對外業(yè)務(wù)服務(wù)器的安全布局為例來說明“點(diǎn)、線、面”的安全布局方法。

對外業(yè)務(wù)服務(wù)器區(qū)域需要同Internet互聯(lián)來提供單位的網(wǎng)上交互業(yè)務(wù)（如金融單位的網(wǎng)銀業(yè)務(wù)，政府的網(wǎng)上報(bào)稅業(yè)務(wù)，企業(yè)的電子商務(wù)業(yè)務(wù)等），基本的網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示，通過路由器與Internet相連（一般考慮到業(yè)務(wù)連接的可靠性，會(huì)部署多條出口線路），區(qū)域的核心交換機(jī)分別連接 WEB、APP和DB服務(wù)器，并且同數(shù)據(jù)中心核心區(qū)交換機(jī)互聯(lián)。在這個(gè)區(qū)域的安全部署考慮如下：

確認(rèn)對該安全區(qū)域內(nèi)不同服務(wù)器的訪問控制策略：Web服務(wù)器允許被互聯(lián)網(wǎng)用戶訪問，同時(shí)也允許被內(nèi)網(wǎng)用戶和內(nèi)網(wǎng)服務(wù)器訪問；Web服務(wù)器允許訪問APP服務(wù)器，但是不允許訪問DB服務(wù)器；APP服務(wù)器智能被WEB服務(wù)器訪問，并且允許訪問DB服務(wù)器；DB服務(wù)器只能被APP服務(wù)器訪問。