IDC機(jī)房合作方案V3.1

數(shù)據(jù)中心引入信息安全服務(wù)方案規(guī)劃北京三思網(wǎng)安科技有限公司劉明昭v3.02017/5/2目 錄一、國內(nèi)數(shù)據(jù)中心存在的問題 21現(xiàn)有數(shù)據(jù)中心存在的問題 21.1 數(shù)據(jù)中心的可靠性和可用性不足 21.2 數(shù)據(jù)中心的可持續(xù)發(fā)展能力嚴(yán)重不足 21.3 數(shù)據(jù)中心的專業(yè)化運(yùn)維管理水平不高 31.4 數(shù)據(jù)中心的能耗成本居高不下 31.5 數(shù)據(jù)中心的績效評估困難 3二、國內(nèi)數(shù)據(jù)中心的的發(fā)展歷程與運(yùn)維管理框架32.1數(shù)據(jù)中心發(fā)展歷程 32.1.1計(jì)算中心，即數(shù)據(jù)存儲和簡單計(jì)算階段，出現(xiàn)于20世紀(jì)60年代32.1.2信息中心，即數(shù)據(jù)處理及業(yè)務(wù)應(yīng)用階段，出現(xiàn)于20世紀(jì)80年代42.1.3服務(wù)中心，即服務(wù)性數(shù)據(jù)中心階段，出現(xiàn)于21世紀(jì)初42.2數(shù)據(jù)中心運(yùn)維管理框架 42.2.1 人員 52.2.2 流程 52.2.3 產(chǎn)品 52.2.4 服務(wù)商 6三、三思網(wǎng)安作為服務(wù)商可提供的技術(shù)服務(wù) 63.1滲透測試服務(wù) 63.1.1 服務(wù)介紹 63.1.2 服務(wù)及價(jià)值 63.2信息安全咨詢與評估協(xié)助服務(wù) -73.2.1 服務(wù)介紹 73.2.2 服務(wù)及價(jià)值 73.3信息漏洞檢測服務(wù) 73.3.1 服務(wù)簡介及價(jià)值 73.4安全托管服務(wù) 83.4.1 服務(wù)簡介 83.4.2 服務(wù)及價(jià)值 83.4.3 增值服務(wù) 8四、數(shù)據(jù)中心引入安全服務(wù)帶來的價(jià)值 84.1增加收入來源； 94.2提高核心競爭力（更安全可靠）；91/9數(shù)據(jù)中心引入信息安全服務(wù)方案規(guī)劃近幾年來伴隨著互聯(lián)網(wǎng)、云計(jì)算的快速發(fā)展，虛擬化技術(shù)的成熟， IDC數(shù)據(jù)中心的數(shù)量、規(guī)模以及租戶數(shù)在不斷擴(kuò)大。 IDC數(shù)據(jù)中心主要是為互聯(lián)網(wǎng)內(nèi)容提供商、企事業(yè)單位提供服務(wù)器托管、空間租用、主機(jī)域名、企業(yè)郵箱等服務(wù)。隨著客戶業(yè)務(wù)不斷的向互聯(lián)網(wǎng)化發(fā)展， 保障租戶業(yè)務(wù)和數(shù)據(jù)安全方面的重要性不言而喻。當(dāng)前IDC數(shù)據(jù)中心面臨著多攻擊類型、多業(yè)務(wù)類型、多運(yùn)營模式帶來的安全挑戰(zhàn)及威脅，如何為租戶提供更好的安全增值服務(wù)已經(jīng)成為了 IDC服務(wù)提供商關(guān)注的焦點(diǎn)。一、國內(nèi)數(shù)據(jù)中心存在的問題現(xiàn)有數(shù)據(jù)中心存在的問題數(shù)據(jù)中心作為機(jī)構(gòu)信息系統(tǒng)的運(yùn)行中心、測試中心和災(zāi)備中心，承擔(dān)著機(jī)構(gòu)的核心業(yè)務(wù)運(yùn)營、信息資源服務(wù)、關(guān)鍵業(yè)務(wù)計(jì)算、數(shù)據(jù)存儲和備份，以及確保業(yè)務(wù)連續(xù)性等重要任務(wù)。機(jī)構(gòu)對數(shù)據(jù)中心的依賴性日漸加強(qiáng)，然而現(xiàn)實(shí)情況并不盡如人意，現(xiàn)有的數(shù)據(jù)中心普遍存在以下問題。1.1 數(shù)據(jù)中心的可靠性和可用性不足數(shù)據(jù)大集中在節(jié)約整體成本、提高IT效率的同時(shí)，也對數(shù)據(jù)中心的可靠性和可用性提出了更高的需求。如果核心數(shù)據(jù)中心發(fā)生癱瘓，將造成機(jī)構(gòu)的業(yè)務(wù)停頓，企業(yè)對數(shù)據(jù)中心基礎(chǔ)設(shè)施和運(yùn)行維護(hù)的要求更高。近幾年，包括銀行、保險(xiǎn)、證券、民航等行業(yè)相繼出現(xiàn)了一些數(shù)據(jù)中心故障，造成了很大的社會(huì)影響和經(jīng)濟(jì)損失，很多數(shù)據(jù)中心的可靠性和可用性令人擔(dān)憂。1.2 數(shù)據(jù)中心的可持續(xù)發(fā)展能力嚴(yán)重不足隨著IT技術(shù)的高速發(fā)展，新一代高密度服務(wù)器和存儲設(shè)備不斷涌現(xiàn)。伴隨著業(yè)務(wù)擴(kuò)展和信息化程度的提高，如今的數(shù)據(jù)中心已不再只是支持某些單一的應(yīng)用或是日常的數(shù)據(jù)存儲和計(jì)算功能，而是要為整個(gè)業(yè)務(wù)運(yùn)營系統(tǒng)的正常運(yùn)行提供支撐和服務(wù)。目前，大多數(shù)機(jī)構(gòu)數(shù)據(jù)中心無法做到資源的靈活分配，而在資源共享、提高設(shè)備利用率等方面也不能完全實(shí)現(xiàn)。2/91.3 數(shù)據(jù)中心的專業(yè)化運(yùn)維管理水平不高目前的數(shù)據(jù)中心與以往相比，規(guī)模更為龐大，結(jié)構(gòu)也更加復(fù)雜。傳統(tǒng)的數(shù)據(jù)中心運(yùn)維管理水平普遍較低、專業(yè)化程度不高，顯然已無法適應(yīng)機(jī)構(gòu)對數(shù)據(jù)中心合規(guī)性、可用性、經(jīng)濟(jì)性和服務(wù)性的要求，嚴(yán)重影響到數(shù)據(jù)中心的生命周期。1.4 數(shù)據(jù)中心的能耗成本居高不下目前，數(shù)據(jù)中心的能耗成本居高不下，并呈現(xiàn)急速上升之勢。造成這種局面的因素有很多，例如服務(wù)器的利用率不高，數(shù)據(jù)中心的供電系統(tǒng)設(shè)計(jì)不合理等。國內(nèi)不少數(shù)據(jù)中心的電力成本每年超過了千萬元。 2007年我國IT產(chǎn)品的總耗電約為300億~500億千瓦時(shí)，幾乎相當(dāng)于三峽電站一年的發(fā)電總量?！熬G色節(jié)能”已成為數(shù)據(jù)中心的主要訴求。1.5 數(shù)據(jù)中心的績效評估困難到目前為止，數(shù)據(jù)中心建設(shè)作為提升機(jī)構(gòu)核心競爭力的手段已被更多的企業(yè)決策者們所認(rèn)同，但是績效評估現(xiàn)狀多少有些令人沮喪。 少則千萬、多則上億元的資金投入并沒有在財(cái)務(wù)績效方面有顯著的改善和提升， 有些企業(yè)反而陷入了無休止的系統(tǒng)維護(hù)升級和資金被迫不斷投入的窘境之中。二、國內(nèi)數(shù)據(jù)中心的的發(fā)展歷程與運(yùn)維管理框架2.1數(shù)據(jù)中心發(fā)展歷程從業(yè)務(wù)功能上劃分，在數(shù)據(jù)中心基礎(chǔ)設(shè)施的基礎(chǔ)上，結(jié)合不同的應(yīng)用需求，具有數(shù)據(jù)處理、災(zāi)難備份、網(wǎng)絡(luò)服務(wù)、開發(fā)測試、用戶支持等功能。從數(shù)據(jù)中心功能變遷進(jìn)化的角度，數(shù)據(jù)中心經(jīng)歷了三種形態(tài)的發(fā)展， 即計(jì)算中心、信息中心和服務(wù)中心。2.1.1 計(jì)算中心，即數(shù)據(jù)存儲和簡單計(jì)算階段，出現(xiàn)于 20世紀(jì)60年代最初，數(shù)據(jù)中心通常被稱為計(jì)算中心， 在稱為“機(jī)房”的空間中放置一個(gè)或多個(gè)服務(wù)器，其主要功能是數(shù)據(jù)存儲 (或稱：數(shù)據(jù)存放)和簡單計(jì)算，存儲數(shù)據(jù)的介質(zhì)主要有磁鼓、磁帶和磁盤。其主要特點(diǎn)是：功能單一，僅僅用于數(shù)據(jù)或電子文檔的集中存放和管理。3/92.1.2 信息中心，即數(shù)據(jù)處理及業(yè)務(wù)應(yīng)用階段，出現(xiàn)于 20世紀(jì)80年代該階段數(shù)據(jù)中心大多被稱為 “信息中心”。其功能有了較大的擴(kuò)展，數(shù)據(jù)存儲能力大幅提高;基于網(wǎng)絡(luò)通信技術(shù)和數(shù)據(jù)開發(fā)利用技術(shù)的 MIS(管理信息系統(tǒng))、CallCenter(呼叫中心)、MRPⅡ(制造資源計(jì)劃管理系統(tǒng))、CRM(客戶關(guān)系管理系統(tǒng))、ERP(企業(yè)資源計(jì)劃管理系統(tǒng))等應(yīng)用系統(tǒng)開始普及，數(shù)據(jù)中心開始承擔(dān)核心計(jì)算、數(shù)據(jù)存儲備份和業(yè)務(wù)支撐等功能，以滿足機(jī)構(gòu)業(yè)務(wù)發(fā)展的需要。數(shù)據(jù)中心的可用性有較大的提高。在該階段，數(shù)據(jù)中心的重要性逐漸顯現(xiàn)，對某些行業(yè)(如金融行業(yè))而言，數(shù)據(jù)中心已成為必不可少的業(yè)務(wù)支撐平臺。2.1.3 服務(wù)中心，即服務(wù)性數(shù)據(jù)中心階段，出現(xiàn)于 21世紀(jì)初隨著信息化建設(shè)的不斷深入，機(jī)構(gòu)對信息系統(tǒng)和數(shù)據(jù)完整性的依賴程度越來越高。機(jī)構(gòu)對數(shù)據(jù)中心的可用性和服務(wù)性的要求更高， IT服務(wù)管理成為一種標(biāo)準(zhǔn)化的工作，并借助 IT技術(shù)實(shí)現(xiàn)集中的自動(dòng)化管理 ;同時(shí)IT績效成為IT服務(wù)管理工作的一部分，IT服務(wù)質(zhì)量成為關(guān)注重點(diǎn)。在這個(gè)階段，數(shù)據(jù)中心不僅是成本中心，更是機(jī)構(gòu)信息化的服務(wù)中心。該階段數(shù)據(jù)中心除承擔(dān)核心計(jì)算、數(shù)據(jù)存儲及備份外，開始承擔(dān)機(jī)構(gòu)的核心業(yè)務(wù)運(yùn)營支撐、信息資源服務(wù)及業(yè)務(wù)連續(xù)性管理等功能。2.2數(shù)據(jù)中心運(yùn)維管理框架所謂數(shù)據(jù)中心運(yùn)維管理框架是指管理一個(gè)數(shù)據(jù)中心所使用的方法與手段的總稱。那么，應(yīng)該用什么樣的方法與手段來管理數(shù)據(jù)中心呢 ?在此，信息技術(shù)基礎(chǔ)架構(gòu)庫(InformationTechnologyInfrastructureLibrary，ITIL)給出了一個(gè)比較好的管理框架，即所謂的 4Ps：4/92.2.1 人員數(shù)據(jù)中心所需要管理的對象，包括基礎(chǔ)設(shè)施、IT設(shè)備、系統(tǒng)與數(shù)據(jù)、管理工具和人員等。人員是數(shù)據(jù)中心運(yùn)維管理的基礎(chǔ)，也是數(shù)據(jù)中心運(yùn)維管理的核心。一個(gè)好的數(shù)據(jù)中心運(yùn)維管理框架，少不了合適的技術(shù)和管理人員。只有具備相應(yīng)知識背景與管理經(jīng)驗(yàn)的人，才能有效地整合上述資源，為客戶提供符合質(zhì)量與合同要求的IT服務(wù)。2.2.2 流程流程是數(shù)據(jù)中心運(yùn)維管理質(zhì)量的保證。作為客戶IT服務(wù)的物理載體，數(shù)據(jù)中心存在的目的就是保證服務(wù)可以按質(zhì)、按量地提供。服務(wù)與產(chǎn)品有著許多的不同，其中最核心的不同在于服務(wù)本身是看不見、摸不著的，但又是能通過服務(wù)商與客戶的互動(dòng)為客戶所感受到的。為確保最終提供給客戶的服務(wù)是符合服務(wù)合同的要求，數(shù)據(jù)中心需要把現(xiàn)在的管理工作抽象成不同的管理流程，并把流程之間的關(guān)系、流程的角色、流程的觸發(fā)點(diǎn)、流程的輸入與輸出等進(jìn)行詳細(xì)定義。2.2.3 產(chǎn)品產(chǎn)品是數(shù)據(jù)中心運(yùn)維管理的加速器。 數(shù)據(jù)中心運(yùn)維管理涉及的對象龐雜， 且重復(fù)性工作較多。若完全依靠人工去完成這些工作， 一方面對人員的技能與數(shù)量有較高的要求，另一方面在工作質(zhì)量的保證方面也存在風(fēng)險(xiǎn)。 為此，越來越多的數(shù)據(jù)中心在開展運(yùn)維管理工作時(shí)使用大量工具， 目的是通過這些工具的部署取代5/9一些監(jiān)控、操作、配置文件、工作流管理等大量重復(fù)性工作，最終實(shí)現(xiàn)提升運(yùn)維水平、降低運(yùn)維風(fēng)險(xiǎn)、減少運(yùn)維成本的目的。2.2.4 服務(wù)商服務(wù)商是數(shù)據(jù)中心運(yùn)維管理的支持者。作為專業(yè)化的數(shù)據(jù)中心運(yùn)維管理，有效地整合數(shù)據(jù)中心管理對象，并最終為用戶提供專業(yè)化的服務(wù)才是數(shù)據(jù)中心服務(wù)提供者的核心價(jià)值所在。而且，數(shù)據(jù)中心運(yùn)維管理中涉及了太多不同種類的設(shè)備，數(shù)據(jù)中心也不可能把所有的技術(shù)與管理工作獨(dú)自承擔(dān)。聘用一批既懂變壓器、發(fā)電機(jī)、UPS，又了解空調(diào)、消防、防火設(shè)備，同時(shí)還精通IT相關(guān)軟硬件的人員，對于任何一個(gè)企業(yè)或機(jī)構(gòu)均是極大的成本支出。所以，數(shù)據(jù)中心需要與許多設(shè)備供應(yīng)和服務(wù)提供商建立良好的戰(zhàn)略合作關(guān)系。三、三思網(wǎng)安作為服務(wù)商可提供的技術(shù)服務(wù)3.1滲透測試服務(wù)3.1.1 服務(wù)介紹PTS（PenetrationTestService）滲透測試服務(wù)是由三思公司的滲透測試專家(來自于CCERT安全實(shí)驗(yàn)室),模擬黑客的攻擊方法，對信息系統(tǒng)的安全現(xiàn)狀進(jìn)行評估的一種方法。滲透測試過程包括對系統(tǒng)的弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析,并通過對發(fā)現(xiàn)的漏洞進(jìn)行利用,從而達(dá)到測試目的。滲透測試根據(jù)發(fā)起的地點(diǎn)及方式不同,分為外部滲透測試EPTS（ExternalPenetrationTestService）和內(nèi)部滲透測試IPTS（InternalPenetrationTestService）。3.1.2 服務(wù)及價(jià)值外部滲透測試EPTS通過Internet發(fā)起，對客戶的Web站點(diǎn)，Mail服務(wù)器等可以通過Internet訪問的主機(jī)和設(shè)備進(jìn)行滲透。外部滲透測試可以測試當(dāng)前網(wǎng)絡(luò)防火墻及其它安全措施對站點(diǎn)的防護(hù)能力， 及時(shí)發(fā)現(xiàn)對外防御措施存在的漏洞或缺陷。內(nèi)部滲透測試 IPTS從客戶企業(yè)內(nèi)部網(wǎng)絡(luò)發(fā)起，對客戶的各種應(yīng)用系統(tǒng)和網(wǎng)絡(luò)設(shè)備進(jìn)行滲透。內(nèi)部滲透測試模擬黑客來自企業(yè)內(nèi)部或者黑客已經(jīng)控制個(gè)別內(nèi)6/9部主機(jī)的情況，可以測試客戶對內(nèi)部機(jī)密信息的保護(hù)能力及內(nèi)部網(wǎng)絡(luò)系統(tǒng)的防護(hù)能力。三思為客戶提供外部滲透測試EPTS服務(wù)和內(nèi)部滲透測試IPTS服務(wù),由三思經(jīng)驗(yàn)豐富的安全專家結(jié)合您的需求進(jìn)行滲透測試,提供滲透測試報(bào)告，并詳細(xì)解釋報(bào)告內(nèi)容，包括發(fā)現(xiàn)的風(fēng)險(xiǎn)點(diǎn)及需要采取的補(bǔ)救措施。在客戶修補(bǔ)完成后，進(jìn)行補(bǔ)充測試，確定所發(fā)現(xiàn)的漏洞已經(jīng)被修復(fù)。3.2信息安全咨詢與評估協(xié)助服務(wù) -3.2.1 服務(wù)介紹三思安全咨詢和評估專業(yè)專員通過問卷調(diào)查，現(xiàn)場訪談和現(xiàn)場檢查（包括設(shè)備抽樣進(jìn)行漏洞掃描和分析），形成專業(yè)的信息安全評估報(bào)告。該報(bào)告涵蓋了客戶在信息安全管理和技術(shù)方面的主要策略、流程和技術(shù)實(shí)現(xiàn)，分析當(dāng)前策略、流程和技術(shù)實(shí)現(xiàn)中存在的漏洞和面臨的風(fēng)險(xiǎn)，并對相關(guān)漏洞給出補(bǔ)救措施建議，對風(fēng)險(xiǎn)提出警示。3.2.2 服務(wù)及價(jià)值專業(yè)的信息安全風(fēng)險(xiǎn)評估有助于客戶了解當(dāng)前存在的信息安全管理缺陷及技術(shù)漏洞?？蛻艨梢砸罁?jù)相關(guān)建議采取適當(dāng)?shù)拇胧?，完成管理策略和流程，采取技術(shù)手段彌補(bǔ)相關(guān)漏洞，從而使企業(yè)面臨的信息安全風(fēng)險(xiǎn)降低，達(dá)到可以接受的水平。同時(shí)專業(yè)的信息安全風(fēng)險(xiǎn)評估也可以協(xié)助客戶通過相關(guān)認(rèn)證，比如ISO27001、PCI認(rèn)證等。3.3信息漏洞檢測服務(wù)3.3.1 服務(wù)簡介及價(jià)值PRHT（Periodicity RemoteHealthTest）先進(jìn)漏洞診斷系統(tǒng)是由三思公司自主研發(fā)的信息系統(tǒng)基礎(chǔ)設(shè)施安全檢測平臺。 PRHT結(jié)合最新的安全理念，為客戶提供檢查結(jié)果與解決方案緊密結(jié)合的檢測報(bào)告， 并提供全方位的網(wǎng)絡(luò)安全遠(yuǎn)程支持服務(wù)。PRHT系統(tǒng)以Web為基礎(chǔ)，簡單易用，其后臺是進(jìn)行弱點(diǎn)和漏洞分析的大型云計(jì)算安全分析平臺。該平臺通過遠(yuǎn)程對客戶系統(tǒng)進(jìn)行探測和分析， 檢查并報(bào)7/9告系統(tǒng)中存在的弱點(diǎn)和漏洞，為網(wǎng)絡(luò)和系統(tǒng)管理員采取補(bǔ)救措施及實(shí)施安全策略提供準(zhǔn)確的參考，從而最終達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。3.4安全托管服務(wù)3.4.1 服務(wù)簡介三思公司的信息系統(tǒng)專家組 (來自于 CCERT安全實(shí)驗(yàn)室)為廣大客戶提供MSS（ManagedSecurityServices）安全托管服務(wù)。三思專家對托管系統(tǒng)的安全配置與管理全面負(fù)責(zé)，為客戶提供可跟蹤管理的安全配置管理。 安全管理服務(wù)涵蓋客戶主要服務(wù)器系統(tǒng)、防火墻系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施（包括路由器和交換機(jī)），保障客戶的主要業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行，防止客戶的系統(tǒng)受到入侵或攻擊者損害。3.4.2 服務(wù)及價(jià)值一般的用戶IT系統(tǒng)都是由多種業(yè)務(wù)服務(wù)器（包括WEB服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器等）、網(wǎng)絡(luò)基礎(chǔ)設(shè)施（包括接入路由器、核心交換機(jī)等）、網(wǎng)絡(luò)安全設(shè)施（包括防病毒服務(wù)器、日志系統(tǒng)、入侵檢測或防護(hù)系統(tǒng)等） 組成。保障IT系統(tǒng)的安全運(yùn)行，保護(hù)企業(yè)和客戶的信息不被泄漏，就需要有專業(yè)的團(tuán)隊(duì)對 IT系統(tǒng)進(jìn)行周期性的安全評估檢測和配置檢測，每天對系統(tǒng)日志進(jìn)行分析和審核，這些繁重的任務(wù)不但需要花費(fèi)很多人力、 物力，也需要有專業(yè)知識的人員進(jìn)行分析。MSS安全托管服務(wù)提供給客戶完全放心的安全服務(wù)，無論是客戶的主要業(yè)務(wù)服務(wù)器還是主要網(wǎng)絡(luò)設(shè)備，三思都可以提供安全性配置管理服務(wù)。用戶不用擔(dān)心系統(tǒng)漏洞無人管理，安全配置太過復(fù)雜，一切由三思的安全專家為您解決?？蛻糁恍枰獙Ｗ⒂跇I(yè)務(wù)應(yīng)用。3.4.3 增值服務(wù)購買MSS的客戶不僅可以享受到全年安全配置服務(wù)，全年的電話和郵件支持，還可以參加客戶增值服務(wù)計(jì)劃。增值服務(wù)包括一次免費(fèi)的網(wǎng)站掛馬檢測，每年周期性的漏洞檢測。四、數(shù)據(jù)中心引入安全服務(wù)帶來的價(jià)值8/94.1增加收入來源；隨著項(xiàng)目推進(jìn)再具體確認(rèn)：具體合作模式的敲定，需要先建立在雙方合作基礎(chǔ)深度認(rèn)同上。有過數(shù)次合作的愉快嘗試，雙方才能彼此信賴、利益依存。4.2提高核心競爭力（更安全可靠）；