大數(shù)據(jù)和云計(jì)算環(huán)境下網(wǎng)絡(luò)安全分析與解決方案研究

0引言當(dāng)前，新一代信息技術(shù)的高速發(fā)展已將社會(huì)推入了“大云智物”（大數(shù)據(jù)、云計(jì)算、人工智能、物聯(lián)網(wǎng)）時(shí)代。大數(shù)據(jù)分析、數(shù)據(jù)挖掘、云平臺(tái)、智能網(wǎng)聯(lián)汽車、移動(dòng)支付、人臉支付等高新技術(shù)正重塑全球經(jīng)濟(jì)競(jìng)爭(zhēng)格局，改變著我們的生活方式。但隨著這些技術(shù)的拓展應(yīng)用，信息泄密、病毒勒索、黑客攻擊等網(wǎng)絡(luò)安全問(wèn)題也日顯突出，嚴(yán)重威脅著個(gè)人安全甚至國(guó)家安全。如何保證大數(shù)據(jù)和云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全，成為亟需解決的問(wèn)題。1當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀和面臨威脅1.1網(wǎng)絡(luò)安全現(xiàn)狀近年來(lái)，信息泄密、惡意病毒勒索、社會(huì)工程學(xué)攻擊（電信詐騙）、互聯(lián)網(wǎng)暴力等事件頻發(fā)，全球網(wǎng)絡(luò)攻防對(duì)抗的強(qiáng)度、頻率、規(guī)模和影響力不斷升級(jí)，攻擊對(duì)象逐步從公共互聯(lián)網(wǎng)向工業(yè)互聯(lián)網(wǎng)轉(zhuǎn)移，國(guó)家網(wǎng)絡(luò)空間安全和利益面臨更深層次挑戰(zhàn)。國(guó)內(nèi)多家企業(yè)遭受工業(yè)主機(jī)勒索病毒攻擊，涉及汽車生產(chǎn)、智能制造、能源電力、煙草等行業(yè)幾十余家企業(yè)，大多數(shù)都導(dǎo)致了工業(yè)主機(jī)藍(lán)屏，文件加密，生產(chǎn)停工，損失嚴(yán)重。中國(guó)政府和企業(yè)圍繞網(wǎng)絡(luò)安全需求，正從健全制度機(jī)制、建設(shè)技術(shù)手段、促進(jìn)產(chǎn)業(yè)發(fā)展、強(qiáng)化人才培育等諸多方面，構(gòu)建網(wǎng)絡(luò)安全綜合防護(hù)體系。1.2網(wǎng)絡(luò)安全面臨威脅1.2.1自然災(zāi)害自然災(zāi)害引起的網(wǎng)絡(luò)安全威脅發(fā)生概率相對(duì)較小。當(dāng)發(fā)生自然災(zāi)害時(shí)，會(huì)造成網(wǎng)絡(luò)設(shè)備的損壞、通訊線路中斷、數(shù)據(jù)丟失等，對(duì)公民、企業(yè)、政府的財(cái)產(chǎn)安全造成威脅，產(chǎn)生損失。應(yīng)對(duì)此種威脅，首先網(wǎng)絡(luò)設(shè)備機(jī)房的選址應(yīng)當(dāng)避免事故多發(fā)地段，做好物理安全防護(hù)工作；其次還要做好數(shù)據(jù)資源的異地備份、定時(shí)定期備份等相關(guān)備份工作，當(dāng)災(zāi)害發(fā)生后，仍能實(shí)現(xiàn)災(zāi)后重建工作。1.2.2病毒攻擊木馬病毒、蠕蟲(chóng)病毒、宏病毒等病毒攻擊造成的網(wǎng)絡(luò)安全威脅較為常見(jiàn)。木馬病毒是一種潛伏式病毒，它會(huì)篡改程序的部分內(nèi)容，隱藏在程序、瀏覽器中，當(dāng)啟動(dòng)程序后也會(huì)激活木馬向后門(mén)IP主機(jī)發(fā)送竊取的信息，造成用戶信息泄密，從而導(dǎo)致財(cái)產(chǎn)損失，但它不具有感染性；蠕蟲(chóng)病毒是一種能夠自我繁殖的病毒，它會(huì)將自己分割成幾部分存儲(chǔ)在不同的文件夾下，難以把它銷毀清除，它通過(guò)破壞系統(tǒng)層面的代碼來(lái)引發(fā)系統(tǒng)崩潰、宕機(jī)等；宏病毒是一種寄存在文檔或模板宏中的計(jì)算機(jī)病毒，具有隱蔽性強(qiáng)、傳播迅速、危害嚴(yán)重等特點(diǎn)。近年來(lái)，很多病毒發(fā)生異變，綜合了不同病毒的特點(diǎn)，變得潛伏更深、能夠自我繁殖、很難完全清除，同樣危害性也變得更大。1.2.3黑客入侵病毒攻擊屬于被動(dòng)攻擊，而黑客入侵則是主動(dòng)攻擊。一些常見(jiàn)的攻擊方式如下：不法分子利用互聯(lián)網(wǎng)TCP/IP傳輸協(xié)議的漏洞，通過(guò)控制大量IP地址，向目標(biāo)提出大量訪問(wèn)請(qǐng)求，而目標(biāo)無(wú)法及時(shí)處理，造成系統(tǒng)延遲無(wú)法反饋，產(chǎn)生拒絕服務(wù)攻擊；通過(guò)遠(yuǎn)程控制或跳板控制計(jì)算機(jī)、其他設(shè)備等嗅探、竊聽(tīng)用戶隱私或機(jī)密文件等，造成財(cái)產(chǎn)、隱私權(quán)等遭到侵犯，產(chǎn)生嗅探攻擊；偽造重要門(mén)戶網(wǎng)站如銀行、企業(yè)、政府網(wǎng)站，竊取用戶登錄密碼和驗(yàn)證碼，迅速轉(zhuǎn)賬或入侵?jǐn)?shù)據(jù)庫(kù)，造成財(cái)產(chǎn)損失，產(chǎn)生釣魚(yú)攻擊；此外，還有跨站腳本攻擊、社會(huì)工程學(xué)攻擊、惡意程序等攻擊手段。1.2.4安全漏洞不法分子也常利用現(xiàn)階段系統(tǒng)和程序遺留的安全漏洞，嵌入病毒進(jìn)行攻擊以牟取暴利?，F(xiàn)在主流的操作系統(tǒng)Windows、Linuxs中仍含有安全漏洞，如從2018年8月起流行的比特幣勒索病毒就是利用Windows系統(tǒng)的漏洞進(jìn)行病毒傳播和實(shí)現(xiàn)攻擊，通過(guò)漏洞對(duì)計(jì)算機(jī)進(jìn)行攻破后加密，以存在其中的重要資料要挾勒索比特幣，在國(guó)際國(guó)內(nèi)都造成了巨大的影響和損失。現(xiàn)在很多智能物聯(lián)設(shè)備都是基于Linuxs系統(tǒng)編寫(xiě)的程序，一些安全團(tuán)隊(duì)已經(jīng)實(shí)現(xiàn)了通過(guò)編寫(xiě)模型欺騙智能汽車的駕駛系統(tǒng)，使得智能汽車在導(dǎo)航地圖上“隱身”或者篡改接受到的紅綠燈等指示信息、加減速等關(guān)鍵操作信息，造成安全隱患。1.3網(wǎng)絡(luò)安全面臨威脅應(yīng)對(duì)策略當(dāng)前應(yīng)對(duì)網(wǎng)絡(luò)安全威脅有兩種常見(jiàn)技術(shù)：訪問(wèn)控制和身份認(rèn)證。將存儲(chǔ)信息的地方比作一間間房子，訪問(wèn)控制就是在這一間間房子門(mén)上加一把鎖，確保有權(quán)限訪問(wèn)的人才能進(jìn)入房間訪問(wèn)，即只有擁有對(duì)應(yīng)權(quán)限才能進(jìn)行相應(yīng)訪問(wèn)，這就是訪問(wèn)控制技術(shù)，主要有強(qiáng)制訪問(wèn)控制、基于角色的訪問(wèn)控制、自主訪問(wèn)控制等訪問(wèn)控制策略；身份認(rèn)證技術(shù)則是確保進(jìn)入房間的人是正確的人，主要認(rèn)證技術(shù)包括：（1）基于信息密碼的身份認(rèn)證，如靜態(tài)密碼、口令認(rèn)證等；（2）基于信任物體的身份認(rèn)證，如ID卡、智能一卡通等；（3）基于生物特征的身份認(rèn)證，如人臉識(shí)別、指紋認(rèn)證、虹膜識(shí)別等。2數(shù)據(jù)中心網(wǎng)絡(luò)安全解決方案在大數(shù)據(jù)和云計(jì)算環(huán)境中，數(shù)據(jù)中心是樞紐和核心，承擔(dān)著數(shù)據(jù)搜集、匯聚、存儲(chǔ)、處理、展示、交易等職責(zé)，既面臨來(lái)自互聯(lián)網(wǎng)的外部威脅，又與工業(yè)生產(chǎn)等內(nèi)部安全問(wèn)題相互交織，屬于融合發(fā)展網(wǎng)絡(luò)安全新威脅。其安全問(wèn)題可概括為三個(gè)層次：一是安全問(wèn)題爆發(fā)造成工業(yè)企業(yè)內(nèi)部功能或服務(wù)中斷、信息泄露等，進(jìn)而衍生安全生產(chǎn)事故等重大安全問(wèn)題；二是如果數(shù)據(jù)泄露等安全事件在航空航天、石油化工、能源軍工等重要領(lǐng)域爆發(fā)，會(huì)嚴(yán)重影響國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全；三是以上兩個(gè)層次安全問(wèn)題交織演進(jìn)，會(huì)嚴(yán)重影響企業(yè)的安全生產(chǎn)和安全運(yùn)營(yíng)，多行業(yè)、多領(lǐng)域安全問(wèn)題爆發(fā)進(jìn)而會(huì)干擾國(guó)民經(jīng)濟(jì)的運(yùn)行，影響國(guó)計(jì)民生和公共利益，危害國(guó)家安全。2.1數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)基本思路根據(jù)國(guó)家標(biāo)準(zhǔn)要求，數(shù)據(jù)中心安全技術(shù)體系架構(gòu)應(yīng)包含物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)等層面，如圖1所示。圖1數(shù)據(jù)中心安全技術(shù)體系架構(gòu)從網(wǎng)絡(luò)層面來(lái)看，需要進(jìn)行分域防護(hù)、邊界防護(hù)、訪問(wèn)控制、入侵防范、安全審計(jì)等，同時(shí)隨著新一代信息技術(shù)及未來(lái)業(yè)務(wù)的不斷發(fā)展，應(yīng)完成對(duì)其邊界的安全防護(hù)設(shè)計(jì)。根據(jù)數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)的安全等級(jí)及所在的網(wǎng)絡(luò)結(jié)構(gòu)情況，將數(shù)據(jù)中心網(wǎng)絡(luò)整體劃分為六大安全域，分別是數(shù)據(jù)中心核心區(qū)、數(shù)據(jù)中心互聯(lián)區(qū)、生產(chǎn)業(yè)務(wù)區(qū)、互聯(lián)網(wǎng)服務(wù)區(qū)、辦公網(wǎng)接入?yún)^(qū)和運(yùn)維管理區(qū)。根據(jù)對(duì)上述安全區(qū)域劃分情況，數(shù)據(jù)中心內(nèi)部安全防護(hù)建設(shè)應(yīng)制定邊界訪問(wèn)控制、網(wǎng)絡(luò)通信監(jiān)控及集中安全管理策略，通過(guò)部署技術(shù)措施將策略加以落實(shí)，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)目煽?、可審?jì)。2.2數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)策略數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)建設(shè)，依據(jù)核心業(yè)務(wù)系統(tǒng)的訪問(wèn)關(guān)系，考慮訪問(wèn)人員、應(yīng)用、組件和數(shù)據(jù)庫(kù)之間的數(shù)據(jù)流向，以制定安全防護(hù)策略，確定系統(tǒng)部署位置及安全等級(jí)，劃分安全域，并部署訪問(wèn)控制、協(xié)議過(guò)濾、入侵檢測(cè)、安全審計(jì)等安全防護(hù)措施：（1）將不同安全保護(hù)級(jí)別的業(yè)務(wù)系統(tǒng)分別部署在相應(yīng)等級(jí)安全區(qū)域內(nèi)。（2）在數(shù)據(jù)中心各區(qū)域間邊界，采用訪問(wèn)控制措施實(shí)施區(qū)域邊界保護(hù)，確保只允許指定業(yè)務(wù)應(yīng)用和管理數(shù)據(jù)流通過(guò)。（3）在數(shù)據(jù)中心核心區(qū)邊界，部署入侵檢測(cè)系統(tǒng)并制定適當(dāng)?shù)牟呗赃M(jìn)行入侵行為監(jiān)測(cè)。（4）在數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)區(qū)數(shù)據(jù)交互處，部署安全審計(jì)設(shè)備，對(duì)非法或未授權(quán)的行為進(jìn)行監(jiān)控審計(jì)。（5）在數(shù)據(jù)中心管理區(qū)，部署安全設(shè)備管理系統(tǒng)，對(duì)設(shè)備登錄、設(shè)備運(yùn)行狀態(tài)、安全設(shè)備策略下發(fā)進(jìn)行統(tǒng)一管理。（6）按照各自區(qū)域的安全級(jí)別保護(hù)要求對(duì)部署在其中的主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、信息系統(tǒng)、數(shù)據(jù)進(jìn)行安全保護(hù)。（7）對(duì)訪問(wèn)網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份認(rèn)證，確保只有授權(quán)的網(wǎng)絡(luò)管理員可以進(jìn)行配置管理。設(shè)置訪問(wèn)控制列表，限制網(wǎng)絡(luò)設(shè)備的可訪問(wèn)人員。（8）增加除口令以外的其他技術(shù)措施，采用數(shù)字證書(shū)等加強(qiáng)對(duì)管理員的身份認(rèn)證，實(shí)現(xiàn)雙因素認(rèn)證。（9）及時(shí)備份安全、網(wǎng)絡(luò)設(shè)備的配置數(shù)據(jù)，保證配置數(shù)據(jù)的安全。2.3數(shù)據(jù)中心網(wǎng)絡(luò)安全部署2.3.1總體網(wǎng)絡(luò)安全物理架構(gòu)設(shè)計(jì)數(shù)據(jù)中心安全技術(shù)防護(hù)體系從外到內(nèi)構(gòu)成縱深防御的體系，按照等級(jí)保護(hù)對(duì)網(wǎng)絡(luò)防護(hù)的要求，數(shù)據(jù)中心內(nèi)部安全防護(hù)建設(shè)，根據(jù)信息系統(tǒng)安全等級(jí)進(jìn)行分區(qū)，制定分區(qū)數(shù)據(jù)互訪安全防護(hù)策略，其總體網(wǎng)絡(luò)安全物理架構(gòu)如圖2所示。圖2總體網(wǎng)絡(luò)安全物理架構(gòu)數(shù)據(jù)中心核心區(qū)、數(shù)據(jù)中心互聯(lián)區(qū)、生產(chǎn)業(yè)務(wù)區(qū)、互聯(lián)網(wǎng)服務(wù)區(qū)、辦公網(wǎng)接入?yún)^(qū)和運(yùn)維管理區(qū)等六種不同業(yè)務(wù)接入?yún)^(qū)之間采取以下安全策略：（1）根據(jù)MAC地址、IP地址、端口、協(xié)議類型、訪問(wèn)時(shí)間等內(nèi)容，對(duì)全網(wǎng)用戶的訪問(wèn)請(qǐng)求和數(shù)據(jù)進(jìn)行包過(guò)濾。根據(jù)防火墻規(guī)則，凡是沒(méi)有明確允許的訪問(wèn)請(qǐng)求，全部禁止。（2）各不同區(qū)域防火墻設(shè)備以網(wǎng)關(guān)方式部署，通過(guò)配置網(wǎng)絡(luò)設(shè)備的策略路由，將訪問(wèn)請(qǐng)求發(fā)送到防火墻設(shè)備，由防火墻設(shè)備對(duì)跨域訪問(wèn)行為進(jìn)行訪問(wèn)控制。（3）對(duì)于經(jīng)過(guò)防火墻外出的數(shù)據(jù)包，首先提取訪問(wèn)源和目的的安全標(biāo)記，然后根據(jù)安全標(biāo)記判斷本次訪問(wèn)是否符合防火墻強(qiáng)制訪問(wèn)控制規(guī)則。如果不符合，丟棄數(shù)據(jù)包；如果符合，則進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換后發(fā)送。（4）對(duì)于經(jīng)過(guò)防火墻進(jìn)入的數(shù)據(jù)包，首先提取訪問(wèn)源和目的的安全標(biāo)記。對(duì)于遠(yuǎn)程接入用戶，根據(jù)用戶安全標(biāo)記來(lái)判斷是否符合接入控制規(guī)則。如果不符合，丟棄數(shù)據(jù)包；如果符合，則按照源和目的安全標(biāo)記的強(qiáng)制訪問(wèn)控制規(guī)則進(jìn)行判斷，如果匹配規(guī)則，判斷是否需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換，如果不需要，直接進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。（5）在互聯(lián)網(wǎng)區(qū)域通過(guò)流量鏡像方式將進(jìn)出網(wǎng)絡(luò)的所有數(shù)據(jù)流量鏡像到入侵檢測(cè)設(shè)備。入侵檢測(cè)設(shè)備配置數(shù)據(jù)分析與威脅檢測(cè)規(guī)則，對(duì)數(shù)據(jù)中可能包含的惡意掃描、漏洞溢出攻擊、弱口令猜測(cè)、暴力破解攻擊、拒絕服務(wù)攻擊等惡意行為進(jìn)行檢測(cè)。發(fā)現(xiàn)攻擊行為后，自動(dòng)產(chǎn)生告警信息，記錄攻擊來(lái)源地址、攻擊目的地址、網(wǎng)絡(luò)協(xié)議、使用的源端口、受攻擊的目的端口、攻擊發(fā)起時(shí)間、攻擊結(jié)束時(shí)間、攻擊發(fā)生的次數(shù)、攻擊類別、嚴(yán)重級(jí)別、利用的漏洞名稱、問(wèn)題解決建議等信息。2.3.1.1數(shù)據(jù)中心核心區(qū)架構(gòu)設(shè)計(jì)建設(shè)數(shù)據(jù)中心核心區(qū)的數(shù)據(jù)交換區(qū)域，為各區(qū)域訪問(wèn)數(shù)據(jù)提供橫向及縱向的高速轉(zhuǎn)發(fā)，圖3為數(shù)據(jù)中心核心數(shù)據(jù)交換圖。圖3數(shù)據(jù)中心核心數(shù)據(jù)交換數(shù)據(jù)中心核心區(qū)建設(shè)方案如下：（1）通過(guò)部署兩臺(tái)高性能數(shù)據(jù)中心級(jí)高速轉(zhuǎn)發(fā)交換機(jī)設(shè)備，提供整個(gè)數(shù)據(jù)中心企業(yè)五個(gè)區(qū)域的數(shù)據(jù)互訪轉(zhuǎn)發(fā)，實(shí)現(xiàn)整網(wǎng)數(shù)據(jù)的上通下達(dá)。（2）在數(shù)據(jù)中心核心交換機(jī)上旁掛漏掃設(shè)備，作為數(shù)據(jù)中心內(nèi)部主要安全掃描平臺(tái)，負(fù)責(zé)針對(duì)多個(gè)子網(wǎng)內(nèi)的各類型終端所采用的操作系統(tǒng)進(jìn)行安全漏洞掃描和審計(jì)。2.3.1.2數(shù)據(jù)中心互聯(lián)區(qū)安全防護(hù)設(shè)計(jì)在數(shù)據(jù)中心互聯(lián)區(qū)的廣域網(wǎng)邊界部署防火墻、流量控制等設(shè)備，制定安全策略，保障通過(guò)運(yùn)營(yíng)商SDH專線接入的分支機(jī)構(gòu)對(duì)數(shù)據(jù)中心訪問(wèn)的安全性以及重點(diǎn)業(yè)務(wù)的帶寬，同時(shí)實(shí)現(xiàn)分支機(jī)構(gòu)接入和異地區(qū)域中心的互聯(lián)。圖4數(shù)據(jù)中心互聯(lián)區(qū)安全防護(hù)架構(gòu)數(shù)據(jù)中心互聯(lián)區(qū)安全防護(hù)架構(gòu)如圖4所示，具體安全防護(hù)方案為：（1）通過(guò)邊界路由設(shè)備對(duì)異地?cái)?shù)據(jù)中心進(jìn)行SDH專線鏈路連接，實(shí)現(xiàn)兩地?cái)?shù)據(jù)中心業(yè)務(wù)互訪和數(shù)據(jù)備份。（2）通過(guò)邊界路由設(shè)備對(duì)國(guó)內(nèi)其他城市分支機(jī)構(gòu)進(jìn)行SDH專線鏈路連接，實(shí)現(xiàn)分支機(jī)構(gòu)訪問(wèn)內(nèi)網(wǎng)需求。（3）通過(guò)流量控制將帶寬較小的SDH鏈路承載的數(shù)據(jù)進(jìn)行可視化呈現(xiàn)，并進(jìn)一步根據(jù)數(shù)據(jù)業(yè)務(wù)重要級(jí)別進(jìn)行流量控制策略定制，保障重要數(shù)據(jù)穩(wěn)定傳輸。（4）防火墻以路由模式接入，串聯(lián)部署至廣域網(wǎng)邊界與數(shù)據(jù)中心交換機(jī)之間，采用訪問(wèn)控制及協(xié)議過(guò)濾等技術(shù)手段，確保進(jìn)出數(shù)據(jù)中心邊界流量的安全。（5）雙機(jī)防火墻開(kāi)通會(huì)話同步，避免異步流量導(dǎo)致業(yè)務(wù)中斷的問(wèn)題。2.3.1.3數(shù)據(jù)中心生產(chǎn)業(yè)務(wù)區(qū)安全防護(hù)設(shè)計(jì)為了防止內(nèi)網(wǎng)用戶在使用網(wǎng)絡(luò)資源時(shí)的不合規(guī)使用或惡意破壞等行為，同時(shí)對(duì)業(yè)務(wù)系統(tǒng)相互之間的訪問(wèn)能力加以限制，數(shù)據(jù)中心生產(chǎn)業(yè)務(wù)區(qū)具體安全防護(hù)方案為：（1）防火墻設(shè)備提供全網(wǎng)用戶及設(shè)備對(duì)生產(chǎn)業(yè)務(wù)區(qū)域訪問(wèn)防護(hù)。（2）對(duì)各業(yè)務(wù)進(jìn)行業(yè)務(wù)劃分，區(qū)分不同業(yè)務(wù)。（3）將各業(yè)務(wù)進(jìn)行系統(tǒng)梳理，對(duì)各業(yè)務(wù)之間有訪問(wèn)需求的相關(guān)業(yè)務(wù)進(jìn)行策略定制，限制互訪。（4）對(duì)各分公司進(jìn)行訪問(wèn)策略劃分，對(duì)無(wú)業(yè)務(wù)往來(lái)和數(shù)據(jù)訪問(wèn)的公司進(jìn)行策略隔離。2.3.1.4數(shù)據(jù)中心互聯(lián)網(wǎng)服務(wù)區(qū)安全防護(hù)設(shè)計(jì)針對(duì)互聯(lián)網(wǎng)邊界接入?yún)^(qū)的威脅，采用的防護(hù)手段包括對(duì)外部攻擊的訪問(wèn)控制、對(duì)授權(quán)用戶的接入管理、實(shí)施入侵檢測(cè)和惡意代碼的防護(hù)，考慮網(wǎng)絡(luò)安全威脅的發(fā)展趨勢(shì)，數(shù)據(jù)中心所有業(yè)務(wù)模塊使用專業(yè)設(shè)備，提供安全的、靈活的安全操作。圖5數(shù)據(jù)中心互聯(lián)網(wǎng)服務(wù)區(qū)安全防護(hù)架構(gòu)數(shù)據(jù)中心互聯(lián)網(wǎng)服務(wù)區(qū)安全防護(hù)架構(gòu)如圖5所示，具體安全防護(hù)方案為：（1）部署防DDoS設(shè)備對(duì)內(nèi)網(wǎng)進(jìn)行有效的DDoS防護(hù)。（2）通過(guò)負(fù)載均衡設(shè)備實(shí)現(xiàn)內(nèi)網(wǎng)局域網(wǎng)用戶訪問(wèn)互聯(lián)網(wǎng)資源的分流和負(fù)載，避免因內(nèi)網(wǎng)流量過(guò)大導(dǎo)致DMZ區(qū)域提供的外網(wǎng)服務(wù)不能訪問(wèn)。（3）在負(fù)載均衡設(shè)備上旁路部署IPS，用于檢測(cè)來(lái)自互聯(lián)網(wǎng)的攻擊。IPS既進(jìn)行入侵檢測(cè)，又進(jìn)行記錄及告警，避免誤阻斷導(dǎo)致的業(yè)務(wù)訪問(wèn)中斷。（4）互聯(lián)網(wǎng)外側(cè)防火墻部署在外網(wǎng)門(mén)戶區(qū)，按照安全等級(jí)，將園區(qū)網(wǎng)、DMZ服務(wù)器區(qū)和互聯(lián)網(wǎng)劃分進(jìn)不同的安全區(qū)域，控制不同安全區(qū)域之間的訪問(wèn)流量，保證園區(qū)和DMZ服務(wù)器區(qū)域的安全。（5）防火墻1串行接入，雙機(jī)熱備部署，增強(qiáng)抗攻擊能力，對(duì)外網(wǎng)進(jìn)行第一層隔離。（6）在DMZ服務(wù)器區(qū)部署WAF防火墻，串行在整個(gè)DMZ區(qū)域的主干鏈路上，對(duì)訪問(wèn)DMZ區(qū)域中WEB應(yīng)用服務(wù)器的流量進(jìn)行監(jiān)控和審計(jì)，用于針對(duì)園區(qū)內(nèi)設(shè)置的網(wǎng)站服務(wù)器系統(tǒng)所面臨的互聯(lián)網(wǎng)安全威脅，防范來(lái)自互聯(lián)網(wǎng)的網(wǎng)站W(wǎng)EB應(yīng)用類攻擊。（7）由于網(wǎng)絡(luò)威脅和入侵90%以上均來(lái)自互聯(lián)網(wǎng)威脅，異構(gòu)防火墻2串行接入，對(duì)外網(wǎng)進(jìn)行第二層隔離，提高安全性，雙機(jī)熱備部署，提升抗攻擊能力強(qiáng)，同時(shí)將互聯(lián)網(wǎng)DMZ與核心區(qū)隔離。2.3.1.5數(shù)據(jù)中心辦公網(wǎng)接入?yún)^(qū)安全防護(hù)設(shè)計(jì)由于用戶主要分布在數(shù)據(jù)中心辦公網(wǎng)接入?yún)^(qū)，該區(qū)域是整網(wǎng)中數(shù)據(jù)訪問(wèn)發(fā)起的最大源頭，同時(shí)也是內(nèi)網(wǎng)中信息安全事件最高發(fā)的區(qū)域。進(jìn)行合理的安全訪問(wèn)控制策略和安全審計(jì)部署能夠有效的應(yīng)對(duì)內(nèi)網(wǎng)威脅和減輕核心區(qū)域的無(wú)效數(shù)據(jù)流量對(duì)網(wǎng)絡(luò)資源的浪費(fèi)。圖6數(shù)據(jù)中心辦公網(wǎng)接入?yún)^(qū)安全防護(hù)架構(gòu)數(shù)據(jù)中心辦公網(wǎng)接入?yún)^(qū)安全防護(hù)架構(gòu)如圖6所示，具體安全防護(hù)方案為：（1）防火墻串行接入在辦公區(qū)域出口，對(duì)用戶權(quán)限進(jìn)行按組合理劃分，制定相應(yīng)訪問(wèn)策略。（2）結(jié)合現(xiàn)有DLP終端內(nèi)容審計(jì)系統(tǒng)，對(duì)辦公區(qū)用戶進(jìn)行內(nèi)容審計(jì)，實(shí)現(xiàn)從終