论文部分内容阅读
随着信息技术和互联网的快速发展,数据中心近年来也发生非常大的变革,解决方案更加优秀,数据处理效率更高。但是,面对信息技术、数据处理技术和通信技术的日新月异,数据中心也面临着许多挑战,其中威胁数据本源的安全防护危机尤为明显。
管理任务之变:需求增加导致设备管理任务增加
随着用户需求的不断变化,数据中心承载着越来越重的任务量,无论是计算还是存储或者网络资源,其规模相比以往急剧扩大,而这也使得其他一些配套设备发生了相应的增长,以满足应用的需求。
CPU计算能力的提高、硬盘存储容量的增加,以及刀片服务器和高密度存储的发展,都无法满足如同洪水猛兽般汹涌而至的数据处理需求。因此,人们不得不将包括计算、存储、网络、供电和散热等在内的部件累积起来,组成更大规模的数据中心。
安全技术之变:必须不断适应新型IT
未来,所有的公司都将成为IT公司。这个观点可能稍有些偏激,不过从另一个角度来看,这说明无论工作还是生活都已经离不开IT。
云计算、虚拟化、大数据,近两年来频繁冒出的新技术,无一不是为由IT所承载的业务服务的。当这些新的技术到来之时,安全技术要与之匹配发展,以适应新环境、新技术下的安全需求。
从长远到本源:数据加密或是最根本的防护
受限于10年前IT的发展水平,很多人都没有意识到数据中心在“量”和“质”方面的变化,以至于很多组织和机构都不得不在新一轮的IT采购周期中花费大量的时间和金钱,购买新产品,以替换旧设备。这样的事情每时每刻都在发生。
由于信息技术的发展,数据本身受到来自多方面的威胁。作为数据中心主要的服务对象,数据的保护是十分重要,并且需要长远计划的。但是面对变化和不断更新的威胁,正面对抗似乎收效甚微,最好的选择是本源的防护,即做到保护数据本源的同时,又能灵活应对各种安全环境的需求。而符合这种要求的安全技术就要属加密技术了。数据中心的管理人员需要在不影响新的数据中心环境所带来的性能和功能的前提下,确保数据中心的安全运营。
安全威胁攻击的首要目标是数据中心
许多现代的网络犯罪活动是专门以数据中心为攻击目标而设计的,因为这些数据中心都托管和处理着海量的、高价值的数据信息,包括个人客户数据资料、财务信息和企业知识产权等。因此,确保数据中心的安全运营是一项挑战。非对称的业务流量、定制化的应用程序、需要被路由到计算层之外并达到数据中心周边的高流量数据、跨多个Hypervisor的虚拟化应用,以及地理上分散的数据中心等,增加了数据中心安全运营的难度,其结果可能是,在安全方案覆盖范围方面存在空白,可能对数据中心性能造成严重影响。人们不得不牺牲数据中心的功能,以适应安全的限制,采用复杂的安全解决方案,削弱了数据中心根据实际业务需求而动态地配置资源的能力等。
思科预测,到2017年,全球76%的数据中心流量将保留在数据中心内,而这些流量都是在虚拟环境中由存储系统、生产系统和开发环境所生成的。早在2015年3月底,市场调研机构Gartner公司就曾经预测,数据中心的连接每秒增加3000%。
现代数据中心为企业提供了大量的应用程序、服务和解决方案。许多企业和组织都要依赖分散在各个不同地理位置的数据中心所部署的服务,以支持它们不断增长的云计算和流量需求。企业还需要制定新的更有效的战略,比如大数据分析和业务连续性管理,使数据中心成为企业的一个更为关键的部分。但是,这也使得数据中心的资源成了恶意攻击者攻击的主要目标。这意味着数据中心的安全团队实施数据中心的监控和保护将变得更加困难。
信息安全已经上升到国家战略层面,亟须加大安全投入
网络空间已成为国家继陆、海、空、天四个疆域之后的第五疆域,与其他疆域一样,网络空间也须体现国家主权,而保障网络空间安全就是保障国家主权。
自2013年“斯诺登”事件爆发以后,国际社会又相继爆发了土耳其泄密事件、巴拿马文件泄密事件等震惊海内外的重大安全事故,网络攻击手段不断推陈出新、网络攻击技术不断升级发展。随着中央网络安全和信息化领导小组的成立,信息安全已经上升到国家战略层面,国家对网络信息安全的重视上升到了新的高度。但是目前,我国网络安全产业的整体规模和投入与欧美发达国家相比,差距巨大,必须奋起直追。
Gartner公司2015年发布的数据显示,2015年全年,全球信息安全支出达833.78亿美元,其中北美地区339.38亿美元,西欧地区225.14亿美元,大中华区只有32.15亿美元,与经济体量明显不相称,仅为美国的9%。IDC的数据显示,我国信息安全投入占IT投入的比重为1%~2%,而同期北美和欧洲的企业对信息安全的投入占IT支出比重达到8%~14%。信息安全投入上的严重不足,导致我国自主研发的信息安全技术和设备难以快速转化为成果,应用于实践,从而使我国网络安全面临巨大隐患。
大数据、智慧城市的发展导致数据量爆发式增长
社会信息化和网络化的发展导致数据爆炸式增长,同时科学计算、医疗卫生、金融、零售业等各大行业企业也有大量数据不断产生。2012年,全球信息总量已经达到2.7ZB,到2015年这一数值已达到8ZB。随着大数据、云计算等产业的快速发展,数据量还将以几何级数增长。
当前,我国涉密部门(军队、军工、政府、金融行业、保险行业、电信行业等)中,80%以上的信息系统使用的是国外的技术和产品。在这种情况下,如何在保证系统高性能、高可用的同时,提升数据的安全性,确保关键信息不泄露、国家利益不受损失至关重要。“斯诺登”事件让国际网络安全问题持续升温,各国都在国家主要的系统和部门开展自查,寻找更好的安全解决办法。例如,很多国家的政府部门和机构使用了Oracle数据库,而存放在Oracle上的数据由于是明文存储,有被窃取的可能。 另一方面,数据通过光纤进行传输的过程中,使用简单的无损分光设备即可截取所有的数据,如果被黑客利用后,可模拟发包,获得网内合法身份,以及更高的权限,从而盗取数据。单纯从系统边界处做数据的防护是无法实现整体安全的,还需从数据本身的安全上解决主体安全的问题。
我国的各大企事业单位和各主要行业的数据中心都采用了异地灾备和异地传输,数据中心出口位置汇聚承载着海量的数据交换,海量的数据在专线或Internet上传输,数据以明文的方式曝光在不安全的环境中,在传输的任意过程中,如被第三方截取数据,将造成难以估量的危害。因此,企业急需解决的是在不同区域之间实现数据的高速、稳定、可控的数据交换问题,使核心数据在公网中以加密的方式传输,无论被任何人截取到数据,在没有合法密钥的情况下都无法解开数据。
综上所述,目前,我国已经提升了对于网络安全的重视程度,但资金的投入没有与之相匹配。信息技术自主化的程度有待提升,现阶段还将主要依靠国外品牌设备,存在数据泄露的风险。数据中心之间的数据交互存在海量数据高速交换的迫切需求。当前,在网络安全投入资金有限、信息技术无法短时间内取得突破、海量数据安全急需保障的情况下,大力推广使用国产高性能加解密密码设备来保障数据中心的安全具有现实意义,并且切实可行。
整体安全解决方案
数据中心骨干网承担着与多个数据中心及二级区域中心的数据通信,其数据交换功能和数据体量是非常庞大的。通过部署北京数盾信息科技有限公司的高速核心加密交换机可以实现数据横向传输和纵向传输的双向安全。同时,高速核心加密交换机还可作为前端出口设备,具有更高的加密吞吐能力。高速核心加密交换机需成对部署。在本地数据存储阵列前面部署高速存储加密机,通过高速存储加密机写入数据库阵列的数据为密文存储,读出后为明文,加解密读写速率和实际数据传输速率相比延迟在5%内。由密钥管理系统生成传输加解密密钥,并提供定期自动生成、分发、更换各种密钥和应急销毁等多种功能。安全管理系统提供B/S管理界面,对高速核心加密交换机进行管理和配置,为网内安全加密设备的多级部署提供方便的系统支撑。
高速加密交换机是为了满足数据中心内部、数据中心之间、广域网之间数据安全高速交换需求而研发的一款高性能交换机产品。产品使用了创新的组密钥管理协议GDOI,从设备基础平台到内部协议、密码算法等全部安全可控,能够保证数据的加密传输,有效防御网络安全威胁。
网络存储加密机通过基于FC协议的数据加解密机制,实现对磁盘阵列内容的集中防护。该产品对写入磁盘阵列的数据进行自动加密,对读出的数据自动解密,保证存储在磁盘阵列中的数据始终为密文,不会因为数据或文件被窃而造成数据泄露。
数据链路加密机系统由数据链路中心站密码机、数据链路小站密码机和数据链路密码机配置管理中心组成,主要用于各大专属网络、跨区域通信网络等各种复杂网络的数据传输加密防护。
管理任务之变:需求增加导致设备管理任务增加
随着用户需求的不断变化,数据中心承载着越来越重的任务量,无论是计算还是存储或者网络资源,其规模相比以往急剧扩大,而这也使得其他一些配套设备发生了相应的增长,以满足应用的需求。
CPU计算能力的提高、硬盘存储容量的增加,以及刀片服务器和高密度存储的发展,都无法满足如同洪水猛兽般汹涌而至的数据处理需求。因此,人们不得不将包括计算、存储、网络、供电和散热等在内的部件累积起来,组成更大规模的数据中心。
安全技术之变:必须不断适应新型IT
未来,所有的公司都将成为IT公司。这个观点可能稍有些偏激,不过从另一个角度来看,这说明无论工作还是生活都已经离不开IT。
云计算、虚拟化、大数据,近两年来频繁冒出的新技术,无一不是为由IT所承载的业务服务的。当这些新的技术到来之时,安全技术要与之匹配发展,以适应新环境、新技术下的安全需求。
从长远到本源:数据加密或是最根本的防护
受限于10年前IT的发展水平,很多人都没有意识到数据中心在“量”和“质”方面的变化,以至于很多组织和机构都不得不在新一轮的IT采购周期中花费大量的时间和金钱,购买新产品,以替换旧设备。这样的事情每时每刻都在发生。
由于信息技术的发展,数据本身受到来自多方面的威胁。作为数据中心主要的服务对象,数据的保护是十分重要,并且需要长远计划的。但是面对变化和不断更新的威胁,正面对抗似乎收效甚微,最好的选择是本源的防护,即做到保护数据本源的同时,又能灵活应对各种安全环境的需求。而符合这种要求的安全技术就要属加密技术了。数据中心的管理人员需要在不影响新的数据中心环境所带来的性能和功能的前提下,确保数据中心的安全运营。
安全威胁攻击的首要目标是数据中心
许多现代的网络犯罪活动是专门以数据中心为攻击目标而设计的,因为这些数据中心都托管和处理着海量的、高价值的数据信息,包括个人客户数据资料、财务信息和企业知识产权等。因此,确保数据中心的安全运营是一项挑战。非对称的业务流量、定制化的应用程序、需要被路由到计算层之外并达到数据中心周边的高流量数据、跨多个Hypervisor的虚拟化应用,以及地理上分散的数据中心等,增加了数据中心安全运营的难度,其结果可能是,在安全方案覆盖范围方面存在空白,可能对数据中心性能造成严重影响。人们不得不牺牲数据中心的功能,以适应安全的限制,采用复杂的安全解决方案,削弱了数据中心根据实际业务需求而动态地配置资源的能力等。
思科预测,到2017年,全球76%的数据中心流量将保留在数据中心内,而这些流量都是在虚拟环境中由存储系统、生产系统和开发环境所生成的。早在2015年3月底,市场调研机构Gartner公司就曾经预测,数据中心的连接每秒增加3000%。
现代数据中心为企业提供了大量的应用程序、服务和解决方案。许多企业和组织都要依赖分散在各个不同地理位置的数据中心所部署的服务,以支持它们不断增长的云计算和流量需求。企业还需要制定新的更有效的战略,比如大数据分析和业务连续性管理,使数据中心成为企业的一个更为关键的部分。但是,这也使得数据中心的资源成了恶意攻击者攻击的主要目标。这意味着数据中心的安全团队实施数据中心的监控和保护将变得更加困难。
信息安全已经上升到国家战略层面,亟须加大安全投入
网络空间已成为国家继陆、海、空、天四个疆域之后的第五疆域,与其他疆域一样,网络空间也须体现国家主权,而保障网络空间安全就是保障国家主权。
自2013年“斯诺登”事件爆发以后,国际社会又相继爆发了土耳其泄密事件、巴拿马文件泄密事件等震惊海内外的重大安全事故,网络攻击手段不断推陈出新、网络攻击技术不断升级发展。随着中央网络安全和信息化领导小组的成立,信息安全已经上升到国家战略层面,国家对网络信息安全的重视上升到了新的高度。但是目前,我国网络安全产业的整体规模和投入与欧美发达国家相比,差距巨大,必须奋起直追。
Gartner公司2015年发布的数据显示,2015年全年,全球信息安全支出达833.78亿美元,其中北美地区339.38亿美元,西欧地区225.14亿美元,大中华区只有32.15亿美元,与经济体量明显不相称,仅为美国的9%。IDC的数据显示,我国信息安全投入占IT投入的比重为1%~2%,而同期北美和欧洲的企业对信息安全的投入占IT支出比重达到8%~14%。信息安全投入上的严重不足,导致我国自主研发的信息安全技术和设备难以快速转化为成果,应用于实践,从而使我国网络安全面临巨大隐患。
大数据、智慧城市的发展导致数据量爆发式增长
社会信息化和网络化的发展导致数据爆炸式增长,同时科学计算、医疗卫生、金融、零售业等各大行业企业也有大量数据不断产生。2012年,全球信息总量已经达到2.7ZB,到2015年这一数值已达到8ZB。随着大数据、云计算等产业的快速发展,数据量还将以几何级数增长。
当前,我国涉密部门(军队、军工、政府、金融行业、保险行业、电信行业等)中,80%以上的信息系统使用的是国外的技术和产品。在这种情况下,如何在保证系统高性能、高可用的同时,提升数据的安全性,确保关键信息不泄露、国家利益不受损失至关重要。“斯诺登”事件让国际网络安全问题持续升温,各国都在国家主要的系统和部门开展自查,寻找更好的安全解决办法。例如,很多国家的政府部门和机构使用了Oracle数据库,而存放在Oracle上的数据由于是明文存储,有被窃取的可能。 另一方面,数据通过光纤进行传输的过程中,使用简单的无损分光设备即可截取所有的数据,如果被黑客利用后,可模拟发包,获得网内合法身份,以及更高的权限,从而盗取数据。单纯从系统边界处做数据的防护是无法实现整体安全的,还需从数据本身的安全上解决主体安全的问题。
我国的各大企事业单位和各主要行业的数据中心都采用了异地灾备和异地传输,数据中心出口位置汇聚承载着海量的数据交换,海量的数据在专线或Internet上传输,数据以明文的方式曝光在不安全的环境中,在传输的任意过程中,如被第三方截取数据,将造成难以估量的危害。因此,企业急需解决的是在不同区域之间实现数据的高速、稳定、可控的数据交换问题,使核心数据在公网中以加密的方式传输,无论被任何人截取到数据,在没有合法密钥的情况下都无法解开数据。
综上所述,目前,我国已经提升了对于网络安全的重视程度,但资金的投入没有与之相匹配。信息技术自主化的程度有待提升,现阶段还将主要依靠国外品牌设备,存在数据泄露的风险。数据中心之间的数据交互存在海量数据高速交换的迫切需求。当前,在网络安全投入资金有限、信息技术无法短时间内取得突破、海量数据安全急需保障的情况下,大力推广使用国产高性能加解密密码设备来保障数据中心的安全具有现实意义,并且切实可行。
整体安全解决方案
数据中心骨干网承担着与多个数据中心及二级区域中心的数据通信,其数据交换功能和数据体量是非常庞大的。通过部署北京数盾信息科技有限公司的高速核心加密交换机可以实现数据横向传输和纵向传输的双向安全。同时,高速核心加密交换机还可作为前端出口设备,具有更高的加密吞吐能力。高速核心加密交换机需成对部署。在本地数据存储阵列前面部署高速存储加密机,通过高速存储加密机写入数据库阵列的数据为密文存储,读出后为明文,加解密读写速率和实际数据传输速率相比延迟在5%内。由密钥管理系统生成传输加解密密钥,并提供定期自动生成、分发、更换各种密钥和应急销毁等多种功能。安全管理系统提供B/S管理界面,对高速核心加密交换机进行管理和配置,为网内安全加密设备的多级部署提供方便的系统支撑。
高速加密交换机是为了满足数据中心内部、数据中心之间、广域网之间数据安全高速交换需求而研发的一款高性能交换机产品。产品使用了创新的组密钥管理协议GDOI,从设备基础平台到内部协议、密码算法等全部安全可控,能够保证数据的加密传输,有效防御网络安全威胁。
网络存储加密机通过基于FC协议的数据加解密机制,实现对磁盘阵列内容的集中防护。该产品对写入磁盘阵列的数据进行自动加密,对读出的数据自动解密,保证存储在磁盘阵列中的数据始终为密文,不会因为数据或文件被窃而造成数据泄露。
数据链路加密机系统由数据链路中心站密码机、数据链路小站密码机和数据链路密码机配置管理中心组成,主要用于各大专属网络、跨区域通信网络等各种复杂网络的数据传输加密防护。