数据中心如何保护信息安全

伴随《中华人民共和国网络安全法》的表决通过，明年落地实施等消息地传出，网络安全这个字眼活跃在大众视野中。其中有条文规定：网络运营者除了应当按照网络安全等级保护制度要求采取保护措施外，还需要“采取数据分类、重要数据备份和加密等措施”，防止网络数据泄露或者被窃取、篡改。关键信息基础设施运营者必须要“对重要系统和数据库进行容灾备份”。互联网伊始，网络信息安全重任从来都是在IDC运营商身上，法律和一系列规章制度等上层建设固然重要，但是基础防护技术上的精进才是信息安全问题的治本之道。

IDC数据中心从哪几个方面来保证数据中心的顶层——信息数据安全呢?

1.基础建设安全

首先是基础建设，这一层包含的内容最多：物理安全、网络安全、系统安全、云计算安全、虚拟化安全等等。

数据中心是由大量的物理服务器、网络、存储、安全、负载均衡等产品级联起来组成的庞大信息处理系统，这里包含有成千上万的物理设备，每个设备都可能是一个安全隐患点，一旦被外界所攻击，并被入侵，就可能造成信息泄漏;还有可以虚拟化的软件、分布式计算的云产品，这些将这些设备有机地结合起来，目的是让这些设备充分发挥出最大能力，避免出现资源浪费的情况，这些新的技术引进带来了安全上的隐患，必须保持高度警惕，部署一些安全防御措施。做好基础建设上的安全，可为整个金字塔打好地基，是信息安全的最基本保证。

2.应用安全层

其处于基础设施安全之上，包括权限安全、访问控制、日志审计部分。很多时候，信息的泄漏主要来源于人，包括权限管理上的漏洞、访问控制不严等问题，在利益驱使之下，很多人愿意铤而走险，利用这些应用安全漏洞，最终将信息数据带出或者破坏。加强应用安全的方法要比基础设施安全的方法简单、投入少，但实际上还要在基础设施上做安全防御更为有效。

3.数据安全层

这一层已经接近信息安全，信息安全的对象就是数据，保障了数据的安全，整个数据中心的信息也就安全了。包括分类分级、数据加密、数据传输、备份归档等，尤其在数据传输过程中避免数据泄漏，要进行数据加密，还要将数据分为不同等级，数据设定读写权限，这一层操作起来最为简单，但也最有效果。

这个部分IDC商应对数据丢失问题，有一些备份方案，最近兴起的CDP持续数据保护技术，持续数据保护(CDP)是一种在不影响主要数据运行的前提下，可以实现持续捕捉或跟踪目标数据所发生的任何改变，并且能够恢复到此前任意时间点的方法。

CDP系统能够提供块级、文件级和应用级的备份，以及恢复目标的无限的任意可变的恢复点。但是两个原因造成这项技术没有广泛的被采用，一方面数据的持续不间断监控和记录的是一个技术难题。另一方面CDP技术持续备份时产生的大量数据，远大于其他备份方式产生的数据量，对数据存储形成巨大压力，同时用户也会产生高昂的费用负担。所以它的普及还需要技术水平上的突破。

做好以上三个层级的安全基本就可以保证信息在技术防护上的安全了，当然有时候会有一些人为层面的信息泄露问题，这个不做赘述。信息安全作为数据中心的核心关系着数据中心的未来发展。同时是数据中心的运营利润、技术效益的来源。信息安全做得好，整个数据中心才有继续发展的支撑和动力。

（注:本文转自"Hostspace中国"）

——END——