一種IDC集中式數據安全設計

收稿日期：2013-07-14

作者簡介：楊偉（1979-），男，湖北麻城人，學士，講師，主要研究方向：電子商務、網絡技術教學。

一種IDC集中式數據安全設計

楊偉（浙江諸暨技師學院 商貿系， 浙江 諸暨 311800）摘要：互聯網數據中心（IDC）是Internet中重要的數據節點。為了滿足諸暨市眾多民營企業的多種網絡系統服務外包的需要，諸暨市電信公司規劃組建了IDC。分析了IDC數據存儲的組成結構，并指出了電信部門IDC適用于基于SAN網絡集中式存儲的數據安全方案。還討論了應用VLAN、訪問控制策略、權限和身份控制等多種技術增進數據安全方案。

關鍵詞：IDC； 數據安全； 安全方案

中圖分類號：TP393 文獻標識碼：A文章編號：2095-2163（2013）04-0086-03

Design of Centralized Data Security Used By IDC

YANG Wei

（The Department of Commerce， Zhejiang Zhuji Technician College，Zhuji Zhejiang 311800， China）

Abstract：Internet Data Center （IDC） is the important data node in Internet. In order to meet the demand of many Zhuji private enterprises’ various network system outsourcing service， Zhuji Telecom company is going to build IDC. This paper analyses the structure of IDC data storage and points out the data security scheme based on SAN network centralized storage that is feasible for Zhuji Telecom. The paper also enhances data security by applying various techniques such as VLAN， access control policy， authority and identity control，etc.

Key words：Internet Data Center； Data Security； Security Solution

0引言

浙江省諸暨市的經濟位居全國百強縣前10位，截止2013年上市企業有12家，位于浙江省第一位及全國第三位。浙江民營企業眾多，為了滿足政府部門和中小型企業DNS、Web、E-mail、流媒體、文件、數據庫、云平臺等網絡系統托管外包服務的需要，諸暨市電信公司規劃建設了互聯網數據中心（Internet Data Center，IDC）[1]，此外還向電信用戶提供IPTV/VOD、NGN、3G、在線網絡游戲、在線音樂等多種數據服務。本文提出了建立集中式數據存儲的網絡組成方式，并給出了一個適應電信業務需求的集成安全方案[2]。

1數據存儲的組成結構

數據存儲系統從組成結構上分為集中式和分布式兩種。

1.1集中式數據存儲結構

集中式數據存儲要求各業務子系統共享同一個集中的存儲系統進行數據交換。一般通過FC（Fibre Channel，光纖通道）組建SAN網絡（Storage Area Network，存儲區域網絡）[3]來實現數據共享，其結構如圖1所示。集中式存儲的優點是：

（1）數據集中存儲、集中備份，便于集中管理和監控。有利于將傳統的被動式維護模式轉變為主動式、預防式維護模式。

（2）數據集中易于制定統一的管理措施和數據保護機制，便于日后建設容災系統。

（3）集中存儲結構將數據和業務相分離，有利于支撐業務的快速發展、資源有效整合利用。可以進行在線擴容而不影響業務，不同業務系統之間的存儲資源根據實際需求的變化可以隨時動態調整。

集中式數據存儲的缺點是風險集中，需要建設配套的數據保護機制，如集中備份等，其方案設計和實施均有一定的技術難度。

1.2分布式存儲結構

分布式存儲要求各業務系統分別構建獨立的存儲系統，以NAS（Network Attached Storage）網絡連接起來，各存儲系統依主機不同而分散存在。分布式存儲的優點是：實現不存在技術難度，其結構如圖2所示。如不涉及集中管理的話，則投資成本相對較小。

分布式存儲的缺點是：數據分散存儲、分散備份，風險分散，不利于集中管理和監控，故管理維護成本較高。不容易制定和實施統一的數據保護機制和管理措施，數據維護壓力較大。由于業務發展的不確定性，容易導致資源分配的不均和浪費。

1.3兩種存儲結構的成本比較

兩種存儲結構的成本各有優缺點。除了對網絡要求較高的缺點外，集中式存儲有利于節約投資成本、管理成本和后期擴容，其成本比較詳見表1。第4期楊偉：一種IDC集中式數據安全設計智能計算機與應用第3卷

and distributed storage structure成本分布式集中式設備投資多少軟件投資多少傳輸資源很少需建設專用的SAN環境可靠性故障點、風險分散風險集中，易于集中管理安全性數據保護機制獨立分散數據保護機制統一，

利于數據容災備份/恢復性能低高，IO性能最優可擴展性低，依賴于系統主機

本身的兼容性和存儲

設備的可擴展性高，可無需停機在線擴容

2IDC數據安全方案

諸暨市電信公司IDC采用集中式數據存儲結構，其基礎架構是冗余可靠的，具有較高的可靠性。該系統用光纖交換機搭建SAN環境。用高端磁盤陣列作為集中存儲設備，負責數據集中存放。由于SAN結構擴充方便，建議IDC設立初期只需配置兩臺磁盤陣列，隨著數據量需求的增加可繼續擴展陣列。采用一臺大容量磁帶庫負責IDC數據備份和歸檔工作。安裝存儲管理軟件和集中備份軟件，負責存儲管理和數據備份的集中管理。在業務服務器上增加HBA卡（Host Bus Adapter，主機總線適配器）連接光纖交換機。對于SAN架構內的核心業務服務器的備份網絡依靠SAN實現，數據流直接從磁盤陣列備份到磁帶庫，其他業務系統則可通過NAS網絡備份到此備份系統中。部署遠程的維護終端，提供遠程存儲管理和數據備份的集中管理。業務網絡與后臺管理網絡隔離，對外的業務網絡受到攻擊時，后臺管理網絡仍能提供可靠的本地和遠程訪問，快速恢復故障，其結構如圖3所示。

IDC數據安全由三個層次組成，并進行分級管理。

（1） 物理層。提供智能數據存儲管理的物理基礎，提高存儲設備的利用率，并保證I/O性能和安全性。

（2） 邏輯層。實行數據生命周期管理，應用HA技術、快照技術、備份歸檔等自動管理整個數據生命周期，實現數據存儲、傳輸、備份和歸檔的自動化。

（3） 業務層。利用遠程數據復制技術實現業務連續性保障。

IDC數據安全需要進行以下數據安全性設計，防止可能存在的安全隱患。

2.1劃分VLAN

在交換機上劃分VLAN[4]（Virtual Local Area Network，虛擬局域網），從邏輯上劃分成不同的網段，用來隔離不同系統的網絡。不同業務系統的主機分在不同的VLAN，Windows操作系統和Unix操作系統分在不同的VLAN，主要業務應用和普通業務應用分在不同的VLAN，后臺管理系統和前臺應用系統分在不同的VLAN。各業務系統僅和備份服務器通信，互相之間并不通信。各業務系統分屬不同的廣播域，阻止病毒和網絡風暴的擴散。

2.2訪問控制策略

網絡訪問控制可以隔離非法的主體進入受保護的網絡資源。允許合法用戶訪問受保護的網絡資源。防止合法用戶對受保護的網絡資源進行非授權的訪問。在以太網交換機前增設防火墻，設置訪問控制策略[5]，限制各業務主機到管理服務器的訪問，禁止各業務系統之間的訪問，詳見表2。