導(dǎo)語：云安全防護(hù)技術(shù)在企業(yè)數(shù)據(jù)中心的運(yùn)用一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：近年來，隨著大數(shù)據(jù)技術(shù)與云計(jì)算技術(shù)的大范圍推廣應(yīng)用，部分企業(yè)已經(jīng)建立了常規(guī)數(shù)據(jù)中心與虛擬化數(shù)據(jù)中心，并且隨著數(shù)據(jù)中心云平臺(tái)的搭建，數(shù)據(jù)中心的云端化與虛擬程度越來越高。因此，需要根據(jù)當(dāng)前的實(shí)際情況，增強(qiáng)對(duì)云安全防護(hù)技術(shù)的運(yùn)用，保障企業(yè)數(shù)據(jù)中心安全。本文概述了企業(yè)數(shù)據(jù)中心安全防護(hù)，剖析了云安全防護(hù)技術(shù)在企業(yè)數(shù)據(jù)中心的應(yīng)用作用。并以此為基礎(chǔ)，分別從應(yīng)用思路、操作系統(tǒng)、防護(hù)平臺(tái)、功能及技術(shù)方面，對(duì)其具體運(yùn)用進(jìn)行了討論。

關(guān)鍵詞：云安全；防護(hù)技術(shù)；企業(yè)數(shù)據(jù)中心；運(yùn)用

自從進(jìn)入工業(yè)4.0時(shí)代，企業(yè)通過對(duì)信息技術(shù)與通信技術(shù)的融合應(yīng)用普遍建立了數(shù)據(jù)中心，旨在通過數(shù)據(jù)化管理，提升企業(yè)生產(chǎn)經(jīng)營管理效率。但是，在量子計(jì)算機(jī)尚未全面普遍應(yīng)用之前，數(shù)據(jù)中心的安全問題仍不能獲得徹底解決。當(dāng)企業(yè)數(shù)據(jù)中心受到病毒傳播、木馬入侵、非授權(quán)登錄之后，不僅會(huì)給企業(yè)數(shù)據(jù)中心的數(shù)據(jù)造成損壞，而且此類數(shù)據(jù)會(huì)被惡意篡改、遠(yuǎn)程控制，并給企業(yè)造成難以估量的損失。

1.企業(yè)數(shù)據(jù)中心安全防護(hù)現(xiàn)狀

當(dāng)前，企業(yè)建立了數(shù)據(jù)中心并結(jié)合數(shù)據(jù)中心的安全管理需求，配套設(shè)置了相關(guān)安全管理措施。從實(shí)踐經(jīng)驗(yàn)看，主要集中在選擇安全性較大的網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)中心安全管理措施、數(shù)據(jù)中心系統(tǒng)保護(hù)三個(gè)方面。其中網(wǎng)絡(luò)結(jié)構(gòu)的選擇重點(diǎn)集中在對(duì)臨時(shí)VPN通道的搭建方面；數(shù)據(jù)中心安全管理措施方面，則以常規(guī)的安全防護(hù)為主，包括了基本的設(shè)備安全管理、硬件安全維護(hù)、日常殺毒等；數(shù)據(jù)中心系統(tǒng)安全防護(hù)則結(jié)合數(shù)據(jù)中心與虛擬化數(shù)據(jù)中心建設(shè)階段的不同，分別選擇了網(wǎng)絡(luò)隔離技術(shù)、安全設(shè)計(jì)方案。雖然在防護(hù)技術(shù)上各類技術(shù)均有優(yōu)勢(shì)，但在實(shí)際的防護(hù)效果方面仍然存在諸多不足。

2.云安全防護(hù)技術(shù)在企業(yè)數(shù)據(jù)中心的作用

云安全防護(hù)技術(shù)主要是通過搭建防護(hù)資源池的辦法，利用安全設(shè)備為企業(yè)對(duì)該技術(shù)的應(yīng)用系統(tǒng)過濾巨大流量，保障總體安全。該技術(shù)的特點(diǎn)集中在彈性防護(hù)、精準(zhǔn)防護(hù)、源站隱藏、DDOS攻擊防護(hù)等方面。由于該技術(shù)一般由第三方云服務(wù)商提供，其應(yīng)用安全系數(shù)相對(duì)較大，專業(yè)化程度較高，投入成本也比較昂貴[1]。從部分企業(yè)應(yīng)用經(jīng)驗(yàn)看，一方面彌補(bǔ)了企業(yè)數(shù)據(jù)中心虛擬化安全防護(hù)機(jī)制中的不足之處，另一方面能保護(hù)企業(yè)敏感數(shù)據(jù)并提高終端安全的細(xì)粒度檢測(cè)能力，尤其在身份認(rèn)證與授權(quán)機(jī)制方面，通過使用云安全防護(hù)技術(shù)能夠發(fā)揮更大作用。

2.1完善虛擬防護(hù)機(jī)制

企業(yè)建立數(shù)據(jù)中心后，數(shù)據(jù)處理呈現(xiàn)為虛擬化特征，服務(wù)器的利用率相對(duì)提高，然而在端口流量增大的情況下，需要更大的承載能力。同時(shí)，一臺(tái)物理服務(wù)器中部署了若干虛擬機(jī)之后，安全策略部署會(huì)越來越復(fù)雜，此時(shí)對(duì)于異構(gòu)存儲(chǔ)方面的統(tǒng)一監(jiān)管難度相對(duì)較大，容易發(fā)生跨域訪問的情況。另外，某個(gè)虛擬機(jī)發(fā)生安全風(fēng)險(xiǎn)會(huì)引起連鎖反應(yīng)，將風(fēng)險(xiǎn)擴(kuò)展到其他服務(wù)器，大大增加了數(shù)據(jù)利用風(fēng)險(xiǎn)、安全監(jiān)管風(fēng)險(xiǎn)，以及數(shù)據(jù)中心本身的虛擬環(huán)境風(fēng)險(xiǎn)。因此，在這種情況下，企業(yè)數(shù)據(jù)中心的各類服務(wù)風(fēng)險(xiǎn)會(huì)增大。應(yīng)用云安全服務(wù)器后，能夠借助其四大基本特點(diǎn)，完善虛擬防護(hù)機(jī)制，實(shí)現(xiàn)對(duì)各類風(fēng)險(xiǎn)的統(tǒng)一防護(hù)。

2.2強(qiáng)化敏感數(shù)據(jù)保護(hù)

企業(yè)建立數(shù)據(jù)中心的目標(biāo)十分明確，旨在提高資源利用率，尤其在敏感數(shù)據(jù)方面，可以利用強(qiáng)大的編碼、分類、存儲(chǔ)、分析、生成報(bào)表、實(shí)時(shí)利用等標(biāo)準(zhǔn)流程，開發(fā)數(shù)據(jù)價(jià)值。但是，此類數(shù)據(jù)在數(shù)據(jù)中心的云端服務(wù)平臺(tái)中，面臨著外部風(fēng)險(xiǎn)與內(nèi)部泄密的問題，而且此類數(shù)據(jù)本身與企業(yè)管理層的受保護(hù)信息關(guān)聯(lián)，在缺失針對(duì)性的敏感數(shù)據(jù)保護(hù)措施下，容易因敏感數(shù)據(jù)被竊取、篡改、泄漏從而給企業(yè)造成不可估量的損失[2]。應(yīng)用云安全防護(hù)技術(shù)后，能夠通過云安全管理平臺(tái)的部署邏輯，利用安全資源池中的安全識(shí)別、安全檢測(cè)、安全防護(hù)、安全響應(yīng)的四大模塊，較好地實(shí)現(xiàn)對(duì)企業(yè)數(shù)據(jù)中心核心交換機(jī)進(jìn)行雙向的智能引流，從而保障對(duì)外界互聯(lián)網(wǎng)與內(nèi)部數(shù)據(jù)中心的隔離防護(hù)目標(biāo)。尤其在細(xì)粒度檢測(cè)能力方面，可以發(fā)揮云安全防護(hù)技術(shù)中的智能安全分析功能，即開即用，針對(duì)各種接入方式實(shí)施立體防護(hù)。

2.3增強(qiáng)身份認(rèn)證與授權(quán)保護(hù)

企業(yè)數(shù)據(jù)中心設(shè)置了系統(tǒng)登錄權(quán)限，并且通過等級(jí)制的身份認(rèn)證實(shí)現(xiàn)授權(quán)保護(hù)。部分企業(yè)的數(shù)據(jù)中心登錄系統(tǒng)中對(duì)于自動(dòng)退出的功能設(shè)置不全，容易發(fā)生內(nèi)部人員非授權(quán)登錄的情況。同時(shí)，在企業(yè)數(shù)據(jù)中心中，普遍以安全隔離技術(shù)的應(yīng)用為主，沒有針對(duì)數(shù)據(jù)中心的實(shí)際需求配套設(shè)計(jì)安全管理系統(tǒng)。例如，數(shù)據(jù)中心用戶在未退出登錄系統(tǒng)的情況下，在同一臺(tái)計(jì)算機(jī)中下載網(wǎng)絡(luò)資源或者觀看某些不安全網(wǎng)站時(shí)，“流氓軟件”“木馬病毒”等會(huì)通過黑客攻擊、虛擬機(jī)溢出、虛擬機(jī)跳躍等不同的方式，滲透到數(shù)據(jù)平臺(tái)之中[3]。另外，當(dāng)前企業(yè)數(shù)據(jù)中心的運(yùn)維管理，往往以自主性的維護(hù)為主，在虛擬機(jī)與硬件隔離的情況下，管理人員往往不太注重監(jiān)測(cè)虛擬機(jī)中的風(fēng)險(xiǎn)，將重點(diǎn)放在物理服務(wù)器上，會(huì)因虛擬服務(wù)器穩(wěn)定性下降后為非授權(quán)登錄提供可乘之機(jī)。因此需要發(fā)揮安全防護(hù)技術(shù)中使用的安全加密芯片，保護(hù)虛擬安全設(shè)備資源池中作為宿主機(jī)的虛擬服務(wù)器安全，從根本上保護(hù)登錄系統(tǒng)安全。

3.云安全防護(hù)技術(shù)在企業(yè)數(shù)據(jù)中心的運(yùn)用

3.1應(yīng)用思路

第三方機(jī)構(gòu)為其設(shè)計(jì)了云端一體化安全防護(hù)架構(gòu)，主要按照移動(dòng)終端安全操作系統(tǒng)與云安全防護(hù)平臺(tái)兩大部分，構(gòu)建了以主體要素層—技術(shù)模型層—應(yīng)用系統(tǒng)層為主的架構(gòu)。在移動(dòng)終端安全操作系統(tǒng)方面：（1）主體要素為云計(jì)算虛擬化安全防護(hù)、敏感數(shù)據(jù)隱私保護(hù)；（2）技術(shù)模型方面，包括云計(jì)算虛擬化環(huán)境安全防護(hù)模型、終端APP商店式管理模型。（3）應(yīng)用系統(tǒng)包括移動(dòng)終端安全管理平臺(tái)、終端威脅可視化管理系統(tǒng)。在云安全防護(hù)平臺(tái)方面：（1）主體要素為身份認(rèn)證和授權(quán)、終端安全細(xì)粒度檢測(cè)；（2）技術(shù)模型包括終端檢測(cè)數(shù)據(jù)安全防護(hù)方法、Android接口與安全操作系統(tǒng)底層服務(wù)融合機(jī)制；（3）應(yīng)用系統(tǒng)包括云計(jì)算虛擬化環(huán)境安全防護(hù)系統(tǒng)、云計(jì)算威脅可視化管理系統(tǒng)。

3.2操作系統(tǒng)

在OS操作系統(tǒng)方面，則按照內(nèi)核—硬件抽象層—Android兼容層（系統(tǒng)服務(wù)層/基礎(chǔ)類庫）—應(yīng)用框架層—應(yīng)用層等基本層構(gòu)建了“芯片/廠商+開源+自主模塊”自主系統(tǒng)。具體如圖1所示。

3.3防護(hù)平臺(tái)

在明確了應(yīng)用思路，完成基礎(chǔ)的操作系統(tǒng)技術(shù)方案設(shè)計(jì)后，根據(jù)云安全防護(hù)技術(shù)應(yīng)用時(shí)的基本邏輯部署云安全防護(hù)平臺(tái)。首先，第三方機(jī)構(gòu)為其建立安全資源池，劃分出租戶A安全資源、租戶B安全資源、租戶C安全資源。具體包括：（1）在A租戶方面，設(shè)置vFW、vWAF、堡壘機(jī)、數(shù)據(jù)庫審計(jì)；（2）在B租戶方面，設(shè)置vFW、堡壘機(jī)、SOC審計(jì)、主機(jī)EDR；（3）在C租戶方面，設(shè)置vFW、vWAF、漏洞掃描、主機(jī)EDR。然后在此之上劃分出安全識(shí)別、安全檢測(cè)、安全防護(hù)、安全響應(yīng)四大模塊。其次，在企業(yè)數(shù)據(jù)中心的云平臺(tái)區(qū)域，包括了企業(yè)云租戶A、B、C資源池中以VPC為主，每個(gè)資源池中囊括VM1、VM2、VM3設(shè)施，以及虛擬交換機(jī)。當(dāng)云平臺(tái)區(qū)域的虛擬交換機(jī)與接入交換機(jī)、核心交換機(jī)、互聯(lián)網(wǎng)關(guān)聯(lián)后，數(shù)據(jù)中心可以利用DDos、FW/LLB與核心交換機(jī)、云安全防護(hù)平臺(tái)的關(guān)聯(lián)，實(shí)現(xiàn)交互式智能引流，從而達(dá)到對(duì)所有資源的全面過濾。具體如圖2所示。

3.4平臺(tái)功能及技術(shù)

3.4.1平臺(tái)功能在該平臺(tái)中預(yù)設(shè)了“一個(gè)平臺(tái)、兩個(gè)視角、三方能力、四大模塊”功能。首先，通過應(yīng)用云安全防護(hù)技術(shù)搭建了云端統(tǒng)一安全防護(hù)平臺(tái)，能夠借助移動(dòng)終端安全操作系統(tǒng)與云安全防護(hù)平臺(tái)兩個(gè)視角，為企業(yè)提供12種云安全能力。其次，可以利用底層云安全資源池中的安全產(chǎn)品組件歸一化與標(biāo)準(zhǔn)化處理，使云租戶的安全能力，獲得有效提升，達(dá)到資源化、服務(wù)化、目錄化處理，提高企業(yè)各項(xiàng)業(yè)務(wù)的安全合規(guī)性[4]。而且可以將四大模塊統(tǒng)一起來，形成針對(duì)企業(yè)數(shù)據(jù)中心的全生命周期云安全管理產(chǎn)品，使云識(shí)別—云監(jiān)測(cè)—云防護(hù)—云響應(yīng)發(fā)揮出一體化防護(hù)功用。尤其是配套應(yīng)用云安全管家后，有利于達(dá)到縱深防護(hù)目標(biāo)。3.4.2平臺(tái)技術(shù)在云安全防護(hù)平臺(tái)中，主要技術(shù)為即開即用、可視可控、智能分析。在即開即用技術(shù)方面，旨在通過對(duì)原來安全產(chǎn)品能力的抽象化處理，解耦軟件與硬件后，將軟件核心能力進(jìn)行打包處理，匹配到數(shù)據(jù)中心的虛擬化環(huán)境之中，從而保障所有數(shù)據(jù)向彈性安全資源池的匯聚，實(shí)現(xiàn)整體上的安全過濾服務(wù)。同時(shí)，該平臺(tái)借助對(duì)解耦后的安全能力進(jìn)行服務(wù)化改造，可以深化服務(wù)方式，使其轉(zhuǎn)變?yōu)榭梢暯?jīng)拓?fù)浣换D，并根據(jù)用戶實(shí)際運(yùn)營業(yè)務(wù)中的安全需求，選擇開通相應(yīng)的安全產(chǎn)品。例如，圖形安全、音頻安全管理等，只需要開通后即可以實(shí)現(xiàn)即開即用目標(biāo)。在可視可控技術(shù)方面，該平臺(tái)主要是由第三方提供統(tǒng)一的云安全管理，當(dāng)?shù)谌教峁┓?wù)后，企業(yè)能夠結(jié)合數(shù)據(jù)中心的可視化屏幕實(shí)時(shí)地查看其業(yè)務(wù)安全狀況，包括安全態(tài)勢(shì)、風(fēng)險(xiǎn)處理、運(yùn)維狀況等。由于設(shè)置了APP商店管理模式，企業(yè)所有人圖2企業(yè)數(shù)據(jù)中心云安全管理平臺(tái)部署員，只要擁有該款A(yù)PP即可以通過企業(yè)授權(quán)登錄，并在業(yè)務(wù)界面中參與到對(duì)相關(guān)管理內(nèi)容的查詢、開通、使用等。在智能分析技術(shù)方面，主要是根據(jù)平臺(tái)中的專家系統(tǒng)，利用人工智能技術(shù)開展深度學(xué)習(xí)，持續(xù)增強(qiáng)對(duì)數(shù)據(jù)中心的風(fēng)險(xiǎn)防護(hù)等。

結(jié)語

在我國各行業(yè)高質(zhì)量發(fā)展階段，普遍增強(qiáng)了對(duì)數(shù)字化技術(shù)的運(yùn)用，隨著云計(jì)算的推廣應(yīng)用，數(shù)據(jù)中心與虛擬數(shù)據(jù)中心方面的安全防護(hù)需求相對(duì)增加。因此，為了滿足該需求，企業(yè)有必要增加對(duì)云安全防護(hù)技術(shù)的應(yīng)用。通過以上初步分析可以看出，云安全防護(hù)技術(shù)功用較多，可以借助云端一體化與自主化移動(dòng)終端安全操作系統(tǒng)，提高企業(yè)數(shù)據(jù)中心資源池的安全防護(hù)能力。在具體應(yīng)用時(shí)，應(yīng)結(jié)合云端一體化方案研發(fā)設(shè)計(jì)思維，選擇與企業(yè)實(shí)際建設(shè)的數(shù)據(jù)中心相一致的移動(dòng)終端安全操作系統(tǒng)技術(shù)方案與云安全平臺(tái)技術(shù)方案，從而保障整個(gè)云安全防護(hù)技術(shù)在有效運(yùn)用的情況下，為企業(yè)數(shù)據(jù)化的生產(chǎn)經(jīng)營活動(dòng)保駕護(hù)航。

參考文獻(xiàn)：

[1]宋書文.企業(yè)數(shù)據(jù)中心運(yùn)維管理系統(tǒng)的應(yīng)用[J].信息系統(tǒng)工程,2020,14(2):56-57.

[2]黃碩.企業(yè)數(shù)據(jù)中心業(yè)務(wù)連續(xù)性保障體系建設(shè)實(shí)踐[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020,10(5):106-108.

[3]田甜.企業(yè)數(shù)據(jù)中心云化轉(zhuǎn)型的初步探索[J].信息通信,2020,3(7):147-148.

[4]石瑾.思源前沿:五步構(gòu)建企業(yè)數(shù)據(jù)中心[J].中國總會(huì)計(jì)師,2020,9(3):18-19.

作者：趙佩詠 單位：武警工程大學(xué)