IDC機房合作方案V3.1

數(shù)據(jù)中心引入信息安全服務(wù)方案規(guī)劃北京三思網(wǎng)安科技有限公司劉明昭v3.02017/5/2目 錄一、國內(nèi)數(shù)據(jù)中心存在的問題 21現(xiàn)有數(shù)據(jù)中心存在的問題 21.1 數(shù)據(jù)中心的可靠性和可用性不足 21.2 數(shù)據(jù)中心的可持續(xù)發(fā)展能力嚴重不足 21.3 數(shù)據(jù)中心的專業(yè)化運維管理水平不高 31.4 數(shù)據(jù)中心的能耗成本居高不下 31.5 數(shù)據(jù)中心的績效評估困難 3二、國內(nèi)數(shù)據(jù)中心的的發(fā)展歷程與運維管理框架32.1數(shù)據(jù)中心發(fā)展歷程 32.1.1計算中心，即數(shù)據(jù)存儲和簡單計算階段，出現(xiàn)于20世紀60年代32.1.2信息中心，即數(shù)據(jù)處理及業(yè)務(wù)應用階段，出現(xiàn)于20世紀80年代42.1.3服務(wù)中心，即服務(wù)性數(shù)據(jù)中心階段，出現(xiàn)于21世紀初42.2數(shù)據(jù)中心運維管理框架 42.2.1 人員 52.2.2 流程 52.2.3 產(chǎn)品 52.2.4 服務(wù)商 6三、三思網(wǎng)安作為服務(wù)商可提供的技術(shù)服務(wù) 63.1滲透測試服務(wù) 63.1.1 服務(wù)介紹 63.1.2 服務(wù)及價值 63.2信息安全咨詢與評估協(xié)助服務(wù) -73.2.1 服務(wù)介紹 73.2.2 服務(wù)及價值 73.3信息漏洞檢測服務(wù) 73.3.1 服務(wù)簡介及價值 73.4安全托管服務(wù) 83.4.1 服務(wù)簡介 83.4.2 服務(wù)及價值 83.4.3 增值服務(wù) 8四、數(shù)據(jù)中心引入安全服務(wù)帶來的價值 84.1增加收入來源； 94.2提高核心競爭力（更安全可靠）；91/9數(shù)據(jù)中心引入信息安全服務(wù)方案規(guī)劃近幾年來伴隨著互聯(lián)網(wǎng)、云計算的快速發(fā)展，虛擬化技術(shù)的成熟， IDC數(shù)據(jù)中心的數(shù)量、規(guī)模以及租戶數(shù)在不斷擴大。 IDC數(shù)據(jù)中心主要是為互聯(lián)網(wǎng)內(nèi)容提供商、企事業(yè)單位提供服務(wù)器托管、空間租用、主機域名、企業(yè)郵箱等服務(wù)。隨著客戶業(yè)務(wù)不斷的向互聯(lián)網(wǎng)化發(fā)展， 保障租戶業(yè)務(wù)和數(shù)據(jù)安全方面的重要性不言而喻。當前IDC數(shù)據(jù)中心面臨著多攻擊類型、多業(yè)務(wù)類型、多運營模式帶來的安全挑戰(zhàn)及威脅，如何為租戶提供更好的安全增值服務(wù)已經(jīng)成為了 IDC服務(wù)提供商關(guān)注的焦點。一、國內(nèi)數(shù)據(jù)中心存在的問題現(xiàn)有數(shù)據(jù)中心存在的問題數(shù)據(jù)中心作為機構(gòu)信息系統(tǒng)的運行中心、測試中心和災備中心，承擔著機構(gòu)的核心業(yè)務(wù)運營、信息資源服務(wù)、關(guān)鍵業(yè)務(wù)計算、數(shù)據(jù)存儲和備份，以及確保業(yè)務(wù)連續(xù)性等重要任務(wù)。機構(gòu)對數(shù)據(jù)中心的依賴性日漸加強，然而現(xiàn)實情況并不盡如人意，現(xiàn)有的數(shù)據(jù)中心普遍存在以下問題。1.1 數(shù)據(jù)中心的可靠性和可用性不足數(shù)據(jù)大集中在節(jié)約整體成本、提高IT效率的同時，也對數(shù)據(jù)中心的可靠性和可用性提出了更高的需求。如果核心數(shù)據(jù)中心發(fā)生癱瘓，將造成機構(gòu)的業(yè)務(wù)停頓，企業(yè)對數(shù)據(jù)中心基礎(chǔ)設(shè)施和運行維護的要求更高。近幾年，包括銀行、保險、證券、民航等行業(yè)相繼出現(xiàn)了一些數(shù)據(jù)中心故障，造成了很大的社會影響和經(jīng)濟損失，很多數(shù)據(jù)中心的可靠性和可用性令人擔憂。1.2 數(shù)據(jù)中心的可持續(xù)發(fā)展能力嚴重不足隨著IT技術(shù)的高速發(fā)展，新一代高密度服務(wù)器和存儲設(shè)備不斷涌現(xiàn)。伴隨著業(yè)務(wù)擴展和信息化程度的提高，如今的數(shù)據(jù)中心已不再只是支持某些單一的應用或是日常的數(shù)據(jù)存儲和計算功能，而是要為整個業(yè)務(wù)運營系統(tǒng)的正常運行提供支撐和服務(wù)。目前，大多數(shù)機構(gòu)數(shù)據(jù)中心無法做到資源的靈活分配，而在資源共享、提高設(shè)備利用率等方面也不能完全實現(xiàn)。2/91.3 數(shù)據(jù)中心的專業(yè)化運維管理水平不高目前的數(shù)據(jù)中心與以往相比，規(guī)模更為龐大，結(jié)構(gòu)也更加復雜。傳統(tǒng)的數(shù)據(jù)中心運維管理水平普遍較低、專業(yè)化程度不高，顯然已無法適應機構(gòu)對數(shù)據(jù)中心合規(guī)性、可用性、經(jīng)濟性和服務(wù)性的要求，嚴重影響到數(shù)據(jù)中心的生命周期。1.4 數(shù)據(jù)中心的能耗成本居高不下目前，數(shù)據(jù)中心的能耗成本居高不下，并呈現(xiàn)急速上升之勢。造成這種局面的因素有很多，例如服務(wù)器的利用率不高，數(shù)據(jù)中心的供電系統(tǒng)設(shè)計不合理等。國內(nèi)不少數(shù)據(jù)中心的電力成本每年超過了千萬元。 2007年我國IT產(chǎn)品的總耗電約為300億~500億千瓦時，幾乎相當于三峽電站一年的發(fā)電總量。“綠色節(jié)能”已成為數(shù)據(jù)中心的主要訴求。1.5 數(shù)據(jù)中心的績效評估困難到目前為止，數(shù)據(jù)中心建設(shè)作為提升機構(gòu)核心競爭力的手段已被更多的企業(yè)決策者們所認同，但是績效評估現(xiàn)狀多少有些令人沮喪。 少則千萬、多則上億元的資金投入并沒有在財務(wù)績效方面有顯著的改善和提升， 有些企業(yè)反而陷入了無休止的系統(tǒng)維護升級和資金被迫不斷投入的窘境之中。二、國內(nèi)數(shù)據(jù)中心的的發(fā)展歷程與運維管理框架2.1數(shù)據(jù)中心發(fā)展歷程從業(yè)務(wù)功能上劃分，在數(shù)據(jù)中心基礎(chǔ)設(shè)施的基礎(chǔ)上，結(jié)合不同的應用需求，具有數(shù)據(jù)處理、災難備份、網(wǎng)絡(luò)服務(wù)、開發(fā)測試、用戶支持等功能。從數(shù)據(jù)中心功能變遷進化的角度，數(shù)據(jù)中心經(jīng)歷了三種形態(tài)的發(fā)展， 即計算中心、信息中心和服務(wù)中心。2.1.1 計算中心，即數(shù)據(jù)存儲和簡單計算階段，出現(xiàn)于 20世紀60年代最初，數(shù)據(jù)中心通常被稱為計算中心， 在稱為“機房”的空間中放置一個或多個服務(wù)器，其主要功能是數(shù)據(jù)存儲 (或稱：數(shù)據(jù)存放)和簡單計算，存儲數(shù)據(jù)的介質(zhì)主要有磁鼓、磁帶和磁盤。其主要特點是：功能單一，僅僅用于數(shù)據(jù)或電子文檔的集中存放和管理。3/92.1.2 信息中心，即數(shù)據(jù)處理及業(yè)務(wù)應用階段，出現(xiàn)于 20世紀80年代該階段數(shù)據(jù)中心大多被稱為 “信息中心”。其功能有了較大的擴展，數(shù)據(jù)存儲能力大幅提高;基于網(wǎng)絡(luò)通信技術(shù)和數(shù)據(jù)開發(fā)利用技術(shù)的 MIS(管理信息系統(tǒng))、CallCenter(呼叫中心)、MRPⅡ(制造資源計劃管理系統(tǒng))、CRM(客戶關(guān)系管理系統(tǒng))、ERP(企業(yè)資源計劃管理系統(tǒng))等應用系統(tǒng)開始普及，數(shù)據(jù)中心開始承擔核心計算、數(shù)據(jù)存儲備份和業(yè)務(wù)支撐等功能，以滿足機構(gòu)業(yè)務(wù)發(fā)展的需要。數(shù)據(jù)中心的可用性有較大的提高。在該階段，數(shù)據(jù)中心的重要性逐漸顯現(xiàn)，對某些行業(yè)(如金融行業(yè))而言，數(shù)據(jù)中心已成為必不可少的業(yè)務(wù)支撐平臺。2.1.3 服務(wù)中心，即服務(wù)性數(shù)據(jù)中心階段，出現(xiàn)于 21世紀初隨著信息化建設(shè)的不斷深入，機構(gòu)對信息系統(tǒng)和數(shù)據(jù)完整性的依賴程度越來越高。機構(gòu)對數(shù)據(jù)中心的可用性和服務(wù)性的要求更高， IT服務(wù)管理成為一種標準化的工作，并借助 IT技術(shù)實現(xiàn)集中的自動化管理 ;同時IT績效成為IT服務(wù)管理工作的一部分，IT服務(wù)質(zhì)量成為關(guān)注重點。在這個階段，數(shù)據(jù)中心不僅是成本中心，更是機構(gòu)信息化的服務(wù)中心。該階段數(shù)據(jù)中心除承擔核心計算、數(shù)據(jù)存儲及備份外，開始承擔機構(gòu)的核心業(yè)務(wù)運營支撐、信息資源服務(wù)及業(yè)務(wù)連續(xù)性管理等功能。2.2數(shù)據(jù)中心運維管理框架所謂數(shù)據(jù)中心運維管理框架是指管理一個數(shù)據(jù)中心所使用的方法與手段的總稱。那么，應該用什么樣的方法與手段來管理數(shù)據(jù)中心呢 ?在此，信息技術(shù)基礎(chǔ)架構(gòu)庫(InformationTechnologyInfrastructureLibrary，ITIL)給出了一個比較好的管理框架，即所謂的 4Ps：4/92.2.1 人員數(shù)據(jù)中心所需要管理的對象，包括基礎(chǔ)設(shè)施、IT設(shè)備、系統(tǒng)與數(shù)據(jù)、管理工具和人員等。人員是數(shù)據(jù)中心運維管理的基礎(chǔ)，也是數(shù)據(jù)中心運維管理的核心。一個好的數(shù)據(jù)中心運維管理框架，少不了合適的技術(shù)和管理人員。只有具備相應知識背景與管理經(jīng)驗的人，才能有效地整合上述資源，為客戶提供符合質(zhì)量與合同要求的IT服務(wù)。2.2.2 流程流程是數(shù)據(jù)中心運維管理質(zhì)量的保證。作為客戶IT服務(wù)的物理載體，數(shù)據(jù)中心存在的目的就是保證服務(wù)可以按質(zhì)、按量地提供。服務(wù)與產(chǎn)品有著許多的不同，其中最核心的不同在于服務(wù)本身是看不見、摸不著的，但又是能通過服務(wù)商與客戶的互動為客戶所感受到的。為確保最終提供給客戶的服務(wù)是符合服務(wù)合同的要求，數(shù)據(jù)中心需要把現(xiàn)在的管理工作抽象成不同的管理流程，并把流程之間的關(guān)系、流程的角色、流程的觸發(fā)點、流程的輸入與輸出等進行詳細定義。2.2.3 產(chǎn)品產(chǎn)品是數(shù)據(jù)中心運維管理的加速器。 數(shù)據(jù)中心運維管理涉及的對象龐雜， 且重復性工作較多。若完全依靠人工去完成這些工作， 一方面對人員的技能與數(shù)量有較高的要求，另一方面在工作質(zhì)量的保證方面也存在風險。 為此，越來越多的數(shù)據(jù)中心在開展運維管理工作時使用大量工具， 目的是通過這些工具的部署取代5/9一些監(jiān)控、操作、配置文件、工作流管理等大量重復性工作，最終實現(xiàn)提升運維水平、降低運維風險、減少運維成本的目的。2.2.4 服務(wù)商服務(wù)商是數(shù)據(jù)中心運維管理的支持者。作為專業(yè)化的數(shù)據(jù)中心運維管理，有效地整合數(shù)據(jù)中心管理對象，并最終為用戶提供專業(yè)化的服務(wù)才是數(shù)據(jù)中心服務(wù)提供者的核心價值所在。而且，數(shù)據(jù)中心運維管理中涉及了太多不同種類的設(shè)備，數(shù)據(jù)中心也不可能把所有的技術(shù)與管理工作獨自承擔。聘用一批既懂變壓器、發(fā)電機、UPS，又了解空調(diào)、消防、防火設(shè)備，同時還精通IT相關(guān)軟硬件的人員，對于任何一個企業(yè)或機構(gòu)均是極大的成本支出。所以，數(shù)據(jù)中心需要與許多設(shè)備供應和服務(wù)提供商建立良好的戰(zhàn)略合作關(guān)系。三、三思網(wǎng)安作為服務(wù)商可提供的技術(shù)服務(wù)3.1滲透測試服務(wù)3.1.1 服務(wù)介紹PTS（PenetrationTestService）滲透測試服務(wù)是由三思公司的滲透測試專家(來自于CCERT安全實驗室),模擬黑客的攻擊方法，對信息系統(tǒng)的安全現(xiàn)狀進行評估的一種方法。滲透測試過程包括對系統(tǒng)的弱點、技術(shù)缺陷或漏洞的主動分析,并通過對發(fā)現(xiàn)的漏洞進行利用,從而達到測試目的。滲透測試根據(jù)發(fā)起的地點及方式不同,分為外部滲透測試EPTS（ExternalPenetrationTestService）和內(nèi)部滲透測試IPTS（InternalPenetrationTestService）。3.1.2 服務(wù)及價值外部滲透測試EPTS通過Internet發(fā)起，對客戶的Web站點，Mail服務(wù)器等可以通過Internet訪問的主機和設(shè)備進行滲透。外部滲透測試可以測試當前網(wǎng)絡(luò)防火墻及其它安全措施對站點的防護能力， 及時發(fā)現(xiàn)對外防御措施存在的漏洞或缺陷。內(nèi)部滲透測試 IPTS從客戶企業(yè)內(nèi)部網(wǎng)絡(luò)發(fā)起，對客戶的各種應用系統(tǒng)和網(wǎng)絡(luò)設(shè)備進行滲透。內(nèi)部滲透測試模擬黑客來自企業(yè)內(nèi)部或者黑客已經(jīng)控制個別內(nèi)6/9部主機的情況，可以測試客戶對內(nèi)部機密信息的保護能力及內(nèi)部網(wǎng)絡(luò)系統(tǒng)的防護能力。三思為客戶提供外部滲透測試EPTS服務(wù)和內(nèi)部滲透測試IPTS服務(wù),由三思經(jīng)驗豐富的安全專家結(jié)合您的需求進行滲透測試,提供滲透測試報告，并詳細解釋報告內(nèi)容，包括發(fā)現(xiàn)的風險點及需要采取的補救措施。在客戶修補完成后，進行補充測試，確定所發(fā)現(xiàn)的漏洞已經(jīng)被修復。3.2信息安全咨詢與評估協(xié)助服務(wù) -3.2.1 服務(wù)介紹三思安全咨詢和評估專業(yè)專員通過問卷調(diào)查，現(xiàn)場訪談和現(xiàn)場檢查（包括設(shè)備抽樣進行漏洞掃描和分析），形成專業(yè)的信息安全評估報告。該報告涵蓋了客戶在信息安全管理和技術(shù)方面的主要策略、流程和技術(shù)實現(xiàn)，分析當前策略、流程和技術(shù)實現(xiàn)中存在的漏洞和面臨的風險，并對相關(guān)漏洞給出補救措施建議，對風險提出警示。3.2.2 服務(wù)及價值專業(yè)的信息安全風險評估有助于客戶了解當前存在的信息安全管理缺陷及技術(shù)漏洞?？蛻艨梢砸罁?jù)相關(guān)建議采取適當?shù)拇胧瓿晒芾聿呗院土鞒?，采取技術(shù)手段彌補相關(guān)漏洞，從而使企業(yè)面臨的信息安全風險降低，達到可以接受的水平。同時專業(yè)的信息安全風險評估也可以協(xié)助客戶通過相關(guān)認證，比如ISO27001、PCI認證等。3.3信息漏洞檢測服務(wù)3.3.1 服務(wù)簡介及價值PRHT（Periodicity RemoteHealthTest）先進漏洞診斷系統(tǒng)是由三思公司自主研發(fā)的信息系統(tǒng)基礎(chǔ)設(shè)施安全檢測平臺。 PRHT結(jié)合最新的安全理念，為客戶提供檢查結(jié)果與解決方案緊密結(jié)合的檢測報告， 并提供全方位的網(wǎng)絡(luò)安全遠程支持服務(wù)。PRHT系統(tǒng)以Web為基礎(chǔ)，簡單易用，其后臺是進行弱點和漏洞分析的大型云計算安全分析平臺。該平臺通過遠程對客戶系統(tǒng)進行探測和分析， 檢查并報7/9告系統(tǒng)中存在的弱點和漏洞，為網(wǎng)絡(luò)和系統(tǒng)管理員采取補救措施及實施安全策略提供準確的參考，從而最終達到增強網(wǎng)絡(luò)安全性的目的。3.4安全托管服務(wù)3.4.1 服務(wù)簡介三思公司的信息系統(tǒng)專家組 (來自于 CCERT安全實驗室)為廣大客戶提供MSS（ManagedSecurityServices）安全托管服務(wù)。三思專家對托管系統(tǒng)的安全配置與管理全面負責，為客戶提供可跟蹤管理的安全配置管理。 安全管理服務(wù)涵蓋客戶主要服務(wù)器系統(tǒng)、防火墻系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施（包括路由器和交換機），保障客戶的主要業(yè)務(wù)系統(tǒng)安全穩(wěn)定運行，防止客戶的系統(tǒng)受到入侵或攻擊者損害。3.4.2 服務(wù)及價值一般的用戶IT系統(tǒng)都是由多種業(yè)務(wù)服務(wù)器（包括WEB服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器等）、網(wǎng)絡(luò)基礎(chǔ)設(shè)施（包括接入路由器、核心交換機等）、網(wǎng)絡(luò)安全設(shè)施（包括防病毒服務(wù)器、日志系統(tǒng)、入侵檢測或防護系統(tǒng)等） 組成。保障IT系統(tǒng)的安全運行，保護企業(yè)和客戶的信息不被泄漏，就需要有專業(yè)的團隊對 IT系統(tǒng)進行周期性的安全評估檢測和配置檢測，每天對系統(tǒng)日志進行分析和審核，這些繁重的任務(wù)不但需要花費很多人力、 物力，也需要有專業(yè)知識的人員進行分析。MSS安全托管服務(wù)提供給客戶完全放心的安全服務(wù)，無論是客戶的主要業(yè)務(wù)服務(wù)器還是主要網(wǎng)絡(luò)設(shè)備，三思都可以提供安全性配置管理服務(wù)。用戶不用擔心系統(tǒng)漏洞無人管理，安全配置太過復雜，一切由三思的安全專家為您解決?？蛻糁恍枰獙Ｗ⒂跇I(yè)務(wù)應用。3.4.3 增值服務(wù)購買MSS的客戶不僅可以享受到全年安全配置服務(wù)，全年的電話和郵件支持，還可以參加客戶增值服務(wù)計劃。增值服務(wù)包括一次免費的網(wǎng)站掛馬檢測，每年周期性的漏洞檢測。四、數(shù)據(jù)中心引入安全服務(wù)帶來的價值8/94.1增加收入來源；隨著項目推進再具體確認：具體合作模式的敲定，需要先建立在雙方合作基礎(chǔ)深度認同上。有過數(shù)次合作的愉快嘗試，雙方才能彼此信賴、利益依存。4.2提高核心競爭力（更安全可靠）；