数据中心网络安全建设刻不容缓！随着互联网、大数据的发展，涉及数据中心的业务越来越多，数据中心建设成为了一个充满发展前景的新星产业，然而大数据的快速发展，给数据中心建设带来机遇的同时也伴随着新的安全隐患，因此数据中心网络安全建设刻不容缓。

　　数据中心网络安全建设可以从物理安全和网络安全两个方面着手：

　　一、 物理安全：

　　1、物理访问控制：机房存放着网络设备、服务器、办公环境以及信息系统的设备和存储数据的介质及相关设备场所，机房各出入口应安排专人负责，记录进入的人员，划分关键设备与非关键区域，区域之间通过玻璃隔断实现物理隔离，关键区域采用智能卡和指纹识别的门禁系统，对进入关键区域人员实现“双道”鉴别。

　　2、温湿度控制：机房存放着不同业务系统的主机，由于主机在运行时会产生大量的热量，而保证良好机房环境的精密空调系统则成为不可获取的必备设施。而机房精密空调系统就是为了保证公司内部机房中的网络设备、安全设备、服务器等一系列硬件设施能够连续、稳定、可靠地运行，同时，精密空调系统还需要维持机房内恒温恒湿状态，防止静电现象的产生导致设备的损坏。

　　3、电力供应：公司机房的其供电要求非常高，按照等级保护四级系统的要求应采用UPS不间断电源，以保证在机房断电的同时，通过UPS不间断的供电来保证机房内部实施的稳定、正常运行，为电力抢修赢得时间。同时其供配电系统应采用N + 1冗余并机技术以实现空调设备、动力设备、照明设备、测试设备等设备的正常使用。

　　4、动力环境监控系统：数据中心机房除了部署视频监控系统、UPS系统、消防系统、精密空调系统，还应该部署水敏感检测装置、红外告警装置等，且所有系统统一集成动力环境监控系统中，方便机房管理员有效了解温湿度、消防、电源、UPS等状态以及告警信息，及时对告警信息进行分析和处理。

　　二、网络安全：

　　1、区域边界安全。应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查;应逐步采用网络准入、终端控制、身份认证、可信计算等技术手段，维护网络边界完整性。安全区边界应当采取必要的安全防护措施，禁止任何穿越数据中心中不同业务之间边界的通用网络服务。数据中心中的的业务系统应当具有高安全性和高可靠性，禁止采用安全风险高的通用网络服务功能。

　　2、拒绝服务攻击。在数据中心中针对网络层面的攻击主要包括分布式拒绝服务攻击(DDOS)、拒绝服务攻击(DOS)等。虽然DDOS/DOS存在由来已久，但其破坏力却仍然被网络管理员以及安全管理员所忌惮。最常见的DDOS攻击方法有ECF、SYN、Flood。部署相关的网络安全设备，抵御DDOS/DOS的攻击。

　　3、网络设备防护。实施工程师和容户之间存在不可或缺交流的问题，大部分实施工作以能够“通信”为原则，忽略网络设备安全防护的能力。设备应该关闭使用多余接口、采用SSH V2作为远程管理协议、为不同管理员分配不同权限的账号，实现“权限分离，多人账号管理”根据业务的要求，制定详细访问控制策略，提升网络设备的安全性。

　　4、恶意代码防护。随着技术的快速，数据中心网络面临各种可能性的攻击。缓冲区代码溢出、植入病毒、蠕虫攻击、植入后门木马等，其中，应用攻击中最典型的方式为蠕虫攻击。蠕虫是指“通过计算机网络进行自我复制的恶意程序，泛滥时可以导致网络阻塞和瘫痪”。在数据中心网络出口处部署恶意代码防护系统，防止计算机病毒、木马和蠕虫从网络边界处入侵而造成的传播破坏，对恶意代码进行检测和清除。

　　5、入侵防护防御系统。随看业务系统发展的需要，WEB服务器需要暴露公网环境中，随时都面临被攻击的可能性。在DMZ边界部署入侵防御系统，能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、 VOIP攻击以及点到点应用滥用，制定详细入侵防范策略，修改默认策略，发生攻击行为时记录日志。

　　数据中心网络安全技术突破了传统的物理结构限制的壁垒，高效整合和利用了备项基础设施资源，为网络技术发展和虚拟化技术发展带来革命性突破，同时也给信息产业带来新的机遇。