四、区域数据中心网络和主机专项安全防护策略。

　　（一）网络安全防护

　　1.网络安全设备。首先是硬件设备安全，所使用的设备必须符合国家质量技术监督局、公安部《安全技术防范产品管理办法》规定，具有生产许可证，安全认证符合我国3C认证要求和安全与警用电子产品型式检验要求，或具有美国、日本、欧盟等技术先进国家安全防范行业安全认证书，对重要安全产品还必须获得国家保密和安全部门的评泓和认证。

　　2.网络安全设计。在内联网中，如果信息传输采用公用信道，且TCP／IP协议具有开放性，那么数据很容易被窃取、篡改和假冒。而在外联网，如果某些业务系统数据的源头来自各网点，而内联网与外部的连接是通过FR、DDN、X.25和PSTN实现，则必须在链路层和网络层采用一定的安全措施。在链路层，采用支持FR和X25协议的加密设备进行链路加密，并且对个别重要业务的通信使用单独设立PVC通道；在网络层，首先要在内联网与外联网之间使用防火墙、路由器进行数据包过滤、地址转换（NAT）等技术手段，对来自接入网的非法访问进行控制，其次要在局域网内设置虚拟专用网络，实现重要业务系统的服务器与一般的办公用机相隔离，再者是建立统一的网络管理平台和监控平台。

　　3.网络接入和访问控制。一是为了提高网络速度，减少网络数据包的数量（特别是广播包的数量），就必须对网络进行虚网（VLan）的划分，因为业务的划分与部门的设置有着密切的关系，所以划分VLan的原则可以部门为主体进行划分。二是设计信息停火区（DMZ），用来放置与各互连单位进行信息交换的服务器。外部用户访问DMZ中的各服务器时，必须先经过防火墙的地址转换，然后将数据包送到放置在防火墙DMZ区的各个服务器。通过这种网络结构，可以制定针对服务器的安全策略，也可以制订指向内网的安全策略，还可以根据针对服务器的各种攻击进行防范。三是结合实际情况，按照相关安全要求禁止远程接人方式。

　　4.入侵检测系统（IDS和IPS）。IDS／IPS一般部署在不同安全级别的网络边界，可用于监测和抵御网络威胁。在区域数据中心有必要使用专门的人侵检测系统，对网络运行进行实时监控，捕获网络异常事件和访问特定机器的数据包，按一定的规则进行分析、检测，从而确定是否有计算机对网络或受保护的计算机进行攻击，进而堵塞系统设置中的安全漏洞。IDS／IPS对各类黑客攻击行为以及新型的未知的攻击行为能够实时监控，自动检测可疑行为，及时发现来自网络外部或内部的攻击，并实时响应，切断攻击方的连接。

　　5.采用虚拟专用网（vPN）。数据在对外传输时，为保证所有在网络上传输的重要数据的安全性，可以使用VPN技术对重要数据进行加密处理，加密后的数据不仅能够确保其私密性，还具有信息身份认证功能和抗攻击功能，其他人无法将伪造的信息在VPN隧道上传输，并且即使他人截获了数据信息，也无法对加密的信息进行破解。

　　（二）数据中心主机安全防护

　　除了网络基础环境的安全外，区域数据中心主机的信息安全防护体系是另一个重点，一般来说，主机基本上都处在内联网中，所采取安全防护措施主要有以下几个方面。

　　1.防病毒、蠕虫和恶意软件。防病毒、蠕虫和恶意软件可以说是最基本的主机安全防护措施，它可以防止计算机病毒通过网络进行传播和扩散，并对信息资源和网络设备进行保护。区域数据中心主机可安装业界流行的防病毒软件并开启自动防护功能，同时部署防病毒服务器，供客户主机进行实时更新，以防遭受新型病毒、蠕虫和恶意软件的破坏。

　　2.清除木马和间谍软件。木马和间谍软件可以说是一种特殊的病毒，除盗取业务系统的用户和密码，然后进行破坏以外，有些木马和间谍软件还可能会用来盗取重要文件，危害企业秘密信息的安全。因此，除了部署企业版防病毒软件以外，还可定期使用专用工具对主机进行全面扫描，清除木马、间谍软件。

　　3.操作系统安全和补丁分发系统。一是保证主机上安装的操作系统和软件必须是正版软件，以及确保只安装与业务相关的软件。二是根据操作指引，关闭操作系统中不必要的服务，启用相关安全策略。三是针对操作系统和软件本身存在漏洞和安全隐患，在区域数据中心部署补丁分发系统，强制对所有主机进行补丁更新，保证操作系统和应用软件的安全性。

　　4.主机数据文件安全。可以考虑采用以下方式增强数据文件的安全性：一是对于以文件形式存放的涉密文，全部转化PDF格式并使用在线验证的加密机制，其加密算法采用的是256位的AES对称加密，另外对涉密文件的权限进行控制（如设置为“能看、不能改、不能打印”等），进一步对文件进行防护；二是对信息数据进行加密，特别是对使用数据库保存的业务数据，对其中的数据进行加密，使用密文进行保存。

　　5.主机漏洞的管理。使用成熟的漏洞扫描系统，基于其最新的安全漏洞库，对区域数据中心主机漏洞进行定期扫描，分析和检测主机中存在的弱点和漏洞，并按照修补方法和安全实施策略进行加固。

　　6.日志分析管理。对数据中心主机的业务系统、操作系统和安全防护系统的日志进行分析，如通过对业务系统中失败登录的次数、硬盘使用的情况、文件错误的分析来跟踪业务系统的状态；通过分析操作系统的设备驱动程序启动失败情况、硬件错误、服务运行等日志，解决操作系统和硬件的故障；通过对防病毒系统日志进行分析，发现区域病毒发作的特点并提出解决方法。