浅析新一代数据中心.docx

浅析新一代数据中心.docx

《浅析新一代数据中心.docx》由会员分享，可在线阅读，更多相关《浅析新一代数据中心.docx（38页珍藏版）》请在冰豆网上搜索。

浅析新一代数据中心

本科毕业论文（设计）

题目浅析新一代数据中心

——从重庆长安工业集团看数据中心的安全

学院计算机与信息科学学院

专业网络工程

年级2006级

学号222006321072081

姓名张洋

指导老师张自力

成绩

2010年4月20日

目录

引言：

5

1：

新一代数据中心的基本概念及特征5

1.1新一代数据中心的基本概念5

1.2数据中心的类型7

1.3新一代数据中心的特征8

2重庆长安工业集团数据中心简介11

2.1重庆长安工业集团介绍11

2.2重庆长安工业集团数据中心拓扑11

2.3主要网络设备简介12

2.4长安工业集团的数据中心是否是新一代的数据中心12

3企业网数据中心的安全威胁及风险分析13

3.1XX的访问13

3.1.1内部窃密和破坏14

3.1.2通过INTERNET接入14

3.1.3搭线窃听14

3.2假冒14

3.3拒绝服务15

3.4数据完整性破坏15

3.5病毒、木马15

3.5.1病毒15

3.5.2木马16

3.6管理及操作人员缺乏安全知识16

3.7不可控因素16

4数据中心的安全分析16

4.1数据中心层次结构的安全分析17

4.1.1环境和硬件17

4.1.2网络安全18

⑴常用协议的安全威胁及解决方法18

⑵网络系统安全分析23

4.1.3应用安全29

⑴操作系统29

⑵虚拟化技术30

4.1.4安全管理31

⑴制定安全管理制度31

⑵强化安全意识教育32

⑶安全审计33

4.2数据中心网络基础设施安全分析33

4.2.1冗余设施33

4.2.2控制对网络设备的访问34

4.3数据中心数据的安全分析34

4.3.1数据通信加密34

4.3.2数据备份与恢复34

4.3.3数字签名35

4.4数据中心的其他安全分析35

4.4.1负载均衡35

结论35

参考文献：

36

致谢：

36

浅析新一代数据中心

——从重庆长安工业集团看数据中心的安全

张洋

西南大学计算机与信息科学学院，重庆400715

摘要：

随着计算机网络技术的不断发展和社会信息化程度的逐步提高，数据中心在经历了十多年发展历程后，也进入了新的阶段。

企业数据中心作为整个企业网络架构的核心部分，有着非常重要的地位。

新一代数据中心的出现极大地促进了企业业务的发展，而企业在享受数据中心带来生产力提高的同时，其内在的建设也成为了业内的热点，这使得近些年来新一代数据中心市场发展迅猛。

在面对日益繁复的应用和日渐频繁的外界攻击时，一个好的数据中心除了应对数据的存储和传递之外，能否保证数据的安全性也是衡量其合格与否的重要标志。

本文就新一代数据中心中人们所关注的方面进行简单的分析，希望能达到引玉之砖的作用。

关键词：

新一代数据中心；安全性；网络；数据；

ResearchontheAbilityofDataSecurityofNew-generationDataCenter--TakingtheChangAnIndustryGroupastheExample

zhangyang

CollegeofComputerandInformationTechnology,SouthwestUniversity,Chongqing400715,China

Abstract:

Withtheevolvingdevelopmentofnetworkingtechnologyandtheincreasinglevelofsocialinformation,thetechnologyonDataCenterConstructionhasenteredanewphaseafterthecourseofdevelopmentduringthepastdecade.EnterpriseDataCenter,thekernelofenterprisenetworkarchitecture,playsanincreasinglyimportantrole.Theemergenceofthelatestdatacentershasgreatlypromotedthedevelopmentofbusiness,andenterprisesenjoythebenefitsofproductivityincreaseduetoitwhiletheinternalconstructionbecomestheindustry'shotspots,too.Thisphenomenonmakesthemarketoflatestdatacenterrapidlydevelopinginrecentyears.Facingincreasinglycomplexapplicationsandsubsequentattacksfromoutside,asuperiordatacenter,notonlyrequirespowerfulperformanceatdatastorageandtransmission,butalsotheabilitytoensuredatasecurity,whichisanimportantindicatorofwhetherornotqualified.Thispaperfirstanalyzestheoriginandthestatusquooflatestdatacentertechnologyofattention,tostartaresearchinthearea.

Keyword:

new-generationdatacenter；security；network；data；

引言：

随着计算机网络技术的不断发展和社会信息化程度的逐步提高，人们对数据的传输、存储、处理和管理的要求越来越高。

而数据中心在经历了十多年发展历程后，也进入了新的阶段。

数据中心（DataCenter，DC）是数据大集中而形成的集成IT应用环境，是各种IT应用业务的提供中心，是数据计算、网络传输、存储的中心。

数据中心实现了IT基础设施、业务应用、数据的统一、安全策略的统一部署与运维管理。

数据中心是当前运营商和各行业的IT建设重点。

通过数据中心的建设，实现对IT信息系统的整合和集中管理，提升内部的运营和管理效率以及对外的服务水平，同时降低IT建设的TCO。

数据中心通常直接面向互联网或者专用网络，由于网络的开放性和不可预知性，使得数据中心时刻面临外部威胁，对企业来说，企业的重要数据直接关系到企业的存亡，数据中心一旦出现安全事故，将会造成巨大的经济损失，据IDC的统计数字表明，美国在2000年以前的10年间发生过灾难的公司中，有55%当时倒闭，剩下的45%中，因为数据丢失，有29%也在两年之内倒闭，生存下来的仅占16%。

数据中心对军工企业更为重要，一般的企业，其服务对象基本固定且有限，而军工企业直接面对的是国家安全机关，一旦发生资料外泄问题，将对国家的安全产生影响，由于我在H3C期间负责重庆长安工业集团数据中心的建设，所以本文将结合重庆长安工业集团就新一代数据中心的安全问题进行分析与探讨。

文章将从构成数据中心的网络硬件方面；构成数据中心的系统软件方面（重点是操作系统）等方面分析数据中心的安全对策。

全文旨在通过对数据中心的安全性分析，加强预防管理，为数据中心的安全起到积极推动的作用。

1：

新一代数据中心的基本概念及特征

1.1新一代数据中心的基本概念

“新一代数据中心”这个概念始于2004年，当时由美国《NetworkWorld》报社推出了这样一个概念。

此后几年时间内，每年美国《NetworkWorld》报社都有6期的专题报道，对于新一代数据中心建设的有关产品、技术以及用户的应用实践进行详尽的报道。

2005年，TIA-942《数据中心的电信基础设施标准》出台，根据TIA-942《数据中心的电信基础设施标准》的定义，数据中心是整个建筑或此建筑的一部分，它的主要功能是为数据处理、存储和通信的设施提供存放的空间以及此空间的其他支持区域。

按照TIA-942:

DataCenterStandardsOverview将不同的需求定义划分为4级:

Tier1-基础：

可用性99.671%

∙允许来自可知和未知行为的破坏

∙无备用系统，单路供电和冷却系统

∙提升地板，UPS和备用发电器为可选的

∙需要花费3月部署

∙年当机时间小于28.8小时

∙在一些预防性的维护中系统可以被完全关闭

Tier2–冗余组件可用性99.741%

∙较少的允许来自可知和未知行为的破坏

∙有备用系统，单路供电和冷却系统

∙包含提升地板，UPS和备用发电机

∙需要花费3到6个月部署实施

∙年当机时间小于22.0小时

∙只在对电路设备和其他基础架构设备维护时需要关闭系统

Tier3–实时可维护可用性99.982%

∙允许安全可知的硬件操作行为，但不能避免未知行为的破坏

∙有备用系统，支持单路激活多路切换的供电和冷却系统

∙需15到20个月部署实施

∙包含提升地板，充足的容量可以在性能维护时启用备用系统

Tier4–容错可用性99.995%

∙可知行为不会破坏临界点，数据中心可以忍受至少一个最坏的未知时间对系统的冲击

∙多路激活的供电和冷却系统，包括设备冗余

∙花费15到20个月部署实施

∙年当机时间低于0.4小时

不同的级别满足不同的需求。

在HP公司发表的《新一代数据中心建设理论与实践》上有如下描述：

我们根据数据中心的基础设施组成、管理与服务需求，定义新一代数据中心为：

新一代数据中心基于标准构建模块，通过模块化软件实现自动化24x7无人值守计算与管理，并以供应链方式提供共享的基础设施、信息与应用等IT服务。

也就是说，新一代数据中心应是一个整合的、标准化的、最优化的、虚拟化的、自动化的适应性基础设施环境（AdaptiveInfrastructure）和高可用计算环境。

这样的新一代数据中心须要利用最新的IT技术、解决方案与服务才能实现，如服务器和存储虚拟化、虚拟网络连接、智能热量技术、刀片技术、智能散热、数据中心自动化等。

根据以上定义，新一代数据中心将能满足IT部门对未来数据中心的迫切需求，如标准化、模块化、虚拟化设计，动态IT基础设施（灵活、资源利用率高），24x7自动化运营管理（流程自动化、数据中心自动化），支持业务连续性（容灾、高可用），提供共享IT服务（跨业务的基础设施、信息、应用共享），快速响应业务需求变化（资源按需供应），绿色数据中心（节能、减排）等。

这样，新一代数据中心为我们的企业或机构带来的一系列好处：

•降低IT运营成本—适应性基础设施将非共享的专用IT孤岛转变为动态管理、集中、可共享的IT资产，提高资源利用率，并对资源进行重新部署，以满足不断变化的业务需求和降低IT成本；

•提高服务质量，降低风险—适应性基础设施通过对制定的服务级别标准进行服务质量评估，提供最佳的使用体验，实现资源按需供应。

同时，利用各种增强的安全特性，构建并维护IT环境，使业务风险大大降低；

•加快实施IT变更的速度，提高业务灵活性—适应性基础设施可轻松评估变更需求，加速部署新产品和新服务的速度，更快地响应不断变化的业务环境与市场竞争环境，提高业务灵活性；

•推动业务增长—适应性基础设施借助自动化和更高效的管理流程，使释放宝贵资源用于服务创新，从而加速业务增长；

1.2数据中心的类型

⑴自用型数据中心：

该数据中心是企业或机构自己投资建设和管理，并仅为自己提供通信和数据服务。

企业或机构的WEB服务器、内部交换机、存储单元以及其他相关设备一般都安放在这里。

重庆长安工业集团就属于这一类型，有专门的数据中心及管理人员。

⑵主机托管型数据中心：

主要是网络运营商投资建设，以经营的方式为使用单位提供机房场地和设施设备租赁服务和委托管理服务。

1.3新一代数据中心的特征

这里仍然采用在HP公司发表的《新一代数据中心建设理论与实践》中的描述：

过去，IT对企业或机构的业务活动仅起到支持作用。

而现在，IT已成为推动业务发展的源动力。

为此，多数企业或机构迫切期待通过改造数据中心或建设新一代数据中心有效地管理并优化IT基础设施，实现数据中心的IT服务交付自动化。

正如以上新一代数据中心的定义，新一代数据中心的目标是实现高度自动化的、24x7全天候无人值守的、适应性基础设施供应环境，并将数据中心构建为IT服务的供应链。

这是一种崭新的运行模式—将IT作为一种业务服务运行，使其不再是企业或机构的成本中心，而是发挥其服务职能。

新一代数据中心有助于将企业或机构的计算资源、应用和信息进行整合，以更好地为企业或机构提供IT服务。

新一代数据中心可帮助IT机构打破高成本的静态IT孤岛，转化为低成本的动态化IT资产，完全符合数据中心的发展趋势。

新一代数据中心的几个主要特征：

（1）模块化的标准基础设施

在新一代数据中心中，为使IT基础设施简化和具有适应性与可扩展性，需要对服务器、存储设备、网络等基本组成按工业标准进行模块化配置设计，以使这种配置更易于针对数据中心的服务需求量身打造。

刀片技术为IT基础设施模块化提供了有力支持，利用刀片化的服务器与存储器十分容易实现系统按需配置与扩展，刀片技术为数据中心模块化起到了无可争辩的作用。

基于标准的模块化系统能够简化数据中心的环境，加强对成本的控制。

这是一切开始的基础，进而实现使用一套可扩展、灵活的IT系统和服务来构建更具适应性的基础设施环境，从而提高运营效率、降低复杂性和风险。

（2）虚拟化资源与环境

在新一代数据中心中，广泛采用虚拟化技术将物理基础资源集中在一起形成一个共享虚拟资源池，从而达到更加灵活和低成本地充分有效使用资源。

通过服务器虚拟化、存储虚拟化、网络虚拟化、应用虚拟化和数据中心虚拟化等解决方案，不仅可以可帮助企业或机构减少服务器数量、优化资源利用率、简化管理，更主要是帮助企业或机构实现动态IT基础设施环境，从而降低成本、能快速响应业务需求的变化等目的，为企业或机构实现数据中心自动化和业务连续性提供必要的、坚实的基础。

虚拟化是新一代数据中心中使用最为广泛的技术，也是与传统数据中心的最大差异（高成本的分散资源孤岛与低成本的集中资源池）。

（3）自动化远程管理

新一代数据中心应是24x7无人值守的、可远程管理的，这种管理涉及到整个数据中心的自动化运营，它不仅仅是监测与修复设备的硬件故障，而是要实现从服务器和存储系统到应用的端到端的基础设施统一管理。

先进的自动化功能可以动态地重新分配资源，确保IT与业务协调一致。

通过将重复性的任务自动化，IT机构可以降低成本，减少人为错误。

自动化，虚拟化和管理的有机结合能帮助IT机构按照预定的计划实现所需的服务等级。

今天，管理员只要有一个浏览器，就能通过Internet实现可视化远程管理，也能进行统一的系统漏洞与补丁管理、主动的性能管理与瓶颈分析、快速的服务器与操作系统部署、系统功率测量与调整。

甚至，数据中心中的门禁、通风、温度、湿度、电力都能够远程调度与控制。

总之一切均可自动的远程管理，而不依赖于人工干预。

（4）快速的可扩展能力

在新一代数据中心中，所有的服务器、存储设备、网络均可通过虚拟化技术形成虚拟共享资源池，而被数据中心中的各种应用系统共享。

新的集成虚拟化方案通过资源所有权分离手段将硬件拥有者与应用拥有者进行逻辑分离，使系统管理员可通过软件工具快速进行虚拟资源的创建和重新部署，成为IT服务的共享资源。

然后，根据已确定的业务应用需求和服务级别并通过监控服务质量来动态配置、定购、供应虚拟资源，实现虚拟资源供应的自动化，获得基础设施资源利用的快速扩展能力。

而且，这种资源扩展能力是按不断变化的业务需求实时变化的，或扩展或收缩（按需要从虚拟池获得，不需要时归还虚拟池，让其它系统共享），形成高度灵活的系统扩展性。

（5）节能与节省空间

传统数据中心设计追求的是性能，而新一代数据中心在当今能源紧缺与能源成本迅猛增涨的情况下必然追求的是能源效率（PUE），提高数据中心空间利用率。

在新一代数据中心中，将大量使用节能服务器和节能存储设备和刀片服务器，并通过先进的供电和散热技术（新型电源组件、热量智能、功率封顶、水冷却机柜、紧耦合散热、动态智能散热等），解决传统数据中心的过量制冷和空间不足的问题，并实现供电、散热和计算资源的无缝集成和管理。

新一代数据中心将是一个能高效利用能源和空间的数据中心，和支持企业或机构获得可持续发展的计算环境。

（6）高IT资源利用率

在新一代数据中心中，为解决传统数据中心的IT资源利用率十分低的问题（服务器的平均利用率低于20%）而广泛采用虚拟化技术进行系统和数据中心整合。

虚拟化技术有助于打破孤岛效应，共享IT资源，提高资源利用率（超过80%），降低成本，使IT基础设施具备更高的灵活性，并确保供需平衡。

（7）高可用性冗余设计

新一代数据中心应该是24×7连续运行的，其服务不允许有任何的中断（包括计划内的维护）。

企业或机构的数据中心由于重要信息和核心应用的集中，各种原因的故障或灾难导致的IT系统中断都可能引起业务中断，特别是关键业务系统中断将会对企业生产和机构运营产生重大影响。

因此，新一代数据中心特别强调系统中各部分的冗余设计、容错以至容灾设计，使之能确保稳定持续的系统连接，既满足关键业务对系统性能的要求，又能保障企业或机构数据的安全。

在新一代数据中心中，建立高度可信赖的计算平台（容错和容灾计算环境）是第一位的，然后是信息安全保障，包括网络安全威胁防范、数据复制与备份、容灾中心建设等措施，从而满足连续服务的高可用性要求。

（8）面向服务的计算平台

从数据中心的价值观发展看，它已经从过去单纯提供技术、提供应用和信息，演变为今天提供业务服务。

因此，采用面向服务的体系结构（SOA）建设新一代数据中心将是必然趋势。

对于建设基础设施来说，SOA是一种基于服务的结构化方法;但是，对于IT体系结构和治理来说，SOA是一种基于服务的设计方法。

在新一代数据中心的建设中，采用SOA模式将依赖面向服务的基础设施（ServiceOrientedInfrastructure，SOI），并通过封装他们的基础设施、应用、流程作为“服务”规划与设计计算平台。

然后，这些“服务”在需要时能被不同的部门重新部署与调用，引人注目地改善了数据中心的灵活性和企业的适应性。

SOA是一种基于标准的、松散耦合的体系结构。

基于SOA标准设计与建设的新一代数据中心，不仅将使我们的企业或机构具有更强的业务灵活性和竞争优势，而且，还可以满足未来的未知业务需求，获得最大的IT投资回报。

可见，新一代数据中心需要具备更快、更强、更节能的特点，同时，对企业尤其是游戏行业还必须重点关注安全保障问题，不但要有完善的信息安全方案，还要覆盖到数据的安全存储，这是与传统安全所不同的地方。

2重庆长安工业集团数据中心简介

2.1重庆长安工业集团介绍

重庆长安工业集团组建于2009年7月，是中国兵器装备集团公司整合旗下业务，对原重庆长安汽车集团的非汽车业务进行战略重组，成立的国有特大型军民结合型企业，是国家重点支持的保军骨干企业之一。

长安工业集团作为国家现代常规重点特种产品科研、试制、生产基地，拥有占地达3000亩的全新现代化生产基地及1万多名员工，涉足多个领域、多个平台、多个系列的研发、制造，总体规模超过亿元。

2.2重庆长安工业集团数据中心拓扑

局域网为接入层交换机及汇聚层交换机，布置于每层大楼，在数据中心的设备如上图所示，服务器30多台，多为小型机，操作系统以Windowsserver2003以及红帽子Linux为主。

2.3主要网络设备简介

防火墙：

采用DPtechFW1000系列防火墙。

防火墙的目的是要在内部、外部两个网络间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

具体地说，设置防火墙的目的是隔离内部网和外部网，保护内部网络不受攻击。

IPS：

入侵预防系统（IPS:

IntrusionPreventionSystem）是电脑网路安全设施，是对防病毒软体（AntivirusPrograms）和防火墙（PacketFilter,ApplicationGateway）的补充。

入侵预防系统（Intrusion-preventionsystem）是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

UTM：

由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，同时将多种安全特性集成于一个硬件设备里，形成标准的统一威胁管理平台。

UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。

路由器：

连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。

此拓扑中的路由器为核心路由器，采用H3C的一款高端路由器6506，采用双主控。

交换机：

完成同一网段中信息交换功能的设备。

此拓扑中的交换机为核心交换机，采用H3C最新最好的交换机，型号为12508。

防火墙实现网络层的安全保护、IPS实现基于应用层的安全保护、交换机实现基于设备本身的集成安全特性。

该三重安全防护手段能够实现网络1－7层的全面防护。

同时采用统一安全管理中心实现对数据中心的统一安全监控、分析、联动、抵御。

2.4长安工业集团的数据中心是否是新一代的数据中心

新一代数据中心的几个主要特征：

（1）模块化的标准基础设施：

服务器采用刀片技术，路由器、交换机、UTM、IPS都采用插卡形式，所用的都是标准的板卡。

符合第一条标准。

（2）虚拟化资源与环境：

服务器采用了虚拟化技术，在服务器群中，基本是由两台服务器虚拟成一台服务器对外提供服务，当一台服务器出现故障时，另一台服务器将激活并对外提供服务，对用户而言并没有任何改变。

而一台服务器上的业务是由多个操作系统来提供的，也是虚拟化的一种，符合第二条标准。

（3）自动化远程管理：

通过SSLVPN板卡的使用，管理员只要有一个浏览器，就能通过Internet实现可视化远程管理。

符合第三条标准。

（4）快速的可扩展能力。

路由器、交换机、UTM、IPS都采用插卡形式，并预留了多余的插槽，当需要扩展时，只需要简单的插入相应板卡就行，具有非常快速的可扩展能力。

符合第四条标准。

（5）节能与节省空间：

板卡的使用就节省了设备的空间，以前需要一台设备，现在只需要一块板卡，为企业节约了空间，服务器VMware虚拟化的使用，也为企业节约了服务器的能源与空间。

符合第五条标准。

（6）高IT资源利用率：

服务器VMware虚拟化的使用，也提升了服务器资源的利用率。

符合第六条标准。

（7）高可用性冗余设计：

服务器之间的冷备、路由器交换机上的双主控，就是基于高可用性的冗余设计。

符合第七条标准。

（8）面向服务的计算平台：

从长安工业集团数据中心