互联网协议群 Ｉ ｅｎ ｔ ｒｔｃ ｌ ｕ ｅ 的授权许可，防止非法的访 问以及恶 虑今后业务和网络安全协调发展 的需 ｒｅ Ｐｏｏ ｏ Ｓ ｎ ｔ ｉ ｔ 的简写 ） ，安全 审计 等 ； 系统 安全 ： 性的攻击入侵和破坏 ； 避免 因只满足 了系统安全要求， 二是建立高可 求 ，
分 为 不 同的功能 区域 。
禁止不同区域之间的网络在不采取任 如果某块安全 业务板卡 出现 故障 问 题 ，交换机会进行数据转发层面的二
层 回退 ，即数据 流 不再 必经 通过 出现
采用模块化的架构设计方法可以 何安全访 问控制的前提下直接互通 。 （ ） 点 、线 、面 ”安 全布局 三 “ 在数据中心中清晰区分不同的功能区 域 ，并针对不同功能区域的安全防护
的潜能 ，避免投资的浪费。
安全从 而成 为数据 中心 安全 的基础 单纯一种安全手段不可能解决全部安 支持 。因此合理 的网络安全 体 系设 全 问题 ； 二 ）多重保护原则 ： 【 不把
数 据 中 心 网络 安 全体 系
２ １ 年第７ ・ ０２ 期 甚嚣 ７ ７
设 计
（ ） 一 模块化功能分 区 为了进行合理的网络安全设计 ，
【 关键词 】 数据 中心
网络安全
档案馆数据 中心 （ 以下简称数据 计 、构建安全可靠的数据 中心基础网 整个系统的安全寄托在单一安全措施
中心 ） 安全围绕数据为核心 ， 从数据 络 平 台是进 行数据 中心安全 建设 的 或安全产品上 ； 三 ） （ 性能保障原பைடு நூலகம் ：
的访 问、使用、破坏 、修改、丢失、
数据 中心机房的安全 ，包括机房 的选 原 则 址， 机房场地安全 ， 防电磁辐射泄漏 ，
尽量采用最新的安全技 网络是数据传输的载体 ，数据中 易操作原则 ： 防静电 ，防火等内容 ； 网络安全 ： 指 心 网络安全建设一般要考虑以下三个 术 ，实现安全管理 的自动化 ，以减轻
数据中心网络 自身的设计、构建和使 方面 ： 一是合理规划网络的安全区域 安全管理的负担 ，同时减小 因为管理 用以及基于网络的各种安全相关的技 以及不同区域之间的访 问权限 ，保证 上的疏漏而对系统安全造成的威胁 ； 术 和手段 ，如 防火 墙 ，Ｉ Ｓ（Ｐ Ｐ １ Ｓ是 针对用户或客户机进行通信提供正确 （ ） 六 适应性 、灵活性 原则 ： 充分考
基本内容 。
安全产品的性能不能成为影响整个网 络 传输 的瓶颈 ； 四 ） （ 平衡性原 则 ：
泄漏等多方面维度展开 ，一般来说包
括以下几个方面 ： 物理安全 ： 主要指
一
、
数 据 中 心 网络 安 全 建 设 制定规范措施 ，实现保护成本与被保
护信息的价值平衡 ； 五 ） 管理 、 （ 可
安全边界的定义实现了对不同区 故障的安全板卡进行处理 ，而是直接
要求来进行相应的网络安全设计。这 域之间相互访问的控制 ，而各个功能 由交换机进行正常的数据转发 ，保证 样的架构设计具有很好的伸缩性 ，根 区域内根据安全保护等级的要求以及 整个业务的不中断。
（ ） 三 一般独立的安全设备 无法 据未来业务发展的需要 ，可 以非常容 安全访问的特性 ，需要分别设计各 自 提供设备本身的高可靠保证 ，而这种 易的增加新的区域 ，而不需要对整个 的网络安全布局。
功 能 区域 的边界 需要 采 用一定 的 技术 据 中心交换机上 ， 使得整个网络线路
手段 （ 通常部署防火墙硬件设备 ） 定 得到大大的简化 ，这种部署方式具有 义成独立的安全 区域 。不同安全区域 以下技术优势 ：
（ ） 一 大大简化了网络安全区域 首先要求对数据中心的基础网络 ，采 之间的网络如果需要相互访 问，应该 用模块化的设计方法，根据数据中心 遵从有限互通的原则 ，按照不同功能 的拓 扑结 构 。 （ ） 二 降低 了由于安全设备单点 服务器上所部署的应用的用户访问特 区域之间安全信任级别的不同，在安 性和应用的核心功能 ，将数据中心划 全边界上部署不同的访 问控制策略 ， 故障对数据 中心网络可用性的影响 ，
安全 日志和事件的统一分析和记录。
（ 综合 以上几点，数据 中心的网络 评估安全设计方案的可操作性 ；九 ） 抛开 物理安全 的考 虑 ，网络是 安全建设可以参考 以下原则 ： 投资保护原则 ： 要充分发挥现有设备 （ ） 一 整体性原则 ：木桶原理 ” “ ，
数据中心所有系统的基础平台，网络
工具所进行的系统安全分析和加固 ； 数据在传输过程 中被读取和改变 ； 八 技术与管理并重原则 ： 三分技 “ 三 （ ） 数据安全 ： 数据的保存 以及备份和恢 是提供对网络平台支撑平台 自身的安 术 ，七分管理” ，从技术角度 出发的
复设计 ； 信息安全 ： 完整的用户身份 全保护 ，保证网络平台能够持续的高 安全方案的设计必须有与之相适应的 认证以及安全 日志审计跟踪，以及对 可靠运行。 管理制度同步制定 ，并从管理的角度
论 档 案馆数据 中心 网络安全建设
口 房 荣 军
【 摘 要 】由于档案馆数据中心承载着档案馆的核心业务和档案数字化数据，同时为企事业单位内部、外部以及社会大
众等提供档案检 索利 用和数据 交换服务 ，因此在档案馆 的数据 中心建设过程 中，安全体 系建设成为重点的主
题 。本文将从档案馆数据 中心 网络安全建设原则、 网络安全体 系设计 、网络的安全虚拟化等方面展 开讨论 。
包括服务器操作系统 ，数据库 ，中间 靠的网络平 台，为数据在网络中传输 而给业务发展带来障碍的情况发生 ； 件等在内的系统安全 ，以及为提高这 提供高可用的传输通道 ，避免数据的 【 ） 可用原 则 ： 七 高 安全 方案 、安全
些 系统 的 安全 性而 使 用安全 评估 管理 丢失 ，并且提供相关的安全技术防止 产 品也 要遵 循 网络高 可用性 原 则 ；