• 快捷搜索
  • 全站搜索

互联网+时代之机房安全运维

2018-01-18 15:45:56作者:中国农业银行内蒙古分行 李建军编辑:金融咨询网
为确保计算平台的安全性,需根据云计算平台中的结构,分别从主机和虚拟化安全、网络安全、业务和数据的安全、运营管理的安全等内容出发,同时要将网络安全的基础设施作为基础,构建分层的高级别安全防御架构。

互联网+时代,随着云计算的发展,人们对云计算机房的硬件以及运维的管理提出了更高的要求,云平台下的机房安全运维管理显得尤为重要,因此,从安全、环保、集中监控和应急管理等角度,对云技术之下的机房运维管理以及当前银行在云计算背景下的互联网发展思路进行相应有效的研究具有一定的意义。

一、互联网+时代下的机房特征

        云计算帮助互联网数据中心提供了新的软硬件资源出租的服务方式。传统的互联网数据中心向云平台下的云计算数据中心逐渐转变已是必然的发展方向。图1是《中国公有云服务追踪研究(2014上半年度)》对近年来中国市场规模的分析和预测。

图片1.jpg

        云计算对数据中心机房的要求是超大规模、高密度、灵活快速地扩展、运维成本的降低、监控和测量自动化资源、较高的可靠性。

        基于上述云计算对于数据中心机房的要求,数据中心机房的环境在设计中需要进行相应的调整,相应的对策要点见表1。

图片2.jpg

二、互联网+时代的机房安全运维管理

        为确保计算平台的安全性,需根据云计算平台中的结构,分别从主机和虚拟化安全、网络安全、业务和数据的安全、运营管理的安全等内容出发,同时要将网络安全的基础设施作为基础,构建分层的高级别安全防御架构。

        1.主机/虚拟安全

        虚拟在给人们带来一定益处的同时,也伴随着一定的安全风险。首先,虚拟层能够真正将虚拟机和主机实现安全的隔离,这是对虚拟机安全性提供保障的根本。其次,虚拟机是在一台主机上运行的,若是主机遭受到破坏,则主机上的全部虚拟机都会遭受到影像。如果虚拟机之间的虚拟网络遭到了破坏,相应的虚拟机也会遭受到破坏,这些虚拟机也会相应地遭受影像。对此应加强虚拟化的安全对虚拟机的隔离及保护,该措施可以防止安全隐患蔓延至全部网络。

        2.网络安全

        网络安全的建设目的是要实现对云计算平台网络抵抗攻击能力的提升,其中重点是采取相应的预防措施,对云计算机中心网络的生存和使用性能实现提升,同时还要对外部的云计算中心流量攻击进行有效防范。网络安全的建设要从划分安全域隔离、动态性的安全防御、传输数据安全等多个方面全面实行。

        划分安全域和隔离区等,将整个网络划分成接入、计算、存储和管理域等以及分布方式下的虚拟交换器,达到各个区域的安全隔离效果,同时使用VPN、防火墙等防止在出现网络安全问题后风险发生进一步的扩散,如图2所示。

图片3.jpg

        动态的安全防御上,实现对边界安全防御的构建、对DDOS攻击的安全监控系统进行构建,建立定期的安全评估和强化机制等,加强病毒防御体系的建设。

        在数据的传输上,数据在传输中可能会遭遇中断、复制、改变、伪造、窃听和监视等多种威胁,需要保障信息在网络传输中的完整、保密和有效性。

        3.业务以及数据的安全

        数据安全主要是对云计算平台的安全做出保障。在租户比较多的环境下,使用者不能对数据进行很好的控制,甚至不能很确定地指导数据的存储位置,这增加了用户对于数据安全的忧虑,同时也给有效控制恶意行为和攻击带来一定难度。

        为了对数据的安全性做出保障,需要强化控制生命周期的安全性,其中包含了对信息的创建、存储、应用、分享、存档和销毁等,详细的技术手段为身份证和访问的有效控制,以及隔离数据、加密数据、保护剩余信息和灾备等,其中灾备实体架构如图3。

图片4.jpg

三、关于云平台机房的集中化控制管理

        机房内集中了多源数据综合后诊断以及预警的功效,可以进行有效的防范。云平台机房的集中化控制管理中存在多个项目,具体的项目如图4所示。

图片5.jpg

        图像监视是在智能化监控屏的音视频接口位置对音视频信号进行采集,有效监控机房的图像、存储硬盘和实现网络的传输。

        环境监控中,使用开关量输入模块以及模拟量的输出模块,将红外、烟雾、水浸和温度变送器等探头的采集信号进行接入,实现对机房的安全防护、火灾、漏水等的监控,实时监视机房内的温度和湿度。

        门禁考勤是要设置在各个机房入口处的门禁读卡设备,实现对机房门禁出入以及考勤的管理。

        设备的监控使用了SMT-2200嵌入式的现场监控主体将机房的USB、专用空调、电源开关以及后备发电机等多种智能化设备实行介入,该设备通常会提供通信接口,实现对上述设备的实时监控,使用专用的电力监控,对各种配电柜中的运行参数和状态实行实时监控。

        集中化管理能够将监控点的数据在LAN/WAN、GPRS等的TCP/IP网络系统作用下传送到监控中心,在集中监控的同时能够实现对设备的集中管理。

        安防监测的功能主要是防盗以及报警,使用“红外+微波”来对人体和物体的移动进行双重监测,使用门磁对门以及窗户的状态同时进行监测,还能一并检测其他防盗报警设备对于机房的安防状态,在发现报警后立刻发出相应的通知如短信和邮件等,对动声光报警实现启动。

        在发生报警后,系统会立刻在第一时间以短信、电子邮件、SNMPTrap和声光等多种方式向用户传达报警信息,并能依据报警的情况实行联动控制,如控制机房的门禁,在出现火灾报警后可以对门禁系统控制进行解除;在机房出现高温报警后,可以对普通空调的温度进行调节,确保温度处于控制范围中。

        消防监测在采集消防控制器的信号以及烟感探测器的报警信号后,实现对机房内火灾状态进行实时监测,在出现烟雾以及出现火苗的时候,系统会及时快速地发出各种通知如短信和邮件等,同时对声光报警等实行启动。

四、互联网+时代机房的绿色环保运维管理

        在机房日常运营中,电力消耗成本比较高,其中数据中心的耗电量最大。由于计算机的资源整合以及业务上多个租户机构的特点,云服务的运用能够帮助企业减少电力的需求以及能源的消耗。Verizoun云计算白皮书内提出了云计算能够使得企业的二氧化碳排放量降低60%以上。英国电信报的相关报告指出,云计算数据中心的高效率运行可以帮助降低50%的能源消耗,促使二氧化碳的排放量减少至91%,云服务能够降低服务器的能量消耗,是实现绿色环保运行的理想方式。

        在云计算技术背景下,运营商可以更好地提升IT设备的资源利用效率,防止出现因设备闲置而造成经济损失,并且适当地降低了数据中心能耗,更重要的是云计算架构中非常重视自服务性,解放了大量人工操作,这种方法可以显著降低人员及管理成本,从而在更大的程度上有效节约资源。

        在数据中心的能耗内,IT设备、制冷系统以及供配电的系统是其中的主要组成部分,对此数据中心的节能技术主要是围绕以下三个方面进行:首先,对于IT设备来讲,节能技术的发展重点是在相等的负载之下,利用虚拟化技术、处理器降频、自动化的休眠以及内核关闭等技术,实现使设备在高效使用的同时降低耗电量。其次,对于制冷系统而言,一方面可以尽量使用自然冷却的途径来降低能量消耗,另一方面还可以借助热管理技术如冷热风道、送风以及会风路径的设计等,对数据中心气流组织实现有效改善,将制冷量的分配实现精确化的按需求分配,从而有效降低冷系统能耗。再次,对于配供电系统来讲,主要的节能技术中包含了选择效率比较高、存在模块化特点的UPS店员;实现合理的配置IT设备以及供电设备的部件,有效减少供电线路上存在的损耗,使用高压直流电来提升供电可靠性以及电源使用效率;有效降低电量损耗,同时提高系统的可维护性。

五、互联网+时代的机房应急管理

        云平台的机房应急管理中有电源、空调、网络和服务器系统等,其中还包含了制定和定期演示练习应急预案。

        在机房的电源系统中,包含了机房高低压的双路变配电、UPS的店员双母线的冗余供电、蓄电池的定期核对以及容量的充电和放电的测试。

        机房空调系统中包含了空调系统的N+l冗余制冷、精确化送风、局部高温应急、辅助轴流分机强制散热、物理降温和室外的环境高温状况的应急措施。

        网络以及服务器的系统中包含了数据备份的迁移,传输双链路的管理、切换双机和设备双电源的冗余供电管理。

六、农业银行内蒙古分行的信息科技工作开展

        1.构建集约平台,保障运营安全

        农业银行内蒙古分行构建了一体化运维管理平台,实现了监管控制一体化的监控体系。首先,借鉴了IOS20000、ITIL国际标准、行业IT运维管理的优秀经验和理念,针对研究交易路由的监控和交易方式,并且模拟探测监控的3D动画功能,在硬件设备的资源监控上,开展对核心、前置和三方存管的监控,对每一笔交易都实行监控,提前预警可能会出现的系统故障。当前已经建成了多套应用系统,建立了以人员、系统和基准值为一体的监控体系,可以及时发现和处理异常事件;其次,使用创新异构双前置模式,确保关键系统的高可用性。笔者所在的分行计算机信息技术部门结合本行的自身情况,研究并设计出了异构双前置系统,实现差异化硬件环境和软件平台、应用处理等,若前置系统应用基础平台发生异常情况,能够及时切换到正常前置系统上,规避单一前置系统的底层缺陷和平台缺陷造成系统瘫痪。全面改造理财、资金和银保通,提升系统的可用性。未来还要实行全方位以及立体自动化限流,规避单一系统异常引起的大面积交易阻塞风险隐患,在发起渠道、交易码维度限流内,使用自身流量控制法结合中间限制交易法,在历史交易数据的基础上,设置业务增长缓冲的区间,并且通过服务的应用自动获得数据,采用释放方式达到交易的双向限流。

        2.实现科技创新,不断提升信息科技服务能力

        针对当前人们对网上银行服务需求的不断增长,农业银行内蒙古分行不断提升自身信息科技服务水平。首先,不断研究开发智慧网银系统,实现智慧搜索、匹配和体型导航功能。同时,提出了专用屏无障碍服务以及电子地图创新功能;此外,还要推广微信银行、惠普基金宝、智能客服等电子银行产品和服务,提升电子银行的竞争力。最后,投产金融IC卡多应用系统,和中国银联连接,对相关支付功能以及手机空中写卡等进行研发,有机融合手机端银行卡安全支付和线下消费。保障银行第二代支付系统顺利上线使用,达到资金一点接入和清算,有效提升资金清算效率。实现影像集中处理的统一化上线使用,以及优化支付融资系统和信贷系统等,有效提升了农业银行的服务能力。

(文章来源:中国金融电脑杂志) 

扫码即可手机
阅读转发此文

本文评论

相关文章