如何应对针对主灾备站点的蓄意攻击?存储与灾备

2013-07-03    来源:TechTarget中国    编辑:佚名
保护信息技术架构时需要结合一系列物理和本地资源。除了本地保护,还要确保数据中心的物理架构也要受到全面保护。

  尽管有关网络安全的争议都关注于保护数据中心网络安全边界免受未授权渗透和后续攻击,但IT经理们也不能忽视主灾备站点的物理攻击问题。也就是说,我们不仅要关注外部集中攻击,还要对数据中心基础架构的潜在内部攻击有足够的重视。

  举个例子来说,从某个街道访问你的数据中心可能会经过地下通道等,但是在这段路径上,可能恰巧会经过电线杆。当然这些电线杆线路上会携带各种服务,这就成了其他恐怖分子或攻击者的主要目标。

  提示:要联系电力、电信或电视服务提供商,弄清楚你的服务是如何从中央控制中心路由到你的网站的。顺便了解一下是否有备用路由可以对主灾备站点提供额外的保护。

  大概10年以前,随着美国911恐怖袭击的发生,美国银行和金融业监管机构(包括美联储、货币证券交易管理委员会办公室等)颁布了关于建议采取措施降低对银行机构信息系统和网络攻击风险的白皮书。其中一项建议就是将灾备站点搭建在距主数据中心至少500英里以外的地方,这样就能将对两个数据中心同时遭受攻击的可能性降至最低。最后将两个站点的距离减少至30英里。

  提示:要确保主数据中心和灾难恢复站点之间保持足够的距离,这样可以降低它们同时遭受物理攻击的可能性。如果你只有一个数据中心,可以考虑利用第三方机构在距离主数据中心有足够距离的地方搭建一个灾难恢复站点。另外一个降低遭受物理攻击可能性的方法是将数据中心放置在一个不显著的位置,例如废弃的仓库等。这种方法已经在一些华尔街公司广泛采用。如果你的数据中心坐落于一个较新、较现代化的建筑里,那么标明数据中心位置的标识要尽可能小。尽量不要对建筑的功能进行公开描述。其实放置公司的LOGO即可。

  如果你正打算建一个新的数据中心或者翻新旧数据中心,那么选址将是首先需要考虑的事情。

  提示:确保有足够多的物理路径可以通往你的数据中心,至少要有两条。另外,由于现在有很多数据中心都支持远程操作,所以,通常情况下并不需要选址在CIO附近。在进行数据中心站点选址时,需要重点考虑以下因素:公共基础设施架构、高可用性以及光纤系统容量、各种风险以及数据中心资源是否有安全保障等。

  选址同样也意味着要考虑洲际及本地高速公路、铁路、机场、汽油及天然气加油站、河流、船运设施等。

  提示:在选择站点时要充分考虑外部情况。另外,在选址数据中心时,要确保公司的安全部门可以清晰掌握数据中心的安全状况,例如对数据中心内部资产、车道以及停车场的摄像头安全监控。而且除了摄像头,还要考虑在数据中心周围安放围栏等设施。

  还要考虑其它安全措施,例如进入大楼的人员准入控制、配备闭路电视的物理安全系统、动作感应装置等。

  提示:在集中通风系统中应该部署HVAC,以阻挡来自空气中的有毒气体或者其它生化攻击。

  保护信息技术架构时需要结合一系列物理和本地资源。在本地保护方面,人们往往考虑的已经比较周到,例如入侵检测系统及防病毒软件等,但同时要确保数据中心的物理架构也要受到全面保护。

1
3