揭秘！超级数据中心安全建设档案

2019年我国数据中心数量约有7.4万个，约占全球数据中心总量的23%。为我国数字金融业的发展提供强大的算力支撑。金融机构数据中心作为信息基础设施的核心，承载着海量金融市场交易数据信息，是一座蕴藏着巨大财富的“数字城堡”。

“数字城堡”的脚下，是效率与安全的平衡木。

任何防护上的疏漏都将造成无法估量的损失，甚至上升到公民乃至国家利益。我们要做的便是在技术不断变迁的同时全力解决与之匹配的安全问题，为“数字城堡”快速构筑一道安全防线。

- 四地数据中心 -

安全难题破冰之旅

某金融头部企业业务面向全国，业务种类繁多、规模体系庞大且环境关系复杂。原有的两个数据中心疲于支撑增量的业务需求，为保障业务的敏捷性、降低延迟性，两个崭新的数据中心拔地而起。

与此同时，网络安全建设工作也开始紧锣密鼓地推进，四个数据中心的安全防护能力需齐头并进，力求无疏漏、无短板，全方位加强企业网络安全防御体系。恰逢全国性大型攻防演练活动，业务系统安全保障体系急需快速完善，紧迫的建设任务，使信息安全建设工作难度加大，面临诸多挑战。

01时间紧任务重，部署问题成为 “坚冰”

因实战攻防的迫切需求，该金融机构希望在对现有网络架构改动最小的前提下，以最短的时间，同时满足四个数据中心安全设备的部署和策略调优，当然效率的提升不可以牺牲业务稳定性，又快又好是基本要求。

但已有安全设备覆盖新的区域调优周期较长，无法实现大规模快速上线的短期建设要求。

02庞杂架构触发的防护难点“如影随形”

由于核心业务均为对公业务，稳定性要求高。并行的四个数据中心均划分近十个区域，为保障业务可用性，对所有区域网络都进行了多活处理，衍生出庞杂的网络架构。然而现有安全防护设备难以深度适配网络架构，无法有效保障企业业务的可用性和稳定性。

同时在业务体量的飞速增长之下，未知威胁路径数量必然会增加，怎样升级现有边界防御防护水准，降低漏报和误报率；怎样应对未知威胁（0Day漏洞）的入侵，对该金融企业来说是走好防御工事建设的第一步。

实战攻防时代下，应对高级别攻击需要“内外兼修，主被融合”，主动防御手段的补齐是该企业此次安全建设第二步，主动发起风险自查、主动诱捕、溯源的攻击行为及攻击者，形成攻防兼备的纵深联动防御体系。

面对诸多威胁与挑战，数据中心的安全该何去何从？

- “精兵利器”一体化防护战 -

 “安全城堡”拔地而起

献出“杀手锏”，“产品+服务”一体化专属解决方案。

覆盖应用安全、内网威胁感知、主动防御等手段，同时结合丰富的项目交付经验，针对性解决客户难题。经过两周的设备策略调优，全面完成了四个数据中心生产区、办公互联网区、测试前置区、生产前置区等区域的雷池（SafeLine）下一代Web应用防火墙、谛听（D-Sensor）伪装欺骗系统以及洞鉴（X-Ray）安全评估系统三款安全设备的快速部署工作。

基于安全产品精准的检测能力，在攻防演练活动期间，有效拦截恶意攻击数十万次，实现误报、漏报率极低的效果。在庞大的业务体系下为客户提供灵活、健全、可靠的一体化解决方案。帮助客户为四个数据中心各区域建设牢固完备的应用层边界防护体系、补齐监测内网的横向探测手段，同时实现其短时间调优过程中快速降低误报率的安全建设目标。

四数据中心一体化安全建设部署图

强化防御能力，有效识别0Day，极致降低漏报、误报

   雷池（SafeLine）下一代Web应用防火墙采用透明代理模式接入现有网络，在不改变客户网络架构的前提下实现物理串联，有效检测、拦截Web应用层的攻击，且支持SSL证书卸载。同时专业的实施小组提前做好处置预案，部署实施过程中，对所有实施计划、变更动作进行小组多人交叉检验，快速分析处理实施过程中出现的问题，实现短时间内深度适配客户实际业务环境。在后期新数据中心建设过程中，快速复制、上架部署近30台设备，全面完成与客户四个数据中心的深度适配。

经过两周左右的调优，达到了无漏报的效果。国家级攻防演练活动期间，雷池（SafeLine）作为各数据中心应用层第一道防御，在强对抗的场景下，共拦截23万次Web应用层攻击，误拦截为零，大大降低防守压力。

补齐安全短板，内网威胁感知与溯源

在客户三个主要数据中心内网所有重要网段部署谛听（D-Sensor）伪装欺骗系统，补齐主动防御以及内网威胁感知监测能力。

模拟真实环境，并通过实施运营提前投放内网蜜饵，增加蜜罐诱捕机率。在真实运行过程中，检测发现近10台内网失陷主机在被高频探测，辅以人工排查进行快速溯源处置，全方位提升内网主动防御能力，降低内网风险。

 

先攻击者一步，系统安全深度评估

针对客户庞大的资产规模以及对扫描准确度的高要求，洞鉴（X-Ray）安全评估系统采用真实的PoC进行漏洞验证，极大程度降低误报率。同时与客户数据中心原有的扫描器进行异构，实现对漏洞的交叉验证，保证自动化效率的同时大大提升漏洞检测的准确性。同时依托长亭专业的安服团队，对客户数据中心重要资产、业务进行定期人工渗透测试，降低核心业务风险，补充优化中心内部安全评估体系。

攻防演练活动开始前，使用洞鉴（X-Ray）对数据中心全部资产进行梳理探测，发现近50个高危漏洞，并由现场渗透工程师确认漏洞全部真实存在，最终协助中心内部提供可落地的整改建议。

作战经验沉淀，体系化部署交付

在严格遵守行业交付流程的基础上，结合实际项目体量进行优化。在不同交付岗位上配备多人进行交叉评估，对每一步实施动作进行全面的风险评估，制定多套应急方案，降低实施风险。同时部署后对上线系统进行贴合实际网络环境的验收测试，确保安全设备进行有效防护。

长亭提供全面的设备调试服务，部署上架前，全面评估业务站点、网络情况以及风险水平；上架后，由驻场策略分析人员实时进行告警日志分析以及策略快速调优，确保短时间内达到预期建设效果。

 对抗威胁的绝技

无疏漏、无短板，快速打造坚固的安全防线关键所在是什么？

快速调优部署，满足短周期建设需求

充分发挥雷池（SafeLine）、谛听（D-Sensor）、洞鉴（X-Ray）产品部署的灵活性、安全策略的便捷性、设备告警的低误报性。通过部署后的快速设备调优、复制和运营，帮助客户全面、迅速地完成短期安全建设。

构建纵深防御体系，有效抵御网络攻击

基于雷池（SafeLine）精确的威胁检测能力，全面实现攻击无误报、漏报，为庞大的数据中心边界安全防护能力进行有力加持。同时补充内网威胁感知主动防御能力，并定期对业务系统进行安全评估，构建层次化的纵深防御体系，使客户的安全防护体系更加高效、完备。

完善的交付体系，灵活应对复杂场景

依托长亭防护能力优异的安全产品、技术扎实的部署交付团队以及大型项目交付经验的沉淀，可灵活应对各种复杂、多变的部署场景。

满足监管合规要求，提升行业竞争力

快速夯实整体安全防护水平与能力，满足了客户在行业合规监管方面的符合性要求，有效保障业务的可用性和稳定性，提升客户在行业内的核心竞争力。

安全设备并非简单堆砌，选择长亭“精兵利器”定制化解决方案，快速构筑企业专属的安全防线。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！