数据中心信息安全解决方案.doc
《数据中心信息安全解决方案.doc》由会员分享,可在线阅读,更多相关《数据中心信息安全解决方案.doc(22页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、【精品文档】如有侵权,请联系网站删除,仅供学习与交流数据中心信息安全解决方案.精品文档.数据中心解决方案(安全)目录第 一 章 信息安全保障系统31.1 系统概述31.2 安全标准31.3 系统架构41.4 系统详细设计51.4.1 计算环境安全51.4.2 区域边界安全71.4.3 通信网络安全81.4.4 管理中心安全91.5 安全设备及系统111.5.1 VPN加密系统121.5.2 入侵防御系统121.5.3 防火墙系统131.5.4 安全审计系统141.5.5 漏洞扫描系统151.5.6 网络防病毒系统171.5.7 PKI/CA身份认证平台181.5.8 接入认证系统201.5.9
2、 安全管理平台21第 一 章 信息安全保障系统1.1 系统概述信息安全保障系统是集计算环境安全、安全网络边界、通信网络安全以及安全管理中心于一体的基础支撑系统。它以网络基础设施为依托,为实现各信息系统间的互联互通,整合各种资源,提供信息安全上的有力支撑。系统的体系架构如图所示:图1. 信息安全保障系统体系架构图信息系统安全是保障整个系统安全运行的一整套策略、技术、机制和保障制度,它涵盖系统的许多方面,一个安全可靠的系统需要多方面因素共同作用。1.2 安全标准在数据中心建设中,信息系统安全依据信息系统等级保护安全设计技术要求(GB/T 24856-2009)二级防护要求进行设计。该标准依据国家信
3、息安全等级保护的要求,规范了信息系统等级保护安全设计技术要求,标准适用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构开展信息系统等级保护安全技术方案的设计和实施,也可作为信息安全职能部门进行监督、检查和指导的依据。信息安全等级保护是我国信息安全的基本制度、基本政策、基本方法。已出台的一系列信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准,为信息安全等级保护工作的开展提供了法律、政策、标准依据。国家标准信息安全技术 信息系统等级保护安全设计技术要求是根据中国信息安全等级保护的实际需要,按照信息安全等级保护对信息系统安全整改的要求制订的,对信息系统等级保护安全整改阶段技术
4、方案的设计具有指导和参考作用。1.3 系统架构智慧城市数据中心依据信息系统等级保护安全设计技术要求(GB/T 24856-2009),构建 “一个中心支撑下的三重防御”的安全防护体系。信息安全保障系统总体架构如下图所示:图2. 信息安全保障系统总体架构图信息安全保障系统以网络基础设施为依托,为整个数据中心业务提供计算环境安全、区域边界安全、通信网络安全、安全管理、安全审计及认证授权等服务。信息安全保障系统的一个中心是指管理中心安全,三重防御是指计算环境安全、区域边界安全和通信网络安全。计算环境安全主要提供终端和用户的身份认证、访问控制、系统安全审计、恶意代码防范、接入控制、数据安全等安全服务。
5、区域边界安全主要提供网络边界身份认证、访问控制、病毒防御、安全审计、网络安全隔离与可信交换等安全服务。通信网络安全主要提供网络通信的安全审计、网络传输的机密性和完整性等安全服务。管理中心安全主要包括安全管理子系统、CA子系统、认证授权子系统和统一安全审计子系统等,它是系统的安全基础设施,也是系统的安全管控中心。为整个系统提供统一的系统安全管理、证书服务、认证授权、访问控制以及统一的安全审计等服务。1.4 系统详细设计1.4.1 计算环境安全1.4.1.1 计算环境安全概述伴随着等级保护工作的持续开展,包括防火墙、安全网关、入侵防御、防病毒等在内的安全产品成功地应用到信息系统中,从很大程度上解决
6、了安全问题,增强了信息安全防御能力。但这些大多重在边界防御,以服务器为核心的计算平台自身防御水平较低,这在信息系统中埋下了很大的安全隐患。计算环境安全针对的是对系统的信息进行存储、处理及实施安全策略的相关部件,它的重点是为了提高以服务器为核心的计算平台自身防御水平。数据中心的计算环境安全主要通过部署主机安全防护系统以及使用在管理中心所部署的接入认证系统、网络防病毒系统、漏洞扫描系统等安全防护系统提供的服务,完成终端的身份鉴别、访问控制、安全审计、数据安全保护,恶意代码防护等一系列功能。计算环境部署的安全系统均可被安全管理中心统一管理、统一监控,实现协同防护。1.4.1.2 计算环境安全功能要求
7、1) 身份鉴别功能数据中心终端应支持用户标识和用户鉴别。在对每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。2) 访问控制功能在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。采用基于角色的访问控制技术,实现不同用户、不同角色对不同资源的细粒度访问控制,分别制定了不同的访问控制规则,访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、
8、写、修改和删除等。 3) 安全审计功能提供安全审计机制,记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。该功能应提供审计记录查询、分类和存储保护,并可由安全管理与基础支撑功能层统一管理。4) 数据安全保护功能采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏,可采用密码等技术支持的保密性保护机制,对在计算环境安全中存储和处理的用户数据进行保密性保护。5) 恶意代码防范功能安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升级和更新,以提供针对不同操作系统的工作站和服务器的全面恶意代码防护。不仅能够抵御病毒,蠕虫和特洛依木马,还能
9、抵御新攻击,如垃圾邮件,间谍程序,拨号器,黑客工具和恶作剧,以及针对系统漏洞,并提供保护阻止安全冒险等。1.4.2 区域边界安全1.4.2.1 区域边界安全概述随着应用系统和通讯网络结构日渐复杂,异地跨边界的业务访问、移动用户远程业务访问等复杂的系统需求不断增多,如何对跨边界的数据进行有效的控制与监视已成为越来越关注的焦点,这对系统区域边界防护提出了新的挑战和要求。区域边界安全针对的是对系统的计算环境安全边界,以及计算环境安全与通信网络安全之间实现连接并实施安全策略的相关部件。数据中心的区域边界安全主要通过在系统边界部署防火墙系统、防毒墙、入侵防御系统、安全接入平台等安全设备和系统以及使用在管
10、理中心所部署的安全审计系统提供的服务,完成边界包过滤、边界安全审计、边界入侵防范、边界完整性保护,边界安全隔离与可信数据交换等一系列功能。区域边界部署的安全系统均可被安全管理中心统一管理、统一监控,实现协同防护。1.4.2.2 区域边界安全功能要求1) 边界包过滤功能提供对数据包的进/出网络接口、协议(TCP、UDP、ICMP、以及其他非IP协议)、源地址、目的地址、源端口、目的端口、以及时间、用户、服务(群组)的访问过滤与控制功能,对进入或流出的区域边界的数据进行安全检查,只允许符合安全安全策略的数据包通过,同时对连接网络的流量、内容过滤进行管理。2) 边界安全审计功能在区域边界设置审计机制
11、,提供对被授权人员和系统的网络行为进行解析、分析、记录、汇报的功能,以帮助用户事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,保障网络及系统的正常运行。3) 边界入侵防范功能在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。4) 边界完整性保护功能在区域边界设置探测器,可对内部网络中出现的内部用户未通过准许私自联到外部网络,以及外部用户未经许可违规接入内部网络的行为进行检查和控制。5) 边界安全隔离与可信数据交换功能可完成指挥信令的双向流动,以及视频流单向流入公安信息网的安全隔离与控制,同时,还应可
12、采用两头落地的“数据交换”模式,实现公安信息通信网与其它网络间的基于文件和数据库同步的数据安全交换和高强度隔离。1.4.3 通信网络安全1.4.3.1 通信网络安全概述通信网络是信息系统的基础支撑平台,而如今网络IP化、设备IT化、应用Web化使信息系统业务日益开放,业务安全漏洞更加易于利用。通信网络的安全保障越来越成为人们关注的重点。通信网络安全针对的是对系统计算环境安全之间进行信息传输及实施安全策略的相关部件。数据中心的通信网络安全主要是通过部署入侵防范系统和VPN加密系统等安全设备和系统以及使用管理中心所部署的安全审计系统提供的服务,完成传输网络安全审计、数据传输完整性与机密性保护等一系
13、列功能。通信网络安全采用基于商密算法的网络传输安全防护系统(SSL VPN),实现数据安全传输与安全审计、保障通信两端的可信接入、保障数据传输的完整性和保密性。1.4.3.2 通信网络安全功能要求1) 传输网络安全审计功能提供通信网络所传输数据在包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息在内的审计功能。2) 数据传输完整性与机密性保护功能通过在不可信信道上构建安全可靠的虚拟专用网络,为数据传输提供机密性和完整性保护、以及数据源认证、抗重放攻击等安全保障,并且支持采用身份认证、访问控制以及终端安全控制技术,为平联工程的内部网络建立安全屏障。1.4.4 管理中心安全1
14、.4.4.1 管理中心安全概述安全管理平台是对定级系统的安全策略及计算环境安全、区域边界安全和通信网络安全上的安全机制实施统一管理的平台。它是一个集合的概念,其核心的内容是实现“集中管理”与“基础支撑”。数据中心的管理中心安全主要是通过部署安全审计系统、接入认证系统、PKI/CA身份认证系统、网络防病毒系统、漏洞扫描系统和安全管理平台等安全设备和系统,完成证书管理、实时监控、统计分析、配置管理、密钥管理、日志管理、系统管理、统一用户管理、统一身份认证、资源授权及访问控制管理、单点登录管理、网络安全审计、主机安全审计、数据库安全审计、应用系统安全审计等一系列功能。1.4.4.2 管理中心安全功能
15、要求1) 证书管理功能主要涵盖数字证书的申请、审核、签发、注销、更新、查询等的综合管理,证书管理应遵循X.509规范和国家PKI标准,采用成熟的已经通过鉴定的服务器密码机做加、解密及签名运算,为用户提供高密级的信息安全服务。证书管理应不仅能够提供用户注册、审核,密钥产生、分发,证书签发、制证及发布等基本功能,还应能为其它应用系统提供证书下载,在线证书状态查询、可信时间等服务,并进行综合管理,使其它系统能够更方便的利用电子认证基础设施实现安全应用。2) 实时监控功能能从总体上对各安全构件提供简便、易用的导向式监控,能从总体上和细节两个层面实时把握安全系统整体运行情况。实时监控应可按照业务和资产进
16、行分类,可依据分类进行简单、直观的实时监控。提供逻辑视图、物理视图两种实时监控模式和多种不同的图形化及文字报警方式。提供实时监控页面即时切换,并可对实时监控项和图形化统计项进行自定义布局,完成管理员最关心的实时监控和事件统计配置和显示。3) 统计分析功能提供事件统计,并可将结果生成统计报表。可提供了预定义统计和自定义统计模式。预定义统计分析主要针对系统自身信息的统计报表,可主要包括事件统计、密钥统计、设备统计、用户统计和日志统计五大类。根据实际的统计需求,对统计项进行自定义配置。配置后,统计信息可在实时监控页面中实时显示,也可以通过统计分析进行查看。统计结果以图形化方式呈现,呈现方式多样,至少
17、可支持柱图、饼图、趋势图等,并为关联分析提供支撑。4) 配置管理功能能够对应用系统中的安全设备进行统一配置管理。配置管理应可按照业务和资产重要程度和管理域的方式对业务和资产进行统一配置管理,提供便捷的添加、修改、删除、查询功能,便于管理员能方便地查找所需的业务和资产信息,并对业务和资产属性进行维护。5) 密钥管理功能对密钥全生命周期(产生、存储、分发、更新、撤销、停用、备份和恢复)的统一管理,确保密钥全生命周期的安全。6) 日志管理功能使审计员可以通过日志管理对密钥日志、系统日志进行事后审计和追踪,作为日志审计的依据。密钥日志应主要包括密钥生成日志和密钥分发日志;系统日志应主要包括操作日志、监
18、控日志和运行日志。日志管理应可提供强大、完善的日志查询和检索功能,满足审计员对日志的审计和查询需求。7) 系统管理功能通过系统管理中配置对系统自身进行各种参数配置和管理,应主要包括服务器管理、组件管理、监控策略管理等。8) 统一用户管理功能根据用户的数字证书,提供对用户的管理功能,包括用户的主账号(代表用户身份的唯一帐号)和从账号(不同应用系统中的用户帐号)的对应管理,用户属性的统一管理,以及实现用户整个生命周期管理,包括对人员入职、调动、离职等过程中的用户身份的创建、修改、删除等操作的管理等。统一用户管理应支持分级管理功能。9) 统一身份认证功能基于数字证书完成用户与客户端认证设备之间的认证
19、,实现基于PKI的握手协议,实现不同系统和设备之间的身份认证有效统一,保护系统访问的安全性。统一身份认证还应支持多级认证功能。10) 资源授权及访问控制管理功能基于数字证书,并采用基于RBAC的技术,在用户进行信息系统的资源访问及使用时,实现不同用户、不同角色对不同资源的细粒度访问控制。资源授权及访问控制应支持分级管理功能。11) 单点登录管理功能基于数字证书,使用户能够方便地跨越多个站点或安全域实现单点登录,即用户登录到网络以后,便能在安全可靠的前提下,访问任何应用程序而无需再次进行身份验证;单点登录应同时提供针对B/S系统与C/S应用系统的单点登录功能。12) 网络安全审计功能配合网管系统
20、,实现对网络异常行为及安全事件的审计。13) 主机安全审计功能实现用户对主机操作行为的审计。14) 数据库安全审计功能实现对数据库操作行为的审计。15) 应用系统安全审计功能实现对应用系统操作行为的审计。1.5 安全设备及系统根据智慧城市的业务发展的需要,为保障数据中心的计算环境安全、区域边界安全、通信网络安全以及管理中心安全,在数据中心建设过程中需要部署VPN加密系统、入侵防御系统、防火墙系统、安全审计系统、漏洞扫描系统、网络防病毒系统、PKI/CA身份认证平台、接入认证系统、安全管理平台等安全设备及系统来保障整个数据中心系统的安全运行。各安全设备及系统的功能要求如下:1.5.1 VPN加密
21、系统VPN的身份认证通过LADP协议可以与认证服务器建立认证关系,也可以与PKI/CA服务器建立联系在终端导入证书,VPN 加密技术采用DES、3DES、AES、IDEA、RC4等加密技术,通过上述的加密技术,保证视频、信令、数据在公共网络中传输安全。智慧城市数据中心VPN加密系统功能要求如下:1. 支持丰富的C/S、B/S应用;2. 支持多种认证方式,如用户名+口令、RADIUS、AD、LDAP、USB Key;3. 证书、证书+口令、双因子认证等;4. 支持多种终端设备接入(包括window平台、linux平台、andriod平台);5. 支持IP层隧道模式,支持VoIP;6. 支持多IS
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据中心 信息 安全 解决方案
限制150内