《数据中心安全建议书》由会员分享,可在线阅读,更多相关《数据中心安全建议书(10页珍藏版)》请在金锄头文库上搜索。
1、数据中心心安全建建议书20088-086目 录录一、概述述1二、安全全设计11三、物理理安全221.环境境安全222.机房房安全22四、网络络安全331.防火火墙32.入侵侵保护系系统(IIPS)33.网络络、数据据库审计计4五、系统统安全441.主机机安全442.漏洞洞扫描553.防病病毒54.补丁丁分发55六、应用用和信息息安全661.数据据备份与与恢复662.抗DDDOSS攻击系系统63.身份份及访问问安全管管理6一、 概述近几年来来,越来来越多的的企业对对数据中中心建设设青睐有有佳。在在享受数数据中心心带来生生产力提提高的同同时,其其内在的的安全建建设成为为了业内内的热点点。让数数据中
2、心心远离安安全威胁胁,促使使其在管管理、运运维上向向安全靠靠拢,已已经成为为当前的的建设趋趋势。针对数据据中心提提出以下下几个安安全方面面的建议议。二、 安全设计计安全防护护体系涵涵盖了物物理安全全、网络络安全、系统安全以及应用层的安全防护,每个层面包括了若干种安全防护手段和措施。建议数据据中心的的网络采采用以两两台交换换机为中中心的双双星形冗冗余结构构的网络络;在网网络边界界采用网网络防火火墙进行行逻辑隔隔离,通通过部署署IPSS实现边边界纵深深防御;数据中中心采用用网络/数据库库审计系系统保障障对网络络和数据据库的安安全;在在数据中中心的主主机或服服务器上上安装网网络版防防毒软件件的客户户
3、端;数数据中心心的服务务器采用用双机互互为热备备份的工工作方式式;对数数据中心心的数据据通过阵阵列或磁磁带库进进行相应应的备份份;结合合身份及及访问安安全管理理系统,实实现对数数据中心心重要系系统的访访问控制制及行为为审计;通过部部署防DDDOSS攻击系系统,有有效保障障数据中中心内部部业务系系统。对数据中中心的安安全防护护措施如如下图所所示:下面从物物理安全全、网络络安全、系统安全以及应用层的安全四个层面,描述各层面安全的具体技术手段及措施。三、 物理安全全在数据中中心计算算机网络络与安全全防护系统统建设实实施中,物物理安全全措施的的实施包包括了主主要包括括环境安安全、机机房安全全和物理理隔
4、离等等方面。1. 环境安全全设备工作作环境的的安全防防护可参参照GBB501173-93电电子计算算机机房房设计规规范、GGB28887-89计计算站场场地技术术条件和和GB993611-888计算算站场地地安全要要求等等标准实实施。2. 机房安全全l 物理环境境的防护护l 计算机机机房场地地安全l 防电磁辐辐射泄漏漏l 禁带物品品l 设备防盗盗l 空调系统统l 防静电l 电源l 接地l 计算机场场地防火火l 运输过程程中的防防护四、 网络安全全网络安全全是一个个比较通通用的概概念,通通常包括括网络自自身的设设计、构构建和使使用以及及基于网网络的各各种安全全相关的的技术和和手段。1. 防火墙防
5、火墙是是部署在不不同网络络安全域域之间的的一系列列部件的的组合。它它能根据据企业的安安全政策策控制(允允许、拒拒绝、监监测)出出入网络络的信息息流,且且本身具具有较强强的抗攻攻击能力力。它是是提供信信息安全全服务,实实现网络络和信息息安全的的基础设设施。防防火墙实实现网与与网之间间的访问问隔离,以以保护整整个网络络抵御来来自其它它网络的的入侵者者。数据中心心作为一一个安全全级别较较高的存存在,需需要与与与长江养养老保险险公司的的网络逻逻辑上隔隔离。通过在数数据中心心与长江养养老保险险公司的的内部网络络相连处处,部署署网络防防火墙,将将数据中中心与长江养养老保险险公司的的内部网络络在逻辑辑上进行
6、行隔离。2. 入侵保护护系统(IPS)入侵保护护(阻止止)系统统(IPPS)是是新一代代的侵入入检测系系统。IPS技技术可以以深度感感知并检检测流经经的数据据流量,对对恶意报报文进行行丢弃以以阻断攻攻击,对对滥用报报文进行行限流以以保护网网络带宽宽资源。通过入侵防护系统,可以实时检测到各种攻击,同时实时做出各种预先定义的响应,作到在黑客造成破坏之前发现问题,解决问题。IPS广广泛应用用于银行行、政府府等部门门的内部部网络访访问外部部网络,也也可用于于内部网网的不同同信任域域间的信信息交互互。数据据中心可可以根据据实际需需要,将将此防护护措施运运用于安安全保护护要求较较高的领领域。3. 网络、数
7、数据库审审计安全审计计系统主主要监控控来自网网络内部部和外部部的用户户活动,侦侦察系统统中现存存的和潜潜在的威威胁,对对与安全全有关的的活动的的相关信信息进行行识别,记记录,存存储和分分析,对对突发事事件进行行报警和和响应。在数据中中心的网网络中,安安全审计计主要体体现在几几个方面面,网络络审计和和数据库库业务审审计。针对网络络层面,在在系统内内的很多敏敏感或涉涉密信息息如果被被有意或或无意中中泄漏出出去,将将会产生生严重的的后果,同同时由于于与Innterrnett的互连连,不可可避免地地使一些些不良信信息流入入。为防防止与追追查网上上机密信信息的泄泄漏行为为,并防防止不良良信息的的流入,可
8、可在网络络系统与与Intternnet的的连接处处,对进进出网络络的信息息流实施施内容审审计。针对数据据中心,需需要在关关键的部部位加强强对数据据库系统统的安全全防护功功能,建建议使用用数据库库业务审审计的相相关技术术和产品品。五、 系统安全全1. 主机安全全可被攻击击的系统统的漏洞洞主要集集中在几几个方面面:固有有的安全全漏洞、合合法工具具的滥用用、不正正确的系系统维护护措施和和低效的的系统设设计及检检测能力力。数据中心心在主机机安全管管理方面面可着重重考虑以以下措施施:在计算机机网络与与信息系系统中采采用先进进的访问问控制系系统完善善计算机机系统的的访问控控制,严严格划分分、管理理、控制制
9、用户的的权限和和行为,达达到更高高层次的的安全级级别。在在信息系系统中,对对于核心心业务服服务器以以及关键键数据库库服务器器采用主主机访问问控制措措施,增增强系统统的安全全等级。2. 漏洞扫描描漏洞扫描描(也叫叫漏洞检检测)目目前已经经越来越越为网络络安全管管理员所所重视,因因为利用用系统设设计、配配置和管管理中的的漏洞来来攻击系系统是最最为典型型的技术术型攻击击手段。专专家认为为,如果果系统在在建立时时就具备备严密的的安全环环境,那那么成功功的技术术入侵事事件数量量就会大大大减少少。漏洞洞扫描就就是对重重要计算算机信息息系统进进行检查查,发现现其中可可被黑客客利用的的漏洞。这种技术术通常采采
10、用两种种策略,即即被动式式策略和和主动式式策略。被被动式策策略是基基于主机机的检测测(Syysteem SScannnerr),对对系统中中不合适适的设置置、脆弱弱的口令令以及其其他同安安全规则则相抵触触的对象象进行检检查;而而主动式式策略是是基于网网络的检检测(NNetwworkk Sccannner),通过过执行一一些脚本本文件对对系统进进行攻击击,并记记录它的的反应,从从而发现现其中的的漏洞。漏洞扫描描的结果果实际上上就是系系统安全全性能的的一个评评估,它它指出了了哪些攻攻击是可可能的。数据中心可以采用周期性的扫描,例如每月进行扫描一次,针对扫描结果对系统进行相应的安全修补,提高安全防护
11、等级。3. 防病毒建议在数数据中心心的主机机和服务务器上安安装网络络版的防防毒产品品客户端端软件。4. 补丁分发发对操作系系统及时时的打补补丁,提提高操作作系统的的健壮性性。及时时有效全全面地对对业务系系统中的的计算机机操作系系统特别别是Wiindoows操操作系统统更新补补丁对于于病毒防防范显得得十分重重要。对于Wiindoows可可采用自自动分发发,对与与UNIIX等操操作系统统采用手手动下载载和安装装补丁。六、 应用和信信息安全全1. 数据备份份与恢复复在数据中中心计算算机网络络与信息息安全系系统中,针针对关键键的业务务服务器器、应用用服务器器、数据据库服务务器以及及比较重重要的主主机,
12、建建立完善善的数据据备份与与恢复系系统。日常备份份需要通通过制度度来保证证每天的的正常执执行,包包括备份份手段的的使用,备备份时间间等。同同时保存存好备份份介质。2. 抗DDOOS攻击击系统DDOSS(分布布式拒绝绝服务)攻攻击一般般通过IInteerneet上广广泛分布布的“僵僵尸”系系统完成成。DDDOS造成成的海量量攻击流流量会给给应用系系统或是是网络本本身带来来非常大大的负载载消耗,从从而使网网络基础础设备和和应用系系统的可可用性大大为降低低。抗拒绝服服务攻击击系统能能够及时时发现背背景流量量中各种种类型的的攻击流流量,针针对攻击击类型迅迅速对攻攻击流量量进行拦拦截,保保证正常常流量的
13、的通过。3. 身份及访访问安全全管理通过建立立统一身身份及访访问安全全管理平平台实现现统一用用户管理理、认证证管理、授授权管理理、访问问控制和和审计管管理。l 集中化的的帐号管管理;l 集中化的的身份认认证,可以根根据需要要选择不不同的身身份认证证方式,而而且在不不更改应应用进行行有限更更改的情情况下,即即可在原原来只有有弱身份份认证手手段的应应用上,增增加强身身份认证证手段,提提高系统统安全性性;l 集中访问问授权,防止私私自授权权或权限限未及时时收回对对企业信信息资产产造成的的安全损损害;l 集中安全全审计管管理,能够对对人员的的登录过过程、登登录后进进行的操操作进行行审计;l 单点登录录。
