收藏
下载资源

数据中心信息安全项目解决方案

上传人:re****.1 文档编号:490715891 上传时间:2023-11-23 格式:DOC 页数:28 大小:1.48MB
返回 下载 相关 举报
数据中心信息安全项目解决方案_第1页
第1页 / 共28页
数据中心信息安全项目解决方案_第2页
第2页 / 共28页
数据中心信息安全项目解决方案_第3页
第3页 / 共28页
数据中心信息安全项目解决方案_第4页
第4页 / 共28页
数据中心信息安全项目解决方案_第5页
第5页 / 共28页
点击查看更多>>
资源描述

《数据中心信息安全项目解决方案》由会员分享,可在线阅读,更多相关《数据中心信息安全项目解决方案(28页珍藏版)》请在金锄头文库上搜索。

1、数据中心解决方案安全 / 目录第 一 章 信息安全保障系统31.1 系统概述31.2 安全标准31.3 系统架构41.4 系统详细设计51.4.1 计算环境安全51.4.2 区域边界安全71.4.3 通信网络安全81.4.4 管理中心安全91.5 安全设备及系统111.5.1 VPN加密系统121.5.2 入侵防御系统121.5.3 防火墙系统131.5.4 安全审计系统141.5.5 漏洞扫描系统151.5.6 网络防病毒系统171.5.7 PKI/CA身份认证平台181.5.8 接入认证系统201.5.9 安全管理平台21第 一 章 信息安全保障系统1.1 系统概述信息安全保障系统是集计算

2、环境安全、安全网络边界、通信网络安全以及安全管理中心于一体的基础支撑系统。它以网络基础设施为依托,为实现各信息系统间的互联互通,整合各种资源,提供信息安全上的有力支撑。系统的体系架构如图所示:图1. 信息安全保障系统体系架构图信息系统安全是保障整个系统安全运行的一整套策略、技术、机制和保障制度,它涵盖系统的许多方面,一个安全可靠的系统需要多方面因素共同作用。1.2 安全标准在数据中心建设中,信息系统安全依据信息系统等级保护安全设计技术要求GB/T 24856-2009二级防护要求进行设计。该标准依据国家信息安全等级保护的要求,规了信息系统等级保护安全设计技术要求,标准适用于指导信息系统运营使用

3、单位、信息安全企业、信息安全服务机构开展信息系统等级保护安全技术方案的设计和实施,也可作为信息安全职能部门进行监督、检查和指导的依据。信息安全等级保护是我国信息安全的基本制度、基本政策、基本方法。已出台的一系列信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准,为信息安全等级保护工作的开展提供了法律、政策、标准依据。国家标准信息安全技术 信息系统等级保护安全设计技术要求是根据中国信息安全等级保护的实际需要,按照信息安全等级保护对信息系统安全整改的要求制订的,对信息系统等级保护安全整改阶段技术方案的设计具有指导和参考作用。1.3 系统架构智慧城市数据中心依据信息系统等级保护安全设计技

4、术要求GB/T 24856-2009,构建 一个中心支撑下的三重防御的安全防护体系。信息安全保障系统总体架构如下图所示:图2. 信息安全保障系统总体架构图信息安全保障系统以网络基础设施为依托,为整个数据中心业务提供计算环境安全、区域边界安全、通信网络安全、安全管理、安全审计及认证授权等服务。信息安全保障系统的一个中心是指管理中心安全,三重防御是指计算环境安全、区域边界安全和通信网络安全。计算环境安全主要提供终端和用户的身份认证、访问控制、系统安全审计、恶意代码防、接入控制、数据安全等安全服务。区域边界安全主要提供网络边界身份认证、访问控制、病毒防御、安全审计、网络安全隔离与可信交换等安全服务。

5、通信网络安全主要提供网络通信的安全审计、网络传输的性和完整性等安全服务。管理中心安全主要包括安全管理子系统、CA子系统、认证授权子系统和统一安全审计子系统等,它是系统的安全基础设施,也是系统的安全管控中心。为整个系统提供统一的系统安全管理、证书服务、认证授权、访问控制以及统一的安全审计等服务。1.4 系统详细设计1.4.1 计算环境安全1.4.1.1 计算环境安全概述伴随着等级保护工作的持续开展,包括防火墙、安全网关、入侵防御、防病毒等在的安全产品成功地应用到信息系统中,从很大程度上解决了安全问题,增强了信息安全防御能力。但这些大多重在边界防御,以服务器为核心的计算平台自身防御水平较低,这在信

6、息系统中埋下了很大的安全隐患。计算环境安全针对的是对系统的信息进行存储、处理及实施安全策略的相关部件,它的重点是为了提高以服务器为核心的计算平台自身防御水平。数据中心的计算环境安全主要通过部署主机安全防护系统以及使用在管理中心所部署的接入认证系统、网络防病毒系统、漏洞扫描系统等安全防护系统提供的服务,完成终端的身份鉴别、访问控制、安全审计、数据安全保护,恶意代码防护等一系列功能。计算环境部署的安全系统均可被安全管理中心统一管理、统一监控,实现协同防护。1.4.1.2 计算环境安全功能要求1) 身份鉴别功能数据中心终端应支持用户标识和用户鉴别。在对每一个用户注册到系统时,采用用户名和用户标识符标

7、识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别,并对鉴别数据进行性和完整性保护。2) 访问控制功能在安全策略控制围,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。采用基于角色的访问控制技术,实现不同用户、不同角色对不同资源的细粒度访问控制,分别制定了不同的访问控制规则,访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。3) 安全审计功能提供安全审计机制,记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间

8、、类型和结果等容。该功能应提供审计记录查询、分类和存储保护,并可由安全管理与基础支撑功能层统一管理。4) 数据安全保护功能采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏,可采用密码等技术支持的性保护机制,对在计算环境安全中存储和处理的用户数据进行性保护。5) 恶意代码防功能安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升级和更新,以提供针对不同操作系统的工作站和服务器的全面恶意代码防护。不仅能够抵御病毒,蠕虫和特洛依木马,还能抵御新攻击,如垃圾,间谍程序,拨号器,黑客工具和恶作剧,以及针对系统漏洞,并提供保护阻止安全冒险等。1.4.2 区域边界安全1.4

9、.2.1 区域边界安全概述随着应用系统和通讯网络结构日渐复杂,异地跨边界的业务访问、移动用户远程业务访问等复杂的系统需求不断增多,如何对跨边界的数据进行有效的控制与监视已成为越来越关注的焦点,这对系统区域边界防护提出了新的挑战和要求。区域边界安全针对的是对系统的计算环境安全边界,以及计算环境安全与通信网络安全之间实现连接并实施安全策略的相关部件。数据中心的区域边界安全主要通过在系统边界部署防火墙系统、防毒墙、入侵防御系统、安全接入平台等安全设备和系统以及使用在管理中心所部署的安全审计系统提供的服务,完成边界包过滤、边界安全审计、边界入侵防、边界完整性保护,边界安全隔离与可信数据交换等一系列功能

10、。区域边界部署的安全系统均可被安全管理中心统一管理、统一监控,实现协同防护。1.4.2.2 区域边界安全功能要求1) 边界包过滤功能提供对数据包的进/出网络接口、协议TCP、UDP、ICMP、以及其他非IP协议、源地址、目的地址、源端口、目的端口、以及时间、用户、服务群组的访问过滤与控制功能,对进入或流出的区域边界的数据进行安全检查,只允许符合安全安全策略的数据包通过,同时对连接网络的流量、容过滤进行管理。2) 边界安全审计功能在区域边界设置审计机制,提供对被授权人员和系统的网络行为进行解析、分析、记录、汇报的功能,以帮助用户事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放

11、,保障网络及系统的正常运行。3) 边界入侵防功能在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。4) 边界完整性保护功能在区域边界设置探测器,可对部网络中出现的部用户未通过准许私自联到外部网络,以及外部用户未经许可违规接入部网络的行为进行检查和控制。5) 边界安全隔离与可信数据交换功能可完成指挥信令的双向流动,以及视频流单向流入公安信息网的安全隔离与控制,同时,还应可采用两头落地的数据交换模式,实现公安信息通信网与其它网络间的基于文件和数据库同步的数据安全交换和高强度隔离。1.4.3 通信网络安全1.4.3.1 通信网

12、络安全概述通信网络是信息系统的基础支撑平台,而如今网络IP化、设备IT化、应用Web化使信息系统业务日益开放,业务安全漏洞更加易于利用。通信网络的安全保障越来越成为人们关注的重点。通信网络安全针对的是对系统计算环境安全之间进行信息传输及实施安全策略的相关部件。数据中心的通信网络安全主要是通过部署入侵防系统和VPN加密系统等安全设备和系统以及使用管理中心所部署的安全审计系统提供的服务,完成传输网络安全审计、数据传输完整性与性保护等一系列功能。通信网络安全采用基于商密算法的网络传输安全防护系统SSL VPN,实现数据安全传输与安全审计、保障通信两端的可信接入、保障数据传输的完整性和性。1.4.3.

13、2 通信网络安全功能要求1) 传输网络安全审计功能提供通信网络所传输数据在包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息在的审计功能。2) 数据传输完整性与性保护功能通过在不可信信道上构建安全可靠的虚拟专用网络,为数据传输提供性和完整性保护、以及数据源认证、抗重放攻击等安全保障,并且支持采用身份认证、访问控制以及终端安全控制技术,为平联工程的部网络建立安全屏障。1.4.4 管理中心安全1.4.4.1 管理中心安全概述安全管理平台是对定级系统的安全策略及计算环境安全、区域边界安全和通信网络安全上的安全机制实施统一管理的平台。它是一个集合的概念,其核心的容是实现集中管理与

14、基础支撑。数据中心的管理中心安全主要是通过部署安全审计系统、接入认证系统、PKI/CA身份认证系统、网络防病毒系统、漏洞扫描系统和安全管理平台等安全设备和系统,完成证书管理、实时监控、统计分析、配置管理、密钥管理、日志管理、系统管理、统一用户管理、统一身份认证、资源授权及访问控制管理、单点登录管理、网络安全审计、主机安全审计、数据库安全审计、应用系统安全审计等一系列功能。1.4.4.2 管理中心安全功能要求1) 证书管理功能主要涵盖数字证书的申请、审核、签发、注销、更新、查询等的综合管理,证书管理应遵循X.509规和国家PKI标准,采用成熟的已经通过鉴定的服务器密码机做加、解密及签名运算,为用

15、户提供高密级的信息安全服务。证书管理应不仅能够提供用户注册、审核,密钥产生、分发,证书签发、制证及发布等基本功能,还应能为其它应用系统提供证书下载,在线证书状态查询、可信时间等服务,并进行综合管理,使其它系统能够更方便的利用电子认证基础设施实现安全应用。2) 实时监控功能能从总体上对各安全构件提供简便、易用的导向式监控,能从总体上和细节两个层面实时把握安全系统整体运行情况。实时监控应可按照业务和资产进行分类,可依据分类进行简单、直观的实时监控。提供逻辑视图、物理视图两种实时监控模式和多种不同的图形化及文字报警方式。提供实时监控页面即时切换,并可对实时监控项和图形化统计项进行自定义布局,完成管理员最关心的实时监控和事件统计配置和显示。3) 统计分析功能提供事件统计,并可将结果生成统计报表。可提供了预定义统计和自定义统计模式。预定义统计分析主要针对系统自身信息的统计报表,可主要包括事件统计、密钥统计、设备统计、用户统计和日志统计五大类。根据实际的统计需求,对统计项进行自定义配置。配置后,统计信息可在实时监控页面中实时显示,也可以通过统计分析进行查看。统计结果以图形化方式呈现,呈现方式多样,至少可支持柱图、饼图、趋势图等,并为关联分析提供支撑。4) 配置管理功能能够对应用系

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号