《数据中心安全加固方案》由会员分享,可在线阅读,更多相关《数据中心安全加固方案(18页珍藏版)》请在金锄头文库上搜索。
1、数据中心安全加固方案第1章背景介绍2第2章需求概述32.1 应用安全需求32.2 终端安全防护的需求32.3 业务系统安全问题42.4 业务稳定的需求52.5 用户访问高体验感的需求5第3章总体方案设计63.1 方案设计原则63.2 总体网络拓扑图8第4章详细方案设计94.1 应用安全防护94.2 终端安全防护94.3 业务系统安全设计114.4 业务稳定详细设计13第5章方案优势与价值165.1 立体化的安全防护体系165.2 良好的风险感知体验175.3 高可靠性与稳定性17第1章背景介绍2018年11月20日召开的国务院常务会议明确提出,整合不动 产登记职责、建立不动产统一登记制度,由国
2、土资源部负责指导监督 全国土地、房屋、草原、林地、海域等不动产统一登记职责,基本做 到登记机构、登记簿册、登记依据和信息平台“四统一”。通过建立不动产登记信息管理基础平台,实现不动产审批、交易 和登记信息在有关部门间依法依规互通共享,提供不动产登记信息依 法公开查询服务,有利于方便群众办证,提高办证效率,消除“信息 孤岛”,促进不动产登记信息更加完备、准确、可靠,建立健全社会征 信体系,保证不动产交易安全,保护群众合法权益。省、市、县三级不动产登记信息管理基础平台是落实不动产统一 登记各项制度和信息查询的基础。通过建立不动产登记信息管理基础 平台,整合和汇集覆盖全省、标准统一、内容完整、动态更
3、新的不动 产登记信息,同时连接至国家平台,实现不动产登记信息与审批、交 易信息实时互通共享,并提供依法信息查询,有效保障不动产统一登 记制度的全面实施,减轻群众负担,保护群众合法权益,提高政府治 理效率和水平。第2章需求概述2.1应用安全需求随着攻击技术的发展,攻击的目标重点转移到系统中的应用,而 攻击的手段也从网络攻击逐步上升为应用层的攻击,如针对各种应用 的缓冲区溢出攻击、应用系统渗透等等,这种攻击所造成的危害更大, 将导致业务系统被破坏。尤其是通过互联网对公众提供服务的业务系 统,一旦攻击者发现其应用漏洞并从事相应的破坏行为,网络层的安 全防护措施很难发挥效用,必须要从应用层进行相应的安
4、全防护。入 侵防御和Web安全防护技术正是针对这里应用层攻击进行防御的安 全措施,能够有效弥补防火墙等基础防护设备的不足,有效检测和防 范四至七层攻击,与防火墙相互配合实现整体的安全防护。2.2终端安全防护的需求终端安全也是互联网出口安全建设关注的重点,终端用户是网络 资产中的一个重要组成部分,同对外发布业务服务器一样,终端也面 临着系统软件层面存在的漏洞被利用风险。当今互联网上充斥着各种 恶意网页,钓鱼网站,而每个终端用户的安全意识不尽相同,容易被 一些虚假信息所蒙蔽,点击了包含恶意软件下载地址的链接导致终端 被种植了远控木马,蠕虫病毒等恶意软件。病毒、木马、蠕虫对终端 的危害可能导致终端系
5、统瘫痪、终端被控制、终端存储的信息被窃取、 甚至于终端被控制之后形成跳板攻击危害到内部其他更有价值的服 务器。因此针对终端的安全防护主要考虑几个方面:1)终端自身系统或者应用软件存在的漏洞防护;2)已知远控木马,蠕虫病毒等恶意软件被种植到终端,形成僵尸主 机后的检测识别;3)未知变种恶意软件威胁的检测与防护2.3业务系统安全问题业务系统的架构是B/S架构,大量的web应用可能存在被攻击 的风险。业务系统的篡改是指攻击者利用Web应用程序漏洞将正常 的网页替换为攻击者提供的网页/文字/图片等内容。一般来说篡改的 问题对计算机系统本身不会产生直接的影响,但对于业务系统,需要 与用户通过业务系统进行
6、沟通的应用而言,就意味着业务系统的服务 将被迫停止服务,对单位形象及信誉会造成严重的损害。业务系统网页被挂马也是利用Web攻击造成的一种网页篡改的 安全问题,相对而言这种问题会比较隐蔽,但本质上这种方式也破坏 了业务系统的完整性。挂马会导致Web业务的最终用户成为受害者, 成为攻击者的帮凶或者造成自身的损失。这种问题出现在业务系统中 也严重影响业务的正常运作并影响到单位的公信度。这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后 台数据库,导致数据库中储存的用户资料、身份证信息、账户信息、 信用卡信息、联系方式等敏感信息被攻击者获取。这对于业务系统而 言是致命的打击,可产生巨大的不良影响
7、。2.4业务稳定的需求为了提升韶关市国土局不动产登记系统的稳定性和可靠性,韶关 市国土局可能会采取部署多条互联网链路以保证在不动产登记系统 网络服务质量的方式,消除单点故障,减少停机时间:互联网络的外部用户如何在外部访问内部的网站和应用系统时 也能够动态的在多条链路上平衡分配,并在一条链路中断的时候能够 智能地自动切换到另外一条链路到达服务器和应用系统,这也被称作 为入站流量的负载均衡。2.5用户访问高体验感的需求随着访问用户数量的增加,不动产登记系统后台服务器承载的压 力也将越来越大,如何有效的保证客户访问的速度和保障系统高稳定 性。可通过服务器负载均衡机制,保证用户访问流量能在各服务器上
8、均衡分配,提高服务器资源的利用率。1、通过负载均衡设备将用户访问请求分配到多台之上,提升应 用系统的处理能力。2、当某台服务器发生故障时能被及时检测到,并且故障服务器 将会被自动隔离,直到其恢复正常后自动加入服务器群,实现透明的 容错,保证服务器整体性能得到大幅提高;3、希望能够通过相应优化机制来节省服务器的性能消耗,减少 硬件投资成本,提升服务器相应能力。第3章总体方案设计3.1方案设计原则本次的方案设计,将充分依据系统安全的详细技术需求,并参照 国内外的相关规范、标准及经验,按照兼容性、安全性、开放性、可 扩充性及易用性、先进性、合规性、成熟性以及统一性等原则,保障 设计方案先进可靠、可实
9、施性强,能够完全满足项目的实际安全需求, 作为实现项目目标。兼容性原则:方案设计具有较强的兼容性,充分考虑了现有的 应用系统、运行环境、以及服务器和网络设备等,体现了与现 有系统的无缝链接。安全性原则:在充分考虑现有网络情况和实际需求的情况下, 结合相关技术要求,提供系统化的整体解决方案。开放性原则:考虑到本项目中将要建立统一的系统运行状态 集中监控平台,对各个硬件设备功能、性能和应用软件、系统 软件的运行状态、网络设备、安全防护设备、系统运行参数、 用户等进行统一的监管,必须要进行本地化的二次开发,因此 在本方案的设计中提供了标准化的软硬件技术、资源、接口等 的开放性解决方案。可扩充性原则:
10、充分考虑了系统未来一段时间内网络、业务规 模和网络安全需求的变化,能够在相当长的一段时间内保障 系统的整体安全,具有较强的可扩展性,有效保护了用户的投 资。综合防范原则:信息安全是一个庞大的系统工程,信息系统任 何一个环节的疏漏都有可能导致安全事件的发生。因此,本方 案的设计坚持综合防范原则,以保证未来各类安全措施的全 面和完整。适度保护原则:在信息安全方面没有必要也不可能追求绝对 的安全。一方面过度的追求安全不但将大大提高信息安全的 成本,还往往会影响业务的正常开展,大大降低业务活动的灵 活性;另一方面信息安全工作过于薄弱又会给业务开展留下 很大的隐患。因此方案设计依据适度保护原则,目标是将
11、信息 安全风险控制在合理的、可接受的范围内。成熟性原则:本方案的设计充分借鉴国际信息安全最佳实践, 采用成熟的技术和产品,规避风险,防止由于单纯追求技术领 先而成为先进技术的试验品。3.2总体网络拓扑图本次方案建议采用深信服下一代防火墙AF #台数2#以及应用交付AD #台数2#,分别部署在如下位置:互联网出口高可用:部署两台AD做于外网区域互联网出口,实现 外网用户流量入站负载均衡以及内网服务器集群负载均衡,实现链路 和服务器高可用。互联网出口安全防护:部署两台AF于互联网出口,针对用户的上 网终端提供安全威胁过滤、木马恶意流量检测、DMZ服务器保护、NAT、 路由等安全防护功能。第4章详细
12、方案设计4.1应用安全防护在边界防护保障中,网络出口部署的防火墙主要工作在网络层和 传输层,防范大部分基础的网络攻击,而对于整个互联网中的攻击分 布,70%以上都来自应用层,这些攻击都是防火墙所无法防御的。因此,在互联网出口处启用深信服下一代防火墙的入侵防御和web 防护模块,提供主动的、实时的防护,具备对网络的线速、深度检测 能力,具有网络检测、防范网络攻击、防范拒绝服务攻击、异常报警 和阻断等功能。特别是web防护模块针对应用层的安全防护能力,与 防火墙系统相互配合,实现2到7层立体的防护效果。深信服下一代防火墙可以在互联网出口为对外发布服务器的底层 漏洞提供入侵防护功能,所发布的漏洞特征
13、库数量超过4000条,通 过CVE Compatible认证,并且深信服做为微软MAPP合作计划伙伴, 能够在第一时间获取到业界最新的漏洞信息,保证漏洞特征库的时效 性和先进性。4.2终端安全防护深信服下一代防火墙独有的僵尸网络检测隔离功能,能够实时对 终端主动发起的外发流量进行检测,协助用户定位内网被黑客控制的 服务器或终端。该功能利用业界领先的僵尸网络识别检测技术对黑客 的攻击行为进行有效识别,针对以反弹式木马为代表的恶意软件进行 深度防护。僵尸网络识别库数量超过50万条,并由深信服攻防团队实时更新。除了建立恶意软件样本库外,为了能够应对恶意软件的新型变种 以及其他未知威胁,深信服下一代防
14、火墙搭建了云安全平台,通过云 平台的沙箱检测技术来识别未知的安全威胁。深信服下一代防火墙能 够将检测到的异常流量放到沙箱虚拟化环境中运行,通过监控注册表 修改、进程创建、文件系统修改来发现未知威胁。同时针对新发现的 威胁样本生成特征规则库,并通过云安全平台推送到所有接入互联网 的深信服下一代防火墙设备上。4.3业务系统安全设计应用层面的安全加固主要针对本次业务系统应用安全建设中web 应用程序基于ASP、PHP、JSP等开发的B/S业务,本身不可避免的 存在软件开发本身的漏洞、造成黑客的SQL注入,致使业务系统数 据库和网页文件被篡改或者被窃取的问题进行有针对性的应用安全 加固。通过Web安全
15、子系统部署于web服务器区核心交换前实现双向 内容的检测,针对HTTP协议的深入解析,精确识别出协议中的各种 要素,如cookie、Get参数、Post表单等,并对这些数据进行快速的 解析,以还原其原始通信的信息,根据这些解析后的原始信息,精确 的检测其是否包含威胁内容。Web安全子系统作为web客户端与服 务器请求与响应的中间人,能够有效的避免web服务器直接暴露在 互联网之上,采用双向内容检测技术可检测过滤HTTP双向交互的数 据流包括response报文,对恶意流量,以及服务器外发的有风险信息 进行实时的清洗与过滤,防止web安全风险。Web安全子系统有效结合了 web攻击的静态规则及基于黑客攻击 过程的动态防御机制,实现双向的内容检测,提供OWASP定义的十 大安全威胁的攻击防护能力,有效防止常见的web攻击。(如,SQL 注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护网站免受网站 篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。防护类型箜面赣我sq1ai击是帝MW鼠疏肓开复中,浚有对用户输.一Xw-.ww.jr.W-.WL.w.-.w-w.JW.JW.JW.JW.JW.JWL.w.-.WL.w.-.WL.w.-.w.rw-w.Jw-w.Jw-w.Jw-w.f mw.f mw.f mw.f m.w-w.JW.JW.JW.JW.JW
