數(shù)據(jù)中心安全建議書

1、數(shù)據(jù)中心安全建議書2008-08目錄一、概述 11二、安全設(shè)計 11三、物理安全 221. 環(huán)境安全 222. 機房安全 22四、網(wǎng)絡(luò)安全 331. 防火墻 332. 入侵保護系統(tǒng)（IPS） 333. 網(wǎng)絡(luò)、數(shù)據(jù)庫審計 44五、系統(tǒng)安全 441. 主機安全 442. 漏洞掃描 443. 防病毒 554. 補丁分發(fā) 55六、應(yīng)用和信息安全 551. 數(shù)據(jù)備份與恢復(fù) 552. 抗DDO攻擊系統(tǒng) 553. 身份及訪問安全管理 66概述近幾年來，越來越多的企業(yè)對數(shù)據(jù)中心建設(shè)青睞有佳。在享受數(shù)據(jù)中心帶來生產(chǎn)力提 高的同時，其內(nèi)在的安全建設(shè)成為了業(yè)內(nèi)的熱點。讓數(shù)據(jù)中心遠離安全威脅，促使其在管 理、運維上向

2、安全靠攏，已經(jīng)成為當(dāng)前的建設(shè)趨勢。針對數(shù)據(jù)中心提出以下幾個安全方面的建議。二、安全設(shè)計安全防護體系涵蓋了物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全以及應(yīng)用層的安全防護，每個層 面包括了若干種安全防護手段和措施。建議數(shù)據(jù)中心的網(wǎng)絡(luò)采用以兩臺交換機為中心的雙星形冗余結(jié)構(gòu)的網(wǎng)絡(luò)；在網(wǎng)絡(luò)邊界 采用網(wǎng)絡(luò)防火墻進行邏輯隔離，通過部署 IPS 實現(xiàn)邊界縱深防御；數(shù)據(jù)中心采用網(wǎng)絡(luò) / 數(shù)據(jù) 庫審計系統(tǒng)保障對網(wǎng)絡(luò)和數(shù)據(jù)庫的安全；在數(shù)據(jù)中心的主機或服務(wù)器上安裝網(wǎng)絡(luò)版防毒軟 件的客戶端；數(shù)據(jù)中心的服務(wù)器采用雙機互為熱備份的工作方式；對數(shù)據(jù)中心的數(shù)據(jù)通過 陣列或磁帶庫進行相應(yīng)的備份；結(jié)合身份及訪問安全管理系統(tǒng)，實現(xiàn)對數(shù)據(jù)中心重要系

3、統(tǒng) 的訪問控制及行為審計；通過部署防 DDO攻擊系統(tǒng)，有效保障數(shù)據(jù)中心內(nèi)部業(yè)務(wù)系統(tǒng)。對數(shù)據(jù)中心的安全防護措施如下圖所示：帶庫服務(wù)子網(wǎng)訪間押制網(wǎng)關(guān)業(yè)務(wù)操作員陰病毒/審計 /n)s/a據(jù)備也 服務(wù)器対城幗踐廣城闞)安金審汁系統(tǒng) IDS塞続JuleiiEt圖數(shù)據(jù)中心的網(wǎng)絡(luò)服務(wù)歿安全系統(tǒng)示意圖下面從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全以及應(yīng)用層的安全四個層面，描述各層面安全 的具體技術(shù)手段及措施。三、物理安全在數(shù)據(jù)中心計算機網(wǎng)絡(luò)與安全防護系統(tǒng)建設(shè)實施中，物理安全措施的實施包括了主要 包括環(huán)境安全、機房安全和物理隔離等方面。1. 環(huán)境安全設(shè)備工作環(huán)境的安全防護可參照 GB50173-93電子計算機機房設(shè)計規(guī)范、

4、GB2887-89計算站場地技術(shù)條件和 GB9361-88計算站場地安全要求等標準實施。2. 機房安全物理環(huán)境的防護計算機機房場地安全防電磁輻射泄漏禁帶物品設(shè)備防盜空調(diào)系統(tǒng)防靜電電源接地計算機場地防火運輸過程中的防護四、網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是一個比較通用的概念，通常包括網(wǎng)絡(luò)自身的設(shè)計、構(gòu)建和使用以及基于網(wǎng) 絡(luò)的各種安全相關(guān)的技術(shù)和手段。1. 防火墻防火墻是部署在不同網(wǎng)絡(luò)安全域之間的一系列部件的組合。它能根據(jù)企業(yè)的安全 政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。 它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻實現(xiàn)網(wǎng)與網(wǎng)之間的 訪問隔離，以保護整個網(wǎng)絡(luò)抵御來

5、自其它網(wǎng)絡(luò)的入侵者。數(shù)據(jù)中心作為一個安全級別較高的存在，需要與與長江養(yǎng)老保險公司的網(wǎng)絡(luò)邏輯 上隔離。通過在數(shù)據(jù)中心與長江養(yǎng)老保險公司的內(nèi)部網(wǎng)絡(luò)相連處，部署網(wǎng)絡(luò)防火墻，將數(shù) 據(jù)中心與長江養(yǎng)老保險公司的內(nèi)部網(wǎng)絡(luò)在邏輯上進行隔離。2. 入侵保護系統(tǒng)（ IPS）入侵保護（阻止）系統(tǒng)（IPS）是新一代的侵入檢測系統(tǒng)。IPS技術(shù)可以深度感知并檢測流經(jīng)的數(shù)據(jù)流量，對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行限流以保護網(wǎng)絡(luò)帶寬資源。通過入侵防護系統(tǒng)，可以實時檢測到各種 攻擊，同時實時做出各種預(yù)先定義的響應(yīng)，作到在黑客造成破壞之前發(fā)現(xiàn)問題，解決 問題。IPS 廣泛應(yīng)用于銀行、政府等部門的內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)，也

6、可用于內(nèi)部網(wǎng)的 不同信任域間的信息交互。數(shù)據(jù)中心可以根據(jù)實際需要，將此防護措施運用于安全保護要求較高的領(lǐng)域。3. 網(wǎng)絡(luò)、數(shù)據(jù)庫審計安全審計系統(tǒng)主要監(jiān)控來自網(wǎng)絡(luò)內(nèi)部和外部的用戶活動，偵察系統(tǒng)中現(xiàn)存的和潛 在的威脅，對與安全有關(guān)的活動的相關(guān)信息進行識別，記錄，存儲和分析，對突發(fā)事 件進行報警和響應(yīng)。在數(shù)據(jù)中心的網(wǎng)絡(luò)中，安全審計主要體現(xiàn)在幾個方面，網(wǎng)絡(luò)審計和數(shù)據(jù)庫業(yè)務(wù)審 計。針對網(wǎng)絡(luò)層面，在系統(tǒng)內(nèi)的很多敏感或涉密信息如果被有意或無意中泄漏出去， 將會產(chǎn)生嚴重的后果， 同時由于與 Internet 的互連，不可避免地使一些不良信息流入。 為防止與追查網(wǎng)上機密信息的泄漏行為，并防止不良信息的流入，可在網(wǎng)

7、絡(luò)系統(tǒng)與 Internet 的連接處，對進出網(wǎng)絡(luò)的信息流實施內(nèi)容審計。針對數(shù)據(jù)中心，需要在關(guān)鍵的部位加強對數(shù)據(jù)庫系統(tǒng)的安全防護功能，建議使用 數(shù)據(jù)庫業(yè)務(wù)審計的相關(guān)技術(shù)和產(chǎn)品。五、系統(tǒng)安全1. 主機安全可被攻擊的系統(tǒng)的漏洞主要集中在幾個方面： 固有的安全漏洞、 合法工具的濫用、 不正確的系統(tǒng)維護措施和低效的系統(tǒng)設(shè)計及檢測能力。數(shù)據(jù)中心在主機安全管理方面可著重考慮以下措施：在計算機網(wǎng)絡(luò)與信息系統(tǒng)中采用先進的訪問控制系統(tǒng)完善計算機系統(tǒng)的訪問控制， 嚴格劃分、 管理、控制用戶的權(quán)限和行為， 達到更高層次的安全級別。 在信息系統(tǒng)中， 對于核心業(yè)務(wù)服務(wù)器以及關(guān)鍵數(shù)據(jù)庫服務(wù)器采用主機訪問控制措施，增強系統(tǒng)的

8、安全 等級。2. 漏洞掃描漏洞掃描（也叫漏洞檢測）目前已經(jīng)越來越為網(wǎng)絡(luò)安全管理員所重視，因為利用 系統(tǒng)設(shè)計、配置和管理中的漏洞來攻擊系統(tǒng)是最為典型的技術(shù)型攻擊手段。 專家認為， 如果系統(tǒng)在建立時就具備嚴密的安全環(huán)境，那么成功的技術(shù)入侵事件數(shù)量就會大大減 少。漏洞掃描就是對重要計算機信息系統(tǒng)進行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。這種技術(shù)通常采用兩種策略，即被動式策略和主動式策略。被動式策略是基于主 機的檢測 (System Scanner) ，對系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全規(guī) 則相抵觸的對象進行檢查；而主動式策略是基于網(wǎng)絡(luò)的檢測 (Network Scanner) ，通過 執(zhí)行一

9、些腳本文件對系統(tǒng)進行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。漏洞掃描的結(jié)果實際上就是系統(tǒng)安全性能的一個評估，它指出了哪些攻擊是可能 的。數(shù)據(jù)中心可以采用周期性的掃描，例如每月進行掃描一次，針對掃描結(jié)果對系統(tǒng) 進行相應(yīng)的安全修補，提高安全防護等級。3. 防病毒建議在數(shù)據(jù)中心的主機和服務(wù)器上安裝網(wǎng)絡(luò)版的防毒產(chǎn)品客戶端軟件。4. 補丁分發(fā)對操作系統(tǒng)及時的打補丁，提高操作系統(tǒng)的健壯性。及時有效全面地對業(yè)務(wù)系統(tǒng) 中的計算機操作系統(tǒng)特別是Win dows操作系統(tǒng)更新補丁對于病毒防范顯得十分重要。對于Windows可采用自動分發(fā)，對與UNIX等操作系統(tǒng)采用手動下載和安裝補丁。六、應(yīng)用和信息安全1. 數(shù)據(jù)備

10、份與恢復(fù)在數(shù)據(jù)中心計算機網(wǎng)絡(luò)與信息安全系統(tǒng)中， 針對關(guān)鍵的業(yè)務(wù)服務(wù)器、 應(yīng)用服務(wù)器、 數(shù)據(jù)庫服務(wù)器以及比較重要的主機，建立完善的數(shù)據(jù)備份與恢復(fù)系統(tǒng)。日常備份需要通過制度來保證每天的正常執(zhí)行，包括備份手段的使用，備份時間 等。同時保存好備份介質(zhì)。2. 抗DDOSfc擊系統(tǒng)DDOS分布式拒絕服務(wù))攻擊一般通過In ternet上廣泛分布的“僵尸”系統(tǒng)完成。 DDO造成的海量攻擊流量會給應(yīng)用系統(tǒng)或是網(wǎng)絡(luò)本身帶來非常大的負載消耗，從而使網(wǎng)絡(luò)基礎(chǔ)設(shè)備和應(yīng)用系統(tǒng)的可用性大為降低?？咕芙^服務(wù)攻擊系統(tǒng)能夠及時發(fā)現(xiàn)背景流量中各種類型的攻擊流量，針對攻擊類 型迅速對攻擊流量進行攔截，保證正常流量的通過。3. 身份及訪問安全管理通過建立統(tǒng)一身份及訪問安全管理平臺實現(xiàn)統(tǒng)一用戶管理、 認證管理、授權(quán)管理、 訪問控制和審計管理。集中化的帳號管理；集中化的身