版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
數(shù)據(jù)中心整體安全解決方案目錄概述1方案目標(biāo)1參考依據(jù)1數(shù)據(jù)中心面臨的安全挑戰(zhàn)2網(wǎng)絡(luò)邊界接入風(fēng)險(xiǎn)3面向應(yīng)用層的攻擊3虛擬化安全風(fēng)險(xiǎn)4APT攻擊風(fēng)險(xiǎn)5數(shù)據(jù)泄露風(fēng)險(xiǎn)5安全運(yùn)維的挑戰(zhàn)6方案思路7總體思路7設(shè)計(jì)原則8方案設(shè)計(jì)9安全域劃分9邊界接入?yún)^(qū)9網(wǎng)絡(luò)基礎(chǔ)設(shè)施區(qū)9業(yè)務(wù)接入?yún)^(qū)10運(yùn)維管理區(qū)10.整體設(shè)計(jì)10.各安全域安全架構(gòu)設(shè)計(jì)11互聯(lián)網(wǎng)接入?yún)^(qū)11外聯(lián)接入?yún)^(qū)13部接人區(qū)134.3.4成心匯聚區(qū)14一般服務(wù)區(qū)154.3.6.重要服務(wù)區(qū)17核心數(shù)據(jù)區(qū)18運(yùn)維管理區(qū)19方案組成及產(chǎn)品介紹21方案清單21下一代智慧防火墻235.3.SSLVPN安全接入網(wǎng)關(guān)23Web應(yīng)用防火墻23虛擬化安全管理系統(tǒng)235.6.鷹眼Web智能監(jiān)控系統(tǒng)23天眼態(tài)勢感知及安全運(yùn)營平臺(tái)23運(yùn)維審計(jì)系統(tǒng)(堡壘機(jī))23數(shù)據(jù)庫審計(jì)系統(tǒng)23云監(jiān)測23企業(yè)安全服務(wù)23方案價(jià)值23索弓I圖4-1數(shù)據(jù)中心整體安全設(shè)計(jì)11圖4-2互聯(lián)網(wǎng)接入?yún)^(qū)安全設(shè)計(jì)12圖4-3外聯(lián)接入?yún)^(qū)安全設(shè)計(jì)13圖4-4部接入?yún)^(qū)安全設(shè)計(jì)14圖4-5核心匯聚區(qū)安全設(shè)計(jì)15圖4-6一般服務(wù)區(qū)安全設(shè)計(jì)16圖4-7重要服務(wù)區(qū)安全設(shè)計(jì)18圖4-8核心數(shù)據(jù)區(qū)安全設(shè)計(jì)19圖4-9運(yùn)維管理區(qū)安全設(shè)計(jì)20rz.FMAr隨著企業(yè)信息化的成熟發(fā)展和新技術(shù)的廣泛弓I用,政府機(jī)構(gòu)、金融、教育、IT、能源等等各個(gè)行業(yè)的企業(yè)都因需求不斷擴(kuò)大而正在規(guī)劃和建設(shè)各自的數(shù)據(jù)中心。一方面隨著信息爆炸,出于管理集約化、精細(xì)化的必然要求,進(jìn)行數(shù)據(jù)集中已經(jīng)成為國電子政務(wù)、企業(yè)信息化建設(shè)的發(fā)展趨勢。另一方面數(shù)據(jù)中心不再是簡單的基礎(chǔ)通信網(wǎng)絡(luò),更是集通信服務(wù)、IT服務(wù)、管理應(yīng)用和專業(yè)信息化服務(wù)于一體的綜合性信息服務(wù)中心。隨著云計(jì)算和大數(shù)據(jù)的高速發(fā)展,技術(shù)進(jìn)步推動(dòng)了生活、生產(chǎn)方式的改變,網(wǎng)絡(luò)數(shù)據(jù)中心的定義也發(fā)生了改變,傳統(tǒng)的數(shù)據(jù)中心將形成提供各種數(shù)據(jù)業(yè)務(wù)的新一代IDC數(shù)據(jù)中心。數(shù)據(jù)中心作為數(shù)據(jù)處理、存儲(chǔ)和交換的中心,是網(wǎng)絡(luò)中數(shù)據(jù)交換最頻繁、資源最密集的地方,更是存儲(chǔ)數(shù)據(jù)的安全局,它要保證所有數(shù)據(jù)的安全和完備。相比過去的傳統(tǒng)數(shù)據(jù)中心,云時(shí)代的數(shù)據(jù)中心面臨著更巨大的挑戰(zhàn),加新業(yè)務(wù)模式帶來的數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)、虛擬化等新技術(shù)弓1入的新型風(fēng)險(xiǎn)、攻擊者不斷演進(jìn)的新型攻擊手法等。因此,對于數(shù)據(jù)中心的安全建設(shè),要考慮多方面因素,任何防護(hù)上的疏漏必將會(huì)導(dǎo)致不可估量的損失,因此構(gòu)筑一道安全的防御體系將是這座數(shù)字城堡首先面對的問題。方案目標(biāo)本方案著眼于數(shù)據(jù)中心面臨的傳統(tǒng)風(fēng)險(xiǎn)和新型風(fēng)險(xiǎn),從全局考慮,為數(shù)據(jù)中心整體安全規(guī)劃和建設(shè)提供具備實(shí)際意義的安全建議。參考依據(jù)中亦[2003]27號(hào)文件《信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》?公通字[2004]66號(hào)《信息安全等級(jí)保護(hù)工作的實(shí)施意見》?公通字43號(hào)《信息安全等級(jí)保護(hù)管理亦法》GB/T20269-2006《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》GB/T20271-2006《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GB/T22240-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》?《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》?《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)第二分冊云計(jì)算安全要求》?《ISO13335信息系統(tǒng)管理指南》IATF信息保障技術(shù)框架數(shù)據(jù)中心面臨的安全挑戰(zhàn)隨著Internet應(yīng)用日益深化,教據(jù)中心運(yùn)行環(huán)境正從傳統(tǒng)客戶機(jī)/服務(wù)器向網(wǎng)絡(luò)連接的中央服務(wù)器轉(zhuǎn)型,受其影響,基礎(chǔ)設(shè)施框架下多層應(yīng)用程序與硬件、網(wǎng)絡(luò)、操作系統(tǒng)的關(guān)系變得愈加復(fù)雜。這種復(fù)雜性也為教據(jù)中心的安全體系弓1入許多不確定因素,一些未實(shí)施正確安全策略的教據(jù)中心,黑客和蠕蟲將順勢而入。盡管大多教系統(tǒng)管理員已經(jīng)認(rèn)識(shí)到來自網(wǎng)絡(luò)的惡意行為對教據(jù)中心造成的嚴(yán)重?fù)p害,而且許多教據(jù)中心已經(jīng)部署了依靠訪問控制防御來獲得安全性的設(shè)備,但對于日趨成熟和危險(xiǎn)的各類攻擊手段,這些傳統(tǒng)的防御措施仍然顯現(xiàn)的力不從心。以下是當(dāng)前數(shù)據(jù)中心面對的一些主要安全挑戰(zhàn)。:網(wǎng)絡(luò)邊界接入風(fēng)險(xiǎn)網(wǎng)絡(luò)邊界接入風(fēng)險(xiǎn)主要包括路由破壞、未授權(quán)訪問、信息竊聽、拒絕服務(wù)攻擊、針對路由器和交換機(jī)等邊界網(wǎng)絡(luò)設(shè)備的攻擊,以及病毒、蠕蟲的傳播等。在互聯(lián)網(wǎng)上尤其是拒絕服務(wù)攻擊現(xiàn)在呈多發(fā)趨勢,而且中國是攻擊發(fā)生的重災(zāi)區(qū),在世界圍僅次于美國排名第二。海量的SYNFlood、ACKFlooding.UDPFlood、ICMPFlood、(M)StreamFlood等攻擊產(chǎn)生的大量垃圾數(shù)據(jù)包,一方面大量占用網(wǎng)絡(luò)帶寬,另一方面會(huì)造成邊界路由器和核心交換機(jī)等網(wǎng)絡(luò)設(shè)備的有效數(shù)據(jù)轉(zhuǎn)發(fā)能力下降,甚至?xí)霈F(xiàn)核心路由器和交換機(jī)因負(fù)荷過載而造成轉(zhuǎn)發(fā)延遲增大和數(shù)據(jù)包丟包率上升等問題。同時(shí),針對服務(wù)器區(qū)域的HTTPGetFlood、UDPDNSQueryFlood.CC等攻擊會(huì)造成業(yè)務(wù)服務(wù)器和關(guān)鍵設(shè)備的服務(wù)質(zhì)量下降甚至業(yè)務(wù)中斷。面向應(yīng)用層的攻擊應(yīng)用層的攻擊之所以存在,通常是因?yàn)槌绦騿T是在嚴(yán)格的期限壓力下發(fā)布的代碼,他們并沒有足夠的時(shí)間來發(fā)現(xiàn)并解決將會(huì)導(dǎo)致安全漏洞的錯(cuò)誤。此外,許多程序員未考慮到使用某些特定語言結(jié)構(gòu)將會(huì)導(dǎo)致應(yīng)用程序暴露在隱式攻擊下。最后,許多應(yīng)用程序有著復(fù)雜的配置,缺乏經(jīng)驗(yàn)的用戶可能會(huì)在部署應(yīng)用程序時(shí)啟用了危險(xiǎn)的選項(xiàng),從而導(dǎo)致應(yīng)用程序的安全性降低。應(yīng)用層攻擊的類型可以分為如下3種:利用編程錯(cuò)誤一一應(yīng)用程序的開發(fā)是一個(gè)復(fù)雜的過程,它不可避免地會(huì)產(chǎn)生編程錯(cuò)誤。在某些情況下,這些錯(cuò)誤可能會(huì)導(dǎo)致嚴(yán)重的漏洞,使得攻擊者可以通過網(wǎng)絡(luò)遠(yuǎn)程利用這些漏洞。這樣的例子有:緩沖區(qū)溢出漏洞,它來自對不安全的C庫函數(shù)的使用;以Web為中心的漏洞,如將未經(jīng)清理的查詢傳遞給后端數(shù)據(jù)庫的Web服務(wù)器(這將導(dǎo)致SQL注入攻擊),以及將直接來自客戶端未經(jīng)過濾的容寫入頁面的站點(diǎn)(這將導(dǎo)致跨站腳本或XSS攻擊)。利用信任關(guān)系一有些攻擊利用的是信任關(guān)系而不是應(yīng)用程序的錯(cuò)誤。對與應(yīng)用程序本身交互而言,這類攻擊看上去是完全合法的,但它們的目標(biāo)是信任這些應(yīng)用程序的用戶。釣魚式攻擊就是一個(gè)這樣的例子,它的目標(biāo)并不是Web應(yīng)用程序或服務(wù)器,而是訪問釣魚或電子信息的用戶。耗盡資源一像網(wǎng)絡(luò)層或傳輸層的DoS攻擊一樣,應(yīng)用程序有時(shí)候也會(huì)遭受到大量數(shù)據(jù)輸入的攻擊。這類攻擊將使得應(yīng)用程序不可使用。2.3.虛擬化安全風(fēng)險(xiǎn)隨著云計(jì)算的迅速發(fā)展,傳統(tǒng)的數(shù)據(jù)中心也在向“云”邁近,首先的一步便是虛擬化技術(shù)的應(yīng)用。虛擬化技術(shù)是生成-個(gè)和真實(shí)系統(tǒng)行為一樣的虛擬機(jī)器,虛擬機(jī)像真實(shí)操作系統(tǒng)一樣,同樣存在軟件漏洞與系統(tǒng)漏洞,也會(huì)遭到病毒木馬的侵害。而且宿主機(jī)的安全問題同樣需要得到重視。一直以來無論虛擬化廠商或安全廠商都將安全的關(guān)注點(diǎn)放在虛擬機(jī)系統(tǒng)和應(yīng)用層面,直到“毒液”安全漏洞的出現(xiàn),才將人們的目光轉(zhuǎn)移到宿主機(jī),由于宿主機(jī)系統(tǒng)本身也都是基于Windows或Linux系統(tǒng)進(jìn)行底層重建,因此宿主機(jī)不可避免的會(huì)面對此類漏洞和風(fēng)險(xiǎn)問題,一旦宿主機(jī)的安全防護(hù)被忽略,黑客可以直接攻破虛擬機(jī),從而造成虛擬機(jī)逃逸。所以,宿主機(jī)的安全問題是虛擬化安全的根基。另外虛擬化技術(shù)帶來了彈性擴(kuò)展這一優(yōu)秀特性,是通過虛擬機(jī)漂移技術(shù)來實(shí)現(xiàn),當(dāng)宿主機(jī)資'源消耗過高或者出現(xiàn)故障時(shí),為了保證虛擬機(jī)上的業(yè)務(wù)穩(wěn)定,虛擬機(jī)會(huì)漂移到其他的宿主機(jī)上。企業(yè)的數(shù)據(jù)中心在虛擬化后,一旦發(fā)生虛擬機(jī)漂移,原有安全管理員..可修編..配置好的安全域?qū)⒈煌耆蚱?,甚至?xí)霈F(xiàn)部分物理服務(wù)器和虛擬機(jī)服務(wù)器處于同一個(gè)安全域這樣的情況,而依靠傳統(tǒng)防火墻和VLAN的方式將沒有亦法維持原來的安全域穩(wěn)定,使得安全域混亂,安全管理出現(xiàn)風(fēng)險(xiǎn)因此基于虛擬化環(huán)境自身的特性,數(shù)據(jù)中心需要充分考慮虛擬化的弓1入為企業(yè)帶來的相應(yīng)的風(fēng)險(xiǎn),根據(jù)各個(gè)風(fēng)險(xiǎn)點(diǎn)帶來的問題及威脅建設(shè)針對性的防護(hù)方案,以保障企業(yè)數(shù)據(jù)的安全及業(yè)務(wù)系統(tǒng)的平穩(wěn)運(yùn)行。2.4.APT攻擊風(fēng)險(xiǎn)傳統(tǒng)的防病毒軟件可以一定程度的解決已知病毒、木馬的威脅,但對于越來越多的APT攻擊卻束手無策°APT很多攻擊行為都會(huì)利用0day漏洞進(jìn)行網(wǎng)絡(luò)滲透和攻擊,且具有持續(xù)性及隱蔽性。此種持續(xù)體現(xiàn)在攻擊者不斷嘗試各種攻擊手段,以及在滲透到網(wǎng)絡(luò)部后長期蟄伏,不斷收集各種信息,直到收集到重要情報(bào)。更加危險(xiǎn)的是,這些新型的攻擊和威脅主要針對大型企業(yè)、重要的基礎(chǔ)設(shè)施或者具有核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。由于APT特種木馬的免疫行為,所以傳統(tǒng)的防病毒軟件以及安全控管措施和理念很難有效應(yīng)對APT攻擊。2.5.數(shù)據(jù)泄露風(fēng)險(xiǎn)數(shù)據(jù)泄漏是數(shù)據(jù)中心最為廣泛的擔(dān)憂之一。尤其是對公眾提供服務(wù)的數(shù)據(jù)中心,涉及大量用戶敏感信息等關(guān)鍵數(shù)據(jù)庫的存儲(chǔ),并開放多方接口供不同平臺(tái)、機(jī)構(gòu)調(diào)用,很多威脅場景都可能會(huì)導(dǎo)致敏感數(shù)據(jù)的丟失和泄漏。近年來各種機(jī)構(gòu)被“拖庫”事件頻繁發(fā)生,數(shù)據(jù)中心關(guān)鍵數(shù)據(jù)的高密度聚合對潛在的攻擊者具有極大的誘惑力,數(shù)據(jù)安全面臨巨大的挑戰(zhàn)。2.6.安全運(yùn)維的挑戰(zhàn)隨著技術(shù)和應(yīng)用的演進(jìn),讓今天的IT環(huán)境和過去相比,已經(jīng)發(fā)生了巨大的變遷,而相應(yīng)的安全運(yùn)維管理重點(diǎn),也從過去的“設(shè)備監(jiān)控、告警程序”,轉(zhuǎn)變?yōu)閷ζ髽I(yè)業(yè)務(wù)發(fā)展的關(guān)注和支撐。傳統(tǒng)的“安全運(yùn)維”存在著諸多的問題需要解決?!龆喾N安全設(shè)備,不同的報(bào)警,如何整合?在大中型企業(yè)的網(wǎng)絡(luò)系統(tǒng)中,為了確保系統(tǒng)的穩(wěn)健運(yùn)行,通常會(huì)采用多種安全技術(shù)手段和安全產(chǎn)品,比如防火墻系統(tǒng)、入侵檢測系統(tǒng)、防病毒系統(tǒng)等,都是安全基礎(chǔ)設(shè)施。在實(shí)際的運(yùn)維過程中,這些不同種類、不同廠家的安全產(chǎn)品會(huì)給技術(shù)人員帶來不小的麻煩--各個(gè)安全系統(tǒng)相對孤立,報(bào)警信息互不關(guān)聯(lián),策略和配置難于協(xié)調(diào)。當(dāng)一個(gè)報(bào)警事件產(chǎn)生時(shí),不知道該如何處理?!龊A康氖录⒑A康娜罩?,如何分析存儲(chǔ)?對于數(shù)據(jù)中心的規(guī)模來說,各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器都會(huì)產(chǎn)生海量的日志。從海量數(shù)據(jù)中對日志進(jìn)行快速分析,這要求本地具備海量的數(shù)據(jù)存儲(chǔ)能力、檢索能力和多維度關(guān)聯(lián)能力,而傳統(tǒng)的數(shù)據(jù)存儲(chǔ)和檢索技術(shù)很難達(dá)到這樣的要求。例如:在一個(gè)中型規(guī)模的企業(yè)中記錄全年的網(wǎng)絡(luò)出口流量,大約有2000億條日志,需要約300多丁8的存儲(chǔ)空間,如果使用傳統(tǒng)的檢索技術(shù)進(jìn)行一次條件檢索,大概需要幾個(gè)小時(shí)的時(shí)間。這種效率明顯不能滿足攻擊行為分析的需求?!鋈绾误w現(xiàn)安全運(yùn)維的價(jià)值?安全運(yùn)維是很枯燥的工作,運(yùn)維人員整天面對滾動(dòng)的監(jiān)控屏幕,各種碎片化的告警,復(fù)雜的報(bào)表,責(zé)任重大,壓力巨大,但工作成果卻很難體現(xiàn)。究其原因還是缺少自動(dòng)化、結(jié)構(gòu)化、可視化的管理工具,導(dǎo)致安全運(yùn)維效率低下,難以快速感知整體的安全態(tài)勢。方案思路3.1.總體思路基于數(shù)據(jù)中心的業(yè)務(wù)需求,以及數(shù)據(jù)中心面臨的安全問題,很難通過一次安全建設(shè)將數(shù)據(jù)中心面臨的所有風(fēng)險(xiǎn)解決;同時(shí),安全風(fēng)險(xiǎn)也是動(dòng)態(tài)發(fā)展變化的,因此我們的解決方案也需要隨著數(shù)據(jù)中心的安全需求變化不斷完善和發(fā)展。從云提供商的角度來看,傳統(tǒng)模式下的網(wǎng)絡(luò)安全需求并沒有什么變化,無論從信息安全的XX性、完整性、可用性,還是根據(jù)網(wǎng)絡(luò)層次劃分的從物理層到應(yīng)用層安全,仍然是需要解決的問題。在云計(jì)算時(shí)代數(shù)據(jù)中心信息安全架構(gòu)時(shí),不能像傳統(tǒng)IDC系統(tǒng)集成或者安全集成那樣,頭痛醫(yī)頭,腳痛醫(yī)腳,而應(yīng)該充分結(jié)合虛擬化的特點(diǎn)來系統(tǒng)地進(jìn)行規(guī)劃,考慮數(shù)據(jù)中心外圍物理實(shí)體以及虛擬化平臺(tái)環(huán)境的各類安全需求和特性,從而達(dá)到各類安全產(chǎn)品、安全管理、整體安全策略的統(tǒng)一,發(fā)揮最大的效率。在設(shè)計(jì)數(shù)據(jù)中心安全建議方案時(shí),充分利用現(xiàn)有國和國際安全標(biāo)準(zhǔn)和成熟的安全體系,結(jié)合系統(tǒng)的實(shí)際需求,利用在安全領(lǐng)域的成熟經(jīng)驗(yàn),設(shè)計(jì)出一個(gè)有針對性的安全設(shè)計(jì)方案。解決思路如下:1)對數(shù)據(jù)中心進(jìn)行安全域劃分,根據(jù)各區(qū)域的業(yè)務(wù)特性、技術(shù)特性以及安全需求進(jìn)行對應(yīng)的安全防護(hù)設(shè)計(jì);2)要充分考慮網(wǎng)絡(luò)層、操作系統(tǒng)層、虛擬化層、應(yīng)用層以及數(shù)據(jù)層的安全防護(hù)需求,特別是虛擬化等新技術(shù)帶來的問題。3)強(qiáng)調(diào)安全運(yùn)營的價(jià)值,實(shí)現(xiàn)預(yù)警、檢測、響應(yīng)、溯源的閉環(huán)流程;3.2.設(shè)計(jì)原則■業(yè)務(wù)保障原則:安全體系的設(shè)計(jì)目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí),還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率?!鼋Y(jié)構(gòu)簡化原則:安全架構(gòu)規(guī)劃的直接目的和效果是要將整個(gè)網(wǎng)絡(luò)變得更加簡單,簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系。比如,安全域劃分并不是粒度越細(xì)越好,安全域數(shù)量過多過雜可能導(dǎo)致安全域的管理過于復(fù)雜和困難?!隽Ⅲw協(xié)防原則:應(yīng)避免形成各個(gè)安全產(chǎn)品獨(dú)立割裂的安全體系,充分利用威脅情報(bào)和大數(shù)據(jù)等新技術(shù),實(shí)現(xiàn)網(wǎng)絡(luò)、終端、邊界的立體協(xié)防機(jī)制。■等級(jí)保護(hù)原則:根據(jù)業(yè)務(wù)系統(tǒng)的重要程度以及考慮風(fēng)險(xiǎn)威脅、安全需求、安全成本等因素,將其劃為不同的安全保護(hù)等級(jí)并采取相應(yīng)的安全保護(hù)技術(shù)、管理措施。■可擴(kuò)展性原則:當(dāng)有新的業(yè)務(wù)系統(tǒng)需要接入數(shù)據(jù)中心時(shí),可按照等級(jí)保護(hù)、對端可信度等原則將其分別劃分至不同安全等級(jí)域的各個(gè)子域?!隹晒芾硇栽瓌t:應(yīng)當(dāng)采用集中化、自動(dòng)化、智能化的安全管理手段,減輕安全的負(fù)擔(dān),同時(shí)減小因?yàn)楣芾砩系氖杪┒鴮ο到y(tǒng)安全造成的威脅。4■方案設(shè)計(jì)安全域劃分安全域劃分的目的是從信息安全的角度來對企業(yè)信息系統(tǒng)進(jìn)行拆分。以業(yè)務(wù)系統(tǒng)為核心,從業(yè)務(wù)特性、技術(shù)特性方面分析各業(yè)務(wù)系統(tǒng)的安全需求和防護(hù)等級(jí),進(jìn)行適當(dāng)?shù)陌踩雷o(hù)體系設(shè)計(jì)。邊界接入?yún)^(qū)■互聯(lián)網(wǎng)接入?yún)^(qū)承載組織與互聯(lián)網(wǎng)的連接,組織向公共用戶提供對外業(yè)務(wù)服務(wù)的通道。■外聯(lián)接入?yún)^(qū)承載組織與外部第三方機(jī)構(gòu)的信息交換,加電子政務(wù)專網(wǎng)、監(jiān)管機(jī)構(gòu)、合作機(jī)構(gòu)等?!霾拷尤?yún)^(qū)承載組織部的分支機(jī)構(gòu)、災(zāi)備中心之間的信息交換,以及組織人員從外部接入的通道。4.1.2.網(wǎng)絡(luò)基礎(chǔ)設(shè)施區(qū)■核心匯聚區(qū)數(shù)據(jù)中心的網(wǎng)絡(luò)匯聚中心,各個(gè)區(qū)域之間的數(shù)據(jù)流傳都會(huì)經(jīng)過核心匯聚區(qū)。通常在此區(qū)域進(jìn)行網(wǎng)絡(luò)流量的安全監(jiān)控?!鰠^(qū)域接入?yún)^(qū)主要是各個(gè)安全區(qū)部接入的路由交換設(shè)備,通常在此區(qū)域部署網(wǎng)絡(luò)接入控制等措施。業(yè)務(wù)接入?yún)^(qū)■一般服務(wù)區(qū)用于存?防護(hù)級(jí)別較低,需直接對外提供服務(wù)的信息資產(chǎn),如Web應(yīng)用、業(yè)務(wù)前置機(jī)、亦公服務(wù)器等,一般服務(wù)區(qū)與外界有直接連接,同時(shí)不能夠訪問核心數(shù)據(jù)區(qū)(避免被作為攻擊核心數(shù)據(jù)區(qū)的跳板)。■重要服務(wù)區(qū)用于存放級(jí)別較高,不需要直接對外提供服務(wù)的信息資產(chǎn),加生產(chǎn)應(yīng)用服務(wù)器等,重要服務(wù)區(qū)一般通過一般服務(wù)區(qū)與外界連接,并可以直接訪問核心數(shù)據(jù)區(qū)。■核心數(shù)據(jù)區(qū)用于存放級(jí)別非常高的信息資產(chǎn),加核心數(shù)據(jù)庫等,外部對核心區(qū)的訪問需要通過重要服務(wù)區(qū)跳轉(zhuǎn)。運(yùn)維管理區(qū)運(yùn)維管理區(qū)通常承載網(wǎng)絡(luò)管理、安全管理和業(yè)務(wù)運(yùn)維等應(yīng)用,運(yùn)維人員通過本區(qū)域的管理平臺(tái)對網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全產(chǎn)品進(jìn)行管理。加各類設(shè)備的日志存儲(chǔ)、安全管理平臺(tái)、各類監(jiān)控系統(tǒng)等。4.2.整體設(shè)計(jì)根據(jù)上述的安全域劃分架構(gòu),對數(shù)據(jù)中心進(jìn)行整體安全設(shè)計(jì),加下圖所示:..可修編..圖41數(shù)據(jù)中心整體安全設(shè)計(jì)各安全域安全架構(gòu)設(shè)計(jì)4.3.1.互聯(lián)網(wǎng)接入?yún)^(qū)互聯(lián)網(wǎng)接入?yún)^(qū)主要面臨來自互聯(lián)網(wǎng)的安全威脅,對于互聯(lián)網(wǎng)接入?yún)^(qū)的安全設(shè)計(jì)主要從以下兩方面考慮:1.防DDoS攻擊(分布式拒絕服務(wù)攻擊)。DDOS攻擊分為帶寬消耗型攻擊(大流量攻擊)和主機(jī)資'源消耗型攻擊,帶寬消耗型攻擊會(huì)對數(shù)據(jù)出口造成流量壓力,極大浪費(fèi)寶貴的帶寬資源,嚴(yán)重增加核心設(shè)備的工作負(fù)荷,造成關(guān)鍵業(yè)務(wù)的中斷或網(wǎng)絡(luò)服務(wù)質(zhì)量的大幅降低。主機(jī)資源消耗型攻擊使服務(wù)器處理大量并發(fā)攻擊請求,嚴(yán)重影響服務(wù)器存、數(shù)據(jù)庫、CPU的處理性能。DDoS攻擊會(huì)造成門戶、網(wǎng)絡(luò)設(shè)備、虛擬服務(wù)器等性能均急劇下降,可能導(dǎo)致無常處理用戶的正常訪問請求,造成客戶訪問失敗。2.未知威脅檢測與響應(yīng)?;ヂ?lián)網(wǎng)邊界是威脅的重要入口之一,同時(shí)也是數(shù)據(jù)泄露的主要出口之一。尤其是當(dāng)前APT攻擊盛行,各類未知威脅對核心數(shù)據(jù)安全造成巨大的危害。網(wǎng)關(guān)層面應(yīng)當(dāng)具備對未知威脅的檢測能力,并能實(shí)現(xiàn)聯(lián)動(dòng)響應(yīng)機(jī)制,攔截掉威脅進(jìn)出的路徑。本區(qū)域安全設(shè)計(jì)如下圖所示:圖42互聯(lián)網(wǎng)接入?yún)^(qū)安全設(shè)計(jì)■在互聯(lián)網(wǎng)邊界部署擠DDoS系統(tǒng),對來自外部的DDoS攻擊進(jìn)行實(shí)時(shí)的阻斷。■部署360網(wǎng)神下一代智慧防火墻,實(shí)現(xiàn)高性能的應(yīng)用層安全防護(hù),以及與安全運(yùn)營平臺(tái)進(jìn)行聯(lián)動(dòng),實(shí)現(xiàn)網(wǎng)關(guān)處的未知威脅處置。4.3.2.外聯(lián)接入?yún)^(qū)外聯(lián)接入?yún)^(qū)主要面臨的威脅來自于外聯(lián)機(jī)構(gòu),通常外聯(lián)機(jī)構(gòu)使用專線或者VPN連接到數(shù)據(jù)中心,訪問特定的業(yè)務(wù)系統(tǒng)。對于外聯(lián)接入?yún)^(qū)的安全設(shè)計(jì)主要從訪問控制方面重點(diǎn)考慮。本區(qū)域安全設(shè)計(jì)如下圖所示:圖43外聯(lián)接入?yún)^(qū)安全設(shè)計(jì)部署360網(wǎng)神下一代智慧防火墻,實(shí)現(xiàn)端口級(jí)的訪問控制,并開啟應(yīng)用層防護(hù)功能,對來自外部機(jī)構(gòu)的惡意代碼、高級(jí)威脅等進(jìn)行檢測和攔截。4.3.3.部接入?yún)^(qū)部接入?yún)^(qū)主要面臨的威脅來自于遠(yuǎn)程接入帶來的風(fēng)險(xiǎn),如傳輸過程的信道監(jiān)聽、員工遠(yuǎn)程接入后的權(quán)限濫用等。部接入?yún)^(qū)的安全設(shè)計(jì)主要考慮遠(yuǎn)程安全接入中的訪問控制、權(quán)限管理、傳輸加密等方面。本區(qū)域安全設(shè)計(jì)如下圖所示:專gPN1內(nèi)部接入?yún)^(qū)接入路由器2360下-4^智慧防火專gPN1內(nèi)部接入?yún)^(qū)接入路由器2360下-4^智慧防火K!VPN網(wǎng)關(guān)1圖44部接入?yún)^(qū)安全設(shè)計(jì)■部署360網(wǎng)神下一代智慧防火墻,支持對穿過防火墻的SSL協(xié)議進(jìn)行解密,并對解密后的數(shù)據(jù)提供防護(hù)過濾,如攻擊防護(hù)、入侵檢測、病毒防護(hù)、容過濾等。4.3.4.核心匯聚區(qū)核心匯聚區(qū)的安全設(shè)計(jì)主要考慮從全網(wǎng)流量中對各類威脅進(jìn)行識(shí)別檢測,及時(shí)發(fā)現(xiàn)攻擊行為并向安全運(yùn)營中心進(jìn)行告警。本區(qū)域安全設(shè)計(jì)如下圖所示:圖45核心匯聚區(qū)安全設(shè)計(jì)■在核心交換機(jī)上旁路部署360天眼網(wǎng)絡(luò)威脅傳感器。通過流量鏡像接收全網(wǎng)的通信數(shù)據(jù)流,對各類網(wǎng)絡(luò)行為進(jìn)行還原,從中識(shí)別各類已知威脅生成告警;還可以通過與360威脅情報(bào)中心下發(fā)到本地的威脅情報(bào)進(jìn)行比對,識(shí)別未知威脅;同時(shí)全量網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)在本地大數(shù)據(jù)分析平臺(tái),可以對威脅進(jìn)行溯源?!霾渴?60天眼文件威脅鑒定器。網(wǎng)絡(luò)威脅傳感器識(shí)別到網(wǎng)絡(luò)流量中的文件傳輸行為后,會(huì)將文件還原并發(fā)送至文件威脅鑒定器,進(jìn)行深度分析。文件威脅鑒定器會(huì)對PE文件、腳本文件等進(jìn)行模擬運(yùn)行,通過文件運(yùn)行過程中執(zhí)行的操作行為進(jìn)一步識(shí)別潛在的威脅。4.3.5.一般服務(wù)區(qū)一般服務(wù)區(qū)通常承載了對外的Web類應(yīng)用,主要面臨的威脅有以下兩方面:1.應(yīng)用安全風(fēng)險(xiǎn),主要由于應(yīng)用軟件的漏洞造成。任何一種軟件或多或少存在一定脆弱性,安全漏洞可視作已知系統(tǒng)脆弱性。這種安全漏洞可分為兩種:一種是由于操作系統(tǒng)本身設(shè)計(jì)缺陷帶來的漏洞,它將被運(yùn)行在這個(gè)系統(tǒng)上的應(yīng)用程序所繼承,另一種是應(yīng)用軟件程序安全漏洞,很常見,更要引起廣泛關(guān)注。2.主機(jī)安全風(fēng)險(xiǎn)。包括兩方面:一是物理機(jī)與虛擬機(jī)操作系統(tǒng)的惡意代碼防。二是由于服務(wù)器虛擬化技術(shù)帶來的新型風(fēng)險(xiǎn),加?xùn)|西向流量的訪問控制、虛擬機(jī)逃逸漏洞、虛擬機(jī)漂移導(dǎo)致安全策略失效等。本區(qū)域安全設(shè)計(jì)如下圖所示:一殷服務(wù)區(qū)(Mfeb.APP.SSL)圖46一般服務(wù)區(qū)安全設(shè)計(jì)■在一般服務(wù)區(qū)邊界部署Web應(yīng)用防火墻,用于對應(yīng)用層的攻擊行為進(jìn)行實(shí)時(shí)防護(hù)?!鲈谝话惴?wù)區(qū)的接入交換機(jī)旁路部署Web漏洞智能監(jiān)測系統(tǒng),一方面能夠從進(jìn)出站流量中識(shí)別出應(yīng)用系統(tǒng)存在的漏洞和針對Web應(yīng)用的攻擊行為;另一方面能夠?qū)φ军c(diǎn)中存在的暗鏈、后門的訪問行為進(jìn)行識(shí)別,發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)?!鲈谖锢頇C(jī)和虛擬機(jī)操作系統(tǒng)上部署天擎虛擬化安全客戶端,主要功能包括惡意代碼防護(hù)、主機(jī)防火墻、主機(jī)入侵防御,并可以對虛擬機(jī)與物理機(jī)操作系統(tǒng)進(jìn)行統(tǒng)一管理??蛻舳伺c部署在運(yùn)維管理區(qū)的虛擬化安全控制中心進(jìn)行通信,進(jìn)行病毒庫更新、安全策略更新、日志告警上傳等?!鲈诜?wù)器虛擬化管理層部署宿主機(jī)防護(hù)代理客戶端,用于防利用虛擬機(jī)逃逸漏
洞對宿主機(jī)進(jìn)行穿透攻擊的行為,保證宿主機(jī)上所有虛擬機(jī)的安全運(yùn)行。重要服務(wù)區(qū)重要服務(wù)區(qū)主要面臨的威脅來自于主機(jī)操作系統(tǒng)層,包括兩方面:一是物理機(jī)與虛擬機(jī)操作系統(tǒng)的惡意代碼防。二是由于服務(wù)器虛擬化技術(shù)帶來的新型風(fēng)險(xiǎn),加?xùn)|西向流量的訪問控制、虛擬機(jī)逃逸漏洞、虛擬機(jī)漂移導(dǎo)致安全策略失效等。本區(qū)域安全設(shè)計(jì)如下圖所示:-:lA-接人交挽機(jī)物理服務(wù)器群虛擬化服務(wù)器群重要服務(wù)區(qū)(業(yè)務(wù)應(yīng)用)圖47重要服務(wù)區(qū)安全設(shè)計(jì)■在物理機(jī)和虛擬機(jī)操作系統(tǒng)上部署天擎虛擬化安全客戶端,主要功能包括惡意-:lA-接人交挽機(jī)物理服務(wù)器群虛擬化服務(wù)器群重要服務(wù)區(qū)(業(yè)務(wù)應(yīng)用)圖47重要服務(wù)區(qū)安全設(shè)計(jì)■在服務(wù)器虛擬化管理層部署宿主機(jī)防護(hù)代理客戶端,用于防利用虛擬機(jī)逃逸漏
洞對宿主機(jī)進(jìn)行穿透攻擊的行為,保證宿主機(jī)上所有虛擬機(jī)的安全運(yùn)行。核心數(shù)據(jù)區(qū)核心教據(jù)區(qū)主要面臨的威脅來自于對教據(jù)安全方面,如敏感教據(jù)泄露、對教據(jù)庫的越權(quán)訪問、教據(jù)庫配置缺陷等。本區(qū)域安全設(shè)計(jì)如下圖所示:瞄庫存儲(chǔ)蛋源池散據(jù)區(qū)數(shù)據(jù)菌粉幡I瞄庫存儲(chǔ)蛋源池散據(jù)區(qū)數(shù)據(jù)菌粉幡I圖48核心數(shù)據(jù)區(qū)安全設(shè)計(jì)在核心數(shù)據(jù)區(qū)旁路部署數(shù)據(jù)庫審計(jì)系統(tǒng),監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為,并可以支持操作回放。還可以通過建立行為模型來發(fā)現(xiàn)違規(guī)的數(shù)據(jù)庫訪問行為,并能夠進(jìn)行溯'源,定位到責(zé)任人。運(yùn)維管理區(qū)安全運(yùn)維是整個(gè)安全體系的重申之重,過去安全運(yùn)維的價(jià)值難以得到體現(xiàn),主要有以下原因:加安全管理制裂、學(xué)習(xí)成本高、對運(yùn)維人員水平要求較高、安全管理成果缺少可視化呈現(xiàn)手段等。本方案要做到的不僅僅是實(shí)現(xiàn)安全防護(hù)目標(biāo),同時(shí)要盡可能
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- GB/T 24630.2-2024產(chǎn)品幾何技術(shù)規(guī)范(GPS)平面度第2部分:規(guī)范操作集
- 農(nóng)村房屋購買合同范文
- 個(gè)體戶車輛轉(zhuǎn)讓協(xié)議
- 電腦租賃合同范本2024年
- 2024年鉆機(jī)購銷合同國際貿(mào)易合同
- 合作伙伴協(xié)議:有限合伙企業(yè)合作合同
- 短期運(yùn)輸合同書
- 勞務(wù)協(xié)議書范本中的風(fēng)險(xiǎn)防范
- 土地買賣合同范本2024年
- 校園意外傷害賠償協(xié)議
- 高中數(shù)學(xué)必修一黃岡中學(xué)試卷(內(nèi)含答案)
- 學(xué)寫一種植物(三年級(jí)作文指導(dǎo))課件
- 加油站安全承諾書
- 豬的呼吸道疾病課件
- 衛(wèi)生院會(huì)議制度
- 氣溫和氣溫的分布 詳細(xì)版課件
- 小學(xué) 四年級(jí) 體育水平二 基本運(yùn)動(dòng)技能平衡篇 課件
- 汽車品牌保時(shí)捷課件
- 人教版數(shù)學(xué)三年級(jí)上冊《分?jǐn)?shù)的初步認(rèn)識(shí)》課件 (共7張PPT)
- 5000噸每年聚丙烯酰胺工藝流程圖
- DB64∕T 1754-2020 寧夏磚瓦用粘土礦產(chǎn)地質(zhì)勘查技術(shù)規(guī)程
評(píng)論
0/150
提交評(píng)論