精選數(shù)據(jù)中心整體安全解決方案-V1.1

精選數(shù)據(jù)中心整體平安解決方案-V1.1數(shù)據(jù)中心整體平安解決方案

數(shù)據(jù)中心整體平安解決方案

目錄1. 概述 11.1. 方案目標 11.2. 參考依據(jù) 12. 數(shù)據(jù)中心面臨的平安挑戰(zhàn) 32.1. 網(wǎng)絡(luò)邊界接入風險 32.2. 面向應(yīng)用層的攻擊 32.3. 虛擬化平安風險 42.4. APT攻擊風險 52.5. 數(shù)據(jù)泄露風險 52.6. 平安運維的挑戰(zhàn) 53. 方案思路 73.1. 總體思路 73.2. 設(shè)計原那么 74. 方案設(shè)計 94.1. 平安域劃分 94.1.1. 邊界接入?yún)^(qū) 94.1.2. 網(wǎng)絡(luò)根底設(shè)施區(qū) 94.1.3. 業(yè)務(wù)接入?yún)^(qū) 94.1.4. 運維管理區(qū) 104.2. 整體設(shè)計 104.3. 各平安域平安架構(gòu)設(shè)計 114.3.1. 互聯(lián)網(wǎng)接入?yún)^(qū) 114.3.2. 外聯(lián)接入?yún)^(qū) 124.3.3. 內(nèi)部接入?yún)^(qū) 134.3.4. 核心會聚區(qū) 144.3.5. 一般效勞區(qū) 144.3.6. 重要效勞區(qū) 164.3.7. 核心數(shù)據(jù)區(qū) 174.3.8. 運維管理區(qū) 175. 方案組成及產(chǎn)品介紹 205.1. 方案清單 205.2. 下一代智慧防火墻 215.3. SSLVPN平安接入網(wǎng)關(guān) 215.4. Web應(yīng)用防火墻 215.5. 虛擬化平安管理系統(tǒng) 215.6. 鷹眼Web智能監(jiān)控系統(tǒng) 215.7. 天眼態(tài)勢感知及平安運營平臺 215.8. 運維審計系統(tǒng)〔堡壘機〕 215.9. 數(shù)據(jù)庫審計系統(tǒng) 215.10. 網(wǎng)站云監(jiān)測 215.11. 企業(yè)平安效勞 216. 方案價值 21

圖索引TOC\h\z\c"圖"圖41數(shù)據(jù)中心整體平安設(shè)計 11圖42互聯(lián)網(wǎng)接入?yún)^(qū)平安設(shè)計 12圖43外聯(lián)接入?yún)^(qū)平安設(shè)計 13圖44內(nèi)部接入?yún)^(qū)平安設(shè)計 14圖45核心會聚區(qū)平安設(shè)計 14圖46一般效勞區(qū)平安設(shè)計 15圖47重要效勞區(qū)平安設(shè)計 16圖48核心數(shù)據(jù)區(qū)平安設(shè)計 17圖49運維管理區(qū)平安設(shè)計 18?2023360企業(yè)平安概述隨著企業(yè)信息化的成熟開展和新技術(shù)的廣泛引用，政府機構(gòu)、金融、教育、IT、能源等等各個行業(yè)的企業(yè)都因需求不斷擴大而正在規(guī)劃和建設(shè)各自的數(shù)據(jù)中心。一方面隨著信息爆炸，出于管理集約化、精細化的必然要求，進行數(shù)據(jù)集中已經(jīng)成為國內(nèi)電子政務(wù)、企業(yè)信息化建設(shè)的開展趨勢。另一方面數(shù)據(jù)中心不再是簡單的根底通信網(wǎng)絡(luò)，更是集通信效勞、IT效勞、管理應(yīng)用和專業(yè)信息化效勞于一體的綜合性信息效勞中心。隨著云計算和大數(shù)據(jù)的高速開展，技術(shù)進步推動了生活、生產(chǎn)方式的改變，網(wǎng)絡(luò)數(shù)據(jù)中心的定義也發(fā)生了改變，傳統(tǒng)的數(shù)據(jù)中心將形成提供各種數(shù)據(jù)業(yè)務(wù)的新一代IDC數(shù)據(jù)中心。數(shù)據(jù)中心作為數(shù)據(jù)處理、存儲和交換的中心，是網(wǎng)絡(luò)中數(shù)據(jù)交換最頻繁、資源最密集的地方，更是存儲數(shù)據(jù)的平安局，它要保證所有數(shù)據(jù)的平安和完備。相比過去的傳統(tǒng)數(shù)據(jù)中心，云時代的數(shù)據(jù)中心面臨著更巨大的挑戰(zhàn)，如新業(yè)務(wù)模式帶來的數(shù)據(jù)保護風險、虛擬化等新技術(shù)引入的新型風險、攻擊者不斷演進的新型攻擊手法等。因此，對于數(shù)據(jù)中心的平安建設(shè)，要考慮多方面因素，任何防護上的疏漏必將會導致不可估量的損失，因此構(gòu)筑一道平安的防御體系將是這座數(shù)字城堡首先面對的問題。方案目標本方案著眼于數(shù)據(jù)中心面臨的傳統(tǒng)風險和新型風險，從全局考慮，為數(shù)據(jù)中心整體平安規(guī)劃和建設(shè)提供具備實際意義的平安建議。參考依據(jù)中辦[2023]27號文件?國家信息化領(lǐng)導小組關(guān)于加強信息平安保障工作的意見?公通字[2023]66號?信息平安等級保護工作的實施意見?公通字43號?信息平安等級保護管理方法?GB/T20269-2023?信息平安技術(shù)信息系統(tǒng)平安等級保護管理要求?GB/T20271-2023?信息平安技術(shù)信息系統(tǒng)通用平安技術(shù)要求?GB/T22239-2023?信息平安技術(shù)信息系統(tǒng)平安等級保護根本要求?GB/T22240-2023?信息平安技術(shù)信息系統(tǒng)平安等級保護定級指南??信息平安技術(shù)信息系統(tǒng)平安等級保護實施指南??信息平安技術(shù)信息系統(tǒng)平安等級保護第二分冊云計算平安要求??ISO13335信息系統(tǒng)管理指南?IATF信息保障技術(shù)框架

數(shù)據(jù)中心面臨的平安挑戰(zhàn)隨著Internet應(yīng)用日益深化，數(shù)據(jù)中心運行環(huán)境正從傳統(tǒng)客戶機/效勞器向網(wǎng)絡(luò)連接的中央效勞器轉(zhuǎn)型，受其影響，根底設(shè)施框架下多層應(yīng)用程序與硬件、網(wǎng)絡(luò)、操作系統(tǒng)的關(guān)系變得愈加復雜。這種復雜性也為數(shù)據(jù)中心的平安體系引入許多不確定因素，一些未實施正確平安策略的數(shù)據(jù)中心，黑客和蠕蟲將順勢而入。盡管大多數(shù)系統(tǒng)管理員已經(jīng)認識到來自網(wǎng)絡(luò)的惡意行為對數(shù)據(jù)中心造成的嚴重損害，而且許多數(shù)據(jù)中心已經(jīng)部署了依靠訪問控制防御來獲得平安性的設(shè)備，但對于日趨成熟和危險的各類攻擊手段，這些傳統(tǒng)的防御措施仍然顯現(xiàn)的力不從心。以下是當前數(shù)據(jù)中心面對的一些主要平安挑戰(zhàn)。：網(wǎng)絡(luò)邊界接入風險網(wǎng)絡(luò)邊界接入風險主要包括路由破壞、未授權(quán)訪問、信息竊聽、拒絕效勞攻擊、針對路由器和交換機等邊界網(wǎng)絡(luò)設(shè)備的攻擊，以及病毒、蠕蟲的傳播等。在互聯(lián)網(wǎng)上尤其是拒絕效勞攻擊現(xiàn)在呈多發(fā)趨勢，而且中國是攻擊發(fā)生的重災(zāi)區(qū)，在世界范圍內(nèi)僅次于美國排名第二。海量的SYNFlood、ACKFlooding、UDPFlood、ICMPFlood、(M)StreamFlood等攻擊產(chǎn)生的大量垃圾數(shù)據(jù)包，一方面大量占用網(wǎng)絡(luò)帶寬，另一方面會造成邊界路由器和核心交換機等網(wǎng)絡(luò)設(shè)備的有效數(shù)據(jù)轉(zhuǎn)發(fā)能力下降，甚至會出現(xiàn)核心路由器和交換機因負荷過載而造成轉(zhuǎn)發(fā)延遲增大和數(shù)據(jù)包丟包率上升等問題。同時，針對效勞器區(qū)域的HTTPGetFlood、UDPDNSQueryFlood、CC等攻擊會造成業(yè)務(wù)效勞器和關(guān)鍵設(shè)備的效勞質(zhì)量下降甚至業(yè)務(wù)中斷。面向應(yīng)用層的攻擊應(yīng)用層的攻擊之所以存在，通常是因為程序員是在嚴格的期限壓力下發(fā)布的代碼，他們并沒有足夠的時間來發(fā)現(xiàn)并解決將會導致平安漏洞的錯誤。此外，許多程序員未考慮到使用某些特定語言結(jié)構(gòu)將會導致應(yīng)用程序暴露在隱式攻擊下。最后，許多應(yīng)用程序有著復雜的配置，缺乏經(jīng)驗的用戶可能會在部署應(yīng)用程序時啟用了危險的選項，從而導致應(yīng)用程序的平安性降低。應(yīng)用層攻擊的類型可以分為如下3種：利用編程錯誤——應(yīng)用程序的開發(fā)是一個復雜的過程，它不可防止地會產(chǎn)生編程錯誤。在某些情況下，這些錯誤可能會導致嚴重的漏洞，使得攻擊者可以通過網(wǎng)絡(luò)遠程利用這些漏洞。這樣的例子有：緩沖區(qū)溢出漏洞，它來自對不平安的C庫函數(shù)的使用；以Web為中心的漏洞，如將未經(jīng)清理的查詢傳遞給后端數(shù)據(jù)庫的Web效勞器〔這將導致SQL注入攻擊〕，以及將直接來自客戶端未經(jīng)過濾的內(nèi)容寫入頁面的站點〔這將導致跨站腳本或XSS攻擊〕。利用信任關(guān)系——有些攻擊利用的是信任關(guān)系而不是應(yīng)用程序的錯誤。對與應(yīng)用程序本身交互而言，這類攻擊看上去是完全合法的，但它們的目標是信任這些應(yīng)用程序的用戶。釣魚式攻擊就是一個這樣的例子，它的目標并不是Web應(yīng)用程序或郵件效勞器，而是訪問釣魚網(wǎng)站或電子郵件信息的用戶。耗盡資源——像網(wǎng)絡(luò)層或傳輸層的DoS攻擊一樣，應(yīng)用程序有時候也會遭受到大量數(shù)據(jù)輸入的攻擊。這類攻擊將使得應(yīng)用程序不可使用。虛擬化平安風險隨著云計算的迅速開展，傳統(tǒng)的數(shù)據(jù)中心也在向“云〞邁近，首先的一步便是虛擬化技術(shù)的應(yīng)用。虛擬化技術(shù)是生成一個和真實系統(tǒng)行為一樣的虛擬機器，虛擬機像真實操作系統(tǒng)一樣，同樣存在軟件漏洞與系統(tǒng)漏洞，也會遭到病毒木馬的侵害。而且宿主機的平安問題同樣需要得到重視。一直以來無論虛擬化廠商或平安廠商都將平安的關(guān)注點放在虛擬機系統(tǒng)和應(yīng)用層面，直到“毒液〞平安漏洞的出現(xiàn)，才將人們的目光轉(zhuǎn)移到宿主機，由于宿主機系統(tǒng)本身也都是基于Windows或Linux系統(tǒng)進行底層重建，因此宿主機不可防止的會面對此類漏洞和風險問題，一旦宿主機的平安防護被忽略，黑客可以直接攻破虛擬機，從而造成虛擬機逃逸。所以，宿主機的平安問題是虛擬化平安的根基。另外虛擬化技術(shù)帶來了彈性擴展這一優(yōu)秀特性，是通過虛擬機漂移技術(shù)來實現(xiàn)，當宿主機資源消耗過高或者出現(xiàn)故障時，為了保證虛擬機上的業(yè)務(wù)穩(wěn)定，虛擬時機漂移到其他的宿主機上。企業(yè)的數(shù)據(jù)中心在虛擬化后，一旦發(fā)生虛擬機漂移，原有平安管理員配置好的平安域?qū)⒈煌耆蚱?，甚至會出現(xiàn)局部物理效勞器和虛擬機效勞器處于同一個平安域這樣的情況，而依靠傳統(tǒng)防火墻和VLAN的方式將沒有方法維持原來的平安域穩(wěn)定，使得平安域混亂，平安管理出現(xiàn)風險因此基于虛擬化環(huán)境自身的特性，數(shù)據(jù)中心需要充分考慮虛擬化的引入為企業(yè)帶來的相應(yīng)的風險，根據(jù)各個風險點帶來的問題及威脅建設(shè)針對性的防護方案，以保障企業(yè)數(shù)據(jù)的平安及業(yè)務(wù)系統(tǒng)的平穩(wěn)運行。APT攻擊風險傳統(tǒng)的防病毒軟件可以一定程度的解決病毒、木馬的威脅，但對于越來越多的APT攻擊卻束手無策。APT很多攻擊行為都會利用0day漏洞進行網(wǎng)絡(luò)滲透和攻擊，且具有持續(xù)性及隱蔽性。此種持續(xù)表達在攻擊者不斷嘗試各種攻擊手段，以及在滲透到網(wǎng)絡(luò)內(nèi)部后長期蟄伏，不斷收集各種信息，直到收集到重要情報。更加危險的是，這些新型的攻擊和威脅主要針對大型企業(yè)、國家重要的根底設(shè)施或者具有核心利益的網(wǎng)絡(luò)根底設(shè)施。由于APT特種木馬的免疫行為，所以傳統(tǒng)的防病毒軟件以及平安控管措施和理念很難有效應(yīng)對APT攻擊。數(shù)據(jù)泄露風險數(shù)據(jù)泄漏是數(shù)據(jù)中心最為廣泛的擔憂之一。尤其是對公眾提供效勞的數(shù)據(jù)中心，涉及大量用戶敏感信息等關(guān)鍵數(shù)據(jù)庫的存儲，并開放多方接口供不同平臺、機構(gòu)調(diào)用，很多威脅場景都可能會導致敏感數(shù)據(jù)的喪失和泄漏。近年來各種機構(gòu)被“拖庫〞事件頻繁發(fā)生，數(shù)據(jù)中心關(guān)鍵數(shù)據(jù)的高密度聚合對潛在的攻擊者具有極大的誘惑力，數(shù)據(jù)平安面臨巨大的挑戰(zhàn)。平安運維的挑戰(zhàn)隨著技術(shù)和應(yīng)用的演進，讓今天的IT環(huán)境和過去相比，已經(jīng)發(fā)生了巨大的變遷，而相應(yīng)的平安運維管理重點，也從過去的“設(shè)備監(jiān)控、告警程序〞，轉(zhuǎn)變?yōu)閷ζ髽I(yè)業(yè)務(wù)開展的關(guān)注和支撐。傳統(tǒng)的“平安運維〞存在著諸多的問題需要解決。多種平安設(shè)備，不同的報警，如何整合？在大中型企業(yè)的網(wǎng)絡(luò)系統(tǒng)中，為了確保系統(tǒng)的穩(wěn)健運行，通常會采用多種平安技術(shù)手段和平安產(chǎn)品，比方防火墻系統(tǒng)、入侵檢測系統(tǒng)、防病毒系統(tǒng)等，都是平安根底設(shè)施。在實際的運維過程中，這些不同種類、不同廠家的平安產(chǎn)品會給技術(shù)人員帶來不小的麻煩--各個平安系統(tǒng)相對孤立，報警信息互不關(guān)聯(lián)，策略和配置難于協(xié)調(diào)。當一個報警事件產(chǎn)生時，不知道該如何處理。海量的事件、海量的日志，如何分析存儲？對于數(shù)據(jù)中心的規(guī)模來說，各類網(wǎng)絡(luò)設(shè)備、平安設(shè)備、效勞器都會產(chǎn)生海量的日志。從海量數(shù)據(jù)中對日志進行快速分析，這要求本地具備海量的數(shù)據(jù)存儲能力、檢索能力和多維度關(guān)聯(lián)能力，而傳統(tǒng)的數(shù)據(jù)存儲和檢索技術(shù)很難到達這樣的要求。例如：在一個中型規(guī)模的企業(yè)中記錄全年的網(wǎng)絡(luò)出口流量，大約有2000億條日志，需要約300多TB的存儲空間，如果使用傳統(tǒng)的檢索技術(shù)進行一次條件檢索，大概需要幾個小時的時間。這種效率明顯不能滿足攻擊行為分析的需求。如何表達平安運維的價值？平安運維是很枯燥的工作，運維人員整天面對滾動的監(jiān)控屏幕，各種碎片化的告警，復雜的報表，責任重大，壓力巨大，但工作成果卻很難表達。究其原因還是缺少自動化、結(jié)構(gòu)化、可視化的管理工具，導致平安運維效率低下，難以快速感知整體的平安態(tài)勢。

方案思路總體思路基于數(shù)據(jù)中心的業(yè)務(wù)需求，以及數(shù)據(jù)中心面臨的平安問題，很難通過一次平安建設(shè)將數(shù)據(jù)中心面臨的所有風險解決；同時，平安風險也是動態(tài)開展變化的，因此我們的解決方案也需要隨著數(shù)據(jù)中心的平安需求變化不斷完善和開展。從云提供商的角度來看，傳統(tǒng)模式下的網(wǎng)絡(luò)平安需求并沒有什么變化，無論從信息平安的保密性、完整性、可用性，還是根據(jù)網(wǎng)絡(luò)層次劃分的從物理層到應(yīng)用層平安，仍然是需要解決的問題。在云計算時代數(shù)據(jù)中心信息平安架構(gòu)時，不能像傳統(tǒng)IDC系統(tǒng)集成或者平安集成那樣，頭痛醫(yī)頭，腳痛醫(yī)腳，而應(yīng)該充分結(jié)合虛擬化的特點來系統(tǒng)地進行規(guī)劃，考慮數(shù)據(jù)中心外圍物理實體以及虛擬化平臺環(huán)境的各類平安需求和特性，從而到達各類平安產(chǎn)品、平安管理、整體平安策略的統(tǒng)一，發(fā)揮最大的效率。在設(shè)計數(shù)據(jù)中心平安建議方案時，充分利用現(xiàn)有國內(nèi)和國際平安標準和成熟的平安體系，結(jié)合系統(tǒng)的實際需求，利用在平安領(lǐng)域的成熟經(jīng)驗，設(shè)計出一個有針對性的平安設(shè)計方案。解決思路如下：1) 對數(shù)據(jù)中心進行平安域劃分，根據(jù)各區(qū)域的業(yè)務(wù)特性、技術(shù)特性以及平安需求進行對應(yīng)的平安防護設(shè)計；2) 要充分考慮網(wǎng)絡(luò)層、操作系統(tǒng)層、虛擬化層、應(yīng)用層以及數(shù)據(jù)層的平安防護需求，特別是虛擬化等新技術(shù)帶來的問題。3) 強調(diào)平安運營的價值，實現(xiàn)預(yù)警、檢測、響應(yīng)、溯源的閉環(huán)流程；設(shè)計原那么業(yè)務(wù)保障原那么：平安體系的設(shè)計目標是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證平安的同時，還要保障業(yè)務(wù)的正常運行和運行效率。結(jié)構(gòu)簡化原那么：平安架構(gòu)規(guī)劃的直接目的和效果是要將整個網(wǎng)絡(luò)變得更加簡單，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計防護體系。比方，平安域劃分并不是粒度越細越好，平安域數(shù)量過多過雜可能導致平安域的管理過于復雜和困難。立體協(xié)防原那么：應(yīng)防止形成各個平安產(chǎn)品獨立割裂的平安體系，充分利用威脅情報和大數(shù)據(jù)等新技術(shù)，實現(xiàn)網(wǎng)絡(luò)、終端、邊界的立體協(xié)防機制。等級保護原那么：根據(jù)業(yè)務(wù)系統(tǒng)的重要程度以及考慮風險威脅、平安需求、平安本錢等因素，將其劃為不同的平安保護等級并采取相應(yīng)的平安保護技術(shù)、管理措施。可擴展性原那么：當有新的業(yè)務(wù)系統(tǒng)需要接入數(shù)據(jù)中心時，可按照等級保護、對端可信度等原那么將其分別劃分至不同平安等級域的各個子域?？晒芾硇栽敲矗簯?yīng)當采用集中化、自動化、智能化的平安管理手段，減輕平安的負擔，同時減小因為管理上的疏漏而對系統(tǒng)平安造成的威脅。

方案設(shè)計平安域劃分平安域劃分的目的是從信息平安的角度來對企業(yè)信息系統(tǒng)進行拆分。以業(yè)務(wù)系統(tǒng)為核心，從業(yè)務(wù)特性、技術(shù)特性方面分析各業(yè)務(wù)系統(tǒng)的平安需求和防護等級，進行適當?shù)钠桨卜雷o體系設(shè)計。邊界接入?yún)^(qū)互聯(lián)網(wǎng)接入?yún)^(qū)承載組織與互聯(lián)網(wǎng)的連接，組織向公共用戶提供對外業(yè)務(wù)效勞的通道。外聯(lián)接入?yún)^(qū)承載組織與外部第三方機構(gòu)的信息交換，如電子政務(wù)專網(wǎng)、監(jiān)管機構(gòu)、合作機構(gòu)等。內(nèi)部接入?yún)^(qū)承載組織內(nèi)部的分支機構(gòu)、災(zāi)備中心之間的信息交換，以及組織內(nèi)人員從外部接入的通道。網(wǎng)絡(luò)根底設(shè)施區(qū)核心會聚區(qū)數(shù)據(jù)中心的網(wǎng)絡(luò)會聚中心，各個區(qū)域之間的數(shù)據(jù)流傳都會經(jīng)過核心會聚區(qū)。通常在此區(qū)域進行網(wǎng)絡(luò)流量的平安監(jiān)控。區(qū)域接入?yún)^(qū)主要是各個平安區(qū)內(nèi)部接入的路由交換設(shè)備，通常在此區(qū)域部署網(wǎng)絡(luò)接入控制等措施。業(yè)務(wù)接入?yún)^(qū)一般效勞區(qū)用于存放防護級別較低，需直接對外提供效勞的信息資產(chǎn)，如Web應(yīng)用、業(yè)務(wù)前置機、辦公效勞器等，一般效勞區(qū)與外界有直接連接，同時不能夠訪問核心數(shù)據(jù)區(qū)〔防止被作為攻擊核心數(shù)據(jù)區(qū)的跳板〕。重要效勞區(qū)用于存放級別較高，不需要直接對外提供效勞的信息資產(chǎn)，如生產(chǎn)應(yīng)用效勞器等，重要效勞區(qū)一般通過一般效勞區(qū)與外界連接，并可以直接訪問核心數(shù)據(jù)區(qū)。核心數(shù)據(jù)區(qū)用于存放級別非常高的信息資產(chǎn)，如核心數(shù)據(jù)庫等，外部對核心區(qū)的訪問需要通過重要效勞區(qū)跳轉(zhuǎn)。運維管理區(qū)運維管理區(qū)通常承載網(wǎng)絡(luò)管理、平安管理和業(yè)務(wù)運維等應(yīng)用，運維人員通過本區(qū)域的管理平臺對網(wǎng)絡(luò)設(shè)備、效勞器、平安產(chǎn)品進行管理。如各類設(shè)備的日志存儲、平安管理平臺、各類監(jiān)控系統(tǒng)等。整體設(shè)計根據(jù)上述的平安域劃分架構(gòu)，對數(shù)據(jù)中心進行整體平安設(shè)計，如下列圖所示：圖STYLEREF1\s4SEQ圖\*ARABIC\s11數(shù)據(jù)中心整體平安設(shè)計各平安域平安架構(gòu)設(shè)計互聯(lián)網(wǎng)接入?yún)^(qū)互聯(lián)網(wǎng)接入?yún)^(qū)主要面臨來自互聯(lián)網(wǎng)的平安威脅，對于互聯(lián)網(wǎng)接入?yún)^(qū)的平安設(shè)計主要從以下兩方面考慮：防范DDoS攻擊〔分布式拒絕效勞攻擊〕。DDOS攻擊分為帶寬消耗型攻擊〔大流量攻擊〕和主機資源消耗型攻擊，帶寬消耗型攻擊會對數(shù)據(jù)出口造成流量壓力，極大浪費珍貴的帶寬資源，嚴重增加核心設(shè)備的工作負荷，造成關(guān)鍵業(yè)務(wù)的中斷或網(wǎng)絡(luò)效勞質(zhì)量的大幅降低。主機資源消耗型攻擊使效勞器處理大量并發(fā)攻擊請求，嚴重影響效勞器內(nèi)存、數(shù)據(jù)庫、CPU的處理性能。DDoS攻擊會造成門戶網(wǎng)站、網(wǎng)絡(luò)設(shè)備、虛擬效勞器等性能均急劇下降，可能導致無法正常處理用戶的正常訪問請求，造成客戶訪問失敗。未知威脅檢測與響應(yīng)?；ヂ?lián)網(wǎng)邊界是威脅的重要入口之一，同時也是數(shù)據(jù)泄露的主要出口之一。尤其是當前APT攻擊盛行，各類未知威脅對核心數(shù)據(jù)平安造成巨大的危害。網(wǎng)關(guān)層面應(yīng)當具備對未知威脅的檢測能力，并能實現(xiàn)聯(lián)動響應(yīng)機制，攔截掉威脅進出的路徑。本區(qū)域平安設(shè)計如下列圖所示：圖STYLEREF1\s4SEQ圖\*ARABIC\s12互聯(lián)網(wǎng)接入?yún)^(qū)平安設(shè)計在互聯(lián)網(wǎng)邊界部署抗DDoS系統(tǒng)，對來自外部的DDoS攻擊進行實時的阻斷。部署360網(wǎng)神下一代智慧防火墻，實現(xiàn)高性能的應(yīng)用層平安防護，以及與平安運營平臺進行聯(lián)動，實現(xiàn)網(wǎng)關(guān)處的未知威脅處置。外聯(lián)接入?yún)^(qū)外聯(lián)接入?yún)^(qū)主要面臨的威脅來自于外聯(lián)機構(gòu)，通常外聯(lián)機構(gòu)使用專線或者VPN連接到數(shù)據(jù)中心，訪問特定的業(yè)務(wù)系統(tǒng)。對于外聯(lián)接入?yún)^(qū)的平安設(shè)計主要從訪問控制方面重點考慮。本區(qū)域平安設(shè)計如下列圖所示：圖STYLEREF1\s4SEQ圖\*ARABIC\s13外聯(lián)接入?yún)^(qū)平安設(shè)計部署360網(wǎng)神下一代智慧防火墻，實現(xiàn)端口級的訪問控制，并開啟應(yīng)用層防護功能，對來自外部機構(gòu)的惡意代碼、高級威脅等進行檢測和攔截。內(nèi)部接入?yún)^(qū)內(nèi)部接入?yún)^(qū)主要面臨的威脅來自于遠程接入帶來的風險，如傳輸過程的信道監(jiān)聽、員工遠程接入后的權(quán)限濫用等。內(nèi)部接入?yún)^(qū)的平安設(shè)計主要考慮遠程平安接入中的訪問控制、權(quán)限管理、傳輸加密等方面。本區(qū)域平安設(shè)計如下列圖所示：圖STYLEREF1\s4SEQ圖\*ARABIC\s14內(nèi)部接入?yún)^(qū)平安設(shè)計部署VPN接入網(wǎng)關(guān)，實現(xiàn)對分支機構(gòu)接入的訪問控制、權(quán)限管理，并且采用鏈路加密技術(shù)保證敏感信息的傳輸平安。部署360網(wǎng)神下一代智慧防火墻，支持對穿過防火墻的SSL協(xié)議進行解密，并對解密后的數(shù)據(jù)提供防護過濾，如攻擊防護、入侵檢測、病毒防護、內(nèi)容過濾等。核心會聚區(qū)核心會聚區(qū)的平安設(shè)計主要考慮從全網(wǎng)流量中對各類威脅進行識別檢測，及時發(fā)現(xiàn)攻擊行為并向平安運營中心進行告警。本區(qū)域平安設(shè)計如下列圖所示：圖STYLEREF1\s4SEQ圖\*ARABIC\s15核心會聚區(qū)平安設(shè)計在核心交換機上旁路部署360天眼網(wǎng)絡(luò)威脅傳感器。通過流量鏡像接收全網(wǎng)的通信數(shù)據(jù)流，對各類網(wǎng)絡(luò)行為進行復原，從中識別各類威脅生成告警；還可以通過與360威脅情報中心下發(fā)到本地的威脅情報進行比對，識別未知威脅；同時全量網(wǎng)絡(luò)數(shù)據(jù)存儲在本地大數(shù)據(jù)分析平臺，可以對威脅進行溯源。部署360天眼文件威脅鑒定器。網(wǎng)絡(luò)威脅傳感器識別到網(wǎng)絡(luò)流量中的文件傳輸行為后，會將文件復原并發(fā)送至文件威脅鑒定器，進行深度分析。文件威脅鑒定器會對PE文件、腳本文件等進行模擬運行，通過文件運行過程中執(zhí)行的操作行為進一步識別潛在的威脅。一般效勞區(qū)一般效勞區(qū)通常承載了對外的Web類應(yīng)用，主要面臨的威脅有以下兩方面：應(yīng)用平安風險，主要由于應(yīng)用軟件的漏洞造成。任何一種軟件或多或少存在一定脆弱性，平安漏洞可視作系統(tǒng)脆弱性。這種平安漏洞可分為兩種：一種是由于操作系統(tǒng)本身設(shè)計缺陷帶來的漏洞，它將被運行在這個系統(tǒng)上的應(yīng)用程序所繼承，另一種是應(yīng)用軟件程序平安漏洞，很常見，更要引起廣泛關(guān)注。主機平安風險。包括兩方面：一是物理機與虛擬機操作系統(tǒng)的惡意代碼防范。二是由于效勞器虛擬化技術(shù)帶來的新型風險，如東西向流量的訪問控制、虛擬機逃逸漏洞、虛擬機漂移導致平安策略失效等。本區(qū)域平安設(shè)計如下列圖所示：圖STYLEREF1\s4SEQ圖\*ARABIC\s16一般效勞區(qū)平安設(shè)計在一般效勞區(qū)邊界部署Web應(yīng)用防火墻，用于對應(yīng)用層的攻擊行為進行實時防護。在一般效勞區(qū)的接入交換機旁路部署Web漏洞智能監(jiān)測系統(tǒng)，一方面能夠從進出站流量中識別出應(yīng)用系統(tǒng)存在的漏洞和針對Web應(yīng)用的攻擊行為；另一方面能夠?qū)φ军c中存在的暗鏈、后門的訪問行為進行識別，發(fā)現(xiàn)潛在的平安風險。在物理機和虛擬機操作系統(tǒng)上部署天擎虛擬化平安客戶端，主要功能包括惡意代碼防護、主機防火墻、主機入侵防御，并可以對虛擬機與物理機操作系統(tǒng)進行統(tǒng)一管理?？蛻舳伺c部署在運維管理區(qū)的虛擬化平安控制中心進行通信，進行病毒庫更新、平安策略更新、日志告警上傳等。在效勞器虛擬化管理層部署宿主機防護代理客戶端，用于防范利用虛擬機逃逸漏洞對宿主機進行穿透攻擊的行為，保證宿主機上所有虛擬機的平安運行。重要效勞區(qū)重要效勞區(qū)主要面臨的威脅來自于主機操作系統(tǒng)層，包括兩方面：一是物理機與虛擬機操作系統(tǒng)的惡意代碼防范。二是由于效勞器虛擬化技術(shù)帶來的新型風險，如東西向流量的訪問控制、虛擬機逃逸漏洞、虛擬機漂移導致平安策略失效等。本區(qū)域平安設(shè)計如下列圖所示：圖STYLEREF1\s4SEQ圖\*ARABIC\s17重要效勞區(qū)平安設(shè)計在物理機和虛擬機操作系統(tǒng)上部署天擎虛擬化平安客戶端，主要功能包括惡意代碼防護、主機防火墻、主機入侵防御，并可以對虛擬機與物理機操作系統(tǒng)進行統(tǒng)一管理?？蛻舳伺c部署在運維管理區(qū)的虛擬化平安控制中心進行通信，進行病毒庫更新、平安策略更新、日志告警上傳等。在效勞器虛擬化管理層部署宿主機防護代理客戶端，用于防范利用虛擬機逃逸漏洞對宿主機進行穿透攻擊的行為，保證宿主機上所有虛擬機的平安運行。核心數(shù)據(jù)區(qū)核心數(shù)據(jù)區(qū)主要面臨的威脅來自于對數(shù)據(jù)平安方面，如敏