數(shù)據(jù)中心安全建議書_第1頁
數(shù)據(jù)中心安全建議書_第2頁
數(shù)據(jù)中心安全建議書_第3頁
數(shù)據(jù)中心安全建議書_第4頁
數(shù)據(jù)中心安全建議書_第5頁
已閱讀5頁,還剩4頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、數(shù)據(jù)中心安全建議書2008-08目錄一、概述 11二、安全設計 11三、物理安全 221. 環(huán)境安全 222. 機房安全 22四、網(wǎng)絡安全 331. 防火墻 332. 入侵保護系統(tǒng)(IPS) 333. 網(wǎng)絡、數(shù)據(jù)庫審計 44五、系統(tǒng)安全 441. 主機安全 442. 漏洞掃描 443. 防病毒 554. 補丁分發(fā) 55六、應用和信息安全 551. 數(shù)據(jù)備份與恢復 552. 抗DDO攻擊系統(tǒng) 553. 身份及訪問安全管理 66概述近幾年來,越來越多的企業(yè)對數(shù)據(jù)中心建設青睞有佳。在享受數(shù)據(jù)中心帶來生產(chǎn)力提 高的同時,其內(nèi)在的安全建設成為了業(yè)內(nèi)的熱點。讓數(shù)據(jù)中心遠離安全威脅,促使其在管 理、運維上向

2、安全靠攏,已經(jīng)成為當前的建設趨勢。針對數(shù)據(jù)中心提出以下幾個安全方面的建議。二、安全設計安全防護體系涵蓋了物理安全、網(wǎng)絡安全、系統(tǒng)安全以及應用層的安全防護,每個層 面包括了若干種安全防護手段和措施。建議數(shù)據(jù)中心的網(wǎng)絡采用以兩臺交換機為中心的雙星形冗余結構的網(wǎng)絡;在網(wǎng)絡邊界 采用網(wǎng)絡防火墻進行邏輯隔離,通過部署 IPS 實現(xiàn)邊界縱深防御;數(shù)據(jù)中心采用網(wǎng)絡 / 數(shù)據(jù) 庫審計系統(tǒng)保障對網(wǎng)絡和數(shù)據(jù)庫的安全;在數(shù)據(jù)中心的主機或服務器上安裝網(wǎng)絡版防毒軟 件的客戶端;數(shù)據(jù)中心的服務器采用雙機互為熱備份的工作方式;對數(shù)據(jù)中心的數(shù)據(jù)通過 陣列或磁帶庫進行相應的備份;結合身份及訪問安全管理系統(tǒng),實現(xiàn)對數(shù)據(jù)中心重要系

3、統(tǒng) 的訪問控制及行為審計;通過部署防 DDO攻擊系統(tǒng),有效保障數(shù)據(jù)中心內(nèi)部業(yè)務系統(tǒng)。對數(shù)據(jù)中心的安全防護措施如下圖所示:帶庫服務子網(wǎng)訪間押制網(wǎng)關業(yè)務操作員陰病毒/審計 /n)s/a據(jù)備也 服務器対城幗踐廣城闞)安金審汁系統(tǒng) IDS塞続JuleiiEt圖數(shù)據(jù)中心的網(wǎng)絡服務歿安全系統(tǒng)示意圖下面從物理安全、網(wǎng)絡安全、系統(tǒng)安全以及應用層的安全四個層面,描述各層面安全 的具體技術手段及措施。三、物理安全在數(shù)據(jù)中心計算機網(wǎng)絡與安全防護系統(tǒng)建設實施中,物理安全措施的實施包括了主要 包括環(huán)境安全、機房安全和物理隔離等方面。1. 環(huán)境安全設備工作環(huán)境的安全防護可參照 GB50173-93電子計算機機房設計規(guī)范、

4、GB2887-89計算站場地技術條件和 GB9361-88計算站場地安全要求等標準實施。2. 機房安全物理環(huán)境的防護計算機機房場地安全防電磁輻射泄漏禁帶物品設備防盜空調(diào)系統(tǒng)防靜電電源接地計算機場地防火運輸過程中的防護四、網(wǎng)絡安全網(wǎng)絡安全是一個比較通用的概念,通常包括網(wǎng)絡自身的設計、構建和使用以及基于網(wǎng) 絡的各種安全相關的技術和手段。1. 防火墻防火墻是部署在不同網(wǎng)絡安全域之間的一系列部件的組合。它能根據(jù)企業(yè)的安全 政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力。 它是提供信息安全服務,實現(xiàn)網(wǎng)絡和信息安全的基礎設施。防火墻實現(xiàn)網(wǎng)與網(wǎng)之間的 訪問隔離,以保護整個網(wǎng)絡抵御來

5、自其它網(wǎng)絡的入侵者。數(shù)據(jù)中心作為一個安全級別較高的存在,需要與與長江養(yǎng)老保險公司的網(wǎng)絡邏輯 上隔離。通過在數(shù)據(jù)中心與長江養(yǎng)老保險公司的內(nèi)部網(wǎng)絡相連處,部署網(wǎng)絡防火墻,將數(shù) 據(jù)中心與長江養(yǎng)老保險公司的內(nèi)部網(wǎng)絡在邏輯上進行隔離。2. 入侵保護系統(tǒng)( IPS)入侵保護(阻止)系統(tǒng)(IPS)是新一代的侵入檢測系統(tǒng)。IPS技術可以深度感知并檢測流經(jīng)的數(shù)據(jù)流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行限流以保護網(wǎng)絡帶寬資源。通過入侵防護系統(tǒng),可以實時檢測到各種 攻擊,同時實時做出各種預先定義的響應,作到在黑客造成破壞之前發(fā)現(xiàn)問題,解決 問題。IPS 廣泛應用于銀行、政府等部門的內(nèi)部網(wǎng)絡訪問外部網(wǎng)絡,也

6、可用于內(nèi)部網(wǎng)的 不同信任域間的信息交互。數(shù)據(jù)中心可以根據(jù)實際需要,將此防護措施運用于安全保護要求較高的領域。3. 網(wǎng)絡、數(shù)據(jù)庫審計安全審計系統(tǒng)主要監(jiān)控來自網(wǎng)絡內(nèi)部和外部的用戶活動,偵察系統(tǒng)中現(xiàn)存的和潛 在的威脅,對與安全有關的活動的相關信息進行識別,記錄,存儲和分析,對突發(fā)事 件進行報警和響應。在數(shù)據(jù)中心的網(wǎng)絡中,安全審計主要體現(xiàn)在幾個方面,網(wǎng)絡審計和數(shù)據(jù)庫業(yè)務審 計。針對網(wǎng)絡層面,在系統(tǒng)內(nèi)的很多敏感或涉密信息如果被有意或無意中泄漏出去, 將會產(chǎn)生嚴重的后果, 同時由于與 Internet 的互連,不可避免地使一些不良信息流入。 為防止與追查網(wǎng)上機密信息的泄漏行為,并防止不良信息的流入,可在網(wǎng)

7、絡系統(tǒng)與 Internet 的連接處,對進出網(wǎng)絡的信息流實施內(nèi)容審計。針對數(shù)據(jù)中心,需要在關鍵的部位加強對數(shù)據(jù)庫系統(tǒng)的安全防護功能,建議使用 數(shù)據(jù)庫業(yè)務審計的相關技術和產(chǎn)品。五、系統(tǒng)安全1. 主機安全可被攻擊的系統(tǒng)的漏洞主要集中在幾個方面: 固有的安全漏洞、 合法工具的濫用、 不正確的系統(tǒng)維護措施和低效的系統(tǒng)設計及檢測能力。數(shù)據(jù)中心在主機安全管理方面可著重考慮以下措施:在計算機網(wǎng)絡與信息系統(tǒng)中采用先進的訪問控制系統(tǒng)完善計算機系統(tǒng)的訪問控制, 嚴格劃分、 管理、控制用戶的權限和行為, 達到更高層次的安全級別。 在信息系統(tǒng)中, 對于核心業(yè)務服務器以及關鍵數(shù)據(jù)庫服務器采用主機訪問控制措施,增強系統(tǒng)的

8、安全 等級。2. 漏洞掃描漏洞掃描(也叫漏洞檢測)目前已經(jīng)越來越為網(wǎng)絡安全管理員所重視,因為利用 系統(tǒng)設計、配置和管理中的漏洞來攻擊系統(tǒng)是最為典型的技術型攻擊手段。 專家認為, 如果系統(tǒng)在建立時就具備嚴密的安全環(huán)境,那么成功的技術入侵事件數(shù)量就會大大減 少。漏洞掃描就是對重要計算機信息系統(tǒng)進行檢查,發(fā)現(xiàn)其中可被黑客利用的漏洞。這種技術通常采用兩種策略,即被動式策略和主動式策略。被動式策略是基于主 機的檢測 (System Scanner) ,對系統(tǒng)中不合適的設置、脆弱的口令以及其他同安全規(guī) 則相抵觸的對象進行檢查;而主動式策略是基于網(wǎng)絡的檢測 (Network Scanner) ,通過 執(zhí)行一

9、些腳本文件對系統(tǒng)進行攻擊,并記錄它的反應,從而發(fā)現(xiàn)其中的漏洞。漏洞掃描的結果實際上就是系統(tǒng)安全性能的一個評估,它指出了哪些攻擊是可能 的。數(shù)據(jù)中心可以采用周期性的掃描,例如每月進行掃描一次,針對掃描結果對系統(tǒng) 進行相應的安全修補,提高安全防護等級。3. 防病毒建議在數(shù)據(jù)中心的主機和服務器上安裝網(wǎng)絡版的防毒產(chǎn)品客戶端軟件。4. 補丁分發(fā)對操作系統(tǒng)及時的打補丁,提高操作系統(tǒng)的健壯性。及時有效全面地對業(yè)務系統(tǒng) 中的計算機操作系統(tǒng)特別是Win dows操作系統(tǒng)更新補丁對于病毒防范顯得十分重要。對于Windows可采用自動分發(fā),對與UNIX等操作系統(tǒng)采用手動下載和安裝補丁。六、應用和信息安全1. 數(shù)據(jù)備

10、份與恢復在數(shù)據(jù)中心計算機網(wǎng)絡與信息安全系統(tǒng)中, 針對關鍵的業(yè)務服務器、 應用服務器、 數(shù)據(jù)庫服務器以及比較重要的主機,建立完善的數(shù)據(jù)備份與恢復系統(tǒng)。日常備份需要通過制度來保證每天的正常執(zhí)行,包括備份手段的使用,備份時間 等。同時保存好備份介質(zhì)。2. 抗DDOSfc擊系統(tǒng)DDOS分布式拒絕服務)攻擊一般通過In ternet上廣泛分布的“僵尸”系統(tǒng)完成。 DDO造成的海量攻擊流量會給應用系統(tǒng)或是網(wǎng)絡本身帶來非常大的負載消耗,從而使網(wǎng)絡基礎設備和應用系統(tǒng)的可用性大為降低??咕芙^服務攻擊系統(tǒng)能夠及時發(fā)現(xiàn)背景流量中各種類型的攻擊流量,針對攻擊類 型迅速對攻擊流量進行攔截,保證正常流量的通過。3. 身份及訪問安全管理通過建立統(tǒng)一身份及訪問安全管理平臺實現(xiàn)統(tǒng)一用戶管理、 認證管理、授權管理、 訪問控制和審計管理。集中化的帳號管理;集中化的身

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論