XX數(shù)據(jù)中心安全規(guī)劃方案

XX數(shù)據(jù)中心安全規(guī)劃方案XX數(shù)據(jù)中心信息系統(tǒng)安全建設(shè)項(xiàng)目技術(shù)方案1/291/29XX數(shù)據(jù)中心安全規(guī)劃方案目錄TOC\o"1-5"\h\z.項(xiàng)目概述 4目標(biāo)與范圍 4\o"CurrentDocument"參照標(biāo)準(zhǔn) 4系統(tǒng)描述 5.安全風(fēng)險(xiǎn)分析 5系統(tǒng)脆弱性分析 5安全威脅分析 6被動(dòng)攻擊產(chǎn)生的威脅 6主動(dòng)攻擊產(chǎn)生的威脅 6.安全需求分析 8等級(jí)保護(hù)要求分析 8網(wǎng)絡(luò)安全 8主機(jī)安全 9應(yīng)用安全 11安全需求總結(jié) 12.整體安全設(shè)計(jì) 13安全域 13安全域劃分原則 13安全域劃分設(shè)計(jì) 152/292/29XX數(shù)據(jù)中心安全規(guī)劃方案TOC\o"1-5"\h\z安全設(shè)備部署 15.詳細(xì)安全設(shè)計(jì) 17網(wǎng)絡(luò)安全設(shè)計(jì) 17抗DOS設(shè)備 17防火墻 18WEB應(yīng)用安全網(wǎng)關(guān) 19入侵防御 20入侵檢測 21安全審計(jì) 23防病毒 24安全運(yùn)維管理 24\o"CurrentDocument"漏洞掃描 24安全管理平臺(tái) 25堡壘機(jī) 27.產(chǎn)品列表 283/293/29XX數(shù)據(jù)中心安全規(guī)劃方案目標(biāo)與范圍本次數(shù)據(jù)中心的安全建設(shè)主要依據(jù)《信息安全技術(shù)信息安全等級(jí)保護(hù)基本要求》中的技術(shù)部分，從網(wǎng)絡(luò)安全，主機(jī)安全，應(yīng)用安全，來對(duì)網(wǎng)絡(luò)與服務(wù)器進(jìn)行設(shè)計(jì)。根據(jù)用戶需求，在本次建設(shè)完畢后XX數(shù)據(jù)中心網(wǎng)絡(luò)將達(dá)到等保三級(jí)的技術(shù)要求。因用戶網(wǎng)絡(luò)為新建網(wǎng)絡(luò)，所以本次建設(shè)將完全按照《信息安全技術(shù)信息安全等級(jí)保護(hù)基本要求》中技術(shù)部分要求進(jìn)行。參照標(biāo)準(zhǔn)GB/T22239-2008《信息安全技術(shù)信息安全等級(jí)保護(hù)基本要求》GB/T22239-2008《信息安全技術(shù)信息安全等級(jí)保護(hù)基本要求》GB/T22240-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》GB/T20270-2006《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》GB/T25058-2010《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》GB/T20271-2006《信息安全技術(shù)信息系統(tǒng)安全通用技術(shù)要4/294/29XX數(shù)據(jù)中心安全規(guī)劃方案求》GB/T25070-2010《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級(jí)指南》1?3.系統(tǒng)描述XX數(shù)據(jù)中心平臺(tái)共有三個(gè)信息系統(tǒng)：能源應(yīng)用，環(huán)保應(yīng)用，市節(jié)能減排應(yīng)用。企業(yè)節(jié)點(diǎn)通過企業(yè)信息前置機(jī)抓取企業(yè)節(jié)點(diǎn)數(shù)據(jù)，并把這些數(shù)據(jù)上傳到XX數(shù)據(jù)中心的數(shù)據(jù)庫中，數(shù)據(jù)庫對(duì)這些企業(yè)數(shù)據(jù)進(jìn)行匯總與分析，同時(shí)企業(yè)節(jié)點(diǎn)也可以通過VPN去訪問XX數(shù)據(jù)中心的相關(guān)應(yīng)用。XX數(shù)據(jù)中心平臺(tái)也可通過政務(wù)外網(wǎng)，環(huán)保專網(wǎng)與相關(guān)部分進(jìn)行信息交互。提供信息訪問。2.安全風(fēng)險(xiǎn)分析系統(tǒng)脆弱性分析人的脆弱性：人的安全意識(shí)不足導(dǎo)致的各種被攻擊可能，如接受未知數(shù)據(jù)，設(shè)置弱口令等。5/295/29XX數(shù)據(jù)中心安全規(guī)劃方案安全技術(shù)的脆弱性：操作系統(tǒng)和數(shù)據(jù)庫的安全脆弱性，系統(tǒng)配置的安全脆弱性，訪問控制機(jī)制的安全脆弱性，測評(píng)和認(rèn)證的脆弱性。運(yùn)行的脆弱性：監(jiān)控系統(tǒng)的脆弱性，無入侵檢測設(shè)備，響應(yīng)和恢復(fù)機(jī)制的不完善。安全威脅分析被動(dòng)攻擊產(chǎn)生的威脅（1）網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的被動(dòng)攻擊威脅局域網(wǎng)/骨干網(wǎng)線路的竊聽；監(jiān)視沒被保護(hù)的通信線路；破譯弱保護(hù)的通信線路信息；信息流量分析；利用被動(dòng)攻擊為主動(dòng)攻擊創(chuàng)造條件以便對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備進(jìn)行破壞，如截獲用戶的賬號(hào)或密碼以便對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行破壞；機(jī)房和處理信息終端的電磁泄露。（2）區(qū)域邊界/外部連接的被動(dòng)攻擊威脅截取末受保護(hù)的網(wǎng)絡(luò)信息；流量分析攻擊；遠(yuǎn)程接入連接。（3）計(jì)算環(huán)境的被動(dòng)攻擊威脅獲取鑒別信息和控制信息；獲取明文或解密弱密文實(shí)施重放攻擊。主動(dòng)攻擊產(chǎn)生的威脅（1）對(duì)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的主動(dòng)攻擊威脅一是可用帶寬的損失攻擊，如網(wǎng)絡(luò)阻塞攻擊、擴(kuò)散攻擊等。二是網(wǎng)絡(luò)管理通訊混亂使網(wǎng)絡(luò)基礎(chǔ)設(shè)施失去控制的攻擊。最嚴(yán)重的網(wǎng)絡(luò)攻6/296/29XX數(shù)據(jù)中心安全規(guī)劃方案擊是使網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行控制失靈。如對(duì)網(wǎng)絡(luò)運(yùn)行和設(shè)備之間通信的直接攻擊，它企圖切斷網(wǎng)管人員與基礎(chǔ)設(shè)施的設(shè)備之間的通信，比如切斷網(wǎng)管人員與交換機(jī)、路由器之間的通信，使網(wǎng)管人員失去對(duì)它們的控制。三是網(wǎng)絡(luò)管理通信的中斷攻擊，它是通過攻擊網(wǎng)絡(luò)底層設(shè)備的控制信號(hào)來干擾網(wǎng)絡(luò)傳輸?shù)挠脩粜畔ⅲ灰氩《竟?；引入惡意代碼攻擊。（2）對(duì)信息系統(tǒng)與數(shù)據(jù)主動(dòng)攻擊威脅試圖阻斷或攻破保護(hù)機(jī)制（內(nèi)網(wǎng)或外網(wǎng)）；偷竊或篡改信息；利用社會(huì)工程攻擊欺騙合法用戶（如匿名詢問合法用戶賬號(hào)）；偽裝成合法用戶和服務(wù)器進(jìn)行攻擊；IP地址欺騙攻擊；拒絕服務(wù)攻擊；利用協(xié)議和基礎(chǔ)設(shè)施的安全漏洞進(jìn)行攻擊；利用遠(yuǎn)程接入用戶對(duì)內(nèi)網(wǎng)進(jìn)行攻擊；建立非授權(quán)的網(wǎng)絡(luò)連接；監(jiān)測遠(yuǎn)程用戶鏈路、修改傳輸數(shù)據(jù)；解讀未加密或弱加密的傳輸信息；惡意代碼和病毒攻擊。（3）計(jì)算環(huán)境的主動(dòng)攻擊威脅引入病毒攻擊；引入惡意代碼攻擊；冒充超級(jí)用戶或其他合法用戶；拒絕服務(wù)和數(shù)據(jù)的篡改；偽裝成合法用戶和服務(wù)器進(jìn)行攻擊；利用配置漏洞進(jìn)行攻擊；利用系統(tǒng)脆弱性（操作系統(tǒng)安全脆弱性、數(shù)據(jù)庫安全脆弱性）實(shí)施攻擊；利用服務(wù)器的安全脆弱性進(jìn)行攻擊；利用應(yīng)用系統(tǒng)安全脆弱性進(jìn)行攻擊。（4）支持性基礎(chǔ)設(shè)施的主動(dòng)攻擊威脅對(duì)未加密或弱加密的通信線路的搭線竊聽；用獲取包含錯(cuò)誤信息的證書進(jìn)行偽裝攻擊；拒絕服務(wù)攻擊（如攻擊目錄服務(wù)等）；中間攻7/297/29XX數(shù)據(jù)中心安全規(guī)劃方案擊；攻擊PIN獲取對(duì)用戶私鑰的訪問、在支持性基礎(chǔ)設(shè)施的組件中引入惡意代碼攻擊、在密鑰分發(fā)期間對(duì)密鑰實(shí)施攻擊、對(duì)PKI私鑰實(shí)施密碼攻擊、對(duì)密鑰恢復(fù)后的密鑰進(jìn)行末授權(quán)訪問、在用戶認(rèn)證期間使用戶不能生成失效信息；利用備份信息進(jìn)行攻擊。3-安全需求分析3.1.等級(jí)保護(hù)要求分析3.1.1.網(wǎng)絡(luò)安全類別控制點(diǎn)重點(diǎn)要求項(xiàng)對(duì)應(yīng)措施網(wǎng)絡(luò)安全結(jié)構(gòu)安全交換設(shè)備的冗余、網(wǎng)絡(luò)劃分與隔離安全域劃分，通過安全管理平臺(tái)進(jìn)行網(wǎng)絡(luò)拓?fù)涔芾碓L問控制網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能安全域邊界增加部署防火墻設(shè)備安全審計(jì)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)8/298/29

XX數(shù)據(jù)中心安全規(guī)劃方案日志記錄邊界完整性檢查對(duì)內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查采用技術(shù)手段進(jìn)行違規(guī)外聯(lián)入侵防范網(wǎng)絡(luò)邊界入侵行為監(jiān)視網(wǎng)絡(luò)出口的邊界處部署入侵檢測，重要服務(wù)器區(qū)前面采取入侵防護(hù)措施3.1.2.主機(jī)安全類別控制點(diǎn)重點(diǎn)要求項(xiàng)對(duì)應(yīng)措施主機(jī)安全身份鑒別對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別部署身份鑒別系統(tǒng)。訪問控制啟用訪問控制功能，實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)對(duì)系統(tǒng)安全加固，限制默認(rèn)帳戶、9/299/29XX數(shù)據(jù)中心安全規(guī)劃方案特權(quán)用戶的權(quán)限分離時(shí)刪除多余的、過期的帳戶等安全審計(jì)用戶行為、系統(tǒng)資源、系統(tǒng)安全事件審計(jì)采用主機(jī)審計(jì)措施，通過安全管理平臺(tái)對(duì)操作系統(tǒng)、數(shù)據(jù)庫進(jìn)行監(jiān)控管理入侵防范操作系統(tǒng)最小安裝的原則、與時(shí)更新系統(tǒng)補(bǔ)丁對(duì)主機(jī)進(jìn)行漏洞檢查，并部署入侵防范設(shè)備。惡意代碼防范能夠集中管理的惡意代碼防護(hù)系統(tǒng)部署網(wǎng)絡(luò)版防病毒軟件資源控制設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄利用訪問控制策略與堡壘機(jī)產(chǎn)品結(jié)合的方式進(jìn)行控制。10/2910/29XX數(shù)據(jù)中心安全規(guī)劃方案3.1.3.應(yīng)用安全類別控制點(diǎn)重點(diǎn)要求項(xiàng)對(duì)應(yīng)措施應(yīng)用安全身份鑒別提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別部署身份鑒別服務(wù)器并與應(yīng)用進(jìn)行聯(lián)動(dòng)訪問控制賬戶訪問權(quán)限管理部署堡壘機(jī)對(duì)訪問進(jìn)行權(quán)限管理安全審計(jì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)部署堡壘機(jī)對(duì)應(yīng)用訪問進(jìn)行記錄通信保密性采用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證，對(duì)通信過程中的敏感信息字段進(jìn)行加密應(yīng)用軟件安全改造，對(duì)敏感字段進(jìn)行加密資源控制會(huì)話超時(shí)、會(huì)話并發(fā)管理、多重并發(fā)會(huì)話限制部署堡壘機(jī)設(shè)備進(jìn)行限制11/2911/29

XX數(shù)據(jù)中心安全規(guī)劃方案3.2.安全需求總結(jié)類別安全需求網(wǎng)絡(luò)安全劃分安全域、明確安全邊界網(wǎng)絡(luò)出口邊界、新的安全邊界部署防火墻設(shè)備網(wǎng)絡(luò)出口邊界部署入侵檢測設(shè)備關(guān)鍵業(yè)務(wù)前段部署入侵防御系統(tǒng)網(wǎng)頁應(yīng)用系統(tǒng)邊界部署WEB應(yīng)用安全網(wǎng)關(guān)重要數(shù)據(jù)庫部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主機(jī)安全部署身份認(rèn)證系統(tǒng)對(duì)訪問進(jìn)行身份認(rèn)證部署堡壘機(jī)設(shè)備對(duì)主機(jī)訪問進(jìn)行控制與審計(jì)采用網(wǎng)絡(luò)版殺毒軟件部署漏洞掃描設(shè)備對(duì)主機(jī)的漏洞進(jìn)行檢測并與時(shí)修補(bǔ)應(yīng)用安全應(yīng)用系統(tǒng)與身份認(rèn)證系統(tǒng)相結(jié)合進(jìn)行身份鑒別應(yīng)用系統(tǒng)與堡壘機(jī)相結(jié)合來進(jìn)行審計(jì)與訪問控制部署安全管理平臺(tái)對(duì)網(wǎng)絡(luò)，主機(jī)，應(yīng)用的日志進(jìn)行審計(jì)與分析。12/2912/29XX數(shù)據(jù)中心安全規(guī)劃方案.整體安全設(shè)計(jì)4?1?安全域安全域劃分原則（1）業(yè)務(wù)保障原則安全域方法的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。信息安全服務(wù)所強(qiáng)調(diào)的核心思想是應(yīng)該從客戶（業(yè)務(wù)）而不是IT服務(wù)提供方（技術(shù)）的角度理解IT服務(wù)需求。也就是說，在提供IT服務(wù)的時(shí)候，我們首先應(yīng)該考慮業(yè)務(wù)需求,根據(jù)業(yè)務(wù)需求來確定IT需求包括安全需求。在安全域劃分時(shí)會(huì)面臨有些業(yè)務(wù)緊密相連，但是根據(jù)安全要求（信息密級(jí)要求，訪問應(yīng)用要求等）又要將其劃分到不同安全域的矛盾。是將業(yè)務(wù)按安全域的要求強(qiáng)性劃分，還是合并安全域以滿足業(yè)務(wù)要求？必須綜合考慮業(yè)務(wù)隔離的難度和合并安全域的風(fēng)險(xiǎn)（會(huì)出現(xiàn)有些資產(chǎn)保護(hù)級(jí)別不夠），從而給出合適的安全域劃分。（2）等級(jí)保護(hù)原則根據(jù)安全域在業(yè)務(wù)支撐系統(tǒng)中的重要程度以與考慮風(fēng)險(xiǎn)威脅、安全需求、安全成本等因素，將其劃為不同的安全保護(hù)等級(jí)并采取相應(yīng)的安全保護(hù)技術(shù)、管理措施，以保障業(yè)務(wù)支撐的網(wǎng)絡(luò)和信息安全。安全域的劃分要做到每個(gè)安全域的信息資產(chǎn)價(jià)值相近,具有相同13/2913/29XX數(shù)據(jù)中心安全規(guī)劃方案或相近的安全等級(jí)、安全環(huán)境、安全策略等。安全域所涉與應(yīng)用和資產(chǎn)的價(jià)值越高，面臨的威脅越大，那么它的安全保護(hù)等級(jí)也就越高。（3）深度防御原則根據(jù)網(wǎng)絡(luò)應(yīng)用訪問的順序，逐層進(jìn)行防御,保護(hù)核心應(yīng)用的安全。安全域的主要對(duì)象是網(wǎng)絡(luò),但是圍繞安全域的防護(hù)需要考慮在各個(gè)層次上立體防守，包括在物理鏈路、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用等層次；同時(shí)，在部署安全域防護(hù)體系的時(shí)候，要綜合運(yùn)用身份鑒別、訪問控制、檢測審計(jì)、鏈路冗余、內(nèi)容檢測等各種安全功能實(shí)現(xiàn)協(xié)防。（4）結(jié)構(gòu)簡化原則安全域劃分的直接目的和效果是要將整個(gè)網(wǎng)絡(luò)變得更加簡單,簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系。安全域劃分不宜過于復(fù)雜。（5）生命周期原則對(duì)于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計(jì)，還要考慮不斷的變化；另外，在安全域的建設(shè)和調(diào)整過程中要考慮工程化的管理。（6）安全最大化原則針對(duì)業(yè)務(wù)系統(tǒng)可能跨越多個(gè)安全域的情況,對(duì)該業(yè)務(wù)系統(tǒng)的安全防護(hù)必須要使該系統(tǒng)在全局上達(dá)到要求的安全等級(jí)，即實(shí)現(xiàn)安全的最大化防護(hù)，同時(shí)滿足多個(gè)安全域的保護(hù)策略。（7）可擴(kuò)展性原則當(dāng)有新的業(yè)務(wù)系統(tǒng)需要接入業(yè)務(wù)支撐網(wǎng)時(shí)，按照等級(jí)保護(hù)、對(duì)端可信度等原則將其分別劃分至不同安全等級(jí)域的各個(gè)子域。14/2914/29

XX數(shù)據(jù)中心安全規(guī)劃方案安全域劃分設(shè)計(jì)根據(jù)XX數(shù)據(jù)中心的情況，把網(wǎng)絡(luò)分為三個(gè)安全域:應(yīng)用安全域,數(shù)據(jù)庫安全域，安全管理安全域。安全域之間利用防火墻進(jìn)行隔離。安全域劃分拓?fù)淙缦?數(shù)據(jù)中心網(wǎng)絡(luò)檢心:觀0片心登Rin企業(yè)節(jié)點(diǎn)企業(yè)節(jié)點(diǎn)企業(yè)節(jié)點(diǎn)數(shù)拼庫安全速 門器吱A更悔!FI府忡中心|安全管理安全網(wǎng)安全域劃分拓?fù)淙缦?數(shù)據(jù)中心網(wǎng)絡(luò)檢心:觀0片心登Rin企業(yè)節(jié)點(diǎn)企業(yè)節(jié)點(diǎn)企業(yè)節(jié)點(diǎn)數(shù)拼庫安全速 門器吱A更悔!FI府忡中心|安全管理安全網(wǎng)I華版A老墳世等外冏幣計(jì)制總隱忒EZ川川41四惟看即*至附期尋』為故事_應(yīng)用區(qū)安全域r|E力標(biāo)JK巨制里嘉泰4th支總妣 J曲由舊的我上4.2.安全設(shè)備部署（1）網(wǎng)絡(luò)邊界考慮到網(wǎng)絡(luò)的高可用性，網(wǎng)絡(luò)出口設(shè)備均雙機(jī)部署。在網(wǎng)絡(luò)出口部署兩臺(tái)防止DDOS產(chǎn)品，對(duì)DDOS攻擊進(jìn)行過濾。在網(wǎng)絡(luò)出口部署兩臺(tái)防火墻設(shè)備，對(duì)進(jìn)出XX數(shù)據(jù)中心網(wǎng)絡(luò)的流量進(jìn)行策略控制。15/2915/29XX數(shù)據(jù)中心安全規(guī)劃方案在網(wǎng)絡(luò)出口部署兩臺(tái)入侵防御設(shè)備對(duì)進(jìn)行XX數(shù)據(jù)中心網(wǎng)絡(luò)的流量進(jìn)行檢測，從而判斷數(shù)據(jù)中是否含有惡意攻擊與惡意代碼。（2）核心交換區(qū)在核心交換區(qū)旁路部署一臺(tái)IDS與一臺(tái)安全審計(jì)產(chǎn)品，對(duì)核心交換機(jī)上面的流量進(jìn)行安全的檢測與審計(jì)，包括來往核心交換機(jī)上面的流量是否有惡意威脅。是否有針對(duì)于后臺(tái)數(shù)據(jù)庫的威脅等。（3）應(yīng)用區(qū)安全域在應(yīng)用區(qū)邊界部署web應(yīng)用防火墻設(shè)備，因應(yīng)用區(qū)部署的應(yīng)用均為B/S架構(gòu)，而web應(yīng)用防火墻恰恰是針對(duì)于HTTP協(xié)議進(jìn)行安全過濾的設(shè)備，很好的滿足了三級(jí)等保中針對(duì)于應(yīng)用安全的規(guī)定。（4）數(shù)據(jù)庫安全域數(shù)據(jù)庫安全域邊界部署一臺(tái)安全域防火墻,采取有效的訪問控制策略；同時(shí)在安全域交換機(jī)旁路部署一臺(tái)安全審計(jì)系統(tǒng)，對(duì)網(wǎng)絡(luò)運(yùn)維管理和數(shù)據(jù)庫操作進(jìn)行全面審計(jì)。（5）安全管理區(qū)安全域在安全管理區(qū)部署漏洞掃描設(shè)備，對(duì)網(wǎng)絡(luò)中的主機(jī)進(jìn)行安全自查，降低主機(jī)的脆弱性。在安全管理區(qū)部署堡壘機(jī)設(shè)備，結(jié)合部署的身份認(rèn)證系統(tǒng)對(duì)主機(jī)與應(yīng)用進(jìn)行身份鑒別，訪問控制與安全審計(jì)。在安全管理區(qū)部署安全管理平臺(tái)，對(duì)網(wǎng)絡(luò)中的主機(jī)與安全設(shè)備進(jìn)行統(tǒng)一的監(jiān)控與統(tǒng)一的日志分析。在網(wǎng)絡(luò)中各個(gè)主機(jī)上部署網(wǎng)絡(luò)版防病毒軟件，并且在安全管理區(qū)16/2916/29XX數(shù)據(jù)中心安全規(guī)劃方案部署網(wǎng)絡(luò)防病毒主控端。.詳細(xì)安全設(shè)計(jì)網(wǎng)絡(luò)安全設(shè)計(jì)抗DOS設(shè)備部署目的隨著僵尸網(wǎng)絡(luò)的泛濫,DDoS攻擊等惡意流量的規(guī)模也在迅速增大。據(jù)估計(jì)，中國的黑客產(chǎn)業(yè)鏈條規(guī)模已達(dá)上百億，而在這中間有很大一部分就是和DDoS攻擊相關(guān)的。實(shí)際上，DDoS攻擊也像網(wǎng)絡(luò)帶寬一樣，已經(jīng)成為可以售賣的資源。利益驅(qū)使DDoS的規(guī)模進(jìn)一步擴(kuò)大。2011年3月，全球網(wǎng)絡(luò)安全和管理解決方案提供商ArborNetworks發(fā)布第六期全球互聯(lián)網(wǎng)基礎(chǔ)設(shè)施安全年報(bào)稱，2010年是DDoS攻擊在互聯(lián)網(wǎng)上活動(dòng)規(guī)模和頻率激增的一年;DDoS攻擊規(guī)模首次突破100Gbps，服務(wù)提供商因此受到巨大的沖擊。2012年3月，CNCERT發(fā)布了《2011年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢報(bào)告》稱DDoS的頻率和規(guī)模都在迅速增大。根據(jù)CNCERT抽樣監(jiān)測發(fā)現(xiàn)，我國境內(nèi)日均發(fā)生攻擊總流量超過1G的較大規(guī)模的DDoS攻擊事件365起。其中，TCPSYNFLOODSUDPFLOOD等常見虛假源IP地址攻擊事件約占70%,對(duì)其溯源和處絡(luò)難度較大。17/2917/29XX數(shù)據(jù)中心安全規(guī)劃方案DDoS攻擊最讓人頭疼的是攻擊和防御的不對(duì)等性。現(xiàn)在的DDoS攻擊技術(shù)門檻越來越低，非常容易發(fā)起，但檢測和防御則需要強(qiáng)大的技術(shù)支撐。由于黑客地下產(chǎn)業(yè)鏈的發(fā)展，各種攻擊工具在網(wǎng)上隨處可見，甚至公然打包售賣。即使是對(duì)于初級(jí)網(wǎng)絡(luò)水平的人來說，使用這些攻擊也是很簡單的事情。而對(duì)于有經(jīng)驗(yàn)的黑客來說，使用這些工具可以組織起復(fù)雜的攻擊，令防范變得困難。例如2011年針對(duì)某游戲網(wǎng)站的攻擊持續(xù)了數(shù)月，綜合采用了DNS請(qǐng)求攻擊、UDPFLOOD、TCPSYNFLOODHTTP請(qǐng)求攻擊等多種方式，攻擊峰值流量達(dá)數(shù)十個(gè)Gbps，令人防不勝防。部署方式與說明防DOS設(shè)備串行在網(wǎng)絡(luò)出口，對(duì)流量進(jìn)行清洗，過濾含有DOS或DDOS特征的流量，保證網(wǎng)絡(luò)安全。由于防DOS串行在網(wǎng)絡(luò)出口，所以選擇雙機(jī)部署。防火墻部署目的防火墻是一種部署在安全邊界上的高級(jí)訪問控制設(shè)備，是不同區(qū)域之間信息流的唯一通道，能根據(jù)制定好的安全策略控制（允許、拒絕、監(jiān)視、記錄）不同區(qū)域之間的訪問行為。作為一個(gè)專業(yè)化的訪問控制產(chǎn)品，防火墻不僅提供非常靈活的訪問控制功能（基于IP地址、端口、協(xié)議、用戶名、應(yīng)用命令等）和強(qiáng)大的審計(jì)鑒別功能，還提供18/2918/29XX數(shù)據(jù)中心安全規(guī)劃方案了多種輔助功能，比如地址轉(zhuǎn)換、端口映射、IP與MAC地址綁定等等。安全邊界采用防火墻設(shè)備，根據(jù)ip五元組（源/目的ip,源/目的端口，協(xié)議），對(duì)網(wǎng)絡(luò)邊界進(jìn)行訪問控制，隔離不同的安全域，只有經(jīng)過許可的ip、端□、協(xié)議才被容許訪問防火墻內(nèi)的網(wǎng)絡(luò)和系統(tǒng)資源，保障了網(wǎng)絡(luò)的邏輯隔離。5.1.22部署方式與說明防火墻串行部署在網(wǎng)絡(luò)主干鏈路上，用于網(wǎng)絡(luò)安全邊界的訪問控制，可以采用透明工作模式，工作口不需要配置ip，不影響網(wǎng)絡(luò)路由結(jié)構(gòu)。每臺(tái)防火墻，均另外需1個(gè)ip用來作為管理設(shè)備，管理方式為B/S。由于防火墻作為網(wǎng)絡(luò)出口和安全域邊界的安全網(wǎng)關(guān)，一旦出現(xiàn)故障對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸、網(wǎng)絡(luò)安全策略有很大的影響，因此在網(wǎng)絡(luò)出口部署兩臺(tái)防火墻。在數(shù)據(jù)庫區(qū)邊界部署一臺(tái)防火墻。WEB應(yīng)用安全網(wǎng)關(guān)部署目的Web應(yīng)用安全網(wǎng)關(guān)（WebApplicationGateway，簡稱WAG）是新一代Web安全防護(hù)與應(yīng)用交付類應(yīng)用安全產(chǎn)品，主要針對(duì)Web服務(wù)器進(jìn)行HTTP/HTTPS流量分析，防護(hù)以Web應(yīng)用程序漏洞為19/2919/29XX數(shù)據(jù)中心安全規(guī)劃方案目標(biāo)的攻擊，并針對(duì)Web應(yīng)用訪問各方面進(jìn)行優(yōu)化，以提高Web或網(wǎng)絡(luò)協(xié)議應(yīng)用的可用性、性能和安全性，確保Web業(yè)務(wù)應(yīng)用能夠快速、安全、可靠地交付。WAG應(yīng)用了一套HTTP會(huì)話規(guī)則集，這些規(guī)則涵蓋諸如SQL注入、以與XSS等常見的Web攻擊。網(wǎng)頁防篡改模塊會(huì)事先將被保護(hù)Web服務(wù)器的主要頁面拷貝到設(shè)備存儲(chǔ)器內(nèi)，一旦檢測出被保護(hù)URL頁面有被篡改的情況，遇到用戶有針對(duì)該頁面的訪問請(qǐng)求時(shí)，會(huì)將事先備份的正常頁面返回給用戶，屏蔽被篡改的頁面不被訪問，維護(hù)用戶的聲譽(yù)，此種方法的優(yōu)點(diǎn)是不用在被保護(hù)Web服務(wù)器上安裝Agent，對(duì)Web應(yīng)用系統(tǒng)不會(huì)造成額外影響。部署方式與說明在應(yīng)用區(qū)和核心交換機(jī)之間串行部署Web應(yīng)用安全網(wǎng)關(guān)，可采取透明工作模式，不影響網(wǎng)絡(luò)路由結(jié)構(gòu)，針對(duì)Web服務(wù)器進(jìn)行第7層流量分析，確保業(yè)務(wù)應(yīng)用能夠快速、安全、可靠地交付。入侵防御部署目的雖然訪問控制系統(tǒng)（如防火墻）可以靜態(tài)的實(shí)施訪問控制策略，防止一些非法的訪問等，但對(duì)利用合法的訪問手段或其它的攻擊手段（比如，利用內(nèi)部系統(tǒng)的漏洞等）對(duì)系統(tǒng)入侵和內(nèi)部用戶的入侵等是沒有辦法控制的；因此，系統(tǒng)內(nèi)需要建設(shè)統(tǒng)一的符合國家規(guī)定的安全20/2920/29XX數(shù)據(jù)中心安全規(guī)劃方案檢測機(jī)制，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行自動(dòng)的入侵檢測和分析，對(duì)非法信息予以過濾，提高系統(tǒng)整體安全性。入侵防御技術(shù)高度融合高性能、高安全性、高可靠性和易操作性等特性，帶來了深度攻擊防御和應(yīng)用帶寬保護(hù)的完美價(jià)值體驗(yàn)。通過入侵防護(hù)系統(tǒng)可以實(shí)時(shí)、主動(dòng)攔截黑客攻擊、網(wǎng)絡(luò)病毒等惡意流量，保護(hù)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)，IPS可以深入到路由、防火墻模塊和應(yīng)用層，快速掃描流量，它可以利用其上千種攻擊特征數(shù)據(jù)庫，識(shí)別和分析外部的攻擊，并實(shí)時(shí)報(bào)警和記錄，同時(shí)可以對(duì)上百種入侵和攻擊進(jìn)行主動(dòng)防護(hù)。此外，還可以對(duì)MSN、Skype、YahooMessage等即時(shí)消息進(jìn)行阻斷，允許用戶對(duì)BT、kazza等P2P多點(diǎn)共享協(xié)議軟件進(jìn)行阻斷。部署方式與說明IPS串行部署在網(wǎng)絡(luò)主干鏈路上，用于安全域邊界的入侵防護(hù)，可以采用透明工作模式，工作口不需要配置ip，不影響網(wǎng)絡(luò)路由結(jié)構(gòu)。管理中心安裝在專用管理服務(wù)器中，實(shí)現(xiàn)IPS設(shè)備統(tǒng)一的控制管理、監(jiān)控告警、日志收集和定制報(bào)表等功能。由于IPS串行于主干線上所以雙機(jī)部署。入侵檢測部署目的互聯(lián)網(wǎng)當(dāng)前正處于高速的發(fā)展態(tài)勢，隨之而來的攻擊、病毒、威21/2921/29XX數(shù)據(jù)中心安全規(guī)劃方案脅也是日新月異，面對(duì)日益加劇的安全形式需要一套能夠?qū)崟r(shí)檢測攻擊、預(yù)警、響應(yīng)的工具。通過部署入侵檢測系統(tǒng)可以起到以下目的：（1）入侵檢測網(wǎng)絡(luò)入侵檢測系統(tǒng)（IDS）可以實(shí)現(xiàn)對(duì)黑客攻擊（緩沖區(qū)溢出、SQL注入、暴力猜測、拒絕服務(wù)、掃描探測、非授權(quán)訪問等）、蠕蟲病毒、木馬后門、間諜軟件、僵尸網(wǎng)絡(luò)等進(jìn)行實(shí)時(shí)檢測與報(bào)警。（2）流量分析網(wǎng)絡(luò)入侵檢測系統(tǒng)（IDS）對(duì)網(wǎng)絡(luò)進(jìn)行流量分析，實(shí)時(shí)統(tǒng)計(jì)出當(dāng)前網(wǎng)絡(luò)中的各種報(bào)文流量；IDS能夠幫助管理員對(duì)付網(wǎng)絡(luò)攻擊，最大限度地減少攻擊可能給用戶造成的損失,從而進(jìn)一步提高了單位信息安全基礎(chǔ)結(jié)構(gòu)的完整性。（3）行為監(jiān)控IDS系統(tǒng)會(huì)對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，對(duì)嚴(yán)重濫用網(wǎng)絡(luò)資源的事件提供告警和記錄。部署方式與說明網(wǎng)絡(luò)入侵檢測系統(tǒng)（IDS）由于涉與到數(shù)據(jù)的存儲(chǔ)和處理，所以，多采用C/S的部署方式，一般分為“引擎”和“控制臺(tái)（兼數(shù)據(jù)中心）”兩部分：（1）IDS引擎：IDS引擎接入核心交換機(jī)的鏡像端口，以監(jiān)聽相應(yīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量，IDS引擎工作口無需配置ip，另需配置一個(gè)管理ip地址；22/2922/29XX數(shù)據(jù)中心安全規(guī)劃方案（2）IDS控制臺(tái)（兼數(shù)據(jù)中心）：在與引擎管理IP地址聯(lián)通的安全管理安全域，部署1臺(tái)服務(wù)器，安裝IDS控制臺(tái)軟件，以便存儲(chǔ)、分析IDS引擎的檢測數(shù)據(jù)，并管控IDS引擎?？刂婆_(tái)可掛接存儲(chǔ)設(shè)備（如NAS存儲(chǔ)）。安全審計(jì)部署目的安全審計(jì)系統(tǒng)綜合了網(wǎng)絡(luò)安全審計(jì)和數(shù)據(jù)庫安全審計(jì)2大功能。網(wǎng)絡(luò)審計(jì)系統(tǒng)針對(duì)業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理系統(tǒng)。通過對(duì)業(yè)務(wù)人員訪問系統(tǒng)的行為進(jìn)行解析、分析、記錄、匯報(bào)，以幫助用戶事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)視、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告、事故追蹤溯源，加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進(jìn)核心資產(chǎn)（數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)設(shè)備等）的正常運(yùn)營。數(shù)據(jù)庫安全審計(jì)系統(tǒng)是通過網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識(shí)別，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中數(shù)據(jù)庫的所有訪問操作，同時(shí)支持自定義內(nèi)容關(guān)鍵字庫，實(shí)現(xiàn)數(shù)據(jù)庫操作的內(nèi)容監(jiān)測識(shí)別，發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫操作行為，與時(shí)報(bào)警響應(yīng)、全過程操作還原，從而實(shí)現(xiàn)安全事件的準(zhǔn)確全程跟蹤定位，全面保障數(shù)據(jù)庫系統(tǒng)安全。部署方式與說明數(shù)據(jù)庫安全域接入交換機(jī)旁路，部署1臺(tái)安全審計(jì)系統(tǒng)，審計(jì)引擎需要接入交換機(jī)的鏡像端口，工作口不需要配置ip，不影響網(wǎng)絡(luò)23/2923/29XX數(shù)據(jù)中心安全規(guī)劃方案路由結(jié)構(gòu)，更不影響網(wǎng)絡(luò)性能；管理口接入安全管理域交換機(jī)，需配置1個(gè)ip用來進(jìn)行管理。防病毒部署目的目前計(jì)算機(jī)病毒的發(fā)展日益猖獗，防病毒發(fā)展更趨向于集中式管理、分布式殺毒的架構(gòu)，對(duì)局域網(wǎng)進(jìn)行遠(yuǎn)程集中式安全管理，可通過賬號(hào)和口令設(shè)置控制移動(dòng)控制臺(tái)的使用，并且先進(jìn)的分布技術(shù)，利用本地資源和本地殺毒引擎，對(duì)本地節(jié)點(diǎn)的所有文件進(jìn)行全面、與時(shí)、高效的查殺病毒，同時(shí)保障用戶的隱私，減少了網(wǎng)絡(luò)傳輸?shù)呢?fù)載，避免因大量傳輸文件而引起的網(wǎng)絡(luò)擁塞。部署上以服務(wù)器為中心，進(jìn)行網(wǎng)絡(luò)殺毒的管理，這種方式與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)融合，管理更加方便。部署方式與說明在安全管理區(qū)部署殺毒軟件管控中心服務(wù)器，在網(wǎng)內(nèi)終端部署殺毒軟件客戶端，通過服務(wù)器端對(duì)終端的全面管理、制定病毒查殺策略。安全運(yùn)維管理漏洞掃描漏洞掃描系統(tǒng)主要用來定期檢查系統(tǒng)內(nèi)網(wǎng)絡(luò)設(shè)備、終端系統(tǒng)、服務(wù)器系統(tǒng)、安全設(shè)備以與數(shù)據(jù)庫等系統(tǒng)重要資產(chǎn)的脆弱性情況，針對(duì)24/2924/29

XX數(shù)據(jù)中心安全規(guī)劃方案主干系統(tǒng)的特點(diǎn)，建議將漏洞掃描部署在標(biāo)清和高清業(yè)務(wù)支撐平臺(tái)各自的安全管理區(qū)內(nèi)，實(shí)現(xiàn)對(duì)各自業(yè)務(wù)支撐平臺(tái)定期的漏洞掃描，同時(shí)，漏洞掃描的結(jié)果將提交給安全管理與綜合審計(jì)平臺(tái)，成為風(fēng)險(xiǎn)分析的重要數(shù)據(jù)來源。漏洞掃描系統(tǒng)是基于網(wǎng)絡(luò)的脆弱性分析、評(píng)估和綜合管理系統(tǒng)，漏洞掃描系統(tǒng)能夠快速發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)，準(zhǔn)確識(shí)別資產(chǎn)屬性、全面掃描安全漏洞，清晰定性安全風(fēng)險(xiǎn)，給出修復(fù)建議和預(yù)防措施，并對(duì)風(fēng)險(xiǎn)控制策略進(jìn)行有效審核，從而在弱點(diǎn)全面評(píng)估的基礎(chǔ)上實(shí)現(xiàn)安全自主掌控。5.2.2.安全,5.2.2.安全,0,1=1理平臺(tái)安全管理平臺(tái)系統(tǒng)是一個(gè)面向全網(wǎng)IT資源的集中安全管理平臺(tái)。通過對(duì)網(wǎng)絡(luò)中各類IT資源的安全域劃分，以與海量異構(gòu)網(wǎng)絡(luò)與安全事件的采集、處理和分析，面向業(yè)務(wù)信息系統(tǒng)建立一套可度量的風(fēng)險(xiǎn)模型，使得各級(jí)管理員能夠?qū)崿F(xiàn)全網(wǎng)的資產(chǎn)運(yùn)行監(jiān)控、事件分析與審計(jì)、風(fēng)險(xiǎn)評(píng)估與度量、預(yù)警與響應(yīng)、態(tài)勢分析，并借助標(biāo)準(zhǔn)化的流程管理實(shí)現(xiàn)持續(xù)的安全運(yùn)營。系統(tǒng)的主要功能包括：(1)網(wǎng)絡(luò)運(yùn)行監(jiān)控系統(tǒng)能夠?qū)θW(wǎng)的各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等實(shí)時(shí)、細(xì)粒度的運(yùn)行監(jiān)控，與時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的可用性故障，并進(jìn)行故障定位和告警響應(yīng)，確保重要業(yè)務(wù)信息系統(tǒng)的可用性和業(yè)務(wù)25/2925/29XX數(shù)據(jù)中心安全規(guī)劃方案連續(xù)性。系統(tǒng)能夠形象地展示出用戶的網(wǎng)絡(luò)拓?fù)?，并?dòng)態(tài)展示拓?fù)涔?jié)點(diǎn)的運(yùn)行狀態(tài)，還能夠根據(jù)用戶管理的組織和部門結(jié)構(gòu)在地圖上展示出設(shè)備或者設(shè)備組的地理位置。（2）事件與流量管理系統(tǒng)能夠采集全網(wǎng)中各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等的日志、告警和事件，并對(duì)這些信息進(jìn)行范式化、過濾、歸并，形成統(tǒng)一的事件格式，包括統(tǒng)一事件嚴(yán)重等級(jí)、統(tǒng)一事件類型和名稱等，使得管理員能夠在系統(tǒng)的管理控制臺(tái)上方便地瀏覽所有安全事件，并確保信息的一致性。針對(duì)所有安全事件，系統(tǒng)能夠通過事件關(guān)聯(lián)分析引擎進(jìn)行多種事件關(guān)聯(lián)分析，包括規(guī)則關(guān)聯(lián)、漏洞管理、統(tǒng)計(jì)關(guān)聯(lián)，等等。（3）脆弱性管理系統(tǒng)支持將各類第三方漏洞掃描、應(yīng)用掃描和人工評(píng)估的漏洞信息整合到一起，形成基于資產(chǎn)和業(yè)務(wù)的漏洞信息庫，并計(jì)算資產(chǎn)和業(yè)務(wù)的脆弱性。系統(tǒng)能夠?qū)π掳l(fā)現(xiàn)的漏洞信息進(jìn)行預(yù)警通告。（4）響應(yīng)管理系統(tǒng)具備完善的響應(yīng)管理功能，能夠根