大数据中心安全系统建设方案设计Word文件下载.docx
《大数据中心安全系统建设方案设计Word文件下载.docx》由会员分享,可在线阅读,更多相关《大数据中心安全系统建设方案设计Word文件下载.docx(18页珍藏版)》请在冰豆网上搜索。
其实,信息安全建设在系统的设计初期开始,就应该要介入,始终贯穿其中,这样花费的人力物力才是最小。
当一个系统建成后,发现问题了,回头再来考虑安全建设,这样投入的本钱将会变得最大。
一.2建设思路
数据中心的安全体系建设并非安全产品的堆砌,它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系,涉与众多的安全技术,实施过程需要涉与大量的调研、咨询等工作,还会涉与到众多的安全厂家之间的协调、产品的选型,安全系统建成后怎么维持这个生态体系的平衡,是一个复杂的系统工程,一般建议分期投资建设,从技术到管理,逐步实现组织的战略目标。
整体设计思路是将需要保护的核心业务主机包与数据库围起来,与其他网络区域进展逻辑隔离,封闭一切不应该暴漏的端口、IP,在不影响现有业务的情况下形成数据孤岛,设置固定的数据访问入口,对入口进展严格的访问控制与审计。
由之前的被动安全变为主动防御,控制安全事故的发生,对接入系统的人员进展有效的认证、授权、审计,让敏感操作变得更加透明,有效防止安全事件的发生。
在访问入口部署防火墙、账号生命周期管理系统、数据加密系统、令牌认证系统、审计系统等安全设施,对所有外界向核心区域主机发起的访问进展控制、授权、审计,对流出核心区域的批量敏感数据进展加密处理,所有加密的数据将被有效的包围在安全域之,并跟踪数据产生、扭转、销毁的整个生命周期,杜绝敏感数据外泄与滥用行为。
为了保证XXX用户的业务连续性,各安全子系统都采用旁路的方式部署到网络当中,其中账号生命周期管理系统、审计系统、数据库都采用双机的模式,以提供自身的高可靠性;
加密系统、特权账号生命周期管理系统、令牌认证系统都建议部署在VMware云计算平台上,利用VMware强大的服务器虚拟化能力为防泄密系统提供良好的可靠性与可扩展性保证。
一.3总体方案
信息安全系统整体部署架构图
1、在核心交换机上部署防护墙模块或独立防火墙,把重要的主机、数据库与其他子网进展逻辑隔离,划分安全区域,对不必要的端口进展封闭,隔离终端IP对数据中心可达。
2、在终端会聚的交换机上旁路部署IP准入控制系统,实现非法外联、IP实名制,对接入网的终端进展有效的控制。
3、部署主机账号管理系统,限制所有终端对主机的访问只能通过管理系统发起,并对Telnet、SSH、RDP等访问过程进展控制、审计,防止终端将数据从主机上私自复制到本地硬盘,防止误操作。
4、部署数据账号管理系统,对数据库访问工具〔PL-SQL〕、FTP工具等常用维护工具进展统一的发布,对前台数据库访问操作进展审计记录,把数据包围在服务器端。
对下载数据行为进展严格控制,并对提取的数据进展加密处理。
5、部署加密系统〔DLP〕,对所有流出数据中心的数据进展自动加密处理,并对数据的产生、扭转、编辑、销毁进展生命周期管理。
6、部署数据库审计系统,对数据库访问行为进展审计,监控敏感数据访问情况,监控数据库操作行为,记录数据库后台变化情况,事后回查。
7、在生产库与测试库之间部署数据脱敏系统,对从在线库抽取的数据进展自动脱敏,再导入测试库,防止数据泄露。
对后台访问在线库的人群进展权限管理,对访问的敏感字段进展自动遮罩。
8、部署应用嵌账号管理系统,对应用系统嵌的特权账号进展有效的托管,实现账号的定期修改、密码强度、密码加密等安全策略。
9、部署令牌认证系统,对登入数据中心区的用户使用双因素认证,确认访问数据中心者的身份,杜绝账号共用现象。
10、部署云计算平台,为防泄密系统提供良好的运行环境。
云计算平台提高了系统的可靠性、可扩展性,减少宕机时间,降低维护本钱。
11、所有系统都采用活动目录认证,并加以动态令牌做为双因素认证,实现对用户身份的准确鉴别。
一.3.1IP准入控制系统
现在国外,有很多厂商推出自己的准入控制系统解决方案,目的就是为了在终端接入网络前对其进展安全检查,只允许合法的用户接入到网络当中,防止随意接入网络给系统带来风险。
主流的解决方案有两种方式,旁路部署方式都是基于,需要跟交换机做联动;
串接的部署方式不需要与交换机联动,但会给网络的通过性与性能带来挑战,采用的用户不多。
这些解决方案,在复杂的中国环境部署成功的并不多,要么网络条件非常好,交换机都支持X,要么网络非常扁平化,终端都可以收敛到同一个出口。
IP地址管理困难:
接入Intranet的计算机设备都需要一个合法的IP地址,IP地址的分配和管理是一件令网络管理人员头疼的事情,IP地址、MAC地址、计算机名冒用、滥用现象广泛存在,而管理人员缺乏有效的监控手段。
局域网上假设有两台主机IP地址一样,如此两台主机相互报警,造成应用混乱。
因此,IP地址盗用与冲突成了网管员最头疼的问题。
当几百台、甚至上千台主机同时上网,如何控制IP地址盗用与冲突更是当务之急。
在实际中,网络管理员为入网用户分配和提供的IP地址,只有通过客户进展正确地注册后才有效。
这为终端用户直接接触IP地址提供了一条途径。
由于终端用户的介入,入网用户有可能自由修改IP地址。
改动后的IP地址在联网运行时可导致三种结果:
Ø
非法的IP地址,自行修改的IP地址不在规划的网段,网络呼叫中断。
重复的IP地址,与已经分配且正在联网运行的合法的IP地址发生资源冲突,无法。
非法占用已分配的资源,盗用其它注册用户的合法IP地址〔且注册该IP地址的机器未通电运行〕联网通讯。
IPScan能很好的控制非法的IP接入,并对网已有的联网IP通过切断联网实现迅速快捷的控制,以很方便的方式实现网安全威胁的最小化。
IPScan通过对IP/MAC的绑定,对每个IP地址都可以进展实时的监控,一旦发现非法的IP地址和某个IP地址进展非法操作的时候,都可以与时对这些IP地址进展操作,,有效的防止IP冲突。
产品是基于二层〔数据链路层〕的设计理念,可以有效地控制ARP广播病毒,通过探测ARP广播包,可以自动阻止中毒主机大量发送ARP广播,从而保证了网的安全。
通过实现IP地址的绑定,从而变相的实现了网络实名制,在接入网络的终端都被授予唯一的IP地址,在网络中产生的所有日志将会变得非常有意义,它可以关联到是哪一个终端哪一个用户,能让安全日志产生定责的作用。
一.3.2防泄密技术的选择
国外有良好的法律环境,部有意泄密相对极少,对部人员确认为可信,数据泄露主要来自外部入侵和部无意间的泄密。
因此,国外DLP〔数据防泄漏〕解决方案主要用来防止外部入侵和部无意间泄密,可以解决局部问题,但无法防止部主动泄密,只能更多地依赖管理手段。
而国环境,法律威慑力小,追踪难度大,泄密者比拟容易逃脱法律制裁,犯罪本钱比拟小;
同时,国各种管理制度不完善,部人员无意间泄密的概率也比拟大。
国DLP以加密权限为核心,从主动预防的立足点来防止数据泄露,对数据进展加密,从源头上进展控制。
即使部数据流失到外部,也因为已被加密而无法使用,从而保证了数据的安全。
所以国DLP既能防止部泄密〔包括部有意泄密和无意泄密〕,同时也能防止外部入侵窃密。
一.3.3主机账号生命周期管理系统
XXX用户局越来越多的业务外包给系统提供商或者其他专业代维公司,这些业务系统涉与了大量的公民敏感信息。
如何有效地监控第三方厂商和运维人员的操作行为,并进展严格的审计是用户现在面临的一个挑战。
严格的规章制度只能约束一局部人的行为,只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行,在发生安全事件后,才能有效的复原事故现场,准确的定位到责任人。
主机账号生命周期管理系统能帮助用户建立集中的和统一的主机运维管理平台,实现自动化的监控审计,对所有维护人员和支持人员的操作行为〔Telnet、SSH、RDP、FTP、SFTP、VNC、KVM等协议〕进展监控和跟踪审计,〔实现对所有登录系统的人员的所有操作进展全面行为过程审计,达到对所访问主机的操作行为进展采集,以便实时监控和事后回放分析、重现和检索,以最大限度地减少运行事故、降低运行风险、进展责任追溯,不可抵赖。
同时提供直观的问题报告工具〕,防止敏感数据从物理层被窃取。
按照规定,一段时间必须修改一次主机与数据库的密码,以符合安全性要求,往往这些密码太多,修改一次也费时费力,还经常出现root密码修改后忘记的情况。
很多时候,维护人员为了方便记忆密码,将密码记录在一个文件里,以明文方式保存在电脑上,即使文件加了个简单的密码,一旦这些数据泄漏,后果不堪设想。
现在可采用主机账号生命周期管理系统进展密码托管,可以设定定期自动修改主码,不用人工干预了。
既提高了信息安全工作的效率,又降低了管理本钱,还降低了安全风险。
一.3.4数据库账号生命周期管理系统
目前,XXX用户的支持人员与第三方维护人员都是采用PL/SQL等工具对在线库或离线库进展直接操作,有的是通过业务系统的某些模块直接操作数据库,导致敏感数据可以直接被编辑、删除,无法对其进展集中控制。
针对这种情况,目前较有效的解决方案是通过数据库账号生命周期管理系统来实现。
通过账号生命周期管理系统的虚拟化技术,将有高风险的操作工具发布出来〔如PL/SQL、业务系统的主界面、C/S架构系统的客户端等〕,客户端零安装,用户对程序远程调用,防止真实数据的传输和漏泄,能实现防止数据的泄露、对重要操作进展全程跟踪审计、对重要命令进展预警。
系统禁止所有操作终端与服务器之间的数据复制操作,但操作人员经常需要复制一段代码或脚本到PL/SQL里面进展查询操作,如果是用手敲,势必会影响工作效率。
这里就要求数据库账号生命周期管理系统具备单向数据流的控制,只允许从终端复制数据到系统,禁止从系统上复制数据到本地磁盘,这样既保存了用户的使用习惯,又达到了安全的目的。
如果支持人员要把数据保存到本地终端上进展二次处理,需要将文件导出到指定的存储路径上,文件产生后会被自动加密处理,支持人员可以在指定的路径下载加密的文件到本地磁盘,并进展后期的二次处理,同时在存储上保存有文件副本备查。
如果支持人员需要把修改好的数据上传应用系统中或主机中,需要将文件导入到指定的存储路径上,文件上传后会被自动解密处理,即可被应用系统或主机正常识别。
一.3.5双因素认证系统
目前,系统中的主机账号共用情况比拟普遍,一个账号多个人使用,这就造成了事后难以定责的尴尬局面,而且静态的口令也容易被获取。
为了杜绝这种现象,可采用双因素认证系统加强身份认证的管理。
传统的方式是在每台需要保护的主机、数据库上启用Agent,如果主机数量很多的话,配置工作量很大,维护起来很繁琐。
我们推荐给XXX用户局的解决方案是将令牌认证系统与主机账号生命周期管理系统结合做双因素认证,大大减少了配置工作量的同时,还满足了系统安全性要求。
另外,对于所有重要的业务系统、安全系统,都应该采用双因素认证,以防止账号共用情况,发生安全事件后,能准确的定责。
一.3.6数据库审计系统
审计系统在整个系统中起到一个很好的补充作用。
数据库账号生命周期管理系统虽然会记录所有操作数据库的行为,但他只是记录前台的操作过程,但对于发生安全事件后快速定位、复原整个事件过程还是有些欠缺。
专业数据库审计系统会对数据库操作进展审计,记录数据库的日常操作行为,记录敏感数据的访问、
升级会员 