数据中心信息系统安全建设项目技术方案.docx
《数据中心信息系统安全建设项目技术方案.docx》由会员分享,可在线阅读,更多相关《数据中心信息系统安全建设项目技术方案.docx(16页珍藏版)》请在冰豆网上搜索。
数据中心信息系统安全建设项目技术方案
数据中心信息系统安全建设项目
技术方案
目录
1.项目概述4
1.1.目标与范围4
1.2.参照标准4
1.3.系统描述4
2.安全风险分析5
2.1.系统脆弱性分析5
2.2.安全威胁分析5
2.2.1.被动攻击产生的威胁5
2.2.2.主动攻击产生的威胁5
3.安全需求分析7
3.1.等级保护要求分析7
3.1.1.网络安全7
3.1.2.主机安全8
3.1.3.应用安全9
3.2.安全需求总结9
4.整体安全设计10
4.1.安全域10
4.1.1.安全域划分原则10
4.1.2.安全域划分设计11
4.2.安全设备部署12
5.详细安全设计13
5.1.网络安全设计13
5.1.1.抗DOS设备13
5.1.2.防火墙14
5.1.3.WEB应用安全网关15
5.1.4.入侵防御16
5.1.5.入侵检测17
5.1.6.安全审计18
5.1.7.防病毒18
5.2.安全运维管理19
5.2.1.漏洞扫描19
5.2.2.安全管理平台19
5.2.3.堡垒机21
6.产品列表21
1.项目概述
1.1.目标与范围
本次数据中心的安全建设主要依据《信息安全技术信息安全等级保护基本要求》中的技术部分,从网络安全,主机安全,应用安全,来对网络与服务器进行设计。
根据用户需求,在本次建设完毕后XX数据中心网络将达到等保三级的技术要求。
因用户网络为新建网络,所以本次建设将完全按照《信息安全技术信息安全等级保护基本要求》中技术部分要求进行。
1.2.参照标准
GB/T22239-2008《信息安全技术信息安全等级保护基本要求》
GB/T22239-2008《信息安全技术信息安全等级保护基本要求》
GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》
GB/T20270-2006《信息安全技术网络基础安全技术要求》
GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》
GB/T20271-2006《信息安全技术信息系统安全通用技术要求》
GB/T25070-2010《信息安全技术信息系统等级保护安全设计技术要求》
GB17859-1999《计算机信息系统安全保护等级划分准则》
GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》
1.3.系统描述
XX数据中心平台共有三个信息系统:
能源应用,环保应用,市节能减排应用。
企业节点通过企业信息前置机抓取企业节点数据,并把这些数据上传到XX数据中心的数据库中,数据库对这些企业数据进行汇总与分析,同时企业节点也可以通过VPN去访问XX数据中心的相关应用。
XX数据中心平台也可通过政务外网,环保专网与相关部分进行信息交互。
提供信息访问。
2.安全风险分析
2.1.系统脆弱性分析
人的脆弱性:
人的安全意识不足导致的各种被攻击可能,如接受未知数据,设置弱口令等。
安全技术的脆弱性:
操作系统和数据库的安全脆弱性,系统配置的安全脆弱性,访问控制机制的安全脆弱性,测评和认证的脆弱性。
运行的脆弱性:
监控系统的脆弱性,无入侵检测设备,响应和恢复机制的不完善。
2.2.安全威胁分析
2.2.1.被动攻击产生的威胁
(1)网络和基础设施的被动攻击威胁
局域网/骨干网线路的窃听;监视没被保护的通信线路;破译弱保护的通信线路信息;信息流量分析;利用被动攻击为主动攻击创造条件以便对网络基础设施设备进行破坏,如截获用户的账号或密码以便对网络设备进行破坏;机房和处理信息终端的电磁泄露。
(2)区域边界/外部连接的被动攻击威胁
截取末受保护的网络信息;流量分析攻击;远程接入连接。
(3)计算环境的被动攻击威胁
获取鉴别信息和控制信息;获取明文或解密弱密文实施重放攻击。
2.2.2.主动攻击产生的威胁
(1)对网络和基础设施的主动攻击威胁
一是可用带宽的损失攻击,如网络阻塞攻击、扩散攻击等。
二是网络管理通讯混乱使网络基础设施失去控制的攻击。
最严重的网络攻击是使网络基础设施运行控制失灵。
如对网络运行和设备之间通信的直接攻击,它企图切断网管人员与基础设施的设备之间的通信,比如切断网管人员与交换机、路由器之间的通信,使网管人员失去对它们的控制。
三是网络管理通信的中断攻击,它是通过攻击网络底层设备的控制信号来干扰网络传输的用户信息;引入病毒攻击;引入恶意代码攻击。
(2)对信息系统及数据主动攻击威胁
试图阻断或攻破保护机制(内网或外网);偷窃或篡改信息;利用社会工程攻击欺骗合法用户(如匿名询问合法用户账号);伪装成合法用户和服务器进行攻击;IP地址欺骗攻击;拒绝服务攻击;利用协议和基础设施的安全漏洞进行攻击;利用远程接入用户对内网进行攻击;建立非授权的网络连接;监测远程用户链路、修改传输数据;解读未加密或弱加密的传输信息;恶意代码和病毒攻击。
(3)计算环境的主动攻击威胁
引入病毒攻击;引入恶意代码攻击;冒充超级用户或其他合法用户;拒绝服务和数据的篡改;伪装成合法用户和服务器进行攻击;利用配置漏洞进行攻击;利用系统脆弱性(操作系统安全脆弱性、数据库安全脆弱性)实施攻击;利用服务器的安全脆弱性进行攻击;利用应用系统安全脆弱性进行攻击。
(4)支持性基础设施的主动攻击威胁
对未加密或弱加密的通信线路的搭线窃听;用获取包含错误信息的证书进行伪装攻击;拒绝服务攻击(如攻击目录服务等);中间攻击;攻击PIN获取对用户私钥的访问、在支持性基础设施的组件中引入恶意代码攻击、在密钥分发期间对密钥实施攻击、对PKI私钥实施密码攻击、对密钥恢复后的密钥进行末授权访问、在用户认证期间使用户不能生成失效信息;利用备份信息进行攻击。
3.安全需求分析
3.1.等级保护要求分析
3.1.1.网络安全
类别
控制点
重点要求项
对应措施
网络安全
结构安全
交换设备的冗余、网络划分与隔离
安全域划分,通过安全管理平台进行网络拓扑管理
访问控制
网络边界部署访问控制设备,启用访问控制功能
安全域边界增加部署防火墙设备
安全审计
对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录
部署网络安全审计系统
边界完整性检查
对内部用户未通过准许私自联到外部网络的行为进行检查
采用技术手段进行违规外联
入侵防范
网络边界入侵行为监视
网络出口的边界处部署入侵检测,重要服务器区前面采取入侵防护措施
3.1.2.主机安全
类别
控制点
重点要求项
对应措施
主机安全
身份鉴别
对登录操作系统和数据库系统的用户进行身份标识和鉴别
部署身份鉴别系统。
访问控制
启用访问控制功能,实现操作系统和数据库系统特权用户的权限分离
对系统安全加固,限制默认帐户、时删除多余的、过期的帐户等
安全审计
用户行为、系统资源、系统安全事件审计
采用主机审计措施,通过安全管理平台对操作系统、数据库进行监控管理
入侵防范
操作系统最小安装的原则、及时更新系统补丁
对主机进行漏洞检查,并部署入侵防范设备。
恶意代码防范
能够集中管理的恶意代码防护系统
部署网络版防病毒软件
资源控制
设定终端接入方式、网络地址范围等条件限制终端登录
利用访问控制策略与堡垒机产品结合的方式进行控制。
3.1.3.应用安全
类别
控制点
重点要求项
对应措施
应用安全
身份鉴别
提供专用的登录控制模块对登录用户进行身份标识和鉴别
部署身份鉴别服务器并与应用进行联动
访问控制
账户访问权限管理
部署堡垒机对访问进行权限管理
安全审计
应用系统重要安全事件进行审计
部署堡垒机对应用访问进行记录
通信保密性
采用密码技术进行会话初始化验证,对通信过程中的敏感信息字段进行加密
应用软件安全改造,对敏感字段进行加密
资源控制
会话超时、会话并发管理、多重并发会话限制
部署堡垒机设备进行限制
3.2.安全需求总结
类别
安全需求
网络安全
划分安全域、明确安全边界
网络出口边界、新的安全边界部署防火墙设备
网络出口边界部署入侵检测设备
关键业务前段部署入侵防御系统
网页应用系统边界部署WEB应用安全网关
重要数据库部署网络安全审计系统
主机安全
部署身份认证系统对访问进行身份认证
部署堡垒机设备对主机访问进行控制与审计
采用网络版杀毒软件
部署漏洞扫描设备对主机的漏洞进行检测并及时修补
应用安全
应用系统与身份认证系统相结合进行身份鉴别
应用系统与堡垒机相结合来进行审计与访问控制
部署安全管理平台对网络,主机,应用的日志进行审计与分析。
4.整体安全设计
4.1.安全域
4.1.1.安全域划分原则
(1)业务保障原则
安全域方法的根本目标是能够更好的保障网络上承载的业务。
在保证安全的同时,还要保障业务的正常运行和运行效率。
信息安全服务所强调的核心思想是应该从客户(业务)而不是IT服务提供方(技术)的角度理解IT服务需求。
也就是说,在提供IT服务的时候,我们首先应该考虑业务需求,根据业务需求来确定IT需求包括安全需求。
在安全域划分时会面临有些业务紧密相连,但是根据安全要求(信息密级要求,访问应用要求等)又要将其划分到不同安全域的矛盾。
是将业务按安全域的要求强性划分,还是合并安全域以满足业务要求?
必须综合考虑业务隔离的难度和合并安全域的风险(会出现有些资产保护级别不够),从而给出合适的安全域划分。
(2)等级保护原则
根据安全域在业务支撑系统中的重要程度以及考虑风险威胁、安全需求、安全成本等因素,将其划为不同的安全保护等级并采取相应的安全保护技术、管理措施,以保障业务支撑的网络和信息安全。
安全域的划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。
安全域所涉及应用和资产的价值越高,面临的威胁越大,那么它的安全保护等级也就越高。
(3)深度防御原则
根据网络应用访问的顺序,逐层进行防御,保护核心应用的安全。
安全域的主要对象是网络,但是围绕安全域的防护需要考虑在各个层次上立体防守,包括在物理链路、网络、主机系统、应用等层次;同时,在部署安全域防护体系的时候,要综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等各种安全功能实现协防。
(4)结构简化原则
安全域划分的直接目的和效果是要将整个网络变得更加简单,简单的网络结构便于设计防护体系。
安全域划分不宜过于复杂。
(5)生命周期原则
对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化;另外,在安全域的建设和调整过程中要考虑工程化的管理。
(6)安全最大化原则
针对业务系统可能跨越多个安全域的情况,对该业务系统的安全防护必须要使该系统在全局上达到要求的安全等级,即实现安全的最大化防护,同时满足多个安全域的保护策略。
(7)可扩展性原则
当有新的业务系统需要接入业务支撑网时,按照等级保护、对端可信度等原则将其分别划分至不同安全等级域的各个子域。
4.1.2.安全域划分设计
根据XX数据中心的情况,把网络分为三个安全域:
应用安全域,数据库安全域,安全管理安全域。
安全域之间利用防火墙进行隔离。
安全域划分拓扑如下:
4.2.安全设备部署
(1)网络边界
考虑到网络的高可用性,网络出口设备均双机部署。
在网络出口部署两台防止DDOS产品,对DDOS攻击进行过滤。
在网络出口部署两台防火墙设备,对进出XX数据中心网络的流量进行策略控制。
在网络出口部署两台入侵防御设备对进
升级会员 