数据中心整体安全解决方案V11文档格式.docx

1、因此，对于数据中心的安全建设，要考虑多方面因素，任何防护上的疏漏必将会导致不可估量的损失，因此构筑一道安全的防御体系将是这座数字城堡首先面对的问题。方案目标本方案着眼于数据中心面临的传统风险和新型风险，从全局考虑，为数据中心整体安全规划和建设提供具备实际意义的安全建议。参考依据中办200327号文件国家信息化领导小组关于加强信息安全保障工作的意见公通字200466号信息安全等级保护工作的实施意见公通字43号信息安全等级保护管理办法GB/T20269-2006信息安全技术 信息系统安全等级保护管理要求GB/T20271-2006信息安全技术 信息系统通用安全技术要求GB/T22239-2008信

2、息安全技术 信息系统安全等级保护基本要求GB/T22240-2008信息安全技术 信息系统安全等级保护定级指南信息安全技术 信息系统安全等级保护实施指南信息安全技术 信息系统安全等级保护 第二分册 云计算安全要求ISO13335信息系统管理指南IATF信息保障技术框架2.数据中心面临的安全挑战随着Internet应用日益深化，数据中心运行环境正从传统客户机/服务器向网络连接的中央服务器转型，受其影响，基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素，一些未实施正确安全策略的数据中心，黑客和蠕虫将顺势而入。尽管大多数系统管理员

3、已经认识到来自网络的恶意行为对数据中心造成的严重损害，而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备，但对于日趋成熟和危险的各类攻击手段，这些传统的防御措施仍然显现的力不从心。以下是当前数据中心面对的一些主要安全挑战。：网络边界接入风险网络边界接入风险主要包括路由破坏、未授权访问、信息窃听、拒绝服务攻击、针对路由器和交换机等边界网络设备的攻击，以及病毒、蠕虫的传播等。在互联网上尤其是拒绝服务攻击现在呈多发趋势，而且中国是攻击发生的重灾区，在世界范围内仅次于美国排名第二。海量的SYN Flood、ACK Flooding、UDP Flood、ICMP Flood、 （M）Strea

4、m Flood等攻击产生的大量垃圾数据包，一方面大量占用网络带宽，另一方面会造成边界路由器和核心交换机等网络设备的有效数据转发能力下降，甚至会出现核心路由器和交换机因负荷过载而造成转发延迟增大和数据包丢包率上升等问题。同时，针对服务器区域的HTTP Get Flood、UDP DNS Query Flood、CC等攻击会造成业务服务器和关键设备的服务质量下降甚至业务中断。面向应用层的攻击应用层的攻击之所以存在，通常是因为程序员是在严格的期限压力下发布的代码，他们并没有足够的时间来发现并解决将会导致安全漏洞的错误。此外，许多程序员未考虑到使用某些特定语言结构将会导致应用程序暴露在隐式攻击下。最后

5、，许多应用程序有着复杂的配置，缺乏经验的用户可能会在部署应用程序时启用了危险的选项，从而导致应用程序的安全性降低。应用层攻击的类型可以分为如下3种：利用编程错误应用程序的开发是一个复杂的过程，它不可避免地会产生编程错误。在某些情况下，这些错误可能会导致严重的漏洞，使得攻击者可以通过网络远程利用这些漏洞。这样的例子有：缓冲区溢出漏洞，它来自对不安全的C库函数的使用；以Web为中心的漏洞，如将未经清理的查询传递给后端数据库的Web服务器（这将导致SQL注入攻击），以及将直接来自客户端未经过滤的内容写入页面的站点（这将导致跨站脚本或XSS攻击）。利用信任关系有些攻击利用的是信任关系而不是应用程序的错

6、误。对与应用程序本身交互而言，这类攻击看上去是完全合法的，但它们的目标是信任这些应用程序的用户。钓鱼式攻击就是一个这样的例子，它的目标并不是Web应用程序或邮件服务器，而是访问钓鱼网站或电子邮件信息的用户。耗尽资源像网络层或传输层的DoS攻击一样，应用程序有时候也会遭受到大量数据输入的攻击。这类攻击将使得应用程序不可使用。虚拟化安全风险随着云计算的迅速发展，传统的数据中心也在向“云”迈近，首先的一步便是虚拟化技术的应用。虚拟化技术是生成一个和真实系统行为一样的虚拟机器，虚拟机像真实操作系统一样，同样存在软件漏洞与系统漏洞，也会遭到病毒木马的侵害。而且宿主机的安全问题同样需要得到重视。一直以来无

7、论虚拟化厂商或安全厂商都将安全的关注点放在虚拟机系统和应用层面，直到 “毒液”安全漏洞的出现，才将人们的目光转移到宿主机，由于宿主机系统本身也都是基于Windows或Linux系统进行底层重建，因此宿主机不可避免的会面对此类漏洞和风险问题，一旦宿主机的安全防护被忽略，黑客可以直接攻破虚拟机，从而造成虚拟机逃逸。所以，宿主机的安全问题是虚拟化安全的根基。另外虚拟化技术带来了弹性扩展这一优秀特性，是通过虚拟机漂移技术来实现，当宿主机资源消耗过高或者出现故障时，为了保证虚拟机上的业务稳定，虚拟机会漂移到其他的宿主机上。企业的数据中心在虚拟化后，一旦发生虚拟机漂移，原有安全管理员配置好的安全域将被完全

8、打破，甚至会出现部分物理服务器和虚拟机服务器处于同一个安全域这样的情况，而依靠传统防火墙和VLAN的方式将没有办法维持原来的安全域稳定，使得安全域混乱，安全管理出现风险因此基于虚拟化环境自身的特性，数据中心需要充分考虑虚拟化的引入为企业带来的相应的风险，根据各个风险点带来的问题及威胁建设针对性的防护方案，以保障企业数据的安全及业务系统的平稳运行。APT攻击风险传统的防病毒软件可以一定程度的解决已知病毒、木马的威胁，但对于越来越多的APT攻击却束手无策。APT很多攻击行为都会利用0day漏洞进行网络渗透和攻击，且具有持续性及隐蔽性。此种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后

9、长期蛰伏，不断收集各种信息，直到收集到重要情报。更加危险的是，这些新型的攻击和威胁主要针对大型企业、国家重要的基础设施或者具有核心利益的网络基础设施。由于APT特种木马的免疫行为，所以传统的防病毒软件以及安全控管措施和理念很难有效应对APT攻击。数据泄露风险数据泄漏是数据中心最为广泛的担忧之一。尤其是对公众提供服务的数据中心，涉及大量用户敏感信息等关键数据库的存储，并开放多方接口供不同平台、机构调用，很多威胁场景都可能会导致敏感数据的丢失和泄漏。近年来各种机构被“拖库”事件频繁发生，数据中心关键数据的高密度聚合对潜在的攻击者具有极大的诱惑力，数据安全面临巨大的挑战。安全运维的挑战随着技术和应用

10、的演进，让今天的IT环境和过去相比，已经发生了巨大的变迁，而相应的安全运维管理重点，也从过去的“设备监控、告警程序”，转变为对企业业务发展的关注和支撑。传统的“安全运维”存在着诸多的问题需要解决。 多种安全设备，不同的报警，如何整合？在大中型企业的网络系统中，为了确保系统的稳健运行，通常会采用多种安全技术手段和安全产品，比如防火墙系统、入侵检测系统、防病毒系统等，都是安全基础设施。在实际的运维过程中，这些不同种类、不同厂家的安全产品会给技术人员带来不小的麻烦-各个安全系统相对孤立，报警信息互不关联，策略和配置难于协调。当一个报警事件产生时，不知道该如何处理。海量的事件、海量的日志，如何分析存储

11、？对于数据中心的规模来说，各类网络设备、安全设备、服务器都会产生海量的日志。从海量数据中对日志进行快速分析，这要求本地具备海量的数据存储能力、检索能力和多维度关联能力，而传统的数据存储和检索技术很难达到这样的要求。例如：在一个中型规模的企业中记录全年的网络出口流量，大约有2000亿条日志，需要约300多TB的存储空间，如果使用传统的检索技术进行一次条件检索，大概需要几个小时的时间。这种效率明显不能满足攻击行为分析的需求。如何体现安全运维的价值？安全运维是很枯燥的工作，运维人员整天面对滚动的监控屏幕，各种碎片化的告警，复杂的报表，责任重大，压力巨大，但工作成果却很难体现。究其原因还是缺少自动化、

12、结构化、可视化的管理工具，导致安全运维效率低下，难以快速感知整体的安全态势。3.方案思路总体思路基于数据中心的业务需求，以及数据中心面临的安全问题，很难通过一次安全建设将数据中心面临的所有风险解决；同时，安全风险也是动态发展变化的，因此我们的解决方案也需要随着数据中心的安全需求变化不断完善和发展。从云提供商的角度来看，传统模式下的网络安全需求并没有什么变化，无论从信息安全的保密性、完整性、可用性，还是根据网络层次划分的从物理层到应用层安全，仍然是需要解决的问题。在云计算时代数据中心信息安全架构时，不能像传统IDC系统集成或者安全集成那样，头痛医头，脚痛医脚，而应该充分结合虚拟化的特点来系统地进

13、行规划，考虑数据中心外围物理实体以及虚拟化平台环境的各类安全需求和特性，从而达到各类安全产品、安全管理、整体安全策略的统一，发挥最大的效率。在设计数据中心安全建议方案时，充分利用现有国内和国际安全标准和成熟的安全体系，结合系统的实际需求，利用在安全领域的成熟经验，设计出一个有针对性的安全设计方案。解决思路如下：1） 对数据中心进行安全域划分，根据各区域的业务特性、技术特性以及安全需求进行对应的安全防护设计；2） 要充分考虑网络层、操作系统层、虚拟化层、应用层以及数据层的安全防护需求，特别是虚拟化等新技术带来的问题。3） 强调安全运营的价值，实现预警、检测、响应、溯源的闭环流程；设计原则业务保障

14、原则：安全体系的设计目标是能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。结构简化原则：安全架构规划的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。比如，安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全域的管理过于复杂和困难。立体协防原则：应避免形成各个安全产品独立割裂的安全体系，充分利用威胁情报和大数据等新技术，实现网络、终端、边界的立体协防机制。等级保护原则：根据业务系统的重要程度以及考虑风险威胁、安全需求、安全成本等因素，将其划为不同的安全保护等级并采取相应的安全保护技术、管理措施。可扩展性原则：当有新的业务系统需要接入数据中心时，可按照等级保护、对端可信度等原则将其分别划分至不同安全等级域的各个子域。可管理性原则：应当采用集中化、自动化、智能化的安全管理手段，减轻安全的负担，同时减小因为管理上的疏漏而对系统安全造成的威胁。4.方案设计安全域划分安全域划分的目的是从信息安全的角度来对企业信息系统进行拆分。以业务系统为核心，