数据中心安全建设方案.docx

1、数据中心安全建设方案 数据中心安全 解决方案 1 目录 . 2 解决方案 .第一章 . 2 建设需求 .1.1 . 2 建设思路 .1.2 . 3 总体方案 .1.3 . 51.3.1 IP准入控制系统 . 6防泄密技术的选择 .1.3.2 . 6主机账号生命周期管理系统 .1.3.3 . 7数据库账号生命周期管理系统 .1.3.4 8.令牌认证系统 . 1.3.5 8 . 1.3.6 数据库审计系统 9 . 1.3.7 数据脱敏系统 0. 11.3.8 应用内嵌账号管理系统 3. 11.3.9 云计算平台 3. 11.3.10 防火墙 . 4. 11.3.11 统一安全运营平台 . 6. 1

2、1.3.12 安全运维服务 . 1. 6 实施效果 .1.4 16针对终端接入的管理 . 1.4.1 17针对敏感数据的使用管理 . 1.4.2 18 . 1.4.3 针对敏感数据的访问管理 81 . 1.4.4 针对主机设备访问的管理 9. 11.4.5 针对数据库访问的管理 0. 21.4.6 针对数据库的审计 2. 21.4.7 针对应用内嵌账号的管理 . 2. 21.4.8 安全运营的规范 . 23针对管理的优化 . 1.4.9 误！未定义书签。. .错第二章 项目预算及项目要求 误！未定义书签。. 错.2.1 项目预算 错误！未定义书签。.2.1.1 项目一期预算 . 误！未定义书签

3、。. . 错2.1.2 一期实现目标 错误！未定义书签。 2.2 项目要求. 误！未定义书签。. 2.2.1 用户环境配合条件.错 2 解决方案第一章 1.1 建设需求用户经过多年的信息化建设，各项业务都顺利的开展起来了，数据中XXX但它们却面这些无形的资产比硬件资产还重要，心已经积累了很多宝贵的数据， 临着非常大的安全挑战。应用安全层面的问大多用户不会考虑数据安全、在早期的系统建设过程中，题，经过多年的发展，数据中心越来越庞大，业务越来越复杂，但信息安全完全没有配套建设，经常会发生一些安全事件，如：数据库的表被人删除了、主机密而这些敏感数据泄露了、特权账号被第三方人员使用等等情况，码被人修改

4、了、 非常隐蔽，这时候往往无从查起。安全事件往往都是特权用户从后台直接操作的，始终贯穿其中，信息安全建设在系统的设计初期开始，就应该要介入，其实，回头再来考虑发现问题了，这样花费的人力物力才是最小。当一个系统建成后， 安全建设，这样投入的成本将会变得最大。 1.2 建设思路它是一个根据用户具体业务数据中心的安全体系建设并非安全产品的堆砌，涉及众多的安安全策略要求等多个方面构建的一套生态体系，环境、使用习惯、还会涉及到众多的安全厂实施过程需要涉及大量的调研、咨询等工作，全技术，是产品的选型，安全系统建成后怎么维持这个生态体系的平衡，家之间的协调、逐步实现组织的从技术到管理，一个复杂的系统工程，一

5、般建议分期投资建设， 战略目标。与其他网络整体设计思路是将需要保护的核心业务主机包及数据库围起来，在不影响现有业务的情况区域进行逻辑隔离，封闭一切不应该暴漏的端口、IP对入口进行严格的访问控制及审计。下形成数据孤岛，设置固定的数据访问入口，对接入系统的人员进行控制安全事故的发生，由之前的被动安全变为主动防御， 让敏感操作变得更加透明，授权、有效的认证、审计，有效防止安全事件的发生。 3 令牌认证数据加密系统、在访问入口部署防火墙、账号生命周期管理系统、系统、审计系统等安全设施，对所有外界向核心区域主机发起的访问进行控制、所有加密的数据将审计，对流出核心区域的批量敏感数据进行加密处理，授权、被有

6、效的包围在安全域之内，并跟踪数据产生、扭转、销毁的整个生命周期，杜 绝敏感数据外泄及滥用行为。用户的业务连续性，各安全子系统都采用旁路的方式部署到XXX为了保证网络当中，其中账号生命周期管理系统、审计系统、数据库都采用双机的模式，令牌认证系统特权账号生命周期管理系统、以提供自身的高可靠性；加密系统、强大的服务器虚拟化能力云计算平台上，利用VMware都建议部署在VMware 为防泄密系统提供良好的可靠性与可扩展性保证。 1.3 总体方案 信息安全系统整体部署架构图 4 、在核心交换机上部署防护墙模块或独立防火墙，把重要的主机、数据库1隔离终端对不必要的端口进行封闭，与其他子网进行逻辑隔离，划分

7、安全区域， 对数据中心可达。IPIP准入控制系统，实现非法外联、2、在终端汇聚的交换机上旁路部署IP 实名制，对接入内网的终端进行有效的控制。、部署主机账号管理系统，限制所有终端对主机的访问只能通过管理系统3等访问过程进行控制、审计，防止终端将数据从SSH、RDP发起，并对Telnet、 主机上私自复制到本地硬盘，防止误操作。工具等常、FTP4、部署数据账号管理系统，对数据库访问工具（PL-SQL）把数据包围对前台数据库访问操作进行审计记录，用维护工具进行统一的发布， 在服务器端。对下载数据行为进行严格控制，并对提取的数据进行加密处理。，对所有流出数据中心的数据进行自动加密处理，、部署加密系统

8、（5DLP） 并对数据的产生、扭转、编辑、销毁进行生命周期管理。、部署数据库审计系统，对数据库访问行为进行审计，监控敏感数据访问6 情况，监控数据库操作行为，记录数据库后台变化情况，事后回查。、在生产库与测试库之间部署数据脱敏系统，对从在线库抽取的数据进行7对后台访问在线库的人群进行权限管自动脱敏，再导入测试库，避免数据泄露。 理，对访问的敏感字段进行自动遮罩。、部署应用内嵌账号管理系统，对应用系统内嵌的特权账号进行有效的托8 管，实现账号的定期修改、密码强度、密码加密等安全策略。 5 、部署令牌认证系统，对登入数据中心区的用户使用双因素认证，确认访9 问数据中心者的身份，杜绝账号共用现象。云

9、计算平台提高部署云计算平台，为防泄密系统提供良好的运行环境。10、 了系统的可靠性、可扩展性，减少宕机时间，降低维护成本。、所有系统都采用活动目录认证，并加以动态令牌做为双因素认证，实现11 对用户身份的准确鉴别。 准入控制系统 1.3.1IP目的就是为了有很多厂商推出自己的准入控制系统解决方案，现在国内外，避免只允许合法的用户接入到网络当中，在终端接入网络前对其进行安全检查，旁路部署方式都是主流的解决方案有两种方式，随意接入网络给系统带来风险。的，需要跟交换机做联动；串接的部署方式不需要与交换机联动，802.1X基于在复杂这些解决方案，但会给网络的通过性与性能带来挑战，采用的用户不多。，80

10、2.1X的中国环境部署成功的并不多，要么网络条件非常好，交换机都支持 要么网络非常扁平化，终端都可以收敛到同一个出口。IP地址，的计算机设备都需要一个合法的IPIP地址管理困难：接入Intranet地址、计地址、MAC地址的分配和管理是一件令网络管理人员头疼的事情，IP局域网上若滥用现象广泛存在，而管理人员缺乏有效的监控手段。算机名冒用、地址地址相同，则两台主机相互报警，造成应用混乱。因此，IP有两台主机IP如甚至上千台主机同时上网，当几百台、盗用与冲突成了网管员最头疼的问题。 地址盗用与冲突更是当务之急。何控制IP地址，只有通过客户进IP在实际中，网络管理员为入网用户分配和提供的地址提供了一

11、条途径。由于IP 这为终端用户直接接触行正确地注册后才有效。地址在联网运地址。改动后的IPIP终端用户的介入，入网用户有可能自由修改 行时可导致三种结果： 地址不在规划的网段内，网络呼叫中断。IP地址，自行修改的IP非法的? 地址发生资源地址，与已经分配且正在联网运行的合法的IP重复的? IP 冲突，无法链接。IP地址盗用其它注册用户的合法 ?非法占用已分配的资源，IP（且注册该 6 地址的机器未通电运行）联网通讯。通过切断联网IPIP接入，并对内网已有的联网IPScan能很好的控制非法的通过IPScan实现迅速快捷的控制，以很方便的方式实现内网安全威胁的最小化。IP地址都可以进行实时的监控，

12、一旦发现非法的的绑定，对每个IP对IP/MAC，地址进行操作，都可以及时对这些IP地址和某个IP地址进行非法操作的时候，冲突。产品是基于二层（数据链路层）的设计理念，可以有效地IP有效的防止广播包，可以自动阻止中毒主机大量发送广播病毒，通过探测ARP控制ARP ARP广播，从而保证了内网的安全。地址的绑定，从而变相的实现了网络实名制，在接入网络的终通过实现IP地址，在网络中产生的所有日志将会变得非常有意义，它端都被授予唯一的IP 可以关联到是哪一个终端哪一个用户，能让安全日志产生定责的作用。 防泄密技术的选择1.3.2 国外有良好的法律环境，内部有意泄密相对极少，对内部人员确认为可信，（数据防

13、泄DLP数据泄露主要来自外部入侵和内部无意间的泄密。因此，国外但可以解决部分问题，漏）解决方案主要用来防止外部入侵和内部无意间泄密， 无法防止内部主动泄密，只能更多地依赖管理手段。而国内环境，法律威慑力小，追踪难度大，泄密者比较容易逃脱法律制裁，内部人员无意间泄密的概率同时，犯罪成本比较小；国内各种管理制度不完善，从主动预防的立足点来防止数据泄露，DLP以加密权限为核心，也比较大。国内也因为已被加即使内部数据流失到外部，对数据进行加密，从源头上进行控制。既能防止内部泄密（包DLP密而无法使用，从而保证了数据的安全。所以国内 ，同时也能防止外部入侵窃密。括内部有意泄密和无意泄密） 主机账号生命周

14、期管理系统1.3.3用户局越来越多的业务外包给系统提供商或者其他专业代维公司，这XXX如何有效地监控第三方厂商和运维人员些业务系统涉及了大量的公民敏感信息。严格的规章制度只并进行严格的审计是用户现在面临的一个挑战。的操作行为，只有通过严格的权限控制和操作审计才能确保安全管理能约束一部分人的行为， 7 准确的定位到才能有效的还原事故现场，制度的有效执行，在发生安全事件后， 责任人。主机账号生命周期管理系统能帮助用户建立集中的和统一的主机运维管理、Telnet实现自动化的监控审计，对所有维护人员和支持人员的操作行为（平台，（实现对等协议）进行监控和跟踪审计，、KVMFTP、SFTP、VNCSSH、

15、RDP、达到对所访问主机的操所有登录系统的人员的所有操作进行全面行为过程审计，以最大限度地减以便实时监控和事后回放分析、重现和检索，作行为进行采集，少运行事故、降低运行风险、进行责任追溯，不可抵赖。同时提供直观的问题报 告工具），防止敏感数据从物理层被窃取。以符合安全性要按照规定，一段时间内必须修改一次主机及数据库的密码，密码修改后忘求，往往这些密码太多，修改一次也费时费力，还经常出现root记的情况。很多时候，维护人员为了方便记忆密码，将密码记录在一个文件里，后一旦这些数据泄漏，以明文方式保存在电脑上，即使文件加了个简单的密码，可以设定定现在可采用主机账号生命周期管理系统进行密码托管，果不堪

16、设想。又降低既提高了信息安全工作的效率，期自动修改主机密码，不用人工干预了。 了管理成本，还降低了安全风险。 数据库账号生命周期管理系统1.3.4 等工具对用户的支持人员及第三方维护人员都是采用PL/SQL目前，XXX在线库或离线库进行直接操作，有的是通过业务系统的某些模块直接操作数据库，导致敏感数据可以直接被编辑、删除，无法对其进行集中控制。针对这种情通过账目前较有效的解决方案是通过数据库账号生命周期管理系统来实现。况，号生命周期管理系统的虚拟化技术，将有高风险的操作工具发布出来（如，客户端零安装，用户架构系统的客户端等）、业务系统的主界面、C/SPL/SQL对重要避免真实数据的传输和漏泄，

17、能实现避免数据的泄露、对程序远程调用， 操作进行全程跟踪审计、对重要命令进行预警。但操作人员经常需要系统禁止所有操作终端与服务器之间的数据复制操作，里面进行查询操作，如果是用手敲，势必会影响复制一段代码或脚本到PL/SQL只工作效率。这里就要求数据库账号生命周期管理系统具备单向数据流的控制， 8 这样既保留了禁止从系统上复制数据到本地磁盘，允许从终端复制数据到系统， 用户的使用习惯，又达到了安全的目的。需要将文件导出到如果支持人员要把数据保存到本地终端上进行二次处理，支持人员可以在指定的路径文件产生后会被自动加密处理，指定的存储路径上，同时在存储上保留有文件下载加密的文件到本地磁盘，并进行后期

18、的二次处理， 副本备查。需要将文件导如果支持人员需要把修改好的数据上传应用系统中或主机中，即可被应用系统或主机入到指定的存储路径上，文件上传后会被自动解密处理， 正常识别。 双因素认证系统1.3.5这就造一个账号多个人使用，目前，系统中的主机账号共用情况比较普遍，为了杜绝这种现而且静态的口令也容易被获取。成了事后难以定责的尴尬局面， 象，可采用双因素认证系统加强身份认证的管理。，如果主机数量Agent传统的方式是在每台需要保护的主机、数据库上启用用户局的解决XXX很多的话，配置工作量很大，维护起来很繁琐。我们推荐给大大减方案是将令牌认证系统与主机账号生命周期管理系统结合做双因素认证， 少了配置

19、工作量的同时，还满足了系统安全性要求。另外，对于所有重要的业务系统、安全系统，都应该采用双因素认证，以避 免账号共用情况，发生安全事件后，能准确的定责。 数据库审计系统 1.3.6数据库账号生命周期管理审计系统在整个系统中起到一个很好的补充作用。但对于但他只是记录前台的操作过程，系统虽然会记录所有操作数据库的行为，专业数据库审计系发生安全事件后快速定位、还原整个事件过程还是有些欠缺。记录敏感数据的访问、统会对数据库操作进行审计，记录数据库的日常操作行为，可以精确的使用操作命令在安全事件发生后，修改行为，会精确了每一个字符。提高了审计的效率。甚至可以组合几条信息来精确定位，来检索需要审计的信息，

20、让用户知道重要操作后数据库返回了它可以对数据库发生的所有变化进行回放， 9 可以很好的帮助用户恢复整个事件的原始轨迹，发生了什么变化，什么样的结果、数据库对象、（如操作命令、有助于还原参数及取证。并可可以深入到应用层协议并根据事先设置的安全策略采取诸如产实现细料度的安全审计，业务操作过程） 、提升风险等级。生告警记录、发送告警邮件（或短信） 数据脱敏系统1.3.7在我们的用户系统里面，存在着大量的敏感信息：公民数据、业务数据等，是需要尽量真实的数据来作为基础测试软件的一业务系统软件开发的最后阶段，对于基础数据的系列功能。尤其是用户系统这样的大型系统实施或开发的时候，但很多时候都是直接克隆生产环

21、境的数据来进行软件系统的测试，要求很严格，透过数首先它是一个真实的数据，是随之而来的影响却是深远的，生产数据中，不光是其次，在这当中包含很多敏感数据，据基本上掌握了整个数据库的资料。敏感数据，而且还是真实的敏感数据。如果在测试环境中发生了信息泄露问题， 那么对于用户数据安全将造成致命的后果。 近年来，政府行业重大的敏感数据泄漏事件时有发生，如下图所示： 核心数据脱敏模块的建设基于动态数据脱敏技术，通常是应用于生产系统，动态数据脱敏按照访问用户的角色执行不同当对数据库提出读取数据的请求时， 10 而非授权用户只如下图所示：授权用户可以读取完整的原始数据，的脱敏规则。 能看到脱敏后的数据。 应用内

22、嵌账号管理系统1.3.8 环境，在其中包含过个脚本，进程，应用程序需要访问多个平台IT复杂的应用程序和脚本会为了更好地访问这些资源，的资源和数据库中存取敏感信息。还有些帐号具有读写有些帐号只有只读权限，利用数据库上的帐号去获取数据，部门或者应用负权限。保护、管理和共享这类与应用程序相关的帐号成为了IT 责人的巨大挑战，也是放在用户面前的审计难题。这是一个严重的用户从不修改嵌入在应用程序内的帐号密码。42%调查表明同样也是直接导致运维效并且明显地违背了许多法律法规的要求，的安全风险， 率低下的主要原因。可以毫无控制地访问后应用程序的内嵌帐号通常也是具有非常高的权限的， 端系统。如果该帐号不有效管理起来，势必带来绕开常规管理流程的非法访问。 应用通过内置的数据库用户连接数据系统为例，前端BillingBill以上图的则可以用以更新数据库中相关记录。库，非授权的第三方人员一旦知晓该密码， 11 肆无忌惮地进入数据库，删除记录，修改数据。 如上描述，嵌入在应用程序中的密码会带来如下安全风险：而应用程密码需要定期修改。密码不定期修