数据中心安全建设方案.docx资源-CSDN文库

版权申诉

126 浏览量 2022-07-10 07:36:47 上传评论收藏 107KB DOCX 举报

资源推荐

资源详情

资源评论

数据中心安全

解决方案

第一章解决方案

1.1 建设需求

XXX 用户经过多年的信息化建设，各项业务都顺利的开展起来了，数据中

心已经积累了很多宝贵的数据，这些无形的资产比硬件资产还重要，但它们却面

临着非常大的安全挑战。

在早期的系统建设过程中，大多用户不会考虑数据安全、应用安全层面的问

题，经过多年的发展，数据中心越来越庞大，业务越来越复杂，但信息安全完全

没有配套建设，经常会发生一些安全事件，如：数据库的表被人删除了、主机密

码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况，而这些

安全事件往往都是特权用户从后台直接操作的，非常隐蔽，这时候往往无从查起。

其实，信息安全建设在系统的设计初期开始，就应该要介入，始终贯穿其中，

这样花费的人力物力才是最小。当一个系统建成后，发现问题了，回头再来考虑

安全建设，这样投入的成本将会变得最大。

1.2 建设思路

数据中心的安全体系建设并非安全产品的堆砌，它是一个根据用户具体业务

环境、使用习惯、安全策略要求等多个方面构建的一套生态体系，涉及众多的安

全技术，实施过程需要涉及大量的调研、咨询等工作，还会涉及到众多的安全厂

家之间的协调、产品的选型，安全系统建成后怎么维持这个生态体系的平衡，是

一个复杂的系统工程，一般建议分期投资建设，从技术到管理，逐步实现组织的

战略目标。

整体设计思路是将需要保护的核心业务主机包及数据库围起来，与其他网络

区域进行逻辑隔离，封闭一切不应该暴漏的端口、IP，在不影响现有业务的情况

下形成数据孤岛，设置固定的数据访问入口，对入口进行严格的访问控制及审计。

由之前的被动安全变为主动防御，控制安全事故的发生，对接入系统的人员进行

有效的认证、授权、审计，让敏感操作变得更加透明，有效防止安全事件的发生。

在访问入口部署防火墙、账号生命周期管理系统、数据加密系统、令牌认证

系统、审计系统等安全设施，对所有外界向核心区域主机发起的访问进行控制、

授权、审计，对流出核心区域的批量敏感数据进行加密处理，所有加密的数据将

被有效的包围在安全域之内，并跟踪数据产生、扭转、销毁的整个生命周期，杜

绝敏感数据外泄及滥用行为。

为了保证 XXX 用户的业务连续性，各安全子系统都采用旁路的方式部署到

网络当中，其中账号生命周期管理系统、审计系统、数据库都采用双机的模式，

以提供自身的高可靠性；加密系统、特权账号生命周期管理系统、令牌认证系统

都建议部署在 VMware 云计算平台上，利用 VMware 强大的服务器虚拟化能力

为防泄密系统提供良好的可靠性与可扩展性保证。

1.3

总体方案

信息安全系统整体部署架构图

1、在核心交换机上部署防护墙模块或独立防火墙，把重要的主机、数据库

与其他子网进行逻辑隔离，划分安全区域，对不必要的端口进行封闭，隔离终端

IP 对数据中心可达。

2、在终端汇聚的交换机上旁路部署 IP 准入控制系统，实现非法外联、IP

实名制，对接入内网的终端进行有效的控制。

3、部署主机账号管理系统，限制所有终端对主机的访问只能通过管理系统

发起，并对 Telnet、SSH、RDP 等访问过程进行控制、审计，防止终端将数据从

主机上私自复制到本地硬盘，防止误操作。

4、部署数据账号管理系统，对数据库访问工具（PL-SQL）、FTP 工具等常

用维护工具进行统一的发布，对前台数据库访问操作进行审计记录，把数据包围

在服务器端。对下载数据行为进行严格控制，并对提取的数据进行加密处理。

5、部署加密系统（DLP），对所有流出数据中心的数据进行自动加密处理，

并对数据的产生、扭转、编辑、销毁进行生命周期管理。

6、部署数据库审计系统，对数据库访问行为进行审计，监控敏感数据访问

情况，监控数据库操作行为，记录数据库后台变化情况，事后回查。

7、在生产库与测试库之间部署数据脱敏系统，对从在线库抽取的数据进行

自动脱敏，再导入测试库，避免数据泄露。对后台访问在线库的人群进行权限管

理，对访问的敏感字段进行自动遮罩。

8、部署应用内嵌账号管理系统，对应用系统内嵌的特权账号进行有效的托

管，实现账号的定期修改、密码强度、密码加密等安全策略。

9、部署令牌认证系统，对登入数据中心区的用户使用双因素认证，确认访

问数据中心者的身份，杜绝账号共用现象。

10、部署云计算平台，为防泄密系统提供良好的运行环境。云计算平台提高

了系统的可靠性、可扩展性，减少宕机时间，降低维护成本。

11、所有系统都采用活动目录认证，并加以动态令牌做为双因素认证，实现

对用户身份的准确鉴别。

1.3.1 IP 准入控制系统

现在国内外，有很多厂商推出自己的准入控制系统解决方案，目的就是为了

在终端接入网络前对其进行安全检查，只允许合法的用户接入到网络当中，避免

随意接入网络给系统带来风险。主流的解决方案有两种方式，旁路部署方式都是

基于的，需要跟交换机做联动；串接的部署方式不需要与交换机联动，但会给网

络的通过性与性能带来挑战，采用的用户不多。这些解决方案，在复杂的中国环

境部署成功的并不多，要么网络条件非常好，交换机都支持，要么网络非常扁平

化，终端都可以收敛到同一个出口。

IP 地址管理困难：接入 Intranet 的计算机设备都需要一个合法的 IP 地址，IP

地址的分配和管理是一件令网络管理人员头疼的事情，IP 地址、MAC 地址、计

算机名冒用、滥用现象广泛存在，而管理人员缺乏有效的监控手段。局域网上若

有两台主机 IP 地址相同，则两台主机相互报警，造成应用混乱。因此，IP 地址

盗用与冲突成了网管员最头疼的问题。当几百台、甚至上千台主机同时上网，如

何控制 IP 地址盗用与冲突更是当务之急。

在实际中，网络管理员为入网用户分配和提供的 IP 地址，只有通过客户进

行正确地注册后才有效。?这为终端用户直接接触 IP 地址提供了一条途径。由于

剩余21页未读，继续阅读

评论收藏

内容反馈

版权申诉

คิดถึง643

粉丝: 3879
资源: 1万+

数据中心安全建设方案.docx

数据中心建设方案

数据中心安全管理建设方案.docx

智慧旅游大数据中心和智慧旅游监管平台建设方案.docx

数据中心云安全建设方案.docx

数据中心平台建设方案.docx

大数据中心建设方案.docx

大数据中心市级信息系统网络安全等保三级安全服务信息化整体建设方案.docx

银行数据中心建设方案.docx

经济社会发展数据中心平台建设方案.docx

数据中心机房建设方案.docx

数据中心网络建设方案.docx

智慧城市云数据中心建设技术方案.docx

KepOPC DA2UA实现从OPCDA到OPCUA的转换及读写互操作

Midjourney-关键词大全

“未来工厂”建设导则.pdf

2024年Java基础面试题，附带详细解析答案

腾讯QQ秀立项调研PPT

5G介绍PPT.pptx

海盗派测试分析.pdf

2024年最新最全面的Java后端面试资料

最新资源