没有合适的资源?快使用搜索试试~ 我知道了~
数据中心安全建设方案.docx
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 126 浏览量
2022-07-10
07:36:47
上传
评论
收藏 107KB DOCX 举报
温馨提示
试读
22页
数据中心安全建设方案.docx数据中心安全建设方案.docx数据中心安全建设方案.docx数据中心安全建设方案.docx数据中心安全建设方案.docx数据中心安全建设方案.docx数据中心安全建设方案.docx数据中心安全建设方案.docx
资源推荐
资源详情
资源评论
数 据 中 心 安 全
解决方案
目录
第一章 解决方案
1.1 建设需求
XXX 用户经过多年的信息化建设,各项业务都顺利的开展起来了,数据中
心已经积累了很多宝贵的数据,这些无形的资产比硬件资产还重要,但它们却面
临着非常大的安全挑战。
在早期的系统建设过程中,大多用户不会考虑数据安全、应用安全层面的问
题,经过多年的发展,数据中心越来越庞大,业务越来越复杂,但信息安全完全
没有配套建设,经常会发生一些安全事件,如:数据库的表被人删除了、主机密
码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况,而这些
安全事件往往都是特权用户从后台直接操作的,非常隐蔽,这时候往往无从查起。
其实,信息安全建设在系统的设计初期开始,就应该要介入,始终贯穿其中,
这样花费的人力物力才是最小。当一个系统建成后,发现问题了,回头再来考虑
安全建设,这样投入的成本将会变得最大。
1.2 建设思路
数据中心的安全体系建设并非安全产品的堆砌,它是一个根据用户具体业务
环境、使用习惯、安全策略要求等多个方面构建的一套生态体系,涉及众多的安
全技术,实施过程需要涉及大量的调研、咨询等工作,还会涉及到众多的安全厂
家之间的协调、产品的选型,安全系统建成后怎么维持这个生态体系的平衡,是
一个复杂的系统工程,一般建议分期投资建设,从技术到管理,逐步实现组织的
战略目标。
整体设计思路是将需要保护的核心业务主机包及数据库围起来,与其他网络
区域进行逻辑隔离,封闭一切不应该暴漏的端口、IP,在不影响现有业务的情况
下形成数据孤岛,设置固定的数据访问入口,对入口进行严格的访问控制及审计。
由之前的被动安全变为主动防御,控制安全事故的发生,对接入系统的人员进行
有效的认证、授权、审计,让敏感操作变得更加透明,有效防止安全事件的发生。
在访问入口部署防火墙、账号生命周期管理系统、数据加密系统、令牌认证
系统、审计系统等安全设施,对所有外界向核心区域主机发起的访问进行控制、
授权、审计,对流出核心区域的批量敏感数据进行加密处理,所有加密的数据将
被有效的包围在安全域之内,并跟踪数据产生、扭转、销毁的整个生命周期,杜
绝敏感数据外泄及滥用行为。
为了保证 XXX 用户的业务连续性,各安全子系统都采用旁路的方式部署到
网络当中,其中账号生命周期管理系统、审计系统、数据库都采用双机的模式,
以提供自身的高可靠性;加密系统、特权账号生命周期管理系统、令牌认证系统
都建议部署在 VMware 云计算平台上,利用 VMware 强大的服务器虚拟化能力
为防泄密系统提供良好的可靠性与可扩展性保证。
1.3
总体方案
信息安全系统整体部署架构图
1、在核心交换机上部署防护墙模块或独立防火墙,把重要的主机、数据库
与其他子网进行逻辑隔离,划分安全区域,对不必要的端口进行封闭,隔离终端
IP 对数据中心可达。
2、在终端汇聚的交换机上旁路部署 IP 准入控制系统,实现非法外联、IP
实名制,对接入内网的终端进行有效的控制。
3、部署主机账号管理系统,限制所有终端对主机的访问只能通过管理系统
发起,并对 Telnet、SSH、RDP 等访问过程进行控制、审计,防止终端将数据从
主机上私自复制到本地硬盘,防止误操作。
4、部署数据账号管理系统,对数据库访问工具(PL-SQL)、FTP 工具等常
用维护工具进行统一的发布,对前台数据库访问操作进行审计记录,把数据包围
在服务器端。对下载数据行为进行严格控制,并对提取的数据进行加密处理。
5、部署加密系统(DLP),对所有流出数据中心的数据进行自动加密处理,
并对数据的产生、扭转、编辑、销毁进行生命周期管理。
6、部署数据库审计系统,对数据库访问行为进行审计,监控敏感数据访问
情况,监控数据库操作行为,记录数据库后台变化情况,事后回查。
7、在生产库与测试库之间部署数据脱敏系统,对从在线库抽取的数据进行
自动脱敏,再导入测试库,避免数据泄露。对后台访问在线库的人群进行权限管
理,对访问的敏感字段进行自动遮罩。
8、部署应用内嵌账号管理系统,对应用系统内嵌的特权账号进行有效的托
管,实现账号的定期修改、密码强度、密码加密等安全策略。
9、部署令牌认证系统,对登入数据中心区的用户使用双因素认证,确认访
问数据中心者的身份,杜绝账号共用现象。
10、部署云计算平台,为防泄密系统提供良好的运行环境。云计算平台提高
了系统的可靠性、可扩展性,减少宕机时间,降低维护成本。
11、所有系统都采用活动目录认证,并加以动态令牌做为双因素认证,实现
对用户身份的准确鉴别。
1.3.1 IP 准入控制系统
现在国内外,有很多厂商推出自己的准入控制系统解决方案,目的就是为了
在终端接入网络前对其进行安全检查,只允许合法的用户接入到网络当中,避免
随意接入网络给系统带来风险。主流的解决方案有两种方式,旁路部署方式都是
基于的,需要跟交换机做联动;串接的部署方式不需要与交换机联动,但会给网
络的通过性与性能带来挑战,采用的用户不多。这些解决方案,在复杂的中国环
境部署成功的并不多,要么网络条件非常好,交换机都支持,要么网络非常扁平
化,终端都可以收敛到同一个出口。
IP 地址管理困难:接入 Intranet 的计算机设备都需要一个合法的 IP 地址,IP
地址的分配和管理是一件令网络管理人员头疼的事情,IP 地址、MAC 地址、计
算机名冒用、滥用现象广泛存在,而管理人员缺乏有效的监控手段。局域网上若
有两台主机 IP 地址相同,则两台主机相互报警,造成应用混乱。因此,IP 地址
盗用与冲突成了网管员最头疼的问题。当几百台、甚至上千台主机同时上网,如
何控制 IP 地址盗用与冲突更是当务之急。
在实际中,网络管理员为入网用户分配和提供的 IP 地址,只有通过客户进
行正确地注册后才有效。?这为终端用户直接接触 IP 地址提供了一条途径。由于
剩余21页未读,继续阅读
资源评论
คิดถึง643
- 粉丝: 3879
- 资源: 1万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 多机调度问题贪心算法:理论探索与实践应用.zip
- 探索tecreate:软件开发的未来之星.zip
- 打标机项目C#源码连接扫码
- 基于SSM的房屋租赁系统的设计与实现
- xyctf:从入门到精通的实用指南.zip
- mmqrcode1714153659780.png
- Screenshot_2024-04-27-06-08-58-486_com.baidu.xin.aiqicha.jpg
- 基于Javaweb+Tomcat+MySQL的大学生公寓管理系统+sql文件.zip
- 实训作业基于javaweb的订单管理系统源码+数据库+实训报告.zip
- 多机调度问题贪心算法基于最小堆和贪心算法求解多机调度问题.zip
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功