《数据中心安全管理解决方案(纯方案24页).docx》由会员分享,可在线阅读,更多相关《数据中心安全管理解决方案(纯方案24页).docx(23页珍藏版)》请在第一文库网上搜索。
1、数据中心安全解决方案目录第一章解决方案21.1 建设思路21.2 建设需求21.3 总体方案31.3.1 IP准入控制系统51.3.2 防泄密技术的选择61.3.3 主机账号生命周期管理系统61.3.4 数据库账号生命周期管理系统71.3.5 双因素认证系统81.3.6 数据库审计系统81.3.7 数据脱敏系统91.3.8 应用内嵌账号管理系统101.3.9 云计算平台131.3.10 防火墙131.3.11 统一安全运营平台141.3.12 安全运维服务161.4 实施效果161.4.1 针对终端接入的管理161.4.2 针对敏感数据的使用管理171.4.3 针对敏感数据的访问管理181.4
2、.4 针对主机设备访问的管理181.4.5 针对数据库访问的管理191.4.6 针对管理的优化201.4.7 针对数据库的审计201.4.8 安全运营的规范221.4.9 针对应用内嵌账号的管理23第一章解决方案1.1 建设思路数据中心的安全体系建设并非安全产品的堆砌,它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系,涉及众多的安全技术,实施过程需要涉及大量的调研、咨询等工作,还会涉及到众多的安全厂家之间的协调、产品的选型,安全系统建成后怎么维持这个生态体系的平衡,是一个复杂的系统工程,一般建议分期投资建设,从技术到管理,逐步实现组织的战略目标。整体设计思路是将
3、需要保护的核心业务主机包及数据库围起来,与其他网络区域进行逻辑隔离,封闭一切不应该暴漏的端口、IP,在不影响现有业务的情况下形成数据孤岛,设置固定的数据访问入口,对入口进行严格的访问控制及审计。由之前的被动安全变为主动防御,控制安全事故的发生,对接入系统的人员进行有效的认证、授权、审计,让敏感操作变得更加透明,有效防止安全事件的发生。在访问入口部署防火墙、账号生命周期管理系统、数据加密系统、令牌认证系统、审计系统等安全设施,对所有外界向核心区域主机发起的访问进行控制、授权、审计,对流出核心区域的批量敏感数据进行加密处理,所有加密的数据将被有效的包围在安全域之内,并跟踪数据产生、扭转、销毁的整个
4、生命周期,杜绝敏感数据外泄及滥用行为。为了保证XXX用户的业务连续性,各安全子系统都采用旁路的方式部署到网络当中,其中账号生命周期管理系统、审计系统、数据库都采用双机的模式,以提供自身的高可靠性;加密系统、特权账号生命周期管理系统、令牌认证系统都建议部署在VMware云计算平台上,利用VMware强大的服务器虚拟化能力为防泄密系统提供良好的可靠性与可扩展性保证。1.2 建设需求XXX用户经过多年的信息化建设,各项业务都顺利的开展起来了,数据中心已经积累了很多宝贵的数据,这些无形的资产比硬件资产还重要,但它们却面临着非常大的安全挑战。在早期的系统建设过程中,大多用户不会考虑数据安全、应用安全层面
5、的问题,经过多年的发展,数据中心越来越庞大,业务越来越复杂,但信息安全完全没有配套建设,经常会发生一些安全事件,如:数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况,而这些安全事件往往都是特权用户从后台直接操作的,非常隐蔽,这时候往往无从查起。其实,信息安全建设在系统的设计初期开始,就应该要介入,始终贯穿其中,这样花费的人力物力才是最小。当一个系统建成后,发现问题了,回头再来考虑安全建设,这样投入的成本将会变得最大。1.3 总体方案信息安全系统整体部署架构图政务网互联单“外3BDMZ区内网核心交换机核心防火墙数据脱敏开发测试区开发I第三方接入区I核心区
6、-数据中心誓iDsTS1双因素翻据防泄露、亩计网准入、接口理安全运营中心可视化心DDOS逐觎PSPPWeb应用防火墙VPN艰【边照全一建立集中的数据中心安全运营管理逻辑上将人与目标设备分离,全局唯一身份标识,隐藏设备管理帐号空码;将数据包围在数据中心,离线数据以脱敏或加密的方式存在;转变传统IT安全的搬动响应模式,建立面向用户的集中、主动的安全管控模式;1、在核心交换机上部署防护墙模块或独立防火墙,把重要的主机、数据库与其他子网进行逻辑隔离,划分安全区域,对不必要的端口进行封闭,隔离终端IP对数据中心可达。2、在终端汇聚的交换机上旁路部署IP准入控制系统,实现非法外联、IP实名制,对接入内网的
7、终端进行有效的控制。3、部署主机账号管理系统,限制所有终端对主机的访问只能通过管理系统发起,并对Te1net、SSH.RDP等访问过程进行控制、审计,防止终端将数据从主机上私自复制到本地硬盘,防止误操作。4、部署数据账号管理系统,对数据库访问工具(P1-SQ1)、FTP工具等常用维护工具进行统一的发布,对前台数据库访问操作进行审计记录,把数据包围在服务器端。对下载数据行为进行严格控制,并对提取的数据进行加密处理。5、部署加密系统(D1P),对所有流出数据中心的数据进行自动加密处理,并对数据的产生、扭转、编辑、销毁进行生命周期管理。6、部署数据库审计系统,对数据库访问行为进行审计,监控敏感数据访
8、问情况,监控数据库操作行为,记录数据库后台变化情况,事后回查。7、在生产库与测试库之间部署数据脱敏系统,对从在线库抽取的数据进行自动脱敏,再导入测试库,避免数据泄露。对后台访问在线库的人群进行权限管理,对访问的敏感字段进行自动遮罩。8、部署应用内嵌账号管理系统,对应用系统内嵌的特权账号进行有效的托管,实现账号的定期修改、密码强度、密码加密等安全策略。9、部署令牌认证系统,对登入数据中心区的用户使用双因素认证,确认访问数据中心者的身份,杜绝账号共用现象。10、部署云计算平台,为防泄密系统提供良好的运行环境。云计算平台提高了系统的可靠性、可扩展性,减少宕机时间,降低维护成本。11、所有系统都采用活
9、动目录认证,并加以动态令牌做为双因素认证,实现对用户身份的准确鉴别。1.3.1 IP准入控制系统现在国内外,有很多厂商推出自己的准入控制系统解决方案,目的就是为了在终端接入网络前对其进行安全检查,只允许合法的用户接入到网络当中,避免随意接入网络给系统带来风险。主流的解决方案有两种方式,旁路部署方式都是基于802.1X的,需要跟交换机做联动;串接的部署方式不需要与交换机联动,但会给网络的通过性与性能带来挑战,采用的用户不多。这些解决方案,在复杂的中国环境部署成功的并不多,要么网络条件非常好,交换机都支持802.IX,要么网络非常扁平化,终端都可以收敛到同一个出口。IP地址管理困难:接入Intra
10、net的计算机设备都需要一个合法的IP地址,IP地址的分配和管理是一件令网络管理人员头疼的事情,IP地址、MAC地址、计算机名冒用、滥用现象广泛存在,而管理人员缺乏有效的监控手段。局域网上若有两台主机IP地址相同,则两台主机相互报警,造成应用混乱。因此,IP地址盗用与冲突成了网管员最头疼的问题。当几百台、甚至上千台主机同时上网,如何控制IP地址盗用与冲突更是当务之急。在实际中,网络管理员为入网用户分配和提供的IP地址,只有通过客户进行正确地注册后才有效。这为终端用户直接接触IP地址提供了一条途径。由于终端用户的介入,入网用户有可能自由修改IP地址。改动后的IP地址在联网运行时可导致三种结果:非
11、法的IP地址,自行修改的IP地址不在规划的网段内,网络呼叫中断。重复的IP地址,与己经分配且正在联网运行的合法的IP地址发生资源冲突,无法链接。非法占用己分配的资源,盗用其它注册用户的合法IP地址(且注册该IP地址的机器未通电运行)联网通讯。IPScan能很好的控制非法的IP接入,并对内网已有的联网IP通过切断联网实现迅速快捷的控制,以很方便的方式实现内网安全威胁的最小化。IPSCan通过对IP/MAC的绑定,对每个IP地址都可以进行实时的监控,一旦发现非法的IP地址和某个IP地址进行非法操作的时候,都可以及时对这些IP地址进行操作,有效的防止IP冲突。产品是基于二层(数据链路层)的设计理念,
12、可以有效地控制ARP广播病毒,通过探测ARP广播包,可以自动阻止中毒主机大量发送ARP广播,从而保证了内网的安全。通过实现IP地址的绑定,从而变相的实现了网络实名制,在接入网络的终端都被授予唯一的IP地址,在网络中产生的所有日志将会变得非常有意义,它可以关联到是哪一个终端哪一个用户,能让安全日志产生定责的作用。1.3.2 防泄密技术的选择国外有良好的法律环境,内部有意泄密相对极少,对内部人员确认为可信,数据泄露主要来自外部入侵和内部无意间的泄密。因此,国外D1P(数据防泄漏)解决方案主要用来防止外部入侵和内部无意间泄密,可以解决部分问题,但无法防止内部主动泄密,只能更多地依赖管理手段。而国内环
13、境,法律威慑力小,追踪难度大,泄密者比较容易逃脱法律制裁,犯罪成本比较小;同时,国内各种管理制度不完善,内部人员无意间泄密的概率也比较大。国内D1P以加密权限为核心,从主动预防的立足点来防止数据泄露,对数据进行加密,从源头上进行控制。即使内部数据流失到外部,也因为已被加密而无法使用,从而保证了数据的安全。所以国内D1P既能防止内部泄密(包括内部有意泄密和无意泄密),同时也能防止外部入侵窃密。1.3.3 主机账号生命周期管理系统XXX用户局越来越多的业务外包给系统提供商或者其他专业代维公司,这些业务系统涉及了大量的公民敏感信息。如何有效地监控第三方厂商和运维人员的操作行为,并进行严格的审计是用户
14、现在面临的一个挑战。严格的规章制度只能约束一部分人的行为,只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行,在发生安全事件后,才能有效的还原事故现场,准确的定位到责任人。主机账号生命周期管理系统能帮助用户建立集中的和统一的主机运维管理平台,实现自动化的监控审计,对所有维护人员和支持人员的操作行为(Te1net、SSH、RDP、FTP、SFTP、VNC、KVM等协议)进行监控和跟踪审计,(实现对所有登录系统的人员的所有操作进行全面行为过程审计,达到对所访问主机的操作行为进行采集,以便实时监控和事后回放分析、重现和检索,以最大限度地减少运行事故、降低运行风险、进行责任追溯,不可抵赖。
15、同时提供直观的问题报告工具),防止敏感数据从物理层被窃取。按照规定,一段时间内必须修改一次主机及数据库的密码,以符合安全性要求,往往这些密码太多,修改一次也费时费力,还经常出现root密码修改后忘记的情况。很多时候,维护人员为了方便记忆密码,将密码记录在一个文件里,以明文方式保存在电脑上,即使文件加了个简单的密码,一旦这些数据泄漏,后果不堪设想。现在可采用主机账号生命周期管理系统进行密码托管,可以设定定期自动修改主机密码,不用人工干预了。既提高了信息安全工作的效率,又降低了管理成本,还降低了安全风险。1.3.4 数据库账号生命周期管理系统目前,XXX用户的支持人员及第三方维护人员都是采用P1/SQ1等工具对在线库或离线库进行直接操作,有的是通过业务系统的某些模块直接操作数据库,导致敏感数据可以直接被编辑、删除,无法对其进行集中控制。针对这种情况,目前较有效的解决方案是通过数据库账号生命周期管理系统来实现。通过账号生命周期管理系统的虚拟化技术,将有高风险的操作工具发布出来(如P1/SQ1、业务系统的主界面、C/S架构系统的客户端等),客户端零安装,用户对程序远程调用,避免真实数据的传输和漏泄,能实现避免数据的泄露、对重要操作进行全程跟踪审计、对重要命令进行预警。系统禁止所有操作终端与服务器之间的数据复制操
免费区 
