数据中心安全域的设计和划分
数据中心安全域的设计和划分
安全区域(以下简称为安全域)是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络。安全域划分是保证网络及基础设施稳定正常的基础,也是保障业务信息安全的基础。
一、安全域设计方法
安全域模型设计采用"同构性简化"方法,基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成,这些网络结构元以拼接、递归等方式构造出一个大的网络。
一般来讲,对信息系统安全域(保护对象)的设计应主要考虑如下方面因素:
1.业务和功能特性。
①业务系统逻辑和应用关联性。
②业务系统对外连接。对外业务、支撑、内部管理。
2.安全特性的要求。
①安全要求相似性。可用性、保密性和完整性的要求。
②威胁相似性。威胁来源、威胁方式和强度。
③资产价值相近性。重要与非重要资产分离。
3.参照现有状况。
①现有网络结构的状况。现有网络结构、地域和机房等。
②参照现有的管理部门职权划分。
二、安全域设计步骤
一个数据中心内部安全域的划分主要有如下步骤:
1.查看网络上承载的业务系统的访问终端与业务主机的访问关系及业务主机之间的访问关系,若业务主机之间没有任何访问关系,则单独考虑各业务系统安全域的划分,若业务主机之间有访问关系,则几个业务系统一起考虑安全域的划分。
2.划分安全计算域。根据业务系统的业务功能实现机制、保护等级程度进行安全计算域的划分,一般分为核心处理域和访问域,其中数据库服务器等后台
处理设备归人核心处理域,前台直接面对用户的应用服务器归人访问域;局域网访问域可以有多种类型,包括开发区、测试区、数据共享区、数据交换区、第三方维护管理区、VPN接人区等;局域网的内部核心处理域包括数据库、安全控制管理、后台维护区(网管工作)等,核心处理域应具有隔离设备对该区域进行安全隔离,如防火墙、路由器(使用ACL)、交换机(使用VLAN)等。
3.划分安全用户域。根据业务系统的访问用户分类进行安全用户域的划分,访问同类数据的用户终端、需要进行相同级别保护划为一类安全用户域,一般分为管理用户域、内部用户域、外部用户域。
4.划分安全网络域。安全网络域是由连接具有相同安全等级的计算域和(或)用户域组成的网络域。网络域的安全等级的确定与网络所连接的安全用户域和(或)安全计算域的安全等级有关。一般同一网络内化分三种安全域:外部域、接人域、内部域。
三、安全域模型
该模型包含安全服务域、有线接人域、无线接入域、安全支撑域和安全互联域等五个安全区域。同一安全区域内的资产实施统一的保护,如进出信息保护机制、访问控制、物理安全特性等。
1.安全服务域。安全服务域是指由各信息系统的主机/服务器经局域网连接组成的存储和处理数据信息的区域。
2.有线接人域。有线接人域是指由有线用户终端及有线网络接人基础设施组成的区域。终端安全是信息安全防护的瓶颈和重点。
3.无线接人域。无线接人域是指由无线用户终端、无线集线器、无线访问节点、无线网桥和无线网卡等无线接人基础设施组成的区域。
4.安全支撑域。安全支撑域是指由各类安全产品的管理平台、监控中心、维护终端和服务器等组成的区域,实现的功能包括安全域内的身份认证、权限控制、病毒防护、补丁升级,各类安全事件的收集、整理、关联分析,安全审计,人侵检测,漏洞扫描等。
5.安全互联域。安全互联域是指由连接安全服务域、有线接人域、无线接入域、安全支撑域和外联网(Extranet)的互联基础设施构成的区域。
安全服务域细分为关键业务、综合业务、公共服务和开发测试等4个子域;安全互联域细分为局域网互联、广域网互联、外部网互联、因特网互联4个子域。
(一)、安全服务域划分
①等保三级的业务系统服务器划入关键业务子域,例如,财务管理系统。
②SAN集中存储系统划入关键业务子域,并在SAN存储设备上单独划分出物理/逻辑存储区域,分别对应关键业务子域、综合业务子域、公共服务子域、开发测试子域中的存储的空间。
③等保末达到三级的业务系统服务器划入综合业务子域,例如,人力资源、网站系统、邮件系统等业务系统服务器。
④提供网络基础服务的非业务系统服务器划入公共服务子域,例如,DNS 服务器、Windows域服务器等。
⑤用于开发和测试的服务器划分入开发测试子域。
(二)、有线接入域划分
所有有线用户终端及有线网络接入基础设施划入有线接入域。
(三)、无线接入域划分
所有无线用户终端和无线集线器、无线访问节点、无线网桥、无线网卡等无线接入基础设施划入无线接入域。
(四)、安全支撑域划分
各类安全产品的管理平台、监控中心、维护终端和服务器划入安全支撑域。
(五)、.安全互联域划分。
①局域网核心层、汇聚层互联设备和链路划入局域网互联子域。
②自主管理的综合数字网接入链路和接入设备,包含网络设备、安全设备和前端服务器划入广域网互联子域。
③自主管理的第三方合作伙伴网络接入链路和接入设备,包含网络设备、安全设备和前端服务器划入外部网互联子域。
④自主管理的因特网接入链路和接人设备,包含网络设备、安全设备和前端服务器划入因特网互联子域。
四、安全域互访原则
1.安全服务域、安全支撑域、有线接入域、无线接入域之间的互访必须经过
安全互联域,不允许直接连接。
2.关键业务子域、综合业务子域、公共服务子域、开发测试子与之间的互访必须经过安全互联域,不允许百接连接。
3.广域网互联子域、外部网互联子域、因特网互联子域和其他安全域或子域之间的互访必须经过安全互联域,不允许直接连接。
4.广域网互联子域、外部网互联子域、因特网互联子域之间的互访必须经过安全互联域,不允许直接连接。
同一安全子域,如关键业务子域、综合业务子域、基础业务子域、公共服务子域、开发测试子域内部的不同系统之间应采用VLAN进行隔离,VLAN间的路由应设置在核心或汇聚层设备上,不允许通过接人层交换机进行路由。
五、安全域边界整合
安全域之间互联接口数量越多,安全性越难以控制,因此,必须在保证各种互联需求的前提下对安全域边界进行合理整合,通过对系统接口的有效整理和归并,减少接口数量,提高接口规范性。边界整合最终要实现不同类别边界链路层物理隔离,边界设备(如交换机、路由器或防火墙等)实现硬件独立,杜绝混用现象。同时边界设备要满足冗余要求。
安全域边界整合的原则如下:
1.安全支撑域与安全互联域之间所有的互访接口整合为一个边界。
2.有线接入域与安全互联域之间所有的互访接口整合为一个边界。
3.安全互联域与外部网络之间所有的互访接口整合为三个边界,分别是:
①广域网互连子域与广域网之间所有的互访接口整合为一个边界。
②因特网互联子域与因特网之间所有的互访接口整合为一个边界。
③外部网互联子域与第三方网络之间所有的互访接口整合为一个边界。
4.安全服务域与安全互联域之间所有的互访接口整合为四个边界:关键业务子域边界、综合业务子域边界、公共服务子域边界、开发测试子域边界。
①关键业务子域与局域网互联子域之间所有的互访接口整合为一个边界。
②综合业务子域与局域网互联子域之间所有的互访接口整合为一个边界。
③公共服务子域与局域网互联子域之间所有的互访接口整合为一个边界。
④开发测试子域与局域网互联子域之间所有的互访接口整合为一个边界。
六、边界防护技术
目前常用的边界保护技术主要包括防火墙、接口服务器、病毒过滤、入侵防护、单向物理隔离、拒绝服务防护等。
1.防火墙。防火墙可以根据互联系统的安全策略对进出网络的信息流进行控制(允许、拒绝、监测)。防火墙作为不同网络或网络安全区域之间信息的出入口,能根据系统的安全策略控制出入网络的信息流,且具有较强的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和外部网之间的活动,保证内部网络的安全。
通过防火墙可以防止非系统内用户的非法入侵、过滤不安全服务及规划网络信息的流向。防火墙的重要作用是网络隔离和对用户进行访问控制,目的是防止对网络信息资源的非授权访问和操作,包括各个子网对上级网络,各个同级子网之间的非法访问和操作。这些访问控制,在物理链路一级的加密设备中很难实现,而防火墙则具有很强的安全网络访问控制能力,主要体现在它完善的访问控制策略上。
2.接口服务器。接口服务器的目的在于实现威胁等级高的系统访问威胁等级低的系统时,Server-Server间的通信。通过接口服务器,使防护等级高的系统中后台的核心服务器对威胁等级高的系统屏蔽,在向威胁等级高的系统访问时,看到的仅仅是应用接口服务器,这样对系统的防护更加有效,而且也更容易实现二者之间的访问控制,因此适用于威胁等级高的系统访问防护等级高的系统。这种保护方式需要与单层或双重异构防火墙结合进行部署。
类似设备,如堡垒主机、数据交换服务器等。
3.病毒过滤。病毒过滤一般采用全面的协议保护和内嵌的内容过滤功能,能够对SMTP、PUP3、IMAP、HTTP、FTP等应用协议进行病毒过滤以及采用关键字、URL过滤等方式来阻止非法数据的进入。由于数据流经历了完全的过滤检查,必然会使得其效率有所降低。
4.入侵防护。入侵防护是一种主动式的安全防御技术,它不仅能实时监控到各种恶意与非法的网络流量,同时还可以直接将有害的流量阻挡于所保护的网络之外,从而对其网络性能进行最佳的优化。入侵防护主要用来防护三种类
型的攻击:异常流量类防护、攻击特征类防护、漏洞攻击类防护。
5.单向物理隔离。物理隔离技术通常采用高速电子开关隔离硬件和专有协议,确保网络间在任意时刻物理链路完全断开。同时可以在两个相互物理隔离的网络间安全、高速、可靠地进行数据交换。
6.拒绝服务防护。拒绝服务防护一般包含两个方面:一是针对不断发展的攻击形式,能够有效地进行检测;二是降低对业务系统或者是网络的影响,保证业务系统的连续性和可用性。通常拒绝服务防护应能够从背景流量申精确的区分攻击流量、降低攻击对服务的影响、具备很强的扩展性和良好的可靠性。
7.认证和授权。基于数字证书,实现网络访问身份的高强度认证,保障网络边界的安全;只有通过数字证书校验的合法的、被授权的用户才可以接人网络,才可以访问后台的业务系统。
数据中心安全建设方案
数据中心安全建设方案
数据中心安全解决方案
目录 第一章解决方案 (2) 1.1建设需求 (2) 1.2建设思路 (2) 1.3总体方案 (3) 1.3.1 IP准入控制系统 (4) 1.3.2 防泄密技术的选择 (6) 1.3.3 主机账号生命周期管理系统 (6) 1.3.4 数据库账号生命周期管理系统.. 7 1.3.5 令牌认证系统 (7) 1.3.6 数据库审计系统 (8) 1.3.7 数据脱敏系统 (8) 1.3.8 应用内嵌账号管理系统 (9) 1.3.9 云计算平台 (12) 1.3.10 防火墙 (13) 1.3.11 统一安全运营平台 (13) 1.3.12 安全运维服务 (15) 1.4实施效果 (15) 1.4.1 针对终端接入的管理 (15) 1.4.2 针对敏感数据的使用管理 (16) 1.4.3 针对敏感数据的访问管理 (17) 1.4.4 针对主机设备访问的管理 (17)
1.4.5 针对数据库访问的管理 (18) 1.4.6 针对数据库的审计 (19) 1.4.7 针对应用内嵌账号的管理 (21) 1.4.8 安全运营的规范 (21) 1.4.9 针对管理的优化 (22) 第二章项目预算及项目要求 (23) 2.1项目预算 (23) 2.1.1 项目一期预算 (23) 2.1.2 一期实现目标 (24) 2.2项目要求 (25) 2.2.1 用户环境配合条件 (25)
第一章解决方案 1.1建设需求 XXX用户经过多年的信息化建设,各项业务都顺利的开展起来了,数据中心已经积累了很多宝贵的数据,这些无形的资产比硬件资产还重要,但它们却面临着非常大的安全挑战。 在早期的系统建设过程中,大多用户不会考虑数据安全、应用安全层面的问题,经过多年的发展,数据中心越来越庞大,业务越来越复杂,但信息安全完全没有配套建设,经常会发生一些安全事件,如:数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况,而这些安全事件往往都是特权用户从后台直接操作的,非常隐蔽,这时候往往无从查起。 其实,信息安全建设在系统的设计初期开始,就应该要介入,始终贯穿其中,这样花费的人力物力才是最小。当一个系统建成后,发现问题了,回头再来考虑安全建设,这样投入的成本将会变得最大。 1.2建设思路 数据中心的安全体系建设并非安全产品的堆砌,它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系,涉及众多的安全技术,实施过程需要涉及大量的调研、咨询等工作,还会涉及到众多的安全厂家之间的协调、产品的选型,安全系统建成后怎么维持这个生态体系的平衡,是一个复杂的系统工程,一般建议分期投资建设,从技术到管理,逐步实现组织的战略目标。 整体设计思路是将需要保护的核心业务主机包及数据库围起来,与其他网络区域进行逻辑隔离,封闭一切不应该暴漏的端口、IP,在不影响现有业务的情况下形成数据孤岛,设置固定的数据访问入口,对入口进行严格的访问控制及审计。由之前的被动安全变为主动防御,控制安全事故的发生,对接入系统
§1 网络安全概述
1.网络安全概述 1. 1. 网络安全的内涵 1. 1.1. 信息安全 信息安全——防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝使用所采取的措施(量度)。 e .w e e k @ 16 3. c o m 张 定 祥
1. 1. 2. 计算机网络 计算机网络——是地理上分散的多台自主计算机互联的集合,实现信息交换、资源共享、协同工作及在线处理等功能。 1. 1.3. 网络安全 网络安全概念 网络安全——是在分布式网络环境中,对信息载体(处理载体、存储载体、传输载体)和信息的处理、存储、传输、访问提供安全保护,以防止数据、信息内容或能力被非授权使用、篡改或拒绝服务。 从本质上来讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原 因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不 中断。网络安全涉及的内容既有技术方面的问题,也有管理方面的问 题,两方面相互补充,缺一不可。 网络安全的三个方面 ①自主计算机的安全; ②互联安全,即用以实现互联的通信设备、通信链路、网络软件、网络协议的安全; ③各种网络应用和服务的安全。 e .w e e k @ 16 3. c o m 张 定 祥
1. 1.4. 网络安全的基本属性 ①机密性 也称为保密性:信息不泄露、不被非授权者获取与使用。占有性 ②完整性 信息不被删除、添加、篡改、伪造。信息的真实性。 ③可用性 不宕机、不阻塞、能正常运行 1. 1.5. 网络信息安全性服务 ①机密性服务 机密性(confidentiality ): ? 保证信息与信息系统不被非授权者获取与使用 ? 保证系统不以电磁方式向外泄露信息 e .w e e k @ 16 3. c o m 张 定 祥
数据中心--医疗影像云云安全解决方案
目录 第1章项目建设背景与方案设计原则 (2) 第2章医疗影像云建设需求分析 (2) 2.1云平台的基础安全保障 (2) 2.2云环境下安全责任分类界定 (4) 2.3云环境下引入的特有安全需求 (5) 第3章医疗影像云云安全建设方案 (6) 3.1平台安全架构设计 (6) 3.2医院接入架构设计 (7) 3.2.1前置机接入安全设计 (7) 3.2.2专线接入安全设计 (7) 3.3平台安全区域边界设计 (8) 3.3.1网络接入域 (8) 3.3.2内网业务区 (8) 3.3.3安全管理区 (9) 3.4平台安全设备汇总 (9) 第4章医疗影像云云安全解决方案技术特点 (10) 4.1部署架构 (10) 4.1.1南北向安全服务流 (11) 4.1.2东西向安全服务流 (11) 4.2东西向安全服务设计 (11) 4.2.1安全服务交付形式 (11) 4.2.2安全服务交付内容 (12) 4.3南北向安全服务交付设计 (12) 4.3.1安全接入服务 (12) 4.3.2安全防御服务 (13) 4.3.3应用交付服务 (14)
第1章项目建设背景与方案设计原则 ◆统一规范 遵循在统一的框架体系下,参考国际国内各方面的标准与规范,严格遵从各项技术规定,做好整个医疗影像云系统的标准化设计与部署。 ◆成熟稳定 本次建设方案采用的是成熟稳定的技术和产品,确保能够适应各方面的需求,并满足未来业务增长及变化的需求。 ◆实用先进 为避免投资浪费,方案设计不仅要求能够满足目前业务使用的需求,还必须具备一定的先进性和发展潜力,具备纵向扩增以及平滑横向扩展的能力,以便IT基础架构在尽可能短的时间内与业务发展相适应。 ◆安全可靠 由于医疗影像云属于对医疗系统提供公共服务的云平台,因此针对平台自身业务熟悉,结合国家对云平台的相关建设要求和标准,本次云平台安全体系建设参考和采用以下相关国家标准: 信息系统安全保护等级定级指南(GB/T 22240-2008) 信息系统安全等级保护基本要求(GB/T 22239-2008) 信息系统安全等级保护实施指南(国家标准报批稿) 信息系统安全等级保护测评准则(国家标准报批稿) 信息系统等级保护基本要求-云计算要求-标准草案 第2章医疗影像云建设需求分析 2.1云平台的基础安全保障 云平台的基础安全保障,是云服务方所需承担的基本、必须义务。提供SAAS服务的云
运营商IT系统网络架构的安全域划分
运营商IT系统网络架构的安全域划分 京移通信设计院有限公司李玮 众所周知,网络安全框架一般可以分为安全管理框架和安全技术框架两大部分。安全管理框架的核心是制定安全策略,它是安全工作的标准和依据;安全技术框架的核心是积极防御,安全体系中的认证与授权、加密与完整性保护以及抗击与响应都应该围绕积极防御这一核心来组织的。对拥有众多IT系统的电信运营商而言,以积极防御为核心的安全技术框架不仅仅是针对一个具体的安全工程提出的解决方案或者是安全设备的部署,更应该是一个全面、立体、构架化的安全体系。安全体系的健康与否,关系到认证与授权是否能够做到对访问的主动控制,关系到加密与完整性保护是否能够主动避免主客体间信息交换被破坏或者遗失,关系到抗击与响应是否能够主动抵御主体对客体安全性的侵犯等一系列问题。 IT系统安全体系具体是由解决方案和安全设备部署构成的,二者都与运营商自身内部的IT系统局域网架构有关:安全解决方案需要根据IT系统局域网架构来具体定制;安全设备则需要部署在IT系统局域网上由其来承载。进一步而言,按照网络安全框架的要求,IT系统安全体系的基础工作就是搭建一个结构清晰、可靠实用、扩展灵活的内部局域网环境。只有基础的内部网络架构是科学合理的,才能够最终保证所部署的安全设备充分发挥作用,才能够保证安全技术框架的顺利实施,进而保证安全策略的有效贯彻。 一、传统IT系统局域网架构的不足和安全威胁 传统IT系统整体网络建设方案中往往很少从宏观的角度关注IT安全体系的建立,经常采用如物理隔离的方式来达到安全的目的,甚至建设两套网络,即所谓的内网、外网。这种以物理隔离为主的消极防御手段使得某一IT系统只能做到针对自身的操作应用,而无法实现与其他相关系统之间、与Internet之间的信息交互和共享,不但禁止了有用数据交换,造成信息化工作无法开展,还进一步增加了投资,这与积极防御的理念是背道而驰的。另外,物理隔离的消极影响还在于可能会导致内部网络用户出现通过电话线外连、移动计算设备一机多用、用移动存储介质在网络间交换未知数据等潜在威胁。其次,由于IT系统所在的内部网络的建设方案缺乏宏观的安全规划,同时常规的安全系统经常是分别随着各自网络或者应用系统进行建设的,虽然在一定程度上能够起到安全防护作用,但是由于各套IT系统的安全建设自成体系、分散单一,缺乏统筹考虑和宏观把握,造成系统中安全防御的主动权没有办法集中起来。因而带来IT系统的安全防护能力、隐患发现能力、应急反应能力、信息对抗能力的整体效能下降等一系列问题。同时也带来
大数据中心方案设计(机房)
计算机数据中心机房系统设计方案 (模板)
目录 1.机房设计方案 6 1.1概述 6 1.1.1概述 6 1.1.2工程概述说明 6 1.1.3设计原则7 1.1.4建设内容实施7 1.1.5设计依据8 1.1.6引用标准8 1.1.7设计指标9 1.1.9设计思想及特点11 1.1.10绿色数据中心建设12 1.2装饰装修工程14 1. 2.1机房的平面布局和功能室的划分14 1.2.2装修材料的选择14 1.2.3机房装饰的特殊处理17 1.3供配电系统(UPS系统)18 1. 3.1供配电系统设计指标18 1.3.2供配电系统构成20 1.3.3供配电系统技术说明20 1.3.4供配电设计21 1.3.5电池22 1.4通风系统(新风和排风)22 1. 4.1设计依据22
1.4.2设计目标22 1.4.3设计范围22 1.4.4新风系统22 1.4.5排烟系统23 1.4.6风幕机系统23 1.5精密空调系统23 1.5.1机房设备配置分析23 1.6防雷接地系统25 1.6.1需求分析25 1.6.2系统设计25 1.7综合布线系统26 1.7.1系统需求分析26 1.7.2机房布线方案27 1.7.3子系统主要技术说明27 1.8门禁系统28 1.8.1需求分析28 1.8.2系统设计28 1.9机房视频监控29 1.9.1项目概述29 1.9.2设计原则29 1.9.3总体目标30 1.9.4设计依据30 1.9.5机房视频监控规划31 1.10环境集中监控系统33 1.10.1概述33 1.10.2设备监控分析33 1.10.3机房动环设备集中监控平台一套35
数据中心安全规划方案
XX数据中心信息系统安全建设项目 技术方案
目录1.项目概述4 1.1.目标与范围4 1.2.参照标准4 1.3.系统描述4 2.安全风险分析5 2.1.系统脆弱性分析5 2.2.安全威胁分析5 2.2.1.被动攻击产生的威胁5 2.2.2.主动攻击产生的威胁5 3.安全需求分析7 3.1.等级保护要求分析7 3.1.1.网络安全7 3.1.2.主机安全8 3.1.3.应用安全9 3.2.安全需求总结9 4.整体安全设计10 4.1.安全域10 4.1.1.安全域划分原则10 4.1.2.安全域划分设计11 4.2.安全设备部署12 5.详细安全设计13 5.1.网络安全设计13 5.1.1.抗DOS设备13 5.1.2.防火墙14 5.1.3.WEB应用安全网关15 5.1.4.入侵防御16
5.1.5.入侵检测17 5.1. 6.安全审计18 5.1.7.防病毒18 5.2.安全运维管理19 5.2.1.漏洞扫描19 5.2.2.安全管理平台19 5.2.3.堡垒机21 6.产品列表21
1.项目概述 1.1.目标与范围 本次数据中心的安全建设主要依据《信息安全技术信息安全等级保护基本要求》中的技术部分,从网络安全,主机安全,应用安全,来对网络与服务器进行设计。根据用户需求,在本次建设完毕后XX数据中心网络将达到等保三级的技术要求。 因用户网络为新建网络,所以本次建设将完全按照《信息安全技术信息安全等级保护基本要求》中技术部分要求进行。 1.2.参照标准 GB/T22239-2008《信息安全技术信息安全等级保护基本要求》 GB/T 22239-2008《信息安全技术信息安全等级保护基本要求》 GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》 GB/T 20270-2006《信息安全技术网络基础安全技术要求》 GB/T 25058-2010《信息安全技术信息系统安全等级保护实施指南》 GB/T 20271-2006《信息安全技术信息系统安全通用技术要求》 GB/T 25070-2010《信息安全技术信息系统等级保护安全设计技术要求》 GB 17859-1999《计算机信息系统安全保护等级划分准则》 GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》 1.3.系统描述 XX数据中心平台共有三个信息系统:能源应用,环保应用,市节能减排应用。 企业节点通过企业信息前置机抓取企业节点数据,并把这些数据上传到XX 数据中心的数据库中,数据库对这些企业数据进行汇总与分析,同时企业节点也可以通过VPN去访问XX数据中心的相关应用。
云安全建设思路
云计算已经成为当前IT巨头建设的重点,而其快速推进过程中频繁发生的安全故障,让人们对云计算安全不无担忧。若不能为云计算架构加入更强大的安全措施来确保其安全性,将会对用户数据以及与数据相关的人带来安全和隐私风险。 云计算环境下的安全问题分析 1.云计算已经成为当前IT巨头建设的重点 在云计算进行得如火如荼的今天,众多IT巨头开始投入到云计算的建设之中,包括亚马逊、IBM、Google、微软等都陆续推出了云计算服务,以求在这个影响未来IT应用模型的市场中找到自己的位置。比较知名的云计算服务有: ●亚马逊的在线存储服务(S3)。S3服务对新型企业和用户的强大吸引力在于这项服务能够与 亚马逊的其它在线服务联系在一起,如弹性的云计算和亚马逊的SimpleDB服务。使用这三项服务,新型企业能够节省大量的存储开支,并且可能节省客户的时间和金钱; ●Google正式宣布Google Apps Marketplace开始运营。Google Apps软件应用商店包括了Gmail、 Docs、Sites和Calendar等应用,通过这种免费商店吸引用户选择Google产品,截止到目前已经吸纳了2500多万用户; ●继Windows Azure操作系统和云计算数据库SQL Azure开始收费后,微软近期宣布,Windows Azure平台AppFabric也将投入商用。从2010年4月9日开始,全球用户都可以购买 AppFabric用以实现云计算和云计算应用程序的轻松通信。 2.云计算服务发展过程中的安全事故 在云计算快速推进的过程中,安全故障也频繁发生,包括亚马逊、Google、微软等都没能幸免。比较严重的有: ●2008年7月,亚马逊在线计算服务的主要组件简单存储服务(S3)发生故障,整个系统宕机 时间超过6小时,使用亚马逊服务的一些网站,例如网络照片和视频提供商SmugMug也报告了这个故障,这家网站存储在S3服务中的大量照片和视频都无法访问。在那年更早些时候,Amazon也曾遭遇罕见问题,美国地区服务器无法访问,时间持续约两小时; ●2009年12月,亚马逊基于云计算的EC2(弹性计算云)服务在一个星期里发生了两起事故: 一起是僵尸网络引起的内部服务故障,另一起是在弗吉尼亚州的一个数据中心发生的电源故障; ●2009年9月份,Google的Gmail服务先后发生2次宕机事件导致用户无法访问邮件系统, Google News服务也发生中断,而这种安全事故在整个2009年已经先后出现了超过5次; ●2010年2月25日,由于一个备份数据中心发生故障,谷歌应用开发者服务Google App Engine (谷歌应用引擎)宕机,对很多谷歌客户造成了影响;
机房新风系统设计方案讲课教案
机房新风系统设计方案 空调与新风系统,是运行环境的保障。高可靠的机房设备运行环境,包括温度、湿度、洁净度。计算机场地系统终年是在恒温恒湿条件下运行的。只有窗户密封才能保证系统温、湿度正常运行。机房里的计算机设备要产生大量的热量,而且对环境中的灰尘数量有严格的要求,这些都对空调系统提出了更高的要求。为使机房保持恒定的温度和湿度,需要选用机房专用的精密空调。同时机房还必须补充新风,自然界的新风只有通过新风系统处理后才能进入机房,形成内部循环,并对新风进行过滤,使之达到一定的净化要求。 一、为什么要装机房新风系统 机房精密空调系统的使用功能是为保证机房设备能够连续、稳定、可靠地运行,需要排出机房内设备及其它热源所散发的热量,维持机房内恒温恒湿状态,并控制机房的空气含尘量。为此要求机房精密空调系统具有送风、回风、加热、加湿、冷却、减湿和空气净化的能力,机房精密空调系统是保证良好机房环境的最重要设备,应采用恒温恒湿精密空调系统来满足新风系统的需求。 目前机房新风系统已经受到了人们的关注,特别是一些大型机房,一般都装有新风系统,还有一些网吧也开始安装新风系统,所以现在我们去一些高档网吧或者休闲区,不会感到一股燥热难受的气息,这是因为它们装了机房新风系统,24小时保持室内通风换气。 二、机房新风工作原理
工作原理:当室内空调回风和室外新风分别成正交叉方式经热交换器时,由于平隔板两侧气流存在着温度差和水蒸汽分压力差,两股气流间同时产生热传质,引起全热交换过程。当安装在系统上的全热交换器在夏季运行时,新风从空调回风中获得冷量,使温度降低;同时被回风干燥,是新风从空调回风中获得热能,使温度升高,同时被回风加湿。 三、机房新风系统作用 机房新风换气系统主要有两个作用:其一给机房提供足够的新鲜空气,和维持机房对外的正压差。新排风系统的风管及风口位置应配合空调系统和室内结构来合理布局。
安全域划分和等级保护
近年来,随着我国信息化发展的逐步深入,我们对信息系统的依赖越来越强,国家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全和社会秩序。但是大型信息系统的安全保障体系建设是一个极为复杂的工作,为大型组织设计一套完整和有效的安全体系一直是个世界性的难题。一些行业性机构或大型企业的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多;系统面临着各种性质的安全威胁,间谍、黑客、病毒蠕虫、木后门、非法的合作伙伴、本地维护的第三方、内部员工等;安全保障要求的内容极为广泛,从物理安全、网络安全、系统安全、应用安全一直到安全管理、安全组织建设等等,凡是涉及到影响正常运行的和业务连续性的都可以认为是信息安全问题;不同业务系统、不同发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性。 国内的政策及发展 面对严峻的形势和严重的问题,如何解决大型信息系统的信息安全问题,是摆在我国信息化建设人员面前的重大关键问题。美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁,制定了一系列强化信息网络安全建设的政策和标准,其中一个很重要思想就是按照安全保护强度划分不同的安全等级,以指导不同领域的信息安全工作。经过我国信息安全领域有关部门和专家学者的多年研究,在借鉴国外先进经验和结合我国国情的基础上,提出了分等级保护的策略来解决我国信息网络安全问题,即针对信息系统建设和使用单位,根据其单位的重要程度、信息系统承载业务的重要程度、信息内容的重要程度、系统遭到攻击破坏后造成的危害程度等安全需求以及安全成本等因素,依据国家规定的等级划分标准,设定其保护等级,自主进行信息系统安全建设和安全管理,提高安全保护的科学性、整体性、实用性。 2003 年,中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中,已将信息安全等级保护作为国家信息安全保障工作的重中之重,要求各级党委、人民政府认真组织贯彻落实。《意见》中明确指出,信息化发展的不同阶段和不同的信息系统,有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。 之后,一系列的国家部委、行业组织下发了关于信息系统等级保护方面的政策和规范。2004年,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发
数据中心施工组织设计
目录 编制说明 (4) 一、编制依据 (5) 二、工程概况 (6) 三、施工总平面布臵及说明 (8) 四、施工准备 (9) 1. 现场准备 (9) 2. 技术准备 (9) 3. 劳动力准备 (10) 4. 材料准备 (11) 5. 机械设备准备 (12) 五、施工部署 (12) 1. 工程项目组织机构 (12) 2. 各部门职责 (13) 3. 总体部署原则 (15) 4. 施工协调管理: (16) 5. 协调方式 (17) 6. 施工垃圾处理: (18) 7. 施工临时用电计划 (18) 六、工程施工计划及其说明 (21) 1. 进度计划保证措施 (21)
2.技术工人需用计划( 见表6-1) (21) 3.主要施工机械设备需用计划(见表6-3、表6-4) (22) 4.节约计划(降低成本措施) (23) 5.技术节约措施 (24) 七、主要工程项目的施工程序和施工方法 (26) 1.总施工工艺流程 (26) 2.机房内吊顶板施工方法 (26) 3.墙面彩钢板施工工艺 (27) 4.玻璃隔墙安装施工工艺 (27) 5.抗静电活动地板铺设施工工艺 (28) 6.玻化砖铺设施工工艺 (29) 7.电气安装施工工艺: (30) 8.空调工程安装施工工艺 (41) 9.机房集中监控弱电系统工程施工程序及要求: (43) 10.综合布线系统施工方案及工艺要求 (44) 11.机房监控工程: (49) 12.KVM系统施工方案及工艺要求: (51) 13.消防报警系统工艺流程 (53) 八、工程质量管理目标 (54) 1.质量方针 (54) 2.质量目标 (55) 3.工期目标 (55)
数据中心-网络及安全资源池系统及安全策略规划配置方案
网络及安全资源池系统及安全策略规划配 置方案 1.网络及安全资源池安全域规划思路、安全策略规划配置思路 根据安全要求及业务特点,整体网络架构将划分外网接入区、数据中心区、安全运维区、内部接入区等;容灾节点划分外网接入区、容灾区。具体网络架构如下所示: (1)外网接入区 容灾节点与既有节点之间采用两条100M互联网链路连接,用于容灾数据传输。各业务系统数据使用既有的互联网链路方式进行传输。部署出口路由器负责对接外部网络(Internet和IP承载网),建议适当开启路由器安全策略,对进入数据中心的流量进行第一层基本防护;部署VPN网关以VPN方式(运营商MSTP 网络)连通各所属省公司局域网;部署入侵检测设备(IDS)对进入数据中心的安全隐患和迹象进行检测,在网络受到侵害前进行主动响应,部署部署异常流量检测设备、抗DDOS流量清洗设备对网络出口流量进行监控。抗DDOS、IDS同路由器的安全策略共同构成第一层基本防护,保护外网接入区设备。
(2)数据中心区 以多业务安全网关(支持下一代防火墙、上网行为管理功能)为第二层核心安全防护,划分非信任区(外网接入区)和信任区(数据中心区),其中数据中心区为整个云平台的核心,计算网络采用Spine-Leaf扁平体系架构,硬件网络由SDN统一控制,原有网络可以通过核心交换机的VxLAN网关功能实现VxLAN到VLAN的转换;存储网络基于存储阵列构建IPSAN网络,用于业务数据及虚机文件存储。同时为适合等级保护、企业内控等信息安全规范,将部署WEB应用防火墙(作为第二层应用安全防护)实现各类SQL注入、跨站、挂马、扫描器扫描、敏感信息泄露、盗链行为等攻击防护。 部署备份设备,实现约25%业务的数据按需数据备份的能力,发生关键数据丢失时,可以通过备份恢复数据。 (3)安全运维区 部署云管理平台、SDN控制器及安全管理设备,其中安全管理设备包括堡垒机(利旧网络可达即可)、安全审计、漏洞扫描、终端安全管理与防病毒、网页防篡改等构成第三层内网及管理防护。 (4)内部接入区 实现内部办公用户的接入。 (5)容灾区 通信技术中心节点DCA是主节点,容灾节点DCB是容灾节点,容灾节点可以实现对主节点约30%的核心业务进行容灾份资源需求。 2.网络及安全资源池网络端口规划配置(IP地址和VLAN规划)思路 2.1外网接入区 (1)出口路由器 出口路由器是在网络的边界点用于与其他网络(例如广域网)相连接的路由器设备,其定位是将用户由局域网汇接到广域网,其业务需求覆盖包括从简单的连网到复杂的多媒体业务和VPN业务等。考虑到数据中心集中建设后网络的可靠性,本项目建议配置两台边界路由器,实现双机热备,同时路由器需支持MSTP 组网并建议开启ACL访问控制、包过滤防火墙等安全功能。 (2)入侵检测设备(IDS) 其主要作用是帮助用户量化、定位来自内外网络的威胁情况,提供有针对性的指导措施和安全决策依据,并能够对网络安全整体水平进行效果评估,IDS可以依照用户定制的策略,准确分析、报告网络中正在发生的各种异常事件和攻击行为,实现对网络的“全面检测”,提供实时报警。根据安全需求分析,建议部署两台入侵检测设备以旁路方式连接至出口路由器。
网络安全纵深防御体系
网络安全纵深防御体系 第一层是安全域划分,这个安全域是对业务的抽象,并不是对物理服务器的划分,在大规模分布式架构中,同一个安全域的机器可能并不一定位于同一个物理机房,但是它们对应相同的安全等级,共享一组相同的访问控制策略,只对其他安全域或Iinternet 暴露有限的协议和接口。即使攻击者渗透了其他相邻的服务器,也只能扫描和访问这个安全域内有限的几个端口,没办法自由渗透,这个方案主要解决Plan-B曲线救国时被人侵者“误伤”,即被无意识的扫描行为以很低的成本获取新的站点和权限,以及获得单点root后进步渗透的扩散,希望能把安全事件爆发的最大范围抑制在一个安全域中,而不是直接扩散到全网。 第二层是基于数据链路层的隔离,只有第二层隔离了才能算真正隔离,否则只在第3层以上做ACL效果会差一些,仍然会遭受ARP攻击。第二层使用VPC、Vxlan、VLan等方法相当于在安全域的基础上对一组服务器以更细的粒度再画一道防线,进一步抑制单点沦陷后受害源扩大的问题。在不是特别大的网络中可以直接跳过安全域到这一步。当然安全域的概念在任何时候都是存在的,我们在这里仅仅是在做划分的事情。 第二层之上就是端口状态协议过滤,这是绝大多数“防火墙”应用的场景。解决的还是对黑客暴露的攻击面的问题,即使我的加固做得不到位,不必要的服务没有清理干净,开放了有问题的端口,甚至有些端口上跑着的服务还有漏洞,但是因为被防火墙过滤了,路由不可达,所以攻击者利用不了,他只能在对外或对信任域暴露的端口上去想办法。本质上,就是给攻击者提供“窄带”,有限的访问通道。不过在有复杂嵌套引用关系的大规模生产网络中,出于运维成本的考虑,有时候访问控制策略不会做得很细粒度,因为那样的话,如果有台机器挂了,换个P都麻烦,这也是安全向业务的妥协。 再往上一层是现在讨论最多的APP安全,其实从图中也可以看出你平日的工作都是聚焦于哪层。这一层单独拆开都可以再建一个纵深防御的子体系。应用层通常是暴露在Internet上的攻击面,这一层主要是解决认证鉴权、注入跨站上传之类的应用层漏洞,尽可能把入侵者堵在信息和资源的唯一入口。如果你在开发WAF,那你对应的也是这一层的工作。 应用层上方是容器、运行时环境。这里的目标是假设服务器上的应用程序有漏洞,且攻击者找到了漏洞,我不希望这个漏洞能被成功利用,直接跳转到系统权限,而是希望能在这一步阻止攻击者,办法就是通过容器加固。比如阻止一些危险函数的运行,比如上传了webshell 但是不被解析执行,比如你想执行eval()并用种种方法变形编码字符串拼接逃过了应用层的检测,但是到了运行时其实是相同的底层指令,那么无论攻击者在上层多么努力地变形,我都有可能在更底层把攻击者揪出来,哪怕不直接阻断,我也至少报个警。在绝大多数入侵活动中,上传或生成webshell 是从应用权限向系统权限转化的关键一步,所以这一层的防御也是比较重要的。后面会有单独篇幅讲如何对抗webshell。
云数据中心安全规划设计
云数据中心安全规划设计
目录 1前言 (2) 1.1背景 (2) 1.2文档目的 (2) 1.3适用范围 (2) 1.4参考文档 (2) 2安全 (3) 2.1信息安全背景 (3) 2.2工作方法说明 (3) 2.3集团安全目标 (5) 2.4集团安全体系功能服务组件框架 (8) 2.5集团云安全规划路线 (30)
1.1背景 集团信息中心中心引入日趋成熟的云计算技术,建设面向全院及国网相关单位提供云计算服务的电力科研云,支撑全院各个单位的资源供给、数据共享、技术创新等需求。实现云计算中心资源的统一管理及云计算服务统一提供;完成云计算中心的模块化设计,逐渐完善云运营、云管理、云运维及云安全等模块的标准化、流程化、可视化的建设;是本次咨询规划的主要考虑。 1.2文档目的 本文档为集团云计算咨询项目的咨询设计方案,将作为集团信息中心云计算建设的指导性文件和依据。 1.3适用范围 本文档资料主要面向负责集团信息中心云计算建设的负责人、项目经理、设计人员、维护人员、工程师等,以便通过参考本文档资料指导集团云计算数据中心的具体建设。 1.4参考文档 《集团云计算咨询项目访谈纪要》 《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008) 《信息系统灾难恢复规范》(GB/T20988-2007) 《OpenStack Administrator Guide》(https://www.360docs.net/doc/97231243.html,/) 《OpenStack High Availability Guide》(https://www.360docs.net/doc/97231243.html,/) 《OpenStack Operations Guide》(https://www.360docs.net/doc/97231243.html,/) 《OpenStack Architecture Design Guide》(https://www.360docs.net/doc/97231243.html,/)
新风系统技术方案
智能新风系统及送风优化节能施工 一、IDC机房环境要求 根据《中国电信数据中心机房电源、空调环境设计规范(暂行)》,机房环境规定如下: 1、以通信行业标准规定的通信设备(交换设备、传输设备、数据网络设备)的正常使用环境要求为基础,确定数据中心机房的环境要求。 2、机房环境温湿度要求:AA级、A级机房温度为21-25℃,相对湿度40%-70%;B、C级机房温度为18-28℃,相对湿度40%-70%,温度变化率小于5℃/h,且不结露。 3、机房洁净度要求。机房内灰尘粒子应为非导电、非导磁及无腐蚀的粒子。灰尘粒子浓度应满足: (1)直径大于等于0.5μm的灰尘粒子浓度≤18000粒/升; (2)直径大于等于5μm的灰尘粒子浓度≤300粒/升。
二、设计依据及节能诊断 2.1 设计依据 《电子计算机机房设计规范》 《中国电信数据中心机房电源、空调环境设计规范(暂行)》 《中国电信数据中心机房电源、空调环境验收规范(暂行)》 《数据中心机房空气调节系统的设计与运行维护》 2.2 负荷计算 根据IDC 机房的负荷特点,四楼、六楼负荷为200kW ,预配置四台智能通风机组,五楼负荷为50kW ,预配置单台智能通风机组,单台机组需承担的负荷为50kW ,则新风量: 1492510 1.0051.250 3600T C 3600W Q p =???=?= ρm 3/h 故机组的设计风量为15000 m 3/h 。
三、节能改造方案 3.1 改造方案 考虑到本项目工程存在的问题,结合现场情况,拟采用智能新风系统,结合优化送风方案,在室内外温差大于10℃时,运行本系统可停开现有机房空调,预计年节电率可达60%左右,具体方案如下: 3.1.1本系统采用智能新风系统,直接利用室外新风对室内进行降温;在新风引入口加设自洁式过滤器,减少引用新风对机房带来的洁净度的威胁。 3.1.2未做精确送风的机房气流组织采取下送上回的方式,将处理后的空气送到列间的下方,优化气流组织;安装有风管精确送风的机房,将新风系统的送风并入机房原有送风系统,统一按需送入指定位置。 3.1.3采用智能新风技术克服了自然冷源利用时空间的局限性,同时配合智能温湿度控制和中效过滤技术,提高了系统的节能效果和安全性。 3.2 系统原理说明 本方案采用机房智能新风系统进行新风换气、降温,其作用原理如图2所示,系统包括自洁式滤筒、混合段、活性炭过滤段、亚高效过滤段、送风段等,根据室内外环境温湿度参数系统分为三种工况运行。 图2 智能系统系统原理示意图 表1 MZT系列设备参数表 型号送风量 (m3/h)排风量 (m3/h) 显冷量 (kW) 功率 (kW) 外形尺寸 (W×D×H,mm) 过滤等级 MZT-50 15000 13000 50 3.55 1500×750×1850 三级备注:1、电力室排风为送风量的105%,即排风为15750m3/h;2、三级过滤为初效过滤、活性炭(除硫)过滤和亚高效过滤。
互联网数据中心机房建筑设计探讨
互联网数据中心机房建筑设计探讨 互联网数据中心机房建筑设计探讨 摘要:本文根据互联网数据中心(IDC)机房发展现状及其自身特点,在平面、剖面、节能建筑设计方面做了介绍,对产生的问题进行了分析,并在满足需求的条件下进行优化设计,利于提高机房利用率、节省投资及节能减排。 关键词:互联网数据中心;IDC机房;机架布置;机房布局;节能 中图分类号: TU2 文献标识码: A 文章编号: 概述 互联网数据中心(Internet Data Center)简称IDC,是基于Internet网络,为集中式收集、存储、处理和发送数据的设备提供运行维护的设施基地并提供相关的服务[1]。互联网数据中心是各种互联网应用与服务的核心,在网络经济和电信产业链中起着十分重要的作用。现代数据中心更是具备四个较为重要的特点,分别是:高密度、智能化管理、绿色环保、业务连续性。 IDC机房是一种大型数据储存中心机房,一般提供服务包括网络基本服务,如主机代管、虚拟主机、主机出租、异地备援、企业专线等;另有加值服务,包括网络管理与监控、防火墙、实体的消防设施与安全门禁控管等。 互联网的普及与应用得到了长足的发展,深入到各行各业,千家万户,各大通信运营商对IDC机房的建设正紧锣密鼓地展开着,其建设的好坏将直接影响到互联网业的发展。机房利用率,机房与各个设备用房的配置关系及机房节能一直是业内讨论的问题,本文就这些问题在建筑设计方面提出几点看法,供同行进行探讨。 互联网数据中心机房建筑设计及其分析 1.1机房组成分析 通信设备:机架
配套设备:电力电池、机房空调、变配电、备用发电机、水泵 辅助设备:各类管线、电缆 IDC机房的核心内容就是通信设备,它由各种功能的机架组成。机架的正常工作需要特定的环境条件,包括充沛的电力保障以及一定的温度、湿度、空气洁净度等要求,所有其它设备及设施均服务于通信设备,其之间需进行合理的分配及布局,使通信设备的工作效率最大化。 1.2机房平面设计 机房平面布置主要根据机架的排列方式进行;机架的排列方式根据其功率及空调制冷效果的优劣而改变,同时根据柱网的大小选择合理的机架布置方式;每个机房的最大面积受气体消防保护区的限制;机房大小又决定机架的排列方式及空调形式的选择。所以,机房平面排布受到多重因素的影响,其之间又相互制约。 机柜间距与空调的关系 不同类型的机架有着不同的功率,不同功率的机架其发热量是不同的。因此,各类机架需根据空调所能提供的温湿度条件进行布置。 比如,在机柜尺寸相同的条件下,4KW机架区,根据机架发热量计算,机柜间距为1200mm时能满足空调制冷需求;10KW机架区,根据机架发热量计算,机柜间距达到2400mm时能满足空调制冷需求。因此,机架发热量与空调制冷效果决定机柜间距。 机架布置与柱网的关系 柱网大小对机架排布有着较大的影响。就4KW机架区而言,在尽可能多排机架及满足空调制冷需求的前提下,不同尺寸的柱网其机架摆放效率是不同的(图1、图2)。由图可见,在机柜间距相同的条件下,8400mm柱网的局部结构柱占用了机架间的人行通道,机架布置效率降低;而7200mm柱网对4KW机架来说布置较顺,显然更为合理。故应根据不同功率的机架及其机柜间距选择适合的柱网,使机架布置效率更高。 图17200mm柱网布置图图28400mm柱网布置图 机架布置与气消保护区大小的关系
数据中心安全域的设计和划分
数据中心安全域的设计和划分 安全区域(以下简称为安全域)是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络。安全域划分是保证网络及基础设施稳定正常的基础,也是保障业务信息安全的基础。 一、安全域设计方法 安全域模型设计采用"同构性简化"方法,基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成,这些网络结构元以拼接、递归等方式构造出一个大的网络。 一般来讲,对信息系统安全域(保护对象)的设计应主要考虑如下方面因素: 1.业务和功能特性。 ①业务系统逻辑和应用关联性。 ②业务系统对外连接。对外业务、支撑、内部管理。 2.安全特性的要求。 ①安全要求相似性。可用性、保密性和完整性的要求。 ②威胁相似性。威胁来源、威胁方式和强度。 ③资产价值相近性。重要与非重要资产分离。 3.参照现有状况。 ①现有网络结构的状况。现有网络结构、地域和机房等。 ②参照现有的管理部门职权划分。 二、安全域设计步骤 一个数据中心内部安全域的划分主要有如下步骤: 1.查看网络上承载的业务系统的访问终端与业务主机的访问关系及业务主机之间的访问关系,若业务主机之间没有任何访问关系,则单独考虑各业务系统安全域的划分,若业务主机之间有访问关系,则几个业务系统一起考虑安全域的划分。 2.划分安全计算域。根据业务系统的业务功能实现机制、保护等级程度进行安全计算域的划分,一般分为核心处理域和访问域,其中数据库服务器等后台
处理设备归人核心处理域,前台直接面对用户的应用服务器归人访问域;局域网访问域可以有多种类型,包括开发区、测试区、数据共享区、数据交换区、第三方维护管理区、VPN接人区等;局域网的内部核心处理域包括数据库、安全控制管理、后台维护区(网管工作)等,核心处理域应具有隔离设备对该区域进行安全隔离,如防火墙、路由器(使用ACL)、交换机(使用VLAN)等。 3.划分安全用户域。根据业务系统的访问用户分类进行安全用户域的划分,访问同类数据的用户终端、需要进行相同级别保护划为一类安全用户域,一般分为管理用户域、内部用户域、外部用户域。 4.划分安全网络域。安全网络域是由连接具有相同安全等级的计算域和(或)用户域组成的网络域。网络域的安全等级的确定与网络所连接的安全用户域和(或)安全计算域的安全等级有关。一般同一网络内化分三种安全域:外部域、接人域、内部域。 三、安全域模型 该模型包含安全服务域、有线接人域、无线接入域、安全支撑域和安全互联域等五个安全区域。同一安全区域内的资产实施统一的保护,如进出信息保护机制、访问控制、物理安全特性等。 1.安全服务域。安全服务域是指由各信息系统的主机/服务器经局域网连接组成的存储和处理数据信息的区域。 2.有线接人域。有线接人域是指由有线用户终端及有线网络接人基础设施组成的区域。终端安全是信息安全防护的瓶颈和重点。 3.无线接人域。无线接人域是指由无线用户终端、无线集线器、无线访问节点、无线网桥和无线网卡等无线接人基础设施组成的区域。 4.安全支撑域。安全支撑域是指由各类安全产品的管理平台、监控中心、维护终端和服务器等组成的区域,实现的功能包括安全域内的身份认证、权限控制、病毒防护、补丁升级,各类安全事件的收集、整理、关联分析,安全审计,人侵检测,漏洞扫描等。 5.安全互联域。安全互联域是指由连接安全服务域、有线接人域、无线接入域、安全支撑域和外联网(Extranet)的互联基础设施构成的区域。
数据中心安全域隔离解决方案
数据中心安全域隔离解决方案 数据中心安全建设的基本原则:按照不同安全等级进行区域划分,进 行层次化、有重点的保护,通过传统防火墙分级分域的进行有针对性的访问 控制、安全防护。 数据中心安全域隔离存在的问题 防火墙基于五元组部署访问控制策略,但仍在上线部署、业务新增和日常管理中存在策略管理复杂可视性差的问题: 传统防火墙仍面临新的安全挑战 70%的攻击来自应用层,防火墙防护存在短板
APT、0day、欺诈等威胁出现,使边界防御失陷 深信服数据中心安全域隔离解决方案 本方案采用技术上先进的下一代防 火墙作为数据中心安全域隔离的主要载 体。既可以解决传统安全域隔离可视性 和管理便利性上的问题,同时还能够通 过开启应用层防护的模块和失陷主机检 测的模块加固数据中心的安全。有效的 补数据中心存在的安全短板,提升数据 中心安全防护与检测的能力。 ?数据中心安全域设计建议 将数据中心以不同安全级别及功能需求划分为四大安全区域:接入区、办公区、业务区、运维管理区。对数据中心网络及应用系统实施网络分级分区防护,有效地增加了重要应用系统的安全防护纵深,使得外部的侵入需要穿过多层防护机制,不仅增加恶意攻击的难度,还为主动防御提供了时间上的保证。
接入区:安全等级中,包含三个子区,互联网接入区、分支机构接入区和第三方接入区; 办公区:安全等级低,包含两个子区,内网办公区和无线办公区; 业务区:安全等级高,包含三个子区,对外业务区、核心业务区、内部应用区。 方案特点 ?精细到应用的访问控制粒度 不仅具备五元组访问控制策略,还可以通过结 合应用识别与用户识别技术制定的L3-L7 一体化 应用控制策略,提高了策略控制的准确度,提升数据中 心管理的效率。 如访问数据中心的常见应用 OA、ERP、Web、 邮箱等;或外部运维人员访问数据库等场景,通过应用层访问控制策略,解决传统 ACL 的无法对端口逃逸、端口跳跃等(如使用 Oracle 建立连接 1521,连接后为随机端口)技术的应用进行控制的问题。 ?向导式可视化的策略管理 上线部署:简单易懂的 IT 向 导配置,无需管理员掌握复杂的安 全知识,也可以完成策略的快速部 署上线,轻松掌握对数据中心安全 策略的部署。 新增业务:数据中心新增业务 时,能主动发现新增资产,防止安全策略疏漏。管理员无需手动查找新增资产,只需要对新增资产进行一 键策略的关联部署就可以快速添加策略。 策略管理:可视化的策略管理,提升了 访问控制策略管理的可视性,使管理员可以 更容易的看清楚策略部署的情况;同时提供 策略命中数量,便于管理员清除无效策略。 ?支持更强防护和检测能力的扩展 L2-7 层防护功能扩展:本方案采用深信