从安全的角度分析数据中心建设
数据中心建设的必要性
数据中心建设的必要性一、背景介绍随着信息技术的快速发展,数据在当今社会中的重要性日益凸显。
各种组织和企业都面临着大量数据的处理、存储和分析需求。
为了满足这些需求,数据中心建设成为了不可或者缺的一环。
本文将详细介绍数据中心建设的必要性,并从可靠性、安全性、灵便性和效率性四个方面进行阐述。
二、可靠性1. 数据备份与容灾:数据中心建设可以提供强大的数据备份和容灾能力,确保数据的安全性和可靠性。
通过多重备份和冗余设计,即使浮现硬件故障或者自然灾害等意外情况,数据也能够得到有效的保护和恢复。
2. 电力供应与稳定性:数据中心建设需要配备高效的电力供应系统,包括备用电源和不间断电源等设备,以确保数据中心的持续运行。
此外,数据中心还应具备稳定的电力负载管理和电力监控系统,以应对高峰时段的需求。
三、安全性1. 物理安全:数据中心建设需要考虑物理安全措施,如门禁系统、视频监控、防火墙等,以保护数据中心免受未经授权的访问和恶意攻击。
2. 网络安全:数据中心建设需要配置高级的网络安全设备和防护系统,如入侵检测系统、防火墙、反病毒软件等,以防止网络攻击和数据泄露。
3. 数据加密与隔离:数据中心建设需要采用加密技术,对敏感数据进行加密存储和传输,并实施严格的权限管理和访问控制,确保数据的隐私和安全。
四、灵便性1. 可扩展性:数据中心建设需要具备良好的可扩展性,以适应数据量的不断增长。
通过模块化设计和灵便的架构,可以随时增加或者减少硬件设备和存储容量,以满足不同阶段的需求。
2. 虚拟化技术:数据中心建设可以采用虚拟化技术,将物理资源虚拟化为逻辑资源,提高资源的利用率和灵便性。
通过虚拟机和容器等技术,可以实现快速部署、迁移和管理,提高业务的敏捷性和响应能力。
五、效率性1. 节能环保:数据中心建设需要考虑节能环保的因素,采用高效的硬件设备和能源管理技术,降低能源消耗和碳排放。
2. 自动化管理:数据中心建设可以引入自动化管理系统,实现对硬件设备、网络和应用程序的自动监控、管理和维护,提高运维效率和降低人力成本。
数据中心建设
数据中心建设一、背景介绍随着信息化时代的到来,数据的产生和存储量急剧增加,企业对数据中心的需求日益迫切。
数据中心作为企业信息系统的核心基础设施,承载着大量的数据存储、处理和传输任务。
因此,建设一个高效可靠的数据中心对于企业的发展至关重要。
二、数据中心建设的目标1. 提供稳定可靠的数据存储和处理能力:确保数据中心在任何时候都能正常运行,避免数据丢失和系统故障。
2. 提高数据中心的安全性:采取多重安全措施,保护数据的机密性、完整性和可用性,防止数据泄露和黑客攻击。
3. 提升数据中心的能源效率:减少能源消耗,降低运营成本,实现可持续发展。
4. 提供灵便可扩展的架构:满足企业不断增长的数据存储和处理需求,支持未来的扩展和升级。
三、数据中心建设的步骤1. 确定需求:与企业相关部门沟通,了解数据中心的具体需求,包括数据存储容量、处理能力、安全性要求等。
2. 设计规划:根据需求确定数据中心的整体架构,包括服务器、网络设备、存储设备等的配置和布局。
3. 建设基础设施:包括机房的选址和装修、供电系统的建设、空调系统的安装等。
4. 设备采购和安装:根据设计规划购买服务器、网络设备、存储设备等,并进行安装和调试。
5. 网络建设:建立数据中心与企业内外网络的连接,确保数据的安全传输。
6. 数据迁移:将现有数据迁移到新建的数据中心,确保数据的完整性和可用性。
7. 系统测试和优化:对数据中心进行全面测试,发现并解决潜在问题,优化系统性能。
8. 安全保障措施:建立完善的安全策略和控制措施,确保数据的安全和隐私。
9. 运维管理:建立数据中心的运维团队,负责日常的设备维护、故障排除和性能监控。
四、数据中心建设的关键技术1. 虚拟化技术:通过虚拟化技术,将物理服务器划分为多个虚拟服务器,提高资源利用率和灵便性。
2. 高可用性技术:采用冗余设计和故障切换机制,确保数据中心在硬件故障时能够继续运行。
3. 数据备份和恢复技术:建立完善的备份和恢复策略,保证数据的安全和可靠性。
数据中心网络安全建设的思路
数据中心网络安全建设的思路在当今数字化的时代,数据中心已经成为了企业和组织运营的核心基础设施。
它们承载着大量的关键业务数据和应用程序,为企业的正常运转提供了重要的支持。
然而,随着数据中心规模的不断扩大和网络技术的日益复杂,网络安全问题也变得日益严峻。
数据中心的网络安全建设已经成为了企业和组织必须面对的重要挑战。
本文将探讨数据中心网络安全建设的思路,帮助企业和组织构建一个安全可靠的数据中心网络环境。
一、明确数据中心网络安全需求在进行数据中心网络安全建设之前,首先需要明确数据中心的网络安全需求。
这包括对数据中心所承载的业务类型、数据敏感程度、用户访问需求等方面进行详细的分析。
例如,金融行业的数据中心对数据的保密性和完整性要求极高,而电商行业的数据中心则更关注用户数据的隐私保护和交易的安全性。
同时,还需要考虑数据中心的规模和架构。
大型数据中心通常具有复杂的网络拓扑结构和大量的服务器、存储设备等,其网络安全需求与小型数据中心存在较大的差异。
通过明确数据中心的网络安全需求,可以为后续的网络安全建设提供明确的目标和方向。
二、建立完善的网络安全策略网络安全策略是数据中心网络安全建设的基础。
它包括访问控制策略、数据加密策略、漏洞管理策略、应急响应策略等多个方面。
访问控制策略用于限制对数据中心资源的访问,只有经过授权的用户和设备才能访问特定的网络资源。
可以采用身份认证、授权和访问控制技术,如用户名和密码、数字证书、多因素认证等,来确保访问的合法性。
数据加密策略用于保护数据的机密性和完整性。
对敏感数据进行加密存储和传输,可以有效防止数据泄露和篡改。
常见的数据加密算法包括 AES、RSA 等。
漏洞管理策略用于及时发现和修复数据中心系统中的安全漏洞。
定期进行漏洞扫描和安全评估,及时安装补丁和更新软件,以降低系统被攻击的风险。
应急响应策略用于在发生网络安全事件时能够迅速采取措施,降低损失。
制定详细的应急响应流程和预案,包括事件监测、报告、处置和恢复等环节。
数据中心安全建设方案
数据中心安全建设方案数据中心安全解决方案第一章解决方案1.1 建设需求经过多年的信息化建设,XXX用户的各项业务都顺利开展,数据中心积累了大量宝贵的数据。
然而,这些无形资产面临着巨大的安全挑战。
在早期的系统建设中,用户往往不会考虑数据安全和应用安全层面的问题。
随着数据中心的不断扩大和业务的日益复杂,信息安全建设变得尤为重要。
不幸的是,由于缺乏配套建设,数据中心经常发生安全事件,如数据库表被删除、主机密码被修改、敏感数据泄露、特权账号被滥用等。
这些安全事件往往由特权用户从后台直接操作,非常隐蔽,难以查证。
因此,信息安全建设应该从系统设计初期开始介入,贯穿整个过程,以最小化人力和物力的投入。
1.2 建设思路数据中心的安全体系建设不是简单地堆砌安全产品,而是一个根据用户具体业务环境、使用惯和安全策略要求等多个方面构建的生态体系。
它涉及众多的安全技术,实施过程需要大量的调研和咨询工作,还需要协调众多安全厂家之间的产品选型。
安全系统建成后,如何维持这个生态体系的平衡,是一个复杂的系统工程。
因此,建议分期投资建设,从技术到管理逐步实现组织的战略目标。
整体设计思路是将需要保护的核心业务主机包及数据库围起来,与其他网络区域进行逻辑隔离,封闭一切不应该暴露的端口和IP,形成数据孤岛,设置固定的数据访问入口,对入口进行严格的访问控制和审计。
由之前的被动安全变为主动防御,控制安全事故的发生。
对接入系统的人员进行有效的认证、授权和审计,让敏感操作变得更加透明,有效防止安全事件的发生。
在访问入口部署防火墙、账号生命周期管理系统、数据加密系统、令牌认证系统和审计系统等安全设施,对所有外界向核心区域主机发起的访问进行控制、授权和审计。
对流出核心区域的批量敏感数据进行加密处理,所有加密的数据将被有效地包围在安全域之内,并跟踪数据产生、扭转、销毁的整个生命周期,杜绝敏感数据外泄及滥用行为。
为了保障XXX用户的业务连续性,我们在网络中部署了各种安全子系统。
数据中心安全建设方案
数据中心安全建设方案正文:⒈引言在当今的数字化时代,数据中心扮演着企业重要的角色。
然而,数据中心安全问题日益严峻,如何建设一个安全可靠的数据中心成为了各个行业的共同关切。
本文档将详细介绍数据中心安全建设方案。
⒉数据中心概述在本节中,将介绍数据中心的定义、功能和重要性。
同时,还将介绍数据中心的基本构成和组织结构,以便更好地理解数据中心安全建设方案的需求。
⒊安全威胁分析在本章中,将详细介绍常见的数据中心安全威胁,包括物理安全威胁和网络安全威胁。
同时,还将分析这些威胁对数据中心的影响,以便更好地制定相应的安全措施。
⒋数据中心物理安全建设在本节中,将详细介绍数据中心的物理安全建设措施。
包括进入控制、视频监控、机房布局和环境监控等方面的细节。
此外,还将介绍紧急事件应对和灾难恢复计划。
⒌数据中心网络安全建设在本章中,将详细介绍数据中心的网络安全建设措施。
包括防火墙、入侵检测和防御系统、访问控制和数据加密等方面的细节。
同时,还将介绍网络监控和日志审计的重要性。
⒍数据备份和恢复在本节中,将详细介绍数据中心的备份和恢复策略。
包括数据备份的类型、备份频率和备份存储的选择。
同时,还将介绍灾难恢复计划和测试的重要性。
⒎员工培训和安全意识在本章中,将详细介绍员工培训和安全意识的重要性。
包括安全培训内容、培训频率和培训形式。
同时,还将介绍建立安全意识的有效方法和评估员工安全意识的指标。
⒏安全管理和监控在本节中,将详细介绍数据中心安全管理和监控的措施。
包括安全策略的制定、访问控制管理、事件管理和漏洞管理等方面的细节。
同时,还将介绍安全审计和合规性检查的重要性。
⒐法律法规和合规性要求在本章中,将详细介绍数据中心安全相关的法律法规和合规性要求。
包括数据隐私保护法律、网络安全法和行业标准等方面的介绍。
同时,还将介绍数据中心安全审计和合规性检查的重要性。
⒑附件本文档涉及的附件包括数据中心平面图、物理安全设备配置和网络安全设备配置等。
数据中心建设的必要性
数据中心建设的必要性概述:数据中心是一个集中存储、管理和处理大量数据的设施,是现代企业和组织不可或者缺的基础设施。
本文将详细探讨数据中心建设的必要性,包括提高数据管理效率、保障数据安全性、支持业务发展和提升竞争力等方面。
1. 提高数据管理效率:数据中心提供了集中存储和管理数据的能力,可以匡助企业更高效地管理和利用数据资源。
通过建设数据中心,企业可以实现数据的集中存储、备份和恢复,减少数据丢失的风险,并提高数据的可靠性和可用性。
此外,数据中心还可以提供数据分析和挖掘的能力,匡助企业更好地理解和利用数据,从而提高业务决策的准确性和效率。
2. 保障数据安全性:数据安全是企业发展的重要保障。
数据中心可以提供多层次的安全措施,包括物理安全、网络安全和数据加密等,保护企业的数据免受未经授权的访问、泄露和损坏。
数据中心还可以实施灾备和容灾方案,确保数据的持续可用性,防止因自然灾害、设备故障或者其他意外事件导致的数据丢失和业务中断。
3. 支持业务发展:数据中心建设可以为企业提供强有力的支持,促进业务的发展和创新。
数据中心提供的高性能计算和存储能力,可以满足企业日益增长的数据处理需求,支持大数据分析、人工智能和云计算等新兴技术的应用。
此外,数据中心还可以提供弹性扩展的能力,根据业务需求灵便调整计算和存储资源,提高业务的灵便性和响应能力。
4. 提升竞争力:数据中心建设可以匡助企业提升竞争力,获得更多商业机会和优势。
通过建设数据中心,企业可以更好地管理和利用自身的数据资源,提高业务流程的效率和质量,降低运营成本,增强企业的创新能力和市场竞争力。
数据中心还可以为企业提供更好的客户服务和支持,提升客户满意度和忠诚度,从而赢得更多的市场份额。
结论:数据中心建设是现代企业和组织不可或者缺的基础设施,具有提高数据管理效率、保障数据安全性、支持业务发展和提升竞争力等重要作用。
随着数据规模和复杂性的不断增加,数据中心建设的必要性将越发凸显。
数据中心建设
数据中心建设一、背景介绍数据中心是一个集中存储、管理和处理大量数据的设施,它在现代信息技术发展中起着至关重要的作用。
随着云计算、大数据和人工智能等技术的快速发展,数据中心的需求也越来越大。
为了满足企业和组织对数据存储和处理的需求,建设一个高效、安全、可靠的数据中心是至关重要的。
二、建设目标1. 提供高可靠性:确保数据中心的稳定运行,最大限度地减少系统故障和维护时间。
2. 提供高密度和高效能:充分利用有限的资源,提高数据中心的处理能力和效率。
3. 提供高安全性:保护数据中心的机密性、完整性和可用性,防止未经授权的访问和数据泄露。
4. 提供可扩展性:根据业务需求,灵便地扩展数据中心的容量和功能。
5. 提供绿色环保:优化能源利用,降低碳排放,减少对环境的影响。
三、建设步骤1. 需求分析:与业务部门合作,明确数据中心的需求和目标,包括存储容量、处理能力、安全级别等。
2. 设计规划:根据需求分析结果,制定详细的数据中心设计方案,包括硬件设备、网络架构、安全措施等。
3. 建设基础设施:搭建数据中心的基础设施,包括机房、供电系统、制冷系统、网络设备等。
4. 选购设备:根据设计方案,选购适合的服务器、存储设备、网络设备等硬件设备。
5. 网络架设:建立数据中心的网络架构,包括局域网、广域网、防火墙等网络设备的配置和连接。
6. 系统部署:安装和配置操作系统、数据库、应用软件等系统,确保其正常运行。
7. 安全措施:采取物理安全措施(如门禁、监控系统)、逻辑安全措施(如防火墙、入侵检测系统)和数据安全措施(如备份、加密)。
8. 测试和优化:对数据中心进行全面的测试,优化系统性能和稳定性。
9. 迁移和上线:将现有的数据迁移到新建的数据中心,并逐步启用新的数据中心。
10. 运维管理:建立完善的数据中心运维管理机制,包括设备监控、故障处理、容量规划等。
四、关键技术和措施1. 虚拟化技术:通过虚拟化技术,将物理资源抽象为虚拟资源,提高资源利用率和灵便性。
数据中心的网络安全建设
数据中心的网络安全建设在当今数字化时代,数据中心已成为企业和组织的核心基础设施,承载着大量的关键业务数据和信息。
然而,随着网络攻击手段的日益复杂和多样化,数据中心面临着前所未有的网络安全威胁。
网络安全建设对于保障数据中心的稳定运行和数据的安全至关重要。
数据中心的网络安全是一个多维度的问题,涉及到技术、管理和人员等多个方面。
首先,从技术层面来看,防火墙、入侵检测系统、防病毒软件等传统的安全防护手段仍然是基础。
防火墙可以对进出数据中心的网络流量进行过滤和控制,阻止未经授权的访问。
入侵检测系统能够实时监测网络中的异常活动,及时发现潜在的入侵行为。
防病毒软件则用于防范病毒、恶意软件等的攻击。
同时,随着云计算和虚拟化技术的广泛应用,数据中心的架构变得更加复杂,也带来了新的安全挑战。
例如,虚拟机之间的通信安全、虚拟网络的隔离等问题需要得到妥善解决。
此外,数据加密技术也是保障数据安全的重要手段。
对敏感数据进行加密存储和传输,可以有效防止数据泄露。
在网络架构设计方面,要遵循安全分区的原则,将不同业务和数据按照安全等级划分为不同的区域,并通过访问控制策略限制区域之间的访问。
合理的网络拓扑结构可以减少网络攻击的风险,提高网络的可管理性和安全性。
除了技术手段,完善的安全管理制度也是数据中心网络安全建设的重要组成部分。
要制定明确的安全策略和流程,包括用户认证和授权、密码管理、设备管理等。
定期进行安全审计和风险评估,及时发现和解决安全隐患。
同时,加强员工的安全意识培训,让员工了解网络安全的重要性,掌握基本的安全操作技能,避免因人为疏忽导致的安全事故。
在人员方面,要组建专业的网络安全团队,包括安全分析师、安全工程师等。
他们负责监控网络安全状况,应对突发的安全事件,以及不断优化和完善网络安全防护体系。
此外,与外部的安全服务提供商合作,获取专业的安全咨询和服务,也是提高数据中心网络安全水平的有效途径。
数据备份和恢复也是网络安全建设中不可忽视的环节。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
从安全的角度分析数据中心建设作者:宗薇来源:《信息安全与技术》2012年第06期【摘要】作为基础网络资源的一部分,数据中心因为其高效性、规模效应、高处理性能等,得到目前各行业的广泛认可,数据中心的快速发展也为新的业务和模式的运行提供了可能性。
但数据集中之后的信息安全问题也日益突显出来并更受到关注。
本文将主要从网络的角度来分析数据中心的安全问题,按照威胁类型的不同分成4类,并对不同的安全威胁提出基于相应网络技术的解决方案,以此来加强数据中心的安全建设。
【关键词】数据中心;安全威胁;拒绝服务;负载均衡Analyzing Construction of Data Center from the Security ViewpointZong Wei(China Foreign Affairs University, Computer Center Beijing 100037)【 Abstract 】 As an important part of fundamental network resources, Data Center has been widely recognized by different industries due to its high efficiency, scale effect and outstanding processing ability. With the fast development of Data Center, the possibility of new business mode emerges. However, the security problem becomes more and more urgent and concerned by the whole society. This thesis will, from the perspective of network, analyze the security problem of Data Center. Categorizing such problems into four kinds, this paper will bring up according solutions based on network technology, so that the security of Data Center can be strengthened.【 Keywords 】 data center; security threat; denial of service; load balance0 引言随着IT应用程度的日益提高,数据中心对于客户的价值与日俱增,相应的,数据中心的安全建设也迫在眉睫。
另外,信息安全等级保护、ISO27001等标准也对数据中心的安全建设提出了技术和管理方面的要求。
业务不同,数据中心的网络建设需求也不同。
如何区分不同需求的数据中心,从而进行安全等级划分,本文将从技术角度出发,深入分析设计数据中心方案时需要考虑的若干安全问题,最后提出数据中心方案设计的参考模型。
数据中心的安全需求有些是通用性的,如分区和地址规划问题、恶意代码防范问题、恶意入侵问题等;有些是独有的保密性需求,比如双层安全防护、数据库审计等;有些是独有的服务保证性需求,比如服务器、链路和站点的负载均衡、应用系统优化等。
总体来看,数据中心解决方案对于安全的需求可以从四个纬度来衡量:1)通用安全性需求;2)业务信息保密性需求;3)业务服务保证性需求;4)业务安全绩效性需求。
1 数据中心面临的主要威胁数据中心面临的主要威胁从4个角度分类后,表1列举了部分具有代表性的威胁。
2 威胁举例和应对方案2.1 通用安全类2.1.1攻击者通过恶意代码或木马程序,对网络、操作系统或应用系统进行攻击威胁举例在早期Apache Web服务器版本上的phf CGI程序,就是过去常被黑客用来读取服务器系统上的密码文件(/etc/password)、或让服务器为其执行任意指令的工具之一。
因此防御系统就会直接对比所有URL request中是否出现“/cgi-bin/phf”的字符串,以此判断是否出现phf 攻击行为。
攻击者在进行攻击时,为避免被入侵检测系统发现其行为,可能会采取一些规避手法,以隐藏其意图。
例如:攻击者会将URL中的字符编码成16进制的“%XX”,此时“cgi-bin”就会变成“%63%67%69%2d%62%69%6e”。
这就好比把“今天天气不错”翻译成“It’s a fine day today”,给一个中英文都懂的人听,虽然表达形式不同,但效果是一样的。
这样,单纯的字符串对比就会忽略掉这串编码值内部代表的意义。
攻击者也可将整个request在同一个TCP Session中切割成多个仅内含几个字符的小Packet,防御系统若没将整个TCP session重建,则仅能看到类似“GET”、“/cg”、“i”、“-bin”、“/phf”的个别Packet。
这就好比把一只95式自动步枪拆成刺刀、枪管、导气装置、瞄准装置、护盖、枪机、复进簧、击发机、枪托、机匣和弹匣,然后分成11个包裹邮递出去一样。
类似的规避方式还有IP Fragmentation Overlap、TCP Overlap 等各种较复杂的欺瞒手法。
安全建设目标a.应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力;b.应具有对网络、系统和应用的访问进行严格控制的能力;c.应具有对数据、文件或其他资源的访问进行严格控制的能力;d.应具有恶意代码检测、集中分析、阻止和清除能力;e.应具有防止恶意代码在网络中扩散的能力;f.应具有对恶意代码库和搜索引擎及时更新的能力。
技术解决方案在网络核心部署防火墙进行访问控制,基于最小授权原则保证对网络、系统和应用的访问进行严格控制。
通过在数据中心前部署应用层防御,保证了对URL request请求的检测、实时阻止的能力。
此时,方案需采用语法分析的状态机技术保证对于类似“GET”、“/cg”、“i”、“-bin”、“/phf”的分片报文攻击和“/cgi-bin/././phf”、“//cgi-bin//phf”、“/cgi-bin/blah/../phf?”等的变种攻击的检测和阻止;方案还需要采用一种攻击、多种特征匹配的方式解决16进制攻击码流的问题。
同时,需要整合攻击事件日志进行安全分析,找出攻击源并对整网的安全设施进行调整。
2.1.2内部人员未经授权接入外部网络、或下载/拷贝软件或文件、打开可疑邮件时引入病毒威胁举例前段时间,网络中有多个利用《功夫之王》传播的病毒,其中以“AV终结者变种”和艾妮蠕虫变种危害最大。
它们运行后,劫持安全软件,并通过网络自行下载更多其它病毒到电脑中运行。
经分析,下载列表的病毒中大部分是盗号木马,它们瞄准用户的网游、网银密码等敏感信息,给用户的网络财产安全带来极大隐患。
安全建设目标为了避免此类安全威胁,除以下恶意代码防护的建设目标外:a.应具有对恶意代码的检测、集中分析、阻止和清除能力;b.应具有防止恶意代码在网络中扩散的能力;c.应具有对恶意代码库和搜索引擎及时更新的能力。
还需增加如下建设目标:a.应具有网络边界完整性检测能力;b.应具有切断非法连接的能力;c.应具有防止未经授权下载、拷贝软件或者文件的能力;d.应确保对人员行为进行控制和规范。
技术解决方案最保险的办法当然是OA互联网出口和数据中心互联网出口相分离。
物理上隔离成OA网络和生产网络。
生产网络不允许终端对于互联网的访问。
另外,还应采取四项措施:a.无论OA、生产网的终端,都需要保证正版杀毒软件进行全面监控,开启杀毒软件自动更新功能,保持对最新病毒的防御能力;b.网页挂马利用的漏洞多有软件补丁,需要保证终端及时打补丁;c.通过对终端的检查,杜绝非法内联和外联,保证边界完整性;d.通过全网联动,实现切断非法行为的功能。
使得木马等程序不能和外界进行通讯,保证机密信息不会外泄。
2.2 业务信息安全类2.2.1利用技术或管理漏洞,未经授权修改重要系统数据或系统程序并否认自己的操作行为威胁举例公司内部经常有外来人员协同工作,对于网络的访问缺乏认证系统,能够无阻拦的访问核心数据库(以Oracle为例),对数据库的增/删/改没有技术手段进行事后追踪。
安全建设目标a.应该有保证数据库被合法人员访问的能力;b.应该有识别和记录对数据库操作的能力,包括插入、删除、存储等操作,并精确到SQL 语句。
技术解决方案通过旁路部署的方式,把对数据库的访问流量进行镜像,能够在数据库感知不到的前提下完成关键数据库的审计。
方案能够详细记录访问数据库的用户信息,包括:用户访问时间、下线时间、用户名、访问服务器的IP地址以及用户的IP地址信息;同时记录下用户的所有操作(包括但不限于select、insert、create、update、delete、grant和commit等)。
2.3 业务服务保证类2.3.1攻击者利用分布式拒绝服务攻击等拒绝服务攻击工具,恶意消耗网络、操作系统和应用系统资源,导致拒绝服务威胁举例分布式拒绝服务(DDoS)攻击工具“Tribe Flood Network 2000 (TFN2K)”是由德国著名黑客Mixter编写的同类攻击工具TFN的后续版本。
TFN2K通过主控端利用大量代理端主机资源对一个或多个目标进行协同攻击。
当前互联网中的UNIX、Solaris和Windows NT等平台的主机都能被用于此类攻击,而且这个工具非常容易被移植到其它系统平台上。
TFN2K由两部分组成:主控端主机上的客户端和代理端主机上的守护进程。
主控端向其代理端发送攻击指定的目标主机列表,代理端据此对目标进行拒绝服务攻击。
整个TFN2K网络可能使用不同的TCP、UDP或ICMP包进行通讯。
对目标的攻击方法包括TCP/SYN、UDP、ICMP/PING或BROADCAST PING(SMURF)数据包flood等。
安全建设目标a.应具有限制网络、操作系统和应用系统资源使用的能力;b.应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力;c.应具有合理分配、控制网络、操作系统和应用系统资源的能力。
技术解决方案由于DDoS攻击并非频繁发生,所以在网络中串接设备进行防御一般被认为是不必要并且增加故障点的。
目前的防御方案向两个方向发展。
一是在防火墙、IPS等设备上面完成防御。
优点是不需要额外部署设备且不引入新的故障点;缺点是功能易重叠且只能完成一般攻击防范,对于大流量的环境和复杂的攻击类型捉襟见肘。