数据中心安全防护之道
数据中心安全防护之道
摘要:在大数据发展的驱动下,未来高性能数据中心防火墙会在两个方面发展。第一,大型数据中心或者云数据中心中,用户访问数据中心,以及数据中心直接的访问流量都会导致南北向流量继续增长,导致大型数据中心出口带宽流量会由目前的超过200Gbps,到2015年将接近1Tbps的水平。第二,数据中心中的应用类型变得越来越多样化。
随着互联网及其相关应用产业的发展,内容更丰富、服务更深层的网络服务提供商横空出世。数据中心作为一个重要的网络服务平台,它通过与骨干网高速连接,借助丰富的网络资源向网站企业和传统企业提供大规模、高质量、安全可靠的专业化服务器托管等业务。
互联网应用日益深化,数据中心运行环境正从传统客户机/服务器向网络连接的中央服务器转型。受其影响,基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素,一些未实施正确安全策略的数据中心,黑客和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害,而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备,但对于日趋成熟和危险的各类攻击手段,这些传统的防御措施仍然显得力不从心。
高性能和虚拟化仍然是根本要求
虽然针对数据中心的安全服务遍及各大行业,甚至很多细分行业领域,但是对于数据中心的安全建设要求还是存在一定共性的。Fortinet中国区首席技术顾问谭杰认为,高性能和虚拟化是当前数据中心安全防护解决方案的两大基础共性。谭杰进一步解释道,数据中心,尤其是云计算数据中心的海量业务,对安全系统的吞吐量、延迟和会话能力都提出了极高的要求。关键点在于,数据中心中多租户模式而导致的业务种类繁多的特点,很难事前对大小数据包的比例进行规划和设计,因此非常需要安全设备的性能对大小包不敏感,即小包(如64字节)性能与大包相同。另外,云计算数据中心的虚拟化场景需要安全解决方案的良好配合。例如:为每个租户分配不同的虚拟安全设备及管理账号,让其自行管理,这就要求安全设备的虚拟化是完整的(包括接口、路由、策略、管理员等各种对象)。另外不同租户的业务不同,对安全保护的要求也各不相同。例如Web服务商需要IPS,邮件服务商需要反垃圾邮件,这就要求安全设备的所有功能都能在虚拟化之后正常工作。
对于上述观点,华为安全产品线营销工程师刘东徽也认为,数据中心防火墙的性能要基于“真实流量”来看,而不是简单的在某一种特定类型数据流量环境下的性能。目前数据中心的流量主要集中于东西向(数据中心内数据交换),而南北向(数据中心出口)流量较少。但是由于连接请求的基数很大,因此对于防护设备的性能和并发连接数的支持都要求相当高。我们正处于一个大数据的时代,80%-90%
的数据都是近两年产生的,而到2015年,全球的IP流量将会翻四倍,在线人数也将冲击30亿人大关。华为安全产品线营销工程师石金利补充道,虚拟化的产生,使得服务器、存储、带宽等数据中心资源的利用率大幅提升,而产生的影响就是可同时访问资源的用户数量极大地膨胀,由此导致了数据中心防护设备对于并发数量的支持要求更高。另外,当数据中心的一台服务器宕机之后,防火墙要能够将安全策略动态迁移到冗余的服务器上,实现自动策略部署。因此,数据中心防护设备必须要做到高性能、高可靠性、灵活部署和可扩展。
谭杰对于高性能的需求方面也持认同态度。他表示,当前的云数据中心对安全产品的性能要求达到了前所未有的高度,吞吐量动辄高达百G以上,延迟、小包吞吐率(包转发率)、会话能力要求也极高。另一方面,机房空间、能耗等也是制约数据中心发展的重要因素。因此节能、环保、绿色也是数据中心安全建设的一大要求。
完全虚拟化还是部分虚拟化?
目前,业界对于云数据中心内部的虚拟化提出了完全虚拟化(即在虚拟化服务器上的一个虚拟机)和部分虚拟化(即一台防火墙虚拟多台防火墙)两种方式来解决云数据中心虚拟机内部流量和虚拟机之间流量的安全检查问题。
谭杰指出,在云计算时代,虚拟化的确成了防火墙(包括下一代防火墙、UTM等多功能网关)的必备功能。安全部署必须无缝贴合云计算虚拟化的结构。完全独立的虚拟化,全功能虚拟化。这两点看似既简单又理所应当,但实际实现还是有较高技术难度的,需要云计算数据中心的注意。
华为的两位工程师向记者表示,华为在这两个方向的虚拟防火墙解决方案上都在努力。同时他们也表示,纯虚拟化的防火墙在开启安全检查的时候会极大地消耗服务器的性能,也会带来更高的管理和维护成本。其实,不论是厂商还是用户都在寻找一个关于服务器上纯虚拟化防火墙和出口防火墙部署的平衡点。
Hillstone首席顾问陈怀临也向记者表示,目前的安全解决方案在东西向流量上趋于要求低延迟和高吞吐。而防火墙一般只用于检测南北向的流量。尤其是目前Hadoop以及存储技术的发展,大量的数据在多个数据中心之间快速地流通。因此,对于快速转发提出了很高的要求,也导致了对于东西向的流量不采用防火墙的现象。而根源是目前没有合适的产品满足这种高性能需求。他还举了一个例子,从数据中心的收敛比来看,如果一个云数据中心做五万个虚拟机的安全检查需要200G的吞吐,而目前并没有性价比更好的防火墙。另外虚拟机之间的安全检查与以往并无区别,只是虚拟机的增加会对安全检查提出更高的要求。
然而,陈怀临对于纯虚拟化的防火墙并不认同。“受限于服务器负载,高端的安全检查并不能在服务器内部做,还是要将流量牵引出来。”陈怀临如是说。因此,虚拟化的产生对于真正高端的防火墙有很大的需求,前提是价格可以接受。他强调,基于网络的安全一定是流量牵引出来检查的方式,纯虚拟化的防火墙是个伪命题。因此,流量只在虚拟机内部做安全检查,对于大规模的数据中心很难做,并不只是服务器本身负载的问题,IT运维一致化也是重点,而现在的数据中心恰恰很难做到运维一致化。因此,从最佳实践的角度来讲,纯虚拟化防火墙并不适合,流量牵引出来才是王道。
零日攻击防范新招数
针对系统缺陷的应用攻击已成为数据中心面临的主要威胁。而漏洞发现到攻击的时间跨度越来越短,甚至来不及打补丁。数据中心应如何应对由应用漏洞产生的安全威胁呢?谭杰认为,零日攻击的泛滥使得数据中心不能依赖单一功能的安全设备,尤其是仅仅基于特征防御的安全产品。例如WAF(Web应用防火墙)同时通过特征和行为对攻击进行防御,对Web服务的保护效果就好于IPS。用户需要的安全解决方案要集多种安全特性(防火墙、IPS、病毒防御、DLP、内容过滤等)于一身,并结合应用层防御技术(如Web应用防护、数据库安全等),各项安全技术有机结合,互相保护,时刻监控并防御APT攻击的各种入侵手段,打造一个全方位立体安全体系。
陈怀临也提出了自己的看法。他认为,传统基于签名的检测方法对于零日攻击的防护并没有起到很好的效果。现在大家普遍使用Sandbox(沙盒)来进行模拟,通过虚拟现实的环境来检查未知恶意软件,对于未知威胁或者零日攻击的防护,借用大数据分析的方式,对行为进行主动识别,将是下一个发展方向。大数据与网络安全的结合也将是网络安全的下一个春天。当然,如果要将全部的判断都基于行为是否异常来进行,在建模和大数据的分析上都是难点。另外,由于防火墙必须是在主干路上的,因此对于性能和稳定性的要求都很高。虽然对于硬件平台也提出了新的挑战,但却是一个可行的方向,而Hillstone希望引领这个潮流。
事实上,一些安全软件厂商已经将基于行为的分析用作对于未知恶意软件的安全检查之中,并且效果很好。然而,由于大数据也只是新兴概念,基于大数据的行为分析究竟价值几何,还需要时间的验证。
本地防御和云清洗搭建DDoS防御网
目前市场上很多厂商的防火墙中都含有Anti-DDoS功能,然而,防火墙和IPS
是否可以有效保护网络设施免受DDoS侵害呢?石金利认为,如果防火墙中的
Anti-DDoS功能不是单独的板卡,是不能防御DDoS攻击的。对于DDoS的防护,必须要使用专用的Anti-DDoS设备。作为电信运营商流量清洗业务的合作伙伴,合泰云天创始人郭庆表示,防火墙与入侵检测IPS通常串行部署在网络下游的网关位置,是基于状态检测的访问控制系统,本身就是DDoS的一个攻击目标,在设备新建连接与状态连接耗尽时成为网络瓶颈。DDoS防护的最佳实践应该是:流量清洗中心与运营商BGP路由调度控制。
石金利认为,如果防火墙中的Anti-DDoS功能不是单独的板卡,一旦开启DDoS 防护功能,可能会对防火墙的基本转发,甚至会话表等资源造成巨大的消耗,造成性能极大下降。对于DDoS的防护,必须要使用专用的Anti-DDoS设备或者专门的板卡。对于满带宽的DDoS攻击,在链路上游对于流量的清洗是DDoS防御最为有效的方式。然而,从统计数据来看,数据中心发生的攻击90%以上不足以造成数据中心出口带宽拥塞,基本是以业务瘫痪型攻击为主,只有10%不到的攻击是将数据中心的链路完全拥塞的。因此,如果是应用型的DDoS攻击,由于流量在本地带宽控制以内,所以本地清洗即可,一旦遇到针对基础设施的大流量拥塞型泛洪攻击,在链路上游的清洗还是必要手段。最完美的方式是将数据中心侧和
运营商侧进行联动,实现分层防御。即运营商侧管道拥塞型攻击,数据中心侧防范业务瘫痪型DDoS攻击。华为的Anti-DDoS解决方案目前在运营商侧有广泛应用,结合数据中心侧的Anti-DDoS可以实现全网联动的“云清洗”战略。
随着黑客技术发展、网络带宽的普遍增加、僵尸主机数量的不断扩大,现在的业务瘫痪型攻击也不再是以前的百兆级别的了。在2012年,发现数起千兆级别的CC攻击,因此高性能是数据中心DDoS防护方案的重点。同时,对于攻击防护的设备精准度也必不可少。一方面,能够精准识别每一次攻击;另一方面,误判更是客户不能容忍的。现在,智能终端的普遍应用会给传统的防护设备带来更多的挑战,如何保证智能终端访问不受影响成为新的课题。
郭庆认为,虽然造成链路瘫痪的攻击数量上少于出口带宽,但正是这种DDoS攻击对数据中心系统,甚至整个数据中心造成致命伤害。这时,数据中心需要考虑投入产出比,虽然不能一味地增加对于DDoS防护的投入。当问及数据中心在DDoS 防护上的投入应该如何做预算时,郭庆说道:“数据中心一年受到DDoS大面积影响的总小时数期间损失利润的20%-30%作为流量清洗投资的预算较为合适。”
他谈到在大规模DDoS攻击发生时,整个网络的上下游均出现故障,实现最佳的防御效果需要三个条件:1. 有经验和技能的清洗专家; 2. 与上游运营商的热线机制; 3. 快速检测攻击变化与应急灾备能力。云清洗是DDoS防护的大趋势,厉害的DDoS攻击者手法多,变化快,时常需要定制正则语法来清洗,大规模攻击的清洗位置越靠近上游越好。云清洗服务商需要具备自治域AS号进行BGP路由调度控制与DNS全网策略控制能力,才能带给客户良好的网络服务品质。
他进一步阐述道:页面被篡改,数据泄露这种事情客户是不会找运营商的,一般是自己关起门来商量对策。所以运营商在上游只需清洗大流量攻击,清洗开通后的关键是防止误杀正常业务,这方面运营商需要专业的清洗技术服务。不过最近一些新型的攻击导致客户系统提供不了服务,如访问出错、页面访问缓慢,客户也会找到运营商一起判断处理。这些新型的攻击很多时候对性能有较大影响,严重的时候引起系统会宕机,有时很难快速分清现象根源,这也是需要专业清洗技术服务的原因。
郭庆还强调,云清洗是DDoS防御最终的发展方向,大规模DDoS清洗方向是运营商主导的云清洗联盟机制,中小规模DDoS清洗方向是云清洗专业服务商。
今天,以云数据中心为依托提供各种服务的商业模式已日渐明朗。因此,云数据中心自身的可用性一直是业务永续运行的关键因素,谈云的信息安全威胁,首先要在可用性的前提下才能进一步解决信息的完整性与保密性方面的问题。
谭杰指出,安全边界的模糊使得内网安全与外网安全同等重要。因此建议数据中心构建者做到如下四件事:第一,能够严格地按区域划分,不同的租户,不同的应用划分至不同的安全域,使用安全产品进行隔离与保护;第二,部署端到端的安全防御手段。例如运行在VM上的安全设备,可以将防御能力部署到每一台物理服务器上;第三,对网络访问行为进行严格管理。通过技术和管理手段规范BYOD行为,对僵尸网络、网络滥用等进行有效防御;第四,使用多功能安全网关
(如下一代防火墙或UTM)来替代传统防火墙,在保护业务流量时,出于性能考虑,可能只会用到防火墙、IPS等功能,但在保护管理流量时,可启用二至七层的多种安全功能(防病毒、应用控制、BYOD管理、内容过滤、数据泄漏防护、VPN等)。业务流和管理流划分至不同的虚拟设备中,保证各自的独立性。
石金利在采访最后表示,在大数据发展的驱动下,未来高性能数据中心防火墙会在两个方面发展。第一,大型数据中心或者云数据中心中,用户访问数据中心,以及数据中心直接的访问流量都会导致南北向流量继续增长,导致大型数据中心出口带宽流量会由目前的超过200Gbps,到2015年将接近1Tbps的水平。第二,数据中心中的应用类型变得越来越多样化。数据中心流量传输不仅会在用户与设备间(如网页浏览),也可能存在于用户与用户间(如社交软件),以及设备与设备(如GPS)之间。接入数据中心的设备类型也变得更加多种多样。同时,伴随虚拟化的发展,进一步复杂化了业务模型。作为放置在数据中心出口的防火墙,需要适应在更加复杂的应用流量模型下提供更高的处理性能,以适应大数据发展。
数据中心安全建设方案
数据中心安全建设方案
数据中心安全解决方案
目录 第一章解决方案 (2) 1.1建设需求 (2) 1.2建设思路 (2) 1.3总体方案 (3) 1.3.1 IP准入控制系统 (4) 1.3.2 防泄密技术的选择 (6) 1.3.3 主机账号生命周期管理系统 (6) 1.3.4 数据库账号生命周期管理系统.. 7 1.3.5 令牌认证系统 (7) 1.3.6 数据库审计系统 (8) 1.3.7 数据脱敏系统 (8) 1.3.8 应用内嵌账号管理系统 (9) 1.3.9 云计算平台 (12) 1.3.10 防火墙 (13) 1.3.11 统一安全运营平台 (13) 1.3.12 安全运维服务 (15) 1.4实施效果 (15) 1.4.1 针对终端接入的管理 (15) 1.4.2 针对敏感数据的使用管理 (16) 1.4.3 针对敏感数据的访问管理 (17) 1.4.4 针对主机设备访问的管理 (17)
1.4.5 针对数据库访问的管理 (18) 1.4.6 针对数据库的审计 (19) 1.4.7 针对应用内嵌账号的管理 (21) 1.4.8 安全运营的规范 (21) 1.4.9 针对管理的优化 (22) 第二章项目预算及项目要求 (23) 2.1项目预算 (23) 2.1.1 项目一期预算 (23) 2.1.2 一期实现目标 (24) 2.2项目要求 (25) 2.2.1 用户环境配合条件 (25)
第一章解决方案 1.1建设需求 XXX用户经过多年的信息化建设,各项业务都顺利的开展起来了,数据中心已经积累了很多宝贵的数据,这些无形的资产比硬件资产还重要,但它们却面临着非常大的安全挑战。 在早期的系统建设过程中,大多用户不会考虑数据安全、应用安全层面的问题,经过多年的发展,数据中心越来越庞大,业务越来越复杂,但信息安全完全没有配套建设,经常会发生一些安全事件,如:数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况,而这些安全事件往往都是特权用户从后台直接操作的,非常隐蔽,这时候往往无从查起。 其实,信息安全建设在系统的设计初期开始,就应该要介入,始终贯穿其中,这样花费的人力物力才是最小。当一个系统建成后,发现问题了,回头再来考虑安全建设,这样投入的成本将会变得最大。 1.2建设思路 数据中心的安全体系建设并非安全产品的堆砌,它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系,涉及众多的安全技术,实施过程需要涉及大量的调研、咨询等工作,还会涉及到众多的安全厂家之间的协调、产品的选型,安全系统建成后怎么维持这个生态体系的平衡,是一个复杂的系统工程,一般建议分期投资建设,从技术到管理,逐步实现组织的战略目标。 整体设计思路是将需要保护的核心业务主机包及数据库围起来,与其他网络区域进行逻辑隔离,封闭一切不应该暴漏的端口、IP,在不影响现有业务的情况下形成数据孤岛,设置固定的数据访问入口,对入口进行严格的访问控制及审计。由之前的被动安全变为主动防御,控制安全事故的发生,对接入系统
云数据中心边界防护项目解决方案v1.0[文字说明]
云数据中心边界安全解决方案 -安全网关产品推广中心马腾辉 数据中心的“云化” 数据中心,作为信息时代的重要产物之一,先后经历了大集中、虚拟化以及云计算三个历史发展阶段。在初期的大集中阶段中,数据中心实现了将以往分散的IT资源进行物理层面的集中与整合,同时,也拥有了较强的容灾机制;而随着业务的快速扩张,使我们在软、硬件方面投入的成本不断增加,但实际的资源使用率却很低下,而且灵活性不足,于是便通过虚拟化技术来解决成本、使用率以及灵活性等等问题,便又很快发展到了虚拟化阶段。 然而,虚拟化虽然解决了上述问题,但对于一个处于高速发展的企业来讲,仍然需要不断地进行软、硬件的升级与更新,另外,持续增加的业务总会使现有资源在一定时期内的扩展性受到限制。因此,采用具有弹性扩展、按需服务的云计算模式已经成为当下的热点需求,而在这个过程中,数据中心的“云化”也自然成为发展的必然! 传统边界防护的“困局” 云计算的相关技术特点及其应用模式正在使网络边界变得模糊,这使云数据中心对于边界安全防护的需求和以往的应用场景相比也会有所不同。在云计算环境下,如何为“云端接入”、“应用防护”、“虚拟环境”以及“全网管控”分别提供完善、可靠的解决方案,是我们需要面对的现实问题。因此,对于解决云数据中心的边界安全问题,传统网关技术早已束手无策,而此时更需要依靠下一代网关相关技术来提供一套体系化的边界安全解决方案! 天融信云数据中心边界安全防护解决方案
面对上述问题,天融信解决方案如下: 通过TopConnect虚拟化接入与TopVPN智能集群相结合,实现“云端接入”安全需求; 通过在物理边界部署一系列物理网关来对各种非法访问、攻击、病毒等等安全威胁进行深度检测与防御,同时,利用网关虚拟化技术还可以为不同租户提供虚拟网关 租用服务,实现“应用防护”安全需求; 通过TopVSP虚拟化安全平台,为虚拟机之间的安全防护与虚拟化平台自身安全提供相应解决方案,实现“虚拟环境”安全需求; 通过TopPolicy智能化管理平台来将全网的网络及安全设备进行有效整合,提供智能化的安全管控机制,实现“全网管控”安全需求; 技术特点 ●虚拟化 ?网关虚拟化:
数据中心安全规划方案
XX数据中心信息系统安全建设项目 技术方案
目录1.项目概述4 1.1.目标与范围4 1.2.参照标准4 1.3.系统描述4 2.安全风险分析5 2.1.系统脆弱性分析5 2.2.安全威胁分析5 2.2.1.被动攻击产生的威胁5 2.2.2.主动攻击产生的威胁5 3.安全需求分析7 3.1.等级保护要求分析7 3.1.1.网络安全7 3.1.2.主机安全8 3.1.3.应用安全9 3.2.安全需求总结9 4.整体安全设计10 4.1.安全域10 4.1.1.安全域划分原则10 4.1.2.安全域划分设计11 4.2.安全设备部署12 5.详细安全设计13 5.1.网络安全设计13 5.1.1.抗DOS设备13 5.1.2.防火墙14 5.1.3.WEB应用安全网关15 5.1.4.入侵防御16
5.1.5.入侵检测17 5.1. 6.安全审计18 5.1.7.防病毒18 5.2.安全运维管理19 5.2.1.漏洞扫描19 5.2.2.安全管理平台19 5.2.3.堡垒机21 6.产品列表21
1.项目概述 1.1.目标与范围 本次数据中心的安全建设主要依据《信息安全技术信息安全等级保护基本要求》中的技术部分,从网络安全,主机安全,应用安全,来对网络与服务器进行设计。根据用户需求,在本次建设完毕后XX数据中心网络将达到等保三级的技术要求。 因用户网络为新建网络,所以本次建设将完全按照《信息安全技术信息安全等级保护基本要求》中技术部分要求进行。 1.2.参照标准 GB/T22239-2008《信息安全技术信息安全等级保护基本要求》 GB/T 22239-2008《信息安全技术信息安全等级保护基本要求》 GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》 GB/T 20270-2006《信息安全技术网络基础安全技术要求》 GB/T 25058-2010《信息安全技术信息系统安全等级保护实施指南》 GB/T 20271-2006《信息安全技术信息系统安全通用技术要求》 GB/T 25070-2010《信息安全技术信息系统等级保护安全设计技术要求》 GB 17859-1999《计算机信息系统安全保护等级划分准则》 GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》 1.3.系统描述 XX数据中心平台共有三个信息系统:能源应用,环保应用,市节能减排应用。 企业节点通过企业信息前置机抓取企业节点数据,并把这些数据上传到XX 数据中心的数据库中,数据库对这些企业数据进行汇总与分析,同时企业节点也可以通过VPN去访问XX数据中心的相关应用。
数据中心安全管理解决方案
1.1 建设思路 数据中心的安全体系建设并非安全产品的堆砌,它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系,涉及众多的安全技术,实施过程需要涉及大量的调研、咨询等工作,还会涉及到众多的安全厂家之间的协调、产品的选型,安全系统建成后怎么维持这个生态体系的平衡,是一个复杂的系统工程,一般建议分期投资建设,从技术到管理,逐步实现组织的战略目标。 整体设计思路是将需要保护的核心业务主机包及数据库围起来,与其他网络区域进行逻辑隔离,封闭一切不应该暴漏的端口、IP,在不影响现有业务的情况下形成数据孤岛,设置固定的数据访问入口,对入口进行严格的访问控制及审计。由之前的被动安全变为主动防御,控制安全事故的发生,对接入系统的人员进行有效的认证、授权、审计,让敏感操作变得更加透明,有效防止安全事件的发生。 在访问入口部署防火墙、账号生命周期管理系统、数据加密系统、令牌认证系统、审计系统等安全设施,对所有外界向核心区域主机发起的访问进行控制、授权、审计,对流出核心区域的批量敏感数据进行加密处理,所有加密的数据将被有效的包围在安全域之内,并跟踪数据产生、扭转、销毁的整个生命周期,杜绝敏感数据外泄及滥用行为。 为了保证XXX用户的业务连续性,各安全子系统都采用旁路的方式部署到网络当中,其中账号生命周期管理系统、审计系统、数据库都采用双机的模式,以提供自身的高可靠性;加密系统、特权账号生命周期管理系统、令牌认证系统都建议部署在VMware云计算平台上,利用VMware 强大的服务器虚拟化能力为防泄密系统提供良好的可靠性与可扩展性保证。
1.2 建设需求 XXX用户经过多年的信息化建设,各项业务都顺利的开展起来了,数据中心已经积累了很多宝贵的数据,这些无形的资产比硬件资产还重要,但它们却面临着非常大的安全挑战。 在早期的系统建设过程中,大多用户不会考虑数据安全、应用安全层面的问题,经过多年的发展,数据中心越来越庞大,业务越来越复杂,但信息安全完全没有配套建设,经常会发生一些安全事件,如:数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况,而这些安全事件往往都是特权用户从后台直接操作的,非常隐蔽,这时候往往无从查起。 其实,信息安全建设在系统的设计初期开始,就应该要介入,始终贯穿其中,这样花费的人力物力才是最小。当一个系统建成后,发现问题了,回头再来考虑安全建设,这样投入的成本将会变得最大。 1.3 总体方案 信息安全系统整体部署架构图
数据中心的消防与安全
数据中心灭火气体灭火剂:七氟丙烷 概述 计算机机房是每个企事业单位重要部门,机房IT系统运行和存储着都是核心数据,由于IT设备及有关的其他设备本身对消防的特殊要求,必须对这些重要设备设计好消防系统,是关系IT设备正常运作及保护好设备的关健所在;机房灭火系统禁止采用水、泡沫及粉末灭火剂,适宜采用气体灭火系统;机房消防系统应该是相对独立的系统,但必须与消防中心的联动。一般大中型计算机机房,为了确保安全并正确地掌握异常状态,一旦出现火灾能够准确、迅速地报警和灭火,需要装置自动消防灭火系统。 气体灭火系统设计流程: ·根据设计规确定需设置气体灭火系统的房间,选定气体灭火剂类型。 ·划分防护区及保护空间,选定系统形式,确认储瓶间位置。 ·根据相关设计规计算防护区的灭火设计用量,确定灭火剂储瓶的数量。 ·确定储瓶间的瓶组布局,校核储瓶间大小是否合适。 ·计算防护区灭火剂输送主管路的平均流量,初定主管路的管径及喷头数量。 ·根据防护区实际间隔情况均匀布置喷头及管路走向,尽量设置为均衡系统,初定各管段管径。 ·根据设计规上的管网计算方法,校核并修正管网布置及各管段管径直至满足规要求,确定各喷头的规格。 ·根据设计方案统计系统设备材料。 ·对设计方案综合评估,必要时作优化调整。 消防自动报警系统 机房应单独设立一套消防自动报警系统,包括以下设备: ·气体灭火控制器 用于接收火灾探测器的火警信号、发出声光报警、启动联动设备、发出释放灭火剂的启动信号、接收喷洒反馈信号并显亮喷放指示灯等,具有火灾报警、消声、复位、紧急启动、手动/自动转换、故障报警、主备电源自动切换等功能。工程应用上,气体灭火控制系统与火灾自动报警系统(FAS)是两个互相独立的系统。气体灭火控制器把防护区的动作信号发送到消防控制中心,这些信号包括火灾信息捕获、灭火动作、手动/自动转换、系统故障等。防护区需联动的开口封闭装置、通风机械、防火阀等可由火灾自动报警系统(FAS)或气体灭火控制器控制,这些消防联动控制设备的动作状态应在消防控制中心显示。
数据中心集成安全解决方案
数据中心集成安全解决方案 1.系统功能简介 ?数据中心负责存储、计算和转发企业最重要的数据信息,这些信息的安全可靠成为了企业发展和生存的前提条件。思科数据中心安全保护套件提供数据中心信息的安全防护。 ?考虑到Cisco Catalyst 6500系列交换机已经广泛部署在企业数据中心,安全套件主要由内嵌防火墙模块(FWSM)和内嵌入侵检测系统模块(IDSM)两个组件构成。 ?FWSM使用一个实时的、牢固的嵌入式系统,可以消除安全漏洞,防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法(ASA)的保护机制,它可以提供面向连接的全状态防火墙功能。利用FWSM可以根据源地址和目的地地址,随机的TCP序列号,端口号,以及其他TCP标志,为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略,控制所有输入和输出的流量。IDSM对进入网络的流量进行旁路的深层数据包检测,判断和分析数据包是否能够安全的在数据中心进行发送、接收,防止业务资产受到威胁,提高入侵防范的效率。 ?思科数据中心安全保护套件示意图如下:
2.系统先进特性 ?灵活的扩展性:集成模块 FWSM安装在Cisco Catalyst 6500系列交换机的内部,让交换机的任何物理端口都可以成为防火墙端口,并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说,这种功能非常重要。系统可以通过虚拟防火墙功能将一台物理的防火墙模块划分为最多250台虚拟的防火墙系统,以满足用户业务的不断扩展。IDSM可以通过VLAN访问控制列表(VACL)获取功能来提供对数据流的访问权限,并根据自己的需要,同时安装多个模块,为更多的VLAN和流量提供保护。当设备需要维护时,热插拔模块也不会导致网络性能降低或者系统中断。 ?强大的安全防护功能:该系统不仅可以保护企业网络免受未经授权的外部接入的攻击,还可以防止未经授权的用户接入企业网络的子网、工作组和LAN。强大的入侵检测能力还可以提供高速的分组检查功能,让用户可以为各种类型的网络和流量提供更多的保护。多种用于获取和响应的技术,包括SPAN/RSPAN和VACL获取功能,以及屏蔽和TCP重置功能,从而让用户可以监控不同的网段和流量,同时让产品可以采取及时的措施,以消除威胁。 ?便于管理:设备管理器的直观的图形化用户界面(GUI)可以方便的管理和配置FWSM。系统更加善于检测和响应威胁,同时能够就潜在的攻击向管理人员发出警报,便于管理人员及时对安全事件进行响应。 3.系统配置说明(硬件软件需要与产品列表) ?FWSM+IDSM(详细报价请参考Excel文件) ?系统配置说明: Catalyst 6500 IDSM-2入侵检测模块需购买签名(IPS SIGNATURE)升级服务。
数据中心信息安全管理及管控要求(正式)
编订:__________________ 单位:__________________ 时间:__________________ 数据中心信息安全管理及管控要求(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-5815-73 数据中心信息安全管理及管控要求 (正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 随着在世界范围内,信息化水平的不断发展,数据中心的信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前,在信息安全管理方面,英国标准ISO27000:2005已经成为世界上应用最广泛与典型的信息安全管理标准,它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。 ISO27001标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全
数据中心安全管理制度
数据中心安全管理制度 ST-YW-ZD-1.3
目录 一、适用范围 (3) 二、门禁安全管理 (3) 三、机房保安制度 (3) 四、机房消防制度 (4) 五、视频监控管理 (5)
一、适用范围 计算数据中心 二、门禁安全管理 1)机房门禁卡管理系统由专人管理,门禁卡应严格控制,统一调配 2)门禁卡按照一人一卡的原则配置,设置确定的权限,不得借给他人使用 3)门禁必须设有紧急开关按钮,出现紧急情况可以通过击碎紧急按钮玻璃逃生第四条 4)平时不使用的机房门必须从机房内侧反锁,门上用十字封条封死; 5)门禁系统需与消防联动,当消防告警,门禁系统自动失效,机房内人员可以逃生 6)门禁卡必须设置备用卡,由专人保管,在紧急事件中使用 7)门禁系统实行分级授权管理制度,授权相应办公人员的进入级别,并可限制其进入的 区 8)员工进入数据中心及相应办公区域必须使用门禁感应卡 9)门禁感应卡的持有人有责任保管好自己的感应卡,若有遗失,需立即通知管理人员禁 止该丢失卡的使用权限,持卡人在使用中发现问题应立即联系管理人员维修,持卡人若离职或调动,管理人员需将感应卡收回或重新设定使用权限 10)申请办理门禁卡,设定使用权限或者其他人员因遗失申请补办门禁卡,需报机房服务 部批准并发卡,由相关人员设置权限,原则上不为客户提供门禁卡 11)持卡人应刷卡出入权限规定的机房,确保门禁系统的记录完整、真实;相关单位新增 门禁卡或变更门禁卡权限,需专门提出书面申请填写《数据中心门禁权限申请表》,经相关领导申批通过后,由门禁系统管理人员负责核实并制卡 12)数据中心所有门需常闭,即进出后随手关门 三、机房保安制度 1)各岗位保安应着制服,保持仪容整洁、精神状态佳、态度和蔼、认真负责 2)坚守岗位,不擅离职守,因事离开岗位时必须有人代班,无关人员不得进入保安室 3)值班保安严禁睡觉、看小杂志、酗酒、听收音机等做与工作无关的事,监守自盗 4)不定时巡察机房重要区域的安全,防止意外事件的发生 5)发生民事纠纷,应及时劝阻和制止,并及时报告保安队长或综合管理部处理 6)接班后,警具、警械应随身携带,不得交于无关人员玩耍
数据机房A安全防护方案
移动数据中心机房A 安全防护方案 河北建设集团有限公司
河北建设集团有限公司移动数据机房A安全防护施工方案 目录 一、编制依据 (2) 二、工程概况 (3) 三、施工安全防范部署 (4) 四、防护措施及方法 (4) 五、安全管理制度 (12)
一、编制依据 1.中国移动(河北保定)数据中心一期工程数据机房A施工图纸 2.国家有关现行施工验收规范、规程和标准 《建筑施工高处作业安全技术规范》JGJ80—91 《建筑施工扣件式钢管脚手架安全技术规范》JGJ130—2011 《建筑机械使用安全技术规程》JGJ33-2012 《施工现场临时用电安全技术规程》JGJ46-2005 《建筑施工安全检查标准》JGJ59-2011 《建筑施工手册》第五版 3.河北省、保定市建委、安监站所颁发的有关规定、办法和通知。 4.我公司同类工程的施工经验和有关企业工法。
二、工程概况 1.一般概况 (1) 工程名称:中国移动(河北保定)数据中心一期工程数据机房A (2) 建设单位:中国移动通信保定分公司 (3) 设计单位:江苏省邮电规划设计院有限责任公司 (4) 监理单位:保定市建设监理有限公司 (5)施工单位:河北建设集团有限公司 2.工程概况 1)工程位置:中国移动(河北保定)数据中心一期工程位于复兴路北、焦银路东,数据中心机房A位于一期工程西南角 建筑规模:建筑面积24797.47m2,地下建筑面积42.84m2,地上建筑面积24754.63m2。 2)施工条件与环境:本工程位于复兴路北、焦银路东,属于开发区。在整个施工过程中,坚持安全第一、社会效益第一;经济效益和社会效益相一致即“方便人民生活,有利于发展生产,保护生态环境”的原则。在施工期间,将严格遵守保定市建设行政主管部门、建设单位、监理单位等有关部分安全文明施工管理的规定,认真制订针对本项目的环保、安全、消防、治安保卫和邻近建筑物的保护及现场文明施工、环境保护等管理措施,做到安全施工、文明施工,及时解决由施工造成的对周边环境的影响。 3.主要施工方法 土方开挖采用反铲挖掘机进行作业,基坑边坡采用1:0.35系数放坡,桩基采用灌注桩施工;主体施工混凝土采用商品混凝土,混凝土运输采用搅拌
数据中心机房用电安全防护措施正式版
In the schedule of the activity, the time and the progress of the completion of the project content are described in detail to make the progress consistent with the plan.数据中心机房用电安全防护措施正式版
数据中心机房用电安全防护措施正式 版 下载提示:此解决方案资料适用于工作或活动的进度安排中,详细说明各阶段的时间和项目内容完成的进度,而完成上述需要实施方案的人员对整体有全方位的认识和评估能力,尽力让实施的时间进度与方案所计划的时间吻合。文档可以直接使用,也可根据实际需要修订后使用。 1. 综述 为尽量避免机房内电力意外事故,以保障人身安全、防止设备损坏及影响供电系统等为目的。规范数据中心机房设备加电、日常操作的用电安全防护措施,制定本文档。 2. 范围 本文档适用于北京移动数据中心所有机房(菜市口、望京、昌平、丰台、大白楼)。 3. 用电安全措施 机房日常用电安全的最高准则为确保
人员安全。 3.1 设备用电安全措施 3.1.1设备上架加电要求 ?? 所有进入机房,需使用机房电源的设备应为正规品牌且具有3C标志(即中国强制性产品认证)中CCC+5安全认证标志或CCC+S&B安全与电磁兼容认证标志任意一个。任何自行组装(DIY)设备不得上架加电。 ? 设备上架加电前应在机房外,使用非机房(生产用电)电源进行加电、开机测试,测试该设备电源组件为正常运行方可上架加电。 ? 不能在机房外加电测试的直流电设备,进入机房后首次加电需机房负责人,
数据中心的智慧之道
数据中心的智慧之道 4月15日,一年一度的中国数据中心大会如约而至。作为主办方,这已经是中国计算机报社连续第九年举办中国数据中心大会。本次大会以“智慧数据中心”为主题,从数据中心的规划、设计、部署和实施、运维和管理,以及未来演进等多个角度对智慧数据中心的建设和运营进行全方位的 阐述,揭示了数据中心的智慧发展之道。 随着信息的爆炸,以及云计算、大数据、物联网等的兴起,国内针对数据中心的投资持续增加。在中国,数据中心仍然是刚需。数据中心正朝着规模化、高密度、集约化、绿色化、智能化、自动化的方向发展。在这种趋势下,数据中心的建设、运维的复杂度逐渐增加,传统的数据中心建设和运维模式面临前所未有的挑战。数据中心的建设和运维必须摆脱原来的条条框框,实现从僵化到柔性、从粗放到精细、从主要依赖人工到自动化的全面转变,构建以高弹性、高效率、高可靠、高度智能化为基本特征的智慧型数据中心。 数据中心运维是新商机 前一段时间,相信大家都在关注“Alpha狗”与韩国九 段棋手李世石的人机大战。中国的围棋棋圣聂卫平也在央视的一档电视节目中表示,对于此次的人机大战感到十分震撼。
数据中心需不需要人工智能?也许你的数据中心也可以有“Alpha狗”。 “实现数据中心的智能化,同时用软件的方式提升数据中心的可用性和能效,最终实现投资回报率的最大化,这是每个数据中心的用户应该认真思考的问题。”施耐德电气IT 事业部解决方案产品总监郑浩表示。 “Alpha狗”有两大制胜的法宝:一是具备深度学习的能力;二是它有两个大脑,一个是落子选择器,另一个是棋局评估器。“我们同样可以把‘Alpha狗’的这种智能化应用到现有的数据中心里。在这方面,施耐德电气已经做了大量的研究和实践。”郑浩表示,这主要体现在以下三个方面。第一,深度学习,即基于大量的数据中心建设实践和运维管理经验、端到端解决方案的研发和生产制造能力、对数据中心物理基础设施的深入了解,形成一套完善的基础知识库,这有点像“Alpha狗”在读棋谱。用户采用施耐德电气的实时数据采集追踪系统,可以持续更新相关知识,提升对数据中心的理解,再加上施耐德电气的一些分析工具,就可以对整个数据中心的运营和管理做出提前预测,或为运营者提供决策依据。这些都是深度学习的能力。 第二,决策。数据中心内的大量设备分属不同的系统,由不同的管理团队管理和运维。施耐德电气可以通过模拟、风险评估等方式,找到不同设备之间的关联性,及时发现问
xx云数据中心安全等级保护建设方案详细
1项目综述 1.1项目背景 为了保障基于“健康云”、“智慧云”的XX数据中心,天融信公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求,贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益”的方针,为XX数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设,全面开展信息安全等级保护建设整改工作。 1.2安全目标 XX的信息安全等级保护建设工作的总体目标是: “遵循国家信息安全等级保护有关法规规定和标准规,通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作,进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系,增强信息安全保护意识,明确信息安全保障重点,落实信息安全责任,切实提高系统信息安全防护能力,为整个云平台的顺利建设和信息化健康发展提供可靠保障。” 具体目标包括 (1)体系建设,实现按需防御。通过体系设计制定等级方案,进行安全技术体系、安全管理体系和安全运维体系建设,实现按需防御。 (2)安全运维,确保持续安全。通过安全监控、安全加固等运维手段,从事前、事中、事后三个方面进行安全运行维护,实现持续性按需防御的安全需求。 (3)通过合规性建设,提升XX云平台安全防护能力,保障系统信息安全,同时满足国家等级保护的合规性要求,为信息化工作的推进保驾护航。
1.3建设围 本方案的设计围覆盖XX的新建云平台基础设施服务系统。安全对象包括: ●云安全:虚拟化环境中的虚拟化平台及其相关虚拟化网络、虚拟化主机 的安全防护; ●云外安全:虚拟化环境以外的网络接入,核心交换,存储备份环境。 1.4建设依据 1.4.1国家相关政策要求 (1)《中华人民国计算机信息系统安全保护条例》(国务院147号令); (2)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号); (3)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号); (4)《信息安全等级保护管理办法》(公通字 [2007]43号); (5)《信息安全等级保护备案实施细则》(公信安[2007]1360号); (6)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号); (7)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)。 1.4.2等级保护及信息安全相关国家标准 (1)《计算机信息系统安全保护等级划分准则》(GB17859-1999); (2)《信息安全技术信息系统安全等级保护实施指南》(GBT 25058-2010); (3)《信息安全技术信息系统安全保护等级定级指南》(GB/T22240-2008); (4)《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008); (5)《信息安全技术信息系统等级保护安全设计技术要求》(GB/T 25070-2010); (6)《信息安全技术信息系统安全等级保护测评要求》;
数据中心信息安全管理及管控要求标准版本
文件编号:RHD-QB-K9144 (操作规程范本系列) 编辑:XXXXXX 查核:XXXXXX 时间:XXXXXX 数据中心信息安全管理及管控要求标准版本
数据中心信息安全管理及管控要求 标准版本 操作指导:该操作规程文件为日常单位或公司为保证的工作、生产能够安全稳定地有效运转而制定的,并由相关人员在办理业务或操作时必须遵循的程序或步骤。,其中条款可根据自己现实基础上调整,请仔细浏览后进行编辑与保存。 随着在世界范围内,信息化水平的不断发展,数据中心的信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布了ISO17799、 ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前,在信息安全管理方面,英国标准ISO27000:2005已经成为世界上应用最广泛与典型的信息安全管理标准,它是在BSI/DISC的
BDD/2信息安全管理委员会指导下制定完成。 ISO27001标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。ISO27000-1与ISO27000-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。20xx年
数据中心机房安全管理制度通用版
管理制度编号:YTO-FS-PD577 数据中心机房安全管理制度通用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards
数据中心机房安全管理制度通用版 使用提示:本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理,通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态,从而达到安全生产和减少隐患的效果。文件下载后可定制修改,请根据实际需要进行调整和使用。 计算机数据中心机房是保证医院信息系统正常运行的重要场所。为保证机房设备与信息的安全,保障机房有良好的运行环境和工作秩序,特制定本制度。 1、保证中心机房环境安全: 每天查看中心机房的温度和湿度,并记录;每天聋看UPS日志并记录,不得在中心机房附近添置强震动、强噪声、强磁场的设备,定期检查计算机设备使用电源安全接地情况。 2、实行中心机房准入管理: 中心机房配备门禁止系统,计算机中心工作人员进入需持个人的专用卡刷卡进入。外来人员需得到计算机中心负责人同意,并在相关计算机中心工作人员陪同下方可进入.并作记录。 3、中心服务器操作系统安全管理: 系统管理员单独管理系统用户密码,并定期更换密码;离开服务器时技术锁定机器。第三方需要登陆服务器时,需在计算机中心工作人员全程陪同下进行操作,工作
数据中心机房用电安全防护措施
仅供参考[整理] 安全管理文书 数据中心机房用电安全防护措施 日期:__________________ 单位:__________________ 第1 页共5 页
数据中心机房用电安全防护措施 1.综述 为尽量避免机房内电力意外事故,以保障人身安全、防止设备损坏及影响供电系统等为目的。规范数据中心机房设备加电、日常操作的用电安全防护措施,制定本文档。 2.范围 本文档适用于北京移动数据中心所有机房(菜市口、望京、昌平、丰台、大白楼)。 3.用电安全措施 机房日常用电安全的最高准则为确保人员安全。 3.1设备用电安全措施 3.1.1设备上架加电要求 所有进入机房,需使用机房电源的设备应为正规品牌且具有3C标志(即中国强制性产品认证)中CCC+5安全认证标志或CCC+SB安全与电磁兼容认证标志任意一个。任何自行组装(DIY)设备不得上架加电。 设备上架加电前应在机房外,使用非机房(生产用电)电源进行加电、开机测试,测试该设备电源组件为正常运行方可上架加电。 不能在机房外加电测试的直流电设备,进入机房后首次加电需机房负责人,电力维护人员,中通维护人员,运维人员及客户同时在场。 不能在机房加电测试的其他交流电设备,进入机房后首次加电需机房负责人中通维护人员,运维人员及客户同时在场。 设备上架后,加电前,由中通维护人员对机柜电源进行通路、电压测试,测试结果正常后由客户自行闭合对应的空开。 ●以上任意一点不能达到标准,必须由机房负责人书面(包含邮件) 第 2 页共 5 页
批准。 3.1.2设备日常操作安全措施 机房内应设置维护和测试用电源插座(地插、强插等),供日常维护过程中接插相关维护设备,仪器仪表等。严禁随意使用机柜内电源接插。 需要关闭电源时,不要设想电源已关闭,必须仔细检查,确认。 为避免静电对设备的电子器件造成损坏,对设备进行操作时应穿着防静电服或戴防静电手套或佩戴防静电手镯。 拿电路板时,应拿电路板边缘,不要接触元器件和印制电路。 保持机柜内清洁、无尘。 防静电手镯的使用方法如下: 1、将手伸进防静电手镯,戴至手腕处。 2、拉紧锁扣,确认防静电手镯与皮肤有良好的接触。 3、将防静电手镯,插入设备的防静电手镯插孔内,或者是用鳄鱼夹夹在机柜的接地处。 4、确认防静电手镯良好接地。 3.2.日常维护人员安全措施: 非电工作业人员、不具有电气电力专业资质人员严禁进行任何电工作业。电工作业包括但不限于以下内容:对机房配供电设施、装置进行安装、维护、检查、检修等操作。 配供电设施、装置的绝缘或外壳损坏,可能导致人体接触及带电部分时,应立即停止使用,并及时修复或更换。 移动用电设备、打开用电设备外壳时必须拔掉所有电源线和外部电缆。 第 3 页共 5 页
数据中心信息安全管理及管控要求通用范本
内部编号:AN-QP-HT240 版本/ 修改状态:01 / 00 The Procedures Or Steps Formulated T o Ensure The Safe And Effective Operation Of Daily Production, Which Must Be Followed By Relevant Personnel When Operating Equipment Or Handling Business, Are Usually Systematic Documents, Which Are The Operation Specifications Of Operators. 编辑:__________________ 审核:__________________ 单位:__________________ 数据中心信息安全管理及管控要求通 用范本
数据中心信息安全管理及管控要求通用 范本 使用指引:本操作规程文件可用于保证本部门的日常生产、工作能够安全、稳定、有效运转而制定的,相关人员在操作设备或办理业务时必须遵循的程序或步骤,通常为系统性的文件,是操作人员的操作规范。资料下载后可以进行自定义修改,可按照所需进行删减和使用。 随着在世界范围内,信息化水平的不断发展,数据中心的信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前,在信息安全管理方面,英国标准ISO27000:2005已经成为世界上应用最广泛与典型的信息安全管理标准,它是在
从微信瘫痪事件看数据中心的安全防护之道
从微信瘫痪事件看数据中心的安全防护之道 近来一件运营商的技术故障事件着实令人烦心了一把。当下热门的即时通讯软件腾讯微信出现了大面积故障,国内多个省份的用户无法登录微信,即使登录上去也无法与服务器取得连接。一种一直以来用得得心应手的通讯方式突然之间不能使用,令人不得不倍感无所适从。有人说这次微信瘫痪使太多人感到了不安,甚至引发了“微恐慌”。 微信团队在第一时间表示故障原因是“服务器基础网络故障”。后经进一步确认,是市政道路施工导致通信光缆被挖断,以致影响了服务器的正常连接。 在微信瘫痪事件之前的稍早些时候,有网友发微博称淘宝网被“拖库”了,他已经即时修改了登录密码。淘宝对此事的回应是漏洞确实存在,其危害等级为“中”,同时在当天第一时间进行了修复。尽管后来淘宝澄清这个漏洞对阿里的影响不大,更谈不上数据被拖库。但是不管是腾讯被挖断了光缆还是淘宝网可能存在的数据库漏洞,都让不少网民已经抓狂。 近年来因数据中心服务器网络故障导致的事故似乎一直在纠缠着互联网服务业的巨头们,不管是亚马逊、谷歌、还是苹果iCloud、Salesforce、Rackspace都纷纷中招。这使得数据中心的安全防护问题一次又一次地被推到风口浪尖。 有报告显示,平均而言,企业可以应付四小时或更少的非计划停机时间。但非计划停机时间不仅影响企业的整体生产力,同时还损害其声誉,使得企业蒙受财务损失,所有问题企业有必要积极进行避免。 数据对于像腾讯这样的公司来说认为是其命脉丝毫也不显得过分。中国西部信息中心IDC专家认为:作为数据中心来说,做好安全防护,保障用户数据安全是义不容辞的一项重要责任。数据中心的专家们必须确保用户能够可靠的,不间断地访问数据,应用程序和IT 服务。当某一台服务器,应用程序或整个数据中心出现故障时,各个层面都将会不可避免地受到影响。制定科学、完善的数据保护和灾难恢复的解决方案是首当其冲的重要任务。 专家同时指出:目前,复制和基于映像的备份技术,可以对数据提供某种上程度的保护,但是没有办法确保总能捕获到复杂系统的每一个细节。数据中心应该转向连续数据保护,重复数据删除,复制和自动化的灾难恢复解决方案等技术,从而来有效地构建IT弹性,最大限度地减少计划外停机时间。连续数据保护技术,使企业在数据中心内进行数据快照,更经常地备份数据,并将其复制到异地场外数据中心,进而有可能将数据丢失降到零。 数据中心对于安全事故或灾难事件的恢复速度是评价其安全服务水平的一个重要指标。尽管对于自然灾害已经有了紧急预案,地震、洪水来袭之时或可按预期计划进行抵御,避免进一步灾难的发生。但事实却是:灾难随时随地可能发生;而且由于人为错误或恶意行为造成的事故,事先不会有任何的警告。实际上,事故的发生也许仅仅是因为一个简单的错误,比如工作人员在机柜上放了一杯咖啡,不小心将其打翻,洒在了设备上。而这样的失误常常令人防不胜防。 由此可见,通过确定最重要的IT服务,然后实现数据保护和灾难恢复解决方案来解决这个问题,这可能听起来很简单,但却需要从当今复杂的数据中心基础设施的每一个角落进
数据中心云安全建设方案
若水公司 2017-3-23
目录 1项目建设背景 (2) 2云数据中心潜在安全风险分析 (2) 2.1从南北到东西的安全 (2) 2.2数据传输安全 (2) 2.3数据存储安全 (3) 2.4数据审计安全 (3) 2.5云数据中心的安全风险控制策略 (3) 3数据中心云安全平台建设的原则 (3) 3.1标准性原则 (3) 3.2成熟性原则 (4) 3.3先进性原则 (4) 3.4扩展性原则 (4) 3.5可用性原则 (4) 3.6安全性原则 (4) 4数据中心云安全防护建设目标 (5) 4.1建设高性能高可靠的网络安全一体的目标 (5) 4.2建设以虚拟化为技术支撑的目标 (5) 4.3以集中的安全服务中心应对无边界的目标 (5) 4.4满足安全防护与等保合规的目标 (6) 5云安全防护平台建设应具备的功能模块 (6) 5.1防火墙功能 (6) 5.2入侵防御功能 (7) 5.3负载均衡功能 (7) 5.4病毒防护功能 (8) 5.5安全审计 (8) 6结束语 (8)
1项目建设背景 2云数据中心潜在安全风险分析 云数据中心在效率、业务敏捷性上有明显的优势。然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很多原因的,总结起来,云数据中心主要的安全风险面临以下几方面: 2.1从南北到东西的安全 在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。 在云数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。 传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。 2.2数据传输安全 通常情况下,数据中心保存有大量的租户私密数据,这些数据往往代表了租户的核心竞争力,如租户的客户信息、财务信息、关键业务流程等等。在云数据中心模式下,租户将数据通过网络传递到云数据中心服务商进行处理时,面临着几个方面的问题:一是如何确保租户的数据在网络传输过程中严格加密不被窃取;二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去;三是在云数据中心服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证租户在任何时候都可以安全访问到自身的数据。