数据中心安全建议书.doc

数据中心安全建议书 2008-08  目 录 一、 概述 1 二、 安全设计 1 三、 物理安全 2 1. 环境安全 2 2. 机房安全 2 四、 网络安全 3 1. 防火墙 3 2. 入侵保护系统（IPS） 3 3. 网络、数据库审计 4 五、 系统安全 4 1. 主机安全 4 2. 漏洞扫描 5 3. 防病毒 5 4. 补丁分发 5 六、 应用和信息安全 6 1. 数据备份与恢复 6 2. 抗DDOS攻击系统 6 3. 身份及访问安全管理 6 概述 近年来，越来越多的企业对数据中心建设青睐有佳。在享受数据中心带来生产力提高的同时，其内在的安全建设成为了业内的热点。让数据中心远离安全威胁，促使其在管理、运维上向安全靠拢，已经成为当前的建设趋势。 下面从物理安全、网络安全、系统安全以及应用层的安全四个层面，描述各层面安全的具体技术手段及措施。 物理安全 在数据中心计算机网络与安全防护系统建设实施中，物理安全措施的实施包括了主要包括环境安全、机房安全和物理隔离等方面。 环境安全 设备工作环境的安全防护可参照GB50173-93《电子计算机机房设计规范》、GB2887-89《计算站场地技术条件》和GB9361-88《计算站场地安全要求》等标准实施。 机房安全 物理环境的防护 计算机机房场地安全 防电磁辐射泄漏 禁带物品 设备防盗 空调系统 防静电 电源 接地 计算机场地防火 运输过程中的防护 网络安全 网络安全是一个比较通用的概念，通常包括网络自身的设计、构建和使用以及基于网络的各种安全相关的技术和手段。 防火墙 防火墙是在不同网络安全域之间的一系列部件的组合。它能根据的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。。保护（阻止）系统（IPS）是新一代的侵入检测系统。 IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。 IPS广泛应用于银行、政府等部门的内部网络访问外部网络，也可用于内部网的不同信任域间的信息交互。数据中心可以根据实际需要，将此防护措施运用于安全保护要求较高的领域。 网络、数据库审计 安全审计系统主要监控来自网络内部和外部的用户活动，侦察系统中现存的和潜在的威胁，对与安全有关的活动的相关信息进行识别，记录，存储和分析，对突发事件进行报警和响应。 在数据中心的网络中，安全审计主要体现在几个方面，网络审计和数据库业务审计。 针对网络，在系统内很多敏感或涉密信息如果被有意或无意中泄漏出去，将会产生严重的后果由于与Internet的互连，不可避免地使一些不良信息流入。为防止与追查网上机密信息的泄漏行为，并防止不良信息的流入，可在网络系统与Internet的连接处，对进出网络的信息流实施内容审计。系统的漏洞主要集中在几个方面：固有的安全漏洞、合法工具的滥用、不正确的系统维护措施和低效的系统设计及检测能力。在计算机网络与信息系统中采用先进的访问控制系统完善计算机系统的访问控制，严格划分、管理、控制用户的权限和行为，达到更高层次的安全级别。在信息系统中，对于核心业务服务器以及关键数据库服务器采用主机访问控制措施，增强系统的安全等级。利用系统设计、配置和管理中的漏洞来攻击系统。专家认为，如果系统在建立时就具备严密的安全环境，那么成功的技术入侵事件数量就会大大减少。就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。这种技术通常采用两种策略，即被动式策略和主动式策略。被动式策略是基于主机的检测，对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查；而主动式策略是基于网络的检测，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。漏洞的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的。DDOS（分布式拒绝服务）攻击一般通过Internet上广泛分布的“僵尸”系统完成。DDS造成的海量攻击流量会给应用系统或是网络本身带来非常大的负载消耗，从而使网络基础设备和应用系统的可用性大为降低。抗拒绝服务攻击系统能够及时发现背景流量中各种类型的攻击流量，针对攻击类型迅速对攻击流量进行拦截，保证正常流量的通过 集中化的身份认证，可以根据需要选择不同的身份认证方式，而且在不更改应用进行有限更改的情况下，即可在原来只有弱身份认证手段的应用上，增加强身份认证手段，提高系统安全性； 集中访问授权，防止私自授权或权限未及时收回对企业信息资产造成的安全损害； 集中安全审计管理，能够对人员的登录过程、登录后进行的操作进行审计； 单点登录。 6