数据中心安全建议书

1、数据中心安全建议书2008-08目录一、概述11二、安全设计11三、物理安全221.环境安全222.机房安全22四、网络安全331.防火墙332.入侵保护系统（ IPS）333.网络、数据库审计44五、系统安全441.主机安全442.漏洞扫描443.防病毒554.补丁分发55六、应用和信息安全551.数据备份与恢复552.抗 DDOS攻击系统553.身份及访问安全管理66一、 概述近几年来，越来越多的企业对数据中心建设青睐有佳。在享受数据中心带来生产力提高的同时，其内在的安全建设成为了业内的热点。让数据中心远离安全威胁，促使其在管理、运维上向安全靠拢，已经成为当前的建设趋势。针对数据中心提出以

2、下几个安全方面的建议。二、 安全设计安全防护体系涵盖了物理安全、网络安全、系统安全以及应用层的安全防护，每个层面包括了若干种安全防护手段和措施。建议数据中心的网络采用以两台交换机为中心的双星形冗余结构的网络；在网络边界采用网络防火墙进行逻辑隔离，通过部署IPS 实现边界纵深防御；数据中心采用网络/ 数据库审计系统保障对网络和数据库的安全；在数据中心的主机或服务器上安装网络版防毒软件的客户端；数据中心的服务器采用双机互为热备份的工作方式；对数据中心的数据通过阵列或磁带库进行相应的备份；结合身份及访问安全管理系统，实现对数据中心重要系统的访问控制及行为审计；通过部署防DDOS攻击系统，有效保障数据

3、中心内部业务系统。对数据中心的安全防护措施如下图所示：下面从物理安全、网络安全、系统安全以及应用层的安全四个层面，描述各层面安全的具体技术手段及措施。三、 物理安全在数据中心计算机网络与安全防护系统建设实施中，物理安全措施的实施包括了主要包括环境安全、机房安全和物理隔离等方面。1. 环境安全设备工作环境的安全防护可参照 GB50173-93电子计算机机房设计规范 、GB2887-89计算站场地技术条件和 GB9361-88计算站场地安全要求等标准实施。2. 机房安全物理环境的防护计算机机房场地安全防电磁辐射泄漏禁带物品设备防盗空调系统防静电电源接地计算机场地防火运输过程中的防护四、 网络安全网

4、络安全是一个比较通用的概念，通常包括网络自身的设计、构建和使用以及基于网络的各种安全相关的技术和手段。1. 防火墙防火墙是部署在不同网络安全域之间的一系列部件的组合。它能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙实现网与网之间的访问隔离，以保护整个网络抵御来自其它网络的入侵者。数据中心作为一个安全级别较高的存在，需要与与长江养老保险公司的网络逻辑上隔离。通过在数据中心与长江养老保险公司的内部网络相连处，部署网络防火墙，将数据中心与长江养老保险公司的内部网络在逻辑上进行隔离。2. 入侵保护系统

5、（ IPS）入侵保护（阻止）系统（IPS）是新一代的侵入检测系统。IPS 技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。通过入侵防护系统，可以实时检测到各种攻击，同时实时做出各种预先定义的响应，作到在黑客造成破坏之前发现问题，解决问题。IPS 广泛应用于银行、政府等部门的内部网络访问外部网络，也可用于内部网的不同信任域间的信息交互。数据中心可以根据实际需要，将此防护措施运用于安全保护要求较高的领域。3. 网络、数据库审计安全审计系统主要监控来自网络内部和外部的用户活动，侦察系统中现存的和潜在的威胁，对与安全有关的活动的相关信息进行识别

6、，记录，存储和分析，对突发事件进行报警和响应。在数据中心的网络中，安全审计主要体现在几个方面，网络审计和数据库业务审计。针对网络层面，在系统内的很多敏感或涉密信息如果被有意或无意中泄漏出去，将会产生严重的后果， 同时由于与 Internet 的互连，不可避免地使一些不良信息流入。为防止与追查网上机密信息的泄漏行为，并防止不良信息的流入，可在网络系统与 Internet 的连接处，对进出网络的信息流实施内容审计。针对数据中心，需要在关键的部位加强对数据库系统的安全防护功能，建议使用数据库业务审计的相关技术和产品。五、 系统安全1. 主机安全可被攻击的系统的漏洞主要集中在几个方面： 固有的安全漏洞

7、、合法工具的滥用、不正确的系统维护措施和低效的系统设计及检测能力。数据中心在主机安全管理方面可着重考虑以下措施：在计算机网络与信息系统中采用先进的访问控制系统完善计算机系统的访问控制，严格划分、管理、控制用户的权限和行为， 达到更高层次的安全级别。 在信息系统中，对于核心业务服务器以及关键数据库服务器采用主机访问控制措施，增强系统的安全等级。2. 漏洞扫描漏洞扫描（也叫漏洞检测）目前已经越来越为网络安全管理员所重视，因为利用系统设计、配置和管理中的漏洞来攻击系统是最为典型的技术型攻击手段。专家认为，如果系统在建立时就具备严密的安全环境，那么成功的技术入侵事件数量就会大大减少。漏洞扫描就是对重要

8、计算机信息系统进行检查，发现其中可被黑客利用的漏洞。这种技术通常采用两种策略，即被动式策略和主动式策略。被动式策略是基于主机的检测 (System Scanner) ，对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查；而主动式策略是基于网络的检测(Network Scanner) ，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的。数据中心可以采用周期性的扫描，例如每月进行扫描一次，针对扫描结果对系统进行相应的安全修补，提高安全防护等级。3. 防病毒建议在数据中心的主机和服务器

9、上安装网络版的防毒产品客户端软件。4. 补丁分发对操作系统及时的打补丁，提高操作系统的健壮性。及时有效全面地对业务系统中的计算机操作系统特别是 Windows操作系统更新补丁对于病毒防范显得十分重要。对于 Windows可采用自动分发，对与UNIX等操作系统采用手动下载和安装补丁。六、 应用和信息安全1. 数据备份与恢复在数据中心计算机网络与信息安全系统中， 针对关键的业务服务器、 应用服务器、数据库服务器以及比较重要的主机，建立完善的数据备份与恢复系统。日常备份需要通过制度来保证每天的正常执行，包括备份手段的使用，备份时间等。同时保存好备份介质。2. 抗 DDOS攻击系统DDOS（分布式拒绝服务）攻击一般通过 Internet上广泛分布的“僵尸”系统完成。DDOS造成的海量攻击流量会给应用系统或是网络本身带来非常大的负载消耗，从而使网络基础设备和应用系统的可用性大为降低。抗拒绝服务攻击系统能够及时发现背景流量中各种类型的攻击流量，针对攻击类型迅速对攻击流量进行拦截，保证正常流量的通过。3. 身份及访问安全管理通过建立统一身份及访问安全管理平台实现统一用户管理、 认证管理、授权管理、访问控制和审计管理。集中化的帐号管理；集中化的身份认证