数据中心安全加固方案

1、PAGE 数据中心安全加固方案 目 录TOC o 1-3 h u HYPERLINK l _Toc530427181 第1章背景介绍 PAGEREF _Toc530427181 h 2 HYPERLINK l _Toc530427182 第2章需求概述 PAGEREF _Toc530427182 h 3 HYPERLINK l _Toc530427183 2.1应用安全需求 PAGEREF _Toc530427183 h 3 HYPERLINK l _Toc530427184 2.2终端安全防护的需求 PAGEREF _Toc530427184 h 3 HYPERLINK l _Toc5304

2、27185 2.3业务系统安全问题 PAGEREF _Toc530427185 h 4 HYPERLINK l _Toc530427186 2.4业务稳定的需求 PAGEREF _Toc530427186 h 5 HYPERLINK l _Toc530427187 2.5用户访问高体验感的需求 PAGEREF _Toc530427187 h 5 HYPERLINK l _Toc530427188 第3章总体方案设计 PAGEREF _Toc530427188 h 6 HYPERLINK l _Toc530427189 3.1方案设计原则 PAGEREF _Toc530427189 h 6 HY

3、PERLINK l _Toc530427190 3.2总体网络拓扑图 PAGEREF _Toc530427190 h 8 HYPERLINK l _Toc530427191 第4章详细方案设计 PAGEREF _Toc530427191 h 9 HYPERLINK l _Toc530427192 4.1应用安全防护 PAGEREF _Toc530427192 h 9 HYPERLINK l _Toc530427193 4.2终端安全防护 PAGEREF _Toc530427193 h 9 HYPERLINK l _Toc530427194 4.3业务系统安全设计 PAGEREF _Toc530

4、427194 h 11 HYPERLINK l _Toc530427195 4.4业务稳定详细设计 PAGEREF _Toc530427195 h 13 HYPERLINK l _Toc530427196 第5章方案优势与价值 PAGEREF _Toc530427196 h 16 HYPERLINK l _Toc530427197 5.1立体化的安全防护体系 PAGEREF _Toc530427197 h 16 HYPERLINK l _Toc530427198 5.2良好的风险感知体验 PAGEREF _Toc530427198 h 17 HYPERLINK l _Toc530427199

5、5.3高可靠性与稳定性 PAGEREF _Toc530427199 h 17背景介绍2018年11月20日召开的国务院常务会议明确提出，整合不动产登记职责、建立不动产统一登记制度，由国土资源部负责指导监督全国土地、房屋、草原、林地、海域等不动产统一登记职责，基本做到登记机构、登记簿册、登记依据和信息平台“四统一”。通过建立不动产登记信息管理基础平台，实现不动产审批、交易和登记信息在有关部门间依法依规互通共享，提供不动产登记信息依法公开查询服务，有利于方便群众办证，提高办证效率，消除“信息孤岛”，促进不动产登记信息更加完备、准确、可靠，建立健全社会征信体系，保证不动产交易安全，保护群众合法权益。

6、省、市、县三级不动产登记信息管理基础平台是落实不动产统一登记各项制度和信息查询的基础。通过建立不动产登记信息管理基础平台，整合和汇集覆盖全省、标准统一、内容完整、动态更新的不动产登记信息，同时连接至国家平台，实现不动产登记信息与审批、交易信息实时互通共享，并提供依法信息查询，有效保障不动产统一登记制度的全面实施，减轻群众负担，保护群众合法权益，提高政府治理效率和水平。需求概述应用安全需求随着攻击技术的发展，攻击的目标重点转移到系统中的应用，而攻击的手段也从网络攻击逐步上升为应用层的攻击，如针对各种应用的缓冲区溢出攻击、应用系统渗透等等，这种攻击所造成的危害更大，将导致业务系统被破坏。尤其是通过

7、互联网对公众提供服务的业务系统，一旦攻击者发现其应用漏洞并从事相应的破坏行为，网络层的安全防护措施很难发挥效用，必须要从应用层进行相应的安全防护。入侵防御和Web安全防护技术正是针对这里应用层攻击进行防御的安全措施，能够有效弥补防火墙等基础防护设备的不足，有效检测和防范四至七层攻击，与防火墙相互配合实现整体的安全防护。终端安全防护的需求终端安全也是互联网出口安全建设关注的重点，终端用户是网络资产中的一个重要组成部分，同对外发布业务服务器一样，终端也面临着系统软件层面存在的漏洞被利用风险。当今互联网上充斥着各种恶意网页，钓鱼网站，而每个终端用户的安全意识不尽相同，容易被一些虚假信息所蒙蔽，点击了

8、包含恶意软件下载地址的链接导致终端被种植了远控木马，蠕虫病毒等恶意软件。病毒、木马、蠕虫对终端的危害可能导致终端系统瘫痪、终端被控制、终端存储的信息被窃取、甚至于终端被控制之后形成跳板攻击危害到内部其他更有价值的服务器。因此针对终端的安全防护主要考虑几个方面：终端自身系统或者应用软件存在的漏洞防护；已知远控木马，蠕虫病毒等恶意软件被种植到终端，形成僵尸主机后的检测识别；未知变种恶意软件威胁的检测与防护业务系统安全问题业务系统的架构是B/S架构，大量的web应用可能存在被攻击的风险。业务系统的篡改是指攻击者利用Web应用程序漏洞将正常的网页替换为攻击者提供的网页/文字/图片等内容。一般来说篡改的

9、问题对计算机系统本身不会产生直接的影响，但对于业务系统，需要与用户通过业务系统进行沟通的应用而言，就意味着业务系统的服务将被迫停止服务，对单位形象及信誉会造成严重的损害。业务系统网页被挂马也是利用Web攻击造成的一种网页篡改的安全问题，相对而言这种问题会比较隐蔽，但本质上这种方式也破坏了业务系统的完整性。挂马会导致Web业务的最终用户成为受害者，成为攻击者的帮凶或者造成自身的损失。这种问题出现在业务系统中也严重影响业务的正常运作并影响到单位的公信度。这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后台数据库，导致数据库中储存的用户资料、身份证信息、账户信息、信用卡信息、联系方式等敏感信息

10、被攻击者获取。这对于业务系统而言是致命的打击，可产生巨大的不良影响。业务稳定的需求为了提升韶关市国土局不动产登记系统的稳定性和可靠性，韶关市国土局可能会采取部署多条互联网链路以保证在不动产登记系统网络服务质量的方式，消除单点故障，减少停机时间：互联网络的外部用户如何在外部访问内部的网站和应用系统时也能够动态的在多条链路上平衡分配，并在一条链路中断的时候能够智能地自动切换到另外一条链路到达服务器和应用系统，这也被称作为入站流量的负载均衡。用户访问高体验感的需求随着访问用户数量的增加，不动产登记系统后台服务器承载的压力也将越来越大，如何有效的保证客户访问的速度和保障系统高稳定性。可通过服务器负载均

11、衡机制，保证用户访问流量能在各服务器上均衡分配，提高服务器资源的利用率。1、通过负载均衡设备将用户访问请求分配到多台之上，提升应用系统的处理能力。2、当某台服务器发生故障时能被及时检测到，并且故障服务器将会被自动隔离，直到其恢复正常后自动加入服务器群，实现透明的容错，保证服务器整体性能得到大幅提高；3、希望能够通过相应优化机制来节省服务器的性能消耗，减少硬件投资成本，提升服务器相应能力。总体方案设计方案设计原则本次的方案设计，将充分依据系统安全的详细技术需求，并参照国内外的相关规范、标准及经验，按照兼容性、安全性、开放性、可扩充性及易用性、先进性、合规性、成熟性以及统一性等原则，保障设计方案先

12、进可靠、可实施性强，能够完全满足项目的实际安全需求，作为实现项目目标。兼容性原则：方案设计具有较强的兼容性，充分考虑了现有的应用系统、运行环境、以及服务器和网络设备等，体现了与现有系统的无缝链接。安全性原则：在充分考虑现有网络情况和实际需求的情况下，结合相关技术要求，提供系统化的整体解决方案。开放性原则：考虑到本项目中将要建立统一的系统运行状态集中监控平台，对各个硬件设备功能、性能和应用软件、系统软件的运行状态、网络设备、安全防护设备、系统运行参数、用户等进行统一的监管，必须要进行本地化的二次开发，因此在本方案的设计中提供了标准化的软硬件技术、资源、接口等的开放性解决方案。可扩充性原则：充分考

13、虑了系统未来一段时间内网络、业务规模和网络安全需求的变化，能够在相当长的一段时间内保障系统的整体安全，具有较强的可扩展性，有效保护了用户的投资。综合防范原则：信息安全是一个庞大的系统工程，信息系统任何一个环节的疏漏都有可能导致安全事件的发生。因此，本方案的设计坚持综合防范原则，以保证未来各类安全措施的全面和完整。适度保护原则：在信息安全方面没有必要也不可能追求绝对的安全。一方面过度的追求安全不但将大大提高信息安全的成本，还往往会影响业务的正常开展，大大降低业务活动的灵活性；另一方面信息安全工作过于薄弱又会给业务开展留下很大的隐患。因此方案设计依据适度保护原则，目标是将信息安全风险控制在合理的、

14、可接受的范围内。成熟性原则：本方案的设计充分借鉴国际信息安全最佳实践，采用成熟的技术和产品，规避风险，防止由于单纯追求技术领先而成为先进技术的试验品。总体网络拓扑图本次方案建议采用深信服下一代防火墙AF #台数2#以及应用交付AD #台数2#，分别部署在如下位置：互联网出口高可用：部署两台AD做于外网区域互联网出口，实现外网用户流量入站负载均衡以及内网服务器集群负载均衡，实现链路和服务器高可用。互联网出口安全防护：部署两台AF于互联网出口，针对用户的上网终端提供安全威胁过滤、木马恶意流量检测、DMZ服务器保护、NAT、路由等安全防护功能。详细方案设计应用安全防护在边界防护保障中，网络出口部署的

15、防火墙主要工作在网络层和传输层，防范大部分基础的网络攻击，而对于整个互联网中的攻击分布，70%以上都来自应用层，这些攻击都是防火墙所无法防御的。因此，在互联网出口处启用深信服下一代防火墙的入侵防御和web防护模块，提供主动的、实时的防护，具备对网络的线速、深度检测能力，具有网络检测、防范网络攻击、防范拒绝服务攻击、异常报警和阻断等功能。特别是web防护模块针对应用层的安全防护能力，与防火墙系统相互配合，实现2到7层立体的防护效果。深信服下一代防火墙可以在互联网出口为对外发布服务器的底层漏洞提供入侵防护功能，所发布的漏洞特征库数量超过4000条，通过CVE Compatible认证，并且深信服做

16、为微软MAPP合作计划伙伴，能够在第一时间获取到业界最新的漏洞信息，保证漏洞特征库的时效性和先进性。终端安全防护深信服下一代防火墙独有的僵尸网络检测隔离功能，能够实时对终端主动发起的外发流量进行检测，协助用户定位内网被黑客控制的服务器或终端。该功能利用业界领先的僵尸网络识别检测技术对黑客的攻击行为进行有效识别，针对以反弹式木马为代表的恶意软件进行深度防护。僵尸网络识别库数量超过50万条，并由深信服攻防团队实时更新。除了建立恶意软件样本库外，为了能够应对恶意软件的新型变种以及其他未知威胁，深信服下一代防火墙搭建了云安全平台，通过云平台的沙箱检测技术来识别未知的安全威胁。深信服下一代防火墙能够将检

17、测到的异常流量放到沙箱虚拟化环境中运行，通过监控注册表修改、进程创建、文件系统修改来发现未知威胁。同时针对新发现的威胁样本生成特征规则库，并通过云安全平台推送到所有接入互联网的深信服下一代防火墙设备上。业务系统安全设计应用层面的安全加固主要针对本次业务系统应用安全建设中web应用程序基于ASP、PHP、JSP等开发的B/S业务，本身不可避免的存在软件开发本身的漏洞、造成黑客的SQL注入，致使业务系统数据库和网页文件被篡改或者被窃取的问题进行有针对性的应用安全加固。通过Web安全子系统部署于web服务器区核心交换前实现双向内容的检测，针对HTTP协议的深入解析，精确识别出协议中的各种要素，如co

18、okie、Get参数、Post表单等，并对这些数据进行快速的解析，以还原其原始通信的信息，根据这些解析后的原始信息，精确的检测其是否包含威胁内容。Web安全子系统作为web客户端与服务器请求与响应的中间人，能够有效的避免web服务器直接暴露在互联网之上，采用双向内容检测技术可检测过滤HTTP双向交互的数据流包括response报文，对恶意流量，以及服务器外发的有风险信息进行实时的清洗与过滤，防止web安全风险。Web安全子系统有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制，实现双向的内容检测，提供OWASP定义的十大安全威胁的攻击防护能力，有效防止常见的web攻击。（如，SQL

19、注入、XSS跨站脚本、CSRF跨站请求伪造）从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。数据层面的安全加固主要为了应对攻击手段越来越先进的黑客攻击和目的性和持续性很强的高级持续性威胁（APT）等类似的高级攻击。因为安全防御体系并不能达到100%的防御效果，通常采用这种攻击方式的攻击带有明确的攻击意图和不达目的不休止的特点，黑客往往应用先进的攻击手段绕过防御体系，从而给业务系统造成不可挽回的损失。有针对性的对数据、内容进行保护，采取事后的防御技术手段可以有效的降低系统被破坏、窃取、篡改的风险，将安全损失降到最低。信息泄漏防护子系统提供可定义的敏感信息防泄漏功

20、能，根据储存的数据内容可根据其特征清晰定义，通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断，防止大量敏感信息被非法泄露。通过深度内容检测技术的应用，信息泄漏防护子系统具备深度内容检测的能力。能够检测出通过文件、数据流、标准协议等通过网关的内容。因此具备针对敏感信息，如186、139等有特征的11位的手机号码、18位身份证号，有标准特征的邮箱等有特征数据进行识别。并通过分离平面设计的软件构架，实现控制平面与内容平面检测联动，通过控制平面向底层数据转发平面发送操作指令来阻断敏感信息的泄漏。有防护了业务系

21、统的敏感泄漏的风险。业务稳定详细设计本方案设计充分考虑了后续数据中心扩展性，采用深信服AD设备实现链路负载均衡及服务器负载均衡，深信服AD设备包含了链路负载均衡、全局负载均衡和服务器负载均衡三大功能对后续网络和应用系统的扩建、稳定性保障以及优化建设都有很好的扩展性。（1）当外部用户访问内部资源时，深信服AD通过智能DNS技术将一个域名绑定多个运营商的公网地址，负责解析来自不同运营商用户的域名解析请求；深信服AD根据不同负载均衡策略为不同运营商的用户返回最佳的访问地址，实现用户入站流量的负载均衡。 入站流量（外部用户访问内部资源的流量）通过在域名注册提供商处修改域名NS记录，深信服AD设备获得域

22、名解析权，深信服实现一个域名绑定多个运营商的公网地址，负责解析来自多个运营商用户的域名解析请求。根据实现设定负载策略可以实现，如电信的用户通过电信的线路访问内部资源，联通的用户通过联通的线路访问内部资源；深信服AD还可以通过两条链路做反向查询，根据RTT时间判断链路的好坏，并且综合以上两个参数返回相应的IP地址。(2) 支持多重负载均衡算法将所有流量均衡的分配到各个服务器，不仅充分利用所有的服务器资源，而且各个服务器均衡的承担流量处理任务，从而有效地避免服务器处理任务“不平衡”现象的发生，并通过多种优化技术实现系统的高可用性。1、当用户请求到SANGFOR AD设备的时候，根据预先设定好负载策

23、略能够合理的将每个连接快速的分配到相应的服务器。2、通过对服务器健康状况的实时监控，能够实时的发现故障服务器，及时将用户的访问请求切换到其他正常服务器之上。3、配合深信服独特的单边加速技术，能够是现在用户端不安装任何插件和客户端的情况下提升用户的访问速度。4、通过深信服AD设备具备的缓存、压缩、ssl卸载、连接复用等功能进一步降低服务器性能消耗。方案优势与价值立体化的安全防护体系整个网络的安全体系采用“事前、事中、事后”进行建设，以达到L2-L7的整体安全防护效果：事前：利用下一代防火墙设备中的实时安全自检系统，能够实时的通过用户访问服务器资源的流量中发现及时发现服务器的漏洞，对业务服务器的安全状况进行实时的安全体检，及时告知管理员服务器的漏洞风险情况，防止真空期出现的同时结合风险评估报表、异常应用分布、异常流量分布等报表，让管理员充分了解网络安全短板，从而制定针对性的安全防护策略。事中：不同于工作在L2-L4