XX数据中心信息系统平安建设项目技术方案

XX数据中心信息系统平安建设项目技术方案目录1. 项目概述 4. 目标与范围 4. 参照标准 4. 系统描述 42. 平安风险分析 5. 系统脆弱性分析 5. 平安要挟分析 5 被动解决产生的要挟 5 主动解决产生的要挟 53. 平安需求分析 7. 品级爱惜要求分析 7 网络平安 7 主机平安 8 应用平安 9. 平安需求总结 94. 整体平安设计 10. 平安域 10 平安域划分原那么 10 平安域划分设计 11. 平安设备部署 125. 详细平安设计 13. 网络平安设计 13 抗DOS设备 13 防火墙 14 WEB应用平安网关 15 入侵防御 16 入侵检测 17 平安审计 18 防病毒 18. 平安运维治理 19 漏洞扫描 19 平安治理平台 19 堡垒机 216. 产品列表 21项目概述目标与范围本次数据中心的平安建设要紧依据《信息平安技术信息平安品级爱惜大体要求》中的技术部份，从网络平安，主机平安，应用平安，来对网络与效劳器进行设计。依照用户需求，在本次建设完毕后XX数据中心网络将达到等保三级的技术要求。因用户网络为新建网络，因此本次建设将完全依照《信息平安技术信息平安品级爱惜大体要求》中技术部份要求进行。参照标准GB/T22239-2020《信息平安技术信息平安品级爱惜大体要求》GB/T22239-2020《信息平安技术信息平安品级爱惜大体要求》GB/T22240-2020《信息平安技术信息系统平安品级爱惜定级指南》GB/T20270-2006《信息平安技术网络基础平安技术要求》GB/T25058-2020《信息平安技术信息系统平安品级爱惜实施指南》GB/T20271-2006《信息平安技术信息系统平安通用技术要求》GB/T25070-2020《信息平安技术信息系统品级爱惜平安设计技术要求》GB17859-1999《运算机信息系统平安爱惜品级划分准那么》GB/Z20986-2007《信息平安技术信息平安事件分类分级指南》系统描述XX数据中心平台共有三个信息系统：能源应用，环保应用，市节能减排应用。企业节点通过企业信息前置机抓取企业节点数据，并把这些数据上传到XX数据中心的数据库中，数据库对这些企业数据进行汇总与分析，同时企业节点也能够通过VPN去访问XX数据中心的相关应用。XX数据中心平台也可通过政务外网，环保专网与相关部份进行信息交互。提供信息访问。平安风险分析系统脆弱性分析人的脆弱性：人的平安意识不足致使的各类被解决可能，如同意未知数据，设置弱口令等。平安技术的脆弱性：操作系统和数据库的平安脆弱性，系统配置的平安脆弱性，访问操纵机制的平安脆弱性，测评和认证的脆弱性。运行的脆弱性：监控系统的脆弱性，无入侵检测设备，响应和恢复机制的不完善。平安要挟分析被动解决产生的要挟（1）网络和基础设施的被动解决要挟局域网/骨干网线路的窃听；监视没被爱惜的通信线路；破译弱爱惜的通信线路信息；信息流量分析；利用被动解决为主动解决制造条件以便对网络基础设施设备进行破坏，如截获用户的账号或密码以便对网络设备进行破坏；机房和处置信息终端的电磁泄露。（2）区域边界/外部连接的被动解决要挟截取末受爱惜的网络信息；流量分析解决；远程接入连接。（3）计算环境的被动解决要挟获取辨别信息和操纵信息；获取明文或解密弱密文实施重放解决。主动解决产生的要挟（1）对网络和基础设施的主动解决要挟一是可用带宽的损失解决，如网络阻塞解决、扩散解决等。二是网络治理通信混乱使网络基础设施失去操纵的解决。最严峻的网络解决是使网络基础设施运行操纵失灵。如对网络运行和设备之间通信的直接解决，它企图切断网管人员与基础设施的设备之间的通信，比如切断网管人员与互换机、路由器之间的通信，使网管人员失去对它们的操纵。三是网络治理通信的中断解决，它是通过解决网络底层设备的操纵信号来干扰网络传输的用户信息；引入病毒解决；引入歹意代码解决。（2）对信息系统及数据主动解决要挟试图阻断或攻破爱惜机制（内网或外网）；偷窃或窜改信息；利用社会工程解决欺骗合法用户（如匿名询问合法用户账号）；假装成合法用户和效劳器进行解决；IP地址欺骗解决；拒绝效劳解决；利用协议和基础设施的平安漏洞进行解决；利用远程接入用户对内网进行解决；成立非授权的网络连接；监测远程用户链路、修改传输数据；解读未加密或弱加密的传输信息；歹意代码和病毒解决。（3）计算环境的主动解决要挟引入病毒解决；引入歹意代码解决；冒充超级用户或其他合法用户；拒绝效劳和数据的窜改；假装成合法用户和效劳器进行解决；利用配置漏洞进行解决；利用系统脆弱性（操作系统平安脆弱性、数据库平安脆弱性）实施解决；利用效劳器的平安脆弱性进行解决；利用应用系统平安脆弱性进行解决。（4）支持性基础设施的主动解决要挟对未加密或弱加密的通信线路的搭线窃听；用获取包括错误信息的证书进行假装解决；拒绝效劳解决（如解决目录效劳等）；中间解决；解决PIN获取对用户私钥的访问、在支持性基础设施的组件中引入歹意代码解决、在密钥分发期间对密钥实施解决、对PKI私钥实施密码解决、对密钥恢复后的密钥进行末授权访问、在用户认证期间利用户不能生成失效信息；利用备份信息进行解决。平安需求分析品级爱惜要求分析网络平安类别控制点重点要求项对应措施网络安全结构安全交换设备的冗余、网络划分与隔离安全域划分，通过安全管理平台进行网络拓扑管理访问控制网络边界部署访问控制设备，启用访问控制功能安全域边界增加部署防火墙设备安全审计对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录部署网络安全审计系统边界完整性检查对内部用户未通过准许私自联到外部网络的行为进行检查采用技术手段进行违规外联入侵防范网络边界入侵行为监视网络出口的边界处部署入侵检测，重要服务器区前面采取入侵防护措施主机平安类别控制点重点要求项对应措施主机安全身份鉴别对登录操作系统和数据库系统的用户进行身份标识和鉴别部署身份鉴别系统。访问控制启用访问控制功能，实现操作系统和数据库系统特权用户的权限分离对系统安全加固，限制默认帐户、时删除多余的、过期的帐户等安全审计用户行为、系统资源、系统安全事件审计采用主机审计措施，通过安全管理平台对操作系统、数据库进行监控管理入侵防范操作系统最小安装的原则、及时更新系统补丁对主机进行漏洞检查，并部署入侵防范设备。恶意代码防范能够集中管理的恶意代码防护系统部署网络版防病毒软件资源控制设定终端接入方式、网络地址范围等条件限制终端登录利用访问控制策略与堡垒机产品结合的方式进行控制。应用平安类别控制点重点要求项对应措施应用安全身份鉴别提供专用的登录控制模块对登录用户进行身份标识和鉴别部署身份鉴别服务器并与应用进行联动访问控制账户访问权限管理部署堡垒机对访问进行权限管理安全审计应用系统重要安全事件进行审计部署堡垒机对应用访问进行记录通信保密性采用密码技术进行会话初始化验证，对通信过程中的敏感信息字段进行加密应用软件安全改造，对敏感字段进行加密资源控制会话超时、会话并发管理、多重并发会话限制部署堡垒机设备进行限制平安需求总结类别安全需求网络安全划分安全域、明确安全边界网络出口边界、新的安全边界部署防火墙设备网络出口边界部署入侵检测设备关键业务前段部署入侵防御系统网页应用系统边界部署WEB应用安全网关重要数据库部署网络安全审计系统主机安全部署身份认证系统对访问进行身份认证部署堡垒机设备对主机访问进行控制与审计采用网络版杀毒软件部署漏洞扫描设备对主机的漏洞进行检测并及时修补应用安全应用系统与身份认证系统相结合进行身份鉴别应用系统与堡垒机相结合来进行审计与访问控制部署安全管理平台对网络，主机，应用的日志进行审计与分析。整体平安设计平安域平安域划分原那么（1）业务保障原那么平安域方式的全然目标是能够更好的保障网络上承载的业务。在保证平安的同时，还要保障业务的正常运行和运行效率。信息平安效劳所强调的核心思想是应该从客户（业务）而不是IT效劳提供方（技术）的角度明白得IT效劳需求。也确实是说，在提供IT效劳的时候，咱们第一应该考虑业务需求，依照业务需求来确信IT需求包括平安需求。在平安域划分时会面临有些业务紧密相连，可是依照平安要求（信息密级要求，访问应用要求等）又要将其划分到不同平安域的矛盾。是将业务按平安域的要求强性划分，仍是归并平安域以知足业务要求必需综合考虑业务隔离的难度和归并平安域的风险（会显现有些资产爱惜级别不够），从而给出适合的平安域划分。（2）品级爱惜原那么依照平安域在业务支撑系统中的重要程度和考虑风险要挟、平安需求、平安本钱等因素，将其划为不同的平安爱惜品级并采取相应的平安爱惜技术、治理方法，以保障业务支撑的网络和信息平安。平安域的划分要做到每一个平安域的信息资产价值相近，具有相同或相近的平安品级、平安环境、平安策略等。平安域所涉及应用和资产的价值越高，面临的要挟越大，那么它的平安爱惜品级也就越高。（3）深度防御原那么依照网络应用访问的顺序，逐层进行防御，爱惜核心应用的平安。平安域的要紧对象是网络，可是围绕平安域的防护需要考虑在各个层次上立体防守，包括在物理链路、网络、主机系统、应用等层次；同时，在部署平安域防护体系的时候，要综合运用身份辨别、访问操纵、检测审计、链路冗余、内容检测等各类平安功能实现协防。（4）结构简化原那么平安域划分的直接目的和成效是要将整个网络变得加倍简单，简单的网络结构便于设计防护体系。平安域划分不宜过于复杂。（5）生命周期原那么关于平安域的划分和设防不单单要考虑静态设计，还要考虑不断的转变；另外，在平安域的建设和调整进程中要考虑工程化的治理。（6）平安最大化原那么针对业务系统可能跨越多个平安域的情形，对该业务系统的平安防护必需要使该系统在全局上达到要求的平安品级，即实现平安的最大化防护，同时知足多个平安域的爱惜策略。（7）可扩展性原那么当有新的业务系统需要接入业务支撑网时，依照品级爱惜、对端可信度等原那么将其别离划分至不同平安品级域的各个子域。平安域划分设计依照XX数据中心的情形，把网络分为三个平安域：应用平安域，数据库平安域，平安治理平安域。平安域之间利用防火墙进行隔离。平安域划分拓扑如下：平安设备部署（1）网络边界考虑到网络的高可用性，网络出口设备均双机部署。在网络出口部署两台避免DDOS产品，对DDOS解决进行过滤。在网络出口部署两台防火墙设备，对进出XX数据中心网络的流量进行策略操纵。在网络出口部署两台入侵防御设备对进行XX数据中心网络的流量进行检测，从而判定数据中是不是含有歹意解决与歹意代码。（2）核心互换区在核心互换区旁路部署一台IDS与一台平安审计产品，对核心互换机上面的流量进行平安的检测与审计，包括来往核心互换机上面的流量是不是有歹意要挟。是不是有针关于后台数据库的要挟等。（3）应用区平安域在应用区边界部署web应用防火墙设备，因应用区部署的应用均为B/S架构，而web应用防火墙恰正是针关于HTTP协议进行平安过滤的设备，专门好的知足了三级等保中针关于应用平安的规定。（4）数据库平安域数据库平安域边界部署一台平安域防火墙，采取有效的访问操纵策略；同时在平安域互换机旁路部署一台平安审计系统，对网络运维治理和数据库操作进行全面审计。（5）平安治理区平安域在平安治理区部署漏洞扫描设备，对网络中的主机进行平安自查，降低主机的脆弱性。在平安治理区部署堡垒机设备，结合部署的身份认证系统对主机与应用进行身份辨别，访问操纵与平安审计。在平安治理区部署平安治理平台，对网络中的主机与平安设备进行统一的监控与统一的日记分析。在网络中各个主机上部署网络版防病毒软件，而且在平安治理区部署网络防病毒主控端。详细平安设计网络平安设计抗DOS设备部署目的随着僵尸网络的泛滥，DDoS解决等歹意流量的规模也在迅速增大。据估量，中国的黑客产业链条规模已达上百亿，而在这中间有专门大一部份确实是和DDoS解决相关的。事实上，DDoS解决也像网络带宽一样，已经成为能够售卖的资源。利益差遣DDoS的规模进一步扩大。2020年3月，全世界网络安全和管明白得决方案提供商ArborNetworks发布2010年是DDoS解决在互联网上活动规模和频率激增的一年；DDoS解决规模第一次冲破100Gbps，效劳提供商因此受到庞大的冲击。2021年3月，CNCERT发布了《2020年中国互联网网络平安态势报告》称DDoS的频率和规模都在迅速增大。依照CNCERT抽样监测发觉，我国境内日均发生解决总流量超过1G的较大规模的DDoS解决事件365起。其中，TCPSYNFLOOD和UDPFLOOD等常见虚假源IP地址解决事件约占70%，对其溯源和处臵难度较大。DDoS解决最让人头疼的是解决和防御的不对等性。此刻的DDoS解决技术门坎愈来愈低，超级容易发起，但检测和防御那么需要壮大的技术支撑。由于黑客地下产业链的进展，各类解决工具在网上到处可见，乃至公开打包售卖。即便是关于低级网络水平的人来讲，利用这些解决也是很简单的情形。而关于有体会的黑客来讲，利用这些工具能够组织起复杂的解决，令防范变得困难。例如2020年针对某游戏网站的解决持续了数月，综合采纳了DNS请求解决、UDPFLOOD、TCPSYNFLOOD、HTTP请求解决等多种方式，解决峰值流量达数十个Gbps，令人防不胜防。部署方式及说明防DOS设备串行在网络出口，对流量进行清洗，过滤含有DOS或DDOS特点的流量，保证网络平安。由于防DOS串行在网络出口，因此选择双机部署。防火墙部署目的防火墙是一种部署在平安边界上的高级访问操纵设备，是不同区域之间信息流的唯一通道，能依照制定好的平安策略操纵（许诺、拒绝、监视、记录）不同区域之间的访问行为。作为一个专业化的访问操纵产品，防火墙不仅提供超级灵活的访问操纵功能（基于IP地址、端口、协议、用户名、应用命令等）和壮大的审计辨别功能，还提供了多种辅助功能，比如地址转换、端口映射、IP与MAC地址绑定等等。平安边界采纳防火墙设备，依照ip五元组（源/目的ip，源/目的端口，协议），对网络边界进行访问操纵，隔离不同的平安域，只有通过许可的ip、端口、协议才被允许访问防火墙内的网络和系统资源，保障了网络的逻辑隔离。部署方式及说明防火墙串行部署在网络骨干链路上，用于网络平安边界的访问操纵，能够采纳透明工作模式，工作口不需要配置ip，不阻碍网络路由结构。每台防火墙，均另外需1个ip用来作为治理设备，治理方式为B/S。由于防火墙作为网络出口和平安域边界的平安网关，一旦显现故障对网络数据传输、网络平安策略有专门大的阻碍，因此在网络出口部署两台防火墙。在数据库区边界部署一台防火墙。WEB应用平安网关部署目的Web应用平安网关（WebApplicationGateway，简称WAG）是新一代Web平安防护与应用交付类应用平安产品，要紧针对Web效劳器进行HTTP/HTTPS流量分析，防护以Web应用程序漏洞为目标的解决，并针对Web应用访问各方面进行优化，以提高Web或网络协议应用的可用性、性能和平安性，确保Web业务应用能够快速、平安、靠得住地交付。WAG应用了一套HTTP会话规那么集，这些规那么涵盖诸如SQL注入、和XSS等常见的Web解决。网页防窜改模块会事前将被爱惜Web效劳器的要紧页面拷贝到设备存储器内，一旦检测出被爱惜URL页面有被窜改的情形，碰到用户有针对该页面的访问请求时，会将事前备份的正常页面返回给用户，屏蔽被窜改的页面不被访问，保护用户的声誉，此种方式的优势是不用在被爱惜Web效劳器上安装Agent，对Web应用系统可不能造成额外阻碍。部署方式及说明在应用区和核心互换机之间串行部署Web应用平安网关，可采取透明工作模式，不阻碍网络路由结构，针对Web效劳器进行第7层流量分析，确保业务应用能够快速、平安、靠得住地交付。入侵防御部署目的尽管访问操纵系统（如防火墙）能够静态的实施访问操纵策略，避免一些非法的访问等，但对利用合法的访问手腕或其它的解决手腕（比如，利用内部系统的漏洞等）对系统入侵和内部用户的入侵等是没有方法操纵的；因此，系统内需要建设统一的符合国家规定的平安检测机制，实现对网络系统进行自动的入侵检测和分析，对非法信息予以过滤，提高系统整体平安性。入侵防御技术高度融合高性能、高平安性、高靠得住性和易操作性等特性，带来了深度解决防御和应用带宽爱惜的完美价值体验。通过入侵防护系统能够实时、主动拦截黑客解决、网络病毒等歹意流量，爱惜信息系统和网络架构免受侵害，避免操作系统和应用程序损坏或宕机，IPS能够深切到路由、防火墙模块和应用层，快速扫描流量，它能够利用其上千种解决特点数据库，识别和分析外部的解决，并实时报警和记录，同时能够对上百种入侵和解决进行主动防护。另外，还能够对MSN、Skype、YahooMessage等即时消息进行阻断，许诺用户对BT、kazza等P2P多点共享协议软件进行阻断。部署方式及说明IPS串行部署在网络骨干链路上，用于平安域边界的入侵防护，能够采纳透明工作模式，工作口不需要配置ip，不阻碍网络路由结构。治理中心安装在专用治理效劳器中，实现IPS设备统一的操纵治理、监控诉警、日记搜集和定制报表等功能。由于IPS串行于骨干线上因此双机部署。入侵检测部署目的互联网当前正处于高速的进展态势，随之而来的解决、病毒、要挟也是日新月异，面对日趋加重的平安形式需要一套能够实时检测解决、预警、响应的工具。通过部署入侵检测系统能够起到以下目的：（1）入侵检测网络入侵检测系统（IDS）能够实现对黑客解决（缓冲区溢出、SQL注入、暴力猜想、拒绝效劳、扫描探测、非授权访问等）、蠕虫病毒、木马后门、间谍软件、僵尸网络等进行实时检测及报警。（2）流量分析网络入侵检测系统（IDS）对网络进行流量分析，实时统计出当前网络中的各类报文流量；IDS能够帮忙治理员对付网络解决，最大限度地减少解决可能给用户造成的损失，从而进一步提高了单位信息平安基础结构的完整性。（3）行为监控IDS系统会对网络流量进行监控，对严峻滥用网络资源的事件提供告警和记录。部署方式及说明网络入侵检测系统（IDS）由于涉及到数据的存储和处置，因此，多采纳C/S的部署方式，一样分为“引擎”和“操纵台（兼数据中心）”两部份：（1）IDS引擎：IDS引擎接入核心互换机的镜像端口，以监听相应网络的网络流量，IDS引擎工作口无需配置ip，另需配置一个治理ip地址；（2）IDS操纵台（兼数据中心）：在与引擎治理IP地址联通的平安治理平安域，部署1台效劳器，安装IDS操纵台软件，以便存储、分析IDS引擎的检测数据，并管控IDS引擎。操纵台可挂接存储设备（如NAS存储）。平安审计部署目的平安审计系统综合了网络平安审计和数据库平安审计2大功能。网络审计系统针对业务环境下的网络操作行为进行细粒度审计的合规性治理系统。通过对业务人员访问系统的行为进行解析、分析、记录、汇报，以帮忙用户事前计划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源，增强内外部网络行为监管、增进核心资产（数据库、效劳器、网络设备等）的正常运营。数据库平安审计系统是通过网络数据的搜集、分析、识别，实时监控网络中数据库的所有访问操作，同时支持自概念内容关键字库，实现数据库操作的内容监测识别，发觉各类违规数据库操作行为，及时报警响应、全进程操作还原，从而实现平安事件的准确全程跟踪定位，全面保障数据库系统平安。部署方式及说明数据库平安域接入互换机旁路，部署1台平安审计系统，审计引擎需要接入互换机的镜像端口，工作口不需要配置ip，不阻碍网络路由结构，更不阻碍网络性能；治理口接入平安治理域互换机，需配置1个ip用来进行治理。防病毒部署目的目前运算机病毒的进展日趋猖獗，防病毒进展更趋向于集中式治理、散布式杀毒的架构，对局域网进行远程集中式平安治理，可通过账号和口令设置操纵移动操纵台的利用，而且先进的散布技术，利用本地资源和本地杀毒引擎，对本地节点的所有文件进行全面、及时、高效的查杀病毒，同时保障用户的隐私，减少了网络传输的负载，幸免因大量传输文件而引发的网络拥塞。部署上以效劳器为中心，进行网络杀毒的治理，这种方式与网络拓扑结构融合，治理加倍方便。部署方式及说明在平安治理区部署杀毒软件管控中心效劳器，在网内终端部署杀毒软件客户端，通过效劳器端对终端的全面治理、制定病毒查杀策略。平安运维治理漏洞扫描漏洞扫描系统要紧用来按期检查系统内网络设备、终端系统、效劳器系统、平安设备和数据库等系统重要资产的脆弱性情形，针对骨关连统的特点，建议将漏洞扫描部署在标清和高清业务支撑平台各自的平安治理区内，实现对各自业务支撑平台按期的漏洞扫描，同时，漏洞扫描的结果将提交给平安治理与综合审计平台，成为风险分析的重要数据来源。漏洞扫描系统是基于网络的脆弱性分析、评估和综合治理系统，漏洞扫描系统能够快速发觉网络资产，准确识别资产属性、全面扫描平安漏洞，清楚定性平安风险，给出修复建议和预防方法，并对风险操纵策略进行有效审核，从而在弱点全面评估的基础上实现平安自主掌控。平安治理平台平安治理平台系统是一个面向全网IT资源的集中平安治理平台。通过对网络中各类IT资源的平安域划分，和海量异构网络与平安事件的搜集、处置和分析，面向业务信息系统成立一套可气宇的风险模型，使得各级治理员能够实现全网的资产运行监控、事件分析与审计、风险评估与气宇、预警与响应、态势分析，并借助标准化的流程治理实现持续的平安运营。系统的要紧功能包括：（1）网络运行监控系统能够对全网的各类网络设备、平安设备、主机、数据库、应用系统等实时、细粒度的运行监控，及时发觉网络中的可用性故障，并进行故障定位和告警响应，确保重要业务信息系统的可用性和业务持续性。系统能够形象地展现出用户的网络拓扑，并动态展现拓扑节点的运行状态，还能够依照用户治理的组织和部门结构在地图上展现出设备或设备组的地理位置。（2）事件及流量治理系统能够搜集全网中各类网络设备、平安设备、主机、数据库、应用系统等的日记、告警和事件，并对这些信息进行范式化、过滤、归并，形成统一的事件格式，包括统一事件严峻品级、统一事件类型和名称等，使得治理员能够在系统的治理操纵台上方便地阅读所有平安事件，并确保信息的一致性。针对所有平安事件，系统能够通过事件关联分析引擎进行多种事件关联分析，包括规那么关联、漏洞治理、统计关联，等等。（3）脆弱性治理系统支持将各类第三方漏洞扫描、应用扫描和人工评估的漏洞信息整合到一路，形成基于资产和业务的漏洞信息库，并计算资产和业务的脆弱性。系统能够对新发觉的漏洞信息进行预警通告。（4）响应治理系统具有完善的响应治理功能，能够依照用