数据中心--医疗影像云云安全解决方案
目录
第1章项目建设背景与方案设计原则 (2)
第2章医疗影像云建设需求分析 (2)
2.1云平台的基础安全保障 (2)
2.2云环境下安全责任分类界定 (4)
2.3云环境下引入的特有安全需求 (5)
第3章医疗影像云云安全建设方案 (6)
3.1平台安全架构设计 (6)
3.2医院接入架构设计 (7)
3.2.1前置机接入安全设计 (7)
3.2.2专线接入安全设计 (7)
3.3平台安全区域边界设计 (8)
3.3.1网络接入域 (8)
3.3.2内网业务区 (8)
3.3.3安全管理区 (9)
3.4平台安全设备汇总 (9)
第4章医疗影像云云安全解决方案技术特点 (10)
4.1部署架构 (10)
4.1.1南北向安全服务流 (11)
4.1.2东西向安全服务流 (11)
4.2东西向安全服务设计 (11)
4.2.1安全服务交付形式 (11)
4.2.2安全服务交付内容 (12)
4.3南北向安全服务交付设计 (12)
4.3.1安全接入服务 (12)
4.3.2安全防御服务 (13)
4.3.3应用交付服务 (14)
第1章项目建设背景与方案设计原则
◆统一规范
遵循在统一的框架体系下,参考国际国内各方面的标准与规范,严格遵从各项技术规定,做好整个医疗影像云系统的标准化设计与部署。
◆成熟稳定
本次建设方案采用的是成熟稳定的技术和产品,确保能够适应各方面的需求,并满足未来业务增长及变化的需求。
◆实用先进
为避免投资浪费,方案设计不仅要求能够满足目前业务使用的需求,还必须具备一定的先进性和发展潜力,具备纵向扩增以及平滑横向扩展的能力,以便IT基础架构在尽可能短的时间内与业务发展相适应。
◆安全可靠
由于医疗影像云属于对医疗系统提供公共服务的云平台,因此针对平台自身业务熟悉,结合国家对云平台的相关建设要求和标准,本次云平台安全体系建设参考和采用以下相关国家标准:
信息系统安全保护等级定级指南(GB/T 22240-2008)
信息系统安全等级保护基本要求(GB/T 22239-2008)
信息系统安全等级保护实施指南(国家标准报批稿)
信息系统安全等级保护测评准则(国家标准报批稿)
信息系统等级保护基本要求-云计算要求-标准草案
第2章医疗影像云建设需求分析
2.1云平台的基础安全保障
云平台的基础安全保障,是云服务方所需承担的基本、必须义务。提供SAAS服务的云
服务方,需保护的对象涵盖物理基础设施、服务器、网络和安全设备;虚拟化平台系统、资源池、云管平台,以及为租户提供的镜像、模板等。如下图所示:
1)基础安全保障能力的形成,主要包括两个步骤:
a)根据系统等级属性、接入对象等,进行网络区域划分
b)根据网络区域划分,计算环境属性要求,进行安全措施部署
2)具体需求,包括:
a)在网络区域划分时,应参照云平台等级保护的相关指导标准规范,保障合规性;
b)在区域边界安全措施部署和保护时,应参照等级保护要求,达到相应能力要求;
c)区域边界的深度防御,不仅要形成传统的多防线的纵深防护,还应在防御的网络层次上
涵盖2~7层,满足当下进阶的攻防态势需求;
d)持续性安全检测,应对传统的只在网络入口部署IPS、核心网络交换机处部署IDS模式
进行扩展、加强,将威胁检测能力下沉到虚拟化网络,并上升借助外围安全大数据分析的安全服务云,形成全面、深入、持续的安全检测能力,抵御不断升级的APT攻击和突发安全事件;
e)需对虚拟化平台、虚拟机等进行主机加固,保障计算环境安全;
f)应对通信网络采取国密/商密算法的加密措施,并部署多链路冗余和链路负载均衡措施,
保障链路可用性,达到保障通信网络安全的目的;
g)安全响应和处置,应不仅限于传统的人工设置访问控制策略和事后审计,还应与安全管
理中心联动,形成整体安全可视、自动化的快速安全策略升级响应,缩短攻击窗口、切断攻击扩散的链条,尽力减少损失;
h)通过专用通道,与外围专门的未知威胁风险云平台对接,实时获取未知威胁情报,保障
云安全体系的持续动态安全能力。
2.2云环境下安全责任分类界定
云计算安全措施的实施主体常常会有多个,各类主体的安全责任因不同的云计算服务模式而异;云服务方和云租户方的安全责任边界与其控制范围相关。云计算服务模式与控制范围的关系如下图所示:
云计算服务模式与控制范围的关系图示(摘自GBT31168-2014)本次医疗影像云属于SaaS模式建设,在等保2.0云等保相关草案中SaaS模式下云服务方与租户的责任划分如下:
层面安全要求安全组件责任
主体
物理和环境安全物理位置选择数据中心及物理设施云服
务方
网络和通信安全网络结构、访问控制、远程访问、
入侵防范、安全审计
物理网络及附属设备、虚拟网络管理平台、虚拟网
络安全域
云服
务方
设备和计算安全身份鉴别、访问控制、安全审计、
入侵防范、恶意代码防范、资源控
制、镜像和快照保护
物理网络及附属设备、虚拟网络管理平台、物理宿
主机及附属设备、虚拟机管理平台、镜像、虚拟机、
虚拟网络设备、虚拟安全设备等
云服
务方
应用和数据安全安全审计、资源控制、接口安全、
数据完整性、数据保密性、数据备
份恢复
云管理平台(含运维和运营)、镜像、快照等、应
用系统及相关软件组件
云服
务方
云租户应用系统配置、云租户业务相关数据等云租
户
安全管理机构和人员授权和审批授权和审批流程、文档等云服
务方
系统安全建设管理安全方案设计、测试验收、云服务
商选择、供应链管理
云计算平台接口、安全措施、供应链管理流程、安
全事件和重要变更信息
云服
务方
云服务商选择及管理流程云租
户
系统安全运维管理监控和审计管理监控和审计管理的相关流程、策略和数据云服
务方
2.3云环境下引入的特有安全需求
在当前以SaaS层服务为主的云平台建设模式下,云环境下的特有安全风险大部分围绕着虚拟化而产生。在最新的《信息系统安全等级保护基本要求第 2 部分:对采用云计算技术的信息系统的扩展安全要求(草案)》中,也围绕该问题提出了基本要求。这些要求涵盖了虚拟化平台、虚拟化网络、虚拟化主机、特殊应用和数据等诸多层面。虚拟化安全相关的主要问题,如下图所示:
按照云等级保护草案框架划分,大致需求内容,包括:
1)主机:宿主机、云平台加固、虚拟机加固、检测、审计等
2)网络:虚拟化网络边界隔离、防护、检测、审计等
3)应用:云管平台与业务应用防护、检测、加固、审计等
4)数据:数据中心双活、灾备,镜像、快照安全等
第3章医疗影像云云安全建设方案
3.1平台安全架构设计
一个好的安全技术体系框架落实,需要合理、合规、科学的网络安全规划与安全设备部署。通过多年安全体系建设和云安全项目经验积累,根据富士康医疗影像云的实际情况,给出以下总体网络安全构架设计。如下图所示:
1)合规性满足:
?遵循等级保护标准,进行“一个中心,三重防护”设计和安全措施部署
?满足云安全专项标准中对安全责任的明晰,虚拟化安全措施部署和要求满足
2)安全防护、检测、响应三个维度满足
?通过安全服务云的安全防护,以及部署边界安全防护措施,有效满足区域边界的访问控制、攻击防护和入侵防范;
?部署的下一代防火墙、威胁检测探针,均具备2~7层的双向安全威胁检测能力;
?可以和安全管理中心形成良好互动,保障快速响应能力。
3)对云环境下特有安全问题解决
?通过在虚拟化平台上部署云安全资源池(含虚拟防火墙、虚拟负载均衡、EDR、虚拟VPN等组件),并进行安全策略设置,保障虚拟化网络的可视、可控,虚
拟化边界安全防御、检测和响应能力。
?通过对云管平台、虚拟化平台、虚拟机的安全加固和安全审计等措施部署,保
障云平台的安全,保障系统安全、持续、有序运转。
3.2医院接入架构设计
3.2.1前置机接入安全设计
部分医院采用前置机的方式接入医疗影像云平台,在这种部署模式下,可以直接在医院部署一台aBOS一体机,前置机应用系统可以部署在aBOS一体机上,aBOS一体机上还部署
有下一代防火墙及VPN确保应用系统的安全。部署模式如下:
aBOS一体机
序号产品型号性能数量备注
1 aBOS一体机前置机前端防御
3.2.2专线接入安全设计
部分医院采用专线直连的方式接入医疗影像云平台,在这种部署模式下,专线需接入云平台安全资源池虚拟下一代防火vAF进行边界防护,针对每个医院独立虚拟出一台vAF。部
署模式如下:
3.3平台安全区域边界设计
3.3.1网络接入域
3.3.1.1专网接入区
1)本区说明:各医院通过专线由该区域接入医疗影像云数据中心,上传医疗影像数据。
2)存在风险:存在非法越权访问、网络攻击、病毒传播,以及带宽资源拥塞风险。
3)安全措施部署说明:在专线接入区出口双机部署下一代防火墙设备
3.3.1.2互联网接入区
1)本区域职能说明:各医院通过互联网接入该区域,访问存储在医疗影像云中的医疗
影像数据。
2)存在风险:数量庞大的互联网访问有可能造成网络拥塞;与互联网对接,存在遭受
DDoS攻击,以及其他网络层攻击和应用层攻击的风险;存在非法进入内网,进行
窃取和破坏等风险。
3)安全措施部署说明:在互联网接入区双机热备模式串行部署防DDoS、链路负载均
衡、下一代防火墙设备;在互联网接入专线网络核心区之间,双机热备、单臂部署
SSL VPN设备提供远程接入运维服务。
3.3.2内网业务区
1)本区域职能说明:利用虚拟化、资源池技术向各医院用户提供医疗影像资源。
2)存在风险:由于存在数量众多的医院用户共同使用内网业务区的计算、网络、虚机
等IaaS资源,部署不同类别不同安全等级的系统,交换不同重要程度的数据;则
存在虚拟安全加固不足;虚拟机间安全隔离、安全防护、资源控制和保障措施不足;
从而导致多个虚拟机间的越权访问、资源争夺,以及某一虚机感染病毒、木马后跳
板攻击和病毒蔓延。
3)安全措施部署说明:通过调用安全资源池各种安全组件为不同的业务系统提供安全
防护和接入服务;主要包括vAF、EDR、SAVE防病毒引擎等功能组件
3.3.3安全管理区
1)本区域职能说明:作为整个云平台的管理运维“心脏”,通过专门的管理网络和管
理交换机通道,进行云平台运维管理、安全设备的统一运维管理、SDN控制管理,
以及防病毒管理、补丁升级管理和漏洞扫描服务。
2)安全措施部署说明:在安全管理区部署日志存储平台,统一存储全网所有设备日志。
同时部署一套SIP安全态势感知平台,对全网的安全态势进行监测和分析。针对运
维管理人员的运维需求,部署一套堡垒机实现对运维人员的操作审计,满足安全管
理的需求。
3.4平台安全设备汇总
9
安全资源池(软件)
CSSP-40
含vAF、EDR组件共40套,用户可按需使用 1 内网业务区第4章医疗影像云云安全解决方案技术特点
4.1部署架构
安全资源池部署在核心交换机上,采用物理旁路,逻辑串联的方式,核心交换机采用策略路由的方式将云平台的业务流量引流到云安全资源池,通过安全资源池的云Web防护系统、云DDOS、云堡垒机、云数据库审计、云防火墙、云IPS、云VPN、云防病毒、云APT检测对数据量进行安全检测,检测完成后在返回给交换机到出口。完成整个数据流的安全防护,实现了南北向和东西向纵深防护体系。
以上落实到实际效果主要体现在两个部分:一部是为租户提供了合规安全保障体系,一部分是实现了安全需求服务化交付,具体如下:
?实现租户VPC边界防护,虚拟机间的边界防护,形成了纵深多维度防护体系;
?通过安全需求服务化交付,实现了租户安全需求按需服务,根据租户需求实现弹性扩展,提供WAF、IPS、FW、APT、VPN、APT等丰富的增值服务内容,满足租户合规需求;
?通过安全云,实现未知威胁发现、Web业务系统漏洞扫描和安全监测,动态感知安全威胁,提前预警和防护;
?通过云安全资源池管理平台,实现全网态势感知动态展示、策略下发、安全事件实时处置;
?与安全云联动,实现安全威胁情报协同,突发安全事件在线应急响应。
4.1.1南北向安全服务流
南北向安全服务流即外网——数据中心侧业务(比如web业务)访问流向,数据中心侧业务南北向安全风险与原有线下安全风险类似,例如web业务需要实现入侵防护、web安全防护、VPN安全接入等功能。
南北向防护安全,主要通过安全资源池平台上包含的各类安全组件来实现防护。
4.1.2东西向安全服务流
东西向安全服务流即不同云主机、数据库之间的访问引入的安全服务流。
4.2东西向安全服务设计
东西向安全流量的设计,采用公司提供的终端检测响应平台(EDR)方案,方案由轻量级的端点探针和管理平台共同组成。轻量级的端点探针agent需要安装在用户的云服务器上,管理平台可以部署在云平台内部或使用Sangfor的SaaS服务云。
4.2.1安全服务交付形式
租户上云后,租户除了关注终端检测响应平台(EDR)是端点探针记录大量主机和网络事件,并将这些数据发送到管理平台,然后由管理平台进行全面的安全分析,根据已知攻击指示器(IOC)、行为分析和机器学习等技术来检测安全攻击行为,并对这些攻击做出快速的
响应动作。解决方案将对主机进行持续的安全检测,并对发生的安全事件进行自动响应加固4.2.2安全服务交付内容
4.2.2.1恶意文件自动隔离响应
端点探针部署在服务器终端上,在操作系统用户态稳定运行,轻量级无感知,实时采集部署环境的安全相关数据,全面探测服务器主机和网络上的威胁活动,通过文件信誉库或相似库来防止已知的威胁文件运行,并对已知恶意文件进行自动隔离的响应处理。
4.2.2.2入侵行为主动IP封堵
端点探针实时感知网络威胁活动,对远程攻击的入侵者,可对入侵源进行IP封堵处理,并主动把入侵源加入IP黑名单,实时响应缓解攻击,持续进行安全加固,减少攻击对业务资产运营的影响。
4.2.2.3应用角色访问控制加固
在虚拟化云环境中,可对服务器应用角色之间的东西向流量进行访问控制策略配置,提供对业务安全域之间、业务安全域内不同应用角色之间、业务安全域内相同应用角色之间的访问控制策略配置,提供简单的安全访问策略配置,提高了安全管理的效率。
4.2.2.4威胁情报智能关联检测
的安全云平台通过端点返回的事件信息,关联在线数十万台安全设备的云反馈威胁情报数据,以及第三方合作伙伴交换的威胁情报数据,智能分析精准判断,超越传统的黑白名单和静态特征库,为已知/未知威胁检测提供有力支持。并且可与产品进行自动化联动检测和防护,形成应对威胁的云管端立体化纵深防护闭环体系。
4.3南北向安全服务交付设计
4.3.1安全接入服务
a)包含服务:
SSL VPN/IPSEC VPN
安全策略
内部业务系统如果直接通过公网访问,部分数据在公网可能被人劫持、利用、篡改,同时如果在公网传输的数据是明文传输的,风险会更大,所以可以利用VPN功能(SSL VPN
与IPSEC VPN),对公网传输的数据进行加密,构建VPN隧道,避免在访问内部业务系统过程中数据被窃取、篡改。
4.3.2安全防御服务
a)包含服务:
基础防御服务
涉及具体功能为应用控制、应用防火墙、IPS功能
WEB安全增强服务
涉及具体功能为:WAF、防篡改、数据防泄密功能
b)安全策略
针对操作系统漏洞(windows 漏洞)、应用系统漏洞(apache漏洞、IIS漏洞、FLASH 漏洞等)提供防护措施,避免因为未及时更新补丁造成的漏洞被恶意分子利用,对操作系统、应用系统进行恶意修改,比如增加一个操作系统管理员,对操作系统进行修改,达到恶意利用的目的。
WAF功能,又称为WEB防火墙功能,只要在云上有web系统对外发布的场景,建议部署WAF服务,web攻击因其攻击手段的多样化,已经成为目前主流攻击形式。一个web系统可以被插入恶意代码,引导用户点击并窃取用户核心信息,也可以通过恶意的数据库请求对数据库进行非法操作,也可以劫持用户浏览器数据,获取后台管理密码等。以上攻击,由于业务系统在开发时对代码检测力度不够以及web攻击不断演变,如果有web系统,一定需要提供对外web系统的web应用防护(WAF防护功能)。
防篡改功能,避免网页(门户网站等)被恶意人员篡改,比如网站首页图片被恶意替换、内容被恶意替换,从而给单位带来极其恶略的影响。适用于对外发布网站(门户网站、有web页面的业务系统):适用于单位对外发布业务的网站篡改监测与保护,通过在网站服务端安装防篡改软件,避免页面被恶意篡改。
病毒网关功能,通过在上网/下载流量的出入口提供防病毒网关服务,对服务器外发、用户上传的文件进行病毒识别、查杀,避免用户主动上传/服务器端主动下载的文件中包含各类病毒。用户端无需安装终端软件,不会带来终端CPU、内存资源消耗,也实现了轻量化的防病毒功能。
数据防泄漏功能,针对敏感信息批量外发进行保护,如186、139等有特征的11位的手机号码、18位身份证号,有标准特征的@邮箱等有特征数据进行识别,同时可以针对自身业
务系统关键数据进行配置,比如社保卡号,避免服务器被攻击后黑客批量外发敏感数据,该模块可以阻断敏感信息的泄漏。有防护了各单位、政府敏感泄漏的风险。
4.3.3应用交付服务
a)包含服务:
应用负载、SSL卸载服务
b)安全策略
应用交付服务支持基于 IP 地址、应用类型和内容等因素实现流量负载。通过这种方式可以为不同类型的应用类型分配不同的服务器资源。应用类型调度支持基于不同协议上的多种应用,包括 TCP、UDP、IP、DNS、E-mail、FTP、HTTP、RADIUS等等。在实现L4服务器负载均衡的场景中,应用交付服务负责将客户端的请求转发给服务器,然后客户端与服务器之间建立TCP连接,基于七层内容的调度机制,使得管理员可以通过应用层的内容交换来分配服务器资源,以实现用户请求调度的多元化和个性化,业务应用的场景十分广泛。例如,基于URI、HOST、COOKIE、USER_AGENT等HTTP头部内容的匹配策略来选择服务器,或者通过对HTTP头部进行请求改写和应答改写,执行页面跳转和丢弃等操作,实现不同业务系统之间的交互联动
数据中心--医疗影像云云安全解决方案
目录 第1章项目建设背景与方案设计原则 (2) 第2章医疗影像云建设需求分析 (2) 2.1云平台的基础安全保障 (2) 2.2云环境下安全责任分类界定 (4) 2.3云环境下引入的特有安全需求 (5) 第3章医疗影像云云安全建设方案 (6) 3.1平台安全架构设计 (6) 3.2医院接入架构设计 (7) 3.2.1前置机接入安全设计 (7) 3.2.2专线接入安全设计 (7) 3.3平台安全区域边界设计 (8) 3.3.1网络接入域 (8) 3.3.2内网业务区 (8) 3.3.3安全管理区 (9) 3.4平台安全设备汇总 (9) 第4章医疗影像云云安全解决方案技术特点 (10) 4.1部署架构 (10) 4.1.1南北向安全服务流 (11) 4.1.2东西向安全服务流 (11) 4.2东西向安全服务设计 (11) 4.2.1安全服务交付形式 (11) 4.2.2安全服务交付内容 (12) 4.3南北向安全服务交付设计 (12) 4.3.1安全接入服务 (12) 4.3.2安全防御服务 (13) 4.3.3应用交付服务 (14)
第1章项目建设背景与方案设计原则 ◆统一规范 遵循在统一的框架体系下,参考国际国内各方面的标准与规范,严格遵从各项技术规定,做好整个医疗影像云系统的标准化设计与部署。 ◆成熟稳定 本次建设方案采用的是成熟稳定的技术和产品,确保能够适应各方面的需求,并满足未来业务增长及变化的需求。 ◆实用先进 为避免投资浪费,方案设计不仅要求能够满足目前业务使用的需求,还必须具备一定的先进性和发展潜力,具备纵向扩增以及平滑横向扩展的能力,以便IT基础架构在尽可能短的时间内与业务发展相适应。 ◆安全可靠 由于医疗影像云属于对医疗系统提供公共服务的云平台,因此针对平台自身业务熟悉,结合国家对云平台的相关建设要求和标准,本次云平台安全体系建设参考和采用以下相关国家标准: 信息系统安全保护等级定级指南(GB/T 22240-2008) 信息系统安全等级保护基本要求(GB/T 22239-2008) 信息系统安全等级保护实施指南(国家标准报批稿) 信息系统安全等级保护测评准则(国家标准报批稿) 信息系统等级保护基本要求-云计算要求-标准草案 第2章医疗影像云建设需求分析 2.1云平台的基础安全保障 云平台的基础安全保障,是云服务方所需承担的基本、必须义务。提供SAAS服务的云
数据中心信息安全解决方案模板
数据中心信息安全 解决方案
数据中心解决方案 (安全)
目录 第一章信息安全保障系统...................................... 错误!未定义书签。 1.1 系统概述 .................................................... 错误!未定义书签。 1.2 安全标准 .................................................... 错误!未定义书签。 1.3 系统架构 .................................................... 错误!未定义书签。 1.4 系统详细设计 ............................................ 错误!未定义书签。 1.4.1 计算环境安全 ...................................... 错误!未定义书签。 1.4.2 区域边界安全 ...................................... 错误!未定义书签。 1.4.3 通信网络安全 ...................................... 错误!未定义书签。 1.4.4 管理中心安全 ...................................... 错误!未定义书签。 1.5 安全设备及系统......................................... 错误!未定义书签。 1.5.1 VPN加密系统 ...................................... 错误!未定义书签。 1.5.2 入侵防御系统 ...................................... 错误!未定义书签。 1.5.3 防火墙系统 .......................................... 错误!未定义书签。 1.5.4 安全审计系统 ...................................... 错误!未定义书签。 1.5.5 漏洞扫描系统 ...................................... 错误!未定义书签。 1.5.6 网络防病毒系统 .................................. 错误!未定义书签。 1.5.7 PKI/CA身份认证平台 .......................... 错误!未定义书签。 1.5.8 接入认证系统 ...................................... 错误!未定义书签。
数据中心安全建设方案
数据中心安全建设方案
数据中心安全解决方案
目录 第一章解决方案 (2) 1.1建设需求 (2) 1.2建设思路 (2) 1.3总体方案 (3) 1.3.1 IP准入控制系统 (4) 1.3.2 防泄密技术的选择 (6) 1.3.3 主机账号生命周期管理系统 (6) 1.3.4 数据库账号生命周期管理系统.. 7 1.3.5 令牌认证系统 (7) 1.3.6 数据库审计系统 (8) 1.3.7 数据脱敏系统 (8) 1.3.8 应用内嵌账号管理系统 (9) 1.3.9 云计算平台 (12) 1.3.10 防火墙 (13) 1.3.11 统一安全运营平台 (13) 1.3.12 安全运维服务 (15) 1.4实施效果 (15) 1.4.1 针对终端接入的管理 (15) 1.4.2 针对敏感数据的使用管理 (16) 1.4.3 针对敏感数据的访问管理 (17) 1.4.4 针对主机设备访问的管理 (17)
1.4.5 针对数据库访问的管理 (18) 1.4.6 针对数据库的审计 (19) 1.4.7 针对应用内嵌账号的管理 (21) 1.4.8 安全运营的规范 (21) 1.4.9 针对管理的优化 (22) 第二章项目预算及项目要求 (23) 2.1项目预算 (23) 2.1.1 项目一期预算 (23) 2.1.2 一期实现目标 (24) 2.2项目要求 (25) 2.2.1 用户环境配合条件 (25)
第一章解决方案 1.1建设需求 XXX用户经过多年的信息化建设,各项业务都顺利的开展起来了,数据中心已经积累了很多宝贵的数据,这些无形的资产比硬件资产还重要,但它们却面临着非常大的安全挑战。 在早期的系统建设过程中,大多用户不会考虑数据安全、应用安全层面的问题,经过多年的发展,数据中心越来越庞大,业务越来越复杂,但信息安全完全没有配套建设,经常会发生一些安全事件,如:数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况,而这些安全事件往往都是特权用户从后台直接操作的,非常隐蔽,这时候往往无从查起。 其实,信息安全建设在系统的设计初期开始,就应该要介入,始终贯穿其中,这样花费的人力物力才是最小。当一个系统建成后,发现问题了,回头再来考虑安全建设,这样投入的成本将会变得最大。 1.2建设思路 数据中心的安全体系建设并非安全产品的堆砌,它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系,涉及众多的安全技术,实施过程需要涉及大量的调研、咨询等工作,还会涉及到众多的安全厂家之间的协调、产品的选型,安全系统建成后怎么维持这个生态体系的平衡,是一个复杂的系统工程,一般建议分期投资建设,从技术到管理,逐步实现组织的战略目标。 整体设计思路是将需要保护的核心业务主机包及数据库围起来,与其他网络区域进行逻辑隔离,封闭一切不应该暴漏的端口、IP,在不影响现有业务的情况下形成数据孤岛,设置固定的数据访问入口,对入口进行严格的访问控制及审计。由之前的被动安全变为主动防御,控制安全事故的发生,对接入系统
数据中心集成安全解决方案
数据中心集成安全解决方案 1.系统功能简介 ?数据中心负责存储、计算和转发企业最重要的数据信息,这些信息的安全可靠成为了企业发展和生存的前提条件。思科数据中心安全保护套件提供数据中心信息的安全防护。 ?考虑到Cisco Catalyst 6500系列交换机已经广泛部署在企业数据中心,安全套件主要由内嵌防火墙模块(FWSM)和内嵌入侵检测系统模块(IDSM)两个组件构成。 ?FWSM使用一个实时的、牢固的嵌入式系统,可以消除安全漏洞,防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法(ASA)的保护机制,它可以提供面向连接的全状态防火墙功能。利用FWSM可以根据源地址和目的地地址,随机的TCP序列号,端口号,以及其他TCP标志,为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略,控制所有输入和输出的流量。IDSM对进入网络的流量进行旁路的深层数据包检测,判断和分析数据包是否能够安全的在数据中心进行发送、接收,防止业务资产受到威胁,提高入侵防范的效率。 ?思科数据中心安全保护套件示意图如下:
2.系统先进特性 ?灵活的扩展性:集成模块 FWSM安装在Cisco Catalyst 6500系列交换机的内部,让交换机的任何物理端口都可以成为防火墙端口,并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说,这种功能非常重要。系统可以通过虚拟防火墙功能将一台物理的防火墙模块划分为最多250台虚拟的防火墙系统,以满足用户业务的不断扩展。IDSM可以通过VLAN访问控制列表(VACL)获取功能来提供对数据流的访问权限,并根据自己的需要,同时安装多个模块,为更多的VLAN和流量提供保护。当设备需要维护时,热插拔模块也不会导致网络性能降低或者系统中断。 ?强大的安全防护功能:该系统不仅可以保护企业网络免受未经授权的外部接入的攻击,还可以防止未经授权的用户接入企业网络的子网、工作组和LAN。强大的入侵检测能力还可以提供高速的分组检查功能,让用户可以为各种类型的网络和流量提供更多的保护。多种用于获取和响应的技术,包括SPAN/RSPAN和VACL获取功能,以及屏蔽和TCP重置功能,从而让用户可以监控不同的网段和流量,同时让产品可以采取及时的措施,以消除威胁。 ?便于管理:设备管理器的直观的图形化用户界面(GUI)可以方便的管理和配置FWSM。系统更加善于检测和响应威胁,同时能够就潜在的攻击向管理人员发出警报,便于管理人员及时对安全事件进行响应。 3.系统配置说明(硬件软件需要与产品列表) ?FWSM+IDSM(详细报价请参考Excel文件) ?系统配置说明: Catalyst 6500 IDSM-2入侵检测模块需购买签名(IPS SIGNATURE)升级服务。
数据中心、网络安全
一、数据中心的作用: 用来在internet网络基础设施上传递、加速、展示、计算、存储数据信息。 二、数据中心的组成 1、基础环境: 主要指数据中心机房及建筑物布线等设施,包括电力、制冷、消防、门禁、监控、装修等; 2、硬件设备: 主要包括核心网络设备(华为、新华三(H3C)、锐捷网络、D-Link)、 网络安全设备包含防火墙、utm、vpn、防毒邮件过滤、IPS防入侵系统物理安全隔离、监管(华为、深信服、新华三、360、天融信、启明星辰) 服务器(戴尔、联想、华为) 存储(惠普、希捷、联想、群辉) 灾备设备、机柜及配套设施; 3、基础软件: 服务器操作系统软件、虚拟化软件、IaaS服务管理软件、数据库软件、防病毒软件等;4、应用支撑平台: 一般来讲是具有行业特点的统一软件平台,整合异构系统,互通数据资源;剩下的是具体应用软件了,多数应该做成与硬件无关的。最最重要的是,光靠软件硬件的罗列是无法构成一个好的数据中心,关键是如何设计、如何 三、网络安全的作用 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断 四、网络安全的组成 1、防火墙: 防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。 2、IPS(防入侵系统) 监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 3、防毒墙 查杀病毒保护网络安全 4、抗DDOS 主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务 5、堡垒机 保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。 6、WAF网络防火墙 Web应用防护系统(也称为:网站应用级入侵防御系统 7、网闸 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
数据中心安全规划方案
XX数据中心信息系统安全建设项目 技术方案
目录1.项目概述4 1.1.目标与范围4 1.2.参照标准4 1.3.系统描述4 2.安全风险分析5 2.1.系统脆弱性分析5 2.2.安全威胁分析5 2.2.1.被动攻击产生的威胁5 2.2.2.主动攻击产生的威胁5 3.安全需求分析7 3.1.等级保护要求分析7 3.1.1.网络安全7 3.1.2.主机安全8 3.1.3.应用安全9 3.2.安全需求总结9 4.整体安全设计10 4.1.安全域10 4.1.1.安全域划分原则10 4.1.2.安全域划分设计11 4.2.安全设备部署12 5.详细安全设计13 5.1.网络安全设计13 5.1.1.抗DOS设备13 5.1.2.防火墙14 5.1.3.WEB应用安全网关15 5.1.4.入侵防御16
5.1.5.入侵检测17 5.1. 6.安全审计18 5.1.7.防病毒18 5.2.安全运维管理19 5.2.1.漏洞扫描19 5.2.2.安全管理平台19 5.2.3.堡垒机21 6.产品列表21
1.项目概述 1.1.目标与范围 本次数据中心的安全建设主要依据《信息安全技术信息安全等级保护基本要求》中的技术部分,从网络安全,主机安全,应用安全,来对网络与服务器进行设计。根据用户需求,在本次建设完毕后XX数据中心网络将达到等保三级的技术要求。 因用户网络为新建网络,所以本次建设将完全按照《信息安全技术信息安全等级保护基本要求》中技术部分要求进行。 1.2.参照标准 GB/T22239-2008《信息安全技术信息安全等级保护基本要求》 GB/T 22239-2008《信息安全技术信息安全等级保护基本要求》 GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》 GB/T 20270-2006《信息安全技术网络基础安全技术要求》 GB/T 25058-2010《信息安全技术信息系统安全等级保护实施指南》 GB/T 20271-2006《信息安全技术信息系统安全通用技术要求》 GB/T 25070-2010《信息安全技术信息系统等级保护安全设计技术要求》 GB 17859-1999《计算机信息系统安全保护等级划分准则》 GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》 1.3.系统描述 XX数据中心平台共有三个信息系统:能源应用,环保应用,市节能减排应用。 企业节点通过企业信息前置机抓取企业节点数据,并把这些数据上传到XX 数据中心的数据库中,数据库对这些企业数据进行汇总与分析,同时企业节点也可以通过VPN去访问XX数据中心的相关应用。
医院医疗影像云解决方案
医院医疗影像云解决方案 关键字: 医院、医疗、影像云、云计算、云存储 一、业务场景 为改变目前医院医疗影像为院内建设模式,把影像数据托管至云平台上,从而实现医疗影像的跨院、跨区域、跨个人以及更方便的电子化数据的互通与共享。 二、客户需求分析 1、医院影像数据需要安全保存,实现异地冗余灾备。 2、跨院区影像需要集中存储,影像共享。 三、解决方案 1、整体架构 医疗影像云平台由上海基地负责影像云平台开发、PACS系统集成开发、影像应用产品迭代开发。影像云的业务采用集中式的部署及管理,同时系统平台采用分布式架构,以实现负载均衡。 下图是整体业务逻辑架构:
其中,院内的影像数据可以通过MPLS-VPN方式,通过前置机传输至影像云中心;同样,云中心亦可以通过MPLS-VPN方式把归档好的影像数据回传至院内PACS;当客户使用影像云诊断及应用工具时,则可以采用更为便捷的互联网方式进行随时随地的快速调阅和应用。可以采用专线以及互联网的方式替代MPLS-VPN方式。 2、医院侧前端部署架构 医院前置机部署于医院侧,是连接医院系统/设备和云存储中心系统的桥梁,只要遵循DICOM3.0协议标准的影像设备如DR,CT等以及院内PACS系统都可以接入云归档系统。 该前置主要实现功能如下: ?根据Dicom标准协议从医院PACS系统或放射设备上获取影像 信息; ?根据Dicom标准协议从云端将归档影像信息传送到医院PACS
系统或设备; ?影像数据处理,包括入库、归档、加密、压缩等; ?根据自定义协议发送影像信息到云影像中心应用集群;与云影 像系统中心应用的协同业务处理; ?路由网关安全控制,隔离医院内外部系统。 ?统一标准PACS系统,支持C-MOVE,C-GET,C-FIND等指令。 影像传输流程,如下图所示: 1)院内PACS可以通过Dicom的C-STORE协议主动发送影像数据到院内前置机影像交互模块或者在PACS上增加节点,院内前置机影像交互模块通过Dicom的C-MOVE协议的方式来获取影像; 2)索引处理:通过读取原始的DICOM影像数据,得出患者姓名、性别、检查编号等信息并进行记录管理; 3)加密处理:支持DICOM TLS加密方式,将DICOM影像文件在传输过程的相关信息进行加密。 4)加压处理:采用DICOM J2k压缩算法,使压缩比更高,压缩率能够达到35%-40%; 5)影像交互:传输的DICOM索引信息及加密加压后的DICOM文件通过内部通道传送到云端存储。 6)影像回传:院内系统通过DICOM query(C-Get,C-Find)协议向前置机发起回传请求,院内前置机从云端应用集群获取影像数据后
数据中心网络安全设计与实施
摘要 随着信息技术的普及,生产、生活、工作、学习,到处可以看到计算机和网络,几乎互联网已经成为我们人类生存中不可缺少的一个重要组成部分。政府机关、事业单位,甚至我们的军队中,也出现了计算机网络。 如今,国内外黑客技术不断发展壮大,已经远远超过我们现有的防卫力量,网络安全威胁已经成为一个不可忽视的问题。大国之间的军备竞赛也涉及到网络,纷纷成立网络军队,使得互联网技术也成为了一把锋利的双刃剑。 IT行业不断发展,互联网应用将会越来越广泛,如今已经成为我们生产、生活不可分割的一部分,信息安全却成为我们迫在眉睫的问题。为了使我们使用网络更加方便,为了更好的进行管理,运营商和大型公司,都在纷纷建立数据中心,保障数据中心的网络安全,便成为我们工作的重中之重。 本次模拟试验是根据目前黑客拥有并掌握的攻防技术,以及Cisco公司指出的相关网络安全技术,通过网络安全方案实施,能够应对一般的网络安全攻击的威胁。
Abstract With the spread of information technology, production, living, working, learning, computers and networks can be seen everywhere, the Internet has become almost indispensable to human existence is an important part. Government agencies, institutions, and even our armed forces, there have been computer networks. Today, technology continues to grow and develop domestic and international hackers have been far more than our existing defense forces, the network has become a security threat can not be ignored. The arms race between the major powers involved in the network, have set up the network army, making Internet technology has also become a sharp double-edged sword. The continuous development of IT industry, Internet applications will become increasingly widespread, and now has become our production, an integral part of life, information security has become our immediate problem. To make our network more convenient to use, in order to better manage, operators and large companies, have set up in data centers, security.
云数据中心边界防护解决方案v1.0(文字说明)
云数据中心边界安全解决方案 -安全网关产品推广中心马腾辉 数据中心的“云化” 数据中心,作为信息时代的重要产物之一,先后经历了大集中、虚拟化以及云计算三个历史发展阶段。在初期的大集中阶段中,数据中心实现了将以往分散的IT资源进行物理层面的集中与整合,同时,也拥有了较强的容灾机制;而随着业务的快速扩张,使我们在软、硬件方面投入的成本不断增加,但实际的资源使用率却很低下,而且灵活性不足,于是便通过虚拟化技术来解决成本、使用率以及灵活性等等问题,便又很快发展到了虚拟化阶段。 然而,虚拟化虽然解决了上述问题,但对于一个处于高速发展的企业来讲,仍然需要不断地进行软、硬件的升级与更新,另外,持续增加的业务总会使现有资源在一定时期内的扩展性受到限制。因此,采用具有弹性扩展、按需服务的云计算模式已经成为当下的热点需求,而在这个过程中,数据中心的“云化”也自然成为发展的必然! 传统边界防护的“困局” 云计算的相关技术特点及其应用模式正在使网络边界变得模糊,这使云数据中心对于边界安全防护的需求和以往的应用场景相比也会有所不同。在云计算环境下,如何为“云端接入”、“应用防护”、“虚拟环境”以及“全网管控”分别提供完善、可靠的解决方案,是我们需要面对的现实问题。因此,对于解决云数据中心的边界安全问题,传统网关技术早已束手无策,而此时更需要依靠下一代网关相关技术来提供一套体系化的边界安全解决方案! 天融信云数据中心边界安全防护解决方案
面对上述问题,天融信解决方案如下: ?通过TopConnect虚拟化接入与TopVPN智能集群相结合,实现“云端接入”安全需求; ?通过在物理边界部署一系列物理网关来对各种非法访问、攻击、病毒等等安全威胁进行深度检测与防御,同时,利用网关虚拟化技术还可以为不同租户提供虚拟网关 租用服务,实现“应用防护”安全需求; ?通过TopVSP虚拟化安全平台,为虚拟机之间的安全防护与虚拟化平台自身安全提供相应解决方案,实现“虚拟环境”安全需求; ?通过TopPolicy智能化管理平台来将全网的网络及安全设备进行有效整合,提供智能化的安全管控机制,实现“全网管控”安全需求; 技术特点 ●虚拟化 ?网关虚拟化:
数据中心安全建设方案
数据中心安全解决方案
1 目录 第一章解决方案 (2) 1.1建设需求 (2) 1.2建设思路 (2) 1.3总体方案 (3) 1.3.1 IP 准入控制系统 (5) 1.3.2防泄密技术的选择 (6) 1.3.3主机账号生命周期管理系统 (6) 1.3.4数据库账号生命周期管理系统 (7) 1.3.5令牌认证系统 (8) 1.3.6数据库审计系统 (8) 1.3.7数据脱敏系统 (9) 1.3.8应用内嵌账号管理系统 (10) 1.3.9云计算平台 (13) 1.3.10防火墙 (13) 1.3.11统一安全运营平台 (14) 1.3.12安全运维服务 (16) 1.4实施效果 (16) 1.4.1针对终端接入的管理 (16) 1.4.2针对敏感数据的使用管理 (17) 1.4.3针对敏感数据的访问管理 (18) 1.4.4针对主机设备访问的管理 (18) 1.4.5针对数据库访问的管理 (19) 1.4.6针对数据库的审计 (20) 1.4.7针对应用内嵌账号的管理 (22) 1.4.8安全运营的规范 (22) 1.4.9针对管理的优化 (23) 第二章项目预算及项目要求 .......................................................................错误!未定义书签。 2.1项目预算 ..........................................................................................错误!未定义书签。 2.1.1项目一期预算 .......................................................................错误!未定义书签。 2.1.2一期实现目标 .......................................................................错误!未定义书签。 2.2项目要求 ..........................................................................................错误!未定义书签。 2.2.1用户环境配合条件 ...............................................................错误!未定义书签。
数据中心云安全建设方案
若水公司 2017-3-23
目录 1项目建设背景 (2) 2云数据中心潜在安全风险分析 (2) 2.1从南北到东西的安全 (2) 2.2数据传输安全 (2) 2.3数据存储安全 (3) 2.4数据审计安全 (3) 2.5云数据中心的安全风险控制策略 (3) 3数据中心云安全平台建设的原则 (3) 3.1标准性原则 (3) 3.2成熟性原则 (4) 3.3先进性原则 (4) 3.4扩展性原则 (4) 3.5可用性原则 (4) 3.6安全性原则 (4) 4数据中心云安全防护建设目标 (5) 4.1建设高性能高可靠的网络安全一体的目标 (5) 4.2建设以虚拟化为技术支撑的目标 (5) 4.3以集中的安全服务中心应对无边界的目标 (5) 4.4满足安全防护与等保合规的目标 (6) 5云安全防护平台建设应具备的功能模块 (6) 5.1防火墙功能 (6) 5.2入侵防御功能 (7) 5.3负载均衡功能 (7) 5.4病毒防护功能 (8) 5.5安全审计 (8) 6结束语 (8)
1项目建设背景 2云数据中心潜在安全风险分析 云数据中心在效率、业务敏捷性上有明显的优势。然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很多原因的,总结起来,云数据中心主要的安全风险面临以下几方面: 2.1从南北到东西的安全 在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。 在云数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。 传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。 2.2数据传输安全 通常情况下,数据中心保存有大量的租户私密数据,这些数据往往代表了租户的核心竞争力,如租户的客户信息、财务信息、关键业务流程等等。在云数据中心模式下,租户将数据通过网络传递到云数据中心服务商进行处理时,面临着几个方面的问题:一是如何确保租户的数据在网络传输过程中严格加密不被窃取;二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去;三是在云数据中心服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证租户在任何时候都可以安全访问到自身的数据。
数据中心网络及安全方案规划与设计
数据中心网络及安全方案规划与设计 1.1. 数据中心网络建设目标 XX数据中心未来将XX集团承载所有生产环境系统。数据中心网络作为业务网络的一个重要组成部分,为核心业务系统服务器和存储设备提供安全可靠的接入平台。网络建设应达成以下目标: 高可用――网络作为数据中心的基础设施,网络的高可用直接影响到业务系统的可用性。网络层的高可用至少包括高可靠、高安全和先进性三个方面: ◆高可靠:应采用高可靠的产品和技术,充分考虑系统 的应变能力、容错能力和纠错能力,确保整个网络基 础设施运行稳定、可靠。当今,关键业务应用的可用 性与性能要求比任何时候都更为重要。 ◆高安全:网络基础设计的安全性,涉及到XX业务的 核心数据安全。应按照端到端访问安全、网络L2-L7 层安全两个维度对安全体系进行设计规划,从局部安
全、全局安全到智能安全,将安全理念渗透到整个数 据中心网络中。 先进性:数据中心将长期支撑XX集团的业务发展,而网络又是数据中心的基础支撑平台,因此数据中心 网络的建设需要考虑后续的机会成本,采用主流的、 先进的技术和产品(如数据中心级设备、CEE、FCoE、虚拟化支持等),保证基础支撑平台5~10年内不会被 淘汰,从而实现投资的保护。 易扩展――XX集团的业务目前已向多元化发展,未来的业务范围会更多更广,业务系统频繁调整与扩展再所难免,因此数据中心网络平台必须能够适应业务系统的频繁调整,同时在性能上应至少能够满足未来5~10年的业务发展。对于网络设备的选择和协议的部署,应遵循业界标准,保证良好的互通性和互操作性,支持业务的快速部署。 易管理――数据中心是IT技术最为密集的地方,数据中心的设备繁多,各种协议和应用部署越来越复杂,对运维人员的要求也越来越高,单独依赖运维人员个人的技术能力和
超融合数据中心医疗行业解决方案v2
超融合数据中心医疗行业 解决方案 1
目录 1公司简介7 1.1公司简介7 2项目背景8 2.1医疗信息系统建设简述8 2.2项目概述1 2.3规划拓扑图1 2.3.1核心机房1 2.4医院业务应用分析1 2.4.1参考医院HIS系统1 2.4.2参考医院PACS系统1 2.4.3医疗行业业务系统负载1 2.4.4医院业务系统的需求1 2.5现有问题及描述1 2.5.1基础架构无序增长(根据具体需求进行删减)1 2.5.2运维管理异常复杂(根据具体需求进行删减)1 2.5.3机房投入越来越高(根据具体需求进行删减)2 2.5.4业务数据没有保护(根据具体需求进行删减)2 2
3超融合设计方案3 3.1设计原则3 3.1.1统一规范3 3.1.2成熟稳定3 3.1.3实用先进3 3.1.4安全可靠3 3.2方案拓扑及介绍4 3.2.1核心机房4 3.2.2容灾机房5 3.3IT软/硬梳理1 3.3.1应用调研(调研高峰期) 1 3.3.2服务器调研(精确到规格)1 3.3.3存储调研(数量及规格)1 3.3.4网络调研(22表示使用的,48表示总共的)1 3.4方案规划1 3.4.1第一期1 3.4.2第二期1 3.5最佳实践1 3.6主要技术7 3.6.1存储虚拟化aSAN 7 3.6.2服务器虚拟化aSV 8 3.6.3网络虚拟化aNET 8 3.6.4网络功能虚拟化NFV 9 3
3.7方案优势1 3.7.1基础架构有序增长1 3.7.2运维管理简单便捷1 3.7.3机房投入成本降低3 3.7.4业务数据得到保护4 3.7.5逻辑错误保护(CDP)1 3.7.6CDP容灾服务器2 3.8超融合配置1 3.8.1超融合一体机配置1 3.8.2超融合软件配置1 3.8.3NFV配置清单1 4超融合迁移方案3 4.1概述(最终迁移具体方案以实施方案为准)3 4.2通用方案迁移前准备3 4.2.1超融合平台搭建3 4.2.2网络、存储配置3 4.2.3业务系统准备4 4.2.4预估迁移时间5 4.3迁移实施5 4.3.1使用P2V迁移步骤(支持)5 4.3.2迁移步骤6 4.3.3使用iso引导迁移步骤7 4
数据中心安全域隔离解决方案
数据中心安全域隔离解决方案 数据中心安全建设的基本原则:按照不同安全等级进行区域划分,进 行层次化、有重点的保护,通过传统防火墙分级分域的进行有针对性的访问 控制、安全防护。 数据中心安全域隔离存在的问题 防火墙基于五元组部署访问控制策略,但仍在上线部署、业务新增和日常管理中存在策略管理复杂可视性差的问题: 传统防火墙仍面临新的安全挑战 70%的攻击来自应用层,防火墙防护存在短板
APT、0day、欺诈等威胁出现,使边界防御失陷 深信服数据中心安全域隔离解决方案 本方案采用技术上先进的下一代防 火墙作为数据中心安全域隔离的主要载 体。既可以解决传统安全域隔离可视性 和管理便利性上的问题,同时还能够通 过开启应用层防护的模块和失陷主机检 测的模块加固数据中心的安全。有效的 补数据中心存在的安全短板,提升数据 中心安全防护与检测的能力。 ?数据中心安全域设计建议 将数据中心以不同安全级别及功能需求划分为四大安全区域:接入区、办公区、业务区、运维管理区。对数据中心网络及应用系统实施网络分级分区防护,有效地增加了重要应用系统的安全防护纵深,使得外部的侵入需要穿过多层防护机制,不仅增加恶意攻击的难度,还为主动防御提供了时间上的保证。
接入区:安全等级中,包含三个子区,互联网接入区、分支机构接入区和第三方接入区; 办公区:安全等级低,包含两个子区,内网办公区和无线办公区; 业务区:安全等级高,包含三个子区,对外业务区、核心业务区、内部应用区。 方案特点 ?精细到应用的访问控制粒度 不仅具备五元组访问控制策略,还可以通过结 合应用识别与用户识别技术制定的L3-L7 一体化 应用控制策略,提高了策略控制的准确度,提升数据中 心管理的效率。 如访问数据中心的常见应用 OA、ERP、Web、 邮箱等;或外部运维人员访问数据库等场景,通过应用层访问控制策略,解决传统 ACL 的无法对端口逃逸、端口跳跃等(如使用 Oracle 建立连接 1521,连接后为随机端口)技术的应用进行控制的问题。 ?向导式可视化的策略管理 上线部署:简单易懂的 IT 向 导配置,无需管理员掌握复杂的安 全知识,也可以完成策略的快速部 署上线,轻松掌握对数据中心安全 策略的部署。 新增业务:数据中心新增业务 时,能主动发现新增资产,防止安全策略疏漏。管理员无需手动查找新增资产,只需要对新增资产进行一 键策略的关联部署就可以快速添加策略。 策略管理:可视化的策略管理,提升了 访问控制策略管理的可视性,使管理员可以 更容易的看清楚策略部署的情况;同时提供 策略命中数量,便于管理员清除无效策略。 ?支持更强防护和检测能力的扩展 L2-7 层防护功能扩展:本方案采用深信
数据中心安全域的设计和划分
数据中心安全域的设计和划分 安全区域(以下简称为安全域)是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络。安全域划分是保证网络及基础设施稳定正常的基础,也是保障业务信息安全的基础。 一、安全域设计方法 安全域模型设计采用"同构性简化"方法,基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成,这些网络结构元以拼接、递归等方式构造出一个大的网络。 一般来讲,对信息系统安全域(保护对象)的设计应主要考虑如下方面因素: 1.业务和功能特性。 ①业务系统逻辑和应用关联性。 ②业务系统对外连接。对外业务、支撑、内部管理。 2.安全特性的要求。 ①安全要求相似性。可用性、保密性和完整性的要求。 ②威胁相似性。威胁来源、威胁方式和强度。 ③资产价值相近性。重要与非重要资产分离。 3.参照现有状况。 ①现有网络结构的状况。现有网络结构、地域和机房等。 ②参照现有的管理部门职权划分。 二、安全域设计步骤 一个数据中心内部安全域的划分主要有如下步骤: 1.查看网络上承载的业务系统的访问终端与业务主机的访问关系及业务主机之间的访问关系,若业务主机之间没有任何访问关系,则单独考虑各业务系统安全域的划分,若业务主机之间有访问关系,则几个业务系统一起考虑安全域的划分。 2.划分安全计算域。根据业务系统的业务功能实现机制、保护等级程度进行安全计算域的划分,一般分为核心处理域和访问域,其中数据库服务器等后台
处理设备归人核心处理域,前台直接面对用户的应用服务器归人访问域;局域网访问域可以有多种类型,包括开发区、测试区、数据共享区、数据交换区、第三方维护管理区、VPN接人区等;局域网的内部核心处理域包括数据库、安全控制管理、后台维护区(网管工作)等,核心处理域应具有隔离设备对该区域进行安全隔离,如防火墙、路由器(使用ACL)、交换机(使用VLAN)等。 3.划分安全用户域。根据业务系统的访问用户分类进行安全用户域的划分,访问同类数据的用户终端、需要进行相同级别保护划为一类安全用户域,一般分为管理用户域、内部用户域、外部用户域。 4.划分安全网络域。安全网络域是由连接具有相同安全等级的计算域和(或)用户域组成的网络域。网络域的安全等级的确定与网络所连接的安全用户域和(或)安全计算域的安全等级有关。一般同一网络内化分三种安全域:外部域、接人域、内部域。 三、安全域模型 该模型包含安全服务域、有线接人域、无线接入域、安全支撑域和安全互联域等五个安全区域。同一安全区域内的资产实施统一的保护,如进出信息保护机制、访问控制、物理安全特性等。 1.安全服务域。安全服务域是指由各信息系统的主机/服务器经局域网连接组成的存储和处理数据信息的区域。 2.有线接人域。有线接人域是指由有线用户终端及有线网络接人基础设施组成的区域。终端安全是信息安全防护的瓶颈和重点。 3.无线接人域。无线接人域是指由无线用户终端、无线集线器、无线访问节点、无线网桥和无线网卡等无线接人基础设施组成的区域。 4.安全支撑域。安全支撑域是指由各类安全产品的管理平台、监控中心、维护终端和服务器等组成的区域,实现的功能包括安全域内的身份认证、权限控制、病毒防护、补丁升级,各类安全事件的收集、整理、关联分析,安全审计,人侵检测,漏洞扫描等。 5.安全互联域。安全互联域是指由连接安全服务域、有线接人域、无线接入域、安全支撑域和外联网(Extranet)的互联基础设施构成的区域。
2019年 《网络安全建设与网络社会治理 》试题答案
我国互联网产业正在规模迅速壮大,全球互联网企业市值前20强,我国企业占(C)家。 (A) 15 (B) 2 (C) 8 (D) 4 2013年增设的7个国家级互联网骨干直联点不包括(C)。 (A) 成都 (B) 郑州 (C) 贵阳贵安 (D) 重庆 我国要构建一体化的国家大数据中心,完善统一的绿色安全数据中心标准体系、互联互通的分布式网络存储支撑体系、资源共享的(D)体系。 (A) 网络安全保障 (B) 网络空间智能化 (C) 网络空间一体化 (D) 灾备应急响应 保障国家网络安全需要从广义层面发展网络安全产业、创新网络安全保障,要发挥(C)网络安全基础性作用。 (A) 国家 (B) 政府 (C) 大型互联网企业 (D) 主管部门 惠普、戴尔、IBM、思科四大美国公司服务器产量占据全球服务器市场份额(C)以上。 (A) 20% (B) 90% (C) 70% (D) 99% 属于5G技术方案验证内容的有(B)。 (A) 大规模天线测试 (B) 5G新空口的无线技术测试 (C) 开展预商用设备的单站测试 (D) 新型多址测试 连续广义覆盖场景主要挑战在于,能够随时随地为用户提供(B)的用户体验。 (A) 50Mbps以上 (B) 100Mbps以上 (C) 5OOMbps以上 (D) 1Gbps以上 1. 本讲认为,(B)要在人才流动上打破体制界限,让人才能够在政府、企业、智库间实现有序顺畅流动。 (A) 加强全民网络安全意识与技能培养 (B) 完善网络安全人才评价和激励机制 (C) 加强网络安全教材建设 (D) 加快网络安全学科专业和院系建设 我国5G试验将分(A)步走。
公司数据中心建设网络安全设计方案
公司数据中心建设网络安全设计方案 1.1网络安全部署思路 1.1.1网络安全整体架构 目前大多数的安全解决方案从本质上来看是孤立的,没有形成一个完整的安全体系的概念,虽然已经存在很多的安全防护技术,如防火墙、入侵检测系统、防病毒、主机加固等,但是各个厂家鉴于各自的技术优势,往往厚此薄彼。必须从全局体系架构层次进行总体的安全规划和部署。 XXX公司本次信息建设虽然仅包括数据中心、内网楼层以及广域网中心部分的改造和建设,但也必须从全局和架构的高度进行统一的设计。建议采用目前国际最新的“信息保障技术框架(IATF)”安全体系结构,其明确提出需要考虑3个主要的因素:人、操作和技术。本技术方案着重讨论技术因素,人和操作则需要在非技术领域(比如安全规章制度)方面进行解决。
技术因素方面IATF提出了一个通用的框架,将信息系统的信息保障技术层面分为了四个技术框架域: ?网络和基础设施:网络和基础设施的防护 ?飞地边界:解决边界保护问题 ?局域计算环境:主机的计算环境的保护 ?支撑性基础设施:安全的信息环境所需要的支撑平台 并提出纵深防御的IA原则,即人、技术、操作相结合的多样性、多层叠的保护原则。如下图所示:
主要的一些安全技术和应用在框架中的位置如下图所示: 我们在本次网络建设改造中需要考虑的安全问题就是 上图中的“网络和基础设施保护”、“边界保护”两个方面,而“计算机环境(主机)”、“支撑平台”则是在系统主机建设和业务应用建设中需要重点考虑的安全问题。 1.1.2网络平台建设所必须考虑的安全问题 高速发达的网络平台衍生现代的网络病毒、蠕虫、DDoS 攻击和黑客入侵等等攻击手段,如果我们的防护手段依然停