数据中心安全建设方案

数据中心安全建设方案The document was prepared on January 2, 2021

数据中心安全解决方案

目录

第一章解决方案

1.1建设需求

XXX用户经过多年的信息化建设，各项业务都顺利的开展起来了，数据中心已经积累了很多宝贵的数据，这些无形的资产比硬件资产还重要，但它们却面临着非常大的安全挑战。

在早期的系统建设过程中，大多用户不会考虑数据安全、应用安全层面的问题，经过多年的发展，数据中心越来越庞大，业务越来越复杂，但信息安全完全没有配套建设，经常会发生一些安全事件，如：数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况，而这些安全事件往往都是特权用户从后台直接操作的，非常隐蔽，这时候往往无从查起。

其实，信息安全建设在系统的设计初期开始，就应该要介入，始终贯穿其中，这样花费的人力物力才是最小。当一个系统建成后，发现问题了，回头再来考虑安全建设，这样投入的成本将会变得最大。

1.2建设思路

数据中心的安全体系建设并非安全产品的堆砌，它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系，涉及众多的安全技术，实施过程需要涉及大量的调研、咨询等工作，还会涉及到众多的安全厂家之间的协调、产品的选型，安全系统建成后怎么维持这个生态体系的平衡，是一个复杂的系统工程，一般建议分期投资建设，从技术到管理，逐步实现组织的战略目标。

整体设计思路是将需要保护的核心业务主机包及数据库围起来，与其他网络区域进行逻辑隔离，封闭一切不应该暴漏的端口、IP，在不影响现有业务的情况下形成数据孤岛，设置固定的数据访问入口，对入口进行严格的访问控制及审计。由之前的被动安全变为主动防御，控制安全事故的发生，对接入系统

的人员进行有效的认证、授权、审计，让敏感操作变得更加透明，有效防止安全事件的发生。

在访问入口部署防火墙、账号生命周期管理系统、数据加密系统、令牌认证系统、审计系统等安全设施，对所有外界向核心区域主机发起的访问进行控制、授权、审计，对流出核心区域的批量敏感数据进行加密处理，所有加密的数据将被有效的包围在安全域之内，并跟踪数据产生、扭转、销毁的整个生命周期，杜绝敏感数据外泄及滥用行为。

为了保证XXX用户的业务连续性，各安全子系统都采用旁路的方式部署到网络当中，其中账号生命周期管理系统、审计系统、数据库都采用双机的模式，以提供自身的高可靠性；加密系统、特权账号生命周期管理系统、令牌认证系统都建议部署在VMware云计算平台上，利用VMware强大的服务器虚拟化能力为防泄密系统提供良好的可靠性与可扩展性保证。

1.3总体方案

信息安全系统整体部署架构图

1、在核心交换机上部署防护墙模块或独立防火墙，把重要的主机、数据库与其他子网进行逻辑隔离，划分安全区域，对不必要的端口进行封闭，隔离终端IP对数据中心可达。

2、在终端汇聚的交换机上旁路部署IP准入控制系统，实现非法外联、IP 实名制，对接入内网的终端进行有效的控制。

3、部署主机账号管理系统，限制所有终端对主机的访问只能通过管理系统发起，并对Telnet、SSH、RDP等访问过程进行控制、审计，防止终端将数据从主机上私自复制到本地硬盘，防止误操作。

4、部署数据账号管理系统，对数据库访问工具（PL-SQL）、FTP工具等常用维护工具进行统一的发布，对前台数据库访问操作进行审计记录，把数据包围在服务器端。对下载数据行为进行严格控制，并对提取的数据进行加密处理。

5、部署加密系统（DLP），对所有流出数据中心的数据进行自动加密处理，并对数据的产生、扭转、编辑、销毁进行生命周期管理。

6、部署数据库审计系统，对数据库访问行为进行审计，监控敏感数据访问情况，监控数据库操作行为，记录数据库后台变化情况，事后回查。

7、在生产库与测试库之间部署数据脱敏系统，对从在线库抽取的数据进行自动脱敏，再导入测试库，避免数据泄露。对后台访问在线库的人群进行权限管理，对访问的敏感字段进行自动遮罩。

8、部署应用内嵌账号管理系统，对应用系统内嵌的特权账号进行有效的托管，实现账号的定期修改、密码强度、密码加密等安全策略。

9、部署令牌认证系统，对登入数据中心区的用户使用双因素认证，确认访问数据中心者的身份，杜绝账号共用现象。

10、部署云计算平台，为防泄密系统提供良好的运行环境。云计算平台提高了系统的可靠性、可扩展性，减少宕机时间，降低维护成本。

11、所有系统都采用活动目录认证，并加以动态令牌做为双因素认证，实现对用户身份的准确鉴别。

1.3.1IP准入控制系统

现在国内外，有很多厂商推出自己的准入控制系统解决方案，目的就是为了在终端接入网络前对其进行安全检查，只允许合法的用户接入到网络当中，避免随意接入网络给系统带来风险。主流的解决方案有两种方式，旁路部署方式都是基于的，需要跟交换机做联动；串接的部署方式不需要与交换机联动，但会给网络的通过性与性能带来挑战，采用的用户不多。这些解决方案，在复杂的中国环境部署成功的并不多，要么网络条件非常好，交换机都支持，要么网络非常扁平化，终端都可以收敛到同一个出口。

IP地址管理困难：接入Intranet的计算机设备都需要一个合法的IP地址，IP地址的分配和管理是一件令网络管理人员头疼的事情，IP地址、MAC地址、计算机名冒用、滥用现象广泛存在，而管理人员缺乏有效的监控手段。局域网上若有两台主机IP地址相同，则两台主机相互报警，造成应用混乱。因此，IP地址盗用与冲突成了网管员最头疼的问题。当几百台、甚至上千台主机同时上网，如何控制IP地址盗用与冲突更是当务之急。

在实际中，网络管理员为入网用户分配和提供的IP地址，只有通过客户进行正确地注册后才有效。这为终端用户直接接触IP地址提供了一条途径。由于终端用户的介入，入网用户有可能自由修改IP地址。改动后的IP地址在联网运行时可导致三种结果：

非法的IP地址，自行修改的IP地址不在规划的网段内，网络呼叫中

断。

重复的IP地址，与已经分配且正在联网运行的合法的IP地址发生资

源冲突，无法链接。

非法占用已分配的资源，盗用其它注册用户的合法IP地址（且注册该

IP地址的机器未通电运行）联网通讯。

IPScan能很好的控制非法的IP接入，并对内网已有的联网IP通过切断联网实现迅速快捷的控制，以很方便的方式实现内网安全威胁的最小化。IPScan 通过对IP/MAC的绑定，对每个IP地址都可以进行实时的监控，一旦发现非法的IP地址和某个IP地址进行非法操作的时候，都可以及时对这些IP地址进行操作，，有效的防止IP冲突。产品是基于二层（数据链路层）的设计理念，可以有效地控制ARP广播病毒，通过探测ARP广播包，可以自动阻止中毒主机大量发送ARP广播，从而保证了内网的安全。

通过实现IP地址的绑定，从而变相的实现了网络实名制，在接入网络的终端都被授予唯一的IP地址，在网络中产生的所有日志将会变得非常有意义，它可以关联到是哪一个终端哪一个用户，能让安全日志产生定责的作用。

1.3.2防泄密技术的选择

国外有良好的法律环境，内部有意泄密相对极少，对内部人员确认为可信，数据泄露主要来自外部入侵和内部无意间的泄密。因此，国外DLP（数据防泄漏）解决方案主要用来防止外部入侵和内部无意间泄密，可以解决部分问题，但无法防止内部主动泄密，只能更多地依赖管理手段。

而国内环境，法律威慑力小，追踪难度大，泄密者比较容易逃脱法律制裁，犯罪成本比较小；同时，国内各种管理制度不完善，内部人员无意间泄密的概率也比较大。国内DLP以加密权限为核心，从主动预防的立足点来防止数