數(shù)據(jù)中心整體安全解決方案

數(shù)據(jù)中心整體安全解決方案目錄概述1方案目標(biāo)1參考依據(jù)1數(shù)據(jù)中心面臨的安全挑戰(zhàn)2網(wǎng)絡(luò)邊界接入風(fēng)險(xiǎn)3面向應(yīng)用層的攻擊3虛擬化安全風(fēng)險(xiǎn)4APT攻擊風(fēng)險(xiǎn)5數(shù)據(jù)泄露風(fēng)險(xiǎn)5安全運(yùn)維的挑戰(zhàn)6方案思路7總體思路7設(shè)計(jì)原則8方案設(shè)計(jì)9安全域劃分9邊界接入?yún)^(qū)9網(wǎng)絡(luò)基礎(chǔ)設(shè)施區(qū)9業(yè)務(wù)接入?yún)^(qū)10運(yùn)維管理區(qū)10.整體設(shè)計(jì)10.各安全域安全架構(gòu)設(shè)計(jì)11互聯(lián)網(wǎng)接入?yún)^(qū)11外聯(lián)接入?yún)^(qū)13部接人區(qū)134.3.4成心匯聚區(qū)14一般服務(wù)區(qū)154.3.6.重要服務(wù)區(qū)17核心數(shù)據(jù)區(qū)18運(yùn)維管理區(qū)19方案組成及產(chǎn)品介紹21方案清單21下一代智慧防火墻235.3.SSLVPN安全接入網(wǎng)關(guān)23Web應(yīng)用防火墻23虛擬化安全管理系統(tǒng)235.6.鷹眼Web智能監(jiān)控系統(tǒng)23天眼態(tài)勢感知及安全運(yùn)營平臺(tái)23運(yùn)維審計(jì)系統(tǒng)（堡壘機(jī)）23數(shù)據(jù)庫審計(jì)系統(tǒng)23云監(jiān)測23企業(yè)安全服務(wù)23方案價(jià)值23索弓I圖4-1數(shù)據(jù)中心整體安全設(shè)計(jì)11圖4-2互聯(lián)網(wǎng)接入?yún)^(qū)安全設(shè)計(jì)12圖4-3外聯(lián)接入?yún)^(qū)安全設(shè)計(jì)13圖4-4部接入?yún)^(qū)安全設(shè)計(jì)14圖4-5核心匯聚區(qū)安全設(shè)計(jì)15圖4-6一般服務(wù)區(qū)安全設(shè)計(jì)16圖4-7重要服務(wù)區(qū)安全設(shè)計(jì)18圖4-8核心數(shù)據(jù)區(qū)安全設(shè)計(jì)19圖4-9運(yùn)維管理區(qū)安全設(shè)計(jì)20rz.FMAr隨著企業(yè)信息化的成熟發(fā)展和新技術(shù)的廣泛弓I用，政府機(jī)構(gòu)、金融、教育、IT、能源等等各個(gè)行業(yè)的企業(yè)都因需求不斷擴(kuò)大而正在規(guī)劃和建設(shè)各自的數(shù)據(jù)中心。一方面隨著信息爆炸，出于管理集約化、精細(xì)化的必然要求，進(jìn)行數(shù)據(jù)集中已經(jīng)成為國電子政務(wù)、企業(yè)信息化建設(shè)的發(fā)展趨勢。另一方面數(shù)據(jù)中心不再是簡單的基礎(chǔ)通信網(wǎng)絡(luò)，更是集通信服務(wù)、IT服務(wù)、管理應(yīng)用和專業(yè)信息化服務(wù)于一體的綜合性信息服務(wù)中心。隨著云計(jì)算和大數(shù)據(jù)的高速發(fā)展，技術(shù)進(jìn)步推動(dòng)了生活、生產(chǎn)方式的改變，網(wǎng)絡(luò)數(shù)據(jù)中心的定義也發(fā)生了改變，傳統(tǒng)的數(shù)據(jù)中心將形成提供各種數(shù)據(jù)業(yè)務(wù)的新一代IDC數(shù)據(jù)中心。數(shù)據(jù)中心作為數(shù)據(jù)處理、存儲(chǔ)和交換的中心，是網(wǎng)絡(luò)中數(shù)據(jù)交換最頻繁、資源最密集的地方，更是存儲(chǔ)數(shù)據(jù)的安全局，它要保證所有數(shù)據(jù)的安全和完備。相比過去的傳統(tǒng)數(shù)據(jù)中心，云時(shí)代的數(shù)據(jù)中心面臨著更巨大的挑戰(zhàn)，加新業(yè)務(wù)模式帶來的數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)、虛擬化等新技術(shù)弓1入的新型風(fēng)險(xiǎn)、攻擊者不斷演進(jìn)的新型攻擊手法等。因此，對于數(shù)據(jù)中心的安全建設(shè)，要考慮多方面因素，任何防護(hù)上的疏漏必將會(huì)導(dǎo)致不可估量的損失，因此構(gòu)筑一道安全的防御體系將是這座數(shù)字城堡首先面對的問題。方案目標(biāo)本方案著眼于數(shù)據(jù)中心面臨的傳統(tǒng)風(fēng)險(xiǎn)和新型風(fēng)險(xiǎn)，從全局考慮，為數(shù)據(jù)中心整體安全規(guī)劃和建設(shè)提供具備實(shí)際意義的安全建議。參考依據(jù)中亦[2003]27號(hào)文件《信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》?公通字[2004]66號(hào)《信息安全等級(jí)保護(hù)工作的實(shí)施意見》?公通字43號(hào)《信息安全等級(jí)保護(hù)管理亦法》GB/T20269-2006《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》GB/T20271-2006《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GB/T22240-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》?《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》?《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)第二分冊云計(jì)算安全要求》?《ISO13335信息系統(tǒng)管理指南》IATF信息保障技術(shù)框架數(shù)據(jù)中心面臨的安全挑戰(zhàn)隨著Internet應(yīng)用日益深化，教據(jù)中心運(yùn)行環(huán)境正從傳統(tǒng)客戶機(jī)/服務(wù)器向網(wǎng)絡(luò)連接的中央服務(wù)器轉(zhuǎn)型，受其影響，基礎(chǔ)設(shè)施框架下多層應(yīng)用程序與硬件、網(wǎng)絡(luò)、操作系統(tǒng)的關(guān)系變得愈加復(fù)雜。這種復(fù)雜性也為教據(jù)中心的安全體系弓1入許多不確定因素，一些未實(shí)施正確安全策略的教據(jù)中心，黑客和蠕蟲將順勢而入。盡管大多教系統(tǒng)管理員已經(jīng)認(rèn)識(shí)到來自網(wǎng)絡(luò)的惡意行為對教據(jù)中心造成的嚴(yán)重?fù)p害，而且許多教據(jù)中心已經(jīng)部署了依靠訪問控制防御來獲得安全性的設(shè)備，但對于日趨成熟和危險(xiǎn)的各類攻擊手段，這些傳統(tǒng)的防御措施仍然顯現(xiàn)的力不從心。以下是當(dāng)前數(shù)據(jù)中心面對的一些主要安全挑戰(zhàn)。：網(wǎng)絡(luò)邊界接入風(fēng)險(xiǎn)網(wǎng)絡(luò)邊界接入風(fēng)險(xiǎn)主要包括路由破壞、未授權(quán)訪問、信息竊聽、拒絕服務(wù)攻擊、針對路由器和交換機(jī)等邊界網(wǎng)絡(luò)設(shè)備的攻擊，以及病毒、蠕蟲的傳播等。在互聯(lián)網(wǎng)上尤其是拒絕服務(wù)攻擊現(xiàn)在呈多發(fā)趨勢，而且中國是攻擊發(fā)生的重災(zāi)區(qū)，在世界圍僅次于美國排名第二。海量的SYNFlood、ACKFlooding.UDPFlood、ICMPFlood、(M)StreamFlood等攻擊產(chǎn)生的大量垃圾數(shù)據(jù)包，一方面大量占用網(wǎng)絡(luò)帶寬，另一方面會(huì)造成邊界路由器和核心交換機(jī)等網(wǎng)絡(luò)設(shè)備的有效數(shù)據(jù)轉(zhuǎn)發(fā)能力下降，甚至?xí)霈F(xiàn)核心路由器和交換機(jī)因負(fù)荷過載而造成轉(zhuǎn)發(fā)延遲增大和數(shù)據(jù)包丟包率上升等問題。同時(shí)，針對服務(wù)器區(qū)域的HTTPGetFlood、UDPDNSQueryFlood.CC等攻擊會(huì)造成業(yè)務(wù)服務(wù)器和關(guān)鍵設(shè)備的服務(wù)質(zhì)量下降甚至業(yè)務(wù)中斷。面向應(yīng)用層的攻擊應(yīng)用層的攻擊之所以存在，通常是因?yàn)槌绦騿T是在嚴(yán)格的期限壓力下發(fā)布的代碼，他們并沒有足夠的時(shí)間來發(fā)現(xiàn)并解決將會(huì)導(dǎo)致安全漏洞的錯(cuò)誤。此外，許多程序員未考慮到使用某些特定語言結(jié)構(gòu)將會(huì)導(dǎo)致應(yīng)用程序暴露在隱式攻擊下。最后，許多應(yīng)用程序有著復(fù)雜的配置，缺乏經(jīng)驗(yàn)的用戶可能會(huì)在部署應(yīng)用程序時(shí)啟用了危險(xiǎn)的選項(xiàng)，從而導(dǎo)致應(yīng)用程序的安全性降低。應(yīng)用層攻擊的類型可以分為如下3種：利用編程錯(cuò)誤一一應(yīng)用程序的開發(fā)是一個(gè)復(fù)雜的過程，它不可避免地會(huì)產(chǎn)生編程錯(cuò)誤。在某些情況下，這些錯(cuò)誤可能會(huì)導(dǎo)致嚴(yán)重的漏洞，使得攻擊者可以通過網(wǎng)絡(luò)遠(yuǎn)程利用這些漏洞。這樣的例子有：緩沖區(qū)溢出漏洞，它來自對不安全的C庫函數(shù)的使用；以Web為中心的漏洞，如將未經(jīng)清理的查詢傳遞給后端數(shù)據(jù)庫的Web服務(wù)器（這將導(dǎo)致SQL注入攻擊），以及將直接來自客戶端未經(jīng)過濾的容寫入頁面的站點(diǎn)（這將導(dǎo)致跨站腳本或XSS攻擊）。利用信任關(guān)系一有些攻擊利用的是信任關(guān)系而不是應(yīng)用程序的錯(cuò)誤。對與應(yīng)用程序本身交互而言，這類攻擊看上去是完全合法的，但它們的目標(biāo)是信任這些應(yīng)用程序的用戶。釣魚式攻擊就是一個(gè)這樣的例子，它的目標(biāo)并不是Web應(yīng)用程序或服務(wù)器，而是訪問釣魚或電子信息的用戶。耗盡資源一像網(wǎng)絡(luò)層或傳輸層的DoS攻擊一樣，應(yīng)用程序有時(shí)候也會(huì)遭受到大量數(shù)據(jù)輸入的攻擊。這類攻擊將使得應(yīng)用程序不可使用。2.3.虛擬化安全風(fēng)險(xiǎn)隨著云計(jì)算的迅速發(fā)展，傳統(tǒng)的數(shù)據(jù)中心也在向“云”邁近，首先的一步便是虛擬化技術(shù)的應(yīng)用。虛擬化技術(shù)是生成-個(gè)和真實(shí)系統(tǒng)行為一樣的虛擬機(jī)器，虛擬機(jī)像真實(shí)操作系統(tǒng)一樣，同樣存在軟件漏洞與系統(tǒng)漏洞，也會(huì)遭到病毒木馬的侵害。而且宿主機(jī)的安全問題同樣需要得到重視。一直以來無論虛擬化廠商或安全廠商都將安全的關(guān)注點(diǎn)放在虛擬機(jī)系統(tǒng)和應(yīng)用層面，直到“毒液”安全漏洞的出現(xiàn)，才將人們的目光轉(zhuǎn)移到宿主機(jī)，由于宿主機(jī)系統(tǒng)本身也都是基于Windows或Linux系統(tǒng)進(jìn)行底層重建，因此宿主機(jī)不可避免的會(huì)面對此類漏洞和風(fēng)險(xiǎn)問題，一旦宿主機(jī)的安全防護(hù)被忽略，黑客可以直接攻破虛擬機(jī)，從而造成虛擬機(jī)逃逸。所以，宿主機(jī)的安全問題是虛擬化安全的根基。另外虛擬化技術(shù)帶來了彈性擴(kuò)展這一優(yōu)秀特性，是通過虛擬機(jī)漂移技術(shù)來實(shí)現(xiàn)，當(dāng)宿主機(jī)資'源消耗過高或者出現(xiàn)故障時(shí)，為了保證虛擬機(jī)上的業(yè)務(wù)穩(wěn)定，虛擬機(jī)會(huì)漂移到其他的宿主機(jī)上。企業(yè)的數(shù)據(jù)中心在虛擬化后，一旦發(fā)生虛擬機(jī)漂移，原有安全管理員..可修編..配置好的安全域?qū)⒈煌耆蚱?，甚至?xí)霈F(xiàn)部分物理服務(wù)器和虛擬機(jī)服務(wù)器處于同一個(gè)安全域這樣的情況，而依靠傳統(tǒng)防火墻和VLAN的方式將沒有亦法維持原來的安全域穩(wěn)定，使得安全域混亂，安全管理出現(xiàn)風(fēng)險(xiǎn)因此基于虛擬化環(huán)境自身的特性，數(shù)據(jù)中心需要充分考慮虛擬化的弓1入為企業(yè)帶來的相應(yīng)的風(fēng)險(xiǎn)，根據(jù)各個(gè)風(fēng)險(xiǎn)點(diǎn)帶來的問題及威脅建設(shè)針對性的防護(hù)方案，以保障企業(yè)數(shù)據(jù)的安全及業(yè)務(wù)系統(tǒng)的平穩(wěn)運(yùn)行。2.4.APT攻擊風(fēng)險(xiǎn)傳統(tǒng)的防病毒軟件可以一定程度的解決已知病毒、木馬的威脅，但對于越來越多的APT攻擊卻束手無策°APT很多攻擊行為都會(huì)利用0day漏洞進(jìn)行網(wǎng)絡(luò)滲透和攻擊，且具有持續(xù)性及隱蔽性。此種持續(xù)體現(xiàn)在攻擊者不斷嘗試各種攻擊手段，以及在滲透到網(wǎng)絡(luò)部后長期蟄伏，不斷收集各種信息，直到收集到重要情報(bào)。更加危險(xiǎn)的是，這些新型的攻擊和威脅主要針對大型企業(yè)、重要的基礎(chǔ)設(shè)施或者具有核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。由于APT特種木馬的免疫行為，所以傳統(tǒng)的防病毒軟件以及安全控管措施和理念很難有效應(yīng)對APT攻擊。2.5.數(shù)據(jù)泄露風(fēng)險(xiǎn)數(shù)據(jù)泄漏是數(shù)據(jù)中心最為廣泛的擔(dān)憂之一。尤其是對公眾提供服務(wù)的數(shù)據(jù)中心，涉及大量用戶敏感信息等關(guān)鍵數(shù)據(jù)庫的存儲(chǔ)，并開放多方接口供不同平臺(tái)、機(jī)構(gòu)調(diào)用，很多威脅場景都可能會(huì)導(dǎo)致敏感數(shù)據(jù)的丟失和泄漏。近年來各種機(jī)構(gòu)被“拖庫”事件頻繁發(fā)生，數(shù)據(jù)中心關(guān)鍵數(shù)據(jù)的高密度聚合對潛在的攻擊者具有極大的誘惑力，數(shù)據(jù)安全面臨巨大的挑戰(zhàn)。2.6.安全運(yùn)維的挑戰(zhàn)隨著技術(shù)和應(yīng)用的演進(jìn)，讓今天的IT環(huán)境和過去相比，已經(jīng)發(fā)生了巨大的變遷，而相應(yīng)的安全運(yùn)維管理重點(diǎn)，也從過去的“設(shè)備監(jiān)控、告警程序”，轉(zhuǎn)變?yōu)閷ζ髽I(yè)業(yè)務(wù)發(fā)展的關(guān)注和支撐。傳統(tǒng)的“安全運(yùn)維”存在著諸多的問題需要解決?！龆喾N安全設(shè)備，不同的報(bào)警，如何整合？在大中型企業(yè)的網(wǎng)絡(luò)系統(tǒng)中，為了確保系統(tǒng)的穩(wěn)健運(yùn)行，通常會(huì)采用多種安全技術(shù)手段和安全產(chǎn)品，比如防火墻系統(tǒng)、入侵檢測系統(tǒng)、防病毒系統(tǒng)等，都是安全基礎(chǔ)設(shè)施。在實(shí)際的運(yùn)維過程中，這些不同種類、不同廠家的安全產(chǎn)品會(huì)給技術(shù)人員帶來不小的麻煩--各個(gè)安全系統(tǒng)相對孤立，報(bào)警信息互不關(guān)聯(lián)，策略和配置難于協(xié)調(diào)。當(dāng)一個(gè)報(bào)警事件產(chǎn)生時(shí)，不知道該如何處理?！龊Ａ康氖录⒑Ａ康娜罩?，如何分析存儲(chǔ)？對于數(shù)據(jù)中心的規(guī)模來說，各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器都會(huì)產(chǎn)生海量的日志。從海量數(shù)據(jù)中對日志進(jìn)行快速分析，這要求本地具備海量的數(shù)據(jù)存儲(chǔ)能力、檢索能力和多維度關(guān)聯(lián)能力，而傳統(tǒng)的數(shù)據(jù)存儲(chǔ)和檢索技術(shù)很難達(dá)到這樣的要求。例如：在一個(gè)中型規(guī)模的企業(yè)中記錄全年的網(wǎng)絡(luò)出口流量，大約有2000億條日志，需要約300多丁8的存儲(chǔ)空間，如果使用傳統(tǒng)的檢索技術(shù)進(jìn)行一次條件檢索，大概需要幾個(gè)小時(shí)的時(shí)間。這種效率明顯不能滿足攻擊行為分析的需求?！鋈绾误w現(xiàn)安全運(yùn)維的價(jià)值？安全運(yùn)維是很枯燥的工作，運(yùn)維人員整天面對滾動(dòng)的監(jiān)控屏幕，各種碎片化的告警,復(fù)雜的報(bào)表，責(zé)任重大，壓力巨大，但工作成果卻很難體現(xiàn)。究其原因還是缺少自動(dòng)化、結(jié)構(gòu)化、可視化的管理工具，導(dǎo)致安全運(yùn)維效率低下，難以快速感知整體的安全態(tài)勢。方案思路3.1.總體思路基于數(shù)據(jù)中心的業(yè)務(wù)需求，以及數(shù)據(jù)中心面臨的安全問題，很難通過一次安全建設(shè)將數(shù)據(jù)中心面臨的所有風(fēng)險(xiǎn)解決；同時(shí)，安全風(fēng)險(xiǎn)也是動(dòng)態(tài)發(fā)展變化的，因此我們的解決方案也需要隨著數(shù)據(jù)中心的安全需求變化不斷完善和發(fā)展。從云提供商的角度來看，傳統(tǒng)模式下的網(wǎng)絡(luò)安全需求并沒有什么變化，無論從信息安全的XX性、完整性、可用性，還是根據(jù)網(wǎng)絡(luò)層次劃分的從物理層到應(yīng)用層安全，仍然是需要解決的問題。在云計(jì)算時(shí)代數(shù)據(jù)中心信息安全架構(gòu)時(shí)，不能像傳統(tǒng)IDC系統(tǒng)集成或者安全集成那樣，頭痛醫(yī)頭，腳痛醫(yī)腳，而應(yīng)該充分結(jié)合虛擬化的特點(diǎn)來系統(tǒng)地進(jìn)行規(guī)劃，考慮數(shù)據(jù)中心外圍物理實(shí)體以及虛擬化平臺(tái)環(huán)境的各類安全需求和特性，從而達(dá)到各類安全產(chǎn)品、安全管理、整體安全策略的統(tǒng)一，發(fā)揮最大的效率。在設(shè)計(jì)數(shù)據(jù)中心安全建議方案時(shí)，充分利用現(xiàn)有國和國際安全標(biāo)準(zhǔn)和成熟的安全體系，結(jié)合系統(tǒng)的實(shí)際需求，利用在安全領(lǐng)域的成熟經(jīng)驗(yàn)，設(shè)計(jì)出一個(gè)有針對性的安全設(shè)計(jì)方案。解決思路如下：1）對數(shù)據(jù)中心進(jìn)行安全域劃分，根據(jù)各區(qū)域的業(yè)務(wù)特性、技術(shù)特性以及安全需求進(jìn)行對應(yīng)的安全防護(hù)設(shè)計(jì)；2）要充分考慮網(wǎng)絡(luò)層、操作系統(tǒng)層、虛擬化層、應(yīng)用層以及數(shù)據(jù)層的安全防護(hù)需求，特別是虛擬化等新技術(shù)帶來的問題。3）強(qiáng)調(diào)安全運(yùn)營的價(jià)值，實(shí)現(xiàn)預(yù)警、檢測、響應(yīng)、溯源的閉環(huán)流程；3.2.設(shè)計(jì)原則■業(yè)務(wù)保障原則：安全體系的設(shè)計(jì)目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率?！鼋Y(jié)構(gòu)簡化原則：安全架構(gòu)規(guī)劃的直接目的和效果是要將整個(gè)網(wǎng)絡(luò)變得更加簡單,簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系。比如，安全域劃分并不是粒度越細(xì)越好，安全域數(shù)量過多過雜可能導(dǎo)致安全域的管理過于復(fù)雜和困難?！隽Ⅲw協(xié)防原則：應(yīng)避免形成各個(gè)安全產(chǎn)品獨(dú)立割裂的安全體系，充分利用威脅情報(bào)和大數(shù)據(jù)等新技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)、終端、邊界的立體協(xié)防機(jī)制。■等級(jí)保護(hù)原則：根據(jù)業(yè)務(wù)系統(tǒng)的重要程度以及考慮風(fēng)險(xiǎn)威脅、安全需求、安全成本等因素，將其劃為不同的安全保護(hù)等級(jí)并采取相應(yīng)的安全保護(hù)技術(shù)、管理措施。■可擴(kuò)展性原則：當(dāng)有新的業(yè)務(wù)系統(tǒng)需要接入數(shù)據(jù)中心時(shí)，可按照等級(jí)保護(hù)、對端可信度等原則將其分別劃分至不同安全等級(jí)域的各個(gè)子域?！隹晒芾硇栽瓌t：應(yīng)當(dāng)采用集中化、自動(dòng)化、智能化的安全管理手段，減輕安全的負(fù)擔(dān)，同時(shí)減小因?yàn)楣芾砩系氖杪┒鴮ο到y(tǒng)安全造成的威脅。4■方案設(shè)計(jì)安全域劃分安全域劃分的目的是從信息安全的角度來對企業(yè)信息系統(tǒng)進(jìn)行拆分。以業(yè)務(wù)系統(tǒng)為核心，從業(yè)務(wù)特性、技術(shù)特性方面分析各業(yè)務(wù)系統(tǒng)的安全需求和防護(hù)等級(jí)，進(jìn)行適當(dāng)?shù)陌踩雷o(hù)體系設(shè)計(jì)。邊界接入?yún)^(qū)■互聯(lián)網(wǎng)接入?yún)^(qū)承載組織與互聯(lián)網(wǎng)的連接，組織向公共用戶提供對外業(yè)務(wù)服務(wù)的通道。■外聯(lián)接入?yún)^(qū)承載組織與外部第三方機(jī)構(gòu)的信息交換，加電子政務(wù)專網(wǎng)、監(jiān)管機(jī)構(gòu)、合作機(jī)構(gòu)等?！霾拷尤?yún)^(qū)承載組織部的分支機(jī)構(gòu)、災(zāi)備中心之間的信息交換，以及組織人員從外部接入的通道。4.1.2.網(wǎng)絡(luò)基礎(chǔ)設(shè)施區(qū)■核心匯聚區(qū)數(shù)據(jù)中心的網(wǎng)絡(luò)匯聚中心，各個(gè)區(qū)域之間的數(shù)據(jù)流傳都會(huì)經(jīng)過核心匯聚區(qū)。通常在此區(qū)域進(jìn)行網(wǎng)絡(luò)流量的安全監(jiān)控?！鰠^(qū)域接入?yún)^(qū)主要是各個(gè)安全區(qū)部接入的路由交換設(shè)備，通常在此區(qū)域部署網(wǎng)絡(luò)接入控制等措施。業(yè)務(wù)接入?yún)^(qū)■一般服務(wù)區(qū)用于存?防護(hù)級(jí)別較低，需直接對外提供服務(wù)的信息資產(chǎn)，如Web應(yīng)用、業(yè)務(wù)前置機(jī)、亦公服務(wù)器等，一般服務(wù)區(qū)與外界有直接連接，同時(shí)不能夠訪問核心數(shù)據(jù)區(qū)（避免被作為攻擊核心數(shù)據(jù)區(qū)的跳板）。■重要服務(wù)區(qū)用于存放級(jí)別較高，不需要直接對外提供服務(wù)的信息資產(chǎn)，加生產(chǎn)應(yīng)用服務(wù)器等，重要服務(wù)區(qū)一般通過一般服務(wù)區(qū)與外界連接，并可以直接訪問核心數(shù)據(jù)區(qū)。■核心數(shù)據(jù)區(qū)用于存放級(jí)別非常高的信息資產(chǎn)，加核心數(shù)據(jù)庫等，外部對核心區(qū)的訪問需要通過重要服務(wù)區(qū)跳轉(zhuǎn)。運(yùn)維管理區(qū)運(yùn)維管理區(qū)通常承載網(wǎng)絡(luò)管理、安全管理和業(yè)務(wù)運(yùn)維等應(yīng)用，運(yùn)維人員通過本區(qū)域的管理平臺(tái)對網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全產(chǎn)品進(jìn)行管理。加各類設(shè)備的日志存儲(chǔ)、安全管理平臺(tái)、各類監(jiān)控系統(tǒng)等。4.2.整體設(shè)計(jì)根據(jù)上述的安全域劃分架構(gòu)，對數(shù)據(jù)中心進(jìn)行整體安全設(shè)計(jì)，加下圖所示：..可修編..圖41數(shù)據(jù)中心整體安全設(shè)計(jì)各安全域安全架構(gòu)設(shè)計(jì)4.3.1.互聯(lián)網(wǎng)接入?yún)^(qū)互聯(lián)網(wǎng)接入?yún)^(qū)主要面臨來自互聯(lián)網(wǎng)的安全威脅，對于互聯(lián)網(wǎng)接入?yún)^(qū)的安全設(shè)計(jì)主要從以下兩方面考慮：1.防DDoS攻擊（分布式拒絕服務(wù)攻擊）。DDOS攻擊分為帶寬消耗型攻擊（大流量攻擊）和主機(jī)資'源消耗型攻擊，帶寬消耗型攻擊會(huì)對數(shù)據(jù)出口造成流量壓力，極大浪費(fèi)寶貴的帶寬資源，嚴(yán)重增加核心設(shè)備的工作負(fù)荷，造成關(guān)鍵業(yè)務(wù)的中斷或網(wǎng)絡(luò)服務(wù)質(zhì)量的大幅降低。主機(jī)資源消耗型攻擊使服務(wù)器處理大量并發(fā)攻擊請求，嚴(yán)重影響服務(wù)器存、數(shù)據(jù)庫、CPU的處理性能。DDoS攻擊會(huì)造成門戶、網(wǎng)絡(luò)設(shè)備、虛擬服務(wù)器等性能均急劇下降，可能導(dǎo)致無常處理用戶的正常訪問請求，造成客戶訪問失敗。2.未知威脅檢測與響應(yīng)?；ヂ?lián)網(wǎng)邊界是威脅的重要入口之一，同時(shí)也是數(shù)據(jù)泄露的主要出口之一。尤其是當(dāng)前APT攻擊盛行，各類未知威脅對核心數(shù)據(jù)安全造成巨大的危害。網(wǎng)關(guān)層面應(yīng)當(dāng)具備對未知威脅的檢測能力，并能實(shí)現(xiàn)聯(lián)動(dòng)響應(yīng)機(jī)制，攔截掉威脅進(jìn)出的路徑。本區(qū)域安全設(shè)計(jì)如下圖所示:圖42互聯(lián)網(wǎng)接入?yún)^(qū)安全設(shè)計(jì)■在互聯(lián)網(wǎng)邊界部署擠DDoS系統(tǒng)，對來自外部的DDoS攻擊進(jìn)行實(shí)時(shí)的阻斷。■部署360網(wǎng)神下一代智慧防火墻，實(shí)現(xiàn)高性能的應(yīng)用層安全防護(hù)，以及與安全運(yùn)營平臺(tái)進(jìn)行聯(lián)動(dòng)，實(shí)現(xiàn)網(wǎng)關(guān)處的未知威脅處置。4.3.2.外聯(lián)接入?yún)^(qū)外聯(lián)接入?yún)^(qū)主要面臨的威脅來自于外聯(lián)機(jī)構(gòu)，通常外聯(lián)機(jī)構(gòu)使用專線或者VPN連接到數(shù)據(jù)中心，訪問特定的業(yè)務(wù)系統(tǒng)。對于外聯(lián)接入?yún)^(qū)的安全設(shè)計(jì)主要從訪問控制方面重點(diǎn)考慮。本區(qū)域安全設(shè)計(jì)如下圖所示:圖43外聯(lián)接入?yún)^(qū)安全設(shè)計(jì)部署360網(wǎng)神下一代智慧防火墻，實(shí)現(xiàn)端口級(jí)的訪問控制，并開啟應(yīng)用層防護(hù)功能，對來自外部機(jī)構(gòu)的惡意代碼、高級(jí)威脅等進(jìn)行檢測和攔截。4.3.3.部接入?yún)^(qū)部接入?yún)^(qū)主要面臨的威脅來自于遠(yuǎn)程接入帶來的風(fēng)險(xiǎn)，如傳輸過程的信道監(jiān)聽、員工遠(yuǎn)程接入后的權(quán)限濫用等。部接入?yún)^(qū)的安全設(shè)計(jì)主要考慮遠(yuǎn)程安全接入中的訪問控制、權(quán)限管理、傳輸加密等方面。本區(qū)域安全設(shè)計(jì)如下圖所示:專gPN1內(nèi)部接入?yún)^(qū)接入路由器2360下-4^智慧防火專gPN1內(nèi)部接入?yún)^(qū)接入路由器2360下-4^智慧防火K!VPN網(wǎng)關(guān)1圖44部接入?yún)^(qū)安全設(shè)計(jì)■部署360網(wǎng)神下一代智慧防火墻，支持對穿過防火墻的SSL協(xié)議進(jìn)行解密，并對解密后的數(shù)據(jù)提供防護(hù)過濾，如攻擊防護(hù)、入侵檢測、病毒防護(hù)、容過濾等。4.3.4.核心匯聚區(qū)核心匯聚區(qū)的安全設(shè)計(jì)主要考慮從全網(wǎng)流量中對各類威脅進(jìn)行識(shí)別檢測，及時(shí)發(fā)現(xiàn)攻擊行為并向安全運(yùn)營中心進(jìn)行告警。本區(qū)域安全設(shè)計(jì)如下圖所示：圖45核心匯聚區(qū)安全設(shè)計(jì)■在核心交換機(jī)上旁路部署360天眼網(wǎng)絡(luò)威脅傳感器。通過流量鏡像接收全網(wǎng)的通信數(shù)據(jù)流，對各類網(wǎng)絡(luò)行為進(jìn)行還原，從中識(shí)別各類已知威脅生成告警；還可以通過與360威脅情報(bào)中心下發(fā)到本地的威脅情報(bào)進(jìn)行比對，識(shí)別未知威脅;同時(shí)全量網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)在本地大數(shù)據(jù)分析平臺(tái)，可以對威脅進(jìn)行溯源?！霾渴?60天眼文件威脅鑒定器。網(wǎng)絡(luò)威脅傳感器識(shí)別到網(wǎng)絡(luò)流量中的文件傳輸行為后，會(huì)將文件還原并發(fā)送至文件威脅鑒定器，進(jìn)行深度分析。文件威脅鑒定器會(huì)對PE文件、腳本文件等進(jìn)行模擬運(yùn)行，通過文件運(yùn)行過程中執(zhí)行的操作行為進(jìn)一步識(shí)別潛在的威脅。4.3.5.一般服務(wù)區(qū)一般服務(wù)區(qū)通常承載了對外的Web類應(yīng)用，主要面臨的威脅有以下兩方面：1.應(yīng)用安全風(fēng)險(xiǎn)，主要由于應(yīng)用軟件的漏洞造成。任何一種軟件或多或少存在一定脆弱性，安全漏洞可視作已知系統(tǒng)脆弱性。這種安全漏洞可分為兩種：一種是由于操作系統(tǒng)本身設(shè)計(jì)缺陷帶來的漏洞，它將被運(yùn)行在這個(gè)系統(tǒng)上的應(yīng)用程序所繼承，另一種是應(yīng)用軟件程序安全漏洞，很常見，更要引起廣泛關(guān)注。2.主機(jī)安全風(fēng)險(xiǎn)。包括兩方面：一是物理機(jī)與虛擬機(jī)操作系統(tǒng)的惡意代碼防。二是由于服務(wù)器虛擬化技術(shù)帶來的新型風(fēng)險(xiǎn)，加?xùn)|西向流量的訪問控制、虛擬機(jī)逃逸漏洞、虛擬機(jī)漂移導(dǎo)致安全策略失效等。本區(qū)域安全設(shè)計(jì)如下圖所示:一殷服務(wù)區(qū)(Mfeb.APP.SSL)圖46一般服務(wù)區(qū)安全設(shè)計(jì)■在一般服務(wù)區(qū)邊界部署Web應(yīng)用防火墻，用于對應(yīng)用層的攻擊行為進(jìn)行實(shí)時(shí)防護(hù)?！鲈谝话惴?wù)區(qū)的接入交換機(jī)旁路部署Web漏洞智能監(jiān)測系統(tǒng)，一方面能夠從進(jìn)出站流量中識(shí)別出應(yīng)用系統(tǒng)存在的漏洞和針對Web應(yīng)用的攻擊行為；另一方面能夠?qū)φ军c(diǎn)中存在的暗鏈、后門的訪問行為進(jìn)行識(shí)別，發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)?！鲈谖锢頇C(jī)和虛擬機(jī)操作系統(tǒng)上部署天擎虛擬化安全客戶端，主要功能包括惡意代碼防護(hù)、主機(jī)防火墻、主機(jī)入侵防御，并可以對虛擬機(jī)與物理機(jī)操作系統(tǒng)進(jìn)行統(tǒng)一管理?？蛻舳伺c部署在運(yùn)維管理區(qū)的虛擬化安全控制中心進(jìn)行通信，進(jìn)行病毒庫更新、安全策略更新、日志告警上傳等?！鲈诜?wù)器虛擬化管理層部署宿主機(jī)防護(hù)代理客戶端，用于防利用虛擬機(jī)逃逸漏

洞對宿主機(jī)進(jìn)行穿透攻擊的行為，保證宿主機(jī)上所有虛擬機(jī)的安全運(yùn)行。重要服務(wù)區(qū)重要服務(wù)區(qū)主要面臨的威脅來自于主機(jī)操作系統(tǒng)層，包括兩方面：一是物理機(jī)與虛擬機(jī)操作系統(tǒng)的惡意代碼防。二是由于服務(wù)器虛擬化技術(shù)帶來的新型風(fēng)險(xiǎn)，加?xùn)|西向流量的訪問控制、虛擬機(jī)逃逸漏洞、虛擬機(jī)漂移導(dǎo)致安全策略失效等。本區(qū)域安全設(shè)計(jì)如下圖所示：-：lA-接人交挽機(jī)物理服務(wù)器群虛擬化服務(wù)器群重要服務(wù)區(qū)（業(yè)務(wù)應(yīng)用）圖47重要服務(wù)區(qū)安全設(shè)計(jì)■在物理機(jī)和虛擬機(jī)操作系統(tǒng)上部署天擎虛擬化安全客戶端，主要功能包括惡意-：lA-接人交挽機(jī)物理服務(wù)器群虛擬化服務(wù)器群重要服務(wù)區(qū)（業(yè)務(wù)應(yīng)用）圖47重要服務(wù)區(qū)安全設(shè)計(jì)■在服務(wù)器虛擬化管理層部署宿主機(jī)防護(hù)代理客戶端，用于防利用虛擬機(jī)逃逸漏

洞對宿主機(jī)進(jìn)行穿透攻擊的行為，保證宿主機(jī)上所有虛擬機(jī)的安全運(yùn)行。核心數(shù)據(jù)區(qū)核心教據(jù)區(qū)主要面臨的威脅來自于對教據(jù)安全方面，如敏感教據(jù)泄露、對教據(jù)庫的越權(quán)訪問、教據(jù)庫配置缺陷等。本區(qū)域安全設(shè)計(jì)如下圖所示:瞄庫存儲(chǔ)蛋源池散據(jù)區(qū)數(shù)據(jù)菌粉幡I瞄庫存儲(chǔ)蛋源池散據(jù)區(qū)數(shù)據(jù)菌粉幡I圖48核心數(shù)據(jù)區(qū)安全設(shè)計(jì)在核心數(shù)據(jù)區(qū)旁路部署數(shù)據(jù)庫審計(jì)系統(tǒng)，監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為，并可以支持操作回放。還可以通過建立行為模型來發(fā)現(xiàn)違規(guī)的數(shù)據(jù)庫訪問行為，并能夠進(jìn)行溯'源，定位到責(zé)任人。運(yùn)維管理區(qū)安全運(yùn)維是整個(gè)安全體系的重申之重，過去安全運(yùn)維的價(jià)值難以得到體現(xiàn)，主要有以下原因：加安全管理制裂、學(xué)習(xí)成本高、對運(yùn)維人員水平要求較高、安全管理成果缺少可視化呈現(xiàn)手段等。本方案要做到的不僅僅是實(shí)現(xiàn)安全防護(hù)目標(biāo)，同時(shí)要盡可能