云计算大数据中心安全整体解决方案.docx
《云计算大数据中心安全整体解决方案.docx》由会员分享,可在线阅读,更多相关《云计算大数据中心安全整体解决方案.docx(33页珍藏版)》请在咨信网上搜索。
云计算大数据中心平安整体解决方案 连接耗尽等常见的攻击行为。 2、能够提供完备的异常流量检测、攻击防御、设备管理、报表生成、增值运营 等功能;3、能够支持包括串联、串联集群、旁路以及旁路集群等不同部署方式。旁路部 署下支持多种路由协议进行流量的牵引和回注,满足各种复杂的网络环境下的部 署需求。 4、所提供设备设备吞吐量26G。 2. 3. 2部署设计1、 部署条件 在互联网出口区域通过BGP牵引方式进行流量清洗,需要同时部署检测系 统和清洗系统,检测设备对用户业务流量进行分析监控。当用户遭受到DDoS攻 击时,检测设备上报给清洗设备,将清洗设备发送牵引路由给边界路由器,对牵 引过来的用户流量进行清洗,并将清洗后的用户合法流量回注到云内。 2、策略设置 DD0S产品需开启的策略包括:网络业务流量监控和分析、平安基线制定、 平安事件通告、异常流量过滤、平安事件处理报告等。通过串行或旁路引流部署, 减轻来自于DDoS攻击流量对大数据共享交换平台出口造成的压力,提升带宽利 用的有效性。 3、部署数量及位置 互联网出口部署的DD0S产品需要通过与边界的路由交换设备启用BGP协 议,并通过netflow方式将流信息发送到DD0S的检测组件中进行流模型匹配。 4、服务提供方式 DD0S产品主要以硬件形态的方式进行部署,以全局防护的方式进行交互, 主要是对互联网区域内的服务器和通讯链路进行保护。 2. 4 VPN平安接入设计4.1功能设计1、能够使用IPSec VPN和SSL VPN等VPN接入方式接入xxx网,以实现多分支 接入和移动办公。 2、对于SSL VPN用户认证可使用本地认证、radius认证、LDAP认证、USBkey 认证、证书认证等认证方式。 3、终端可使用终端可使用WindowsXP\Windows7\Windows8等操作系统来登录SSL VPN系统。 4、终端可使用 IE、Firefox、Safari、Google Chrome 浏览器来登录 SSL VPN 系 统。 5、所提供设备应至少提供8个千兆光口、8个千兆电口、2个万兆光口, 至少具有2个扩展槽位。吞吐量28G,配置1000个SSL VPN接入用户授权, IPSec隧道数至少为6Ko4. 3部署设计部署条件 VPN产品部署在xxx网边界,重要系统的访问路径推荐部署2套作为主备, 通过xxx网VPN连入时,采用IPSec或SSL VPN方式互联,加密方式推荐采用符 合国家相关加密认证标准的加密算法,虚拟路由需要做精细化隔离,通过变长子 网掩码对路由的目标地址做精细化限制,另外VPN需要配置单独的带外管理口, 业务口推荐使用捆绑机制。 2. 策略设置 隧道封装模式主要通过路由策略控制对子网的访问,通过变长子网掩码对 路由目的范围做最小化控制。 应用发布方式主要将B/S业务进行HTTPS的封装,需要限定对外发布的端 口和服务的路径,并通过与外部认证系统完成终端接入用户的认证。 3. 部署数量及位置在xxx网区域旁挂于汇聚交换机,单臂部署,推荐两台做冗余。 4. 服务提供方式以硬件方式部署,开启多租户虚拟化功能,为每个租户分配VPN实例。 5. 5网络漏洞扫描设计5.1功能设计1、智能端口识别能对开放端口运行的服务进行智能服务识别,而不是固定地依据默认值去 判断2、信息抛出 支持保存扫描脚本中动态抛出的信息,能够获取主机的netbios名、主机 名、工作组/域名、MAC地址、SID名、用户名列表、弱密码、密码不过期、密码 未改变、共享列表、系统服务列表、注册表完全访问等信息3、断点恢复 在扫描程序运行到一半的时候如果系统意外掉电等,可以通过查看扫描状 态进行重新扫描或者继续扫描4、漏洞库 漏洞库按服务分不低于40种类别,按风险分为紧急、高、中、低、信息五 个级别,基于国际CVE标准建立,漏洞数量不小于30000条5、密码分析 对较弱的密码口令进行扫描并产生报告。同时可以利用扫描到的弱口令对 系统进行授权深度扫描2. 5. 2部署设计1、部署条件 由于漏洞扫描产品是采用模拟渗透的方式进行漏洞检查和弱口令检查,漏 扫的任务应建立在最小的扫描范围,不建议扫描的流量经过核心交换机到达整网, 通过部署在管理网络连接管理交换机进行带外的平安扫描。 2、策略设置 建议开启所有的策略分别对各网段进行扫描,扫描完成后生成报表并且存 储在本地。 3、部署数量及位置建议部署管理区,通过管理区域交换机与被扫描资产的带外管理口连接。 4、服务提供方式漏扫产品以软件方式部署,可以为每租户独立安装,也可安装在大数据共享交换平台的管理网络,对基础设施进行漏洞扫描。 2. 6负载均衡设计2. 6.1功能设计1、提供链路负载均衡、服务器负载均衡功能。 2、支持包括轮询、加权轮询、最小连接、加权最小连接、随机、加权随机、源 地址Hash、源地址端口 Hash、目的地址Hash、UDP报文净荷Hash、优先级等负 载均衡调度算法。 3、提供TCP连接复用功能;提供HTTP压缩功能。提供SSL卸载功能,SSL卸载 性能 210000TPS。 2、 支持将一台设备虚拟化为多台设备使用。 2. 6. 2部署设计链路负载均衡功能通过M9006多业务平安网关上的链路负载均衡功能模块实现, xxx网和互联网区各部署2套。 服务器负载均衡以硬件方式交付,通过xxxSecPath L5000-C设备实现,旁挂在 互联网区核心交换机上。 2.7入侵防护系统设计2. 7.1功能设计1、通过对访问互联网的网络数据流进行2到7层的深度分析,能精确、实时地 识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议 异常、网络钓鱼等网络攻击或网络滥用,以起到入侵防范的目的。 2、提供3年特征库升级服务,攻击特征库数量要23000+、病毒特征库数量要三 8000+,支持的协议识别数量2800+,要包含主流操作系统、主流网络设备、主 流数据库系统、主流应用软件系统的全部漏洞特征,同时也要包含蠕虫、病毒、 木马、DoS/DDoS、扫描、间谍软件、网络钓鱼等网络攻击或网络滥用特征。 3、可结合模式特征匹配、协议异常检测、流量异常检测、事件关联等多种技术, 能识别运行在非标准端口上的协议,准确检测入侵行为。检测到攻击报文或攻击 流量后,支持阻断、限流、捕获原始报文等常规响应方式;支持隔离、Web重定 向等响应方式,以实现第一时间隔离有平安威胁的主机。 2. 7. 2部署设计 通过M9006多业务平安网关上的IPS功能模块实现,在xxx网和互联网区 各部署两套。 1 .8网络平安审计设计. 8.1功能设计 >堡垒机 可以通过堡垒机对运维接口统一,进行统一的账户管理、统一认证、进行 运维的会话命令等进行审计、对权限进行精细化控制等,从而实现身份管理、 访问控制、权限控制、操作审计。 >上网行为审计系统1、支持自定义关键字对象,在行为审计的时候可选择“包含”、“不包含”、 “等于”、“不等于"四种匹配模式,匹配类型包含关键字和数字。 2、支持收集网站访问日志,记录用户所有访问网站行为;支持收集搜索引擎日 志,记录用户的搜索内容;支持收集IM通讯软件日志,记录用户登陆、注销、 收发消息、收发文件等行为;支持收集邮件日志,记录邮件发件人、收件人、主 题、正文、附件等信息。 支持网络社区应用管控的精细化管理,可管控“登录”、“注销”、“发表”、 “搜索”、“举报”、“上传”、“私信”、“删除”等行为。 3、支持路由模式、透明(网桥)模式、混合模式,部署模式切换无需重启设备。 4、支持应用、用户流量统计,应用流量支持趋势图、饼状图呈现,可查看某一 应用的流量趋势图和其Top流量用户。 5、所提供设备采用多核架构设计,内置Bypass模块,在设备断电、重启时, 可自动切换到Bypass状态,当设备恢复时,可自动切换回工作状态; >日志审计系统1、能对操作系统、数据库、中间件、应用进行监控,并通过列表展示应用 详情,包括应用名称、应用类型等风险状况。 2、支持业务定义,包含指定业务名称、描述、优先级、联系人、业务中包含的 应用和服务器、业务中包含的网络设备等信息,并以列表形式显示各业务的风险 状况。 3、能对最近一小时的事件进行汇总分析和展现。支持按设备名称、TOP个数、业 务等作为分析条件。提供攻击源TOP、目的TOP、产生事件最多的设备TOP、产生 最多的事件TOP、事件趋势、攻击协议TOP等分析图表。 4、能管理平台支持展示网络拓扑和平安拓扑,支持完整攻击拓扑溯源,可展示 攻击路径上的交换、路由、平安设备。 2. 8. 2部署设计 >堡垒机1、部署条件 运维审计系统(堡垒机)在云服务方基础设施层部署相对简单,该系统需 要一个业务□和一个管理口。管理口只要路由可达即可访问,业务口只需和被管 理目标路由可达。一般建议部署在独立的管理网络中,与管理网交换机相连,并 可以访问被管理资产的带外管理口,同时为了保证堡垒机作为运维操作的唯一出 口,需要通过设置网络管理区的防火墙策略对运维协议进行地址限制。 虚拟堡垒机需要集群部署在独立的服务器当中,并为每个VPC多分配一个 管理Vxlan,这个Vxlan就是租户管理员的访问路径,同时在南北向防火墙上面 阻断租户管理员远程访问VPC内其他非堡垒机资源的流量,通过SDN控制器进行 访问配置,允许一个租户的虚拟堡垒机可以访一个VPC内部的多个不同Vxlan内 的资源。 2、策略设置 配置主从账号,将在堡垒机分配运维人员的主账号用于单点登录和管理员 认证,同时录入从账号用于堡垒机通过运维协议远程连接目标主机。 3、部署数量及位置 在管理区单臂部署1套,专为云服务商进行底层资源管理使用;云租户可 以使用虚拟化版本,但是建议每个VPC单独使用一套,租户由云平台申请堡垒机 资源,4、服务提供方式以硬件方式提供:部署在大数据共享交换平台的管理网络中,与管理交换机 相连,提供laaS层的平安运维以NFV方式提供:可以为VPC内的租户安装部署虚拟化版本。 >上网行为审计系统以硬件方式提供,在两个生产中心的互联网区各部署一套。 >日志审计系统以硬件方式提供,通过xxxSecCenter A2000安管平台实现,部署在管理区。 2.9跨网平安设计2. 10功能设计1、用于XXX网和互联网之间数据摆渡使用,有效地隔断XXX网和互联网之间的 直接连接,防止信息无限制交换。 2、采用三机系统结构,内外端机为TCP/IP网络协议的终点,阻断TCP/IP协议 的直接贯通。内外端机之间采用专用硬件和专用协议进行连接,不可编程。 3、只能通过内端机上的管理口对设备进行配置,外端机上禁止配置管理。 4、提供平安上网、平安邮件、文件传输、文件同步、数据库访问、数据库同步 功能。 5、支持异构数据结构以及代码语义的转换规那么定义,并实现源数据到目标数据 之间的实时数据交换,支持数据整合业务。 2.11部署设计在XXX网和互联网之间部署硬件网闸或光闸实现。 第3章.主机平安主机访问控制设计.1.1功能设计1、主机防火墙 在操作系统内核层实现文件、注册表、进程、服务、网络等对象的强制访问控制, 可配置针对以上对象不同的访问策略来保护系统和应用资源,即使是系统管理员 也不能破坏被保护的资源。 2、防格式化保护机制保护功能开启时,可防止病毒和入侵者恶意格式化磁盘,同时降低管理员意外格 式化磁盘的风险。 3、完整性检测对文件和服务进行完整性检测,并可设置定期检测工程,当发现文件或者服务篡 改时进行报警并发现哪些文件发生改变。 4、系统资源监控与报警对系统的CPU、内存、磁盘、网络资源进行监控,当这些资源的使用状况超过设 置的阀值时将进行报警,以提前发现资源缺乏、滥用等问题。 3 . 1.2部署设计1、部署设计通过对物理主机系统、虚拟化主机系统、虚拟化操作系统进行平安加固2、平安策略 对远程接入用户进行补丁、杀毒软件、进程、应用等控制对大数据共享交换平台内部服务器,推荐少量功能开启,包括注册表监控和启动 项监控3、服务提供方式服务方式为VPC级别的服务申请 3. 2主机防病毒设计3. 2.1功能设计1、所提供产品支持无代理底层网络数据包过滤,不需要在虚拟服务器或虚拟桌 面中部署平安防护代理。 2、能够为云主机提供病毒与木马防护服务,能够提供官方病毒码下载地址。 3、所提供产品厂商必须为国内厂商,有独立的病毒响应中心、研发中心。 4、能够为云主机提供恶意代码防范服务。 5、最新病毒爆发时,产品厂商必须提供应急技术支持,如 、手机短信、邮 件等方式。 3. 2. 2部署设计 主机防病毒客户端直接布署在物理机或虚拟化上,服务交付方式为VPC内系 统保护,无全局防护需求。 3. 3主机漏洞扫描设计3. 3.1功能设计同网络漏洞扫描3. 3. 2部署设计 同网络漏洞扫描3. 4主机平安审计系统设计3. 4.1功能设计1、通过软件形式提供云主机的平安审计服务,能够支持和云平台联动,云租户 客户通过云平台申请云主机平安审计服务。 2、能记录用户在目标设备上进行的Telnet、SSH、RDP、VNC、Http、Https、FTP、 SFTP、SCP等协议的所有操作行为,还能审计第三方客户端工具的操作,如citrix 客户端、PL/SQL. SQLPLUS, TOAD等工具。可对图形、字符、应用、文件四种类 型进行审计。 3、能对运维用户和运维资产进行权限授权,支持一对一、一对多、多对多授权。 4、能够自动学习资产、账户密码、用户权限关系;将学习到的资产可以自动添 加到资产列表中,并列出每个用户的权限范围,方便管理人员快速审核和授权。 5、能对运维操作事件进行监控,对于正在进行的运维操作会话,支持实时监控, 能够手工切断实时会话;支持Vi、aix下smit、rhel下setup等图形或菜单操 作进行全程同步监控;能够监控审计运维用户在什么时间、什么IP登录了什么 资产,什么时间登出,并记录完整的从登录到退出的整个过程。 6、能对文件传输的过程进行记录:支持记录SFTP/FTP传输的原始文件,并可下 载查看;能通过系统控制是否需要记录原始文件,或者根据文件大小记录原始文 件;可以对文件进行shal值签名,重复的文件可以不记录。 3. 4. 2部署设计在XXX网和互联网的管理区分别部署一台硬件堡垒机设备对主机实现平安审计。 第4章.虚拟化平安虚拟机访问控制设计功能设计1、轻量级部署 > 支持VMware ESXi、Linux KVM、XXX CAS等多个主流的虚拟平台,充分 发挥虚拟化的优势,实现快速部署、批量部署、镜像备份、快速恢复, 并且能够灵活迁移。 > 提供ISO镜像、OVA模板、IPE等多种发布格式,适应各种环境下的部 署2、防火墙功能支持包过滤。借助报文中优先级、TOS、UDP或TCP端口等信息作为过 滤参考,通过在接口输入或输出方向上使用标准或扩展访问控制规那么, 可以实现对数据包的过滤。同时,还可以按照时间段进行过滤。 > 支持应用层状态包过滤(ASPF)功能。通过检查应用层协议信息(如 FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议),并 监控基于连接的应用层协议状态,动态的决定数据包是被允许通过防火 墙或者是被丢弃。 > 支持丰富的攻击防范技术。包括:Land、Smurf、Fraggle. Ping of Death. Tear Drop、IP Spoofing、IP 分片报文、ARP 欺骗、ARP 主动 反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫 描等攻击防范,还包括针SYN Flood. UDP Flood. ICMP Flood等常见 DDoS攻击的检测防御。 目录 第1章.物理平安6 1. 1供配电系统6 1.2 防雷接地6 1.3 消防报警及自动灭火6 1.4 门禁6 1.5 机房要求。6 1.6 保安监控6第2章.网络平安6 2. 1网络边界平安7 3. 2防火墙81. 1功能设计81.2部署设计9 2.3 抗拒绝服务攻击(DDOS攻击)设计93. 1功能设计93.2部署设计10 2.4 VPN平安接入设计102.4. 1功能设计10部署设计11 2.5网络漏洞扫描设计11. 5. 1功能设计11.5.2部署设计12 2.6 负载均衡设计136. 1功能设计136.2部署设计13 2.7 入侵防护系统设计132. 7. 1功能设计132. 7.2部署设计14支持多种VPN业务,如L2Tp VPN、IPSec VPN、GRE VPN等,可以针对 客户需求通过拨号、租用线及VLAN或隧道等方式接入远端用户,构建 Internet、Intranet> Access等多种形式的VPN。结合防火墙、AAA、 NAT、及多种QoS等技术,防火墙可以确保在开放的Internet上实现安 全的、满足可靠质量要求的私有网络。 > 支持平安区域管理。可基于接口、VLAN划分平安区域。 > 支持静态和动态黑名单。 > 支持丰富的路由协议。支持静态路由、策略路由,以及RIP、0SPF等动 态路由协议。 4. 1.2部署设计1、部署条件 虚机间的流量要想按需调度到NFV资源池中,要依赖于SDN+VxLAN技术,还 要依赖服务链技术。数据报文在网络中传递时,需要经过各种各样的业务节 点,才能保证网络能够按照设计要求2、策略配置 设置平安策略控制对VM虚拟机之间的访问,对这些VM之间的流量访问进行 允许或禁止; 对VM之间的流量互访进行攻击检测,及时发现内部攻击行为 VFW实际是作为一个特殊的虚拟机运行在虚拟平台中,正常情况下VM间访问 流量直接经过vSwitch互访,当需要对其进行平安防护时,管理员配置通过 SDN控制器创立服务链策略,当VM间第一次发生交互流量时,vSwitch会向 控制器申请的引流策略(包含服务链策略的流表),策略下发后,vSwitch根 据流表内容对流量进行匹配,将需要防护的流量引流到VFW中,由VFW对虚 拟机间流量进行防护处理,最后经VFW处理过的流量再回到vSwtich中进行 正常转发3、部署数量及位置 推荐每个VPC 一套平安资源池,平安资源池中可包含vFW和vLB,其中vFW 为必配产品,推荐部署在单独的物理服务器当中,与租户的世界业务划归不 同的Vxlan,由SDN控制器进行流表引流。 4、服务交付方式 建议每VPC使用独立的平安资源池进行虚拟机之间的访问控制。 第5章.应用平安应用漏洞扫描设计功能设计 平安漏洞检测:支持OWASP TOP 10等主流平安漏洞的自动检测 网页木马检测:对各种挂马方式的网页木马如I frame > CSS. JS> SWF. ActiveX 等,对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。 自动取证:包括后台数据库中的数据提取、执行控制台命令、获取注册表数 据、获取目录树、数据库操作、备份数据库、远程文件下载、文件上传等。 手工取证:支持对所有扫描结果中的存在的平安漏洞进行手工取证,诸如跨 站攻击测试、表单绕过等无害攻击测试等 配置审计:通过当前弱点获取数据库的相关敏感信息,对后台数据库进行 配置审计,如弱口令、弱配置等。 屏幕锁定功能:在扫描过程中,可以在不停止扫描的情况下锁定屏幕。用户 可自行设置系统超时时间1.2部署设计1、部署条件 由于漏洞扫描产品是采用模拟渗透的方式进行漏洞检查和弱口令检查,漏 扫的任务应建立在最小的扫描范围,不建议扫描的流量经过核心交换机到达整网, 通过部署在管理网络连接管理交换机进行带外的平安扫描。 2、策略设置 建议开启所有的策略分别对各网段进行扫描,扫描完成后生成报表并且存 储在本地。 3、部署数量及位置建议部署平安管理区域,通过管理区域交换机与被扫描资产的带外管理口连接。 4、服务提供方式 漏扫产品以软件方式部署,可以为每租户独立安装,也可安装在大数据共 享交换平台的管理网络,对WEB应用进行漏洞扫描。 5.1 WEB应用防护设计5. 2.1功能设计 检测算法:可精确识别包括注入、XSS等OWASP Top 10 WEB通用攻击,有效 应对盗链、跨站请求伪造等WEB特殊攻击 CC防护:支持JS的挑战模式,识别人机互访;自学习用户流量模型,如新 建、并发等参数,根据流量模型监控流量是否异常,按需开启CC防护策略;基 于地理位置的识别,可设置不同地理区域的防护单元。 5. 2. 2部署设计部署条件 可以通过透明串接、反向代理、路由模式等方式接入网络中,即可对应 用层HTTP流量进行平安防护。 1、 策略设置 黑名单引擎策略设置:通过预定义策略及自定义规那么(可根据用户对 于平安的需求自行添加规那么,可基于不同条件组合,如HTTP头部各字段、 URL地址、post内容、文件类型等字段,实现复杂的规那么需求,并设置阻 断、放行、重定向等多种策略动作)进行规那么匹配,阻断异常流量。 白名单引擎策略设置:通过自学习模式,学习和建立正常的流量模型, 后续进行流量比对,而发现异常行为并进行告警和阻断。 2、 部署数量及位置 云平台基础架构的WEB应用平安:通过在云平台运维管理区前端部署 2台硬件WEB应用防火墙,通过双机部署的形式提高可靠性。 互联网区各租户的WEB应用平安:划分独立的服务器资源区,部署虚 拟WEB应用防火墙,为每个租户分配1套虚拟WEB应用防火墙。通过反向 代理的方式将WEB流量牵引至虚拟WEB应用防火墙上进行过滤后转发给WEB 服务器。 4、服务模式 云平台基础架构的WEB应用平安:部署2台硬件WEB应用防火墙产品 (全局服务) 互联网区各租户的WEB应用平安:每个租户分配1套虚拟WEB应用防 火墙(租户个性化服务)5.3网页防篡改设计5. 3.1功能设计 网页防篡改系统包含防篡改、防攻击两大子系统的多个功能模块,为网站 平安建立全面、立体的防护体系。主要功能如下: 1、要求采用先进的文件驱动防篡改技术,实现新一代内核驱动及文件保护,并支 持大规模连续篡改攻击保护。 2、要求支持操作系统:Windows2000,2003,200832&64 位;Redhat,CentOS,SUSE,Asianux 等 32&64 位;UNIX 系列:AIX ,HP-UX,Solarise 3 、 要求支持 WEB 服务器:HS , apachejava 系列 (weblogic,websphere,tomcat,jboss 等)。 4、采用先进内核驱动、WEB核心内嵌和实时触发机制结合。 5、支持各类网页文件的保护,包括静态和动态网页以及各类文件信息。 6、支持对指定文件夹以及子文件夹的保护,防止上传非法文件及木马等恶意文 件或插入恶意代码。 7、能够有效防止SQL注入攻击、跨站攻击、溢出代码攻击、对危险文件类型的 访问、对危险系统路径的访问、特殊字符构成的URL利用、防止构造危险的Cookie 等。 5. 3. 2部署设计1、 部署条件根据不同的操作系统平台,可以选择Windows, Linux> Unix对应版本的软件进行安装和使用。 2、 策略设置 在管理控制端上对监控端进行策略配置,添加站点名称、站点文件路 径后可添加保护动作(允许修改或阻止修改)和发布进程路径,可以保护网 站静态文件资源不被恶意篡改。 通过内置规那么库和自动义规那么,可以防御SQL注入、XSS漏洞、Web Shell上传检测、代码注入和特定漏洞的攻击,保护动态资源平安。 3、 部署数量及位置 监控端独立部署于互联网区各租户的门户网站/网站群的Web服务器 上,数量取决于Web服务器的数量。管理端和发布端部署于互联网运维管 理区。 管理控制端可以安装在任何服务器或PC机上,主要用于配置、管理和 展现监控端、发布端的各种信息,并下发平安规那么到监控端。 监控端安装在WEB服务器上,实现对站点进行保护和监测。 同步端安装在CMS内容更新服务器上,实现对站点文件内容实时更新服务模式服务模式为租户服务模式,在网页防篡改管理端上对各租户门户网站服务器上的 监控端进行统一的策略管理。 5.4网络架构平安物理隔离 物理隔离 物理隔离 网络带外管理 计算集源带内管理 网络带外管理 计算集源带内管理 网络带外管理 计算集源带内管理 网络带外管理 计算金源带内管理 网络架构平安规划设计图在整个大数据共享交换平台环境中,要求管理网络系统与业务网络别离,而XXX 网云平台网络系统和电子大互联网云平台网络系统之间物理隔离。 第6章.数据平安6.1功能设计数据库审计:实现细粒度审计、精准化行为回溯、全方位风险控制,为核心数据 库提供全方位、细粒度的保护功能,可帮助用户带来如下价值点: >全面记录数据库访问行为,识别越权操作等违规行为,并完成追踪溯 源>跟踪敏感数据访问行为轨迹,建立访问行为模型,及时发现敏感数据 泄漏>检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议>为数据库平安管理与性能优化提供决策依据 >提供符合法律法规的报告,满足等级保护、内控等审计要求2部署设计 1 .部署条件 采用旁路模式部署,通过在接入交换机或网络设备上启用端口镜像功能,将 对数据库的访问和返回流量复制一份到数据库审计产品上,从而进行对数据库流 量的平安审计。 2 .策略设置 添加保护对象:需要设置保护对象的IP地址、数据库类型(Oracle、SyBase 等)、数据库版本、端口号,运行环境(Linux、Windows等)、流量方向(单向审 计、双向审计)。 业务群组绑定多个保护对象:数据库审计产品需多个业务群组,而每个业务 群组内包含多台数据库主机(保护对象)。 添加审计规那么:支持以IP来源、操作类型、报文关键字时间等条件设置审计 规那么,并能以规那么组的形式进行添加。 查询审计结果:支持以对象、操作类型、业务主机群、账号、客户端IP、报 文等条件进行筛选查询审计结果。 查询风险告警:支持以风险级别、业务主机群、客户端IP、状态、规那么等条 件进行筛选查看风险告警结果。 3 .部署数量及位置 互联网区:1台,旁挂在数据库接入交换机上 XXX网区:1台,旁挂在数据库接入交换机上 4、服务模式 本方案中数据库审计产品采用硬件的方式进行部署,分别为云基础架构的数 据库流量提供全局审计,为租户数据库流量提供全局的审计服务。 第7章.管理平安7.1平安管理机构> 设立信息平安管理工作的职能部门,设立平安主管人、平安管理各个方 面的负责人,定义各负责人的职责;>设立系统管理人员、网络管理人员、平安管理人员岗位,定义各个工作 岗位的职责; >成立指导和管理信息平安工作的委员会或领导小组,其最高领导应由单 位主管领导委任或授权; >制定文件明确平安管理机构各个部门和岗位的职责、分工和技能要求。 > 配备一定数量的系统管理人员、网络管理人员和平安管理人员等; >配备专职平安管理人员,不可兼任; >关键区域或部位的平安管理人员应按照机要人员条件配备; >关键岗位应定期轮岗; >关键事务应配备多人共同管理; >授权审批部门及批准人,对关键活动进行审批; > 列表说明须审批的事项、审批部门和可批准人; >建立各审批事项的审批程序,按照审批程序执行审批过程; >建立关键活动的双重审批制度; >不再适用的权限应及时取消授权; >定期审查、更新需授权和审批的工程; >记录授权过程并保存授权文档;>加强各类管理人员和组织内部机构之间的合作与沟通,定期或不定期召 开协调会议,共同协助处理信息平安问题;>信息平安职能部门应定期或不定期召集相关部门和人员召开平安工作 会议,协调平安工作的实施;>信息平安领导小组或者平安管理委员会定期召开例会,对信息平安工作 进行指导、决策; >加强与兄弟单位和公安机关的合作与沟通,以便在发生平安事件时能够 得到及时的支持;> 加强与供应商、业界专家、专业的平安公司、平安组织的合作与沟通, 获取信息平安的最新开展动态,当发生紧急事件的时候能够及时得到支 持和帮助; >文件说明外联单位、合作内容和联系方式;>聘请信息平安专家,作为常年的平安顾问,指导信息平安建设,参与安 全规划和平安评审等;>由平安管理人员定期进行平安检查,检查内容包括用户账号情况、系统 漏洞情况、系统审计情况等;>由平安管理部门组织相关人员定期进行全面平安检查,检查内容包括现 有平安技术措施的有效性、平安配置与平安策略的一致性、平安管理制 度的执行情况等; >由平安管理部门组织相关人员定期分析、评审异常行为的审计记录,发 现可疑行为,形成审计分析报告,并采取必要的应对措施;>制定平安检查表格实施平安检查,汇总平安检查数据,形成平安检查报 告,并对平安检查结果进行通报;>制定平安审核和平安检查制度规范平安审核和平安检查工作,定期按照 程序进行平安审核和平安检查活动。 7.2平安管理制度>制定信息平安工作的总体方针、政策性文件和平安策略等,说明机构安 全工作的总体目标、范围、方针、原那么、责任等;>对平安管理活动中的各类管理内容建立平安管理制度,以规范平安管理 活动,约束人员的行为方式;>对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规 范操作行为,防止操作失误; >形成由平安政策、平安策略、管理制度、操作规程等构成的全面的信息 平安管理制度体系;>由平安管理职能部门定期组织相关部门和相关人员对平安管理制度体 系的合理性和适用性进行审定。在信息平安领导小组的负责下,组织相 关人员制定; >保证平安管理制度具有统一的格式风格,并进行版本控制; > 组织相关人员对制定的平安管理进行论证和审定; >平安管理制度应经过管理层签发后按照一定的程序以文件形式发布; >平安管理制度应注明发布范围,并对收发文进行登记; >平安管理制度应注明密级,进行密级管理;>定期对平安管理制度进行评审和修订,对存在缺乏或需要改进的平安管 理制度进行修订;>当发生重大平安事故、出现新的平安漏洞以及技术基础结构发生变更时, 应对平安管理制度进行检查、审定和修订;>每个制度文档应有相应负责人或负责部门,负责对明确需要修订的制度 文档的维护; >评审和修订的操作范围应考虑平安管理制度的相应密级。 7.3人员平安管理 >保证被录用人具备基本的专业技术水平和平安管理知识; >对被录用人声明的身份、背景、专业资格和资质等进行审查; >对被录用人所具备的技术技能进行考核; > 对被录用人说明其角色和职责; >签署保密协议; >对从事关键岗位的人员应从内部人员选拔,并定期进行信用审查; >对从事关键岗位的人员应签署岗位平安协议。 >立即终止由于各种原因即将离岗的员工的所有访问权限; >取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;>经机构人事部门办理严格的调离手续,并承诺调离后的保密义务后方可 离开; >关键岗位的人员调离应按照机要人员的有关管理方法进行。 >对所有人员实施全面、严格的平安审查; >定期对各个岗位的人员进行平安技能及平安认知的考核; >对考核结果进行记录并保存; >对违背平安策略和规定的人员进行惩戒。 >对各类人员进行平安意识教育; >告知人员相关的平安责任和惩戒措施;>制定平安教育和培训计划,对信息平安基础知识、岗位操作规程等进行 培训; >针对不同岗位制定不同培训计划; >对平安教育和培训的情况和结果进行记录并归档保存。 6. 4系统建设管理7. 4. 1系统定级 >明确信息系统划分的方法; >确定信息系统的平安保护等级;>以书面的形式定义确定了平安保护等级的信息系统的属性,包括使命、 业务、网络、硬件、软件、数据、边界、人员等;>以书面的形式说明确定一个信息系统为某个平安保护等级的方法和理 由;>组织相关部门和有关平安技术专家对信息系统的定级结果的合理性和 正确性进行论证和审定; 2.8网络平安审计设计142.8. 1功能设计14部署设计15 2.9跨网平安设计16 2. 10功能设计16 2. 11部署设计16第3章.主机平安16 3.1 主机访问控制设计161. 1功能设计161.2部署设计17 3.2 主机防病毒设计17. 1功能设计17.2部署设计18 3.3 主机漏洞扫描设计183. 1功能设计183.2部署设计18 3.4 主机平安审计系统设计18. 1功能设计18.2部署设计19第4章.虚拟化平安19 4.1虚拟机访问控制设计191. 1功能设计191.2部署设计20第5章.应用平安21 4. 1应用漏洞扫描设计215. 1. 1功能设计21部署设计21 5.2 WEB应用防护设计225.2. 1功能设计22确保信息系统的定级结果经过相关部门的批准。 7. 4.2系统备案>系统定级、系统属性等材料指定专门的人员或部门负责管理,并控制这 些材料的使用; >系统等级和系统属性等资料报系统主管部门备案;>系统等级、系统属性、等级划分理由及其他要求的备案材料报相应公安 机关备案。 7. 4. 3平安方案设计>根据系统的平安级别选择基本平安措施,依据风险评估的结果补充和调 整平安措施;>指定和授权专门的部门对信息系统的平安建设进行总体规划,制定近期 和远期的平安建设工作计划;>根据信息系统的等级划分情况,统一考虑平安保障体系的总体平安策略、 平安技术框架、平安管理策略、总体建设规划和详细设计方案,并形成 配套文件; >组织相关部门和有关平安技术专家对总体平安策略、平安技术框架、安 全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和 正确性进行论证和审定;>确保总体平安策略、平安技术框架、平安管理策略、总体建设规划、详 细设计方案等文件必须经过批准,才能正式实施;> 根据平安测评、平安评估的结果定期调整和修订总体平安策略、平安技 术框架、平安管理策略、总体建设规划、详细设计方案等相关配套文件。 7. 4.4产品采购 > 确保平安产品的使用符合国家的有关规定; >确保密码产品的使用符合国家密码主管部门的要求; >指定或授权专门的部门负责产品的采购;>制定产品采购方面的管理制度明确说明采购过程的控制方法和人员行 为准那么;> 预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候 选产品名单;7. 4.5自行软件开发 >开发环境与实际运行环境物理分开; >系统开发文档由专人负责保管,系统开发文档的使用受到控制;>制定开发方面的管理制度明确说明开发过程的控制方法和人员行为准 那么; >开发人员和测试人员的别离,测试数据和测试结果受到控制; >提供软件设计的相关文档和使用指南; 7. 4. 6外包软件开发 >与软件开发单位签订协议,明确知识产权的归属和平安方面的要求; >根据协议的要求检测软件质量; >在软件安装之前检测软件包中可能存在的恶意代码; >要求开发单位提供技术培训和服务承诺; >要求开发单位提供软件设计的相关文档和使用指南; 7. 4. 7工程实施 >与工程实施单位签订与平安相关的协议,约束工程实施单位的行为; >指定或授权专门的人员或部门负责工程实施过程的管理;>制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地 执行平安工程过程;>制定工程实施方面的管理制度明确说明实施过程的控制方法和人员行 为准那么; 7. 4. 8测试验收 >对系统进行平安性测试验收;>在测试验收前根据设计方案或合同要求等制订测试验收方案,测试验收 过程中详细记录测试验收结果,形成测试验收报告; >委托公正的第三方测试单位对系统进行测试,并出具测试报告;>制定系统测试验收方面的管理制度明确说明系统测试验收的控制方法 和人员行为准那么;>指定或授- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算 数据中心 安全 整体 解决方案
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【二***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【二***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【二***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【二***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文