数据中心安全建议书2008-08目录一、概述.........................................................1二、安全设计.....................................................1三、物理安全.....................................................21.环境安全.....................................................22.机房安全.....................................................2四、网络安全.....................................................31.防火墙.......................................................32.入侵保护系统(IPS)..........................................33.网络、数据库审计.............................................4五、系统安全.....................................................41.主机安全.....................................................42.漏洞扫描.....................................................53.防病毒.......................................................54.补丁分发.....................................................5六、应用和信息安全...............................................61.数据备份与恢复...............................................62.抗DDOS攻击系统..............................................63.身份及访问安全管理...........................................6一、概述近几年来,越来越多的企业对数据中心建设青睐有佳。在享受数据中心带来生产力提高的同时,其内在的安全建设成为了业内的热点。让数据中心远离安全威胁,促使其在管理、运维上向安全靠拢,已经成为当前的建设趋势。针对数据中心提出以下几个安全方面的建议。二、安全设计安全防护体系涵盖了物理安全、网络安全、系统安全以及应用层的安全防护,每个层面包括了若干种安全防护手段和措施。建议数据中心的网络采用以两台交换机为中心的双星形冗余结构的网络;在网络边界采用网络防火墙进行逻辑隔离,通过部署IPS实现边界纵深防御;数据中心采用网络/数据库审计系统保障对网络和数据库的安全;在数据中心的主机或服务器上安装网络版防毒软件的客户端;数据中心的服务器采用双机互为热备份的工作方式;对数据中心的数据通过阵列或磁带库进行相应的备份;结合身份及访问安全管理系统,实现对数据中心重要系统的访问控制及行为审计;通过部署防DDOS攻击系统,有效保障数据中心内部业务系统。对数据中心的安全防护措施如下图所示:下面从物理安全、网络安全、系统安全以及应用层的安全四个层面,描述各层面安全的具体技术手段及措施。三、物理安全在数据中心计算机网络与安全防护系统建设实施中,物理安全措施的实施包括了主要包括环境安全、机房安全和物理隔离等方面。1.环境安全设备工作环境的安全防护可参照GB50173-93《电子计算机机房设计规范》、GB2887-89《计算站场地技术条件》和GB9361-88《计算站场地安全要求》等标准实施。2.机房安全物理环境的防护计算机机房场地安全防电磁辐射泄漏禁带物品设备防盗空调系统防静电电源接地计算机场地防火运输过程中的防护四、网络安全网络安全是一个比较通用的概念,通常包括网络自身的设计、构建和使用以及基于网络的各种安全相关的技术和手段。1.防火墙防火墙是部署在不同网络安全域之间的一系列部件的组合。它能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙实现网与网之间的访问隔离,以保护整个网络抵御来自其它网络的入侵者。数据中心作为一个安全级别较高的存在,需要与与长江养老保险公司的网络逻辑上隔离。通过在数据中心与长江养老保险公司的内部网络相连处,部署网络防火墙,将数据中心与长江养老保险公司的内部网络在逻辑上进行隔离。2.入侵保护系统(IPS)入侵保护(阻止)系统(IPS)是新一代的侵入检测系统。IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流...
