数据中心信息安全解方案.docVIP

数据中心解决方案 （安全） 目录 第 一 章 信息安全保障系统 3 1.1 系统概述 3 1.2 安全标准 3 1.3 系统架构 4 1.4 系统详细设计 5 1.4.1 计算环境安全 5 1.4.2 区域边界安全 7 1.4.3 通信网络安全 8 1.4.4 管理中心安全 9 1.5 安全设备及系统 11 1.5.1 VPN加密系统 12 1.5.2 入侵防御系统 12 1.5.3 防火墙系统 13 1.5.4 安全审计系统 14 1.5.5 漏洞扫描系统 15 1.5.6 网络防病毒系统 17 1.5.7 PKI/CA身份认证平台 18 1.5.8 接入认证系统 20 1.5.9 安全管理平台 21 信息安全保障系统 系统概述 信息安全保障系统是集计算环境安全、安全网络边界、通信网络安全以及安全管理中心于一体的基础支撑系统。为实现各信息系统间的互联互通，整合各种资源，提供信息安全有力支撑。 信息安全保障系统体系架构图 信息系统安全是保障整个系统安全运行的一整套策略、技术、机制和保障制度，它涵盖系统的许多方面，一个安全可靠的系统需要多方面因素共同作用。 安全标准 在数据中心建设中，信息系统安全依据《信息系统等级保护安全设计技术要求》（GB/T 24856-2009）二级防护要求进行设计。该标准依据国家信息安全等级保护的要求，规范了信息系统等级保护安全设计技术要求，标准适用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构开展信息系统等级保护安全技术方案的设计和实施，也可作为信息安全职能部门进行监督、检查和指导的依据。 信息安全等级保护是我国信息安全的基本制度、基本政策、基本方法。已出台的一系列信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准，为信息安全等级保护工作的开展提供了法律、政策、标准依据。国家标准《信息安全技术 信息系统等级保护安全设计技术要求》是根据中国信息安全等级保护的实际需要，按照信息安全等级保护对信息系统安全整改的要求制订的，对信息系统等级保护安全整改阶段技术方案的设计具有指导和参考作用。 系统架构 智慧城市数据中心依据《信息系统等级保护安全设计技术要求》（GB/T 24856-2009），构建 “一个中心支撑下的三重防御”的安全防护体系。信息安全保障系统总体架构如下图所示： 信息安全保障系统总体架构图 信息安全保障系统以网络基础设施为依托，为整个数据中心业务提供计算环境安全、区域边界安全、通信网络安全、安全管理、安全审计及认证授权等服务。信息安全保障系统的一个中心是指管理中心安全，三重防御是指计算环境安全、区域边界安全和通信网络安全。 计算环境安全主要提供终端和用户的身份认证、访问控制、系统安全审计、恶意代码防范、接入控制、数据安全等安全服务。 区域边界安全主要提供网络边界身份认证、访问控制、病毒防御、安全审计、网络安全隔离与可信交换等安全服务。 通信网络安全主要提供网络通信的安全审计、网络传输的机密性和完整性等安全服务。 管理中心安全主要包括安全管理子系统、CA子系统、认证授权子系统和统一安全审计子系统等，它是系统的安全基础设施，也是系统的安全管控中心。为整个系统提供统一的系统安全管理、证书服务、认证授权、访问控制以及统一的安全审计等服务。 系统详细设计 计算环境安全 计算环境安全概述 伴随着等级保护工作的持续开展，包括防火墙、安全网关、入侵防御、防病毒等在内的安全产品成功地应用到信息系统中，从很大程度上解决了安全问题，增强了信息安全防御能力。但这些大多重在边界防御，以服务器为核心的计算平台自身防御水平较低，这在信息系统中埋下了很大的安全隐患。 计算环境安全针对的是对系统的信息进行存储、处理及实施安全策略的相关部件，它的重点是为了提高以服务器为核心的计算平台自身防御水平。数据中心的计算环境安全主要通过部署主机安全防护系统以及使用在管理中心所部署的接入认证系统、网络防病毒系统、漏洞扫描系统等安全防护系统提供的服务，完成终端的身份鉴别、访问控制、安全审计、数据安全保护，恶意代码防护等一系列功能。计算环境部署的安全系统均可被安全管理中心统一管理、统一监控，实现协同防护。 计算环境安全功能要求 身份鉴别功能 应在对每一个用户注册到系统时，采用用户名和用户标识符标识用户身份，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，，并对鉴别数据进行保密性和完整性保护。访问控制功能 在安全策略控制范围内，采用基于角色的访问控制技术，实现不同用户、不同角色对不同资源的细粒度访问控制，分别制定了不同的访问控制规则， 安全审计功能 记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。该功能应提供审计记录查询、分类和存储保护，并可由安全管理与基础支撑功能层统一