数据中心信息安全解决专项方案.docVIP

数据中心处理方案 （安全） 目录 TOC \o 2-3 \h \z \t 标题 1,1 第 一 章 信息安全保障系统 3 1.1 系统概述 3 1.2 安全标准 3 1.3 系统架构 4 1.4 系统具体设计 5 1.4.1 计算环境安全 5 1.4.2 区域边界安全 7 1.4.3 通信网络安全 8 1.4.4 管理中心安全 9 1.5 安全设备及系统 11 1.5.1 VPN加密系统 12 1.5.2 入侵防御系统 12 1.5.3 防火墙系统 13 1.5.4 安全审计系统 14 1.5.5 漏洞扫描系统 15 1.5.6 网络防病毒系统 17 1.5.7 PKI/CA身份认证平台 18 1.5.8 接入认证系统 20 1.5.9 安全管理平台 21 TOC \h \z \t 题注,图片 \c 信息安全保障系统 系统概述 信息安全保障系统是集计算环境安全、安全网络边界、通信网络安全和安全管理中心于一体基础支撑系统。它以网络基础设施为依靠，为实现各信息系统间互联互通，整合多种资源，提供信息安全上有力支撑。系统体系架构图所表示： 信息安全保障系统体系架构图 信息系统安全是保障整个系统安全运行一整套策略、技术、机制和保障制度，它涵盖系统很多方面，一个安全可靠系统需要多方面原因共同作用。 安全标准 在数据中心建设中，信息系统安全依据《信息系统等级保护安全设计技术要求》（GB/T 24856-）二级防护要求进行设计。该标准依据国家信息安全等级保护要求，规范了信息系统等级保护安全设计技术要求，标准适适用于指导信息系统运行使用单位、信息安全企业、信息安全服务机构开展信息系统等级保护安全技术方案设计和实施，也可作为信息安全职能部门进行监督、检验和指导依据。 信息安全等级保护是中国信息安全基础制度、基础政策、基础方法。已出台一系列信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准，为信息安全等级保护工作开展提供了法律、政策、标准依据。国家标准《信息安全技术 信息系统等级保护安全设计技术要求》是依据中国信息安全等级保护实际需要，根据信息安全等级保护对信息系统安全整改要求制订，对信息系统等级保护安全整改阶段技术方案设计含有指导和参考作用。 系统架构 智慧城市数据中心依据《信息系统等级保护安全设计技术要求》（GB/T 24856-），构建 “一个中心支撑下三重防御”安全防护体系。信息安全保障系统总体架构以下图所表示： 信息安全保障系统总体架构图 信息安全保障系统以网络基础设施为依靠，为整个数据中心业务提供计算环境安全、区域边界安全、通信网络安全、安全管理、安全审计及认证授权等服务。信息安全保障系统一个中心是指管理中心安全，三重防御是指计算环境安全、区域边界安全和通信网络安全。 计算环境安全关键提供终端和用户身份认证、访问控制、系统安全审计、恶意代码防范、接入控制、数据安全等安全服务。 区域边界安全关键提供网络边界身份认证、访问控制、病毒防御、安全审计、网络安全隔离和可信交换等安全服务。 通信网络安全关键提供网络通信安全审计、网络传输机密性和完整性等安全服务。 管理中心安全关键包含安全管理子系统、CA子系统、认证授权子系统和统一安全审计子系统等，它是系统安全基础设施，也是系统安全管控中心。为整个系统提供统一系统安全管理、证书服务、认证授权、访问控制和统一安全审计等服务。 系统具体设计 计算环境安全 计算环境安全概述 伴伴随等级保护工作连续开展，包含防火墙、安全网关、入侵防御、防病毒等在内安全产品成功地应用到信息系统中，从很大程度上处理了安全问题，增强了信息安全防御能力。但这些大多重在边界防御，以服务器为关键计算平台本身防御水平较低，这在信息系统中埋下了很大安全隐患。 计算环境安全针正确是对系统信息进行存放、处理及实施安全策略相关部件，它关键是为了提升以服务器为关键计算平台本身防御水平。数据中心计算环境安全关键经过布署主机安全防护系统和使用在管理中心所布署接入认证系统、网络防病毒系统、漏洞扫描系统等安全防护系统提供服务，完成终端身份判别、访问控制、安全审计、数据安全保护，恶意代码防护等一系列功效。计算环境布署安全系统均可被安全管理中心统一管理、统一监控，实现协同防护。 计算环境安全功效要求 身份判别功效 数据中心终端应支持用户标识和用户判别。在对每一个用户注册到系统时，采取用户名和用户标识符标识用户身份，并确保在系统整个生存周期用户标识唯一性；在每次用户登录系统时，采取受控口令或含有对应安全强度其它机制进行用户身份判别，并对判别数据进行保密性和完整性保护。 访问控制功效 在安全策略控制范围内，使用户对其创建客体含有对