数据中心的安全管理策略.docx

数据中心的安全管理策略

在对数据中心进行安全管理的过程中，采用分层安全管理是有效可行的方法，具体可分为：网络层、基础设施层、主机层、管理层和应用层。可针对每一层的特性分别制定不同的安全管理策略。

1、网络安全管理策略

采用产品如入侵检测和入侵防御IDS/IPS、DDoS攻击防护、流量清洗、防火墙、统一威胁管理UTM、网闸、网络防病毒、数据库防火墙等进行外部攻击检测和防御。管理虚拟化网络的安全，防止虚拟机之间的攻击等。

制定网络安全设备策略，安全策略应随应用系统变更进行相关策略变更，定期梳理相关安全策略，做好访问控制策略管理。新增业务提前做好安全策略规划。

2、基础设施安全管理策略

采用包括监控系统、门禁系统、值班系统等在内的系统，保障基础设施安全。制定巡检制度，做好巡检日志。

3、主机安全管理策略

采用操作系统加固、数据库加固、病毒防护、中间件加固、安全补丁管理等手段。存储安全方面，采用磁盘加密等技术手段，防止虚拟化环境中其他物理节点的安全威胁。基于IP的访问控制（如防火墙），防止虚拟服务器的攻击，对服务器上应用的用户访问进行限制等，针对不同用户提供有限制的、安全的访问。

4、管理层安全策略

合用采用包括SOC（SecurityOperationsCenter）平台、日志审计设备、数据库审计设备、合规性检查工具、带外管理、终端安全管理、桌面防病毒、数据（加密/防泄密）等技术手段，制定信息安全事件的通报制度，从管理层做好信息安全事件管理策略。

5、应用安全管理策略

包括应用安全策略、访问控制策略等。

（1）应用安全策略

①电子邮件安全

从修复相关安全漏洞，过滤不安全邮件，加固邮件系统等方面加强防护。

②Web网页防篡改

解决网页篡改问题。

③WAF

对来自客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护，阻止如SQL注入攻击、跨站脚本攻击（XSS）、网页挂马等类型的攻击。

④应用交付安全

解决应用安全缺陷可能的引入点。这些引入点包括安全架构设计缺陷、开发编程缺陷、引用第三方的代码缺陷、中间件安全隐患等。通过在开发过程中引入设计和编码规范、中间件安全规范、代码审计等，保障应用交付安全。

⑤开发、测试、生产环境严格分离

开发、测试和生产环境应严格分离，确保经过严格测试后再上线，降低系统频繁变更上线带来的风险。

⑥变更管理规范化

制定严格的变更管理流程，确保变更安全可控，规范变更的测试、变更申请和审批、变更前备份、变更成功后验证或者变更失败回退等，以保障变更质量，保障生产系统稳定性和可靠性。

⑦运行维护流程化

运行维护操作流程化、文件化，保障运行维护的规范化，保障生产系统的安全性和稳定性。建立备份管理制度、备份定期检查和测试制度等，确保备份程序正常运行，备份文件切实有效。

（2）访问控制策略

针对不同应用，制定不同的访问控制策略，贯彻访问控制安全策略基本原则：最小特权原则、最小泄露原则和多极安全策略原则。