返回
数据中心安全建设方案

数据中心安全建设方案

ID:4097985

大小:735.50 KB

页数:24页

时间:2017-11-28

数据中心安全建设方案_第1页
数据中心安全建设方案_第2页
数据中心安全建设方案_第3页
数据中心安全建设方案_第4页
数据中心安全建设方案_第5页
资源描述:

《数据中心安全建设方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、23数据中心安全解决方案23目录第一章解决方案21.1建设需求21.2建设思路21.3总体方案31.3.1IP准入控制系统41.3.2防泄密技术的选择61.3.3主机账号生命周期管理系统61.3.4数据库账号生命周期管理系统71.3.5令牌认证系统71.3.6数据库审计系统81.3.7数据脱敏系统81.3.8应用内嵌账号管理系统91.3.9云计算平台121.3.10防火墙131.3.11统一安全运营平台131.3.12安全运维服务151.4实施效果151.4.1针对终端接入的管理151.4.2针对敏感数据的使用管理161.4.3针对敏感数据的访问

2、管理171.4.4针对主机设备访问的管理171.4.5针对数据库访问的管理181.4.6针对数据库的审计191.4.7针对应用内嵌账号的管理211.4.8安全运营的规范211.4.9针对管理的优化22第二章项目预算及项目要求232.1项目预算232.1.1项目一期预算232.1.2一期实现目标242.2项目要求252.2.1用户环境配合条件2523第一章解决方案1.1建设需求XXX用户经过多年的信息化建设,各项业务都顺利的开展起来了,数据中心已经积累了很多宝贵的数据,这些无形的资产比硬件资产还重要,但它们却面临着非常大的安全挑战。在早期的系统建设

3、过程中,大多用户不会考虑数据安全、应用安全层面的问题,经过多年的发展,数据中心越来越庞大,业务越来越复杂,但信息安全完全没有配套建设,经常会发生一些安全事件,如:数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况,而这些安全事件往往都是特权用户从后台直接操作的,非常隐蔽,这时候往往无从查起。其实,信息安全建设在系统的设计初期开始,就应该要介入,始终贯穿其中,这样花费的人力物力才是最小。当一个系统建成后,发现问题了,回头再来考虑安全建设,这样投入的成本将会变得最大。1.2建设思路数据中心的安全体系建设并非安全

4、产品的堆砌,它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系,涉及众多的安全技术,实施过程需要涉及大量的调研、咨询等工作,还会涉及到众多的安全厂家之间的协调、产品的选型,安全系统建成后怎么维持这个生态体系的平衡,是一个复杂的系统工程,一般建议分期投资建设,从技术到管理,逐步实现组织的战略目标。整体设计思路是将需要保护的核心业务主机包及数据库围起来,与其他网络区域进行逻辑隔离,封闭一切不应该暴漏的端口、IP,在不影响现有业务的情况下形成数据孤岛,设置固定的数据访问入口,对入口进行严格的访问控制及审计。由之前的被动安全

5、变为主动防御,控制安全事故的发生,对接入系统的人员进行有效的认证、授权、审计,让敏感操作变得更加透明,有效防止安全事件的发生。23在访问入口部署防火墙、账号生命周期管理系统、数据加密系统、令牌认证系统、审计系统等安全设施,对所有外界向核心区域主机发起的访问进行控制、授权、审计,对流出核心区域的批量敏感数据进行加密处理,所有加密的数据将被有效的包围在安全域之内,并跟踪数据产生、扭转、销毁的整个生命周期,杜绝敏感数据外泄及滥用行为。为了保证XXX用户的业务连续性,各安全子系统都采用旁路的方式部署到网络当中,其中账号生命周期管理系统、审计系统、数据库都

6、采用双机的模式,以提供自身的高可靠性;加密系统、特权账号生命周期管理系统、令牌认证系统都建议部署在VMware云计算平台上,利用VMware强大的服务器虚拟化能力为防泄密系统提供良好的可靠性与可扩展性保证。1.1总体方案信息安全系统整体部署架构图231、在核心交换机上部署防护墙模块或独立防火墙,把重要的主机、数据库与其他子网进行逻辑隔离,划分安全区域,对不必要的端口进行封闭,隔离终端IP对数据中心可达。2、在终端汇聚的交换机上旁路部署IP准入控制系统,实现非法外联、IP实名制,对接入内网的终端进行有效的控制。3、部署主机账号管理系统,限制所有终端

7、对主机的访问只能通过管理系统发起,并对Telnet、SSH、RDP等访问过程进行控制、审计,防止终端将数据从主机上私自复制到本地硬盘,防止误操作。4、部署数据账号管理系统,对数据库访问工具(PL-SQL)、FTP工具等常用维护工具进行统一的发布,对前台数据库访问操作进行审计记录,把数据包围在服务器端。对下载数据行为进行严格控制,并对提取的数据进行加密处理。5、部署加密系统(DLP),对所有流出数据中心的数据进行自动加密处理,并对数据的产生、扭转、编辑、销毁进行生命周期管理。6、部署数据库审计系统,对数据库访问行为进行审计,监控敏感数据访问情况,监

8、控数据库操作行为,记录数据库后台变化情况,事后回查。7、在生产库与测试库之间部署数据脱敏系统,对从在线库抽取的数据进行自动脱敏,再导入测

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。