数据中心安全建设方案

千里之行，始于足下。第2页/共2页精品文档推荐数据中心安全建设方案数据中心安全解决方案

1

名目

第一章解决方案(2)

1.1建设需求(2)

1.2建设思路(2)

1.3总体方案(3)

1.3.1IP准入操纵系统(5)

1.3.2防泄密技术的挑选(6)

1.3.3主机账号生命周期治理系统(6)

1.3.4数据库账号生命周期治理系统(7)

1.3.5令牌认证系统(8)

1.3.6数据库审计系统(8)

1.3.7数据脱敏系统(9)

1.3.8应用内嵌账号治理系统(10)

1.3.9云计算平台(13)

1.3.10防火墙(13)

1.3.11统一安全运营平台(14)

1.3.12安全运维服务(16)

1.4实施效果(16)

1.4.1针对终端接入的治理(16)

1.4.2针对敏感数据的使用治理(17)

1.4.3针对敏感数据的拜访治理(18)

1.4.4针对主机设备拜访的治理(18)

1.4.5针对数据库拜访的治理(19)

1.4.6针对数据库的审计(20)

1.4.7针对应用内嵌账号的治理(22)

1.4.8安全运营的规范(22)

1.4.9针对治理的优化(23)

第二章项目预算及项目要求错误！未定义书签。

2.1项目预算错误！未定义书签。

2.1.1项目一期预算错误！未定义书签。

2.1.2一期实现目标错误！未定义书签。

2.2项目要求错误！未定义书签。

2.2.1用户环境配合条件错误！未定义书签。

2

第一章解决方案

1.1建设需求

XXX用户通过多年的信息化建设，各项业务都顺利的开展起来了，数据中心差不多积存了非常多珍贵的数据，这些无形的资产比硬件资产还重要，但它们却面临着很大的安全挑战。

在早期的系统建设过程中，大多用户不可能思考数据安全、应用安全层面的咨询题，通过多年的进展，数据中心越来越庞大，业务越来越复杂，但信息安全彻底没有配套建设，经常会发生一些安全事件，如：数据库的表被人删除了、主机密

码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等事情，而这些安全事件往往基本上特权用户从后台直截了当操作的，很隐蔽，这时候往往无从查起。

事实上，信息安全建设在系统的设计初期开始，就应该要介入，始终贯通其中，如此花费的人力物力才是最小。当一具系统建成后，发觉咨询题了，回头再来思考安全建设，如此投入的成本将会变得最大。

1.2建设思路

数据中心的安全体系建设并非安全产品的堆砌，它是一具依照用户具体业务环境、使用适应、安全策略要求等多个方面构建的一套生态体系，涉及众多的安全技术，实施过程需要涉及大量的调研、问等工作，还会涉及到众多的安全厂家之间的协调、产品的选型，安全系统建成后如何维持那个生态体系的平衡，是一具复杂的系统工程，普通建议分期投资建设，从技术到治理，逐步实现组织的战略目标。

整体设计思路是将需要爱护的核心业务主机包及数据库围起来，与其他网络区域举行逻辑隔离，封闭一切别应该暴漏的端口、IP，在别妨碍现有业务的事情下形成数据孤岛，设置固定的数据拜访入口，对入口举行严格的拜访操纵及审计。由之前的被动安全变为主动防备，操纵安全事故的发生，对接入系统的人员举行有效的认证、授权、审计，让敏感操作变得更加透明，有效防止安全事件的发生。

3

在拜访入口部署防火墙、账号生命周期治理系统、数据加密系统、令牌认证系统、审计系统等安全设施，对所有外界向核心区域主机发起的拜访举行操纵、

授权、审计，对流出核心区域的批量敏感数据举行加密处理，所有加密的数据将被有效的包围在安全域之内，并跟踪数据产生、扭转、销毁的整个生命周期，杜

绝敏感数据外泄及滥用行为。

为了保证XXX用户的业务延续性，各安全子系统都采纳旁路的方式部署到

网络当中，其中账号生命周期治理系统、审计系统、数据库都采纳双机的模式，

以提供自身的高可靠性；加密系统、特权账号生命周期治理系统、令牌认证系统都建议部署在VMware云计算平台上，利用VMware强大的服务器虚拟化能力为防泄密系统提供良好的可靠性与可扩展性保证。

1.3总体方案

信息安全系统整体部署架构图

4

1、在核心交换机上部署防护墙模块或独立防火墙，把重要的主机、数据库

与其他子网举行逻辑隔离，划分安全区域，对别必要的端口举行封闭，隔离终端IP对数据中心可达。

2、在终端汇聚的交换机上旁路部署IP准入操纵系统，实现非法外联、IP实名制，对接入内网的终端举行有效的操纵。

3、部署主机账号治理系统，限制所有终端对主机的拜访只能经过治理系统

发起，并对Telnet、SSH、RDP等拜访过程举行操纵、审计，防止终端将数据从

主机上私自复制到本地硬盘，防止误操作。

4、部署数据账号治理系统，对数据库拜访工具（PL-SQL）、FTP工具等常用维护工具举行统一的公布，对前台数据库拜访操作举行审计记录，把数据包围在服务器端。对下载数据行为举行严格操纵，并对提取的数据举行加密处理。

5、部署加密系统（DLP），对所有流出数据中心的数据举行自动加密处理，并对数据的产生、扭转、编辑、销毁举行生命周期治理。

6、部署数据库审计系统，对数据库拜访行为举行审计，监控敏感数据拜访

事情，监控数据库操作行为，记录数据库后台变化事情，事后回查。

7、在生产库与测试库之间部署数据脱敏系统，对从在线库抽取的数据举行

自动脱敏，再导入测试库，幸免数据泄露。对后台拜访在线库的人群举行权限治理，对拜访的敏感字段举行自动遮罩。

8、部署应用内嵌账号治理系统，对应用系统内嵌的特权账号举行有效的托

管，实现账号的定期修改、密码强度、密码加密等安全策略。

9、部署令牌认证系统，对登入数据中心区的用户使用双因素认证，确认访

咨询数据中心者的身份，杜绝账号共用现象。

10、部署云计算平台，为防泄密系统提供良好的运行环境。云计算平台提高了系统的可靠性、可扩展性，减少宕机时刻，落低维护成本。

11、所有系统都采纳活动名目认证，并加以动态令牌做为双因素认证，实现

对用户身份的准确鉴不。

1.3.1IP准入操纵系统

如今国内外，有非常多厂商推出自个儿的准入操纵系统解决方案，目的算是为了在终端接入网络前对其举行安全检查，只允许合法的用户接入到网络当中，幸免随意接入网络给系统带来风险。主流的解决方案有两种方式，旁路部署方式基本上基于802.1X的，需要跟交换机做联动；串接的部署方式别需要与交换机联动，

但会给网络的经过性与性能带来挑战，采纳的用户别多。这些解决方案，在复杂的中国环境部署成功的并别多，要么网络条件很好，交换机都支持802.1X，要么网络很扁平化，终端都能够收敛到同一具出口。

IP地址治理困难：接入Intranet的计算机设备都需要一具合法的IP地址，IP地址的分配和治理是一件令网络治理人员头疼的情况，IP地址、MAC地址、计算机名冒用、滥用现象广泛存在，而治理人员缺乏有效的监控手段。局域网上若有两台主机IP地址相同，则两台主机相互报警，造成应用混乱。所以，IP地址盗用与冲突成了网管员最头疼的咨询题。当几百台、甚至上千台主机并且上网，怎么操纵IP地址盗用与冲突更是当务之急。

在实际中，网络治理员为入网用户分配和提供的IP地址，惟独经过客户举行正确地注册后才有效。这为终端用户直截了当接触IP地址提供了一条途径。由于

终端用户的介入，入网用户有也许自由修改IP地址。改动后的IP地址在联网运行时可导致三种结果：

非法的IP地址，自行修改的IP地址别在规划的网段内，网络呼叫中断。

重复的IP地址，与差不多分配且正在联网运行的合法的IP地址发生资源

冲突，无法链接。

非法占用已分配的资源，盗用其它注册用户的合法IP地址（且注册该IP

地址的机器未通电运行）联网通讯。

IPScan能非常好的操纵非法的IP接入，并对内网已有的联网IP经过切断联网实现迅速快捷的操纵，以非常方便的方式实现内网安全威胁的最小化。IPScan经过对IP/MAC的绑定，对每个IP地址都能够举行实时的监控，一旦发觉非法的IP地址和某个IP地址举行非法操作的时候，都能够及时对这些IP地址举行操作，，有效的防止IP冲突。产品是基于二层（数据链路层）的设计理念，能够有效地操纵ARP广播病毒，经过探测ARP广播包，能够自动阻挠中毒主机大量发送

ARP广播，从而保证了内网的安全。

经过实现IP地址的绑定，从而变相的实现了网络实名制，在接入网络的终

端都被授予唯一的IP地址，在网络中产生的所有日志将会变得很故意义，它

能够关联到是哪一具终端哪一具用户，能让安全日志产生定责的作用。

1.3.2防泄密技术的挑选

国外有良好的法律环境，内部故意泄密相对极少，对内部人员确以为可信，

数据泄露要紧来自外部入侵和内部无意间的泄密。所以，国外DLP（数据防泄漏）解决方案要紧用来防止外部入侵和内部无意间泄密，能够解决部分咨询题，但无法防止内部主动泄密，只能更多地依靠治理手段。

而国内环境，法律威慑力小，追踪难度大，泄密者比较容易逃脱法律制裁，犯

罪成本比较小；并且，国内各种治理制度别完善，内部人员无意间泄密的概率也

比较大。国内DLP以加密权限为核心，从主动预防的立脚点来防止数据泄露，对

数据举行加密，从源额头举行操纵。即使内部数据流失到外部，也因为已被加

密而无法使用，从而保证了数据的安全。因此国内DLP既能防止内部泄密（包括

内部故意泄密和无意泄密），并且也能防止外部入侵窃密。

1.3.3主机账号生命周期治理系统

XXX用户局越来越多的业务外包给系统提供商或者其他专业代维公司，这些

业务系统涉及了大量的公民敏感信息。怎么有效地监控第三方厂商和运维人员的操作行为，并举行严格的审计是用户如今面临的一具挑战。严格的规章制度只能约束一部分人的行为，惟独经过严格的权限操纵和操作审计才干确保安全治理

制度的有效执行，在发生安全事件后，才干有效的还原事故现场，准确的定位到责任人。

主机账号生命周期治理系统能帮助用户建立集中的和统一的主机运维治理

平台，实现自动化的监控审计，对所有维护人员和支持人员的操作行为（Telnet、

SSH、RDP、FTP、SFTP、VNC、KVM等协议）举行监控和跟踪审计，（实现

对所有登录系统的人员的所有操作举行全面行为过程审计，达到对所拜访主机的操作行为举行采集，以便实时监控和事后回放分析、重现和检索，以最大限度地减少运行事故、落低运行风险、举行责任追溯，别可抵赖。并且提供直观的咨询题报告

工具），防止敏感数据从物理层被窃取。

按照规定，一段时刻内必须修改一次主机及数据库的密码，以符合安全性要

求，往往这些密码太多，修改一次也费时费劲，还经常浮现root密码修改后不记得的

事情。非常多时候，维护人员为了方便经历密码，将密码记录在一具文件里，

以明文方式保存在电脑上，即使文件加了个简单的密码，一旦这些数据泄漏，后果别堪设想。如今可采纳主机账号生命周期治理系统举行密码托管，能够设定定期自动修改主机密码，别用人工干预了。既提高了信息安全工作的效率，又落低了治理成本，还落低了安全风险。

1.3.4数据库账号生命周期治理系统

目前，XXX用户的支持人员及第三方维护人员基本上采纳PL/SQL等工具对

在线库或离线库举行直截了当操作，有的是经过业务系统的某些模块直截了当操作数据库，

导致敏感数据能够直截了当被编辑、删除，无法对其举行集中操纵。针对这种情

况，目前较有效的解决方案是经过数据库账号生命周期治理系统来实现。经过账号生命周期治理系统的虚拟化技术，将有高风险的操作工具公布出来（如

PL/SQL、业务系统的主界面、C/S架构系统的客户端等），客户端零安装，用户

对程序远程调用，幸免真实数据的传输和漏泄，能实现幸免数据的泄露、对重要操作举行全程跟踪审计、对重要命令举行预警。

系统禁止所有操作终端与服务器之间的数据复制操作，但操作人员经常需要复制一段代码或足本到PL/SQL里面举行查询操作，假如是用手敲，势必会妨碍工作

效率。这个地方就要求数据库账号生命周期治理系统具备单向数据流的操纵，只

允许从终端复制数据到系统，禁止从系统上复制数据到本地磁盘，如此既保留了用户的使用适应，又达到了安全的目的。

假如支持人员要把数据保存到本地终端上举行二次处理，需要将文件导出到指定的存储路径上，文件产生后会被自动加密处理，支持人员能够在指定的路径下载加密的文件到本地磁盘，并举行后期的二次处理，并且在存储上保留有文件副本备查。

假如支持人员需要把修改好的数据上传应用系统中或主机中，需要将文件导入到指定的存储路径上，文件上传后会被自动解密处理，即可被应用系统或主机正常识不。

1.3.5双因素认证系统

目前，系统中的主机账号共用事情比较普遍，一具账号多个人使用，这就造成了事后难以定责的尴尬局面，而且静态的口令也容易被猎取。为了杜绝这种现象，可采纳双因素认证系统加强身份认证的治理。

传统的方式是在每台需要爱护的主机、数据库上启用Agent，假如主机数量非常多的话，配置工作量非常大，维护起来非常繁琐。我们推举给XXX用户局的解决方案是将令牌认证系统与主机账号生命周期治理系统结合做双因素认证，大大减少了配置工作量的并且，还满脚了系统安全性要求。

另外，关于所有重要的业务系统、安全系统，都应该采纳双因素认证，以避

免账号共用事情，发生安全事件后，能准确的定责。

1.3.6数据库审计系统

审计系统在整个系统中起到一具非常好的补充作用。数据库账号生命周期治理系统尽管会记录所有操作数据库的行为，但他不过记录前台的操作过程，但关于发生安全事件后快速定位、还原整个事件过程依然有点欠缺。专业数据库审计系统会对数据库操作举行审计，记录数据库的日常操作行为，记录敏感数据的拜访、修改行为，会精确了每一具字符。在安全事件发生后，能够精确的使用操作命令来检索需要审计的信息，甚至能够组合几条信息来精确定位，提高了审计的效率。它能够对数据库发生的所有变化举行回放，让用户懂重要操作后数据库返回了

啥样的结果、发生了啥变化，能够非常好的帮助用户恢复整个事件的原始轨迹，有助于还原参数及取证。并可能够深入到应用层协议（如操作命令、数据库对象、业务操作过程）实现细料度的安全审计，并依照事先设置的安全策略采取诸如产生告警记录、发送告警邮件（或短信）、提升风险等级。

1.3.7数据脱敏系统

在我们的用户系统里面，存在着大量的敏感信息：公民数据、业务数据等，业务系统软件开辟的最终时期，是需要尽可能真实的数据来作为基础测试软件的一系列功能。尤其是用户系统如此的大型系统实施或开辟的时候，关于基础数据的要求非常严格，非常多时候基本上直截了当克隆生产环境