数据中心的综合安全计划

数据中心整体安全处理方案

目录

1.概述................................................................

1.1.方案目的.......................................................

1.2.参照根据........................................................

2.数据中心面临的安全挑战.............................................

2.1.网络边界接入风险................................................

2.2.面向应用层的袭击................................................

2.3.虚拟化安全风险.................................................

2.4.APT袭击风险...................................................

2.5.数据泄露风险....................................................

2.6.安全运维的挑战.................................................

3.方案思绪............................................................

3.1.总体思绪........................................................

3.2.设评原则........................................................

4.方案设计............................................................

4.1.安全域划分......................................................

4.1.1.边界接入区................................................

4.1.2.网络基础设施区............................................

5.6.德眼Web留能监控系统..........................................

5.7.天眼态势感知及安全运行平台.....................................

5.8.运维审计系统（堡垒机）.........................................

5.9.数据库审计系统.................................................

5.10.网站云监测.....................................................

5.11.企业安全服务...................................................

6.方案价值..............................................................

图索引

图4-1数据中心整体安全设计................................................

图4-2互联网接入区安全设计................................................

图4-3外联接入区安全设计..................................................

图4-4内部接入区安全设计..................................................

图4-5关键汇聚区安全设计..................................................

图4-C股服务区女全设计...................................................

图4-7重要服务区安全设计..................................................

图4-8关键数据区安全设计..................................................

图4-9运维管理区安全设计..................................................

1.概述

伴随企业信息化的成熟发展和新技术的广泛引用，政府机构、金融、教育、IT、能

源等等各个行业的企业都因需求不停扩大而正在规划和建设各自II勺数据中心。首先伴随

信息爆炸，出于管理集约化、精细化的必然规定，进行数据集中已经成为国内电子政务、

企业信息化建设的发展趋玲。另首先数据中心不再是简朴的基础通信网络，更是集通信

服务、IT服务、管理应用和专业信息亿服务于•体的综合性信息服务中心。

伴随云计算和大数据时高速发展，技术进步推进了生活、生产方式叫变化，网络数

据中心的定义也发生了变化，老式的数据中心将形成提供多种数据业务的新一代IDC数

据中心。数据中心作为数据处理、存储和互换的中心，是网络中数据互换最频繁、资源

最密集的地方，更是存储数据H勺安全局，它要保证所有数据的安全和完备。相比过去的

老式数据中心，云时代的数据中心面临着更巨大的挑战，如新业务模式带来的数据保护

风险、虚拟化等新技术引入的新型风险、袭击者不停演进的新型袭击手法等。因此，刻

于教据中心的安全建设，要考虑多方面原因，任何防护上的疏漏必将会导致不可估计的

损失，因此构筑•道安全的防御体系将是这座数字城堡首先面对的问题。

1.1.方案目的J

本方案着眼于数据中心面临H勺老式风险和新型风险，从全局考虑，为数据中心整体

安全规划和建设提供具有实际意义H勺安全提议。

1.2.参照根据

♦中办[2023]27号文献《国家信息化领导小组有关加强信息安全保障工作的意见》

♦公通字［2023J66号《信息安全等级保护工作的实行意见》

♦公通字43号《信息安全等级保护管理措施》

♦GB/T20269-2023《信息安全技术信息系统安全等级保护管理规定》

♦GB/T20271-2023《信息安全技术信息系统通用安全技术规定》

♦GB/T22239-2023《信息安全技术信息系统安全等级保护基本规定》

♦GB/T22240-2023《信息安全技术信息系统安全等级保护定级指南》

♦《信息安全技术信息系统安全等级保护实行指南》

♦《信息安全技术信息系统安全等级保护第二分册云计算安全规定》

♦<18013335信息系统管理指南》

♦IATF信息保障技术框架

2.数据中心面临的安全挑战

伴随Internet应用口益深化，数据中心运行环境正从老式客户机/服务器向网络连接

II勺中央服务器转型，受其影响，基础设施框架下多层应用程序与硬件、网络、操作系统

的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不珑定原因，某些

未实行对的安全方略的数据中心，黑客和端虫将顺拾而入。尽管大多数系统管理员已经

认识到来自网络的恶意行为对数据中心导致的严重损害，并且许多数据中心已经布署了

依托访问控制防御来获得安全性H勺设备，但对于日趋成熟和危险的各类袭击F•段，这些

老式的防御措施仍然显现啊力不从心。

如下是目前数据中心面对的某些重要安全挑战。：

2.1.网络边界接入风险

网络边界接入风险重要包括路由破坏、未授权访问、信息窃听、拒绝服务袭击、针

对路由器和互换机等边界网络设备口勺袭击，以及病毒、端虫的传播等。

在互联网上尤其是拒绝服务袭击目前呈多发趋势，并且中国是袭击发生的重灾区，

在世界范围内仅次于美国排名第二。海量小JSYNFlood、ACKFlooding.UDPFlood.

ICMPFloods(M)StreamFlood等袭击产生的大量垃圾数据包，首先大量占用网络带

宽，另首先会导致边界路由器和关键互换机等网络设备的有效数据转发能力下降，甚至

会出现关键路由器和互换机因负荷过载而导致转发延迟增大和数据包丢包率上升等问

题。同步，针对服务器区域口勺GetFlood.UDPDNSQueryFlood,CC等袭击会

导致业务服务器和关键设备的服务质量下降甚至业务中断。

22面向应用层的I袭击

应用层的袭击之因此存在，一般是由于程序员是在严格的期限压力下公布的代码，

他们并没有足够的时间来发现并处理将会导致安全漏洞的错误。此外，许多程序员未考

虑到使用某些特定语言构造将会导致应用程序暴露在隐式袭击下。最终，许多应用程序

有着复杂的配置，缺乏经验的顾客也许会在布署应用程序时启用了危险改选项，从而导

致应用程序的安全性减少。应用层袭击的类型可以分为如下3种：

运用编程错误一一应用程序啊开发是一种复杂时过程，它不可防止地会产生编程错

误。在某些状况下，这些错误也许会导致严重的漏洞，使得袭击者可以通过网络远程运

用这些漏洞。这样的例子有：缓冲区溢出漏洞，它来自对不安全的C库函数的使用；以

Web为中心的漏洞，如将未经清理H勺查询传递给后端数据库的Web服务器（这将导致

SQL注入袭击），以及将直接来自客户端未通过滤的内容写入页面的站，点（这将导致跨

站脚本或XSS袭击）。

运用信任关系一一有些袭击运用的是信任关系而不是应用程序的错误。对与应用程

序自身交互而言，此类袭击看上去是完全合法H勺，但它们的目的是信任这些应用程序的

顾客。钓鱼式袭击就是一种这样的例『，它的目的并不是Web应用程序或邮件服务器，

而是访问钓鱼网站或电子邮件信息口勺顾客。

耗尽资源一一像网络层或传播层的DoS袭击同样，应用程序有时候也会遭受到大

量数据输入的袭击。此类袭击将使得应用程序不可使用。

2.3,虚拟化安全风险

伴随云计算H勺迅速发展，老式的数据中心也在向''云”迈近，首先的一步便是虚拟

化技术的应用。虚拟化技术是生成一种和真实系统行为同样的虚拟机器，虚拟机像真实

操作系统同样，同样存在软件漏洞与系统漏洞，也会遭到病毒木马的侵害。并且宿主机

H勺安全问题同样需要得到重视。一直以来无论虚拟化厂商或安全厂商都将安全的关注点

放在虚拟机系统和应用层面，直到“库液”安全漏洞的出现，才将人们『、J目光转移到

宿主机，由于宿主机系统自身也都是基于Windows或Linux系统进行底层重建，因此

宿主机不可防止的会面对此类漏洞和风险问题，一旦宿主机的安全防护被忽视，黑客可

以直接攻破虚拟机，从而导致虚拟机逃逸。因此，宿主机I向安全问题是虚拟化安全的根

基。

此外虚拟化技术带来了弹性扩展这一优秀特性，是通过虚拟机漂移技术来实现，当

宿主机资源消耗过高或者出现故障时，为了保证虚拟机上的业务稳定，虚拟机会漂移到

其他的宿主机上。企业的J数据中心在虚拟化后，一旦发生虚拟机漂移，原有安全管理员

配置好的安全域将被完全打破，甚至会出现部分物理服务器和虚拟机服务器处在同•种

安全域这样的状况，而依托老式防火墙和VLAN的方式将没有措施维持本来的安全域稳

定，使得安全域混乱，安全管理出现风险

因此基于虚拟化环境自身的特性，数据中心需要充足考虑虚拟化的引入为企业带来

H勺对应的风险，根据各个风险点带来的问题及威胁建设针对性的防护方案，以保障企业

数据的安全及业务系统的平稳运行。

2.4.APT袭击风险

老式的防病毒软件可以一定程度的处理已知病毒、木马的威胁，但对于越来越多的

APT袭击却束手无策。APT诸多袭击行为都会运用Oday漏洞进行网络渗透和袭击，且

具有持续性及隐蔽性。此种持续体目前袭击者不停尝试多种袭击手段，以及在渗透到网

络内部后长期蛰伏，不停搜集多种信息，直到搜集到重要情报。愈加危险的是，这些新

型的袭击和威胁重要针对大型企业、国家重要的基础设施或者具有关键利益的网络基础

设施。由于APT特种木马H勺免疫行为।因此老式的防病毒软件以及安全控管措施和理

念很难有效应对APT袭击。

25数据泄露风险

数据泄漏是数据中心最为广泛的担忧之-O尤其是对公众提供服务的数据中心，波

及大量顾客敏感信息等关键数据库的存储，并开放多方接口供不一样平台、机构调用，

诸多威胁场景都也许会导致敏感数据的丢失和泄漏。近年来多种机构被“拖库”事件频

繁发生，数据中心关键数据的高密度聚合对潜在口勺袭击者具有极大的诱惑力，数据安全

面临巨大的挑战。

26安全运维的挑战

伴随技术和应用的演进，让今天的IT环境和过去相比，已经发生了巨大的变迁，而

对应的安全运维管理重点，也从过去的“设备监控、告警程序”，转变为对企业业务发

展的关注和支撑。老式的“安全运维”存在着诸多的问题需要处理。

■多种安全设备，不一样F句报警，怎样整合？

在大中型企业H勺网络系统中，为了呆证系统口勺稳健运行，一股会采用多种安全技术

手段和安全产品，例如防火墙系统、入侵检测系统、防病毒系统等，都是安全基础设施。

在实际的运维过程中，这些不一样种类、不一样厂家的安全产品会给技术人员带来不小

的麻烦••各个安全系统相对孤立，报警信息互不关联，方略和配置难于协调。当••种报

警事件产生时，不懂得该怎样处理。

■海量的事件、海量的日志，怎样分析存储？

对于数据中心H勺规模来说，各类网络设备、安全设备、服务器都会产生海量的日志。

从海量数据中对FI志进行迅速分析，这规定当地具有海量的数据存储能力、检索能力和

多维度关联能力，而老式的数据存储和检索技术很难到达这样H勺规定。例如：在一-种中

型规模的企业中记录整年口勺网络出口流量，大概有2023亿条日志，需要约300多TB

H勺存储空间，假如使用老式H勺检索技术进行一次条件检索，大概需要几种小时的时间。

这种效率明显不能满足袭击行为分析的需求。

■怎样体现安全运维的价值？

安全运维是很枯燥的工作，运维人员成天面对滚动的监控屏幕，多种碎片化的告警，

复杂的报表，责任重大，压力巨大，但工作成果却很难体现。究其原因还是缺乏自动化、

构迨化、可视化H勺管理工具，导致安全运维效率低下，难以迅速感知整体的安全态势。

3.方案思绪

3.1.总体思绪

基于数据中心的业务需求，以及数据中心面临n勺安全问题，很难通过一次安全建设

将数据中心面临的所有风险处理；同步，安全风险也是动态发展变化的，因此我们的处

理方案也需要伴随数据中心的安全需求变化不停完善和发展。从云提供商的角度来看，

老式模式下的网络安全需求并没有什么变化，无论从信息安全H勺保密性、完整性、可用

性，还是根据网络层次划分H勺从物理层到应用层安全，仍然是需要处理的问题。

在云计算时代数据中心信息安全架构时，不能像老式IDC系统集成或者安全集成那

样，头痛医头，脚痛医脚，而应当充足结合虚拟化的特点来系统地进行规划，考虑数据

中心外围物理实体以及虚拟化平台环境的各类安全需求和特性，从而到达各类安全产品、

安全管理、整体安全方略的统一，发挥最大的效率。在设计数据中心安全提议方案时，

充足运用既有国内和国际安全原则和成熟的安全体系，结合系统的实际需求，运用在安

全领域的成熟经验，设计出一种有针对性的安全设计方案。处理思绪如下：

1）对数据中心进行安全域划分，根据各区域口勺业务特性、技术特性以及安全需求

进行对应的安全防护设计：

2）要充足考虑网络层、操作系统层、虚拟化层、应用层以及数据层向安全防护需

求，尤其是虚拟化等新技术带来口勺问题。

3）强调安全运行的价值，实现预警、检测、响应、溯源的闭环流程;

32设计原则

■业务保障原则：安全体系的设计目H勺是可以更好的保障网络上承载的业务。在

保证安全的同步，还要保障业务H勺正常运行和运行效率。

■构造简化原则：安全架构规划的直接EIH勺和效果是要将整个网络变得愈加简朴,

简朴的网络构造便于设计防护体系。例如，安全域划分并不是粒度越细越好，

安全域数量过多过杂也许导致安全域的管理过于复杂和困难。

■立体协防原则：应防止形成各个安全产品独立割裂的安全体系，充足运用威胁

情报和大数据等新技术，实现网络、终端、边界的立体协防机制。

■等级保护原则：根据业务系统的重要程度以及考虑风险威胁、安全需求、安全

成本等原因，将其划为不一样H勺安全保护等级并采用对应的安全保护技术、管

理措施。

■可扩展性原则：当有新的业务系统需要接入数据中心时，可按照等级保护、对

端可信度等原则将其分别划分至不•样安全等级域的各个广域。

■可管理性原则：应当采用集中化、自动化、智能化啊安全管理手段，减轻安全

的承担，同步减小山于管理上H勺疏漏而对系统安全导致的威胁。

4,方案设计

4.1.安全域划分

安全域划分的目的是从信息安全的角度来对企业信息系统进行拆分。以业务系统为

关键，从业务特性、技术特性方面分析各业务系统的安全需求和防护等级，进行合适的

安全防护体系设计。

4.1.1.边界接入区

■互联网接入区

承载组织与互联网的连接，组织向公共顾客提供对外业务服务口勺通道。

■外联接入区

承载组织与外部第三方机构H勺信息互换，如电子政务专网、监管机构、合作机构等。

■内部接入区

承载组织内部的分支机构、灾备中心之间H勺信息互换，以及组织内人员从外部接入

的道道。

4.1.2.网络基础设施区

■关键汇聚区

数据中心的网络汇聚中心，各个区域之间的数据流传都会通过关犍汇聚区。•股在

此区域进行网络流量的安全监控。

■区域接入区

重要是各个安全区内部接入口勺路由互换设备，一般在此区域布署网络接入控制等措

施。

4.1.3.业务接入区

■一般服务区

用于寄存防护级别较低，需宜接对外提供服务的信息资产，如Web应用、业务前

置机、办公服务器等，一般服务区与外界有直接连接，同步不可以访问关键数据区（防

止被作为袭击关键数据区的跳板）。

■重要服务区

用于寄存级别较高，不需要直接对外提供服务时信息资产，如生产应用服务器等，

重要服务区一般通过一般服务区与外界连接，并可以直接访问关键数据区。

■关键数据区

用于寄存级别非常高的信息资产，如关健数据库等，外部对关健区的访问需要通过

重要服务区跳转。

4.1.4.运维管理区

运维管理区一般承载网络管理、安全管理和业务运维等应用，运维人员通过本区域

H勺管理平台对网络设备、服务罂、安全产品进行管理。如各类设备的日志存储、安全管

理平台、各类监控系统等。

42整体设计

根据上述的安全域划分架构，对数据中心进行整体安全设计，如下图所示:

「-.，，_____________________，'-MKMRBW」，_____WWHW____1tteWMWI-\mHWtt.

rams(w,b.APP.SSL)■襄IMS区(mm)»MHKH

图4-1数据中心整体安全设计

4.3.各安全域安全架构设计

4.3.1.互联网接入区

互联网接入区重要面临来自互联网的安全威胁，对于互联网接入区的安全设计重要

从如下两方面考虑：

I.防备DDoS袭击（分布式拒绝服务袭击）。DDOS袭击分为带宽消耗型袭击（大

流量袭击）和主机资源消耗型袭击，带宽消耗型袭击会对数据出口导致流量压

力，极大挥霍宝贵的带宽资源，严重增长关键设备的工作负荷，导致关键业务

H勺中断或网络服务质量的大福减少。主机资源消耗型袭击使服务器处理大量并

发袭击祈求，严重影响服务器内存、数据库、CPU的处理性能。DDoS袭击会

导致门户网站、网络设备、虚拟服务器等性能均急剧下降，也许导致无法正常

处理顾客的正常访问祈求，导致客户访问失败。

2.未知威胁检测与响应.互联网边界是威胁的重耍入口之一，同步也是数据泄露

的重要出口之一。尤其是目前APT袭击盛行，各类未知威胁对关键数据安全导

致巨大的危害。网关层面应当具有对未知威胁的检测能力，并能实现联动响应

机制，拦截掉威胁进出的途径。

本区域安全设计如下图所示:

图4-2互联网接入区安全设计

■在互联网边界布署抗DDoS系统，对来自外部的DDoS袭击进行实时的阻断。

■布署360网神下一代智慧防火墙，实现高性能H勺应用层安全防护，以及与安全

运行平台进行联动，实现网关处的未知威胁处理。

4.3.2.外联接入区

外联接入区重要面临的威胁来自于外联机构，一般外联机构使用专线或者VPN连

接到数据中心，访问特定的业务系统。对于外联接入区的安全设计重要从访问控制方面

重点考虑。

本区域安全设计如下图所示：

图4-3外联接入区安全设计

■布署360网神下一代智慧防火墙，实现端口级的访问控制，并启动应用层防护

功能，对来自外部机构的恶意代码、高级威胁等进行检测和拦截。

4.3.3.内部接入区

内部接入区重要面临H勺威胁来自于远程接入带来的风险，如传播过程的信道监听、

员工远程接入后的权限滥用等。内部接入区的安全设计市要考虑远程安全接入中的访问

控制、权限管理、传播加密等方面。

本区域安全设计如下图所示：

内部接入区

图4-4内部接入区安全设计

■布署VPN接入网关，实现对分支机构接入的访问控制、权限管理，并且采用链

路加密技术保证敏感信息的传播安全。

■布署360网神下一代智慧防火墙，支持对穿过防火墙时SSL协议进行解密，并

对解密后的数据提供防护过滤，如袭击防护、入侵检测、病毒防护、内容过滤

等。

4.3.4.关键汇聚区

关键汇聚区的安全设计重要考虑从全网流量中对各类威胁进行识别检测，及时发现

袭击行为并向安全运行中心进行告警。

本区域安全设计如下图所示:

图4-5关键汇聚区安全设计

■在关键互换机上旁路布署360天眼网络威胁传感器。通过流量镜像接受全网的

通信数据流，对各类网络行为进行还原，从中识别各类已知威胁生成告警；还

可以通过与360威胁情报中心下发到当地H勺威胁情报进行比对，识别未知威胁;

同步全量网络数据存储在当地大数据分析平台，可以对威胁进行溯源。

■布署360天眼文献威胁鉴定器。网络威胁传感器识别到网络流量中。勺文献传播

行为后，会将文献还原并发送至文献威胁鉴定器，进行深度分析。文献威胁鉴

定器会对PE文献、脚本文献等进行模拟运行，通过文献运行过程中执行的操

作行为深入识别潜在的威胁。

4.3.5.一般服务区

一般服务区一般承载了对外的Web类应用，重要面临的威胁有如下两方面：

I.应用安全风险，重要由于应用软件的漏洞导致。任何一种软件或多或少存在一

定脆弱性，安全漏洞可视作已知系统脆弱性。这种安全漏洞可分为两种：一种

是由于操作系统自身设计缺陷带来的漏洞，它将被运行在这个系统上的应用程

序所继承，另一种是应用软件程序安全漏洞，很常见，更要引起广泛关注。

2.主机安全风险。包括两方面：一是物理机与虚拟机操作系统的恶意代码防备。

二是由于服务器虚拟化技术带来口勺新型风险，如东西向流量的访问控制、虚拟

机逃逸漏洞、虚拟机漂移导致安全方略失效等。

本区域安全设计如下图所示：

虚拟化服务器群i一物理服务器群

一般服务区（Web.APP、SSL）

图4-6一般服务区安全设计

■在一般服务区边界布署Web应用防火墙，用于对应用层H勺袭击行为进行实时防

护。

■在一般服务区的接入互换机旁路布署Web漏洞智能监测系统，首先可以从进出

站流量中识别出应用系统存在H勺漏洞和针对Web应用的袭击行为：另首先可以

对站点中存在的暗链、后门的访问行为进行识别，发现潜在的安全风险。

■在物理机和虚拟机操作系统上布署天擎虚拟化安全客户端，重要功能包括恶意

代码防护、主机防火墙、主机入侵防御，并可以对虚拟机与物理机操作系统进

行统一管理。客户端与布署在运维管理区的虚拟化安全控制中心进行通信，进

行病毒库更新、安全方略更新、日志告警上传等。

■在服务器虚拟化管理层布署宿主机防护代理客户端，用于防备运用虚拟机逃逸

漏洞对宿主机进行穿透袭击的行为，保证宿主机上所有虚拟机II勺安全运行。

4.3.6.重要服务区

重要服务区重要面临的威胁来自于主机操作系统层，包括两方面：一是物理机与虚

拟机操作系统的恶意代码防备。二是由于服务器虚拟化技术带来的新型风险，如东西向

流量的访问控制、虚拟机逃逸漏洞、虚拟机漂移导致安全方略失效等。

本区域安全设计如下图所示:

重要服务区（业务应用）

图4-7聿要服务区安全设计

■在物理机和虚拟机操作系统上布署天擎虚拟化安全客户端，重要功能包括恶意

代码防护、主机防火墙、主机入侵防御，并可以对虚拟机与物理机操作系统进

行统一管理。客户端与布署在运维管理区的虚拟化安全控制中心进行通信，进

行病毒库更新、安全方略更新、日志告警上传等。

■在服务器虚拟化管理层布署宿主机防护代理客户端，用于防备运用虚拟机逃逸

漏洞对宿主机进行穿透袭击口勺行为，保证宿主机上所有虚拟机的安全运行。

4.3.7.关键数据区

关键数据区重要面临的威胁来自了对数据安全面，如敏感数据泄露、对数据库的越

权访问、数据库配置缺陷等。

本区域安全设计如下图所示:

一,,一■―--，・一・.、

图4-8关键数据区安全设计

■在关键数据区旁路布署数据库审计系统，监视并记录对数据库服务器H勺各类操

作行为，并可以支持操作回放。还可以通过建立行为模型来发现违规II勺数据库

访问行为，并可以进行溯源，定位到负责人。

4.3.8.运维管理区

安全运维是整个安全体系的重中之重，过去安全运维的价值难以得到体现，重要有

如下原因：如安全管理割裂、学习成本高、对运维人员水平规定较高、安全管理成果缺

乏可视化展现手段等。本方案要做到I内不仅仅是实现安全防护目的，同步要尽量的提高

安全运维的效率和体验，减少人为错误带来的风险。通过集中化、自动化、智能化的管

理工具，实现覆盖威胁检测、响应、溯源，形成安全运行闭环。

本区域安全设计如下图所示:

图4-9运维管理区安全设计

■布署态势感知及安全运行平台。基于360威胁情报和当地大数据技术U勺对顾客

当地的安全数据进行迅速、自动化H勺关联分析，及时发现当地的威胁和异常，

同步通过图形化、可视化的技术将这些