數(shù)據(jù)中心整體安全解決方案數(shù)據(jù)中心整體安全解決方案數(shù)據(jù)中心整體安全解決方案目錄TOC\o"1-5"\h\z\o"CurrentDocument". 概述 1\o"CurrentDocument"方案目標 1\o"CurrentDocument"參考依據(jù) 1\o"CurrentDocument".數(shù)據(jù)中心面臨的安全挑戰(zhàn) 3網(wǎng)絡邊界接入風險 3\o"CurrentDocument"面向應用層的攻擊 3\o"CurrentDocument"虛擬化安全風險 4\o"CurrentDocument"APT攻擊風險 5\o"CurrentDocument"數(shù)據(jù)泄露風險 5\o"CurrentDocument"安全運維的挑戰(zhàn) 5\o"CurrentDocument". 方案思路 7\o"CurrentDocument"總體思路 7\o"CurrentDocument"設計原則 7\o"CurrentDocument".方案設計 9\o"CurrentDocument"安全域劃分 9\o"CurrentDocument"邊界接入?yún)^(qū) 9\o"CurrentDocument"網(wǎng)絡基礎設施區(qū) 9\o"CurrentDocument"業(yè)務接入?yún)^(qū) 9\o"CurrentDocument"運維管理區(qū) 10\o"CurrentDocument"整體設計 10\o"CurrentDocument"各安全域安全架構(gòu)設計 11\o"CurrentDocument"互聯(lián)網(wǎng)接入?yún)^(qū) 11\o"CurrentDocument"外聯(lián)接入?yún)^(qū) 12\o"CurrentDocument"內(nèi)部接入?yún)^(qū) 13\o"CurrentDocument"核心匯聚區(qū) 14\o"CurrentDocument"一般服務區(qū) 14\o"CurrentDocument"重要服務區(qū) 16\o"CurrentDocument"核心數(shù)據(jù)區(qū) 17\o"CurrentDocument"運維管理區(qū) 17\o"CurrentDocument".方案組成及產(chǎn)品介紹 20數(shù)據(jù)中心整體安全解決方案TOC\o"1-5"\h\z\o"CurrentDocument"方案清單 20下一代智慧防火墻 21\o"CurrentDocument"SSLVPN安全接入網(wǎng)關(guān) 21Web應用防火墻 21虛擬化安全管理系統(tǒng) 21鷹眼Web智能監(jiān)控系統(tǒng) 21天眼態(tài)勢感知及安全運營平臺 21運維審計系統(tǒng)（堡壘機） 21數(shù)據(jù)庫審計系統(tǒng) 21\o"CurrentDocument"網(wǎng)站云監(jiān)測 21企業(yè)安全服務 21\o"CurrentDocument".方案價值 21數(shù)據(jù)中心整體安全解決方案圖索引TOC\o"1-5"\h\z圖4-1數(shù)據(jù)中心整體安全設計 11圖4-2互聯(lián)網(wǎng)接入?yún)^(qū)安全設計 12圖4-3外聯(lián)接入?yún)^(qū)安全設計 13圖4-4內(nèi)部接入?yún)^(qū)安全設計 14圖4-5核心匯聚區(qū)安全設計 14圖4-6 一般服務區(qū)安全設計 15圖4-7重要服務區(qū)安全設計 16圖4-8核心數(shù)據(jù)區(qū)安全設計 17圖4-9運維管理區(qū)安全設計 18數(shù)據(jù)中心整體安全解決方案.概述隨著企業(yè)信息化的成熟發(fā)展和新技術(shù)的廣泛引用，政府機構(gòu)、金融、教育、IT、能源等等各個行業(yè)的企業(yè)都因需求不斷擴大而正在規(guī)劃和建設各自的數(shù)據(jù)中心。一方面隨著信息爆炸，出于管理集約化、精細化的必然要求，進行數(shù)據(jù)集中已經(jīng)成為國內(nèi)電子政務、企業(yè)信息化建設的發(fā)展趨勢。另一方面數(shù)據(jù)中心不再是簡單的基礎通信網(wǎng)絡，更是集通信服務、IT服務、管理應用和專業(yè)信息化服務于一體的綜合性信息服務中心。隨著云計算和大數(shù)據(jù)的高速發(fā)展，技術(shù)進步推動了生活、生產(chǎn)方式的改變，網(wǎng)絡數(shù)據(jù)中心的定義也發(fā)生了改變，傳統(tǒng)的數(shù)據(jù)中心將形成提供各種數(shù)據(jù)業(yè)務的新一代IDC數(shù)據(jù)中心。數(shù)據(jù)中心作為數(shù)據(jù)處理、存儲和交換的中心，是網(wǎng)絡中數(shù)據(jù)交換最頻繁、資源最密集的地方，更是存儲數(shù)據(jù)的安全局，它要保證所有數(shù)據(jù)的安全和完備。相比過去的傳統(tǒng)數(shù)據(jù)中心，云時代的數(shù)據(jù)中心面臨著更巨大的挑戰(zhàn)，如新業(yè)務模式帶來的數(shù)據(jù)保護風險、虛擬化等新技術(shù)引入的新型風險、攻擊者不斷演進的新型攻擊手法等。因此，對于數(shù)據(jù)中心的安全建設，要考慮多方面因素，任何防護上的疏漏必將會導致不可估量的損失，因此構(gòu)筑一道安全的防御體系將是這座數(shù)字城堡首先面對的問題。方案目標本方案著眼于數(shù)據(jù)中心面臨的傳統(tǒng)風險和新型風險，從全局考慮，為數(shù)據(jù)中心整體安全規(guī)劃和建設提供具備實際意義的安全建議。參考依據(jù)中辦[2003]27號文件《國家信息化領導小組關(guān)于加強信息安全保障工作的意見》公通字[2004]66號《信息安全等級保護工作的實施意見》公通字43號《信息安全等級保護管理辦法》GB/T20269-2006《信息安全技術(shù)信息系統(tǒng)安全等級保護管理要求》GB/T20271-2006《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》?2016360企業(yè)安全集團 -1- 密級：內(nèi)部使用數(shù)據(jù)中心整體安全解決方案GB/T22240-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》《信息安全技術(shù)信息系統(tǒng)安全等級保護第二分冊云計算安全要求》《ISO13335信息系統(tǒng)管理指南》IATF信息保障技術(shù)框架密級：內(nèi)部使用?2016360企業(yè)安全集團

密級：內(nèi)部使用數(shù)據(jù)中心整體安全解決方案.數(shù)據(jù)中心面臨的安全挑戰(zhàn)隨著Internet應用日益深化，數(shù)據(jù)中心運行環(huán)境正從傳統(tǒng)客戶機/服務器向網(wǎng)絡連接的中央服務器轉(zhuǎn)型，受其影響，基礎設施框架下多層應用程序與硬件、網(wǎng)絡、操作系統(tǒng)的關(guān)系變得愈加復雜。這種復雜性也為數(shù)據(jù)中心的安全體系引入許多不確定因素，一些未實施正確安全策略的數(shù)據(jù)中心，黑客和蠕蟲將順勢而入。盡管大多數(shù)系統(tǒng)管理員已經(jīng)認識到來自網(wǎng)絡的惡意行為對數(shù)據(jù)中心造成的嚴重損害，而且許多數(shù)據(jù)中心已經(jīng)部署了依靠訪問控制防御來獲得安全性的設備，但對于日趨成熟和危險的各類攻擊手段，這些傳統(tǒng)的防御措施仍然顯現(xiàn)的力不從心。以下是當前數(shù)據(jù)中心面對的一些主要安全挑戰(zhàn)。：2.1.網(wǎng)絡邊界接入風險2.1.網(wǎng)絡邊界接入風險網(wǎng)絡邊界接入風險主要包括路由破壞、未授權(quán)訪問、信息竊聽、拒絕服務攻擊、針對路由器和交換機等邊界網(wǎng)絡設備的攻擊，以及病毒、蠕蟲的傳播等。在互聯(lián)網(wǎng)上尤其是拒絕服務攻擊現(xiàn)在呈多發(fā)趨勢，而且中國是攻擊發(fā)生的重災區(qū)，在世界范圍內(nèi)僅次于美國排名第二。海量的SYNFlood、ACKFlooding.UDPFlood、ICMPFlood、(M)StreamFlood等攻擊產(chǎn)生的大量垃圾數(shù)據(jù)包，一方面大量占用網(wǎng)絡帶寬，另一方面會造成邊界路由器和核心交換機等網(wǎng)絡設備的有效數(shù)據(jù)轉(zhuǎn)發(fā)能力下降，甚至會出現(xiàn)核心路由器和交換機因負荷過載而造成轉(zhuǎn)發(fā)延遲增大和數(shù)據(jù)包丟包率上升等問題。同時，針對服務器區(qū)域的HTTPGetFlood、UDPDNSQueryFlood、CC等攻擊會造成業(yè)務服務器和關(guān)鍵設備的服務質(zhì)量下降甚至業(yè)務中斷。面向應用層的攻擊應用層的攻擊之所以存在，通常是因為程序員是在嚴格的期限壓力下發(fā)布的代碼，他們并沒有足夠的時間來發(fā)現(xiàn)并解決將會導致安全漏洞的錯誤。此外，許多程序員未考慮到使用某些特定語言結(jié)構(gòu)將會導致應用程序暴露在隱式攻擊下。最后，許多應用程序有著復雜的配置，缺乏經(jīng)驗的用戶可能會在部署應用程序時啟用了危險的選項，從而導致應用程序的安全性降低。應用層攻擊的類型可以分為如下3種：密級：內(nèi)部使用?2016360企業(yè)安全集團密級：內(nèi)部使用數(shù)據(jù)中心整體安全解決方案利用編程錯誤一一應用程序的開發(fā)是一個復雜的過程，它不可避免地會產(chǎn)生編程錯誤。在某些情況下，這些錯誤可能會導致嚴重的漏洞，使得攻擊者可以通過網(wǎng)絡遠程利用這些漏洞。這樣的例子有：緩沖區(qū)溢出漏洞，它來自對不安全的C庫函數(shù)的使用；以Web為中心的漏洞，如將未經(jīng)清理的查詢傳遞給后端數(shù)據(jù)庫的Web服務器（這將導致SQL注入攻擊），以及將直接來自客戶端未經(jīng)過濾的內(nèi)容寫入頁面的站點（這將導致跨站腳本或XSS攻擊）。利用信任關(guān)系一一有些攻擊利用的是信任關(guān)系而不是應用程序的錯誤。對與應用程序本身交互而言，這類攻擊看上去是完全合法的，但它們的目標是信任這些應用程序的用戶。釣魚式攻擊就是一個這樣的例子，它的目標并不是Web應用程序或郵件服務器，而是訪問釣魚網(wǎng)站或電子郵件信息的用戶。耗盡資源一一像網(wǎng)絡層或傳輸層的DoS攻擊一樣，應用程序有時候也會遭受到大量數(shù)據(jù)輸入的攻擊。這類攻擊將使得應用程序不可使用。虛擬化安全風險隨著云計算的迅速發(fā)展，傳統(tǒng)的數(shù)據(jù)中心也在向“云”邁近，首先的一步便是虛擬化技術(shù)的應用。虛擬化技術(shù)是生成一個和真實系統(tǒng)行為一樣的虛擬機器，虛擬機像真實操作系統(tǒng)一樣，同樣存在軟件漏洞與系統(tǒng)漏洞，也會遭到病毒木馬的侵害。而且宿主機的安全問題同樣需要得到重視。一直以來無論虛擬化廠商或安全廠商都將安全的關(guān)注點放在虛擬機系統(tǒng)和應用層面，直到“毒液”安全漏洞的出現(xiàn)，才將人們的目光轉(zhuǎn)移到宿主機，由于宿主機系統(tǒng)本身也都是基于Windows或Linux系統(tǒng)進行底層重建，因此宿主機不可避免的會面對此類漏洞和風險問題，一旦宿主機的安全防護被忽略，黑客可以直接攻破虛擬機，從而造成虛擬機逃逸。所以，宿主機的安全問題是虛擬化安全的根基。另外虛擬化技術(shù)帶來了彈性擴展這一優(yōu)秀特性，是通過虛擬機漂移技術(shù)來實現(xiàn)，當宿主機資源消耗過高或者出現(xiàn)故障時，為了保證虛擬機上的業(yè)務穩(wěn)定，虛擬機會漂移到其他的宿主機上。企業(yè)的數(shù)據(jù)中心在虛擬化后，一旦發(fā)生虛擬機漂移，原有安全管理員配置好的安全域?qū)⒈煌耆蚱?，甚至會出現(xiàn)部分物理服務器和虛擬機服務器處于同一個密級：內(nèi)部使用?2016360企業(yè)安全集團密級：內(nèi)部使用數(shù)據(jù)中心整體安全解決方案安全域這樣的情況，而依靠傳統(tǒng)防火墻和VLAN的方式將沒有辦法維持原來的安全域穩(wěn)定，使得安全域混亂，安全管理出現(xiàn)風險因此基于虛擬化環(huán)境自身的特性，數(shù)據(jù)中心需要充分考慮虛擬化的引入為企業(yè)帶來的相應的風險，根據(jù)各個風險點帶來的問題及威脅建設針對性的防護方案，以保障企業(yè)數(shù)據(jù)的安全及業(yè)務系統(tǒng)的平穩(wěn)運行。APT攻擊風險傳統(tǒng)的防病毒軟件可以一定程度的解決已知病毒、木馬的威脅，但對于越來越多的APT攻擊卻束手無策。APT很多攻擊行為都會利用0day漏洞進行網(wǎng)絡滲透和攻擊，且具有持續(xù)性及隱蔽性。此種持續(xù)體現(xiàn)在攻擊者不斷嘗試各種攻擊手段，以及在滲透到網(wǎng)絡內(nèi)部后長期蟄伏，不斷收集各種信息，直到收集到重要情報。更加危險的是，這些新型的攻擊和威脅主要針對大型企業(yè)、國家重要的基礎設施或者具有核心利益的網(wǎng)絡基礎設施。由于APT特種木馬的免疫行為，所以傳統(tǒng)的防病毒軟件以及安全控管措施和理念很難有效應對APT攻擊。數(shù)據(jù)泄露風險數(shù)據(jù)泄漏是數(shù)據(jù)中心最為廣泛的擔憂之一。尤其是對公眾提供服務的數(shù)據(jù)中心，涉及大量用戶敏感信息等關(guān)鍵數(shù)據(jù)庫的存儲，并開放多方接口供不同平臺、機構(gòu)調(diào)用，很多威脅場景都可能會導致敏感數(shù)據(jù)的丟失和泄漏。近年來各種機構(gòu)被“拖庫”事件頻繁發(fā)生，數(shù)據(jù)中心關(guān)鍵數(shù)據(jù)的高密度聚合對潛在的攻擊者具有極大的誘惑力，數(shù)據(jù)安全面臨巨大的挑戰(zhàn)。安全運維的挑戰(zhàn)隨著技術(shù)和應用的演進，讓今天的IT環(huán)境和過去相比，已經(jīng)發(fā)生了巨大的變遷，而相應的安全運維管理重點，也從過去的“設備監(jiān)控、告警程序”，轉(zhuǎn)變?yōu)閷ζ髽I(yè)業(yè)務發(fā)展的關(guān)注和支撐。傳統(tǒng)的“安全運維”存在著諸多的問題需要解決。多種安全設備，不同的報警，如何整合？密級：內(nèi)部使用?2016360企業(yè)安全集團密級：內(nèi)部使用數(shù)據(jù)中心整體安全解決方案在大中型企業(yè)的網(wǎng)絡系統(tǒng)中，為了確保系統(tǒng)的穩(wěn)健運行，通常會采用多種安全技術(shù)手段和安全產(chǎn)品，比如防火墻系統(tǒng)、入侵檢測系統(tǒng)、防病毒系統(tǒng)等，都是安全基礎設施。在實際的運維過程中，這些不同種類、不同廠家的安全產(chǎn)品會給技術(shù)人員帶來不小的麻煩--各個安全系統(tǒng)相對孤立，報警信息互不關(guān)聯(lián)，策略和配置難于協(xié)調(diào)。當一個報警事件產(chǎn)生時，不知道該如何處理?！龊Ａ康氖录⒑Ａ康娜罩?，如何分析存儲？對于數(shù)據(jù)中心的規(guī)模來說，各類網(wǎng)絡設備、安全設備、服務器都會產(chǎn)生海量的日志。從海量數(shù)據(jù)中對日志進行快速分析，這要求本地具備海量的數(shù)據(jù)存儲能力、檢索能力和多維度關(guān)聯(lián)能力，而傳統(tǒng)的數(shù)據(jù)存儲和檢索技術(shù)很難達到這樣的要求。例如：在一個中型規(guī)模的企業(yè)中記錄全年的網(wǎng)絡出口流量，大約有2000億條日志，需要約300多TB的存儲空間，如果使用傳統(tǒng)的檢索技術(shù)進行一次條件檢索，大概需要幾個小時的時間。這種效率明顯不能滿足攻擊行為分析的需求?！鋈绾误w現(xiàn)安全運維的價值？安全運維是很枯燥的工作，運維人員整天面對滾動的監(jiān)控屏幕，各種碎片化的告警，復雜的報表，責任重大，壓力巨大，但工作成果卻很難體現(xiàn)。究其原因還是缺少自動化、結(jié)構(gòu)化、可視化的管理工具，導致安全運維效率低下，難以快速感知整體的安全態(tài)勢。密級：內(nèi)部使用?2016360企業(yè)安全集團密級：內(nèi)部使用數(shù)據(jù)中心整體安全解決方案.方案思路總體思路基于數(shù)據(jù)中心的業(yè)務需求，以及數(shù)據(jù)中心面臨的安全問題，很難通過一次安全建設將數(shù)據(jù)中心面臨的所有風險解決；同時，安全風險也是動態(tài)發(fā)展變化的，因此我們的解決方案也需要隨著數(shù)據(jù)中心的安全需求變化不斷完善和發(fā)展。從云提供商的角度來看，傳統(tǒng)模式下的網(wǎng)絡安全需求并沒有什么變化，無論從信息安全的保密性、完整性、可用性，還是根據(jù)網(wǎng)絡層次劃分的從物理層到應用層安全，仍然是需要解決的問題。在云計算時代數(shù)據(jù)中心信息安全架構(gòu)時，不能像傳統(tǒng)IDC系統(tǒng)集成或者安全集成那樣，頭痛醫(yī)頭，腳痛醫(yī)腳，而應該充分結(jié)合虛擬化的特點來系統(tǒng)地進行規(guī)劃，考慮數(shù)據(jù)中心外圍物理實體以及虛擬化平臺環(huán)境的各類安全需求和特性，從而達到各類安全產(chǎn)品、安全管理、整體安全策略的統(tǒng)一，發(fā)揮最大的效率。在設計數(shù)據(jù)中心安全建議方案時，充分利用現(xiàn)有國內(nèi)和國際安全標準和成熟的安全體系，結(jié)合系統(tǒng)的實際需求，利用在安全領域的成熟經(jīng)驗，設計出一個有針對性的安全設計方案。解決思路如下：1）對數(shù)據(jù)中心進行安全域劃分，根據(jù)各區(qū)域的業(yè)務特性、技術(shù)特性以及安全需求進行對應的安全防護設計；2）要充分考慮網(wǎng)絡層、操作系統(tǒng)層、虛擬化層、應用層以及數(shù)據(jù)層的安全防護需求，特別是虛擬化等新技術(shù)帶來的問題。3）強調(diào)安全運營的價值，實現(xiàn)預警、檢測、響應、溯源的閉環(huán)流程；設計原則業(yè)務保障原則：安全體系的設計目標是能夠更好的保障網(wǎng)絡上承載的業(yè)務。在保證安全的同時，還要保障業(yè)務的正常運行和運行效率。結(jié)構(gòu)簡化原則：安全架構(gòu)規(guī)劃的直接目的和效果是要將整個網(wǎng)絡變得更加簡單，簡單的網(wǎng)絡結(jié)構(gòu)便于設計防護體系。比如，安全域劃分并不是粒度越細越好，安全域數(shù)量過多過雜可能導致安全域的管理過于復雜和困難。立體協(xié)防原則：應避免形成各個安全產(chǎn)品獨立割裂的安全體系，充分利用威脅情報和大數(shù)據(jù)等新技術(shù)，實現(xiàn)網(wǎng)絡、終端、邊界的立體協(xié)防機制。密級：內(nèi)部使用?2016360企業(yè)安全集團密級：內(nèi)部使用數(shù)據(jù)中心整體安全解決方案等級保護原則：根據(jù)業(yè)務系統(tǒng)的重要程度以及考慮風險威脅、安全需求、安全成本等因素，將其劃為不同的安全保護等級并采取相應的安全保護技術(shù)、管理措施?？蓴U展性原則：當有新的業(yè)務系統(tǒng)需要接入數(shù)據(jù)中心時，可按照等級保護、對端可信度等原則將其分別劃分至不同安全等級域的各個子域。可管理性原則：應當采用集中化、自動化、智能化的安全管理手段，減輕安全的負擔，同時減小因為管理上的疏漏而對系統(tǒng)安全造成的威脅。密級：內(nèi)部使用?2016360企業(yè)安全集團密級：內(nèi)部使用數(shù)據(jù)中心整體安全解決方案.方案設計安全域劃分安全域劃分的目的是從信息安全的角度來對企業(yè)信息系統(tǒng)進行拆分。以業(yè)務系統(tǒng)為核心，從業(yè)務特性、技術(shù)特性方面分析各業(yè)務系統(tǒng)的安全需求和防護等級，進行適當?shù)陌踩雷o體系設計。邊界接入?yún)^(qū)互聯(lián)網(wǎng)接入?yún)^(qū)承載組織與互聯(lián)網(wǎng)的連接，組織向公共用戶提供對外業(yè)務服務的通道。外聯(lián)接入?yún)^(qū)承載組織與外部第三方機構(gòu)的信息交換，如電子政務專網(wǎng)、監(jiān)管機構(gòu)、合作機構(gòu)等。內(nèi)部接入?yún)^(qū)承載組織內(nèi)部的分支機構(gòu)、災備中心之間的信息交換，以及組織內(nèi)人員從外部接入的通道。4?1.2,網(wǎng)絡基礎設施區(qū)核心匯聚區(qū)數(shù)據(jù)中心的網(wǎng)絡匯聚中心，各個區(qū)域之間的數(shù)據(jù)流傳都會經(jīng)過核心匯聚區(qū)。通常在此區(qū)域進行網(wǎng)絡流量的安全監(jiān)控。區(qū)域接入?yún)^(qū)主要是各個安全區(qū)內(nèi)部接入的路由交換設備，通常在此區(qū)域部署網(wǎng)絡接入控制等措施。4?1.3.業(yè)務接入?yún)^(qū)一般服務區(qū)密級：內(nèi)部使用?2016360企業(yè)安全集團

密級：內(nèi)部使用數(shù)據(jù)中心整體安全解決方案用于存放防護級別較低，需直接對外提供服務的信息資產(chǎn)，如Web應用、業(yè)務前置機、辦公服務器等，一般服務區(qū)與外界有直接連接，同時不能夠訪問核心數(shù)據(jù)區(qū)（避免被作為攻擊核心數(shù)據(jù)區(qū)的跳板）。重要服務區(qū)用于存放級別較高，不需要直接對外提供服務的信息資產(chǎn)，如生產(chǎn)應用服務器等，重要服務區(qū)一般通過一般服務區(qū)與外界連接，并可以直接訪問核心數(shù)據(jù)區(qū)。核心數(shù)據(jù)區(qū)用于存放級別非常高的信息資產(chǎn)，如核心數(shù)據(jù)庫等，外部對核心區(qū)的訪問需要通過重要服務區(qū)跳轉(zhuǎn)。4?1.4.運維管理區(qū)運維管理區(qū)通常承載網(wǎng)絡管理、安全管理和業(yè)務運維等應用，運維人員通過本區(qū)域的管理平臺對網(wǎng)絡設備、服務器、安全產(chǎn)品進行管理。如各類設備的日志存儲、安全管理平臺、各類監(jiān)控系統(tǒng)等。整體設計根據(jù)上述的安全域劃分架構(gòu)，對數(shù)據(jù)中心進行整體安全設計，如下圖所示:?2016360企業(yè)安全集團?2016360企業(yè)安全集團10-密級：內(nèi)部使用數(shù)據(jù)中心整體安全解決方案菱白。單應電汽URL庫圖數(shù)據(jù)中心整體安全解決方案菱白。單應電汽URL庫圖4-1數(shù)據(jù)中心整體安全設計FI各安全域安全架構(gòu)設計互聯(lián)網(wǎng)接入?yún)^(qū)互聯(lián)網(wǎng)接入?yún)^(qū)主要面臨來自互聯(lián)網(wǎng)的安全威脅，對于互聯(lián)網(wǎng)接入?yún)^(qū)的安全設計主要從以下兩方面考慮：.防范DDoS攻擊（分布式拒絕服務攻擊）。DDOS攻擊分為帶寬消耗型攻擊（大流量攻擊）和主機資源消耗型攻擊，帶寬消耗型攻擊會對數(shù)據(jù)出口造成流量壓力，極大浪費寶貴的帶寬資源，嚴重增加核心設備的工作負荷，造成關(guān)鍵業(yè)務的中斷或網(wǎng)絡服務質(zhì)量的大幅降低。主機資源消耗型攻擊使服務器處理大量并發(fā)攻擊請求，嚴重影響服務器內(nèi)存、數(shù)據(jù)庫、CPU的處理性能。DDoS攻擊會造成門戶網(wǎng)站、網(wǎng)絡設備、虛擬服務器等性能均急劇下降，可能導致無法正常處理用戶的正常訪問請求，造成客戶訪問失敗。.未知威脅檢測與響應?；ヂ?lián)網(wǎng)邊界是威脅的重要入口之一，同時也是數(shù)據(jù)泄露的主要出口之一。尤其是當前APT攻擊盛行，各類未知威脅對核心數(shù)據(jù)安全造?2016360企業(yè)安全集團 -11- 密級：內(nèi)部使用

數(shù)據(jù)中心整體安全解決方案成巨大的危害。網(wǎng)關(guān)層面應當具備對未知威脅的檢測能力，并能實現(xiàn)聯(lián)動響應機制，攔截掉威脅進出的路徑。機口口3交換機JMT-圖4-2互聯(lián)網(wǎng)接入?yún)^(qū)安全設計機口口3交換機JMT-圖4-2互聯(lián)網(wǎng)接入?yún)^(qū)安全設計本區(qū)域安全設計如下圖所示:互聯(lián)網(wǎng)接入?yún)^(qū)在互聯(lián)網(wǎng)邊界部署抗DDoS系統(tǒng)，對來自外部的DDoS攻擊進行實時的阻斷。部署360網(wǎng)神下一代智慧防火墻，實現(xiàn)高性能的應用層安全防護，以及與安全運營平臺進行聯(lián)動，實現(xiàn)網(wǎng)關(guān)處的未知威脅處置。夕卜聯(lián)接入?yún)^(qū)外聯(lián)接入?yún)^(qū)主要面臨的威脅來自于外聯(lián)機構(gòu)，通常外聯(lián)機構(gòu)使用專線或者VPN連接到數(shù)據(jù)中心，訪問特定的業(yè)務系統(tǒng)。對于外聯(lián)接入?yún)^(qū)的安全設計主要從訪問控制方面重點考慮。本區(qū)域安全設計如下圖所示:?2016360企業(yè)安全集團?2016360企業(yè)安全集團12密級：內(nèi)部使用數(shù)據(jù)中心整體安全解決方案圖4-3數(shù)據(jù)中心整體安全解決方案圖4-3外聯(lián)接入?yún)^(qū)安全設計部署360網(wǎng)神下一代智慧防火墻，實現(xiàn)端口級的訪問控制，并開啟應用層防護功能，對來自外部機構(gòu)的惡意代碼、高級威脅等進行檢測和攔截。內(nèi)部接入?yún)^(qū)內(nèi)部接入?yún)^(qū)主要面臨的威脅來自于遠程接入帶來的風險，如傳輸過程的信道監(jiān)聽、員工遠程接入后的權(quán)限濫用等。內(nèi)部接入?yún)^(qū)的安全設計主要考慮遠程安全接入中的訪問控制、權(quán)限管理、傳輸加密等方面。本區(qū)域安全設計如下圖所示：1內(nèi)部接入?yún)^(qū)?2016360企業(yè)安全集團13?2016360企業(yè)安全集團13密級：內(nèi)部使用數(shù)據(jù)中心整體安全解決方案圖4-4內(nèi)部接入?yún)^(qū)安全設計■部署VPN接入網(wǎng)關(guān)，實現(xiàn)對分支機構(gòu)接入的訪問控制、權(quán)限管理，并且采用鏈路加密技術(shù)保證敏感信息的傳輸安全?！霾渴?60網(wǎng)神下一代智慧防火墻，支持對穿過防火墻的SSL協(xié)議進行解密，并對解密后的數(shù)據(jù)提供防護過濾，如攻擊防護、入侵檢測、病毒防護、內(nèi)容過濾等。核心匯聚區(qū)核心匯聚區(qū)的安全設計主要考慮從全網(wǎng)流量中對各類威脅進行識別檢測，及時發(fā)現(xiàn)攻擊行為并向安全運營中心進行告警。本區(qū)域安全設計如下圖所示：圖4-5圖4-5核心匯聚區(qū)安全設計■在核心交換機上旁路部署360天眼網(wǎng)絡威脅傳感器。通過流量鏡像接收全網(wǎng)的通信數(shù)據(jù)流，對各類網(wǎng)絡行為進行還原，從中識別各類已知威脅生成告警；還可以通過與360威脅情報中心下發(fā)到本地的威脅情報進行比對，識別未知威脅;同時全量網(wǎng)絡數(shù)據(jù)存儲在本地大數(shù)據(jù)分析平臺，可以對威脅進行溯源?！霾渴?60天眼文件威脅鑒定器。網(wǎng)絡威脅傳感器識別到網(wǎng)絡流量中的文件傳輸行為后，會將文件還原并發(fā)送至文件威脅鑒定器，進行深度分析。文件威脅鑒定器會對PE文件、腳本文件等進行模擬運行，通過文件運行過程中執(zhí)行的操作行為進一步識別潛在的威脅。一般服務區(qū)一般服務區(qū)通常承載了對外的Web類應用，主要面臨的威脅有以下兩方面:?2016360企業(yè)安全集團?2016360企業(yè)安全集團-14-密級：內(nèi)部使用數(shù)據(jù)中心整體安全解決方案.應用安全風險，主要由于應用軟件的漏洞造成。任何一種軟件或多或少存在一定脆弱性，安全漏洞可視作已知系統(tǒng)脆弱性。這種安全漏洞可分為兩種：一種是由于操作系統(tǒng)本身設計缺陷帶來的漏洞，它將被運行在這個系統(tǒng)上的應用程序所繼承，另一種是應用軟件程序安全漏洞，很常見，更要引起廣泛關(guān)注。.主機安全風險。包括兩方面：一是物理機與虛擬機操作系統(tǒng)的惡意代碼防范。二是由于服務器虛擬化技術(shù)帶來的新型風險，如東西向流量的訪問控制、虛擬機逃逸漏洞、虛擬機漂移導致安全策略失效等。本區(qū)域安全設計如下圖所示:圖4-6圖4-6一般服務區(qū)安全設計在一般服務區(qū)邊界部署Web應用防火墻，用于對應用層的攻擊行為進行實時防護。在一般服務區(qū)的接入交換機旁路部署Web漏洞智能監(jiān)測系統(tǒng)，一方面能夠從進出站流量中識別出應用系統(tǒng)存在的漏洞和針對Web應用的攻擊行為；另一方面能夠?qū)φ军c中存在的暗鏈、后門的訪問行為進行識別，發(fā)現(xiàn)潛在的安全風險。在物理機和虛擬機操作系統(tǒng)上部署天擎虛擬化安全客戶端，主要功能包括惡意代碼防護、主機防火墻、主機入侵防御，并可以對虛擬機與物理機操作系統(tǒng)進行統(tǒng)一管理?？蛻舳伺c部署在運維管理區(qū)的虛擬化安全控制中心進行通信，進行病毒庫更新、安全策略更新、日志告警上傳等。?2016360企業(yè)安全集團?2016360企業(yè)安全集團-15-密級：內(nèi)部使用數(shù)據(jù)中心整體安全解決方案■在服務器虛擬化管理層部署宿主機防護代理客戶端，用于防范利用虛擬機逃逸漏洞對宿主機進行穿透攻擊的行為，保證宿主機上所有虛擬機的安全運行。4.3.6.重要服務區(qū)重要服務區(qū)主要面臨的威脅來自于主機操作系統(tǒng)層，包括兩方面：一是物理機與虛擬機操作系統(tǒng)的惡意代碼防范。二是由于服務器虛擬化技術(shù)帶來的新型風險，如東西向流量的訪問控制、虛擬機逃逸漏洞、虛擬機漂移導致安全策略失效等。本區(qū)域安全設計如下圖所示:圖4-7本區(qū)域安全設計如下圖所示:圖4-7重要服務區(qū)安全設計■在物理機和虛擬機操作系統(tǒng)上部署天擎虛擬化安全客戶端，主要功能包括惡意代碼防護、主機防火墻、主機入侵防御，并可以對虛擬機與物理機操作系統(tǒng)進行統(tǒng)一管理。客戶端與部署在運維管理區(qū)的虛擬化安全控制中心進行通信，進行病毒庫更新、安全策略更新、日志告警上傳等?！鲈诜掌魈摂M化管理層部署宿主機防護代理客戶端，用于防范利用虛擬機逃逸漏洞對宿主機進行穿透攻擊的行為，保證宿主機上所有虛擬機的安全運行。?2016360企業(yè)安全集團?2016360企業(yè)安全集團-16-密級：內(nèi)部使用數(shù)據(jù)中心整體安全解決方案4?3.7?核心數(shù)據(jù)區(qū)核心數(shù)據(jù)區(qū)主要面臨的威脅來自于對數(shù)據(jù)安全方面，如敏感數(shù)據(jù)泄露、對數(shù)據(jù)庫的越權(quán)訪問、數(shù)據(jù)庫配置缺陷等。本區(qū)域安全設計如下圖所示:圖4-8本區(qū)域安全設計如下圖所示:圖4-8核心數(shù)據(jù)區(qū)安全設計在核心數(shù)據(jù)區(qū)旁路部署數(shù)據(jù)庫審計系統(tǒng)，監(jiān)視并記錄對數(shù)據(jù)庫服務器的各類操作行為，并可以支持操作回放。還可以通過建立行為模型來發(fā)現(xiàn)違規(guī)的數(shù)據(jù)庫訪問行為，并能夠進行溯源，定位到責任人。4?3.8.運維管理區(qū)安全運維是整個安全體系的重中之重，過去安全運維的價值難以得到體現(xiàn)，主要有以下原因：如安全管理割裂、學習成本高、對運維人員水平要求較高、安全管理成果缺少可視化呈現(xiàn)手段等。本方案要做到的不僅僅是實現(xiàn)安全防護目標，同時要盡可能的提升安全運維的效率和體驗，降低人為錯誤帶來的風險。通過集中化、自動化、智能化的管理工