搜索
数据中心解决方案(安全)行业基线方案杭州海康威视系统技术有限公司第1页目录第一章信息安全保障系统.....................................................................31.1系统概述.....................................................................................31.2安全标准.....................................................................................31.3系统架构.....................................................................................41.4系统详细设计.............................................................................51.4.1计算环境安全......................................................................51.4.2区域边界安全......................................................................71.4.3通信网络安全......................................................................81.4.4管理中心安全......................................................................91.5安全设备及系统.......................................................................111.5.1VPN加密系统....................................................................121.5.2入侵防御系统....................................................................121.5.3防火墙系统........................................................................131.5.4安全审计系统....................................................................141.5.5漏洞扫描系统....................................................................151.5.6网络防病毒系统................................................................171.5.7PKI/CA身份认证平台......................................................181.5.8接入认证系统....................................................................20行业基线方案杭州海康威视系统技术有限公司第2页1.5.9安全管理平台....................................................................21行业基线方案杭州海康威视系统技术有限公司第3页第一章信息安全保障系统1.1系统概述信息安全保障系统是集计算环境安全、安全网络边界、通信网络安全以及安全管理中心于一体的基础支撑系统。它以网络基础设施为依托,为实现各信息系统间的互联互通,整合各种资源,提供信息安全上的有力支撑。系统的体系架构如图所示:图1.信息安全保障系统体系架构图信息系统安全是保障整个系统安全运行的一整套策略、技术、机制和保障制度,它涵盖系统的许多方面,一个安全可靠的系统需要多方面因素共同作用。1.2安全标准在数据中心建设中,信息系统安全依据《信息系统等级保护安全设计技术要求》(GB/T24856-2009)二级防护要求进行设计。该标准依据国家信息安全等级保护的要求,规范了信息系统等级保护安全设计技术要求,标准适用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构开展信息系统等级行业基线方案杭州海康威视系统技术有限公司第4页保护安全技术方案的设计和实施,也可作为信息安全职能部门进行监督、检查和指导的依据。信息安全等级保护是我国信息安全的基本制度、基本政策、基本方法。已出台的一系列信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准,为信息安全等级保护工作的开展提供了法律、政策、标准依据。国家标准《信息安全技术信息系统等级保护安全设计技术要求》是根据中国信息安全等级保护的实际需要,按照信息安全等级保护对信息系统安全整改的要求制订的,对信息系统等级保护安全整改阶段技术方案的设计具有指导和参考作用。1.3系统架构智慧城市数据中心依据《信息系统等级保护安全设计技术要求》(GB/T24856-2009),构建“一个中心支撑下的三重防御”的安全防护体系。信息安全保障系统总体架构如下图所示:计算环境安全通信网络安全区域边界安全管理中心安全信息安全保障体系网络基础设施安全管理子系统安全审计子系统认证授权子系统CA子系统实时监控统一用户管理访问权限裁决资源授权管理统一身份认证应用系统安全审计数据库安全审计主机安全审计身份鉴别访问控制系统安全审计数据安全保护恶意代码防范边界安全审计边界包过滤边界完整性保护边界恶意代码防范通信网络数据传输保密性保护通信网络数据传输完整性保护通信网络安全审计网络安全审计证书管理系统管理日志管理统计分析配置管理图2.信息安全保障系统总体架构图信息安全保障系统以网络基础设施为依托,为整个数据中心业务提供计算环境安全、区域边界安全、通信网络安全、安全管理、安全审计及认证授权等服务。行业基线方案杭州海康威视系统技术有限公司第5页信息安全保障系统的一个中心是指管理中心安全,三重防御是指计算环境安全、区域边界安全和通信网络安全。计算环境安全主要提供终端和用户的身份认证、访问控制、系统安全审计、恶意代码防范、接入控制、数据安全等安全服务。区域边界安全主要提供网络边界身份认证、访问控制、病毒防御、安全审计、网络安全隔离与可信交换等安全服务。通信网络安全主要提供网络通信的安全审计、网络传输的机密性和完整性等安全服务。管理中心安全主要包括安全管理子系统、CA子系统、认证授权子系统和统一安全审计子系统等,它是系统的安全基础设施,也是系统的安全管控中心。为整个系统提供统一的系统安全管理、证书服务、认证授权、访问控制以及统一的安全审计等服务。1.4系统详细设计1.4.1计算环境安全1.4.1.1计算环境安全概述伴随着等级保护工作的持续开展,包括防火墙、安全网关、入侵防御、防病毒等在内的安全产品成功地应用到信息系统中,从很大程度上解决了安全问题,增强了信息安全防御能力。但这些大多重在边界防御,以服务器为核心的计算平台自身防御水平较低,这在信息系统中埋下了很大的安全隐患。计算环境安全针对的是对系统的信息进行存储、处理及实施安全策略的相关部件,它的重点是为了提高以服务器为核心的计算平台自身防御水平。数据中心的计算环境安全主要通过部署主机安全防护系统以及使用在管理中心所部署的接入认证系统、网络防病毒系统、漏洞扫描系统等安全防护系统提供的服务,完成终端的身份鉴别、访问控制、安全审计、数据安全保护,恶意代码防护等一系列功能。计算环境部署的安全系统均可被安全管理中心统一管理、统一监控,实行业基线方案杭州海康威视系统技术有限公司第6页现协同防护。1.4.1.2计算环境安全功能要求1)身份鉴别功能数据中心终端应支持用户标识和用户鉴别。在对每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。2)访问控制功能在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。采用基于角色的访问控制技术,实现不同用户、不同角色对不同资源的细粒度访问控制,分别制定了不同的访问控制规则,访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。3)安全审计功能提供安全审计机制,记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。该功能应提供审计记录查询、分类和存储保护,并可由安全管理与基础支撑功能层统一管理。4)数据安全保护功能采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏,可采用密码等技术支持的保密性保护机制,对在计算环境安全中存储和处理的用户数据进行保密性保护。5)恶意代码防范功能安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升级和更新,以提供针对不同操作系统的工作站和服务器的全面恶意代码防护。不仅能够抵御病毒,蠕虫和特洛依木马,还能抵御新攻击,如垃圾邮件,间谍程序,拨号器,黑客工具和恶作剧,以及针对系统漏洞,并提供保护阻止安全冒险等。行业基线方案杭州海康威视系统技术有限公司第7页1.4.2区域边界安全1.4.2.1区域边界安全概述随着应用系统和通讯网络结构日渐复杂,异地跨边界的业务访问、移动用户远程业务访问等复杂的系统需求不断增多,如何对跨边界的数据进行有效的控制与监视已成为越来越关注的焦点,这对系统区域边界防护提出了新的挑战和要求。区域边界安全针对的是对系统的计算环境安全边界,以及计算环境安全与通信网络安全之间实现连接并实施安全策略的相关部件。数据中心的区域边界安全主要通过在系统边界部署防火墙系统、防毒墙、入侵防御系统、安全接入平台等安全设备和系统以及使用在管理中心所部署的安全审计系统提供的服务,完成边界包过滤、边界安全审计、边界入侵防范、边界完整性保护,边界安全隔离与可信数据交换等一系列功能。区域边界部署的安全系统均可被安全管理中心统一管理、统一监控,实现协同防护。1.4.2.2区域边界安全功能要求1)边界包过滤功能提供对数据包的进/出网络接口、协议(TCP、UDP、ICMP、以及其他非IP协议)、源地址、目的地址、源端口、目的端口、以及时间、用户、服务(群组)的访问过滤与控制功能,对进入或流出的区域边界的数据进行安全检查,只允许符合安全安全策略的数据包通过,同时对连接网络的流量、内容过滤进行管理。2)边界安全审计功能在区域边界设置审计机制,提供对被授权人员和系统的网络行为进行解析、分析、记录、汇报的功能,以帮助用户事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,保障网络及系统的正常运行。3)边界入侵防范功能在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。4)边界完整性保护功能行业基线方案杭州海康威视系统技术有限公司第8页在区域边界设置探测器,可对内部网络中出现的内部用户未通过准许私自联到外部网络,以及外部用户未经许可违规接入内部网络的行为进行检查和控制。5)边界安全隔离与可信数据交换功能可完成指挥信令的双向流动,以及视频流单向流入公安信息网的安全隔离与控制,同时,还应可采用两头落地的“数据交换”模式,实现公安信息通信网与其它网络