《数据中心安全建设方案(共24页).doc》由会员分享,可在线阅读,更多相关《数据中心安全建设方案(共24页).doc(25页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上数据中心安全解决方案专心-专注-专业目录第一章 解决方案1.1 建设需求XXX用户经过多年的信息化建设,各项业务都顺利的开展起来了,数据中心已经积累了很多宝贵的数据,这些无形的资产比硬件资产还重要,但它们却面临着非常大的安全挑战。在早期的系统建设过程中,大多用户不会考虑数据安全、应用安全层面的问题,经过多年的发展,数据中心越来越庞大,业务越来越复杂,但信息安全完全没有配套建设,经常会发生一些安全事件,如:数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况,而这些安全事件往往都是特权用户从后台直接操作的,非常隐蔽,这时候往往无从查
2、起。其实,信息安全建设在系统的设计初期开始,就应该要介入,始终贯穿其中,这样花费的人力物力才是最小。当一个系统建成后,发现问题了,回头再来考虑安全建设,这样投入的成本将会变得最大。1.2 建设思路数据中心的安全体系建设并非安全产品的堆砌,它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系,涉及众多的安全技术,实施过程需要涉及大量的调研、咨询等工作,还会涉及到众多的安全厂家之间的协调、产品的选型,安全系统建成后怎么维持这个生态体系的平衡,是一个复杂的系统工程,一般建议分期投资建设,从技术到管理,逐步实现组织的战略目标。整体设计思路是将需要保护的核心业务主机包及数据库
3、围起来,与其他网络区域进行逻辑隔离,封闭一切不应该暴漏的端口、IP,在不影响现有业务的情况下形成数据孤岛,设置固定的数据访问入口,对入口进行严格的访问控制及审计。由之前的被动安全变为主动防御,控制安全事故的发生,对接入系统的人员进行有效的认证、授权、审计,让敏感操作变得更加透明,有效防止安全事件的发生。在访问入口部署防火墙、账号生命周期管理系统、数据加密系统、令牌认证系统、审计系统等安全设施,对所有外界向核心区域主机发起的访问进行控制、授权、审计,对流出核心区域的批量敏感数据进行加密处理,所有加密的数据将被有效的包围在安全域之内,并跟踪数据产生、扭转、销毁的整个生命周期,杜绝敏感数据外泄及滥用
4、行为。为了保证XXX用户的业务连续性,各安全子系统都采用旁路的方式部署到网络当中,其中账号生命周期管理系统、审计系统、数据库都采用双机的模式,以提供自身的高可靠性;加密系统、特权账号生命周期管理系统、令牌认证系统都建议部署在VMware云计算平台上,利用VMware强大的服务器虚拟化能力为防泄密系统提供良好的可靠性与可扩展性保证。1.3 总体方案信息安全系统整体部署架构图1、在核心交换机上部署防护墙模块或独立防火墙,把重要的主机、数据库与其他子网进行逻辑隔离,划分安全区域,对不必要的端口进行封闭,隔离终端IP对数据中心可达。2、在终端汇聚的交换机上旁路部署IP准入控制系统,实现非法外联、IP实
5、名制,对接入内网的终端进行有效的控制。3、部署主机账号管理系统,限制所有终端对主机的访问只能通过管理系统发起,并对Telnet、SSH、RDP等访问过程进行控制、审计,防止终端将数据从主机上私自复制到本地硬盘,防止误操作。4、部署数据账号管理系统,对数据库访问工具(PL-SQL)、FTP工具等常用维护工具进行统一的发布,对前台数据库访问操作进行审计记录,把数据包围在服务器端。对下载数据行为进行严格控制,并对提取的数据进行加密处理。5、部署加密系统(DLP),对所有流出数据中心的数据进行自动加密处理,并对数据的产生、扭转、编辑、销毁进行生命周期管理。6、部署数据库审计系统,对数据库访问行为进行审
6、计,监控敏感数据访问情况,监控数据库操作行为,记录数据库后台变化情况,事后回查。7、在生产库与测试库之间部署数据脱敏系统,对从在线库抽取的数据进行自动脱敏,再导入测试库,避免数据泄露。对后台访问在线库的人群进行权限管理,对访问的敏感字段进行自动遮罩。8、部署应用内嵌账号管理系统,对应用系统内嵌的特权账号进行有效的托管,实现账号的定期修改、密码强度、密码加密等安全策略。9、部署令牌认证系统,对登入数据中心区的用户使用双因素认证,确认访问数据中心者的身份,杜绝账号共用现象。10、部署云计算平台,为防泄密系统提供良好的运行环境。云计算平台提高了系统的可靠性、可扩展性,减少宕机时间,降低维护成本。11
7、、所有系统都采用活动目录认证,并加以动态令牌做为双因素认证,实现对用户身份的准确鉴别。1.3.1 IP准入控制系统现在国内外,有很多厂商推出自己的准入控制系统解决方案,目的就是为了在终端接入网络前对其进行安全检查,只允许合法的用户接入到网络当中,避免随意接入网络给系统带来风险。主流的解决方案有两种方式,旁路部署方式都是基于802.1X的,需要跟交换机做联动;串接的部署方式不需要与交换机联动,但会给网络的通过性与性能带来挑战,采用的用户不多。这些解决方案,在复杂的中国环境部署成功的并不多,要么网络条件非常好,交换机都支持802.1X,要么网络非常扁平化,终端都可以收敛到同一个出口。IP地址管理困
8、难:接入Intranet的计算机设备都需要一个合法的IP地址,IP地址的分配和管理是一件令网络管理人员头疼的事情,IP地址、MAC地址、计算机名冒用、滥用现象广泛存在,而管理人员缺乏有效的监控手段。局域网上若有两台主机IP地址相同,则两台主机相互报警,造成应用混乱。因此,IP地址盗用与冲突成了网管员最头疼的问题。当几百台、甚至上千台主机同时上网,如何控制IP地址盗用与冲突更是当务之急。在实际中,网络管理员为入网用户分配和提供的IP地址,只有通过客户进行正确地注册后才有效。 这为终端用户直接接触IP地址提供了一条途径。由于终端用户的介入,入网用户有可能自由修改IP地址。改动后的IP地址
9、在联网运行时可导致三种结果:Ø 非法的IP地址,自行修改的IP地址不在规划的网段内,网络呼叫中断。Ø 重复的IP地址,与已经分配且正在联网运行的合法的IP地址发生资源冲突,无法链接。Ø 非法占用已分配的资源,盗用其它注册用户的合法IP地址(且注册该IP地址的机器未通电运行)联网通讯。IPScan能很好的控制非法的IP接入,并对内网已有的联网IP通过切断联网实现迅速快捷的控制,以很方便的方式实现内网安全威胁的最小化。IPScan通过对IP/MAC的绑定,对每个IP地址都可以进行实时的监控,一旦发现非法的IP地址和某个IP地址进行非法操作的时候,都可以及时对这些IP地
10、址进行操作,有效的防止IP冲突。产品是基于二层(数据链路层)的设计理念,可以有效地控制ARP广播病毒,通过探测ARP广播包,可以自动阻止中毒主机大量发送ARP广播,从而保证了内网的安全。通过实现IP地址的绑定,从而变相的实现了网络实名制,在接入网络的终端都被授予唯一的IP地址,在网络中产生的所有日志将会变得非常有意义,它可以关联到是哪一个终端哪一个用户,能让安全日志产生定责的作用。1.3.2 防泄密技术的选择国外有良好的法律环境,内部有意泄密相对极少,对内部人员确认为可信,数据泄露主要来自外部入侵和内部无意间的泄密。因此,国外DLP(数据防泄漏)解决方案主要用来防止外部入侵和内部无意间泄密,可
11、以解决部分问题,但无法防止内部主动泄密,只能更多地依赖管理手段。而国内环境,法律威慑力小,追踪难度大,泄密者比较容易逃脱法律制裁,犯罪成本比较小;同时,国内各种管理制度不完善,内部人员无意间泄密的概率也比较大。国内DLP以加密权限为核心,从主动预防的立足点来防止数据泄露,对数据进行加密,从源头上进行控制。即使内部数据流失到外部,也因为已被加密而无法使用,从而保证了数据的安全。所以国内DLP既能防止内部泄密(包括内部有意泄密和无意泄密),同时也能防止外部入侵窃密。1.3.3 主机账号生命周期管理系统XXX用户局越来越多的业务外包给系统提供商或者其他专业代维公司,这些业务系统涉及了大量的公民敏感信
12、息。如何有效地监控第三方厂商和运维人员的操作行为,并进行严格的审计是用户现在面临的一个挑战。严格的规章制度只能约束一部分人的行为,只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行,在发生安全事件后,才能有效的还原事故现场,准确的定位到责任人。主机账号生命周期管理系统能帮助用户建立集中的和统一的主机运维管理平台,实现自动化的监控审计,对所有维护人员和支持人员的操作行为(Telnet、SSH、RDP、FTP、SFTP、VNC、KVM等协议)进行监控和跟踪审计,(实现对所有登录系统的人员的所有操作进行全面行为过程审计,达到对所访问主机的操作行为进行采集,以便实时监控和事后回放分析、重现
13、和检索,以最大限度地减少运行事故、降低运行风险、进行责任追溯,不可抵赖。同时提供直观的问题报告工具),防止敏感数据从物理层被窃取。按照规定,一段时间内必须修改一次主机及数据库的密码,以符合安全性要求,往往这些密码太多,修改一次也费时费力,还经常出现root密码修改后忘记的情况。很多时候,维护人员为了方便记忆密码,将密码记录在一个文件里,以明文方式保存在电脑上,即使文件加了个简单的密码,一旦这些数据泄漏,后果不堪设想。现在可采用主机账号生命周期管理系统进行密码托管,可以设定定期自动修改主机密码,不用人工干预了。既提高了信息安全工作的效率,又降低了管理成本,还降低了安全风险。1.3.4 数据库账号
14、生命周期管理系统目前,XXX用户的支持人员及第三方维护人员都是采用PL/SQL等工具对在线库或离线库进行直接操作,有的是通过业务系统的某些模块直接操作数据库,导致敏感数据可以直接被编辑、删除,无法对其进行集中控制。针对这种情况,目前较有效的解决方案是通过数据库账号生命周期管理系统来实现。通过账号生命周期管理系统的虚拟化技术,将有高风险的操作工具发布出来(如PL/SQL、业务系统的主界面、C/S架构系统的客户端等),客户端零安装,用户对程序远程调用,避免真实数据的传输和漏泄,能实现避免数据的泄露、对重要操作进行全程跟踪审计、对重要命令进行预警。系统禁止所有操作终端与服务器之间的数据复制操作,但操
15、作人员经常需要复制一段代码或脚本到PL/SQL里面进行查询操作,如果是用手敲,势必会影响工作效率。这里就要求数据库账号生命周期管理系统具备单向数据流的控制,只允许从终端复制数据到系统,禁止从系统上复制数据到本地磁盘,这样既保留了用户的使用习惯,又达到了安全的目的。如果支持人员要把数据保存到本地终端上进行二次处理,需要将文件导出到指定的存储路径上,文件产生后会被自动加密处理,支持人员可以在指定的路径下载加密的文件到本地磁盘,并进行后期的二次处理,同时在存储上保留有文件副本备查。如果支持人员需要把修改好的数据上传应用系统中或主机中,需要将文件导入到指定的存储路径上,文件上传后会被自动解密处理,即可
16、被应用系统或主机正常识别。1.3.5 双因素认证系统目前,系统中的主机账号共用情况比较普遍,一个账号多个人使用,这就造成了事后难以定责的尴尬局面,而且静态的口令也容易被获取。为了杜绝这种现象,可采用双因素认证系统加强身份认证的管理。传统的方式是在每台需要保护的主机、数据库上启用Agent,如果主机数量很多的话,配置工作量很大,维护起来很繁琐。我们推荐给XXX用户局的解决方案是将令牌认证系统与主机账号生命周期管理系统结合做双因素认证,大大减少了配置工作量的同时,还满足了系统安全性要求。另外,对于所有重要的业务系统、安全系统,都应该采用双因素认证,以避免账号共用情况,发生安全事件后,能准确的定责。
17、1.3.6 数据库审计系统审计系统在整个系统中起到一个很好的补充作用。数据库账号生命周期管理系统虽然会记录所有操作数据库的行为,但他只是记录前台的操作过程,但对于发生安全事件后快速定位、还原整个事件过程还是有些欠缺。专业数据库审计系统会对数据库操作进行审计,记录数据库的日常操作行为,记录敏感数据的访问、修改行为,会精确了每一个字符。在安全事件发生后,可以精确的使用操作命令来检索需要审计的信息,甚至可以组合几条信息来精确定位,提高了审计的效率。它可以对数据库发生的所有变化进行回放,让用户知道重要操作后数据库返回了什么样的结果、发生了什么变化,可以很好的帮助用户恢复整个事件的原始轨迹,有助于还原参
18、数及取证。并可可以深入到应用层协议(如操作命令、数据库对象、业务操作过程)实现细料度的安全审计,并根据事先设置的安全策略采取诸如产生告警记录、发送告警邮件(或短信)、提升风险等级。1.3.7 数据脱敏系统在我们的用户系统里面,存在着大量的敏感信息:公民数据、业务数据等,业务系统软件开发的最后阶段,是需要尽量真实的数据来作为基础测试软件的一系列功能。尤其是用户系统这样的大型系统实施或开发的时候,对于基础数据的要求很严格,很多时候都是直接克隆生产环境的数据来进行软件系统的测试,但是随之而来的影响却是深远的,生产数据中,首先它是一个真实的数据,透过数据基本上掌握了整个数据库的资料。其次,在这当中包含
19、很多敏感数据,不光是敏感数据,而且还是真实的敏感数据。如果在测试环境中发生了信息泄露问题,那么对于用户数据安全将造成致命的后果。近年来,政府行业重大的敏感数据泄漏事件时有发生,如下图所示:核心数据脱敏模块的建设基于动态数据脱敏技术,通常是应用于生产系统,当对数据库提出读取数据的请求时,动态数据脱敏按照访问用户的角色执行不同的脱敏规则。如下图所示:授权用户可以读取完整的原始数据,而非授权用户只能看到脱敏后的数据。1.3.8 应用内嵌账号管理系统复杂的IT环境,在其中包含过个脚本,进程,应用程序需要访问多个平台的资源和数据库中存取敏感信息。为了更好地访问这些资源,应用程序和脚本会利用数据库上的帐号
20、去获取数据,有些帐号只有只读权限,还有些帐号具有读写权限。保护、管理和共享这类与应用程序相关的帐号成为了IT部门或者应用负责人的巨大挑战,也是放在用户面前的审计难题。调查表明42%的用户从不修改嵌入在应用程序内的帐号密码。这是一个严重的安全风险,并且明显地违背了许多法律法规的要求,同样也是直接导致运维效率低下的主要原因。应用程序的内嵌帐号通常也是具有非常高的权限的,可以毫无控制地访问后端系统。如果该帐号不有效管理起来,势必带来绕开常规管理流程的非法访问。以上图的Billing系统为例,前端Bill应用通过内置的数据库用户连接数据库,用以更新数据库中相关记录。非授权的第三方人员一旦知晓该密码,则
21、可以肆无忌惮地进入数据库,删除记录,修改数据。 如上描述,嵌入在应用程序中的密码会带来如下安全风险: 密码不定期修改:为了获得更高的安全水平,密码需要定期修改。而应用程序内嵌密码其密码修改过程非常复杂,因为密码会被写入在应用程序的多处。 运维人员和开发人员都知晓应用密码: 由于应用程序密码被嵌入在程序中,并且不会定期修改,所以通常密码在IT运维人员和开发人员整个企业中是共享的,特别还包括离职员工以及外包人员。 密码强度不够:由于密码是IT运维人员或者开发人员手工创建的,为了能够应对紧急情况,这些密码尽量定义地简单,便于能够记忆。这将导致企业特权帐号密码的策略不合规。 密码存储在明文中:嵌入的密
22、码在配置文件或者源代码中是明文存储的,有时密码也不符合强度要求。所以这些密码很容易被访问到源代码和配置文件的人员获得。 对应用程序内嵌密码缺乏审计:在紧急情况下,IT运维人员和开发人员都需要使用应用程序密码,现有的密码方案无法提供相应的使用记录的控制和审计。 审计与合规:无法保护应用程序帐号,审计其使用记录会违法安全标准和法规,并且导致无法通过内审和外审要求。应用程序帐号管理常见需求 如之前章节描述,由于应用程序密码滥用状况引起了安全与合规性风险。拥有了应用程序就可以访问企业的核心应用,为了成功地控制这些应用帐号,所选择的解决方案必须满足如下要求: 安全需求: 1. 加密:应用程序密码必须存储
23、在安全的场所,无论是存储,还是被传送至应用程序,密码必须被加密。 2. 访问控制:必须有很强的访问控制作用在密码使用之上,严格限定能够访问密码的人员或者是应用程序 3. 审计:能够快速审计到任何访问密码的活动,包括个人访问记录。 4. 高可用性:相应的应用程序无法接受宕机时间。应用程序始终能够访问这些密码,不管是在网络连接的问题或者存储发生故障。 管理需求: 1. 广泛的平台支持性:一个企业一般会拥有不同类型的系统、应用和脚本等。为了能够支持企业中不同应用的需求,应用程序密码管理方案必须支持如下广泛平台: a) 脚本 Shell, Perl, bat, Sqlplus, JCL等 b) 应用程
24、序 自定义开发的C/C+应用程序,Java,.NET, Cobol等,也有一些诸如Oracle,SAP的商业系统 c) 应用服务器 大部分企业至少会拥有常见应用服务器的一款:比如IBM WebSphere, Oracle WebLogic,JBOSS 或者Tomcat 2. 简单和灵活的整合:改变应用消除硬编码密码的方式应该简单明了。整个方式应该简化和缩短应用程序向动态密码管理迁移的周期。 3. 支持复杂的分布式环境:大型企业中分布式系统非常多见。例如,一个集中的数据中心和多很分支机构运行着连接到中心的应用程序。网络连接不是时时刻刻可靠的,偶尔也会断网或发生震荡,所以企业应用程序的高可用性是非
25、常重要的,方案应该允许分支机构在连接到总部的网络发生故障时,依旧能够运行良好。 预设账号口令管理系统通地在改变业务系统请求预设帐号方式,由传统的应用内置帐号密码,更改为向预设账号口令管理系统发起预设帐号密码请求,通过对网络传输中的请求、返回数据进行加密,对请求源进行认证与授权的方式,安全保证最新的帐号密码信息的供应。1.3.9 云计算平台目前,大多数用户的数据中心都部署了VMware的云计算平台,这个平台可以很好的融入到信息安全体系当中。账号生命周期管理系统、加密系统、双因素认证系统、活动目录、内嵌账号管理、数据脱敏系统、统一安全运营平台、文件服务器都是标准软件应用,都可以跑在VMware云计
26、算平台上。利用VMware可以方便的对信息安全子系统做快照、系统迁移、系统扩容等,在发生故障时可快速恢复系统,为信息安全系统提供了良好的支撑平台,降低了宕机时间,降低了维护成本,提高了工作效率。1.3.10 防火墙在数据中心部署独立高性能防火墙,利用防火墙逻辑隔离出两个区域,一个是内部核心服务器及数据库区域(数据中心区),一个是信息安全系统及其他对外服务器区域(DMZ非军事区)。在主机账号生命周期管理系统上线运行后,数据中心防火墙需要配置安全策略,对FTP、SSH、Telnet、RDP以及所有未使用的端口进行封闭,禁止任何外部终端对数据中心主机直接发起有效连接,禁止终端直接接触数据中心的资产,
27、只允许其通过管理系统来访问数据中心,但允许数据中心内部主机之间的互相连接。在数据库账号生命周期管理系统上线运行后,数据中心防火墙需要做安全策略,对数据库端口进行封闭,禁止任何外部终端直接采用数据库工具操作数据库,但允许数据中心内部主机之间的数据同步。1.3.11 统一安全运营平台随着信息架构与应用系统日渐庞大,现行IT架构中,早已不是单一系统或是单一设备的单纯环境,系统中往往拥有各种安全设备、主机设备、网络设备、应用系统、中间件数据库等等,每天产生巨大的日志文件,即使是派专人都无法处理过来,一个安全事件的追查,对于结合异质系统、平台的问题上,却又需要花费大量的人力时间,对于问题解决的时间花费与
28、异构平台问题查找,都无法有效管理与降低成本。统一安全运营平台可从单一位置实时搜寻、报警及报告任何使用者、网络、系统或应用程序活动、配置变更及其它IT数据。消除设置多重主控台的需要,从单一位置即可追查攻击者的行踪。现在可以执行更为深入的分析,并更快速而彻底地予以回应,降低风险及危险暴露的程度。意外事件回应在接获任何可疑活动的报警或报告时,统一安全运营平台将会是第一个处理的窗口。只需在统一安全运营平台搜寻框中输入你所掌握的详细数据,包括IDS报警的来源及目标IP,或是认为其私人数据已外泄的客户账户ID即可。统一安全运营平台会立即传回整个网络中所有应用程序、主机及装置中,与该搜寻条件有关的每一事件。
29、虽然开始传回的数据非常多,但统一安全运营平台可协助用户理出头绪,并依照所希望的方式加以整理。其会自动撷取及让用户筛选时间及其它字段、依据关键词及模式将事件分类,因此用户可快速处理完所有的活动数据。若用户发现值得注意的事件,并希望加以追踪,仅要点击任何名词,即可针对所点击的词汇执行新搜寻。正因为统一安全运营平台可为任何IT数据制作索引而不仅是安全性事件或日志文件,因此用户只需使用统一安全运营平台,即可掌握全盘状况。用户可在此单一位置中,搜寻及发现攻击者当下可能执行的程序、过去执行的程序,并查看其可能已修改的配置变更。安全性监控统一安全运营平台可让用户非常容易跨越IT束缚监控安全性事件;搜寻用户路
30、由器及防火墙日志文件中的数据流违反情况,寻找服务器及应用程序上的违反情况,或是寻找未经授权或不安全的配置变更。运用统一安全运营平台的趋势分析、分类及执行识别功能,即可快速识别极为复杂的使用情况,例如可疑的执行及模式,或是网络活动的变化。报警功能可透过电子邮件、RSS、短信或触发脚本寄送通知,可轻易与用户现有的监控主控台整合。报警还能触发自动化动作,以便立即响应特定状况,譬如命令防火墙封锁入侵者日后的数据流。变更侦测通过统一安全运营平台,可持续监测所有路径上的档案,无须另行部署其它代理程序。每次在用户所监控的路径上加入、变更或删除档案时,统一安全运营平台皆会记录一个事件。用户也可以让统一安全运营
31、平台在每次整体档案有所变更时,皆为其制作快照索引。若已部署专用的变更监控工具,亦无影响,只要使用统一安全运营平台为其所记录的事件制作索引,代替直接监控变更即可。无论来源为何,只要索引中的数据变更,用户就会接获重大配置设定变更的警示,并能轻易追踪配置变更的错误症结原因。安全性报告统一安全运营平台为用户提供单一位置,可跨越所有的IT基础结构及技术产生报告,包括跨越所有服务器、设备及应用程序,为安全性事件、效能统计数据及配置变更提供报告,并使用趋势图表及摘要辨识异常及可疑变化。其报告采用交互式能让用户深入发掘,以了解问题的原因及影响。使用统一安全运营平台可传达用户基础结构的安全性基本原则、检查存取控
32、制,或是密切监视使用者的行为,并为用户的客户、管理阶层或同事制作自动化的调度报表,或产生特定操作的报告。然后将报告结果列在仪表板上,为用户组织中的资产管理人提供应用程序及系统的实时检查,以增加对状况的掌握能力。1.3.12 安全运维服务Ø 漏洞扫描服务:漏洞扫描结果、对比分析报告、漏洞情况汇总表Ø 系统加固服务:系统加固和优化解决方案,系统加固实施报告(辅助) Ø 基线评估:对目标系统进行最小安全策略评估Ø 安全渗透测试服务:渗透测试方案,渗透测试报告Ø 安全设备巡检服务:巡检规范、巡检报告Ø 系统安全评审服务:系统安全审核报告(安全
33、策略)Ø 安全顾问咨询服务:信息安全咨询、安全规划、解决方案咨询。Ø 安全事件响应:安全事件报告Ø 安全驻点服务:提供周报、月报、安全系统日常运维操作Ø 安全项目实施:调研、访谈、业务需求1.4 实施效果各安全子系统上线后,给数据中心的安全管理来带明显的效果,对终端、用户、账号、主机、网络、中间件、数据库、应用系统、安全管理等各个层面进行有效的补充,形成一个纵深的防御体系,并结合日常的安全运维服务,让安全体系维持更新与运作,对安全事件有主动预防及事后回查的效果。1.4.1 针对终端接入的管理Ø 完整掌控企业内部所有IP/MAC地址资源,自动收集
34、、侦测IP/MAC地址。Ø 提供在线、离线、未使用及未授权IP地址使用者的信息。Ø 基于Layer 2(MAC层)及Layer 3(IP层)阻断网络设备接入。Ø 自动阻断未授权MAC地址使用者接入网络。Ø 自动阻断未授权IP地址使用者接入网络。Ø 具备IP与MAC地址绑定功能,自动阻断非授权绑定的使用者接入网络。Ø 自动检测IP地址冲突,并自动阻断非授权该IP使用者接入网络。Ø 提供对重要应用系统设备IP地址的保护能力。Ø 提供网络上IP/MAC地址详细信息的功能。Ø 自动探测并阻断网络上未授权的DHCP
35、服务器。Ø 具备侦测并阻断未授权设备(如无线AP)。Ø 内建Secured DHCP 功能(具备IP/MAC地址管理功能,防止静态IP地址与DHCP IP范围冲突)Ø 具备硬件网络设备侦测功能。Ø 支持外部数据的导入等联动功能。Ø 支持多重VLAN。Ø Server与数据库具备冗余功能。Ø 提供异常Event Log及报表功能。Ø 可输出Excel文件形式提供各种情况的信息CSV、HTML、Txt文件输出。Ø 提供API接口做第三方的拓展性开发。1.4.2 针对敏感数据的使用管理Ø 根据用户的不
36、同级别,可以设置文件的不同使用权限和期限; Ø 实时监控敏感文件使用者使用文件的情况; Ø 防止用户非法拷贝、复制、打印、下载文件; Ø 防止用户通过电子邮件、移动硬盘、优盘、软盘等泄密; Ø 防止屏幕拷贝,屏幕录制等使用第三方软件非法操作; Ø 可以从服务器端及时控制加密文件的使用权限及期限; Ø 可以进行用户、用户组、安全策略的管理; Ø 根据工作流程建立策略,对用户权限实现模块化设置; Ø 可以把用户的密钥,权限与指定的台式机,笔记本电脑进行绑定,实现离线浏览; Ø 可以把用户的密钥,权限与指定的U
37、SB锁进行绑定,实现离线浏览; Ø 可以控制用户的阅读,打印次数; Ø 结合水印技术可以查找文件泄密渠道; 1.4.3 针对敏感数据的访问管理Ø 采用SQL Proxy技术,动态拦截SQL命令,并按照数据脱敏规则对SQL命令进行调整,不需更改和另行转换数据库实际内容。Ø 可依据“数据库、数据表、和字段名称”定义数据自动脱敏规则,并可以使用数据库自帯的内置函数,定制数据脱敏规则。Ø 数据脱敏规则支持:ü 部分脱敏 (例如:姓名“王大名>王某某”)ü 隐藏脱敏 (例如:密码> “confidential”)ü
38、; 依据“特定条件”进行脱敏(例如:根据A字段的内容,来决定是否对B字段进行脱敏)ü 脱敏使用的字符,支持中英文各种标准字符;Ø 可对英文数字主键值数据(如:身份证号码)进行脱敏,并使应用系统的主键值关联查询功能仍维持正常,不会因主键值脱敏后查不到资料。Ø 支持“*、?”等万用字符,可以弹性设定数据库表和字段的名称;Ø 支持“中英文编码”脱敏功能,支持BIG5与UNICODE编码,不会因字符编码长度不同而导致中文脱敏后产生乱码。Ø 可按照“数据库用户、连接数据库的应用系统名称、主机名称、时间、SQL命令关键字等多条件组合,来定义不同的脱敏规则。
39、1.4.4 针对主机设备访问的管理Ø 建立UNIX类服务器、LINUX类服务器、Windows类服务器、网络安全等重要设备的统一操作管理平台,统一操作管理入口,并对用户操作管理等网络访问行为进行控制,避免用户直接接触目标服务器重要资源,构建安全规范的服务器操作管理唯一通道。Ø 准确识别用户操作意图,识别用户输入操作命令,并对用户操作进行限制。操作限制支持时间、用户原始IP地址、目标服务器地址、用户名称、系统帐号、使用的命令等策略因子。对高危命令要能自动阻断命令的执行,对越权操作行为要能及时警告。Ø 用户通过SSH、TELNET、RDP、 X-WINDOW、VNC
40、、FTP、SFTP、SCP等方式在服务器上的所有操作行为,都能做到全记录、全审计。Ø 在审计对象出现故障或有管理事故时,审计管理系统可以快速、准确的定位查询相关日志。回放事件的整个过程,用以问题的解决和责任认定。Ø 在服务器上所有的字符命令操作日志,都可以与第三方的syslog日志分析系统做无缝结合。 Ø 不在服务器上安装任何代理软件,设备的部署不影响企业正常的业务数据流,不会发生正常业务流单点故障。Ø 不会更改现有的网络拓扑,不会改变用户的使用习惯Ø 支持现有标准TELNET、SSH、SFTP、FTP、RDP等客户端,不需安装任何第三方特殊功
41、能客户端,不需要特殊客户端软件和本产品配合使用。Ø 日志可以长期保存,以备日后查询审计。1.4.5 针对数据库访问的管理Ø 数据库账号生命周期管理系统可以实现资源的统一,无论B/S、C/S架构应用(如PL/SQL),还是其他计算机资源,都可以采用统一的浏览器方式发布,构建统一应用门户,提高用户访问体验,做到快速部署新增应用系统;Ø 统一的应用发布平台,统一的应用访问门户,统一的接入方式,方便的应用权限管理,支持单点登录及双因素认证,一次登录后用户可以直观的看到自己所能访问的应用资源;Ø 数据采用集中方式管理,让用户自由选择网点及设备进行应用访问,只有鼠标
42、、键盘、屏幕数据经过网络,大大加强了数据中心的安全性,杜绝泄密。Ø 由于网络中不走实际应用数据,所以对带宽的需求是固定的(一个终端100K即可),能够有效降低访问带宽,合理利用带宽资源;Ø 可以方便的控制方便的控制访问数据库账号生命周期管理系统的客户端权限,如:本地打印、添加本地设备、映射本地目录、虚拟化目录访问、访问时间等;Ø 复杂的应用结构往往对终端的要求越来越高,如安装众多的插件、众多的应用端口、兼容性问题、C/S架构导致终端运行缓慢、终端补丁升级、终端病毒感染、机器的老化等,维护的成本越来越高,数据库账号生命周期管理系统的建立,对终端的要求是只需要浏览器,
43、对终端的配置及系统环境没有太多要求,大大降低了维护的成本,并且只需要开放80端口,防火墙的配置不需要再经常变化,加强了安全性,降低了管理成本;Ø 方便的监控应用访问情况,对终端的应用访问过程进行有效监控,并对访问行为进行审计记录;1.4.6 针对数据库的审计Ø 数据库不安全配置;数据库潜在弱点;数据库用户弱口令;数据库软件补丁层次;数据库潜藏木马等等。Ø 能够针对TNS、TDS等协议进行解析还原,包括数据访问的各项要素,如执行的SQL命令、请求内容、包长度、操作回应、作用数量、执行时长;以及客户端及主机端IP、MAC地址、客户端操作系统用户名、主机名、端口、工具、
44、及数据库登录用户名、服务标识等内容。Ø 针对于数据库的操作行为进行实时检测,根据预设置的风险控制策略,结合对数据库活动的实时监控信息,进行特征检测,任何尝试的攻击操作都会被检测到并进行阻断或告警。Ø 不仅支持对数据请求的报文进行审计,同时应对请求的返回结果进行审计,如操作回应、作用数量、执行时长等内容,并能够根据返回的回应进行审计策略定制。Ø 提供全方位的多层(应用层、中间层、数据库层)的访问审计,通过多层业务审计可实现数据操作原始访问者的精确定位。Ø 提供针对用户(数据库)、表、字段、操作的审计规则; Ø 提供对存储过程、函数、包的审计规则;
45、 Ø 提供对视图、索引的审计规则; Ø 精细到表、字段、具体报文内容的细粒度审计规则,实现对敏感信息的精细监控; Ø 基于IP地址、MAC地址和端口号审计;Ø 提供可定义作用数量动作门限,如SQL操作返回的记录数或受影响的行数大于等于此值时触发策略设定; Ø 提供可设定关联表数目动作门限,如SQL操作涉及表的个数大于等于此值时触发策略设定; Ø 可根据SQL执行的时间长短设定规则; 如命令执行时长超过30秒进行告警;Ø 可根据SQL执行的结果设定规则;Ø 支持多级部署环境下数据查询;Ø 支持多级管理下审计
46、规则分发;Ø 可预设置安全策略;Ø 告警(邮件、短信、SYSLOG、SNMP、屏幕)。Ø 提供详细的操作记录查询,包括库、表、字段、具体报文内容查询; Ø 提供所有或单个数据库登录用户、源IP、目的IP的审计规则统计、特征告警、对象访问、请求统计等报表功能,并提供用户自定义报表功能; Ø 能够自动导出WORD、PowerPoint、PDF等各种格式文件;Ø 支持点线图、柱状图、饼图等图文并茂式报表展现;Ø 支持访问数据的趋势分析;Ø 根据三权分立的原则和要求进行职、权分离,对系统本身进行分角色定义,如管理员只负责完
47、成设备的初始配置,规则配置员只负责审计规则的建立,审计员只负责查看相关的审计结果及告警内容;日志员只负责完成对系统本身的用户操作日志管理。Ø 根据事件发生的时间、用户、访问方式(客户端、TELNET、FTP)、用户IP、服务器等组合查询,并对过程进行回放和追溯。Ø 支持Oracle、SQL Server、DB2、Sybase、Informix、MySQL、Oscar等主流数据库;Ø 支持TNS、TDS、HTTP、POP/POP3、SMTP、TELNET、FTP等1.4.7 针对应用内嵌账号的管理在系统部署之前:Ø 大部分密码分散管理,各个系统管理员管理其
48、所负责系统的帐号密码Ø 无法保证合法访问Ø 关键系统访问审计困难Ø 密码强度无法保证Ø 无法做到经常更改Ø 应用程序帐号密码固化在代码中,这部分帐号更难管理在系统部署之后:Ø 所有密码集中管理,用户获得对关键系统特权帐号的掌控权Ø 确保所有系统能够执行单位密码安全策略:复杂度,定期更改,一次性密码Ø 确保对所有系统的“合法”访问: 合适的人,合适的时间,合适的地点,做合适的事情Ø 完全的审计能力Ø 应用程序帐号密码不再明文固化在代码中,建立行业领先的可扩展的应用程序帐号安全平台Ø 定期
49、扫描分布帐号快照,通过匹配,发现未管理的特权帐号Ø 依靠统一日志平台及时发现特权帐号的新增,删除,权限修改,密码更新等Ø 更高的信息系统可管理性和安全性1.4.8 安全运营的规范1. 所有来自于应用系统、网络装置的IT data,都可在同一个地点进行搜寻、警示并产出报告,想要找出攻击者的入侵轨迹和追踪各项联机信息,都可快速容易地完成。2. 传统的IT工具无法针对混合式的威胁事件进行分析、响应,透过IT 搜索可快速存取所有IT data,进而找出问题的发生点与相关活动,协助管理人员快速解决问题。在这个过程中,系统并不需要安装任何代理程序(Agent)或Adapters,更不需要去撰写各种复杂的规则。3. 随着众多IT组件的持续改变,IT data也会不断地产生,能够依照搜寻指示,动态地提供各种信息,不需要随之去改变数据的格式。4. 通过高安全性的设计,能够确保所有的IT data都在安全的状态下被处理,并且保护数据的完整性,更可确保搜寻过程不会影响所有数据中心的生产营运系统。能够协助用户处理以下四大层面问题:Ø 营运(Operation) 快速查出并且解决IT营运问题,确保应用系统和网络的正常运作。 Ø 安全(Security) 可快速且具深度的对各种事件作出响应,降低IT面临的运作风险。