收藏
下载资源

数据中心安全域的设计和划分.doc

上传人:美****子 文档编号:58002040 上传时间:2022-11-06 格式:DOC 页数:9 大小:22.50KB
返回 下载 相关 举报
数据中心安全域的设计和划分.doc_第1页
第1页 / 共9页
数据中心安全域的设计和划分.doc_第2页
第2页 / 共9页
点击查看更多>>
资源描述

《数据中心安全域的设计和划分.doc》由会员分享,可在线阅读,更多相关《数据中心安全域的设计和划分.doc(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、数据中心平安域的设计与划分平安区域(以下简称为平安域)是指同一系统内有一样的平安保护需求,相互信任,并具有一样的平安访问控制与边界控制策略的子网或网络。平安域划分是保证网络及根底设施稳定正常的根底,也是保障业务信息平安的根底。一、平安域设计方法 平安域模型设计采用同构性简化方法,根本思路是认为一个复杂的网络应当是由一些相通的网络构造元所组成,这些网络构造元以拼接、递归等方式构造出一个大的网络。一般来讲,对信息系统平安域(保护对象)的设计应主要考虑如下方面因素:1.业务与功能特性。业务系统逻辑与应用关联性。业务系统对外连接。对外业务、支撑、内部管理。2.平安特性的要求。平安要求相似性。可用性、保

2、密性与完整性的要求。威胁相似性。威胁来源、威胁方式与强度。资产价值相近性。重要与非重要资产别离。3.参照现有状况。现有网络构造的状况。现有网络构造、地域与机房等。参照现有的管理部门职权划分。二、平安域设计步骤一个数据中心内部平安域的划分主要有如下步骤:1.查看网络上承载的业务系统的访问终端与业务主机的访问关系及业务主机之间的访问关系,假设业务主机之间没有任何访问关系,那么单独考虑各业务系统平安域的划分,假设业务主机之间有访问关系,那么几个业务系统一起考虑平安域的划分。2.划分平安计算域。根据业务系统的业务功能实现机制、保护等级程度进展平安计算域的划分,一般分为核心处理域与访问域,其中数据库效劳

3、器等后台处理设备归人核心处理域,前台直接面对用户的应用效劳器归人访问域;局域网访问域可以有多种类型,包括开发区、测试区、数据共享区、数据交换区、第三方维护管理区、VPN接人区等;局域网的内部核心处理域包括数据库、平安控制管理、后台维护区(网管工作)等,核心处理域应具有隔离设备对该区域进展平安隔离,如防火墙、路由器(使用ACL)、交换机(使用VLAN)等。3.划分平安用户域。根据业务系统的访问用户分类进展平安用户域的划分,访问同类数据的用户终端、需要进展一样级别保护划为一类平安用户域,一般分为管理用户域、内部用户域、外部用户域。4.划分平安网络域。平安网络域是由连接具有一样平安等级的计算域与(或

4、)用户域组成的网络域。网络域的平安等级确实定与网络所连接的平安用户域与(或)平安计算域的平安等级有关。一般同一网络内化分三种平安域:外部域、接人域、内部域。三、平安域模型该模型包含平安效劳域、有线接人域、无线接入域、平安支撑域与平安互联域等五个平安区域。同一平安区域内的资产实施统一的保护,如进出信息保护机制、访问控制、物理平安特性等。1.平安效劳域。平安效劳域是指由各信息系统的主机/效劳器经局域网连接组成的存储与处理数据信息的区域。2.有线接人域。有线接人域是指由有线用户终端及有线网络接人根底设施组成的区域。终端平安是信息平安防护的瓶颈与重点。3.无线接人域。无线接人域是指由无线用户终端、无线

5、集线器、无线访问节点、无线网桥与无线网卡等无线接人根底设施组成的区域。4.平安支撑域。平安支撑域是指由各类平安产品的管理平台、监控中心、维护终端与效劳器等组成的区域,实现的功能包括平安域内的身份认证、权限控制、病毒防护、补丁升级,各类平安事件的收集、整理、关联分析,平安审计,人侵检测,漏洞扫描等。5.平安互联域。平安互联域是指由连接平安效劳域、有线接人域、无线接入域、平安支撑域与外联网(Extranet)的互联根底设施构成的区域。平安效劳域细分为关键业务、综合业务、公共效劳与开发测试等4个子域;平安互联域细分为局域网互联、广域网互联、外部网互联、因特网互联4个子域。一、平安效劳域划分等保三级的

6、业务系统效劳器划入关键业务子域,例如,财务管理系统。SAN集中存储系统划入关键业务子域,并在SAN存储设备上单独划分出物理/逻辑存储区域,分别对应关键业务子域、综合业务子域、公共效劳子域、开发测试子域中的存储的空间。等保末到达三级的业务系统效劳器划入综合业务子域,例如,人力资源、网站系统、邮件系统等业务系统效劳器。提供网络根底效劳的非业务系统效劳器划入公共效劳子域,例如,DNS效劳器、Windows域效劳器等。用于开发与测试的效劳器划分入开发测试子域。二、有线接入域划分所有有线用户终端及有线网络接入根底设施划入有线接入域。三、无线接入域划分所有无线用户终端与无线集线器、无线访问节点、无线网桥、

7、无线网卡等无线接入根底设施划入无线接入域。四、平安支撑域划分各类平安产品的管理平台、监控中心、维护终端与效劳器划入平安支撑域。五、.平安互联域划分。局域网核心层、会聚层互联设备与链路划入局域网互联子域。自主管理的综合数字网接入链路与接入设备,包含网络设备、平安设备与前端效劳器划入广域网互联子域。自主管理的第三方合作伙伴网络接入链路与接入设备,包含网络设备、平安设备与前端效劳器划入外部网互联子域。自主管理的因特网接入链路与接人设备,包含网络设备、平安设备与前端效劳器划入因特网互联子域。四、平安域互访原那么1.平安效劳域、平安支撑域、有线接入域、无线接入域之间的互访必须经过平安互联域,不允许直接连

8、接。2.关键业务子域、综合业务子域、公共效劳子域、开发测试子与之间的互访必须经过平安互联域,不允许百接连接。3.广域网互联子域、外部网互联子域、因特网互联子域与其他平安域或子域之间的互访必须经过平安互联域,不允许直接连接。4.广域网互联子域、外部网互联子域、因特网互联子域之间的互访必须经过平安互联域,不允许直接连接。同一平安子域,如关键业务子域、综合业务子域、根底业务子域、公共效劳子域、开发测试子域内部的不同系统之间应采用VLAN进展隔离,VLAN间的路由应设置在核心或会聚层设备上,不允许通过接人层交换机进展路由。五、平安域边界整合平安域之间互联接口数量越多,平安性越难以控制,因此,必须在保证

9、各种互联需求的前提下对平安域边界进展合理整合,通过对系统接口的有效整理与归并,减少接口数量,提高接口标准性。边界整合最终要实现不同类别边界链路层物理隔离,边界设备(如交换机、路由器或防火墙等)实现硬件独立,杜绝混用现象。同时边界设备要满足冗余要求。平安域边界整合的原那么如下:1.平安支撑域与平安互联域之间所有的互访接口整合为一个边界。2.有线接入域与平安互联域之间所有的互访接口整合为一个边界。3.平安互联域与外部网络之间所有的互访接口整合为三个边界,分别是:广域网互连子域与广域网之间所有的互访接口整合为一个边界。因特网互联子域与因特网之间所有的互访接口整合为一个边界。外部网互联子域与第三方网络

10、之间所有的互访接口整合为一个边界。4.平安效劳域与平安互联域之间所有的互访接口整合为四个边界:关键业务子域边界、综合业务子域边界、公共效劳子域边界、开发测试子域边界。关键业务子域与局域网互联子域之间所有的互访接口整合为一个边界。综合业务子域与局域网互联子域之间所有的互访接口整合为一个边界。公共效劳子域与局域网互联子域之间所有的互访接口整合为一个边界。开发测试子域与局域网互联子域之间所有的互访接口整合为一个边界。六、边界防护技术目前常用的边界保护技术主要包括防火墙、接口效劳器、病毒过滤、入侵防护、单向物理隔离、拒绝效劳防护等。1.防火墙。防火墙可以根据互联系统的平安策略对进出网络的信息流进展控制

11、(允许、拒绝、监测)。防火墙作为不同网络或网络平安区域之间信息的出入口,能根据系统的平安策略控制出入网络的信息流,且具有较强的抗攻击能力,它是提供信息平安效劳,实现网络与信息平安的根底设施。在逻辑上,防火墙是一个别离器,一个限制器,也是一个分析器,有效地监控了内部网与外部网之间的活动,保证内部网络的平安。通过防火墙可以防止非系统内用户的非法入侵、过滤不平安效劳及规划网络信息的流向。防火墙的重要作用是网络隔离与对用户进展访问控制,目的是防止对网络信息资源的非授权访问与操作,包括各个子网对上级网络,各个同级子网之间的非法访问与操作。这些访问控制,在物理链路一级的加密设备中很难实现,而防火墙那么具有

12、很强的平安网络访问控制能力,主要表达在它完善的访问控制策略上。2.接口效劳器。接口效劳器的目的在于实现威胁等级高的系统访问威胁等级低的系统时,Server-Server间的通信。通过接口效劳器,使防护等级高的系统中后台的核心效劳器对威胁等级高的系统屏蔽,在向威胁等级高的系统访问时,看到的仅仅是应用接口效劳器,这样对系统的防护更加有效,而且也更容易实现二者之间的访问控制,因此适用于威胁等级高的系统访问防护等级高的系统。这种保护方式需要与单层或双重异构防火墙结合进展部署。类似设备,如堡垒主机、数据交换效劳器等。3.病毒过滤。病毒过滤一般采用全面的协议保护与内嵌的内容过滤功能,能够对SMTP、PUP

13、3、IMAP、HTTP、FTP等应用协议进展病毒过滤以及采用关键字、URL过滤等方式来阻止非法数据的进入。由于数据流经历了完全的过滤检查,必然会使得其效率有所降低。4.入侵防护。入侵防护是一种主动式的平安防御技术,它不仅能实时监控到各种恶意与非法的网络流量,同时还可以直接将有害的流量阻挡于所保护的网络之外,从而对其网络性能进展最正确的优化。入侵防护主要用来防护三种类型的攻击:异常流量类防护、攻击特征类防护、漏洞攻击类防护。5.单向物理隔离。物理隔离技术通常采用高速电子开关隔离硬件与专有协议,确保网络间在任意时刻物理链路完全断开。同时可以在两个相互物理隔离的网络间平安、高速、可靠地进展数据交换。6.拒绝效劳防护。拒绝效劳防护一般包含两个方面:一是针对不断开展的攻击形式,能够有效地进展检测;二是降低对业务系统或者是网络的影响,保证业务系统的连续性与可用性。通常拒绝效劳防护应能够从背景流量申准确的区分攻击流量、降低攻击对效劳的影响、具备很强的扩展性与良好的可靠性。7.认证与授权。基于数字证书,实现网络访问身份的高强度认证,保障网络边界的平安;只有通过数字证书校验的合法的、被授权的用户才可以接人网络,才可以访问后台的业务系统。第 9 页

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 应用文书 > 文案大全

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁