《数据中心安全规划方案.docx》由会员分享,可在线阅读,更多相关《数据中心安全规划方案.docx(26页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、数据中心安全规划方案GE GROUP system office room 【GEIHUA16H-GEIHUA GEIHUA8Q8-XX 数据中心信息系统安全建设工程技术方案名目1. 工程概述1.1. 目标与范围本次数据中心的安全建设主要依据信息安全技术信息安全等级保护根本要求中的技术局部,从网络安全,主机安全,应用安全,来对网络与效劳器进展设计。依据用户需求,在本次建设完毕后 XX 数据中心网络将到达等保三级的技术要求。因用户网络为建网络,所以本次建设将完全依据信息安全技术信息安全等级保护根本要求中技术局部要求进展。1.2. 参照标准GB/T22239-2022信息安全技术信息安全等级保护根
2、本要求GB/T 22239-2022信息安全技术信息安全等级保护根本要求GB/T 22240-2022信息安全技术信息系统安全等级保护定级指南GB/T 20270-2022信息安全技术网络根底安全技术要求GB/T 25058-2022信息安全技术信息系统安全等级保护实施指南GB/T 20271-2022信息安全技术信息系统安全通用技术要求GB/T 25070-2022信息安全技术信息系统等级保护安全设计技术要求GB 17859-1999计算机信息系统安全保护等级划分准则GB/Z 20986-2022信息安全技术信息安全大事分类分级指南1.3. 系统描述XX 数据中心平台共有三个信息系统:能源应
3、用,环保应用,市节能减排应用。企业节点通过企业信息前置机抓取企业节点数据,并把这些数据上传到XX 数据中心的数据库中,数据库对这些企业数据进展汇总与分析,同时企业节点也可以通过 VPN 去访问 XX 数据中心的相关应用。XX 数据中心平台也可通过政务外网,环保专网与相关局部进展信息交互。供给信息访问。2. 安全风险分析2.1. 系统脆弱性分析人的脆弱性:人的安全意识缺乏导致的各种被攻击可能,如承受未知数据,设置弱口令等。安全技术的脆弱性:操作系统和数据库的安全脆弱性,系统配置的安全脆弱性,访问掌握机制的安全脆弱性,测评和认证的脆弱性。运行的脆弱性:监控系统的脆弱性,无入侵检测设备,响应和恢复机
4、制的不完善。2.2. 安全威逼分析2.2.1. 被动攻击产生的威逼(1) 网络和根底设施的被动攻击威逼局域网/骨干网线路的窃听;监视没被保护的通信线路;破译弱保护的通信线路信息;信息流量分析;利用被动攻击为主动攻击制造条件以便对网络根底设施设备进展破坏,如截获用户的账号或密码以便对网络设备进展破坏;机房和处理信息终端的电磁泄露。(2) 区域边界/外部连接的被动攻击威逼截取末受保护的网络信息;流量分析攻击;远程接入连接。(3) 计算环境的被动攻击威逼猎取鉴别信息和掌握信息;猎取明文或解密弱密文实施重放攻击。2.2.2. 主动攻击产生的威逼(1) 对网络和根底设施的主动攻击威逼一是可用带宽的损失攻
5、击,如网络堵塞攻击、集中攻击等。二是网络治理通讯混乱使网络根底设施失去掌握的攻击。最严峻的网络攻击是使网络根底设施运行掌握失灵。如对网络运行和设备之间通信的直接攻击,它企图切断网管人员与根底设施的设备之间的通信,比方切断网管人员与交换机、路由器之间的通信,使网管人员失去对它们的掌握。三是网络治理通信的中断攻击,它是通过攻击网络底层设备的掌握信号来干扰网络传输的用户信息;引入病毒攻 击;引入恶意代码攻击。(2) 对信息系统及数据主动攻击威逼试图阻断或攻破保护机制内网或外网;偷窃或篡改信息;利用社会工程攻击哄骗合法用户如匿名询问合法用户账号;伪装成合法用户和效劳器进展攻击;IP 地址哄骗攻击;拒绝
6、效劳攻击;利用协议和根底设施的安全漏洞进展攻击;利用远程接入用户对内网进展攻击;建立非授权的网络连接;监测远程用户链路、修改传输数据;解读未加密或弱加密的传输信息;恶意代码和病毒攻击。(3) 计算环境的主动攻击威逼引入病毒攻击;引入恶意代码攻击;冒充超级用户或其他合法用户;拒绝效劳和数据的篡改;伪装成合法用户和效劳器进展攻击;利用配置漏洞进展攻击;利用系统脆弱性操作系统安全脆弱性、数据库安全脆弱性实施攻击; 利用效劳器的安全脆弱性进展攻击;利用应用系统安全脆弱性进展攻击。(4) 支持性根底设施的主动攻击威逼对未加密或弱加密的通信线路的搭线窃听;用猎取包含错误信息的证书进展伪装攻击;拒绝效劳攻击
7、如攻击名目效劳等;中间攻击;攻击 PIN 猎取对用户私钥的访问、在支持性根底设施的组件中引入恶意代码攻击、在密钥分发期间对密钥实施攻击、对 PKI 私钥实施密码攻击、对密钥恢复后的密钥进展末授权访问、在用户认证期间使用户不能生成失效信息;利用备份信息进展攻击。3. 安全需求分析3.1. 等级保护要求分析3.1.1. 网络安全类别掌握点重点要求项对应措施网络 构造安全交 换 设 备 的 冗 安 全 域 划安全余、网络划分与分, 通过安隔离全治理平台进展网络拓扑治理网络边界部署访安全域边界访问掌握问掌握设备, 启增加部署防用访问掌握功能火墙设备对网络系统中的安全审计网络设备运行状况、网络流量、用户
8、行为等进展部署网络安全审计系统日志记录边界完整性检查对内部用户未通过准许私自联到外部网络的行为进展检查承受技术手段进展违规外联网络出口的边界处部署入侵防范网络边界入侵行为监视入侵检测, 重要效劳器区前面实行入侵防护措施3.1.2. 主机安全类别掌握点重点要求项对应措施主机 身份鉴别对登录操作系统 部署身份鉴安全和数据库系统的别系统。用户进展身份标识和鉴别访问掌握启用访问掌握功能, 实现操作系统和数据库系统特权用户的权限分别对系统安全加固, 限制默认帐户、时删除多余的、 过期的帐户等承受主机审计措施, 通用户行为、系统过安全治理安全审计资源、系统安全平台对操作大事审计系统、 数据库进展监控治理入
9、侵防范操作系统最小安装的原则、准时更系统补丁对主机进展漏洞检查, 并部署入侵防范设备。恶意代码防范能够集中治理的恶意代码防护系统部署网络版防病毒软件设定终端接入方利用访问控资源掌握式、网络地址范围等条件限制终制策略与堡垒机产品结端登录合的方式进行掌握。3.1.3. 应用安全类别掌握点重点要求项供给专用的登录掌握模块对登录对应措施部署身份鉴别效劳器并身份鉴别访问掌握应用 安全审计安全用户进展身份标识和鉴别账户访问权限治理应用系统重要安全大事进展审计承受密码技术进展会话初始化验与应用进展联动部署堡垒机对访问进展权限治理部署堡垒机对应用访问进展记录应用软件安全改造, 对通信保密性 证, 对通信过程中
10、的敏感信息字段进展加密敏感字段进展加密会话超时、会话 部署堡垒机资源掌握并发治理、多重 设备进展限并发会话限制制类别安全需求网络安全划分安全域、明确安全边界3.2. 安全需求总结网络出口边界、的安全边界部署防火墙设备网络出口边界部署入侵检测设备关键业务前段部署入侵防范系统网页应用系统边界部署 WEB 应用安全网关重要数据库部署网络安全审计系统部署身份认证系统对访问进展身份认证部署堡垒机设备对主机访问进展掌握与审计主机安全承受网络版杀毒软件部署漏洞扫描设备对主机的漏洞进展检测并准时修 补应用系统与身份认证系统相结合进展身份鉴别应用系统与堡垒机相结合来进展审计与访问掌握应用安全部署安全治理平台对网
11、络,主机,应用的日志进展审计与分析。4. 整体安全设计4.1. 安全域4.1.1. 安全域划分原则(1) 业务保障原则安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率。信息安全效劳所强调的核心思想是应当从客户业务而不是 IT 效劳供给方技术的角度理解 IT 效劳需求。也就是说,在供给 IT 效劳的时候,我们首先应当考虑业务需求,依据业务需求来确定 IT 需求包括安全需求。在安全域划分时会面临有些业务严密相连,但是依据安全要求信息密级要求,访问应用要求等又要将其划分到不同安全域的冲突。是将业务按安全域的要求强性划分,还是合并安全域以满足业务
12、要求?必需综合考虑业务隔离的难度和合并安全域的风险会消灭有些资产保护级别不够,从而给出适宜的安全域划分。(2) 等级保护原则依据安全域在业务支撑系统中的重要程度以及考虑风险威逼、安全需求、安全本钱等因素,将其划为不同的安全保护等级并实行相应的安全保护技术、治理措施,以保障业务支撑的网络和信息安全。安全域的划分要做到每个安全域的信息资产价值相近,具有一样或相近的安全等级、安全环境、安全策略等。安全域所涉及应用和资产的价值越高,面临的威逼越大,那么它的安全保护等级也就越高。(3) 深度防范原则依据网络应用访问的挨次,逐层进展防范,保护核心应用的安全。安全域的主要对象是网络,但是围绕安全域的防护需要
13、考虑在各个层次上立体防守, 包括在物理链路、网络、主机系统、应用等层次;同时,在部署安全域防护体系的时候,要综合运用身份鉴别、访问掌握、检测审计、链路冗余、内容检测等各种安全功能实现协防。(4) 构造简化原则安全域划分的直接目的和效果是要将整个网络变得更加简洁,简洁的网络构造便于设计防护体系。安全域划分不宜过于简单。(5) 生命周期原则对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化; 另外,在安全域的建设和调整过程中要考虑工程化的治理。(6) 安全最大化原则针对业务系统可能跨越多个安全域的状况,对该业务系统的安全防护必需要使该系统在全局上到达要求的安全等级,即实现安全的最大化防
14、护,同时满足多个安全域的保护策略。(7) 可扩展性原则当有的业务系统需要接入业务支撑网时,依据等级保护、对端可信度等原则将其分别划分至不同安全等级域的各个子域。4.1.2. 安全域划分设计依据 XX 数据中心的状况,把网络分为三个安全域:应用安全域,数据库安全域,安全治理安全域。安全域之间利用防火墙进展隔离。安全域划分拓扑如下:4.2. 安全设备部署(1) 网络边界考虑到网络的高可用性,网络出口设备均双机部署。在网络出口部署两台防止 DDOS 产品,对 DDOS 攻击进展过滤。在网络出口部署两台防火墙设备,对进出 XX 数据中心网络的流量进展策略掌握。在网络出口部署两台入侵防范设备对进展 XX
15、 数据中心网络的流量进展检测,从而推断数据中是否含有恶意攻击与恶意代码。(2) 核心交换区在核心交换区旁路部署一台 IDS 与一台安全审计产品,对核心交换机上面的流量进展安全的检测与审计,包括来往核心交换机上面的流量是否有恶意威逼。是否有针对于后台数据库的威逼等。(3) 应用区安全域在应用区边界部署 web 应用防火墙设备,因应用区部署的应用均为 B/S 架构,而 web 应用防火墙恰恰是针对于 协议进展安全过滤的设备,很好的满足了三级等保中针对于应用安全的规定。(4) 数据库安全域数据库安全域边界部署一台安全域防火墙,实行有效的访问掌握策略;同时在安全域交换机旁路部署一台安全审计系统,对网络
16、运维治理和数据库操作进展全面审计。(5) 安全治理区安全域在安全治理区部署漏洞扫描设备,对网络中的主机进展安全自查,降低主机的脆弱性。在安全治理区部署堡垒机设备,结合部署的身份认证系统对主机与应用进展身份鉴别,访问掌握与安全审计。在安全治理区部署安全治理平台,对网络中的主机与安全设备进展统一的监控与统一的日志分析。在网络中各个主机上部署网络版防病毒软件,并且在安全治理区部署网络防病毒主控端。5. 具体安全设计5.1. 网络安全设计5.1.1. 抗 DOS 设备5.1.1.1. 部署目的随着僵尸网络的泛滥,DDoS 攻击等恶意流量的规模也在快速增大。据估量,中国的黑客产业链条规模已达上百亿,而在
17、这中间有很大一局部就是和DDoS 攻击相关的。实际上,DDoS 攻击也像网络带宽一样,已经成为可以售卖的资源。利益驱使 DDoS 的规模进一步扩大。2022 年 3 月,全球网络安全和治理解决方案供给商 Arbor Networks 公布2022 年是 DDoS 攻击在互联网上活动规模和频率激增的一年;DDoS 攻击规模首次突破 100 Gbps,效劳供给商因此受到巨大的冲击。2022 年 3 月,CNCERT 公布了2022 年中国互联网网络安全态势报告称DDoS 的频率和规模都在快速增大。依据 CNCERT 抽样监测觉察,我国境内日均发生攻击总流量超过 1G 的较大规模的 DDoS 攻击大
18、事 365 起。其中,TCP SYN FLOOD 和 UDP FLOOD 等常见虚假源 IP 地址攻击大事约占 70%,对其溯源和处臵难度较大。DDoS 攻击最让人头疼的是攻击和防范的不对等性。现在的 DDoS 攻击技术门槛越来越低,格外简洁发起,但检测和防范则需要强大的技术支撑。由于黑客地下产业链的进展,各种攻击工具在网上随处可见,甚至公然打包售卖。即使是对于初级网络水平的人来说,使用这些攻击也是很简洁的事情。而对于有阅历的黑客来说,使用这些工具可以组织起简单的攻击,令防范变得困难。例如 2022 年针对某玩耍网站的攻击持续了数月,综合承受了 DNS 恳求攻击、UDP FLOOD、TCP S
19、YN FLOOD、 恳求攻击等多种方式,攻击峰值流量达数十个 Gbps,令人防不胜防。5.1.1.2. 部署方式及说明防 DOS 设备串行在网络出口,对流量进展清洗,过滤含有 DOS 或 DDOS特征的流量,保证网络安全。由于防 DOS 串行在网络出口,所以选择双机部署。5.1.2. 防火墙5.1.2.1. 部署目的防火墙是一种部署在安全边界上的高级访问掌握设备,是不同区域之间信息流的唯一通道,能依据制定好的安全策略掌握允许、拒绝、监视、记录 不同区域之间的访问行为。作为一个专业化的访问掌握产品,防火墙不仅供给格外敏捷的访问掌握功能基于 IP 地址、端口、协议、用户名、应用命令等 和强大的审计
20、鉴别功能,还供给了多种关心功能,比方地址转换、端口映射、IP 与 MAC 地址绑定等等。安全边界承受防火墙设备,依据 ip 五元组源/目的 ip,源/目的端口,协议,对网络边界进展访问掌握,隔离不同的安全域,只有经过许可的 ip、端口、协议才被容许访问防火墙内的网络和系统资源,保障了网络的规律隔离。5.1.2.2. 部署方式及说明防火墙串行部署在网络主干链路上,用于网络安全边界的访问掌握,可以承受透亮工作模式,工作口不需要配置 ip,不影响网络路由构造。每台防火墙,均另外需 1 个 ip 用来作为治理设备,治理方式为 B/S。由于防火墙作为网络出口和安全域边界的安全网关,一旦消灭故障对网络数据
21、传输、网络安全策略有很大的影响,因此在网络出口部署两台防火墙。在数据库区边界部署一台防火墙。5.1.3. WEB 应用安全网关5.1.3.1. 部署目的Web 应用安全网关Web Application Gateway,简称 WAG是一代 Web 安全防护与应用交付类应用安全产品,主要针对 Web 效劳器进展 / S 流量分析,防护以 Web 应用程序漏洞为目标的攻击,并针对 Web 应用访问各方面进展优化,以提高 Web 或网络协议应用的可用性、性能和安全性,确保Web 业务应用能够快速、安全、牢靠地交付。WAG 应用了一套 会话规章集,这些规章涵盖诸如 SQL 注入、以及XSS 等常见的
22、Web 攻击。网页防篡改模块会事先将被保护Web 效劳器的主要页面拷贝到设备存储器内,一旦检测出被保护 URL 页面有被篡改的状况,遇到用户有针对该页面的访问恳求时,会将事先备份的正常页面返回给用户,屏蔽被篡改的页面不被访问,维护用户的声誉,此种方法的优点是不用在被保护Web 效劳器上安装 Agent,对 Web 应用系统不会造成额外影响。5.1.3.2. 部署方式及说明在应用区和核心交换机之间串行部署 Web 应用安全网关,可实行透亮工作模式,不影响网络路由构造,针对 Web 效劳器进展第 7 层流量分析,确保业务应用能够快速、安全、牢靠地交付。5.1.4. 入侵防范5.1.4.1. 部署目
23、的虽然访问掌握系统如防火墙可以静态的实施访问掌握策略,防止一些非法的访问等,但对利用合法的访问手段或其它的攻击手段比方,利用内部系统的漏洞等对系统入侵和内部用户的入侵等是没有方法掌握的;因此,系统内需要建设统一的符合国家规定的安全检测机制,实现对网络系统进展自动的入侵检测和分析,对非法信息予以过滤,提高系统整体安全性。入侵防范技术高度融合高性能、高安全性、高牢靠性和易操作性等特性, 带来了深度攻击防范和应用带宽保护的完善价值体验。通过入侵防护系统可以实时、主动拦截黑客攻击、网络病毒等恶意流量,保护信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机,IPS 可以深入到路由、防火墙模块和
24、应用层,快速扫描流量,它可以利用其上千种攻击特征数据库,识别和分析外部的攻击,并实时报警和记录,同时可以对上百种入侵和攻击进展主动防护。此外,还可以对 MSN、Skype、Yahoo Message 等即时消息进展阻断,允许用户 对 BT、kazza 等 P2P 多点共享协议软件进展阻断。5.1.4.2. 部署方式及说明IPS 串行部署在网络主干链路上,用于安全域边界的入侵防护,可以承受透亮工作模式,工作口不需要配置 ip,不影响网络路由构造。治理中心安装在专用治理效劳器中,实现 IPS 设备统一的掌握治理、监控告警、日志收集和定制报表等功能。由于 IPS 串行于主干线上所以双机部署。5.1.
25、5. 入侵检测5.1.5.1. 部署目的互联网当前正处于高速的进展态势,随之而来的攻击、病毒、威逼也是日月异,面对日益加剧的安全形式需要一套能够实时检测攻击、预警、响应的工具。通过部署入侵检测系统可以起到以下目的:(1) 入侵检测网络入侵检测系统IDS可以实现对黑客攻击缓冲区溢出、SQL 注入、暴力猜测、拒绝效劳、扫描探测、非授权访问等、蠕虫病毒、木马后门、间谍软件、僵尸网络等进展实时检测及报警。(2) 流量分析网络入侵检测系统IDS对网络进展流量分析,实时统计出当前网络中的各种报文流量;IDS 能够帮助治理员应付网络攻击,最大限度地削减攻击可能给用户造成的损失,从而进一步提高了单位信息安全根
26、底构造的完整性。(3) 行为监控IDS 系统会对网络流量进展监控,对严峻滥用网络资源的大事供给告警和记录。5.1.5.2. 部署方式及说明网络入侵检测系统IDS由于涉及到数据的存储和处理,所以,多承受C/S 的部署方式,一般分为“引擎”和“掌握台兼数据中心”两局部:(1) IDS 引擎:IDS 引擎接入核心交换机的镜像端口,以监听相应网络的网络流量,IDS引擎工作口无需配置 ip,另需配置一个治理 ip 地址;(2) IDS 掌握台兼数据中心:在与引擎治理 IP 地址联通的安全治理安全域,部署 1 台效劳器,安装 IDS 掌握台软件,以便存储、分析 IDS 引擎的检测数据,并管控 IDS 引擎
27、。掌握台可挂接存储设备如 NAS 存储。5.1.6. 安全审计5.1.6.1. 部署目的安全审计系统综合了网络安全审计和数据库安全审计 2 大功能。网络审计系统针对业务环境下的网络操作行为进展细粒度审计的合规性治理系统。通过对业务人员访问系统的行为进展解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进核心资产数据库、效劳器、网络设备等的正常运营。数据库安全审计系统是通过网络数据的采集、分析、识别,实时监控网络中数据库的全部访问操作,同时支持自定义内容关键字库,实现数据库操作的内容监测识别,觉察各种违规数据库操作行
28、为,准时报警响应、全过程操作复原,从而实现安全大事的准确全程跟踪定位,全面保障数据库系统安全。5.1.6.2. 部署方式及说明数据库安全域接入交换机旁路,部署 1 台安全审计系统,审计引擎需要接入交换机的镜像端口,工作口不需要配置 ip,不影响网络路由构造,更不影响网络性能;治理口接入安全治理域交换机,需配置 1 个 ip 用来进展治理。5.1.7. 防病毒5.1.7.1. 部署目的目前计算机病毒的进展日益猖獗,防病毒进展更趋向于集中式治理、分布式杀毒的架构,对局域网进展远程集中式安全治理,可通过账号和口令设置掌握移动掌握台的使用,并且先进的分布技术,利用本地资源和本地杀毒引擎, 对本地节点的
29、全部文件进展全面、准时、高效的查杀病毒,同时保障用户的隐私,削减了网络传输的负载,避开因大量传输文件而引起的网络拥塞。部署上以效劳器为中心,进展网络杀毒的治理,这种方式与网络拓扑构造融合,治理更加便利。5.1.7.2. 部署方式及说明在安全治理区部署杀毒软件管控中心效劳器,在网内终端部署杀毒软件客户端,通过效劳器端对终端的全面治理、制定病毒查杀策略。5.2. 安全运维治理5.2.1. 漏洞扫描漏洞扫描系统主要用来定期检查系统内网络设备、终端系统、效劳器系 统、安全设备以及数据库等系统重要资产的脆弱性状况,针对主干系统的特 点,建议将漏洞扫描部署在标清和高清业务支撑平台各自的安全治理区内,实现对
30、各自业务支撑平台定期的漏洞扫描,同时,漏洞扫描的结果将提交给安全治理与综合审计平台,成为风险分析的重要数据来源。漏洞扫描系统是基于网络的脆弱性分析、评估和综合治理系统,漏洞扫描系统能够快速觉察网络资产,准确识别资产属性、全面扫描安全漏洞,清楚定性安全风险,给出修复建议和预防措施,并对风险掌握策略进展有效审核,从而在弱点全面评估的根底上实现安全自主掌控。5.2.2. 安全治理平台安全治理平台系统是一个面对全网 IT 资源的集中安全治理平台。通过对网络中各类 IT 资源的安全域划分,以及海量异构网络与安全大事的采集、处理和分析,面对业务信息系统建立一套可度量的风险模型,使得各级治理员能够实现全网的
31、资产运行监控、大事分析与审计、风险评估与度量、预警与响应、态势分析,并借助标准化的流程治理实现持续的安全运营。系统的主要功能包括:(1) 网络运行监控系统能够对全网的各类网络设备、安全设备、主机、数据库、应用系统等实时、细粒度的运行监控,准时觉察网络中的可用性故障,并进展故障定位和告警响应,确保重要业务信息系统的可用性和业务连续性。系统能够形象地展现出用户的网络拓扑,并动态展现拓扑节点的运行状 态,还能够依据用户治理的组织和部门构造在地图上展现出设备或者设备组的地理位置。(2) 大事及流量治理系统能够采集全网中各类网络设备、安全设备、主机、数据库、应用系统等的日志、告警和大事,并对这些信息进展
32、范式化、过滤、归并,形成统一的大事格式,包括统一大事严峻等级、统一大事类型和名称等,使得治理员能够在系统的治理掌握台上便利地扫瞄全部安全大事,并确保信息的全都性。针对全部安全大事,系统能够通过大事关联分析引擎进展多种大事关联分析,包括规章关联、漏洞治理、统计关联,等等。(3) 脆弱性治理系统支持将各类第三方漏洞扫描、应用扫描和人工评估的漏洞信息整合到一起,形成基于资产和业务的漏洞信息库,并计算资产和业务的脆弱性。系统能够对觉察的漏洞信息进展预警通告。(4) 响应治理系统具备完善的响应治理功能,能够依据用户设定的各种触发条件,通过多种方式例如邮件、声音、SNMP Trap 等通知用户,并触发可以
33、自定义的响应处理流程,直至跟踪到问题处理完毕,从而实现安全大事的闭环治理。系统支持设备掌握脚本,允许治理员自动对设备进展操作掌握,准时阻断攻击源。系统内置工作流引擎,能够进展响应处理流程的自定义。(5) 学问治理系统具有完善的安全治理学问库系统,内容涵盖安全大事库、安全策略 库、安全公告库、预警信息库、漏洞库、关联规章库、处理预案库、工作流程库、案例库、报表库等,并供给定期或者不定期的学问库升级效劳。(6) 信息展现系统为客户供给了多样化的信息展现方式。包括:整合网络的可视化视 图、具体应用效劳的运行细粒度视图、基于规章的安全大事穿插视图、基于资产及安全域的风险视图,等等。(7) 报表报告系统
34、具备实时和调度报表功能,能够依据各种统计条件实时动态地产生丰富的统计报表,也可以依据客户自定义的调度打算定期自动生成报表报告。系统支持客户自定义报表功能,能够生成各类客户化的报表报告。5.2.3. 堡垒机堡垒机是针对业务环境下的用户运维操作进展掌握和审计的合规性管控系统。它通过对自然人身份以及资源、资源账号的集中治理建 立“自然人资源资源账号”对应关系,实现自然人对资源的统一授权,同时,对授权人员的运维操作进展记录、分析、呈现,以帮助 内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报 告、事故追踪回放,加强内部业务操作行为监管、避开核心资产服 务器、网络设备、安全设备等损失、保障业
35、务系统的正常运营。5.2.4. 身份认证系统构建 XX 数据中心重要安全根底是身份安全和权限安全,门户及其业务系统在强身份认证、数字签名保护、用户身份数据的统一、授权的集中、单点登录认证、安全审计等方面的整合深度不够,将会导致很多安全隐患,不能满足目前及将来业务进展的要求。基于 PKI 技术的电子认证与电子签名技术,作为建设以身份认证、责任认定为主要内容的网络信任体系的重要解决方案,从而全面提 XX 数据中心平台的可信运营力量。6. 产品列表产品型号数量抗dos天清 ADM 清洗设备 ADM-GUARD-26002防火墙天清汉马 USG-FW-1000DP3Web 应用防火墙WAG510 Web 应用防火墙1安全审计天玥 GE1500ER 审计引擎1IDS天阗 NT3000-LT-B1IPS天清 NGIPS5000-S添加防病毒模块2堡垒机天玥 OSM-3300 堡垒机1漏洞扫描天镜 CSNS-S-H2S1安全治理平台TSOC-USM 泰合信息安全运营中心系统1防病毒身份认证