XX数据中心信息系统安全建设项目技术方案目录1.项目概述41.1.目标与范围41.2.参照标准41.3.系统描述42.安全风险分析52.1.系统脆弱性分析52.2.安全威胁分析52.2.1.被动攻击产生的威胁52.2.2.主动攻击产生的威胁53.安全需求分析73.1.等级保护要求分析73.1.1.网络安全73.1.2.主机安全83.1.3.应用安全93.2.安全需求总结94.整体安全设计104.1.安全域104.1.1.安全域划分原则104.1.2.安全域划分设计114.2.安全设备部署125.详细安全设计135.1.网络安全设计135.1.1.抗DOS设备135.1.2.防火墙145.1.3.WEB应用安全网关155.1.4.入侵防御165.1.5.入侵检测175.1.6.安全审计185.1.7.防病毒185.2.安全运维管理195.2.1.漏洞扫描195.2.2.安全管理平台195.2.3.堡垒机216.产品列表211.项目概述1.1.目标与范围本次数据中心的安全建设主要依据《信息安全技术信息安全等级保护基本要求》中的技术部分，从网络安全，主机安全，应用安全，来对网络与服务器进行设计。

根据用户需求，在本次建设完毕后XX数据中心网络将达到等保三级的技术要求。

因用户网络为新建网络，所以本次建设将完全按照《信息安全技术信息安全等级保护基本要求》中技术部分要求进行。

1.2.参照标准GB/T22239-2008《信息安全技术信息安全等级保护基本要求》GB/T 22239-2008《信息安全技术信息安全等级保护基本要求》GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》GB/T 20270-2006《信息安全技术网络基础安全技术要求》GB/T 25058-2010《信息安全技术信息系统安全等级保护实施指南》GB/T 20271-2006《信息安全技术信息系统安全通用技术要求》GB/T 25070-2010《信息安全技术信息系统等级保护安全设计技术要求》GB 17859-1999《计算机信息系统安全保护等级划分准则》GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》1.3.系统描述XX数据中心平台共有三个信息系统：能源应用，环保应用，市节能减排应用。

企业节点通过企业信息前置机抓取企业节点数据，并把这些数据上传到XX 数据中心的数据库中，数据库对这些企业数据进行汇总与分析，同时企业节点也可以通过VPN去访问XX数据中心的相关应用。

XX数据中心平台也可通过政务外网，环保专网与相关部分进行信息交互。

提供信息访问。

2.安全风险分析2.1.系统脆弱性分析人的脆弱性：人的安全意识不足导致的各种被攻击可能，如接受未知数据，设置弱口令等。

安全技术的脆弱性：操作系统和数据库的安全脆弱性，系统配置的安全脆弱性，访问控制机制的安全脆弱性，测评和认证的脆弱性。

运行的脆弱性：监控系统的脆弱性，无入侵检测设备，响应和恢复机制的不完善。

2.2.安全威胁分析2.2.1.被动攻击产生的威胁（1）网络和基础设施的被动攻击威胁局域网/骨干网线路的窃听；监视没被保护的通信线路；破译弱保护的通信线路信息；信息流量分析；利用被动攻击为主动攻击创造条件以便对网络基础设施设备进行破坏，如截获用户的账号或密码以便对网络设备进行破坏；机房和处理信息终端的电磁泄露。

（2）区域边界/外部连接的被动攻击威胁截取末受保护的网络信息；流量分析攻击；远程接入连接。

（3）计算环境的被动攻击威胁获取鉴别信息和控制信息；获取明文或解密弱密文实施重放攻击。

2.2.2.主动攻击产生的威胁（1）对网络和基础设施的主动攻击威胁一是可用带宽的损失攻击，如网络阻塞攻击、扩散攻击等。

二是网络管理通讯混乱使网络基础设施失去控制的攻击。

最严重的网络攻击是使网络基础设施运行控制失灵。

如对网络运行和设备之间通信的直接攻击，它企图切断网管人员与基础设施的设备之间的通信，比如切断网管人员与交换机、路由器之间的通信，使网管人员失去对它们的控制。

三是网络管理通信的中断攻击，它是通过攻击网络底层设备的控制信号来干扰网络传输的用户信息；引入病毒攻击；引入恶意代码攻击。

（2）对信息系统及数据主动攻击威胁试图阻断或攻破保护机制（内网或外网）；偷窃或篡改信息；利用社会工程攻击欺骗合法用户（如匿名询问合法用户账号）；伪装成合法用户和服务器进行攻击；IP地址欺骗攻击；拒绝服务攻击；利用协议和基础设施的安全漏洞进行攻击；利用远程接入用户对内网进行攻击；建立非授权的网络连接；监测远程用户链路、修改传输数据；解读未加密或弱加密的传输信息；恶意代码和病毒攻击。

（3）计算环境的主动攻击威胁引入病毒攻击；引入恶意代码攻击；冒充超级用户或其他合法用户；拒绝服务和数据的篡改；伪装成合法用户和服务器进行攻击；利用配置漏洞进行攻击；利用系统脆弱性（操作系统安全脆弱性、数据库安全脆弱性）实施攻击；利用服务器的安全脆弱性进行攻击；利用应用系统安全脆弱性进行攻击。

（4）支持性基础设施的主动攻击威胁对未加密或弱加密的通信线路的搭线窃听；用获取包含错误信息的证书进行伪装攻击；拒绝服务攻击（如攻击目录服务等）；中间攻击；攻击PIN获取对用户私钥的访问、在支持性基础设施的组件中引入恶意代码攻击、在密钥分发期间对密钥实施攻击、对PKI私钥实施密码攻击、对密钥恢复后的密钥进行末授权访问、在用户认证期间使用户不能生成失效信息；利用备份信息进行攻击。

3.安全需求分析3.1.等级保护要求分析3.1.1.网络安全3.2.安全需求总结4.整体安全设计4.1.安全域4.1.1.安全域划分原则（1）业务保障原则安全域方法的根本目标是能够更好的保障网络上承载的业务。

在保证安全的同时，还要保障业务的正常运行和运行效率。

信息安全服务所强调的核心思想是应该从客户（业务）而不是IT 服务提供方（技术）的角度理解IT 服务需求。

也就是说，在提供IT 服务的时候，我们首先应该考虑业务需求，根据业务需求来确定IT 需求包括安全需求。

在安全域划分时会面临有些业务紧密相连，但是根据安全要求（信息密级要求，访问应用要求等）又要将其划分到不同安全域的矛盾。

是将业务按安全域的要求强性划分，还是合并安全域以满足业务要求？必须综合考虑业务隔离的难度和合并安全域的风险（会出现有些资产保护级别不够），从而给出合适的安全域划分。

（2）等级保护原则根据安全域在业务支撑系统中的重要程度以及考虑风险威胁、安全需求、安全成本等因素，将其划为不同的安全保护等级并采取相应的安全保护技术、管理措施，以保障业务支撑的网络和信息安全。

安全域的划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等。

安全域所涉及应用和资产的价值越高，面临的威胁越大，那么它的安全保护等级也就越高。

（3）深度防御原则根据网络应用访问的顺序，逐层进行防御，保护核心应用的安全。

安全域的主要对象是网络，但是围绕安全域的防护需要考虑在各个层次上立体防守，包括在物理链路、网络、主机系统、应用等层次；同时，在部署安全域防护体系的时候，要综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等各种安全功能实现协防。

（4）结构简化原则安全域划分的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。

安全域划分不宜过于复杂。

（5）生命周期原则对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑不断的变化；另外，在安全域的建设和调整过程中要考虑工程化的管理。

（6）安全最大化原则针对业务系统可能跨越多个安全域的情况，对该业务系统的安全防护必须要使该系统在全局上达到要求的安全等级，即实现安全的最大化防护，同时满足多个安全域的保护策略。

（7）可扩展性原则当有新的业务系统需要接入业务支撑网时，按照等级保护、对端可信度等原则将其分别划分至不同安全等级域的各个子域。

4.1.2.安全域划分设计根据XX数据中心的情况，把网络分为三个安全域：应用安全域，数据库安全域，安全管理安全域。

安全域之间利用防火墙进行隔离。

安全域划分拓扑如下：4.2.安全设备部署（1）网络边界考虑到网络的高可用性，网络出口设备均双机部署。

在网络出口部署两台防止DDOS产品，对DDOS攻击进行过滤。

在网络出口部署两台防火墙设备，对进出XX数据中心网络的流量进行策略控制。

在网络出口部署两台入侵防御设备对进行XX数据中心网络的流量进行检测，从而判断数据中是否含有恶意攻击与恶意代码。

（2）核心交换区在核心交换区旁路部署一台IDS与一台安全审计产品，对核心交换机上面的流量进行安全的检测与审计，包括来往核心交换机上面的流量是否有恶意威胁。

是否有针对于后台数据库的威胁等。

（3）应用区安全域在应用区边界部署web应用防火墙设备，因应用区部署的应用均为B/S架构，而web应用防火墙恰恰是针对于HTTP协议进行安全过滤的设备，很好的满足了三级等保中针对于应用安全的规定。

（4）数据库安全域数据库安全域边界部署一台安全域防火墙，采取有效的访问控制策略；同时在安全域交换机旁路部署一台安全审计系统，对网络运维管理和数据库操作进行全面审计。

（5）安全管理区安全域在安全管理区部署漏洞扫描设备，对网络中的主机进行安全自查，降低主机的脆弱性。

在安全管理区部署堡垒机设备，结合部署的身份认证系统对主机与应用进行身份鉴别，访问控制与安全审计。

在安全管理区部署安全管理平台，对网络中的主机与安全设备进行统一的监控与统一的日志分析。

在网络中各个主机上部署网络版防病毒软件，并且在安全管理区部署网络防病毒主控端。

5.详细安全设计5.1.网络安全设计5.1.1.抗DOS设备5.1.1.1.部署目的随着僵尸网络的泛滥，DDoS攻击等恶意流量的规模也在迅速增大。

据估计，中国的黑客产业链条规模已达上百亿，而在这中间有很大一部分就是和DDoS攻击相关的。

实际上，DDoS攻击也像网络带宽一样，已经成为可以售卖的资源。

利益驱使DDoS的规模进一步扩大。

2011年3月，全球网络安全和管理解决方案提供商Arbor Networks发布第六期全球互联网基础设施安全年报称，2010年是DDoS攻击在互联网上活动规模和频率激增的一年；DDoS攻击规模首次突破100 Gbps，服务提供商因此受到巨大的冲击。

2012年3月，CNCERT发布了《2011年中国互联网网络安全态势报告》称DDoS的频率和规模都在迅速增大。

根据CNCERT抽样监测发现，我国境内日均发生攻击总流量超过1G的较大规模的DDoS攻击事件365起。

其中，TCP SYN FLOOD和UDP FLOOD等常见虚假源IP地址攻击事件约占70%，对其溯源和处臵难度较大。