1、数据中心安全解决方案1目录第一章 解决方案 .21.1 建设需求 .21.2 建设思路 .21.3 总体方案 .31.3.1 IP 准入控制系统 .41.3.2 防泄密技术的选择 .61.3.3 主机账号生命周期管理系统 .61.3.4 数据库账号生命周期管理系统 .71.3.5 令牌认证系统 .71.3.6 数据库审计系统 .81.3.7 数据脱敏系统 .81.3.8 应用内嵌账号管理系统 .91.3.9 云计算平台 .121.3.10 防火墙 .131.3.11 统一安全运营平台 .131.3.12 安全运维服务 .151.4 实施效果 .151.4.1 针对终端接入的管理 .151.4.
2、2 针对敏感数据的使用管理 .161.4.3 针对敏感数据的访问管理 .171.4.4 针对主机设备访问的管理 .171.4.5 针对数据库访问的管理 .181.4.6 针对数据库的审计 .191.4.7 针对应用内嵌账号的管理 .211.4.8 安全运营的规范 .211.4.9 针对管理的优化 .22第二章 项目预算及项目要求 .232.1 项目预算 .232.1.1 项目一期预算 .232.1.2 一期实现目标 .242.2 项目要求 .252.2.1 用户环境配合条件 .252第一章 解决方案1.1 建设需求XXX 用户经过多年的信息化建设,各项业务都顺利的开展起来了,数据中心已经积累了
3、很多宝贵的数据,这些无形的资产比硬件资产还重要,但它们却面临着非常大的安全挑战。在早期的系统建设过程中,大多用户不会考虑数据安全、应用安全层面的问题,经过多年的发展,数据中心越来越庞大,业务越来越复杂,但信息安全完全没有配套建设,经常会发生一些安全事件,如:数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况,而这些安全事件往往都是特权用户从后台直接操作的,非常隐蔽,这时候往往无从查起。其实,信息安全建设在系统的设计初期开始,就应该要介入,始终贯穿其中,这样花费的人力物力才是最小。当一个系统建成后,发现问题了,回头再来考虑安全建设,这样投入的成本将会变得最
4、大。1.2 建设思路数据中心的安全体系建设并非安全产品的堆砌,它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系,涉及众多的安全技术,实施过程需要涉及大量的调研、咨询等工作,还会涉及到众多的安全厂家之间的协调、产品的选型,安全系统建成后怎么维持这个生态体系的平衡,是一个复杂的系统工程,一般建议分期投资建设,从技术到管理,逐步实现组织的战略目标。整体设计思路是将需要保护的核心业务主机包及数据库围起来,与其他网络区域进行逻辑隔离,封闭一切不应该暴漏的端口、IP,在不影响现有业务的情况下形成数据孤岛,设置固定的数据访问入口,对入口进行严格的访问控制及审计。由之前的被动安
5、全变为主动防御,控制安全事故的发生,对接入系统3的人员进行有效的认证、授权、审计,让敏感操作变得更加透明,有效防止安全事件的发生。在访问入口部署防火墙、账号生命周期管理系统、数据加密系统、令牌认证系统、审计系统等安全设施,对所有外界向核心区域主机发起的访问进行控制、授权、审计,对流出核心区域的批量敏感数据进行加密处理,所有加密的数据将被有效的包围在安全域之内,并跟踪数据产生、扭转、销毁的整个生命周期,杜绝敏感数据外泄及滥用行为。为了保证 XXX 用户的业务连续性,各安全子系统都采用旁路的方式部署到网络当中,其中账号生命周期管理系统、审计系统、数据库都采用双机的模式,以提供自身的高可靠性;加密系
6、统、特权账号生命周期管理系统、令牌认证系统都建议部署在 VMware 云计算平台上,利用 VMware 强大的服务器虚拟化能力为防泄密系统提供良好的可靠性与可扩展性保证。1.3 总体方案信息安全系统整体部署架构图41、在核心交换机上部署防护墙模块或独立防火墙,把重要的主机、数据库与其他子网进行逻辑隔离,划分安全区域,对不必要的端口进行封闭,隔离终端 IP 对数据中心可达。2、在终端汇聚的交换机上旁路部署 IP 准入控制系统,实现非法外联、 IP实名制,对接入内网的终端进行有效的控制。3、部署主机账号管理系统,限制所有终端对主机的访问只能通过管理系统发起,并对 Telnet、SSH、RDP 等访
7、问过程进行控制、审计,防止终端将数据从主机上私自复制到本地硬盘,防止误操作。4、部署数据账号管理系统,对数据库访问工具(PL-SQL ) 、FTP 工具等常用维护工具进行统一的发布,对前台数据库访问操作进行审计记录,把数据包围在服务器端。对下载数据行为进行严格控制,并对提取的数据进行加密处理。5、部署加密系统(DLP) ,对所有流出数据中心的数据进行自动加密处理,并对数据的产生、扭转、编辑、销毁进行生命周期管理。6、部署数据库审计系统,对数据库访问行为进行审计,监控敏感数据访问情况,监控数据库操作行为,记录数据库后台变化情况,事后回查。7、在生产库与测试库之间部署数据脱敏系统,对从在线库抽取的
8、数据进行自动脱敏,再导入测试库,避免数据泄露。对后台访问在线库的人群进行权限管理,对访问的敏感字段进行自动遮罩。8、部署应用内嵌账号管理系统,对应用系统内嵌的特权账号进行有效的托5管,实现账号的定期修改、密码强度、密码加密等安全策略。9、部署令牌认证系统,对登入数据中心区的用户使用双因素认证,确认访问数据中心者的身份,杜绝账号共用现象。10、部署云计算平台,为防泄密系统提供良好的运行环境。云计算平台提高了系统的可靠性、可扩展性,减少宕机时间,降低维护成本。11、所有系统都采用活动目录认证,并加以动态令牌做为双因素认证,实现对用户身份的准确鉴别。1.3.1 IP 准入控制系统现在国内外,有很多厂
9、商推出自己的准入控制系统解决方案,目的就是为了在终端接入网络前对其进行安全检查,只允许合法的用户接入到网络当中,避免随意接入网络给系统带来风险。主流的解决方案有两种方式,旁路部署方式都是基于 802.1X 的,需要跟交换机做联动;串接的部署方式不需要与交换机联动,但会给网络的通过性与性能带来挑战,采用的用户不多。这些解决方案,在复杂的中国环境部署成功的并不多,要么网络条件非常好,交换机都支持802.1X,要么网络非常扁平化,终端都可以收敛到同一个出口。IP 地址管理困难:接入 Intranet 的计算机设备都需要一个合法的 IP 地址,IP 地址的分配和管理是一件令网络管理人员头疼的事情,IP
10、 地址、MAC 地址、计算机名冒用、滥用现象广泛存在,而管理人员缺乏有效的监控手段。局域网上若有两台主机 IP 地址相同,则两台主机相互报警,造成应用混乱。因此, IP地址盗用与冲突成了网管员最头疼的问题。当几百台、甚至上千台主机同时上网,如何控制 IP 地址盗用与冲突更是当务之急。在实际中,网络管理员为入网用户分配和提供的 IP 地址,只有通过客户进行正确地注册后才有效。 这为终端用户直接接触 IP 地址提供了一条途径。由于终端用户的介入,入网用户有可能自由修改 IP 地址。改动后的 IP 地址在联网运行时可导致三种结果: 非法的 IP 地址,自行修改的 IP 地址不在规划的网段内,网络呼叫
11、中断。 重复的 IP 地址,与已经分配且正在联网运行的合法的 IP 地址发生资源6冲突,无法链接。 非法占用已分配的资源,盗用其它注册用户的合法 IP 地址(且注册该IP 地址的机器未通电运行)联网通讯。IPScan 能很好的控制非法的 IP 接入,并对内网已有的联网 IP 通过切断联网实现迅速快捷的控制,以很方便的方式实现内网安全威胁的最小化。IPScan通过对 IP/MAC 的绑定,对每个 IP 地址都可以进行实时的监控,一旦发现非法的 IP 地址和某个 IP 地址进行非法操作的时候,都可以及时对这些 IP 地址进行操作, ,有效的防止 IP 冲突。产品是基于二层(数据链路层)的设计理念,
12、可以有效地控制 ARP 广播病毒,通过探测 ARP 广播包,可以自动阻止中毒主机大量发送 ARP 广播,从而保证了内网的安全。通过实现 IP 地址的绑定,从而变相的实现了网络实名制,在接入网络的终端都被授予唯一的 IP 地址,在网络中产生的所有日志将会变得非常有意义,它可以关联到是哪一个终端哪一个用户,能让安全日志产生定责的作用。1.3.2 防泄密技术的选择国外有良好的法律环境,内部有意泄密相对极少,对内部人员确认为可信,数据泄露主要来自外部入侵和内部无意间的泄密。因此,国外 DLP(数据防泄漏)解决方案主要用来防止外部入侵和内部无意间泄密,可以解决部分问题,但无法防止内部主动泄密,只能更多地
13、依赖管理手段。而国内环境,法律威慑力小,追踪难度大,泄密者比较容易逃脱法律制裁,犯罪成本比较小;同时,国内各种管理制度不完善,内部人员无意间泄密的概率也比较大。国内 DLP 以加密权限为核心,从主动预防的立足点来防止数据泄露,对数据进行加密,从源头上进行控制。即使内部数据流失到外部,也因为已被加密而无法使用,从而保证了数据的安全。所以国内 DLP 既能防止内部泄密(包括内部有意泄密和无意泄密) ,同时也能防止外部入侵窃密。1.3.3 主机账号生命周期管理系统XXX 用户局越来越多的业务外包给系统提供商或者其他专业代维公司,这些业务系统涉及了大量的公民敏感信息。如何有效地监控第三方厂商和运维人7
14、员的操作行为,并进行严格的审计是用户现在面临的一个挑战。严格的规章制度只能约束一部分人的行为,只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行,在发生安全事件后,才能有效的还原事故现场,准确的定位到责任人。主机账号生命周期管理系统能帮助用户建立集中的和统一的主机运维管理平台,实现自动化的监控审计,对所有维护人员和支持人员的操作行为(Telnet 、SSH、RDP、FTP、SFTP 、VNC、KVM 等协议)进行监控和跟踪审计, (实现对所有登录系统的人员的所有操作进行全面行为过程审计,达到对所访问主机的操作行为进行采集,以便实时监控和事后回放分析、重现和检索,以最大限度地减少运行
15、事故、降低运行风险、进行责任追溯,不可抵赖。同时提供直观的问题报告工具) ,防止敏感数据从物理层被窃取。按照规定,一段时间内必须修改一次主机及数据库的密码,以符合安全性要求,往往这些密码太多,修改一次也费时费力,还经常出现 root 密码修改后忘记的情况。很多时候,维护人员为了方便记忆密码,将密码记录在一个文件里,以明文方式保存在电脑上,即使文件加了个简单的密码,一旦这些数据泄漏,后果不堪设想。现在可采用主机账号生命周期管理系统进行密码托管,可以设定定期自动修改主机密码,不用人工干预了。既提高了信息安全工作的效率,又降低了管理成本,还降低了安全风险。1.3.4 数据库账号生命周期管理系统目前,
16、XXX 用户的支持人员及第三方维护人员都是采用 PL/SQL 等工具对在线库或离线库进行直接操作,有的是通过业务系统的某些模块直接操作数据库,导致敏感数据可以直接被编辑、删除,无法对其进行集中控制。针对这种情况,目前较有效的解决方案是通过数据库账号生命周期管理系统来实现。通过账号生命周期管理系统的虚拟化技术,将有高风险的操作工具发布出来(如PL/SQL、业务系统的主界面、C/S 架构系统的客户端等) ,客户端零安装,用户对程序远程调用,避免真实数据的传输和漏泄,能实现避免数据的泄露、对重要操作进行全程跟踪审计、对重要命令进行预警。系统禁止所有操作终端与服务器之间的数据复制操作,但操作人员经常需
17、8要复制一段代码或脚本到 PL/SQL 里面进行查询操作,如果是用手敲,势必会影响工作效率。这里就要求数据库账号生命周期管理系统具备单向数据流的控制,只允许从终端复制数据到系统,禁止从系统上复制数据到本地磁盘,这样既保留了用户的使用习惯,又达到了安全的目的。如果支持人员要把数据保存到本地终端上进行二次处理,需要将文件导出到指定的存储路径上,文件产生后会被自动加密处理,支持人员可以在指定的路径下载加密的文件到本地磁盘,并进行后期的二次处理,同时在存储上保留有文件副本备查。如果支持人员需要把修改好的数据上传应用系统中或主机中,需要将文件导入到指定的存储路径上,文件上传后会被自动解密处理,即可被应用
18、系统或主机正常识别。1.3.5 双因素认证系统目前,系统中的主机账号共用情况比较普遍,一个账号多个人使用,这就造成了事后难以定责的尴尬局面,而且静态的口令也容易被获取。为了杜绝这种现象,可采用双因素认证系统加强身份认证的管理。传统的方式是在每台需要保护的主机、数据库上启用 Agent,如果主机数量很多的话,配置工作量很大,维护起来很繁琐。我们推荐给 XXX 用户局的解决方案是将令牌认证系统与主机账号生命周期管理系统结合做双因素认证,大大减少了配置工作量的同时,还满足了系统安全性要求。另外,对于所有重要的业务系统、安全系统,都应该采用双因素认证,以避免账号共用情况,发生安全事件后,能准确的定责。
19、1.3.6 数据库审计系统审计系统在整个系统中起到一个很好的补充作用。数据库账号生命周期管理系统虽然会记录所有操作数据库的行为,但他只是记录前台的操作过程,但对于发生安全事件后快速定位、还原整个事件过程还是有些欠缺。专业数据库审计系统会对数据库操作进行审计,记录数据库的日常操作行为,记录敏感数据的访问、修改行为,会精确了每一个字符。在安全事件发生后,可以精确的9使用操作命令来检索需要审计的信息,甚至可以组合几条信息来精确定位,提高了审计的效率。它可以对数据库发生的所有变化进行回放,让用户知道重要操作后数据库返回了什么样的结果、发生了什么变化,可以很好的帮助用户恢复整个事件的原始轨迹,有助于还原
20、参数及取证。并可可以深入到应用层协议(如操作命令、数据库对象、业务操作过程)实现细料度的安全审计,并根据事先设置的安全策略采取诸如产生告警记录、发送告警邮件(或短信) 、提升风险等级。1.3.7 数据脱敏系统在我们的用户系统里面,存在着大量的敏感信息:公民数据、业务数据等,业务系统软件开发的最后阶段,是需要尽量真实的数据来作为基础测试软件的一系列功能。尤其是用户系统这样的大型系统实施或开发的时候,对于基础数据的要求很严格,很多时候都是直接克隆生产环境的数据来进行软件系统的测试,但是随之而来的影响却是深远的,生产数据中,首先它是一个真实的数据,透过数据基本上掌握了整个数据库的资料。其次,在这当中包含很多敏感数据,不光是敏感数据,而且还是真实的敏感数据。如果在测试环境中发生了信息泄露问题,那么对于用户数据安全将造成致命的后果。近年来,政府行业重大的敏感数据泄漏事件时有发生,如下图所示:
