云计算大数据中心安全整体解决方案.docx

资源描述

1、云计算大数据中心平安整体解决方案连接耗尽等常见的攻击行为。2、能够提供完备的异常流量检测、攻击防御、设备管理、报表生成、增值运营等功能；3、能够支持包括串联、串联集群、旁路以及旁路集群等不同部署方式。旁路部署下支持多种路由协议进行流量的牵引和回注，满足各种复杂的网络环境下的部署需求。4、所提供设备设备吞吐量26G。2. 3. 2部署设计1、部署条件在互联网出口区域通过BGP牵引方式进行流量清洗，需要同时部署检测系统和清洗系统，检测设备对用户业务流量进行分析监控。当用户遭受到DDoS攻击时，检测设备上报给清洗设备，将清洗设备发送牵引路由给边界路由器，对牵引过来的用户流量进行清洗，

2、并将清洗后的用户合法流量回注到云内。2、策略设置DD0S产品需开启的策略包括：网络业务流量监控和分析、平安基线制定、平安事件通告、异常流量过滤、平安事件处理报告等。通过串行或旁路引流部署，减轻来自于DDoS攻击流量对大数据共享交换平台出口造成的压力，提升带宽利用的有效性。3、部署数量及位置互联网出口部署的DD0S产品需要通过与边界的路由交换设备启用BGP协议，并通过netflow方式将流信息发送到DD0S的检测组件中进行流模型匹配。4、服务提供方式DD0S产品主要以硬件形态的方式进行部署，以全局防护的方式进行交互，主要是对互联网区域内的服务器和通讯链路进行保护。2. 4 VPN平安接

3、入设计4.1功能设计1、能够使用IPSec VPN和SSL VPN等VPN接入方式接入xxx网，以实现多分支接入和移动办公。2、对于SSL VPN用户认证可使用本地认证、radius认证、LDAP认证、USBkey 认证、证书认证等认证方式。3、终端可使用终端可使用WindowsXPWindows7Windows8等操作系统来登录SSL VPN系统。4、终端可使用 IE、Firefox、Safari、Google Chrome 浏览器来登录 SSL VPN 系统。5、所提供设备应至少提供8个千兆光口、8个千兆电口、2个万兆光口，至少具有2个扩展槽位。吞吐量28G,配置1000个SSL V

4、PN接入用户授权， IPSec隧道数至少为6Ko4. 3部署设计部署条件VPN产品部署在xxx网边界，重要系统的访问路径推荐部署2套作为主备, 通过xxx网VPN连入时，采用IPSec或SSL VPN方式互联，加密方式推荐采用符合国家相关加密认证标准的加密算法，虚拟路由需要做精细化隔离，通过变长子网掩码对路由的目标地址做精细化限制，另外VPN需要配置单独的带外管理口，业务口推荐使用捆绑机制。2. 策略设置隧道封装模式主要通过路由策略控制对子网的访问，通过变长子网掩码对路由目的范围做最小化控制。应用发布方式主要将B/S业务进行HTTPS的封装，需要限定对外发布的端口和服务的路径，并通过

5、与外部认证系统完成终端接入用户的认证。3. 部署数量及位置在xxx网区域旁挂于汇聚交换机，单臂部署，推荐两台做冗余。4. 服务提供方式以硬件方式部署，开启多租户虚拟化功能，为每个租户分配VPN实例。5. 5网络漏洞扫描设计5.1功能设计1、智能端口识别能对开放端口运行的服务进行智能服务识别，而不是固定地依据默认值去判断2、信息抛出支持保存扫描脚本中动态抛出的信息，能够获取主机的netbios名、主机名、工作组/域名、MAC地址、SID名、用户名列表、弱密码、密码不过期、密码未改变、共享列表、系统服务列表、注册表完全访问等信息3、断点恢复在扫描程序运行到一半的时候如果系统意外掉电等，可以通过

6、查看扫描状态进行重新扫描或者继续扫描4、漏洞库漏洞库按服务分不低于40种类别，按风险分为紧急、高、中、低、信息五个级别，基于国际CVE标准建立，漏洞数量不小于30000条5、密码分析对较弱的密码口令进行扫描并产生报告。同时可以利用扫描到的弱口令对系统进行授权深度扫描2. 5. 2部署设计1、部署条件由于漏洞扫描产品是采用模拟渗透的方式进行漏洞检查和弱口令检查，漏扫的任务应建立在最小的扫描范围，不建议扫描的流量经过核心交换机到达整网, 通过部署在管理网络连接管理交换机进行带外的平安扫描。2、策略设置建议开启所有的策略分别对各网段进行扫描，扫描完成后生成报表并且存储在本地。3、部署数量及

7、位置建议部署管理区，通过管理区域交换机与被扫描资产的带外管理口连接。4、服务提供方式漏扫产品以软件方式部署，可以为每租户独立安装，也可安装在大数据共享交换平台的管理网络，对基础设施进行漏洞扫描。2. 6负载均衡设计2. 6.1功能设计1、提供链路负载均衡、服务器负载均衡功能。2、支持包括轮询、加权轮询、最小连接、加权最小连接、随机、加权随机、源地址Hash、源地址端口 Hash、目的地址Hash、UDP报文净荷Hash、优先级等负载均衡调度算法。3、提供TCP连接复用功能；提供HTTP压缩功能。提供SSL卸载功能，SSL卸载性能 210000TPS。2、支持将一台设备虚拟化为多台设备使

8、用。2. 6. 2部署设计链路负载均衡功能通过M9006多业务平安网关上的链路负载均衡功能模块实现, xxx网和互联网区各部署2套。服务器负载均衡以硬件方式交付，通过xxxSecPath L5000-C设备实现，旁挂在互联网区核心交换机上。2.7入侵防护系统设计2. 7.1功能设计1、通过对访问互联网的网络数据流进行2到7层的深度分析，能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼等网络攻击或网络滥用，以起到入侵防范的目的。2、提供3年特征库升级服务，攻击特征库数量要23000+、病毒特征库数量要三 8000+,支持的协议识别数

9、量2800+,要包含主流操作系统、主流网络设备、主流数据库系统、主流应用软件系统的全部漏洞特征，同时也要包含蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、网络钓鱼等网络攻击或网络滥用特征。3、可结合模式特征匹配、协议异常检测、流量异常检测、事件关联等多种技术，能识别运行在非标准端口上的协议，准确检测入侵行为。检测到攻击报文或攻击流量后，支持阻断、限流、捕获原始报文等常规响应方式；支持隔离、Web重定向等响应方式，以实现第一时间隔离有平安威胁的主机。2. 7. 2部署设计通过M9006多业务平安网关上的IPS功能模块实现，在xxx网和互联网区各部署两套。1 .8网络平安审计设计

10、. 8.1功能设计堡垒机可以通过堡垒机对运维接口统一，进行统一的账户管理、统一认证、进行运维的会话命令等进行审计、对权限进行精细化控制等，从而实现身份管理、访问控制、权限控制、操作审计。上网行为审计系统1、支持自定义关键字对象，在行为审计的时候可选择“包含”、“不包含”、 “等于”、“不等于四种匹配模式，匹配类型包含关键字和数字。2、支持收集网站访问日志，记录用户所有访问网站行为；支持收集搜索引擎日志，记录用户的搜索内容；支持收集IM通讯软件日志，记录用户登陆、注销、收发消息、收发文件等行为；支持收集邮件日志，记录邮件发件人、收件人、主题、正文、附件等信息。支持网络社区应用管控的精细

11、化管理，可管控“登录”、“注销”、“发表”、 “搜索”、“举报”、“上传”、“私信”、“删除”等行为。3、支持路由模式、透明（网桥）模式、混合模式，部署模式切换无需重启设备。4、支持应用、用户流量统计，应用流量支持趋势图、饼状图呈现，可查看某一应用的流量趋势图和其Top流量用户。5、所提供设备采用多核架构设计，内置Bypass模块，在设备断电、重启时, 可自动切换到Bypass状态，当设备恢复时，可自动切换回工作状态；日志审计系统1、能对操作系统、数据库、中间件、应用进行监控，并通过列表展示应用详情，包括应用名称、应用类型等风险状况。2、支持业务定义，包含指定业务名称、描述、优先级、联系人

12、、业务中包含的应用和服务器、业务中包含的网络设备等信息，并以列表形式显示各业务的风险状况。3、能对最近一小时的事件进行汇总分析和展现。支持按设备名称、TOP个数、业务等作为分析条件。提供攻击源TOP、目的TOP、产生事件最多的设备TOP、产生最多的事件TOP、事件趋势、攻击协议TOP等分析图表。4、能管理平台支持展示网络拓扑和平安拓扑，支持完整攻击拓扑溯源，可展示攻击路径上的交换、路由、平安设备。2. 8. 2部署设计堡垒机1、部署条件运维审计系统（堡垒机）在云服务方基础设施层部署相对简单，该系统需要一个业务和一个管理口。管理口只要路由可达即可访问，业务口只需和被管理目标路由可达

13、。一般建议部署在独立的管理网络中，与管理网交换机相连，并可以访问被管理资产的带外管理口，同时为了保证堡垒机作为运维操作的唯一出口，需要通过设置网络管理区的防火墙策略对运维协议进行地址限制。虚拟堡垒机需要集群部署在独立的服务器当中，并为每个VPC多分配一个管理Vxlan,这个Vxlan就是租户管理员的访问路径，同时在南北向防火墙上面阻断租户管理员远程访问VPC内其他非堡垒机资源的流量，通过SDN控制器进行访问配置，允许一个租户的虚拟堡垒机可以访一个VPC内部的多个不同Vxlan内的资源。2、策略设置配置主从账号，将在堡垒机分配运维人员的主账号用于单点登录和管理员认证，同时录入从账号

14、用于堡垒机通过运维协议远程连接目标主机。3、部署数量及位置在管理区单臂部署1套，专为云服务商进行底层资源管理使用；云租户可以使用虚拟化版本，但是建议每个VPC单独使用一套，租户由云平台申请堡垒机资源，4、服务提供方式以硬件方式提供：部署在大数据共享交换平台的管理网络中，与管理交换机相连，提供laaS层的平安运维以NFV方式提供：可以为VPC内的租户安装部署虚拟化版本。上网行为审计系统以硬件方式提供，在两个生产中心的互联网区各部署一套。日志审计系统以硬件方式提供，通过xxxSecCenter A2000安管平台实现，部署在管理区。2.9跨网平安设计2. 10功能设计1、用于XXX网和互联网

15、之间数据摆渡使用，有效地隔断XXX网和互联网之间的直接连接，防止信息无限制交换。2、采用三机系统结构，内外端机为TCP/IP网络协议的终点，阻断TCP/IP协议的直接贯通。内外端机之间采用专用硬件和专用协议进行连接，不可编程。3、只能通过内端机上的管理口对设备进行配置，外端机上禁止配置管理。4、提供平安上网、平安邮件、文件传输、文件同步、数据库访问、数据库同步功能。5、支持异构数据结构以及代码语义的转换规那么定义，并实现源数据到目标数据之间的实时数据交换，支持数据整合业务。2.11部署设计在XXX网和互联网之间部署硬件网闸或光闸实现。第3章.主机平安主机访问控制设计.1.1功能设计1、

16、主机防火墙在操作系统内核层实现文件、注册表、进程、服务、网络等对象的强制访问控制，可配置针对以上对象不同的访问策略来保护系统和应用资源，即使是系统管理员也不能破坏被保护的资源。2、防格式化保护机制保护功能开启时，可防止病毒和入侵者恶意格式化磁盘，同时降低管理员意外格式化磁盘的风险。3、完整性检测对文件和服务进行完整性检测，并可设置定期检测工程，当发现文件或者服务篡改时进行报警并发现哪些文件发生改变。4、系统资源监控与报警对系统的CPU、内存、磁盘、网络资源进行监控，当这些资源的使用状况超过设置的阀值时将进行报警，以提前发现资源缺乏、滥用等问题。3 . 1.2部署设计1、部署设计通过

17、对物理主机系统、虚拟化主机系统、虚拟化操作系统进行平安加固2、平安策略对远程接入用户进行补丁、杀毒软件、进程、应用等控制对大数据共享交换平台内部服务器，推荐少量功能开启，包括注册表监控和启动项监控3、服务提供方式服务方式为VPC级别的服务申请3. 2主机防病毒设计3. 2.1功能设计1、所提供产品支持无代理底层网络数据包过滤，不需要在虚拟服务器或虚拟桌面中部署平安防护代理。2、能够为云主机提供病毒与木马防护服务，能够提供官方病毒码下载地址。3、所提供产品厂商必须为国内厂商，有独立的病毒响应中心、研发中心。4、能够为云主机提供恶意代码防范服务。5、最新病毒爆发时，产品厂商必须提供应急技术支持

18、，如、手机短信、邮件等方式。3. 2. 2部署设计主机防病毒客户端直接布署在物理机或虚拟化上，服务交付方式为VPC内系统保护，无全局防护需求。3. 3主机漏洞扫描设计3. 3.1功能设计同网络漏洞扫描3. 3. 2部署设计同网络漏洞扫描3. 4主机平安审计系统设计3. 4.1功能设计1、通过软件形式提供云主机的平安审计服务，能够支持和云平台联动，云租户客户通过云平台申请云主机平安审计服务。2、能记录用户在目标设备上进行的Telnet、SSH、RDP、VNC、Http、Https、FTP、 SFTP、SCP等协议的所有操作行为，还能审计第三方客户端工具的操作，如citrix 客户端、PL

19、/SQL. SQLPLUS, TOAD等工具。可对图形、字符、应用、文件四种类型进行审计。3、能对运维用户和运维资产进行权限授权，支持一对一、一对多、多对多授权。 4、能够自动学习资产、账户密码、用户权限关系；将学习到的资产可以自动添加到资产列表中，并列出每个用户的权限范围，方便管理人员快速审核和授权。 5、能对运维操作事件进行监控，对于正在进行的运维操作会话，支持实时监控，能够手工切断实时会话；支持Vi、aix下smit、rhel下setup等图形或菜单操作进行全程同步监控；能够监控审计运维用户在什么时间、什么IP登录了什么资产，什么时间登出，并记录完整的从登录到退出的整个过程。6

20、、能对文件传输的过程进行记录：支持记录SFTP/FTP传输的原始文件，并可下载查看；能通过系统控制是否需要记录原始文件，或者根据文件大小记录原始文件；可以对文件进行shal值签名，重复的文件可以不记录。3. 4. 2部署设计在XXX网和互联网的管理区分别部署一台硬件堡垒机设备对主机实现平安审计。第4章.虚拟化平安虚拟机访问控制设计功能设计1、轻量级部署支持VMware ESXi、Linux KVM、XXX CAS等多个主流的虚拟平台，充分发挥虚拟化的优势，实现快速部署、批量部署、镜像备份、快速恢复，并且能够灵活迁移。提供ISO镜像、OVA模板、IPE等多种发布格式，适应各种环境下的

21、部署2、防火墙功能支持包过滤。借助报文中优先级、TOS、UDP或TCP端口等信息作为过滤参考，通过在接口输入或输出方向上使用标准或扩展访问控制规那么，可以实现对数据包的过滤。同时，还可以按照时间段进行过滤。支持应用层状态包过滤(ASPF)功能。通过检查应用层协议信息(如 FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议)，并监控基于连接的应用层协议状态，动态的决定数据包是被允许通过防火墙或者是被丢弃。支持丰富的攻击防范技术。包括：Land、Smurf、Fraggle. Ping of Death. Tear Drop、IP Spoofing、IP 分片

22、报文、ARP 欺骗、ARP 主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描等攻击防范，还包括针SYN Flood. UDP Flood. ICMP Flood等常见 DDoS攻击的检测防御。目录第1章.物理平安61. 1供配电系统61.2 防雷接地61.3 消防报警及自动灭火61.4 门禁61.5 机房要求。61.6 保安监控6第2章.网络平安62. 1网络边界平安73. 2防火墙81. 1功能设计81.2部署设计92.3 抗拒绝服务攻击（DDOS攻击）设计93. 1功能设计93.2部署设计102.4 VPN平安接入设计102.4. 1功能设计10部署设计112.

23、5网络漏洞扫描设计11. 5. 1功能设计11.5.2部署设计122.6 负载均衡设计136. 1功能设计136.2部署设计132.7 入侵防护系统设计132. 7. 1功能设计132. 7.2部署设计14支持多种VPN业务，如L2Tp VPN、IPSec VPN、GRE VPN等，可以针对客户需求通过拨号、租用线及VLAN或隧道等方式接入远端用户，构建 Internet、Intranet Access等多种形式的VPN。结合防火墙、AAA、 NAT、及多种QoS等技术，防火墙可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络。支持平安区域管理。可基于接口、VLAN

24、划分平安区域。支持静态和动态黑名单。支持丰富的路由协议。支持静态路由、策略路由，以及RIP、0SPF等动态路由协议。4. 1.2部署设计1、部署条件虚机间的流量要想按需调度到NFV资源池中，要依赖于SDN+VxLAN技术，还要依赖服务链技术。数据报文在网络中传递时，需要经过各种各样的业务节点，才能保证网络能够按照设计要求2、策略配置设置平安策略控制对VM虚拟机之间的访问，对这些VM之间的流量访问进行允许或禁止；对VM之间的流量互访进行攻击检测，及时发现内部攻击行为VFW实际是作为一个特殊的虚拟机运行在虚拟平台中，正常情况下VM间访问流量直接经过vSwitch互访，当需要对其进行平

25、安防护时，管理员配置通过 SDN控制器创立服务链策略，当VM间第一次发生交互流量时，vSwitch会向控制器申请的引流策略（包含服务链策略的流表），策略下发后，vSwitch根据流表内容对流量进行匹配，将需要防护的流量引流到VFW中，由VFW对虚拟机间流量进行防护处理，最后经VFW处理过的流量再回到vSwtich中进行正常转发3、部署数量及位置推荐每个VPC 一套平安资源池，平安资源池中可包含vFW和vLB,其中vFW 为必配产品，推荐部署在单独的物理服务器当中，与租户的世界业务划归不同的Vxlan,由SDN控制器进行流表引流。4、服务交付方式建议每VPC使用独立的平安资源池进行虚拟

26、机之间的访问控制。第5章.应用平安应用漏洞扫描设计功能设计平安漏洞检测：支持OWASP TOP 10等主流平安漏洞的自动检测网页木马检测：对各种挂马方式的网页木马如I frame CSS. JS SWF. ActiveX 等，对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。自动取证：包括后台数据库中的数据提取、执行控制台命令、获取注册表数据、获取目录树、数据库操作、备份数据库、远程文件下载、文件上传等。手工取证：支持对所有扫描结果中的存在的平安漏洞进行手工取证，诸如跨站攻击测试、表单绕过等无害攻击测试等配置审计：通过当前弱点获取数据库的相关敏感信息，对后台数据库进行配置审

27、计，如弱口令、弱配置等。屏幕锁定功能：在扫描过程中，可以在不停止扫描的情况下锁定屏幕。用户可自行设置系统超时时间1.2部署设计1、部署条件由于漏洞扫描产品是采用模拟渗透的方式进行漏洞检查和弱口令检查，漏扫的任务应建立在最小的扫描范围，不建议扫描的流量经过核心交换机到达整网, 通过部署在管理网络连接管理交换机进行带外的平安扫描。2、策略设置建议开启所有的策略分别对各网段进行扫描，扫描完成后生成报表并且存储在本地。3、部署数量及位置建议部署平安管理区域，通过管理区域交换机与被扫描资产的带外管理口连接。4、服务提供方式漏扫产品以软件方式部署，可以为每租户独立安装，也可安装在大数据共享交换平台

28、的管理网络，对WEB应用进行漏洞扫描。5.1 WEB应用防护设计5. 2.1功能设计检测算法：可精确识别包括注入、XSS等OWASP Top 10 WEB通用攻击，有效应对盗链、跨站请求伪造等WEB特殊攻击CC防护：支持JS的挑战模式，识别人机互访；自学习用户流量模型，如新建、并发等参数，根据流量模型监控流量是否异常，按需开启CC防护策略；基于地理位置的识别，可设置不同地理区域的防护单元。5. 2. 2部署设计部署条件可以通过透明串接、反向代理、路由模式等方式接入网络中，即可对应用层HTTP流量进行平安防护。1、策略设置黑名单引擎策略设置：通过预定义策略及自定义规那么（可根据用户对

29、于平安的需求自行添加规那么，可基于不同条件组合，如HTTP头部各字段、 URL地址、post内容、文件类型等字段，实现复杂的规那么需求，并设置阻断、放行、重定向等多种策略动作）进行规那么匹配，阻断异常流量。白名单引擎策略设置：通过自学习模式，学习和建立正常的流量模型，后续进行流量比对，而发现异常行为并进行告警和阻断。2、部署数量及位置云平台基础架构的WEB应用平安：通过在云平台运维管理区前端部署 2台硬件WEB应用防火墙，通过双机部署的形式提高可靠性。互联网区各租户的WEB应用平安：划分独立的服务器资源区，部署虚拟WEB应用防火墙，为每个租户分配1套虚拟WEB应用防火墙。通过反向代理

30、的方式将WEB流量牵引至虚拟WEB应用防火墙上进行过滤后转发给WEB 服务器。4、服务模式云平台基础架构的WEB应用平安：部署2台硬件WEB应用防火墙产品（全局服务）互联网区各租户的WEB应用平安：每个租户分配1套虚拟WEB应用防火墙（租户个性化服务）5.3网页防篡改设计5. 3.1功能设计网页防篡改系统包含防篡改、防攻击两大子系统的多个功能模块，为网站平安建立全面、立体的防护体系。主要功能如下：1、要求采用先进的文件驱动防篡改技术，实现新一代内核驱动及文件保护，并支持大规模连续篡改攻击保护。2、要求支持操作系统：Windows2000,2003,200832&64 位；Redhat,

31、CentOS,SUSE,Asianux 等 32&64 位；UNIX 系列：AIX ,HP-UX,Solarise 3 、要求支持 WEB 服务器：HS , apachejava 系列（weblogic,websphere,tomcat,jboss 等）。4、采用先进内核驱动、WEB核心内嵌和实时触发机制结合。5、支持各类网页文件的保护，包括静态和动态网页以及各类文件信息。6、支持对指定文件夹以及子文件夹的保护，防止上传非法文件及木马等恶意文件或插入恶意代码。7、能够有效防止SQL注入攻击、跨站攻击、溢出代码攻击、对危险文件类型的访问、对危险系统路径的访问、特殊字符构成的URL利用、防

32、止构造危险的Cookie 等。5. 3. 2部署设计1、部署条件根据不同的操作系统平台，可以选择Windows, Linux Unix对应版本的软件进行安装和使用。2、策略设置在管理控制端上对监控端进行策略配置，添加站点名称、站点文件路径后可添加保护动作（允许修改或阻止修改）和发布进程路径，可以保护网站静态文件资源不被恶意篡改。通过内置规那么库和自动义规那么，可以防御SQL注入、XSS漏洞、Web Shell上传检测、代码注入和特定漏洞的攻击，保护动态资源平安。3、部署数量及位置监控端独立部署于互联网区各租户的门户网站/网站群的Web服务器上，数量取决于Web服务器的数量。管理端和发

33、布端部署于互联网运维管理区。管理控制端可以安装在任何服务器或PC机上，主要用于配置、管理和展现监控端、发布端的各种信息，并下发平安规那么到监控端。监控端安装在WEB服务器上，实现对站点进行保护和监测。同步端安装在CMS内容更新服务器上，实现对站点文件内容实时更新服务模式服务模式为租户服务模式，在网页防篡改管理端上对各租户门户网站服务器上的监控端进行统一的策略管理。5.4网络架构平安物理隔离物理隔离物理隔离网络带外管理计算集源带内管理网络带外管理计算集源带内管理网络带外管理计算集源带内管理网络带外管理计算金源带内管理网络架构平安规划设计图在整个大数据共享交换平台环境中，要求管理网络

34、系统与业务网络别离，而XXX 网云平台网络系统和电子大互联网云平台网络系统之间物理隔离。第6章.数据平安6.1功能设计数据库审计：实现细粒度审计、精准化行为回溯、全方位风险控制，为核心数据库提供全方位、细粒度的保护功能，可帮助用户带来如下价值点：全面记录数据库访问行为，识别越权操作等违规行为，并完成追踪溯源跟踪敏感数据访问行为轨迹，建立访问行为模型，及时发现敏感数据泄漏检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议为数据库平安管理与性能优化提供决策依据提供符合法律法规的报告，满足等级保护、内控等审计要求2部署设计1 .部署条件采用旁路模式部署，通过在接入交换机或网络设备上启用端口

35、镜像功能，将对数据库的访问和返回流量复制一份到数据库审计产品上，从而进行对数据库流量的平安审计。2 .策略设置添加保护对象：需要设置保护对象的IP地址、数据库类型（Oracle、SyBase 等）、数据库版本、端口号，运行环境（Linux、Windows等）、流量方向（单向审计、双向审计）。业务群组绑定多个保护对象：数据库审计产品需多个业务群组，而每个业务群组内包含多台数据库主机（保护对象）。添加审计规那么：支持以IP来源、操作类型、报文关键字时间等条件设置审计规那么，并能以规那么组的形式进行添加。查询审计结果：支持以对象、操作类型、业务主机群、账号、客户端IP、报文等条件进行筛选

36、查询审计结果。查询风险告警：支持以风险级别、业务主机群、客户端IP、状态、规那么等条件进行筛选查看风险告警结果。3 .部署数量及位置互联网区：1台，旁挂在数据库接入交换机上XXX网区：1台，旁挂在数据库接入交换机上4、服务模式本方案中数据库审计产品采用硬件的方式进行部署，分别为云基础架构的数据库流量提供全局审计，为租户数据库流量提供全局的审计服务。第7章.管理平安7.1平安管理机构设立信息平安管理工作的职能部门，设立平安主管人、平安管理各个方面的负责人，定义各负责人的职责；设立系统管理人员、网络管理人员、平安管理人员岗位，定义各个工作岗位的职责；成立指导和管理信息平安工作的委员会或领

37、导小组，其最高领导应由单位主管领导委任或授权；制定文件明确平安管理机构各个部门和岗位的职责、分工和技能要求。配备一定数量的系统管理人员、网络管理人员和平安管理人员等；配备专职平安管理人员，不可兼任；关键区域或部位的平安管理人员应按照机要人员条件配备；关键岗位应定期轮岗；关键事务应配备多人共同管理；授权审批部门及批准人，对关键活动进行审批；列表说明须审批的事项、审批部门和可批准人；建立各审批事项的审批程序，按照审批程序执行审批过程；建立关键活动的双重审批制度；不再适用的权限应及时取消授权；定期审查、更新需授权和审批的工程；记录授权过程并保存授权文档；加强各类管理人员和组织内部机构之间的合作

38、与沟通，定期或不定期召开协调会议，共同协助处理信息平安问题；信息平安职能部门应定期或不定期召集相关部门和人员召开平安工作会议，协调平安工作的实施；信息平安领导小组或者平安管理委员会定期召开例会，对信息平安工作进行指导、决策；加强与兄弟单位和公安机关的合作与沟通，以便在发生平安事件时能够得到及时的支持；加强与供应商、业界专家、专业的平安公司、平安组织的合作与沟通, 获取信息平安的最新开展动态，当发生紧急事件的时候能够及时得到支持和帮助；文件说明外联单位、合作内容和联系方式；聘请信息平安专家，作为常年的平安顾问，指导信息平安建设，参与安全规划和平安评审等；由平安管理人员定期进行平安检

39、查，检查内容包括用户账号情况、系统漏洞情况、系统审计情况等；由平安管理部门组织相关人员定期进行全面平安检查，检查内容包括现有平安技术措施的有效性、平安配置与平安策略的一致性、平安管理制度的执行情况等；由平安管理部门组织相关人员定期分析、评审异常行为的审计记录，发现可疑行为，形成审计分析报告，并采取必要的应对措施；制定平安检查表格实施平安检查，汇总平安检查数据，形成平安检查报告，并对平安检查结果进行通报；制定平安审核和平安检查制度规范平安审核和平安检查工作，定期按照程序进行平安审核和平安检查活动。7.2平安管理制度制定信息平安工作的总体方针、政策性文件和平安策略等，说明机构安全工作

40、的总体目标、范围、方针、原那么、责任等；对平安管理活动中的各类管理内容建立平安管理制度，以规范平安管理活动，约束人员的行为方式；对要求管理人员或操作人员执行的日常管理操作，建立操作规程，以规范操作行为，防止操作失误；形成由平安政策、平安策略、管理制度、操作规程等构成的全面的信息平安管理制度体系；由平安管理职能部门定期组织相关部门和相关人员对平安管理制度体系的合理性和适用性进行审定。在信息平安领导小组的负责下，组织相关人员制定；保证平安管理制度具有统一的格式风格，并进行版本控制；组织相关人员对制定的平安管理进行论证和审定；平安管理制度应经过管理层签发后按照一定的程序以文件形式发布；平

41、安管理制度应注明发布范围，并对收发文进行登记；平安管理制度应注明密级，进行密级管理；定期对平安管理制度进行评审和修订，对存在缺乏或需要改进的平安管理制度进行修订；当发生重大平安事故、出现新的平安漏洞以及技术基础结构发生变更时, 应对平安管理制度进行检查、审定和修订；每个制度文档应有相应负责人或负责部门，负责对明确需要修订的制度文档的维护；评审和修订的操作范围应考虑平安管理制度的相应密级。7.3人员平安管理保证被录用人具备基本的专业技术水平和平安管理知识；对被录用人声明的身份、背景、专业资格和资质等进行审查；对被录用人所具备的技术技能进行考核；对被录用人说明其角色和职责；签署保密协议；对从

42、事关键岗位的人员应从内部人员选拔，并定期进行信用审查；对从事关键岗位的人员应签署岗位平安协议。立即终止由于各种原因即将离岗的员工的所有访问权限；取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；经机构人事部门办理严格的调离手续，并承诺调离后的保密义务后方可离开；关键岗位的人员调离应按照机要人员的有关管理方法进行。对所有人员实施全面、严格的平安审查；定期对各个岗位的人员进行平安技能及平安认知的考核；对考核结果进行记录并保存；对违背平安策略和规定的人员进行惩戒。对各类人员进行平安意识教育；告知人员相关的平安责任和惩戒措施；制定平安教育和培训计划，对信息平安基础知识、岗位操作规程等进行培训

43、；针对不同岗位制定不同培训计划；对平安教育和培训的情况和结果进行记录并归档保存。6. 4系统建设管理7. 4. 1系统定级明确信息系统划分的方法；确定信息系统的平安保护等级；以书面的形式定义确定了平安保护等级的信息系统的属性，包括使命、业务、网络、硬件、软件、数据、边界、人员等；以书面的形式说明确定一个信息系统为某个平安保护等级的方法和理由；组织相关部门和有关平安技术专家对信息系统的定级结果的合理性和正确性进行论证和审定；2.8网络平安审计设计142.8. 1功能设计14部署设计152.9跨网平安设计162. 10功能设计162. 11部署设计16第3章.主机平安163.1 主机访问控制

44、设计161. 1功能设计161.2部署设计173.2 主机防病毒设计17. 1功能设计17.2部署设计183.3 主机漏洞扫描设计183. 1功能设计183.2部署设计183.4 主机平安审计系统设计18. 1功能设计18.2部署设计19第4章.虚拟化平安194.1虚拟机访问控制设计191. 1功能设计191.2部署设计20第5章.应用平安214. 1应用漏洞扫描设计215. 1. 1功能设计21部署设计215.2 WEB应用防护设计225.2. 1功能设计22确保信息系统的定级结果经过相关部门的批准。7. 4.2系统备案系统定级、系统属性等材料指定专门的人员或部门负责管理，并控制这些材料的

45、使用；系统等级和系统属性等资料报系统主管部门备案；系统等级、系统属性、等级划分理由及其他要求的备案材料报相应公安机关备案。7. 4. 3平安方案设计根据系统的平安级别选择基本平安措施，依据风险评估的结果补充和调整平安措施；指定和授权专门的部门对信息系统的平安建设进行总体规划，制定近期和远期的平安建设工作计划；根据信息系统的等级划分情况，统一考虑平安保障体系的总体平安策略、平安技术框架、平安管理策略、总体建设规划和详细设计方案，并形成配套文件；组织相关部门和有关平安技术专家对总体平安策略、平安技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和

46、审定；确保总体平安策略、平安技术框架、平安管理策略、总体建设规划、详细设计方案等文件必须经过批准，才能正式实施；根据平安测评、平安评估的结果定期调整和修订总体平安策略、平安技术框架、平安管理策略、总体建设规划、详细设计方案等相关配套文件。7. 4.4产品采购确保平安产品的使用符合国家的有关规定；确保密码产品的使用符合国家密码主管部门的要求；指定或授权专门的部门负责产品的采购；制定产品采购方面的管理制度明确说明采购过程的控制方法和人员行为准那么；预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单；7. 4.5自行软件开发开发环境与实际运行环境物理分开；系统开发

47、文档由专人负责保管，系统开发文档的使用受到控制；制定开发方面的管理制度明确说明开发过程的控制方法和人员行为准那么；开发人员和测试人员的别离，测试数据和测试结果受到控制；提供软件设计的相关文档和使用指南；7. 4. 6外包软件开发与软件开发单位签订协议，明确知识产权的归属和平安方面的要求；根据协议的要求检测软件质量；在软件安装之前检测软件包中可能存在的恶意代码；要求开发单位提供技术培训和服务承诺；要求开发单位提供软件设计的相关文档和使用指南；7. 4. 7工程实施与工程实施单位签订与平安相关的协议，约束工程实施单位的行为；指定或授权专门的人员或部门负责工程实施过程的管理；制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行平安工程过程；制定工程实施方面的管理制度明确说明实施过程的控制方法和人员行为准那么；7. 4. 8测试验收对系统进行平安性测试验收；在测试验收前根据设计方案或合同要求等制订测试验收方案，测试验收过程中详细记录测试验收结果，形成测试验收报告；委托公正的第三方测试单位对系统进行测试，并出具测试报告;制定系统测试验收方面的管理制度明确说明系统测试验收的控制方法和人员行为准那么；指定或授

展开阅读全文