1、数据中心机房工程验收记录表优质资料(可以直接使用,可编辑 优质资料,欢迎下载)数据中心机房工程验收记录表防雷与接地验收记录表编号YSJL-01工程名称施工单位分包单位建设单位监理单位施工执行标准名称及编号电子信息系统机房施工及验收规范GB50462-2021建筑物电子信息系统防雷技术规范GB50343-2004建筑电气工程施工质量验收规范GB50303-2002施工质量验收内容验收结论(记录)防雷与接地装置1浪涌保护器安装应牢固,接线应可靠。安装多个浪涌保护器时,安装位置、顺序应符合设计和产品说明书的要求2接地装置焊接应牢固,并应采取防腐措施。接地体埋设位置和深度应符合设计要求。引下线应固定。
2、3接地电阻值无法满足设计要求时,应采取物理或化学降阻措施。4等电位联接金属带可采用焊接、熔接或压接。金属带表面应无毛刺、明显伤痕,安装应平整、连接牢固,焊接应进行防腐处理。接地线1接地线不得有机械损伤;穿越墙壁、楼板时应加装保护套管;在有化学腐蚀的位置应采取防腐措施;在跨越建筑物伸缩缝、沉降缝处、应弯成弧状,弧长宜为缝宽的1.5倍。2接地端子应做明显标记,接地线应沿长度方向用油漆刷成黄绿相间的条纹进行标记。3接地线的敷设应平直、整齐。转弯时,弯曲半径应符合规范规定。接地线的连接宜采用焊接,焊接应牢固、无虚焊,并应进行防腐处理。验收结论参加验收人员(签字)建设单位:时间:监理单位:时间:承建单位
3、:时间:供配电系统验收记录表编号YSJL-02工程名称施工单位分包单位建设单位监理单位施工执行标准名称及编号建筑电气工程施工质量验收规范GB 50303电子信息系统机房施工及验收规范GB50462-2021施工质量验收内容验收结论(记录)通用1电气装置、配件及其附属技术文件是否齐全;2线缆的型号、规格、敷设方式、相序、导通性、标志、保护等是否符合设计要求,已经隐蔽的应检查相关的隐蔽工程记录;3照明装置的型号、规格、安装方式、外观质量及开关动作的准确性与灵活性是否符合设计要求。4电气装置的型号、规格、安装方式是否符合设计要求;电气装置1电气装置的安装应牢固可靠、标志明确、内外清洁。安装垂直度偏差
4、宜小于1.5;同类电气设备的安装高度,在设计无规定时应一致2开关、插座应按设计位置暗装,接线应正确、牢固。不间断电源插座应与其他电源插座有明显的形状或颜色区别3落地安装的电源箱、柜应有基座。安装前,应按接线图检查内部接线。基座及电源箱、柜安装应牢固,箱、柜内部不应受额外应力。接入电源箱、柜电缆的弯曲半径宜大于电缆最小允许弯曲半径。4不间断电源及其附属设备安装前应依据随即提供的数据,检查电压、电流及输入输出特性等参数,并应在符合设计要求后进行安装。安装及接线应正确、牢固。5蓄电池组的安装应符合设计及产品技术文件要求。蓄电池组重量超过楼板载荷时,在安装前应按设计采取加固措施。对于含有腐蚀性物质的蓄
5、电池,安装时应采取防护措施。6电气装置与各系统的联锁应符合设计要求,联锁动作应正确。7隐蔽空间内安装电气装置时应留有维修路径和空间。配线及敷设1线缆端头与电源箱、柜的接线端子应搪锡或镀银。线缆端头与电源箱、柜的连接应牢固、可靠,接触面搭接长度不应小于搭接面得宽度2电缆敷设前应进行绝缘测试,并应在合格后敷设。机房内电缆、电线的敷设,应排列整齐、捆扎牢固、标志清晰,端接处长度应留有适当富裕量,不得有扭绞、压扁和保护层断裂等现象。电缆接入配电箱、配电柜时,应捆扎固定,不应对配电箱产生额外应力。3隔断墙内穿线管与墙面板应有间隙,间隙不宜小于10mm。安装在隔断墙上的设备或装置应整齐固定在附加龙骨上,墙
6、板不得受力。4电源相线、保护地线、零线的颜色应按设计要求编号,颜色应符合下列规定:1 保护接地线(PE线)应为黄绿相间色;2 中性线(N线)应为淡蓝色;3 A相线应用黄色,B相线应用绿色,C相线应用红色。5电缆桥架、线槽和保护管的敷设应符合设计要求。在活动地板下敷设时,电缆桥架或线槽底部不宜紧贴地面。照明装置1吸顶灯具底座应紧贴吊顶或顶板,安装应牢固。2嵌入安装灯具应固定在吊顶板预留洞(孔)内专设的框架上。灯具宜单独吊装,灯具边框外缘应紧贴吊顶板。3灯具安装位置应符合设计要求,成排安装时应整齐、美观。电气测试1电气装置与其他系统的联锁动作的正确性、响应时间及顺序;2电线、电缆及电气装置的相序的
7、正确性;3电线、电缆及电气装置的电器绝缘电阻应满足项目名称最小绝缘电阻值(M)开光、插座5灯具2电线电缆0.5电源箱、柜二次回路1验收结论参加验收人员(签字)建设单位:时间:监理单位:时间:承建单位:时间:监控与安全防范系统功能检测记录表工程名称编号YSJL-03施工单位项目经理序号系统检测项目检测结果检测结论1环境监控系统温度、湿度监控准确性2漏水报警准确性3设备监控系统设备参数采集正确性4报警响应时间5联动功能6视频监控系统系统控制功能检测7监视功能8显示功能9记录功能10回放功能11联动功能12其他功能项目检测13入侵报警系统入侵报警功能检测探测器报警功能14报警恢复功能15记录显示功能
8、显示信息、记录内容16管理功能17系统自检功能检测系统自检功能18布防/撤防功能19系统报警响应时间20出入口控制系统出入目标识读装置功能21信息处理/控制功能22异常报警功能系统检测结论参加验收人员(签字)建设单位:时间:监理单位:时间:承建单位:时间:综合环境监控系统验收记录表编号YSJL-04-工程名称施工单位分包单位建设单位监理单位施工执行标准名称及编号电子信息系统机房施工及验收规范GB50462-2021安全防范工程技术规范GB50348-2004施工质量验收内容验收结论(记录)设备安装1设备与设施的安装应按设计确定位置进行,并应符合下列规定: 1)应留有操作和维修的空间; 2)环境
9、参数采集设备应安装在能代表被采集对象实际状况的位置上。2读卡器、开门,按钮等实施的安装位置应远离电磁干扰源。3信号传输设备和信号接收设备之间的路径和距离应符合设计要求,设计无规定时应满足设备技术档案的要求。4摄像机的安装应符合下列规定: 1)应对摄像机逐个通电、检测和粗调,并应在一切正常后安装; 2)摄像机与云台的连接线缆的长度应满足摄像机转动的要求; 3)对摄像机初步安装后,应进行通电调试,并应检查功能、图像质量、监视区范围,应在符合要求后固定; 4)摄像机安装应牢固、可靠。5控制箱(柜)、台及设备的安装应符合下列规定: 1)控制箱(柜)、台安装位置应符合设计要求,安装应平稳、牢固,并应便于
10、操作和维护; 2)控制箱(柜)、台内应采取通风散热措施,内部接插件与设备的连接应牢固可靠; 3)所有控制、显示、记录等终端设备的安装应平稳,并应便于操作。6设备接地应符合设计要求。设计无明确要求时,应按产品技术文件要求进行接地。配线与敷设1同轴电缆的敷设应符合现行国家标准民用闭路监视电视系统工程技术规范GB50198的有关规定。2传感器、探测器的导线连接应牢固可靠,并应留有适当余量,线芯不得外漏。3电力电缆应与信号线缆、控制线缆分开敷设,无法避免时,对信号线缆、控制线缆应进行屏蔽。系统调试4环境监控系统功能检测及调试应包括系列内容: 1)机房正压、温度、湿度测量; 2)查验监控数据准确性; 3
11、)检测漏水报警的准确性;5场地设备监控系统功能检测机调试应包括下列内容: 1)检测采集参数的正确性; 2)检测控制的稳定性和控制效果、调试响应时间; 3)检测设备连锁控制和故障报警的正确性。6机房出入口控制系统调试应包括下列内容: 1)调试卡片阅读机、控制器等系统设备,应能正常工作; 2)调试卡片阅读机的开门、关门、提示、记忆、统计、打印等判别与处理; 3)调试出入口控制系统与报警等系统间的联动。7视频监控系统调试应包括下列内容: 1)检查、调试摄像机的监控范围,聚焦,图像清晰度,灰度及环境照度与抗逆光效果;2)检查、调试云台及镜头的遥控延迟,排除机械冲击; 3)检查、调试视频切换控制主机的操
12、作程序,图像切换,字符叠加; 4)调试监视器、录像机、打印机、图像处理器、同步器、编码器、译码器等设备; 5)对于具有报警联动功能的系统,应检查与调试自动开启摄像机电源、自动切换音视频到指定监视器及自动实时录像,检查与调试系统叠加摄像时间、摄像机位置的标识符及显示稳定性及打开联动灯光后的图像质量; 6)检查与调试监视图像与回放图像的质量,在正常工作照明环境条件下,应能辨别人的面部特征。其他1出入口控制系统的出入目标识读功能、信息处理和控制功能、执行机构功能。2视频监控系统的控制功能、监视功能、显示功能、记录功能和报警联动功能3环境监控系统和场地设备监控系统的数据采集、传送、转换、控制功能;验收
13、结论参加验收人员(签字)建设单位:时间:监理单位:时间:承建单位:时间:空调与通风系统验收记录表编号YSJL-05工程名称施工单位分包单位建设单位监理单位施工执行标准名称及编号电子信息系统机房施工及验收规范GB50462-2021通风与空调工程施工质量验收规范GB 50243-2002施工质量验收内容验收结论(记录)空调设备安装1室内机组安装时,在室内机组与基座之间应垫牢靠固定的隔震材料。2室外机组的安装位置应符合设计要求,并应满足设备技术档案对空气循环空间的要求。3连接室内机组与室外机组的气管和液管,应按设备技术档案要求进行安装。气管和液管为硬紫铜管时,应按设计位置安装存油弯和防震管。4空气
14、设备管道安装完成后,应进行检漏和压力测试,并应做记录;合格后应进行清洗5管道应按设计要求进行保温。当设计对保温材料无规定时,可采用耐热聚乙烯、保温泡沫塑料或玻璃纤维等材料。新风安装1新风系统设备与管道应按设计要求进行安装,安装应便于空气过滤装置的更换,并应牢固可靠。2管道防火阀和排烟防火阀的安装应牢固可靠、启闭灵活、关闭严密。阀门的驱动装置动作应正确、可靠。3手动单叶片和多叶片调节阀的安装应牢固可靠、启闭灵活、调节方便。风管、部件制作与安装1表面应平整,不应有氧化、腐蚀等现象;加工风管时,镀锌层损坏处应涂两遍防锈漆;2风管及相关部件安装应牢固可靠,并应在验收后进行管道保温及涂漆。3风管与法兰的
15、连接应严密,法兰密封垫应选用不透气、不起尘、具有一定弹性的材料;紧固法兰时不得损坏密封垫。系统调试1空调设备、新风设备应在保压试验合格后进行开机试运行。2空调设备安装完毕后,应首先对系统进行检漏及保压试验。验收结论参加验收人员(签字)建设单位:时间:监理单位:时间:承建单位:时间:装修装饰工程验收记录表编号YSJL-06工程名称施工单位分包单位建设单位监理单位施工执行标准名称及编号电子信息系统机房施工及验收规范GB50462-2021建筑装饰装修工程质量验收规范GB 50210-2001建筑地面工程施工质量验收规范GB5 9-2002施工质量验收内容验收结论(记录)吊顶1吊顶吊杆和龙骨的材质、
16、规格、安装间隙与连接方式应符合设计要求。预埋吊杆或预设钢板,应在吊顶施工前完成。未做防锈处理的金属吊挂件应进行涂漆。2吊顶板上铺设的防火、保湿、吸音材料应包封严密,板块间应无缝隙,并应固定牢靠。3龙骨与试面板的安装施工应按现行国家标准住宅装饰装修工程施工规范GB50327的有关规定执行,并应符合产品说明书的要求。4吊顶装饰面板表面应平整、边缘整齐、颜色一致,板面不得变色、翘曲、缺损、裂缝和腐蚀。隔断1饰面板表面应平整、边缘整齐,不应有污垢、缺角、翘曲、起皮、裂纹、开胶、划痕、变色和明显色差等缺陷2隔断玻璃表面应光滑、无波纹和汽包,边缘应平直、无缺角和裂纹。3竖龙骨的长度应小于隔断墙的高度30m
17、m,上下应形成15mm的膨胀缝;4隔断墙两面墙板接缝不得在同一根龙骨上,安装双层墙板时,面层与基层的接缝亦不得在同一根龙骨上5玻璃隔断的安装应符合下列要求: 1 玻璃支撑材料品种、型号、规格、材料应符合设计要求,表面应光滑、无污垢和划痕,不得有机械损伤; 2 隔断不到顶棚时,上端龙骨应按设计与顶棚或梁、柱固定; 3 安装玻璃的槽口应清洁,下槽口应衬垫软件材料。玻璃之间或玻璃与扣条之间嵌缝灌注的密封胶应饱满、均匀、美观;如填塞弹性密封胶条,应牢固、严密,不得起鼓和缺漏;地面1地面铺设宜在隐蔽工程、吊顶工程、墙面与柱面的抹灰工程完成后进行。2铺设前应对建筑地面进行清洁处理,建筑地面应干燥、坚硬、平
18、整、不起尘。活动地板下空间作为送风静压箱时,应对原建筑表面进行防尘涂覆,涂覆面不得起皮和龟裂。3活动地板铺设时应随时调整水平;遇到障碍物或不规则墙面、柱面时应按实际尺寸切割,并应相应增加支撑部件。4铺设风口地板和开口地板时,需现场切割的地板,切割面应光滑、无毛刺,并应进行防火、防尘处理。5活动地板铺设前,应按设计标高及地板布置准确放线。沿墙单块地板的最小宽度不宜小于整块地板边长的1/4.内墙、顶棚及柱面的处理1旧墙面在涂饰涂料前应清除疏松的旧装修层并涂刷界面剂2基层腻子应平整坚实牢固无粉化起皮和裂缝内墙腻子的粘结强度x 应符合建筑室内用腻子 (JG/T 3049)的规定3水性涂料涂饰工程施工的
19、环境温度应在 5 35 之间4水性涂料涂饰工程应涂饰均匀粘结牢固不得漏涂透底起皮和掉粉门窗及其他1钢质防火门安装前不应拆除包装,并应存放在清洁、干燥的场所,不得磨损和锈蚀。2门窗框与洞口的间隙应填充弹性材料,并应用密封胶密封。3门窗套、窗帘盒、暖气罩、踢脚板等制作与安装应符合现行国家标准建筑装饰装修工程质量验收规范GB50210的有关规定。其表面应光洁、平整、色泽一致、线条顺直、接缝严密,不得有裂缝、翘曲和损坏。4吊顶、隔断墙、内墙和顶棚及柱面、门窗以及窗帘盒、暖气罩、踢脚板等施工的验收内容和方法,应符合现行国家标准建筑装饰装修工程质量验收规范GB50210的有关规定。11.8.2 地面处理施
20、工的验收内容和方法,应符合现行国家标准建筑地面工程施工质量验收规范GB5 9的有关规定。防静电活动地板的验收内容和方法,应符合国家现行标准防静电地面施工及验收规范SJ/T31469的有关规定。验收结论参加验收人员(签字)建设单位:时间:监理单位:时间:承建单位:时间:外粘纤维复合材工程验收记录表编号YSJL-07工程名称施工单位分包单位建设单位监理单位施工执行标准名称及编号电子信息系统机房施工及验收规范GB50462-2021建筑结构加固工程施工质量验收规范GB50550-2021施工质量验收内容验收结论(记录)界面处理1经修整露出骨料新面的混凝土加固粘贴部位,应进一步按设计要求修复平整,并采
21、用结构修补胶对较大孔洞、凹面、露筋等缺陷进行修补、复原;对有段差、内转角的部位应抹成平滑的曲面;对构件截面的棱角,应打磨成园弧半径不小于 25mm的园角。在完成以上加工后,应将混凝土表面清理洁净,并保持干燥。2当粘贴纤维材料采用的粘结材料是配有底胶的结构胶粘剂时,应按底胶使用说明书的要求进行涂刷和养护,不得擅自免去涂刷底胶的工序。若粘贴纤维材料采用的粘结材料是免底涂胶粘剂,应检查其产品名称、型号及产品使用说明书,并经监理单位确认后,方允许免涂底胶。3若在底胶指干时,未能及时粘贴纤维材料,则应等待 12h 后粘贴,且应在粘贴前用细软羊毛刷或洁净绵纱团沾工业丙酮擦拭一遍,以清除不洁残留物和新落的灰
22、尘。纤维材料粘贴施工1浸渍、粘结专用的结构胶粘剂,其配制和使用应按产品使用说明书的规定进行;拌合应采用低速搅拌机充分搅拌;拌好的胶液色泽应均匀、无气泡;其初粘度应符合规范的要求;胶液注入盛胶容器后,应采取措施防止水、油、灰尘等杂质混入。2纤维织物可采用特制剪刀剪断或用优质美工刀切割成所需尺寸。织物裁剪的宽度不宜小于 100mm。3纤维织物应按下列步骤和要求粘贴: 1 按设计尺寸裁剪纤维织物,且严禁折叠;若纤维织物原件已有折痕,应裁去有拆痕一段织物; 2 将配制好的浸渍、粘结专用的结构胶粘剂均匀涂抹于粘贴部位的混凝土表面; 3 将裁剪好的纤维织物按照放线位置敷在涂好结构胶粘剂的混凝土表面。织物应
23、充分展平,不得有皱褶; 4 沿纤维方向应使用特制滚筒在已贴好纤维的面上多次滚压,使胶液充分浸渍纤维织物,并使织物的铺层均匀压实,无气泡发生; 5 多层粘贴纤维织物时,应在纤维织物表面所浸渍的胶液达到指干状态时立即粘贴下一层。若延误时间超过 1h,则应等待 12h 后,方可重复上述步骤继续进行粘贴,但粘贴前应重新将织物粘合面上的灰尘擦拭干净; 6 最后一层纤维织物粘贴完毕,尚应在其表面均匀涂刷一道浸渍、粘结专用的结构胶。4纤维复合材胶粘完毕后应静置固化,并应按胶粘剂产品说明书规定的固化环境温度和固化时间进行养护。当达到7d时,应先采用D型邵氏硬度计检测胶层硬度,据以判断其固化质量,并以邵氏硬度H
24、D70为合格。然后进行施工质量检验、验收。若邵氏硬度HD70,应揭去重贴,并改用固化性能良好的结构胶粘剂。施工质量检验1纤维复合材与混凝土之间的粘结质量可用锤击法或其他有效探测法进行检查。根据检查结果确认的总有效粘结面积不应小于总粘结面积的 95%。2纤维复合材与基材混凝土的正拉粘结强度,必须进行见证抽样检验。其检验结果应符合规范指标的要求。若不合格,应揭去重贴,并重新检查验收。3纤维复合材粘贴位置,与设计要求的位置相比,其中心线偏差不应大于10mm;长度负偏差不应大于 15mm。验收结论参加验收人员(签字)建设单位:时间:监理单位:时间:承建单位:时间:综合布线系统验收记录表编号YSJL-0
25、8工程名称施工单位分包单位建设单位监理单位施工执行标准名称及编号电子信息系统机房施工及验收规范GB50462-2021建筑与建筑群综合布线系统工程验收规范GB/T 50312施工质量验收内容验收结论(记录)线缆敷设1线缆敷设前应对线缆进行外观检查;在插座面板上应用颜色、图形、文字按所接终端设备类型进行标识。2线缆的布放应自然平直,不得扭绞,不宜交叉,标签应清晰;弯曲半径应符合规范的规定;3走线架、线槽和护管的弯曲半径不应小于线缆最小允许弯曲半径,敷设应符合现行国家标准建筑电气工程施工质量验收规范GB 50303的有关规定。对于上走线方式,走线架的敷设除应符合现行国家标准建筑电气工程施工质量验收
26、规范GB 50303的有关规定和设计要求外,还应符合下列规定:1 走线架内敷设光缆时,对尾纤应用阻燃塑料设置专用槽道,尾纤槽道转角处应平滑、呈弧形;尾纤槽两侧壁应设置下线口,下线口应做平滑处理;2 光缆的尾纤部分应用棉线绑扎;3 走线架吊架应垂直、整齐、牢固。4设备跳线应插接,并应采用专用跳线;从配线架至设备间的线缆不得有接头;线缆敷设后应进行导通测试。5在水平、垂直桥架和垂直线槽中敷设线缆时,应对线缆进行绑扎。对绞电缆、光缆及其他信号电缆应根据线缆的类别、数量、缆径、线缆芯数分束绑扎。绑扎间距不宜大于1.5m,间距应均匀,松紧应适度。垂直布防线缆应在线缆支架上每隔1.5m固定。线缆测试1进行
27、电缆系统电气性能测试和光缆系统性能测试,各项测试应做详细的记录2检查配线柜的安装及配线架的压接;检查走线架、槽的规格,型号和安装方式;检查线缆的规格、型号、敷设方式及标识;验收结论参加验收人员(签字)建设单位:时间:监理单位:时间:承建单位:时间:数据中心安全解决方案目录第一章 解决方案21.1 建设需求21.2 建设思路21.3 总体方案31.3.1 IP准入控制系统4 防泄密技术的选择6 主机账号生命周期管理系统6 数据库账号生命周期管理系统7 令牌认证系统7 数据库审计系统8 数据脱敏系统8 应用内嵌账号管理系统9 云计算平台12 防火墙13 统一安全运营平台13 安全运维服务151.4
28、 实施效果15 针对终端接入的管理15 针对敏感数据的使用管理16 针对敏感数据的访问管理17 针对主机设备访问的管理17 针对数据库访问的管理18 针对数据库的审计19 针对应用内嵌账号的管理21 安全运营的规范21 针对管理的优化22第二章 项目预算及项目要求232.1 项目预算23 项目一期预算23 一期实现目标242.2 项目要求25 用户环境配合条件25第一章 解决方案1.1 建设需求XXX用户经过多年的信息化建设,各项业务都顺利的开展起来了,数据中心已经积累了很多宝贵的数据,这些无形的资产比硬件资产还重要,但它们却面临着非常大的安全挑战。在早期的系统建设过程中,大多用户不会考虑数据
29、安全、应用安全层面的问题,经过多年的发展,数据中心越来越庞大,业务越来越复杂,但信息安全完全没有配套建设,经常会发生一些安全事件,如:数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况,而这些安全事件往往都是特权用户从后台直接操作的,非常隐蔽,这时候往往无从查起。其实,信息安全建设在系统的设计初期开始,就应该要介入,始终贯穿其中,这样花费的人力物力才是最小。当一个系统建成后,发现问题了,回头再来考虑安全建设,这样投入的成本将会变得最大。1.2 建设思路数据中心的安全体系建设并非安全产品的堆砌,它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面
30、构建的一套生态体系,涉及众多的安全技术,实施过程需要涉及大量的调研、咨询等工作,还会涉及到众多的安全厂家之间的协调、产品的选型,安全系统建成后怎么维持这个生态体系的平衡,是一个复杂的系统工程,一般建议分期投资建设,从技术到管理,逐步实现组织的战略目标。整体设计思路是将需要保护的核心业务主机包及数据库围起来,与其他网络区域进行逻辑隔离,封闭一切不应该暴漏的端口、IP,在不影响现有业务的情况下形成数据孤岛,设置固定的数据访问入口,对入口进行严格的访问控制及审计。由之前的被动安全变为主动防御,控制安全事故的发生,对接入系统的人员进行有效的认证、授权、审计,让敏感操作变得更加透明,有效防止安全事件的发
31、生。在访问入口部署防火墙、账号生命周期管理系统、数据加密系统、令牌认证系统、审计系统等安全设施,对所有外界向核心区域主机发起的访问进行控制、授权、审计,对流出核心区域的批量敏感数据进行加密处理,所有加密的数据将被有效的包围在安全域之内,并跟踪数据产生、扭转、销毁的整个生命周期,杜绝敏感数据外泄及滥用行为。为了保证XXX用户的业务连续性,各安全子系统都采用旁路的方式部署到网络当中,其中账号生命周期管理系统、审计系统、数据库都采用双机的模式,以提供自身的高可靠性;加密系统、特权账号生命周期管理系统、令牌认证系统都建议部署在VMware云计算平台上,利用VMware强大的服务器虚拟化能力为防泄密系统
32、提供良好的可靠性与可扩展性保证。1.3 总体方案信息安全系统整体部署架构图1、在核心交换机上部署防护墙模块或独立防火墙,把重要的主机、数据库与其他子网进行逻辑隔离,划分安全区域,对不必要的端口进行封闭,隔离终端IP对数据中心可达。2、在终端汇聚的交换机上旁路部署IP准入控制系统,实现非法外联、IP实名制,对接入内网的终端进行有效的控制。3、部署主机账号管理系统,限制所有终端对主机的访问只能通过管理系统发起,并对Telnet、SSH、RDP等访问过程进行控制、审计,防止终端将数据从主机上私自复制到本地硬盘,防止误操作。4、部署数据账号管理系统,对数据库访问工具(PL-SQL)、FTP工具等常用维
33、护工具进行统一的发布,对前台数据库访问操作进行审计记录,把数据包围在服务器端。对下载数据行为进行严格控制,并对提取的数据进行加密处理。5、部署加密系统(DLP),对所有流出数据中心的数据进行自动加密处理,并对数据的产生、扭转、编辑、销毁进行生命周期管理。6、部署数据库审计系统,对数据库访问行为进行审计,监控敏感数据访问情况,监控数据库操作行为,记录数据库后台变化情况,事后回查。7、在生产库与测试库之间部署数据脱敏系统,对从在线库抽取的数据进行自动脱敏,再导入测试库,避免数据泄露。对后台访问在线库的人群进行权限管理,对访问的敏感字段进行自动遮罩。8、部署应用内嵌账号管理系统,对应用系统内嵌的特权
34、账号进行有效的托管,实现账号的定期修改、密码强度、密码加密等安全策略。9、部署令牌认证系统,对登入数据中心区的用户使用双因素认证,确认访问数据中心者的身份,杜绝账号共用现象。10、部署云计算平台,为防泄密系统提供良好的运行环境。云计算平台提高了系统的可靠性、可扩展性,减少宕机时间,降低维护成本。11、所有系统都采用活动目录认证,并加以动态令牌做为双因素认证,实现对用户身份的准确鉴别。1.3.1 IP准入控制系统现在国内外,有很多厂商推出自己的准入控制系统解决方案,目的就是为了在终端接入网络前对其进行安全检查,只允许合法的用户接入到网络当中,避免随意接入网络给系统带来风险。主流的解决方案有两种方
35、式,旁路部署方式都是基于802.1X的,需要跟交换机做联动;串接的部署方式不需要与交换机联动,但会给网络的通过性与性能带来挑战,采用的用户不多。这些解决方案,在复杂的中国环境部署成功的并不多,要么网络条件非常好,交换机都支持802.1X,要么网络非常扁平化,终端都可以收敛到同一个出口。IP地址管理困难:接入Intranet的计算机设备都需要一个合法的IP地址,IP地址的分配和管理是一件令网络管理人员头疼的事情,IP地址、MAC地址、计算机名冒用、滥用现象广泛存在,而管理人员缺乏有效的监控手段。局域网上若有两台主机IP地址相同,则两台主机相互报警,造成应用混乱。因此,IP地址盗用与冲突成了网管员
36、最头疼的问题。当几百台、甚至上千台主机同时上网,如何控制IP地址盗用与冲突更是当务之急。在实际中,网络管理员为入网用户分配和提供的IP地址,只有通过客户进行正确地注册后才有效。这为终端用户直接接触IP地址提供了一条途径。由于终端用户的介入,入网用户有可能自由修改IP地址。改动后的IP地址在联网运行时可导致三种结果: 非法的IP地址,自行修改的IP地址不在规划的网段内,网络呼叫中断。 重复的IP地址,与已经分配且正在联网运行的合法的IP地址发生资源冲突,无法链接。 非法占用已分配的资源,盗用其它注册用户的合法IP地址(且注册该IP地址的机器未通电运行)联网通讯。IPScan能很好的控制非法的IP
37、接入,并对内网已有的联网IP通过切断联网实现迅速快捷的控制,以很方便的方式实现内网安全威胁的最小化。IPScan通过对IP/MAC的绑定,对每个IP地址都可以进行实时的监控,一旦发现非法的IP地址和某个IP地址进行非法操作的时候,都可以及时对这些IP地址进行操作,有效的防止IP冲突。产品是基于二层(数据链路层)的设计理念,可以有效地控制ARP广播病毒,通过探测ARP广播包,可以自动阻止中毒主机大量发送ARP广播,从而保证了内网的安全。通过实现IP地址的绑定,从而变相的实现了网络实名制,在接入网络的终端都被授予唯一的IP地址,在网络中产生的所有日志将会变得非常有意义,它可以关联到是哪一个终端哪一
38、个用户,能让安全日志产生定责的作用。1.3.2 防泄密技术的选择国外有良好的法律环境,内部有意泄密相对极少,对内部人员确认为可信,数据泄露主要来自外部入侵和内部无意间的泄密。因此,国外DLP(数据防泄漏)解决方案主要用来防止外部入侵和内部无意间泄密,可以解决部分问题,但无法防止内部主动泄密,只能更多地依赖管理手段。而国内环境,法律威慑力小,追踪难度大,泄密者比较容易逃脱法律制裁,犯罪成本比较小;同时,国内各种管理制度不完善,内部人员无意间泄密的概率也比较大。国内DLP以加密权限为核心,从主动预防的立足点来防止数据泄露,对数据进行加密,从源头上进行控制。即使内部数据流失到外部,也因为已被加密而无
39、法使用,从而保证了数据的安全。所以国内DLP既能防止内部泄密(包括内部有意泄密和无意泄密),同时也能防止外部入侵窃密。1.3.3 主机账号生命周期管理系统XXX用户局越来越多的业务外包给系统提供商或者其他专业代维公司,这些业务系统涉及了大量的公民敏感信息。如何有效地监控第三方厂商和运维人员的操作行为,并进行严格的审计是用户现在面临的一个挑战。严格的规章制度只能约束一部分人的行为,只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行,在发生安全事件后,才能有效的还原事故现场,准确的定位到责任人。主机账号生命周期管理系统能帮助用户建立集中的和统一的主机运维管理平台,实现自动化的监控审计,
40、对所有维护人员和支持人员的操作行为(Telnet、SSH、RDP、FTP、SFTP、VNC、KVM等协议)进行监控和跟踪审计,(实现对所有登录系统的人员的所有操作进行全面行为过程审计,达到对所访问主机的操作行为进行采集,以便实时监控和事后回放分析、重现和检索,以最大限度地减少运行事故、降低运行风险、进行责任追溯,不可抵赖。同时提供直观的问题报告工具),防止敏感数据从物理层被窃取。按照规定,一段时间内必须修改一次主机及数据库的密码,以符合安全性要求,往往这些密码太多,修改一次也费时费力,还经常出现root密码修改后忘记的情况。很多时候,维护人员为了方便记忆密码,将密码记录在一个文件里,以明文方式
41、保存在电脑上,即使文件加了个简单的密码,一旦这些数据泄漏,后果不堪设想。现在可采用主机账号生命周期管理系统进行密码托管,可以设定定期自动修改主机密码,不用人工干预了。既提高了信息安全工作的效率,又降低了管理成本,还降低了安全风险。1.3.4 数据库账号生命周期管理系统目前,XXX用户的支持人员及第三方维护人员都是采用PL/SQL等工具对在线库或离线库进行直接操作,有的是通过业务系统的某些模块直接操作数据库,导致敏感数据可以直接被编辑、删除,无法对其进行集中控制。针对这种情况,目前较有效的解决方案是通过数据库账号生命周期管理系统来实现。通过账号生命周期管理系统的虚拟化技术,将有高风险的操作工具发
42、布出来(如PL/SQL、业务系统的主界面、C/S架构系统的客户端等),客户端零安装,用户对程序远程调用,避免真实数据的传输和漏泄,能实现避免数据的泄露、对重要操作进行全程跟踪审计、对重要命令进行预警。系统禁止所有操作终端与服务器之间的数据复制操作,但操作人员经常需要复制一段代码或脚本到PL/SQL里面进行查询操作,如果是用手敲,势必会影响工作效率。这里就要求数据库账号生命周期管理系统具备单向数据流的控制,只允许从终端复制数据到系统,禁止从系统上复制数据到本地磁盘,这样既保留了用户的使用习惯,又达到了安全的目的。如果支持人员要把数据保存到本地终端上进行二次处理,需要将文件导出到指定的存储路径上,
43、文件产生后会被自动加密处理,支持人员可以在指定的路径下载加密的文件到本地磁盘,并进行后期的二次处理,同时在存储上保留有文件副本备查。如果支持人员需要把修改好的数据上传应用系统中或主机中,需要将文件导入到指定的存储路径上,文件上传后会被自动解密处理,即可被应用系统或主机正常识别。1.3.5 双因素认证系统目前,系统中的主机账号共用情况比较普遍,一个账号多个人使用,这就造成了事后难以定责的尴尬局面,而且静态的口令也容易被获取。为了杜绝这种现象,可采用双因素认证系统加强身份认证的管理。传统的方式是在每台需要保护的主机、数据库上启用Agent,如果主机数量很多的话,配置工作量很大,维护起来很繁琐。我们推荐给XXX用户局的解决方案是将令牌认证系统与主机账号生命周期管理系统结合做双因素认证,大大减少了配置工作量的同时,还满足了系统安全性要求。另外,对于所有重要的业务系统、安全系统,
浙ICP备2021020529号-1 | 浙B2-20240490 
