李茜咬颊症
【摘 要】针对国家信息系统安全等级保护体系中第三等级的所提出的关键技术要求,结合某高职院校数据中心在网络环境、主机服务、应用程序和数据管理等方面的实际情况,提出一个基于等级保护的高校数据中心信息系统安全体系设计方案. 【期刊名称】《广西科学院学报》
【年(卷),期】2013(029)002中国红丝带网
【总页数】4页(P89-91,102)
【关键词】信息安全;数据中心;等级保护;网络安全
【作 者】李茜ldo
【作者单位】广西经济管理干部学院,广西南宁530007
【正文语种】中 文
【中图分类】TP309
高校教育服务的各个业务环节正向数字化、网络化、智能化方向快速发展,所产生的海量信息资源和应用程序服务日益向数据中心集中。与其他领域一致,高校数据中心已经从传统意义上的纯粹物理基础设施变成了集基础设施、数据、应用程序、服务行为于一体的综合性信息服务体系。由于高校数据中心综合性信息服务体系的特性,使得其信息安全保护已经成为高校教育信息化建设中一个重要课题。高校数据中心信息安全的最终目的是保护自身的信息资源被合法用户安全使用,并禁止非法用户、入侵者、攻击者和黑客非法盗窃、使用信息资源。高校数据中心信息安全保护必须从物理环境、软件应用及开发技术、网络技术和数据管理技术等方面进行“体系化”的综合保护。本文根据信息系统安全等级保护方法[1~6],讨论并规划高校数据中心的信息安全保护方案。
1 数据中心信息安全体系架构
1.1 体系架构设计
根据“一个中心、三重防护(安全管理中心、计算环境安全、区域边界安全、通信网络安全)”的架构设计理念,高校数据中心信息安全体系结构如图1所示。 图1 高校数据中心信息安全体系架构
图1 中,安全管理中心针对系统、产品、设备、信息安全事件、操作流程等的统一管理。计算环境安全从系统应用级的身份鉴别、访问控制、安全审计、数据机密性及完整性保护、客体安全重用、系统可执行程序保护等方面开展相应的安全保护。区域边界安全从加强网络边界的访问控制粒度、网络边界行为审计以及保护网络边界完整等方面,提升网络边界的可控性和可审计性。通信网络安全从保护网络间的数据传输安全、网络行为的安全审计等方面保障网络通信安全。
1.2 分层安全设计
分层设计是对物理层、网络层、主机层、应用层和数据层分别进行安全设计。(1)数据中心的物理层是由机房环境系统提供的,主要在于保障通信线路、物理设备和整体机房的安全可靠,不受供电、火灾、水灾、地震和人为物理入侵导致的破坏等。(2)网络层包括冗
余网络结构;对网络设备访问控制;设备、用户和流量安全审计;边界完整性检查、定位和阻断;边界入侵防范;恶意代码防范;设备用户身份鉴别权限分离等。网络层安全设计按照信息系统业务处理过程将系统划分成计算环境、区域边界和通信网络三部分,构成由安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的三重防护体系结构(图2)。安全管理中心统一实施对计算环境、通信网络和区域边界的安全策略管理,确保整个安全系统的配置完整和可信,确定不同的用户所具备的操作权限,全程实施审计追踪;区域边界对进入和流出应用环境的信息流进行安全检查和访问控制,确保不会有违背系统安全策略的信息流经过边界;通信网络设备通过对通信双方进行可信鉴别验证,建立安全通道,实施传输数据密码保护,确保其在传输过程中不会被窃听、篡改和破坏。(3)主机层包括主机结构安全;主机系统安全加固;主机防病毒体系;主机审计;主机入侵防范。(4)应用层包括安全漏洞检测和修补后的运行环境安全;及时发现各种非授权行为与攻击行为,并且入侵检测提供协议还原的功能;为安全事件提供审计依据;不同安全域间的隔离防护。(5)数据层是指数据完整性的要求,系统管理数据的传输完整性和安全性。能够检测数据破坏和进行恢复;实现系统管理数据、鉴别信息和要求业务数据的传输和存储的保密性;本地完全数据备份。
图2 网络层安全体系结构
2 数据中心信息系统安全方案
2.1 整体安全模型结构
将数据中心系统结构(图3)划分为普通安全服务应用区、核心计算存储区域、服务管理区域和存储备份区域,分别部署防火墙、安全隔离与信息交换系统、入侵检测系统、入侵防御系统、防病毒网关、网络安全审计系统、数据库安全审计系统、终端管理系统、漏洞扫描系统、数据库安全增强套件和CA认证组件的等级化安全保护系统,建设形成的物理拓扑结构如图4所示。
图3 数据中心系统结构
2.2 安全设计方案
根据整体安全模型结构,用图4表示不同安全区域部署的安全服务以及配属的设备,以形成本文的安全方案设计。
(1)安全区域划分。整个系统安全区域按照功能和需求划分为普通安全服务应用区、核心交换区、核心计算存储区、广域网接入区和安全服务管理区域等五个安全区域。
(2)层次化的安全设计。按照信息系统安全等级保护的技术要求,分别针对网络层、主机层、应用层和数据层,以及他们所覆盖的五个安全区域进行安全设计。
钢段图4 基于等级化保护的高校数据中心信息系统的物理拓朴结构
网络层包括普通安全服务应用区、核心交换区、核心计算存储区、广域网接入区和安全服务管理区等全部5个安全区域,是最基础的安全层次。在这个区域里部署的设备及其功能如下:①防火墙。部署在普通安全服务应用区、核心交换区、核心计算存储区和广域网接入区,可以是单台设备,也可以是冗余设备,采用多端口分配给不同区域的模式,划分不同的安全区域。主要实现的服务为不同安全域之间的边界进行访问控制,防范黑客,阻止未经授权的非法访问。②入侵检测系统。部署在安全服务管理区域。主要实现的服务为实时监控的各种数据包和网络行为,提供及时的预警和应急机制。实现病毒攻击和黑客入侵的监测,实时监控整个网络的安全运行状态。③入侵防御系统。部署在核心计算存储区域。主要实现的服务为分析过滤网络流量,并设置的检测和隔离策略;阻止异常的攻击和可疑
流量对IT资源的访问。④网络安全审计系统。部署在安全管理服务区域。主要实现的服务为监控数据库的网络应用,完整的数据记录的各种信息和用户的起始地址以及所有的操作。⑤漏洞扫描设备。部署在安全服务管理区域。主要实现的服务是对应用系统,网络设备的漏洞进行扫描,并开展安全性评估。儿童
主机层包括广域网接入区域和安全服务管理区域、普通安全服务应用区。在这个区域里部署的设备及其功能如下:①防病毒系统。部署在广域网接入区域的入口路由器后。主要实现的服务为以网关过滤的形式,对病毒和恶意代码、木马等进行扫描和服务器主机保护。②终端管理系统。部署在安全服务管理区域和普通安全服务应用区,其中客户端部署在后者,服务器端部署在前者。主要实现的服务为监控主机资源,部署安全策略管理和控制计算机主机;普通客户端计算机访问网络资源和托管服务。部署访问控制管理,安全策略管理和控制主机终端活动。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议