|
基于等級保護(hù)的省級組織系統(tǒng)虛擬專網(wǎng)數(shù)據(jù)中心設(shè)計與實(shí)現(xiàn)
中共廣西壯族自治區(qū)委員會組織部信息中心 劉夢倫��,廣西中醫(yī)藥大學(xué) 高翔 2018/5/6 15:39:19
(接上頁)等安全功能實(shí)現(xiàn)立體協(xié)防�����。
1.4區(qū)域劃分
通過實(shí)際應(yīng)用分析���,把安全級別相同的軟�、硬件設(shè)備部署在同一區(qū)域內(nèi)��,根據(jù)每個區(qū)域特點(diǎn)實(shí)施的安全防護(hù)����,避免突發(fā)安全事件突破關(guān)鍵機(jī)制后��,造成整個防御體系的崩潰����。
2.?dāng)?shù)據(jù)中心的設(shè)計與實(shí)現(xiàn)
組織系統(tǒng)虛擬專網(wǎng)數(shù)據(jù)中心通過對物理機(jī)房環(huán)境安全��、網(wǎng)絡(luò)安全設(shè)施建設(shè)����、VPN網(wǎng)關(guān)建設(shè)、數(shù)據(jù)備份系統(tǒng)���、管控平臺和安全管理等六個方面開展建設(shè)�����。數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示���。
圖 1 省級組織系統(tǒng)虛擬專網(wǎng)數(shù)據(jù)中心結(jié)構(gòu)圖
2.1物理機(jī)房環(huán)境系統(tǒng)
數(shù)據(jù)中心物理機(jī)房環(huán)境的安全是保障各項(xiàng)業(yè)務(wù)開展的基礎(chǔ)����,主要包括機(jī)房位置選擇、人員的訪問控制、防盜���、防水����、防火��、防雷擊���、電力供應(yīng)��、電磁防護(hù)和溫濕度控制等物理防護(hù)需求�����。機(jī)房場地應(yīng)當(dāng)避開強(qiáng)電場��、強(qiáng)磁場�、強(qiáng)噪聲源�、強(qiáng)震動源、易發(fā)生火災(zāi)�、水災(zāi)、雷擊及重度環(huán)境污染的地區(qū)�。對重要區(qū)域配置監(jiān)控設(shè)施�,鑒別和記錄進(jìn)入的人員身份并監(jiān)控其活動���,監(jiān)控設(shè)施要實(shí)現(xiàn)對機(jī)房動力和環(huán)境設(shè)備的統(tǒng)一管控和遇險報警��。電力供應(yīng)要與其他供電分開�����,設(shè)置冗余或并行的電力電纜線路��,確保機(jī)房設(shè)備供電功率足夠支持設(shè)備正常運(yùn)轉(zhuǎn)�����,同時��,應(yīng)建立備用供電設(shè)備��,以備停電時啟用�����。
2.2 網(wǎng)絡(luò)安全設(shè)施建設(shè)
(1)網(wǎng)外的防護(hù)
主要針對來自數(shù)據(jù)中心網(wǎng)絡(luò)外的攻擊����,在邊界把不合法的網(wǎng)絡(luò)數(shù)據(jù)過濾掉�,留下正常數(shù)據(jù)與網(wǎng)內(nèi)應(yīng)用開展交互,主要采用網(wǎng)絡(luò)接入認(rèn)證�,抗DDOS、防病毒��、WEB防護(hù)等實(shí)現(xiàn)�。將網(wǎng)絡(luò)接入認(rèn)證系統(tǒng)部署于客戶終端接入邊界,提供基于端口的網(wǎng)絡(luò)接入控制���,即在網(wǎng)絡(luò)接入設(shè)備的端口對所接入的用戶設(shè)備進(jìn)行認(rèn)證和控制�,只用通過身份認(rèn)證機(jī)制的客戶終端才能訪問網(wǎng)絡(luò)中的相應(yīng)資源�。
(2)網(wǎng)內(nèi)的控制
主要指網(wǎng)絡(luò)需要加強(qiáng)自身控制,全網(wǎng)監(jiān)控���,敏銳地探測網(wǎng)絡(luò)動態(tài)變化����,同時需要將網(wǎng)絡(luò)的安全事件有效控制的聯(lián)動��;主要技術(shù)手段有冗余備份機(jī)制���、主機(jī)監(jiān)控與審計�����、網(wǎng)絡(luò)安全域?qū)徲��、日志審計�����、防病毒系統(tǒng)等����。
(3)分域管理
省級組織系統(tǒng)虛擬專網(wǎng)數(shù)據(jù)中心根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行安全域的劃分,劃分出安全管理域和應(yīng)用服務(wù)域���,區(qū)域之間互相訪問通過部署不同級別的防火墻實(shí)現(xiàn)隔離/控制�����,部署一級防火墻實(shí)現(xiàn)虛擬專網(wǎng)和公共網(wǎng)絡(luò)之間邏輯隔離��,部署二級防火墻實(shí)現(xiàn)安全管理服務(wù)器與應(yīng)用及數(shù)據(jù)庫服務(wù)器之間邏輯隔離��,保障數(shù)據(jù)中心的安全��。詳細(xì)部署圖如下圖所示:
圖 2 應(yīng)用服務(wù)域示意圖
2.3 VPN系統(tǒng)建設(shè)
省級組織系統(tǒng)數(shù)據(jù)中心通過采用國產(chǎn)VPN網(wǎng)關(guān)對數(shù)據(jù)傳輸進(jìn)行國產(chǎn)密碼加密�����,防止信息在網(wǎng)絡(luò)傳輸中被竊取和破壞�����。各基層黨組織的終端通過互聯(lián)網(wǎng)利用SSL VPN撥號接入的方式接入省級數(shù)據(jù)中心����,進(jìn)行數(shù)據(jù)交換���。VPN采用雙鏈路部署的方式部署于網(wǎng)絡(luò)邊界����,提供遠(yuǎn)程數(shù)據(jù)傳輸?shù)募咏饷芄δ�;通過VPN網(wǎng)關(guān)的終端準(zhǔn)入控制功能實(shí)現(xiàn)對終端的網(wǎng)絡(luò)接入控制。
2.4 數(shù)據(jù)備份系統(tǒng)
數(shù)據(jù)備份系統(tǒng)由備份管理服務(wù)器�、備份服務(wù)器、藍(lán)光光盤庫等設(shè)備構(gòu)成�����,分別對操作系統(tǒng)�����、數(shù)據(jù)庫系統(tǒng)、業(yè)務(wù)應(yīng)用及數(shù)據(jù)等三類數(shù)據(jù)進(jìn)行不同頻率的備份��。操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)在部署完成后����,很少調(diào)整配置,為此在系統(tǒng)部署完成后�����,對其每次升級優(yōu)化后立即開展一次完整備份����。而由于業(yè)務(wù)數(shù)據(jù)變化相對頻繁,需對業(yè)務(wù)數(shù)據(jù)進(jìn)行分類管理��,對核心數(shù)據(jù)�、讀寫頻率高、使用面廣的熱數(shù)據(jù)每半天進(jìn)行一次全備份�,對讀寫頻率低、未更新的冷數(shù)據(jù)進(jìn)行每天一次的增量備份�����,同時,定期采用藍(lán)光光盤庫進(jìn)行全備份���。
圖 3 安全管控平臺結(jié)構(gòu)示意圖
2.5 建立管控平臺
由主機(jī)監(jiān)控審計系統(tǒng)監(jiān)控中心�����、網(wǎng)絡(luò)防病毒系統(tǒng)監(jiān)控中心����、入侵檢測系統(tǒng)和防火墻���、IDS日志管理中心等組成安全管控平臺,對整個數(shù)據(jù)中心的安全威脅����、應(yīng)用維度進(jìn)行 “集中管理”,從而實(shí)現(xiàn)對數(shù)據(jù)中心應(yīng)用資源的精細(xì)化劃分���,增強(qiáng)數(shù)據(jù)中心的運(yùn)行監(jiān)控能力和設(shè)備管理能力���。具體組成如下圖所示:
2.6安全管理制度和安全培訓(xùn)
完善的管理制度是建設(shè)和管理好數(shù)據(jù)中心的根本保障,結(jié)合目前信息系統(tǒng)的安全管理體系的現(xiàn)狀,對數(shù)據(jù)中心的管理制度���、管理機(jī)構(gòu)���、管理人員、安全培訓(xùn)四個方面進(jìn)行建設(shè)和管理����。同時,強(qiáng)化虛擬專網(wǎng)數(shù)據(jù)中心安全管理要責(zé)任明確��、分工負(fù)責(zé)�����、統(tǒng)一管理的思想���,在集中指揮的管(未完�,下一頁)
|