数据中心安全管理

数据中心安全建议书

2008-08

目录

一、概述 (11)

二、安全设计 (11)

三、物理安全 (22)

1. 环境安全 (22)

2. 机房安全 (22)

四、网络安全 (33)

1. 防火墙 (33)

2. 入侵保护系统（IPS） (33)

3. 网络、数据库审计 (44)

五、系统安全 (44)

1. 主机安全 (44)

2. 漏洞扫描 (44)

3. 防病毒 (55)

4. 补丁分发 (55)

六、应用和信息安全 (55)

1. 数据备份与恢复 (55)

2. 抗DDOS攻击系统 (55)

3. 身份及访问安全管理 (66)

一、概述

近几年来，越来越多的企业对数据中心建设青睐有佳。在享受数据中心带来生产力提高的同时，其内在的安全建设成为了业内的热点。让数据中心远离安全威胁，促使其在管理、运维上向安全靠拢，已经成为当前的建设趋势。

针对数据中心提出以下几个安全方面的建议。

二、安全设计

安全防护体系涵盖了物理安全、网络安全、系统安全以及应用层的安全防护，每个层面包括了若干种安全防护手段和措施。

建议数据中心的网络采用以两台交换机为中心的双星形冗余结构的网络；在网络边界采用网络防火墙进行逻辑隔离，通过部署IPS实现边界纵深防御；数据中心采用网络/数据库审计系统保障对网络和数据库的安全

1 项目综述

1.1 项目背景

为了保障基于“健康云”、“智慧云”的XX数据中心，天融信公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求，贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益”的方针，为XX数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设，全面开展信息安全等级保护建设整改工作。

1.2 安全目标

XX的信息安全等级保护建设工作的总体目标是：

“遵循国家信息安全等级保护有关法规规定和标准规范，通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作，进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系，增强信息安全保护意识，明确信息安全保障重点，落实信息安全责任，切实提高系统信息安全防护能力，为整个云平台的顺利建设和信息化健康发展提供可靠保障。”

具体目标包括

（1）体系建设，实现按需防御。通过体系设计制定等级方案，进行安全技术体系、安全管理体系和安全

1 项目综述

1.1 项目背景

为了保障基于“健康云”、“智慧云”的XX数据中心，天融信公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求，贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益”的方针，为XX数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设，全面开展信息安全等级保护建设整改工作。

1.2 安全目标

XX的信息安全等级保护建设工作的总体目标是：

“遵循国家信息安全等级保护有关法规规定和标准规范，通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作，进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系，增强信息安全保护意识，明确信息安全保障重点，落实信息安全责任，切实提高系统信息安全防护能力，为整个云平台的顺利建设和信息化健康发展提供可靠保障。”

具体目标包括

（1）体系建设，实现按需防御。通过体系设计制定等级方案，进行安全技术体系、安全管理体系和安全

``

XX云数据中心安全等级保护建设方案

```

``

项目综述

1.1 项目背景

为了保障基于“健康云”、“智慧云”的XX数据中心，天融信公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求，贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益”的方针，为XX数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设，全面开展信息安全等级保护建设整改工作。

1.2 安全目标

XX的信息安全等级保护建设工作的总体目标是：

“遵循国家信息安全等级保护有关法规规定和标准规范，通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作，进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系，增强信息安全保护意识，明确信息安全保障重点，落实信息安全责任，切实提高系统信息安全防护能力，为整个云平台的顺利建设和信息化健康发展提供可靠保障。”

具体目标包括

（1）体系建设，实现按

数据中心运维管理

Industry specific cover image

数据中心运维管理

数据中心运维管理

议程

数据中心运维管理面临的问题与挑战 数据中心运维管理探讨–数据中心运维管理的能力框架及建设演进 –业务驱动IT管理 –完整的平台管理 –全生命周期管理

总结

数据中心运维管理

IT越来越复杂,带来的典型IT运营问题架构复杂 复杂,多厂商 难扩展 需要多领域专家 消除I/O瓶颈很复杂 多厂商集成方案成 本高、耗时

整体性能难保证 异构的数据库、 Java层、消息层和Web 层很难整体调优 尤其在通常虚拟环 境中，整体性能不高、 不可预测

整体可用性难保证 异构环境可用性管理复杂 在通常的虚拟环境中，应 用可用性更难管理 不同厂商产品的可用性 可 以大大影响整体可用性

运维管理复杂 异构环境增加运维 复杂度，职责不好界 定 问题诊断、解决过 程复杂 不同厂商产品的升 级、补丁过程复杂

数据中心运维管理

“稳定”和“安全”是IT运营的基本目标运维人员在多个环境里进行手工配 置和操作，难以避免人为操作风险

开发怎样确定问题 的根源？可以 从业务影响发 现问题吗？怎 样避免问题的 再次发生？ 应用系统

测试

生产

中间

广东省有色矿山地质灾害防治中心安全生产指南

第一部分 岗位安全生产职责

为进一步明确我中心领导和职工的安全生产职责，加强对安全生产工作的监督

管理，防止和减少生产安全事故，保障职工生命和财产安全，促进经济稳定发展。

根据国家有关安全生产的方针、政策、法规，结合我中心的工作任务及实际情况，制定如下安全生产职责。

一、单位主要负责人安全生产责任制 主任(法人)安全生产职责

l、领导全中心职工贯彻执行国家的安全生产的方针、政策、法规、规范等。对本单位的安全生产、劳动保护工作负全面领导责任，是本单位安全生产的第一责

任人。

2、负责建立、健全并落实各级安全生产责任制。

3、组织审定并批准本单位安全生产规章制度、安全操作规程和重大安全技术

措施，建立有效的安全投入机制并保证实施。

4、督促、检查本单位的安全生产工作，及时消除生产安全事故隐患。 5、组织制定并实施本单位的生产安全事故应急救援预案。

6、领导并支持安全管理人员、职能部门的监督检查工作，决定安全生产的重要奖惩。

7、按规定及时上报事故，发生重大事故时，应亲赴现场，并按规定做好事故调查处理工作，监督防范措施的制定和落实，预防事故重复发生。 二、单位分管生产负

数据中心与大数据安全解决方案

WORD版本下载后可编辑

1. 数据中心与大数据安全方案

1.1 数据中心与大数据安全概述

随着信息技术的迅猛发展，大数据技术在各行各业的逐步落地，越来越多的单位和组织建设数据中心、部署大数据平台，进行海量数据的采集、存储、计算和分析，开发多种大数据应用解决业务问题。

在大数据为业务带来巨大价值的同时，也带来了潜在的安全风险。一方面，传统数据中心面临的安全风险如网络攻击、系统漏洞等依然存在；另一方面，针对大数据的数据集中、数据量大、数据价值大等新特点的安全风险更加凸显，一旦数据被非法访问甚至泄漏损失非常巨大。

1.2 数据中心与大数据安全风险分析

数据中心和大数据环境下的安全风险分析如下：

? 合规性风险：数据中心的建设需满足等级保护或分级保护的标准，即需要建

设安全技术、管理、运维体系，达到可信、可控、可管的目标。为了满足合规性需求，需要在安全技术、运维、管理等方面进行更加灵活、冗余的建设。 ? 基础设施物理安全风险：物理层指的是整个网络中存在的所有的信息机房、

通信线路、硬件设备等，保证计算机信息系统基础设施的物理安全是保障整个大数据平台安全的前提。

? 边界安全风险：数据中心的边界包括接入终端、服务器主机、网

何为“双活”数据中心？

“双活”数据中心最大的特点是：一、充分利用资源，避免了一个数据中心常年处于闲置状态而造成浪费。通过资源整合，“双活”数据中心的服务能力是双倍的。二、“双活”数据中心如果断了一个数据中心，另外一个数据中心还在运行，对用户来说是不可感知的。而一个灾备中心的模式，如果生产数据中心瘫痪，需要半个小时、甚至两个小时、甚至更长时间才能启动灾备中心，在启动灾备中心的时间里，用户交易会严重受损。

“双活”与“云”不谋而合

在国内的商业银行当中，部署了双活数据中心的银行还为数甚少，光大银行是最早开始这方面探索的银行之一。光大银行灾备体系是典型的“两地三中心”模式，目前在北京有两个规模相当的双活中心，在武汉有一个异地灾备中心。

光大银行的“双活”数据中心的模式始建于2002年。当时还没有出现云计算的概念，但是这个思路和今天云计算的思路不谋而合。“云”的目的就是把数据中心的所有资源整合成一个资源，成为一朵云，这样用户就不知道是哪个数据中心为其提供服务。“双活”数据中心的效果也是一样的。

“双活”模式依赖于虚拟化和云计算技术，要把应用从A数据中心迁移到B数据中心只需点一下鼠标，拖拽一下，迁移就可以

信息中心建设方案

天津生态城市政景观

数据中心建设方案

北京曼诺林数字科技有限公司

2012年5月5日

北京曼诺林数字科技有限公司

信息中心建设方案

一、系统概述

市政景观数据中心，是市政景观公司所有专业系统数据存放和管理应用的中心节点；所有系统数据的存储、查询、管理源数据均来自数据中心。

市政景观公司数据中心主要包括两个节点：商业街数据中心（以下称数据中心）和青坨子泵站信息中心（以下称信息中心）。数据中心是数据汇总存储中心；而信息中心则是所有业务系统应用管理中心。信息中心和数据中心通过一条4芯光纤连接，实现信息中心对数据中心的数据访问。

市政景观数据中心建设要实现以下目标： 1.实现各业务系统数据的接收、存储和访问管理。 2.实现对业务系统数据的远程安全访问。

3.为各业务系统稳定可靠工作提供必须得环境；包括设备运行环境和网络环境。

二、建设需求分析

2.1网络需求

1.保证业务系统数据安全。

市政景观公司主要有道路管理系统、桥梁管理系统、智能巡检系统、照明系统、可视化泵站系统、数字排水系统以及气象站系统。这些业务系统各对本系统数据进行分类汇总、存储、分析。系统数据是各系统正常工作的基础。数据中心必须保证所有传输到数据中心业务系统数据的可靠

数据中心网路建设

宝信软件与标准化专栏

Baosight and Standardigation

编辑：李秋花

E-mail: liqh@http://www.77cn.com.cn

48

数据中心网路建设

宝信软件与标准化专栏

Baosight and Standardigation

国际主流的万兆主干、千兆服务器连接、百兆桌面的网络架构，核心层之间互联采用一路或多路万兆连接，形成主干万兆或多万兆带宽。核心设备选型上均要求具备足够的背板处理能力，即使将来系统升级，也能保护用户对于现有网络基础设施的投资。所有的核心设备作双机冗余设计，部分关键设备如服务器群网络核心交换机甚至做到双机、双引擎冗余，最大限度地解决单点故障的问题，提高系统整体可用性。通过集群协议，比如路由器或者防火墙的集群协议，如HSRP、VRRP等，可以确保检测到故障后进行快速的故障切换。同时也推荐数据中心的设计和数据电缆的连接应当避免单点故障的发生，例如对冗余的网段和端口应用不同的路由路径和电缆结构，对广域网的连接，建议采用多路ISP线路。

另外，作为企业整体网络的一部分，设计初期就必须考虑与现有系统的连接与整合。在网络协议、IP地址规范、线路和设备命名规范、网络安全规范等方面完全遵照已有的成果。