数据中心安全规划方案.pdf

XX数据中心信息系统安全建设项目

技术方案

目录

1.项目概述

1.1.目标与范围

1.2.参考标准

1.3.系统描述

2.安全风险分析

2.1.系统脆弱性分析

2.2.安全威胁分析

被动攻击产生威胁

主动攻击产生威胁

3.安全需求分析

3.1.等级保护要求分析

网络安全

主机安全

应用安全

3.2.安全需求总结

4.整体安全设计

4.1.安全域

安全域划分标准

安全域划分设计

4.2.安全设备布署

5.详细安全设计

5.1.网络安全设计

抗DOS设备

防火墙

WEB应用安全网关

入侵防御

入侵检测

安全审计

防病毒

5.2.安全运维管理

漏洞扫描

安全管理平台

堡垒机

6.产品列表

1.项目概述

1.1.目标与范围

此次数据中心安全建设主要依据《信息安全技术信息安全等级保护基

本要求》中技术部分，从网络安全，主机安全，应用安全，来对网络与服

务器进行设计。依照用户需求，在此次建设完成后XX数据中心网络将达

成等保三级技术要求。

因用户网络为新建网络，所以此次建设将完全按照《信息安全技术信

息安全等级保护基本要求》中技术部分要求进行。

1.2.参考标准

GB/T22239-《信息安全技术信息安全等级保护基本要求》

GB/T22239-《信息安全技术信息安全等级保护基本要求》

GB/T22240-《信息安全技术信息系统安全等级保护定级指南》

GB/T20270-《信息安全技术网络基础安全技术要求》

GB/T25058-《信息安全技术信息系统安全等级保护实施指南》

GB/T20271-《信息安全技术信息系统安全通用技术要求》

GB/T25070-《信息安全技术信息系统等级保护安全设计技术要求》

GB17859-1999《计算机信息系统安全保护等级划分准则》

GB/Z20986-《信息安全技术信息安全事件分类分级指南》

1.3.系统描述

XX数据中心平台共有三个信息系统：能源应用，环境保护应用，市节

能减排应用。

企业节点经过企业信息前置机抓取企业节点数据，并把这些数据上传

到XX数据中心数据库中，数据库对这些企业数据进行汇总与分析，同时

企业节点也能够经过VPN去访问XX数据中心相关应用。

XX数据中心平台也可经过政务外网，环境保护专网与相关部分进行信

息交互。提供信息访问。

2.安全风险分析

2.1.系统脆弱性分析

人脆弱性：人安全意识不足造成各种被攻击可能，如接收未知数据，

设置弱口令等。

安全技术脆弱性：操作系统和数据库安全脆弱性，系统配置安全脆弱

性，访问控制机制安全脆弱性，测评和认证脆弱性。

运行脆弱性：监控系统脆弱性，无入侵检测设备，响应和恢复机制不

完善。

2.2.安全威胁分析

2.2.1.被动攻击产生威胁

（1）网络和基础设施被动攻击威胁

局域网/骨干网线路窃听；监视没被保护通信线路；破译弱保护通信

线路信息；信息流量分析；利用被动攻击为主动攻击创造条件方便对网络

基础设施设备进行破坏，如截获用户账号或密码方便对网络设备进行破坏；

机房和处理信息终端电磁泄露。

（2）区域边界/外部连接被动攻击威胁

截取末受保护网络信息；流量分析攻击；远程接入连接。

（3）计算环境被动攻击威胁

获取判别信息和控制信息；获取明文或解密弱密文实施重放攻击。

2.2.2.主动攻击产生威胁

（1）对网络和基础设施主动攻击威胁

一是可用带