一、需求与挑战
随着信息化技术的飞速发展,大企业日常生产也逐步用信息化手段代替了传统的工作方式。企业数据中心是企业信息化的集中枢纽,数据中心建设是信息化高级发展阶段的核心工程。
企业的信息涉及面广,在病毒传播、黑客攻击日益泛滥的今天,不断增加的安全威胁对数据中心安全性提出了挑战,数据中心安全问题时刻威胁着企业的日常生产,企业数据中心安全已经成为当今大企业亟待解决的问题。
外部安全威胁
大企业数据中心包含了基础设施、应用支撑平台以及各应用系统,主要包含核心生产业务系统、职能管理系统、门户网站系统以及对外业务交易平台等。
在遵循国家信息安全政策的前提下,需要对企业内部网络和互联网进行有效的隔离,对内部进行安全域的划分,对涉及秘密的信息系统进行重点防护。如何避免病毒、蠕虫感染系统,避免病毒大规模扩散?通过技术手段保证业务数据机密性、完整性、可用性,有效地防止数据被非法拷贝、破坏?避免外部用户携带具有安全威胁的数据中心进入内部业务系统?都是企业数据中心必须解决的安全问题。
内部安全管理
除了外部的安全威胁,企业数据内部也存在相当的安全风险。“三分技术,七分管理”是网络安全领域的一句至理名言,其原意是:网络安全中的30%依靠计算机系统信息安全设备和技术保障,而70%则依靠用户安全管理意识的提高以及管理模式的更新。
大企业数据中心必须具备相当的安全运维能力,对数据中心的资产进行统一管理,避免信息孤岛的问题;通过介质管理、上网行为管理、准入系统管理;对内部管理员权限不明、越权访问、多点登录、资源滥用现象进行有效管理,从信息系统整体保护能力方面,要求信息系统能够实现统一安全策略、统一安全管理等技术,建立高效的内部安全管理运行平台。
二、浪潮大企业数据中心主机安全解决方案
大企业数据中心主机安全架构
根据大企业数据中心建设布局以及业务特点,浪潮数据中心主机安全解决方案由数据中心安全应用交付系统、主机安全加固系统、主机运维管控系统、主机应用监控系统四个部分组成,构建全面的大企业数据中心主机安全解决方案。
外网WEB主机安全
大企业数据中心布局一般分为企业总部数据中心以及分支数据中心或者异地分支机构,总部数据中心与分支机构通常采用VPN专网连接,分支机构可以共享、访问企业总部数据中心业务数据。
从业务数据流方面来看,数据从Internet接入,这类数据一般是公众用户、供货商、分销商等外部用户对企业业务的访问,例如门户网站、企业在线交易平台等系统。企业门户网站是外界对企业认知的重要方式和途径,WEB服务器的安全防护显得尤为重要,网站被篡改不仅严重影响企业的形象,更可能给企业带来巨大的经济损失。而WEB服务器不仅面临恶意病毒感染的威胁,还存在SQL注入、DNS漏洞、网络层和应用层拒绝服务攻击(DDOS)等针对网站的攻击行为。
安全应用交付
根据大企业数据中心架构特点,在DMZ区也就是企业WEB服务器区域采用旁路部署的方式部署安全应用交付系统SSA,它是集服务器负载均衡、应用加速、Web安全于一体的数据中心新一代应用安全交付产品。
例如,当用户请求访问门户网站时,SSA应用安全检测引擎首先根据预先设定的安全策略进行信息过滤,对于不符合安全策略的请求数据进行丢弃并把客户自定义的信息返回给用户,从而保证后端服务器的安全;其次安全检测引擎将安全的数据提交给负载均衡引擎,该引擎基于四、七层负载均衡算法的调度策略,合理的将每个连接快速的分配到相应的服务器,从而合理利用服务器资源。不仅在减少硬件投资成本情况下解决单台服务器性能瓶颈,同时可以保证后端数据中心的安全、并且方便后续扩容,为大并发访问量的系统提供性能和安全保障。SSA从应用层面保证数据中心WEB服务器的安全性和高可靠性。
WEB服务器加固
同时,在WEB服务器操作系统上部署主机安全加固系统SSR手段,对主机从操作系统层面进行安全加固。
SSR主机加固系统技术采用内核HOOK技术,是在操作系统的内核驱动层(0层)加上安全内核模块,拦截所有的内核访问路径来构建强制访问控制模型,并在强制访问控制模型的基础上建立规则库,使系统的任何操作都成为必须符合规则的传递方式。针对于网站的安全防护,采用SSR强制访问白名单安全控制策略,通过对web目录的访问权限控制、进程权限控制以及网站脚本文件的访问权限等技术,配合SSA安全交付技术可以形成全面立体的防护,既能防止远程攻击如,SQL注入攻击、DDOS攻击等攻击行为,又能防止基于系统内核层的攻击、网站植入后门等攻击行为;采用三权分立管理机制,实现系统的最小授权,有效提升操作系统的安全等级,有效防止病毒、蠕虫以,内网后门攻击事件,通过主机加固的审计功能对非法操作行为进行审计。
SSA安全应用交付与SSR主机加固有效结合,从内外两个层面保护WEB服务器安全,保证WEB业务连续性和高可用,彻底防止网页篡改事件发生。
企业内网主机安全
企业内网是业核心的生产业务系统,包含了核心数据库服务器、各种中间件服务器、WEB应用服务器、企业内部邮件服务器、CRM管理系统、财务系统、人力资源系统等。
核心业务主机加固
企业内网的安全建设,一般在边界网络部署隔离系统,进行安全域划分等,目前国内大部分企业用户对于内网系统安全的信心来自于安全隔离。但是,内网大部分核心数据服务器主机一般都是“裸奔”的状态,基本上没有部署任何安全设备,另外绝大部分服务器操作系统均采用Windows、linux、AIX等操作,系统安全等级低、安全漏洞层出不穷。其实,任何的系统和软件都可能存在漏洞,尤其是大企业客户的应用系统功能日益丰富、软件日益庞大,存在漏洞的概率也越大,例如Windows的RPC漏洞,MS08067等,Linux的缓冲区溢出漏洞,AIX系统的临时文件创建可能导致的权限提升漏洞,IIS的远程溢出等。系统和软件的安全性直接影响到用户的信息安全和网络安全,病毒、黑客甚至国内外商业间谍正是利用这些漏洞轻易而举的攻下系统和获取用户私有信息。由于系统和软件的脆弱性,导致了无法避免漏洞的存在。
因此,在内网核心业务主机服务器上部署SSR主机安全加固系统,做到彻底免疫已知和未知病毒、木马攻击以及后门攻击,解决AIX、linux等服务器“裸奔”的问题。
例如,通过SSR主机加固白名单控制策略,设定只允许核心数据库业务进程对数据库服务器的访问权限,其他任何方式对数据的访问都是非法的,都会被SSR阻断,而且SSR强大的自身保护机制以及进程保护机制为核心业务主机系统的安全保护提供了更加有效的防护。
运维安全管控
企业内部网数据接入,一般是内部用户对于生产业务系统的访问,例如CRM系统、财务系统等。内部的安全风险可能来自于内部人员、第三方运维人员等的非法越权操作行为,窃取商业机密数据,例如,国内某企业大量的客户数据被内部人员窃取并在网络上进行交易,公安部已予以查证。
建设主机运维集中安全管控平台,实现的统一身份认证、授权、安全审计,防止非授权操作行为、资源滥用以及越权操作,有效规避人员安全风险。
浪潮运维安全管控系统SSC采用了4A的工作原理,通过账号管理、身份认证、授权管理、安全审计等核心功能为大企业用户提供全面的运维管控解决方案。SSC管控系统切断了终端计算机对网络和服务器资源的直接访问,而是采用协议代理的方式,接管了终端计算机对网络和服务器的访问。形象地说,终端计算机对目标的访问,均需要经过SSC的认证授权。同时,SSC提供运维监控与全面审计功能,真正做到事前防御、事中阻断、事后审计。
SSC旁路部署在总部数据中心和分支机构的核心交换机上,可以采用双击部署的方式,通过集中运维管控平台进行有效管理。
主机应用监管
大企业IT 系统往往非常复杂,设备越来越多,网络、设备和产品越来越复杂,数据中心主机等设备运行性能时刻影响着大企业日常生产。
浪潮SSM应用监管系统以大企业业务为核心,全面监控数据中心网络设备、主机以及基础支撑系统、数据库、中间件等核心资产,以安全事件为导向,提前预知系统安全风险实现,运维安全管理可视化、可量化。
SSM通过对业务的故障根源分析,真正实现了基于业务视角的监控。SSM部署灵活,无需在被监控设备部署任何代理,通过协议采集数据,采用B/S架构,提供全程导航,快速定位,层次化运行展现。通过业务监测拓扑和业务展现视图,多角度分析展现业务监测结果,衡量业务运行状态,评估主机运行健康度。
三、浪潮解决方案优势及价值
根据大企业生产业务系统特点,为大企业数据中心各个层面提供全面的安全防护方案,打造立体、纵深的安全防御体系。
提供WEB应用安全防护和负载均衡一体化方案,提供最佳的WEB应用漏洞和未知威胁防御能力,对HTTP/HTTPS和压缩数据流进行全面的分析,防止SQL注入、跨站攻击;(XSS)、缓冲区溢出、DDOS攻击等等,有效保护数据中心WEB服务器安全;同时,提升业务应用的性能,提高数据中心的基础设备效率。
主机系统层面采用主机加固技术,从操作系统层保证服务器、终端设备安全,通过白名单加固策略防止已知和未知病毒木马、后门攻击事件,有效提升操作系统安全等级,保护大企业WEB网站业务以及核心数据库等服务器安全。
通过建立内部运维安全管控平台,有效降低了内部运维可能出现的人员安全风险,防止内部泄密事件或者误操作,通过应用系统监控,以业务的角度全面监控数据中心业务资产,对于数据中心安全态势感知,保证数据中心高效、安全。
浪潮大企业数据中心安全解决方案符合国家信息安全等级保护三级的技术要求。