• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)安全防護(hù)措施

    2011-04-01 00:43:51孫秀成
    關(guān)鍵詞:數(shù)據(jù)業(yè)務(wù)訪問控制防火墻

    孫秀成

    (中國(guó)移動(dòng)通信集團(tuán)新疆有限公司,烏魯木齊 830063)

    近年來,我國(guó)互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)市場(chǎng)的發(fā)展勢(shì)頭十分迅猛,SP/CP的興起、電子商務(wù)的理性發(fā)展、電子政務(wù)的推進(jìn)以及企業(yè)信息化的長(zhǎng)足發(fā)展和網(wǎng)絡(luò)的應(yīng)用為互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)提供了主要客戶群。行業(yè)需求潛力巨大,因此互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)市場(chǎng)對(duì)于中國(guó)移動(dòng)的未來發(fā)展具有重要影響,是中國(guó)移動(dòng)業(yè)務(wù)擴(kuò)展的重要方向之一。

    信息技術(shù)的發(fā)展為企業(yè)的業(yè)務(wù)開展提供了高效率的技術(shù)支撐手段,但營(yíng)銷過程中越來越多的安全威脅被引入,依托各信息技術(shù)平臺(tái)運(yùn)行的業(yè)務(wù)信息、客戶信息等面臨的風(fēng)險(xiǎn)日益加大,提升數(shù)據(jù)業(yè)務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)防護(hù)能力勢(shì)在必行。

    1 生命周期

    為了更好地保障數(shù)據(jù)業(yè)務(wù)的安全,必須在業(yè)務(wù)需求、建設(shè)、運(yùn)營(yíng)等各環(huán)節(jié)充分考慮安全風(fēng)險(xiǎn),采取必要的安全措施。以保證提供具有高服務(wù)質(zhì)量、高安全性的數(shù)據(jù)業(yè)務(wù)。按照數(shù)據(jù)業(yè)務(wù)的生命周期,可將其劃分為4個(gè)階段:需求和評(píng)審階段,開發(fā)和測(cè)試階段,運(yùn)行和維護(hù)階段,退服和下線階段。

    2 安全控制流程及措施

    根據(jù)數(shù)據(jù)業(yè)務(wù)生命周期,制定管理流程,明確信息安全要求,完善安全管控措施。

    3 安全防護(hù)技術(shù)體系建設(shè)

    互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)機(jī)房面臨復(fù)雜的安全環(huán)境:網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)不斷增加和變化,網(wǎng)絡(luò)安全呈現(xiàn)“動(dòng)態(tài)性”;用戶系統(tǒng)多樣化,應(yīng)用復(fù)雜,動(dòng)態(tài)多變,面臨多種安全威脅和安全攻擊;大量集中的主機(jī)和服務(wù)器易產(chǎn)生安全連帶效應(yīng);容易發(fā)生內(nèi)部攻擊,安全防范與安全管理并重;不同的用戶對(duì)于系統(tǒng)的安全防護(hù)和日常維護(hù)管理有著不同的需求,維護(hù)具有復(fù)雜性。

    通過建設(shè)互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)機(jī)房的安全防護(hù)體系,提升網(wǎng)內(nèi)用戶感知,不斷改善互聯(lián)網(wǎng)業(yè)務(wù)的服務(wù)質(zhì)量,結(jié)合多種措施深入挖掘客戶價(jià)值,提升中國(guó)移動(dòng)業(yè)務(wù)品牌形象。

    3.1 建設(shè)原則

    數(shù)據(jù)業(yè)務(wù)機(jī)房在充分考慮安全威脅和主要風(fēng)險(xiǎn)基礎(chǔ)上,從網(wǎng)絡(luò)安全、設(shè)備自身安全以及部署專用安全防護(hù)設(shè)備、實(shí)現(xiàn)集中安全管理,建立符合“集中防護(hù)、縱深防御、靈活配置”原則的安全防護(hù)技術(shù)體系。通過防火墻、流量監(jiān)控、漏洞掃描系統(tǒng)等,為有需求客戶提供有償?shù)牟町惢?wù)。

    3.2 安全域劃分及防護(hù)部署

    根據(jù)業(yè)務(wù)保障原則、結(jié)構(gòu)簡(jiǎn)化原則、等級(jí)保護(hù)原則和生命周期原則,數(shù)據(jù)業(yè)務(wù)機(jī)房可劃分為以下主要的安全域:互聯(lián)網(wǎng)接入域、?;饏^(qū)、核心匯聚域、業(yè)務(wù)域、日常操作維護(hù)區(qū)、第三方接入?yún)^(qū)和管理服務(wù)區(qū)。

    3.2.1 綜合管控

    逐步建立可以支撐互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)機(jī)房日常安全管理工作的管控平臺(tái),實(shí)現(xiàn)綜合維護(hù)接入、賬號(hào)口令管理、日志審計(jì)、安全合規(guī)、安全事件關(guān)聯(lián)分析及監(jiān)控等功能。

    為了避免用戶非授權(quán)的訪問以及對(duì)網(wǎng)絡(luò)的濫用,重點(diǎn)在互聯(lián)網(wǎng)接入域和?;饏^(qū),以及日常操作維護(hù)區(qū)、第三方接入?yún)^(qū)與核心匯聚域之間部署安全網(wǎng)關(guān)類設(shè)備,實(shí)現(xiàn):

    (1)基于用戶名、用戶組、訪問時(shí)間、訪問對(duì)象等策略的權(quán)限精確管理;

    (2)實(shí)現(xiàn)網(wǎng)絡(luò)層用戶訪問日志記錄;

    (3)支持包括短信認(rèn)證、靜態(tài)強(qiáng)口令認(rèn)證等。

    利用管控平臺(tái)安全事件關(guān)聯(lián)分析功能,及時(shí)發(fā)現(xiàn)重要安全事件,結(jié)合集中告警平臺(tái)開展實(shí)時(shí)監(jiān)控。

    DDoS攻擊監(jiān)測(cè);僵尸木馬監(jiān)測(cè);病毒情況監(jiān)測(cè);入侵監(jiān)測(cè);利用系統(tǒng)或者管理漏洞開展的其它攻擊類型監(jiān)測(cè)。

    3.2.2 互聯(lián)網(wǎng)接入域

    互聯(lián)網(wǎng)接入域是數(shù)據(jù)業(yè)務(wù)機(jī)房與互聯(lián)網(wǎng)連接的出口,提供高速可靠的連接,與外部網(wǎng)絡(luò)互聯(lián)入口,實(shí)現(xiàn)高速連接以及路由選擇和分發(fā)功能,過濾一些來自Internet的不安全因素。

    部署異常流量監(jiān)測(cè)及過濾設(shè)備,監(jiān)測(cè)到異常流量攻擊后,抗拒絕服務(wù)攻擊設(shè)備進(jìn)行異常流量過濾,為重要互聯(lián)網(wǎng)接入客戶集中提供抗拒絕攻擊服務(wù)。

    3.2.3 停火區(qū)

    邏輯上,?;饏^(qū)連接互聯(lián)網(wǎng)與IDC內(nèi)部網(wǎng)絡(luò),該區(qū)域內(nèi)一般放置對(duì)外發(fā)布數(shù)據(jù)的Web服務(wù)器。外部用戶可以通過互聯(lián)網(wǎng)接入域,直接訪問?;饏^(qū)內(nèi)的服務(wù)器,但不能直接訪問內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)庫(kù),起到安全緩沖區(qū)作用。

    (1)支持虛擬功能的入侵檢測(cè)設(shè)備(含IDS,IPS),為需要該類防護(hù)服務(wù)的業(yè)務(wù)提供定制化的監(jiān)測(cè)防護(hù)能力,監(jiān)測(cè)、防止來自互聯(lián)網(wǎng)的惡意攻擊;

    (2)部署Web篡改防護(hù)設(shè)備,防止網(wǎng)頁(yè)篡改和信息泄露。實(shí)現(xiàn)對(duì)網(wǎng)頁(yè)信息安全的防護(hù);

    (3)針對(duì)其中的Windows類平臺(tái)部署網(wǎng)絡(luò)版防病毒系統(tǒng),并通過防病毒系統(tǒng)集中升級(jí)出口進(jìn)行自動(dòng)、集中升級(jí);

    (4)部署互聯(lián)網(wǎng)專用Portal、VPN網(wǎng)關(guān)、堡壘主機(jī)等設(shè)備,滿足維護(hù)人員以及IDC客戶遠(yuǎn)程管理所屬系統(tǒng)的需求。

    3.2.4 核心匯聚域

    核心匯聚域主要負(fù)責(zé)互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)域?qū)ν膺B接和內(nèi)部數(shù)據(jù)流的匯聚。核心匯聚域由匯聚層交換機(jī)和核心路由器構(gòu)成,是多臺(tái)業(yè)務(wù)接入交換機(jī)的匯聚點(diǎn),并提供到互聯(lián)網(wǎng)接入域的上行鏈路。它作為各個(gè)業(yè)務(wù)模塊的匯聚層,針對(duì)各個(gè)業(yè)務(wù)系統(tǒng)的需求,按照業(yè)務(wù)系統(tǒng)劃分區(qū)域,對(duì)相關(guān)的業(yè)務(wù)區(qū)域提供基礎(chǔ)的安全保障。

    (1)支持虛擬功能的雙重異構(gòu)防火墻:部署支持虛擬功能的雙重異構(gòu)(不同品牌,確保不會(huì)因?yàn)槟骋黄放品阑饓Σ僮飨到y(tǒng)漏洞導(dǎo)致同時(shí)失效)防火墻,隔離互聯(lián)網(wǎng)與?;饏^(qū)和內(nèi)部網(wǎng)絡(luò)。在防火墻策略設(shè)置上,外層防火墻側(cè)重實(shí)施粗粒度訪問控制,內(nèi)層防火墻側(cè)重針對(duì)特定系統(tǒng)實(shí)施細(xì)粒度的訪問控制,針對(duì)業(yè)務(wù)區(qū)域不同需求提供定制化的訪問控制能力;

    (2)支持虛擬功能的入侵監(jiān)測(cè)系統(tǒng)在各核心匯聚域交換機(jī)鏡像端口,部署支持虛擬功能的入侵檢測(cè)設(shè)備,針對(duì)IDC內(nèi)部系統(tǒng)之間的相互攻擊以及部分來自互聯(lián)網(wǎng)的入侵攻擊行為進(jìn)行監(jiān)測(cè)。

    核心匯聚域可通過物理隔離的方式,實(shí)現(xiàn)各個(gè)業(yè)務(wù)區(qū)域之間的隔離;也可通過在防火墻上設(shè)定安全訪問控制策略實(shí)現(xiàn)各個(gè)業(yè)務(wù)域的隔離。

    3.2.5 業(yè)務(wù)域

    業(yè)務(wù)域由接入交換機(jī)和各業(yè)務(wù)系統(tǒng)的服務(wù)器、存儲(chǔ)設(shè)備等組成,根據(jù)安全管理的可控性不同,業(yè)務(wù)域可以劃分為自有業(yè)務(wù)域和第三方業(yè)務(wù)域。

    (1)移動(dòng)自有業(yè)務(wù)域,保證網(wǎng)絡(luò)本身的高可靠性及與第三方區(qū)域的嚴(yán)格隔離。根據(jù)自有業(yè)務(wù)的安全需求,需要部署物理安全設(shè)施,采用IDC統(tǒng)一部署、支持虛擬功能的雙層異構(gòu)防火墻,集中化的不良信息檢測(cè)與封堵系統(tǒng),網(wǎng)站備案系統(tǒng),流量監(jiān)控和過濾系統(tǒng),支持虛擬功能的入侵檢測(cè)系統(tǒng),通用或者Web漏洞掃描,網(wǎng)絡(luò)版防病毒系統(tǒng),網(wǎng)頁(yè)防篡改系統(tǒng)以及安全管控平臺(tái)進(jìn)行防護(hù);

    (3)第三方業(yè)務(wù)域可根據(jù)客戶不同的安全需求,需要部署不同的防護(hù),基礎(chǔ)功能:為客戶提供基礎(chǔ)的網(wǎng)絡(luò)連接和基本的物理機(jī)房資源等基礎(chǔ)性安全服務(wù),同時(shí),提供基于客戶的流量監(jiān)控服務(wù),以便及時(shí)發(fā)現(xiàn)流量異常,通知客戶處理。增值功能:在基礎(chǔ)功能基礎(chǔ)之上,根據(jù)不同客戶業(yè)務(wù)需求,提供增值性安全性服務(wù),如流量監(jiān)控、流量過濾、支持虛擬功能的雙層異構(gòu)防火墻、具備虛擬功能的入侵檢測(cè)系統(tǒng)、安全管控系統(tǒng)、各類漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版防病毒系統(tǒng)、網(wǎng)頁(yè)信息安全防護(hù)系統(tǒng)等。同時(shí),可以基于用戶需求提供安全加固服務(wù)等。

    3.2.6 內(nèi)部系統(tǒng)接入域

    內(nèi)部接入域?yàn)閿?shù)據(jù)業(yè)務(wù)與內(nèi)部業(yè)務(wù)(如BOSS)的訪問通道,通過部署防火墻、IDS等安全設(shè)備,進(jìn)行嚴(yán)格訪問控制,防范數(shù)據(jù)業(yè)務(wù)機(jī)房安全風(fēng)險(xiǎn)的擴(kuò)散到核心業(yè)務(wù)區(qū)。

    3.2.7 第三方專線接入域

    第三方專線接入域?yàn)檎?、大中型企業(yè)(如銀行、證券等)的接入渠道,通過部署防火墻、IDS、流量清洗等系統(tǒng),加強(qiáng)外部接入安全防護(hù)。

    3.2.8 日常操作維護(hù)區(qū)

    日常操作維護(hù)區(qū)是移動(dòng)員工對(duì)各類業(yè)務(wù)系統(tǒng)進(jìn)行管理的工作區(qū)域,該區(qū)域應(yīng)重點(diǎn)加強(qiáng)維護(hù)人員訪問數(shù)據(jù)業(yè)務(wù)設(shè)備、資源時(shí)的集中化的安全認(rèn)證、訪問控制、日志審計(jì)能力,并防范病毒擴(kuò)散。在該區(qū)域和業(yè)務(wù)域及其它區(qū)域之間的唯一接口位置,即該區(qū)域內(nèi)交換機(jī)與IDC匯聚交換機(jī)之間,部署防火墻、綜合安全管控平臺(tái)堡壘主機(jī),進(jìn)行訪問控制,結(jié)合綜合安全管控平臺(tái)內(nèi)部Portal,實(shí)現(xiàn)用戶帳號(hào)管理、權(quán)限管理、密碼管理、一次登錄、資源發(fā)布和安全審計(jì)等功能。

    3.2.9 第三方接入?yún)^(qū)

    第三方接入?yún)^(qū)是客戶和技術(shù)支撐廠家人員專線方式遠(yuǎn)程接入及在本地的工作區(qū)域,該區(qū)域的具體防護(hù)措施:

    (1)客戶人員可以本地維護(hù),也可部署遠(yuǎn)程專線接入進(jìn)行維護(hù),其操作均需要通過堡壘主機(jī)設(shè)備進(jìn)行嚴(yán)格的訪問控制、日志審計(jì),才能訪問其所屬系統(tǒng);

    (2)第三方客戶人員也可通過SSL VPN接入進(jìn)行遠(yuǎn)程維護(hù)。并通過堡壘主機(jī)等設(shè)備進(jìn)行嚴(yán)格的訪問控制、日志審計(jì),才能訪問其所屬系統(tǒng)。

    4.2.1 管理服務(wù)區(qū)

    在管理服務(wù)區(qū)邊界,主要是與核心匯聚域之間鏈路,部署防火墻,并在?;饏^(qū)內(nèi)部署綜合安全管控平臺(tái)、堡壘主機(jī)、Portal等設(shè)備,內(nèi)外部維護(hù)人員均需要通過該區(qū)域的Portal設(shè)備才能訪問所屬業(yè)務(wù)系統(tǒng)以及管理服務(wù)域中的設(shè)備。管理服務(wù)區(qū)的Portal,為日常操作維護(hù)區(qū)和第三方接入?yún)^(qū)人員接入管控平臺(tái)所使用。

    4.2.2 安全評(píng)估與整改

    移動(dòng)公司定期或不定期對(duì)上線系統(tǒng)安全檢查,確保賬號(hào)口令、系統(tǒng)基線、漏洞補(bǔ)丁符合移動(dòng)公司安全管理要求;提供安全可控的本地維護(hù)、遠(yuǎn)程維護(hù)手段,實(shí)現(xiàn)維護(hù)賬號(hào)、授權(quán)、審計(jì)、日志管理;定期或不定期對(duì)主機(jī)系統(tǒng)漏洞掃描,Web應(yīng)用漏洞掃描,掛馬事件掃描等,及時(shí)發(fā)現(xiàn)安全漏洞隱患,根據(jù)系統(tǒng)維護(hù)歸屬,敦促整改。

    猜你喜歡
    數(shù)據(jù)業(yè)務(wù)訪問控制防火墻
    上海市交通發(fā)展研究中心交通項(xiàng)目評(píng)審及交通大數(shù)據(jù)業(yè)務(wù)簡(jiǎn)介
    交通與港航(2022年2期)2022-06-30 08:49:32
    構(gòu)建防控金融風(fēng)險(xiǎn)“防火墻”
    ONVIF的全新主張:一致性及最訪問控制的Profile A
    動(dòng)態(tài)自適應(yīng)訪問控制模型
    淺析云計(jì)算環(huán)境下等級(jí)保護(hù)訪問控制測(cè)評(píng)技術(shù)
    大數(shù)據(jù)平臺(tái)訪問控制方法的設(shè)計(jì)與實(shí)現(xiàn)
    分組域數(shù)據(jù)業(yè)務(wù)的停復(fù)機(jī)優(yōu)化
    下一代防火墻要做的十件事
    綜合話音和數(shù)據(jù)業(yè)務(wù)的GSM頻率優(yōu)化研究
    筑起網(wǎng)吧“防火墻”
    萝北县| 大埔县| 德惠市| 普格县| 灵丘县| 文昌市| 永宁县| 察哈| 乌拉特中旗| 化德县| 郯城县| 隆回县| 丰顺县| 江阴市| 兰西县| 陈巴尔虎旗| 新绛县| 昌图县| 云霄县| 云和县| 山阴县| 保德县| 阳原县| 伊吾县| 彝良县| 会理县| 普宁市| 青州市| 泰兴市| 右玉县| 黄石市| 明光市| 南木林县| 平阳县| 康乐县| 澄迈县| 珲春市| 久治县| 江西省| 古浪县| 德兴市|