数据中心的存容灾备份与安全.doc
《数据中心的存容灾备份与安全.doc》由会员分享,可在线阅读,更多相关《数据中心的存容灾备份与安全.doc(29页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、数据中心的存容灾备份与安全(1) 数据中心现状(2) 数据中心优化后方案1 数据中心防入侵系统在档案局服务器入口处处部署一套网络入侵防御系统,通过设置检测与阻断策略对流经入侵防御系统的网络流量进行分析过滤,并对异常及可疑流量进行积极阻断,同时向管理员通报攻击信息,从而提供对网络系统内部IT资源的安全保护。入侵防御系统能够在第一时间阻断各种非法攻击行为,比如利用网络系统薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等。保护关键业务隔离企业内网攻击hillstone网络入侵防御系统解决方案优势1) 它可以完成多种协议的格式解析l 按照协议来划分,没有协议特性的归入全端口检测 l
2、 当前支持个协议 :DNS、FTP、HTTP、POP3、SMTP、Telnet l 支持3000多个signature的检测l 结合应用识别模块可以检测非标准端口 2) 对于HTTP的防护非常细致颗粒化HTTP 防护分类:l Web平台 l Web认证 l Web授权 l 输入验证 l Web数据存储(例如SQL) l XML Web服务 l Web应用管理 l Web客户端 l DOS 3) 支持IPS在线模拟和IPS模式l IPS在线模拟模式,仅提供协议异常和网络攻击行为的告警、日志功能,不对检出攻击做reset、block操作。l IPS模式,提供协议异常和网络攻击行为的告警、reset
3、、阻断功能。4) 提供防御暴力破解功能,并在设定时间内阻断后续认证登陆尝试l 暴力破解,检测每分钟对多允许的登录(密码验证)尝试次数。如果超过配置阈值,则根据用户配置的行为进行处理。l 对SMTP、POP3、FTP、Telnet协议提供暴力破解功能。l 暴力破解被认为是一个”Critical”级别事件。 5) 对网络攻击事件分为Info、warning、critical三个安全级别,可根据安全级别对网络攻击行为设定告警、重置及block的操作。l 安全级别设置三级,Information、Warning、Critical。l 用户针对不同安全级别可配置不同的操作,包括仅记录日志、重置连接、阻断
4、攻击IP或service。6) 提供服务器信息保护l 由于Web、Mail、FTP等服务器安全设置级别不高,可能在应用交互过程中泄露服务器版本等重要信息,成为黑客进行入侵攻击的通道之一。l IPS提供HTTP、SMTP、POP3、FTP服务器信息的保护功能,替换在应用交互中服务器回应给客户端的信息。 7) 提供协议异常和网络攻击行为的告警、reset、阻断功能8) 提供详细的攻击防护日志输出 9) 提供详尽的在线帮助文档,帮助用户了解IPS检测出的网络攻击行为的详细信息及解决方案10) 提供用户基于signature id、application、ip、user、zone、interface的
5、入侵次数统计集设置。用户可通过这些统计集从不同纬度分析网络攻击行为。11) 支持IPS特征库及IPS相关配置的双机热备功能l 支持IPS 特征库的批量及实时同步l 支持IPS相关配置的批量及实时同步Hillstone山石网科入侵防御系统能够提供很好的内网攻击防护功能,结合来自网络外部的攻击防护功能,能全面杜绝内网ARP、DDoS攻击和外部非可信网络的攻击,全面、高效、安全的保护用户的网络,还用户一个安全、干净、舒适的信息环境。l 高可靠性和稳定性依靠积累多年被证实的专业硬件安全产品研发和市场经验,Hillstone山石网科入侵防御系产品无论在软件还是硬件的稳定性和可靠性上都有了进一步提高。全面
6、优化的软硬件系统的稳定性和高可靠性为网络流量和网络攻击日益膨胀的xxx单位网络IT环境提供了强大的保障。l 最低的总体拥有成本Hillstone山石网科入侵防御系提供了非常友好的使用和管理界面,部署简单、易于维护和管理。灵活的特性可以满足不同用户不同应用环境的需求。独特创新的新一代网络安全架构提供给用户最大化的可扩展能力,最大化地保护用户投资。l 强健的专用实时操作系统Hillstone山石网科入侵防御系采用了专用的64位实时并行操作系统StoneOS,其并行处理能力和模块化的结构易于集成和扩展更多的安全功能。针对新一代多核处理器进行的全面优化和安全加固极大地提高了系统处理效率、稳定性和安全性
7、。模块化和并行多任务的处理机制,为Hillstone山石网科入侵防御系提供了极大的可扩展能力,包括支持更多的核处理器和集成更多的安全功能。l 强大的抗攻击能力Hillstone山石网科入侵防御系的多核处理器具有天生的高性能内容安全处理能力,结合专用定制操作系统,能够提供高性能的应用安全处理能力和更强的应用层抗攻击能力。Hillstone山石网科入侵防御系每秒能够提供多达40万的TCP会话请求,具有超强的SYN Flood抗攻击能力和DDoS抗攻击能力。产品选型设备需求品牌参数生产地入侵防御系统山石网科北京2 数据中心数据审计由于政府和企事业单位的数据库系统都实现了网络化访问,内部用户可以方便地
8、利用内部网络通过各种通讯协议进行刺探,获取、删除或者篡改重要的数据和信息。同时,一些内部授权用户由于对系统不熟悉而导致的误操作也时常给数据库系统造成难以恢复的损失。此外,对于使用IT外包和代维的大型机构而言,如何限制外部人员对数据库系统的访问权限也是一个难题,外包方的技术工程师可能在开发数据库应用的时候留下后门或者幽灵帐号,为将来侵入数据库系统埋下隐患。另一方面,为了保护敏感信息、加强内控,国家强制机关和行业的主管部门相继颁布了各种保护公民隐私,以及合规和内控方面的法律法规和指引,例如企业内部控制基本规范、银行业信息科技风险管理指引、证券公司内部控制指引、保险公司风险管理指引(试行)等。其中中
9、华人民共和国刑法(七)第253条明确规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”此外,在国际上,美国政府针对上市公司的萨班斯(SOX)法案、针对医疗卫生机构的HIPAA法案、针对联邦政府机构的FISMA法案,支付卡行业数据安全标准(PCI DSS)都对信息保护和内控提出了严格的要求。这些条例和指引都要求对网络中的重要数据库系统进行专门的安全审计。可以说,随着安全需求的不断提升,网络安全已经从以防范外部入侵和攻击为主逐渐转变
10、为以防止内部违规和信息泄露为主了。在这种情况下,政府和企事业单位迫切需要一款专门针对网络中数据库及其业务信息系统进行全方位审计的系统。网神借助多年在安全管理领域的积累,推出了SecFox-NBA(业务审计型),很好地满足了客户的安全审计需求。网神SecFox-NBA(Network Behavior Analysis for Business Audit)网络行为审计系统(业务审计型)通过对连接到重要业务系统(服务器、数据库、业务中间件、数据文件等)的数据流进行采集、分析和识别,实时监视用户对业务系统的访问,记录、发现并及时制止用户的误操作、违规访问或者可疑行为。SecFox-NBA(业务审计
11、型)能够对复杂网络环境下的各种数据库操作行为进行细粒度审计。产品能够对运行在各种操作系统上的各种品牌数据库的操作进行记录并回放,审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等;不仅能够审计请求信息,也能够审计返回结果,还支持操作内容回放。SecFox-NBA(业务审计型)独有面向业务的安全审计技术,通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,审计人员可以根据业务网络的变化快速查看业务网络中各个设备和整个业务网络的事件和告警信息。SecFox-NBA(业务审计型)能够自动地或者在
12、管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,并能够实时阻断可疑的网络通讯,实现安全审计的管理闭环。SecFox-NBA(业务审计型)为客户提供了丰富的报表,使得管理人员能够从各个角度对业务系统的安全状况进行审计,并自动、定期地产生报表。产品部署简便,不需要修改任何网络结构和应用配置,不会影响用户的业务运行。产品特点SecFox-NBA 网络行为审计系统(业务审计型)的主要特点包括:1) 全方位的数据库审计2) 数据库操作实时回放3) 多角度的业务审计4) 应用服务实时监控5) 资源转换
13、与审计控制6) 内置数据库防攻击策略7) 快速响应和协同防御8) 海量存储便于事后分析9) 部署灵活简单易用10) 详尽有效审计报表多数据库系统及运行平台支持SecFox-NBA(业务审计型)产品能够对多种操作系统平台下各个品牌、各个版本的数据库进行审计。产品能够审计的数据库系统包括:Oracle 8i / 9i / 10g / 11gSQL Server 2000 / 2005 / 2008IBM DB2 7.x / 8.x / 9.xIBM Informix Dynamic Server 9.x /10.x /11.xSybase ASE12.x / 15.xMySQL 4.x / 5.x
14、 /6.x国产数据库,例如达梦、人大金仓等产品能够审计的数据库运行平台包括:Windows、Linux、HP-UX、Solaris、AIX。细粒度数据库操作审计SecFox-NBA(业务审计型)能够深入细致地对数据库的各种操作及其内容进行审计,并且能够用户通过各种方式访问数据库的行为。系统审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等。如下表所示:操作行为内容和描述用户行为数据库用户的登录、注销数据定义语言(DDL)操作CREATE,ALTER,DROP等创建、修改或者删除数据库对象(表、索引、视图、存储过程、触
15、发器、域,等等)的SQL指令数据操作语言(DML)操作SELECT,DELETE,UPDATE,INSERT等用于检索或者修改数据的SQL指令数据控制语言(DCL)操作GRANT,REVOKE等定义数据库用户的权限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作指令系统不仅能够审计数据库操作请求,还能审计操作的返回结果,包括成功或者失败。如果失败,能够审计到返回的错误码。系统能够对各种访问数据库的途径进行监控和审计,参见下图:如上图Oracle数据库审计所示,无论用户通过Oracle自带的企业管理控制台、PL/SQL命令行、SQL*PLUS进行访问,还是通过第三
16、方的Quest TOAD(Tool for Oracle Application Developers)工具访问,抑或通过中间件、浏览器、客户端程序/代理方式访问,等等,SecFox-NBA(业务审计型)都能够进行审计。特别地,如果被审计的数据库网络数据被加密处理了,SecFox-NBA(业务审计型)为用户提供了一个通用日志采集器模块,借助该模块,系统能够自动的采集被审计数据库的日志信息,并在审计中心对其进行归一化和关联分析。此外,SecFox-NBA(业务审计型)还能够监测数据库系统所在主机的网络通讯,对该主机的FTP、文件共享等协议进行审计,确保数据库系统上的数据安全。可视化的数据库审计S
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据中心 存容灾 备份 安全
限制150内