浅谈税务部门大型数据中心安全保障体系建设

《浅谈税务部门大型数据中心安全保障体系建设》由会员分享，可在线阅读，更多相关《浅谈税务部门大型数据中心安全保障体系建设（11页珍藏版）》请在装配图网上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流浅谈税务部门大型数据中心安全保障体系建设.精品文档.浅谈税务部门大型数据中心安全保障体系建设内容提要：数据集中和业务整合，是税务信息化管理的大趋势。在数据大集中的背景下，如何保障数据中心安全、稳定、高效的运行，是一个巨大的挑战。本文以国家税务总局广东数据中心为例，分析了目前大型数据中心安全建设和安全保障存在问题，针对四大方面的风险点，提出一些关于安全建设的解决思路和建设安全保障体系的一套解决方案。关键词：安全建设、安全保障、安全运维、数据中心一、意义和目标国家税务总局提出了税务信息一体化建设的总体建设规划，并在“金税三期”工程建设目标中明确提

2、出建设“以省局为主和总局为辅的两级数据处理中心的电子税务工程”。根据总局的规划，数据与业务大集中的建设模式是未来发展的重点。在大集中模式下，各省级数据中心作为税务系统业务工作的业务处理核心和数据存储核心，是税务工作正常开展的重要支撑。数据中心安全建设，不仅要关注安全漏洞、安全风险，更需要保障业务系统的持续运营。在现阶段，税务部门数据中心安全保障建设的总体目标是：从终端源头对安全事件加以积极防御，加强提高业务系统的安全性；在实现信息安全多层次隔离的同时，还要确保信息的安全交换，充分保障数据中心信息系统的业务可持续运行。 二、现状分析广东数据中心整个网络分为7大区域，除去属于广域网项目的2个区域外

3、（广域网不在本文讨论范围），局域网有5个区域，即核心交换区、服务器接入区、政务接入区、办公区、网络运维管理区。现有安全措施有：在各区域的接入交换机上部署入侵检测系统，通过入侵检测系统发现各个区域网络或系统中是否有违反安全策略的行为和遭到袭击的迹象；在安全管理区也部署了安监平台、日志系统、漏洞扫描和行为审计等系统，对所管理的PC服务器进安全监控，增强网络安全中的监控和审计机制；同时，各网络区域之间部署多台防火墙进行一定的内部安全域的隔离和访问控制，但因广东数据中心尚未部署生产系统，所部署的防火墙尚未实施完整的安全策略，只是运行在透明网桥模式，存在一定的网络安全隐患。从风险管控的角度，参照业界通用

4、的分析方法和国家信息安全风险评估指南，广东数据中心面临着边界安全风险、内网安全风险、应用安全风险和管理安全风险四个层面的风险。（一）网络边界风险分析网络边界风险主要包括四类，一类是国税数据中心网络与金三广域网的边界；第二类是国税数据中心系统业务网与其他政务相关单位（如海关、银行等）的专网网络之间的边界，第三类是国税数据中心系统对外服务信息服务网即公众服务网的边界；第四类是国税数据中心系统内部不同安全域之间的边界。安全风险表现在以下方面：1.黑客攻击，例如来自政务外网的非法人员可以直接通过网络对省国税数据中心服务器进行扫描，一旦发现漏洞即可实施攻击，盗取客户信息，造成客户流失或私人信息泄漏。2信

5、息传输，以窃取商业秘密为目的的“网络大盗”，利用数据集中必由之路的路由器的缺陷，定期采集流经指定目的地址的全部数据，窃取有价值的商业情报。3病毒入侵，当前病毒威胁也非常严峻，任何一个子网爆发蠕虫病毒，会立刻向其他子网迅速蔓延，这样会大量占据正常业务所需带宽，造成网络性能严重下降甚至网络通信终断，严重影响正常业务。4越权访问，系统结构复杂，用户覆盖面广，分布在不同安全等级之间的用户越权访问，如分支部门的某终端用户越权进入上级单位的数据库，查看其它分支部门的数据资源，造成敏感信息流失。（二）计算环境风险分析内网安全风险主要是广东数据中心网络系统中各级单位局域网可能潜在的风险。其主要包括以下四个方面

6、：1主机系统漏洞，大量不同的终端设备，其操作系统各有不同，可能会存在不同的安全漏洞，这些安全漏洞随时构成税务信息系统的致命威胁。2服务器配置不当，税务系统涉及业务复杂多样，其对应的应用服务也复杂多样，对服务器各项服务安全配置的失误会直接造成税务相关信息系统被攻击。例如用户在配置SQL Server时没有对管理添加密码，黑客就可以通过SQL Server直接轻松渗透到数据中心系统网络当中来截取、修改或删除数据。3桌面系统漏洞，广东数据中心终端设备部署较为分散，没有采取统一管理，这样极易构成内部用户的违规操作。例如内部用户安装恶意软件、修改客户端IP地址等欺骗行为。4内部用户误操作，各级用户对计算

7、机相关的知识水平参差不齐，一旦某些安全意识薄弱的终端用户误操作，也将给税务信息系统带来破坏。例如某些终端用户在恶意网站上下载或是错误使用了某些存储介质，从而导致计算机感染了病毒或木马程序，很可能会给整个数据中心内部网络带来灾难性的破坏。5合法用户的恶意行为，用现成的攻击程序来实现“黑客”的目的，甚至在不知情的情况下被一些真正的黑客所利用去攻击内部网络。（三）应用系统风险分析应用安全风险主要是指大型数据中心网络中各应用系统所面临的各种安全风险，包括业务应用平台、OA应用平台、Web平台、邮件系统、FTP服务器、DNS服务器等网络基本服务。这些平台、系统和服务主要依赖Web Server、FTP服

8、务、E-mail服务、浏览器等通用软件，或者依赖商用数据库、中间件等应用开发平台所开发的应用软件，主要安全风险点有：1网络行为审计，由于计算机相关的知识水平参差不齐，一旦某些安全意识薄弱的管理用户误操作，将给信息系统带来致命的破坏。有必要进行基于网络行为的审计。从而威慑那些心存侥幸、有恶意企图的少部分用户，以利于规范正常的网络应用行为。2系统风险评估管理，网络中存在大量的服务器系统均存在着各种类型的漏洞，对服务器各项服务的安全配置显得尤为重要，如果有一点疏忽也会直接造成信息系统被攻击。3WEB页面防护，Web应用的普及使得在平台上中存在的Web服务器很容易成为黑客的攻击目标。被篡改的网页将给业

9、务系统带来很大的安全隐患，造成信息丢失、泄露等安全事件。需要专业的主页防篡改工具有效阻止主页篡改事件的发生，维护Web页面的安全。4应用安全管理，通过技术手段对应用系统的状况进行全面监控，全盘展现业务环境，实施全面主动监控，进行运行趋势分析，及时发现存在的问题。（四）管理安全风险分析由于广东数据中心整体建设网络覆盖面广，用户众多，技术人员水平不一，对安全设备与安全措施的使用与管理也存在着一定的风险。例如，由于没有正确地配置安全设备，导致某一安全区域内的防护手段失效。同时，对于某一安全区域内发生突发的安全事件，现有的安全管理手段很难迅速准确对这种风险进行快速响应，也无法快速定位威胁来源在哪里，因

10、此也无法及时调整安全策略来应对这样的安全事件。三、安全保障体系的物理设计为保证信息资源、服务资源、信息系统、基础设施和安全体系等各要素之间构成一个有效的整体，方便信息的交换和共享，广东数据中心在安全产品部署作出统一规划，整体部署，基本满足建立安全体系建设的硬件要求， 详细的安全设备部署位置和作用如下表:部署产品数量部署位置部署作用异常流量管理系统1套数据中心互联网边界最阻断来自互联网的流量型攻击行为，保护WEB网站的可用性，保障正常的税务业务流量。高性能防火墙2数据中心区接入边界保护整个数据中心服务器节点，阻止各类非法应用，建议采用多核处理技术架构。安全隔离网闸2政务网接入边界保护数据中心核心

11、生产系统。IPS入侵防护系统2数据中心服务器接入区边界实时监控并阻断针对数据中心内网服务器安全域中各业务服务器的入侵行为，专机专用。AV防病毒网关2数据中心客户机办公区边界、数据中心区在边界集中进行病毒过滤，防止病毒侵入或向外扩散，与网络防病毒组成多层次深度防御。网络防病毒1套数据中心所有安全域终端、服务器。抑制来自外部或内部的恶意病毒传播，保持网络清洁。与AV防病毒网关组成多层次深度防御。入侵检测系统1数据中心核心交换机，并接方式实时监测目标网络流量，及时发现入侵行为并进行报警和审计。SSL VPN 网关1互联网边界防火墙旁路部署提供远程安全接入，与PKI/PMI结合使用漏洞扫描1数据中心，

12、网络可达各服务器即可提供工具对网络平台各类主机、服务器、网络设备等进行安全漏洞扫描，及时发现问题，通过解决方案。WEB防护网关1数据中心对外信息服务区WEB服务器实时监控web网站的正常工作状况，阻止对网站的各种攻击行为。 网页防篡改1数据中心对外信息服务区WEB服务器实时监控web页面的正常工作状况，发现篡改后及时进行修复。应用安全监控1数据中心，网络可达各服务器即可对应用服务器、系统、数据库进行状态监测和监控，实时发现故障并报警，快速定位故障点，为恢复环境提供依据。网络安全审计1数据中心核心交换机，并接方式对省数据中心网络行为监控和审计，及时发现网络应用异常行为。为集中安全管理提供监控数据

13、。数据库审计2数据中心生产区对以上包含数据库系统区域的用户行为、用户事件及系统状态加以审计，从而把握数据库系统的整体安全内网安全管理1数据中心终端及服务器实现终端安全加固、网络接入控制、非法外联控制等终端防护。各服务器安装补丁管理模块进行系统补丁分发。同时应能够与边界网关产品进行联动，组成动态防御体系。PKI/PMI1安全应用支撑服务区通过建设完善的CA系统实现对全网的用户身份认证，同时建设授权管理系统，与CA系统一起完成身份认证与授权。安全管理平台1数据中心系统管理区 管理所有安全设备及部分网络设备；对安全设备和部分网络设备进行统一管理、状态监控、策略下发、集中审计。表1 安全设备清单四、安

14、全保障体系的业务设计 不断完善和规范安全运维体系，是数据中心安全保障体系建设的业务基础。广东数据中心的安全运维服务模块如下：序号部署环境系统名称所需要的运维服务模块1税务部门大型数据中心交换区业务系统安全扫描 人工检查安全加固 日志分析补丁管理 安全监控安全通告 应急响应2生产区业务系统3宏观决策区业务系统4对外业务服务区承载的互联网业务系统渗透测试 代码审计安全扫描 人工检查安全加固 日志分析补丁管理 安全监控安全通告 应急响应表2 安全运维体系表（一）安全扫描，通过符合计算机信息系统安全的国家标准、相关行业标准设计、编写、制造的安全扫描工具，分析有关网络的安全漏洞及被测系统的薄弱环节，给出

15、详细的检测报告，并针对检测到的网络安全隐患给出相应的修补措施和安全建议。安全扫描过程中严格遵守以下原则：服务不能影响目标系统所承载的业务运行；服务不能严重影响目标系统的自身性能；操作时间选择在系统业务量最小，业务临时中断对外影响最小的时候。（二）人工检查，网络安全管理人员登录主机，网络设备，根据检查列表对可能存在的安全漏洞进行逐项检查，根据检查结果提供详细的漏洞描述和修补方案。人工检查作为人工实施的安全评估手段可以弥补由于在放火墙策略等安全措施下，安全扫描无法发现系统内部存在的安全隐患。通过网络安全管理人员在主机、网络等设备上的实际操作，更深程度地发现系统存在的问题及需要安全增强的脆弱点。（三

16、）安全加固，对现有的各类网络设备、主机系统、数据库系统、应用系统等的安全状况，进行周期性的安全评估、审计、加固等工作，才能够保障整体安全水平的持续提高。解决安装、配置不符合安全需求；使用、维护不符合安全需求；系统完整性被破坏；被植入木马程序；帐户、口令策略问题；安全漏洞没有及时修补；应用服务和应用程序滥用；安全加固服务手段有：基本安全配置检测和优化；密码系统安全检测和增强；账号、口令策略调整；系统后门检测；提供访问控制策略和工具；增强远程维护的安全性；文件系统完整性审计；增强的系统日志分析；系统升级与补丁安装；网络与服务加固；文件系统权限增强；内核安全参数调整；模拟黑客入侵对系统进行渗透测试并

17、予以加固。（四）风险规避，为保证税务部门数据中心外网业务系统的正常运行，加固过程中对终端用户业务系统造成的异常情况降到最低点，对加固对象运行的操作系统和应用系统进行调研，制定合理的、复合系统特性的加固方案，并且加固方案应通过可行性论证并得到具体的验证，实施严格按照加固方案所确定内容和步骤进行，确保每一个操作步骤都对客户在线系统没有损害。另外，为防止在加固过程中出现异常情况对系统造成损害，保证业务系统在诸如此类的灾难发生后能及时的恢复与运转，确保客户业务系统的正常运行或异常情况的发生降到最低点，采用以下几点规避措施：1.模拟环境，客户所提供的模拟环境，可以对加固方案进行验证，证明此次加固方案对客

18、户在线业务系统是没有损害。模拟环境要求系统环境（操作系统、数据库系统）与在线系统完全一样，应用系统也同在线系统版本相同，数据可以是最近一次的全备份；2.系统备份，采用全备份、增量备份、差分备份、文件系统备份等方式，系统备份的数据进行有效验证和妥善保管；3.系统恢复，恢复总是与一定类型的失效相对应的。在系统加固过程中如果出现被加固系统没有响应的情况，安全顾问立即停止加固工作，与客户配合工作人员一起分析情况，在确定原因后，由客户或客户系统提供商对系统进行正确恢复。按照以下的步骤进行恢复：记录系统故障现象和信息，以备分析；根据客户所采用的备份方式进行系统恢复，保证系统最短时间内恢复运行；恢复完毕后，

19、配合客户进行重新备份并查找系统故障原因并记录；如果遇到无法解决问题，双方项目组工作人员共同协商解决；根据恢复类型和环境的不同，恢复所需的时间也各不相同。（五）日志分析，根据实际的安全要求，广东数据中心将针对关键服务器、防火墙、路由器、交换机、应用软件、中间件产品等产品实行日志审计服务。广东数据中心的网络安全管理人员从应用系统各结点获得日志文件，采取人工+工具的分析分析方法，形成日志分析报告。该报告与定期评估结果、定期策略分析结果进行综合分析，找到当前的系统及网络设备中存在的问题和隐患，并给各部门提供专业的整改方案。日志分析服务遵循以下流程：1. 日志服务器搭建。建立日志服务器，将路由器、交换机

20、通过sys log 协议，将Windows 系统的日志通过event log 的方式集中转存到日志服务器上；2. 分析日志。根据设备的具体情况，分析关键服务器、防火墙、路由器、交换机等设备的日志, 采取人工加工具的审计分析方法对日志信息进行综合分析,找到当前的系统及网络设备中存在的隐患和被攻击痕迹；3. 生成报告。根据以上评估，生成具体的日志分析报告，广东数据中心专家将会人工结合用户网络的构成及业务流程等，为客户量身定制出专业又极具可读性的报告，并会针对报告中的各项问题，为客户提供修补建议，使发现的问题能尽可能早的得到解决，避免引起更大范围的影响和损失；4. 其它支持。得到网络安全管理人员提交

21、的日志审计报告后，可以根据报告的内容对系统进行检查和修补，在此过程中的各级主管部门的领导积极配合。数据中心日志分析服务的内容主要包括：类型内容方式网络层网络设备日志工具、手工主机层通用的windows 和Unix 系统日志，包括：应用程序日志、系统日志、安全日志等。工具、手工应用Web 系统，包括：IIS、Apache；数据库等工具、手工表3数据中心日志分析服务内容表（六）补丁管理，伴随着应用软件大小的不断膨胀，潜在的BUG 也不断增加，只有时刻对出现的漏洞及时做出反应才能够有效地保护系统的有效性、保密性和完整性。广东数据中心有专门的岗责人员负责补丁的部署和管理。（七）安全监控，广东数据中心安

22、全监控服务覆盖网络、主机、数据库、应用和中间件的安全和性能监控，具体内容如下：类型内容监控方式网络层H3C路由器SNMP主机层Windows2000/XP/2003、Solaris、AIX、HP-UX、Redhat LinuxSNMP/专用数据收集代理数据库Oracle、MS SQL Server、MysqlSNMP/专用数据收集代理应用中间件WebLogic、WebSphere、Jboss/Tomcat、Apache、IISSNMP/专用数据收集代理表4安全监控配置表（八）安全通告，对于网络安全管理人员，特别是复杂网络的管理人员，由于时间和工作关系，通常会遇到无法及时分类相关的安全报告，使得

23、网络中总或多或少的存在被忽视的安全漏洞。注重对最新安全技术及安全信息的发现和追踪，安全通告将以邮件、电话、巡检等方式，将安全技术和安全信息及时传送给各地市级税务系统部门的信息中心。内容包括：紧急安全事件通告；业界最新动态；国际、国内以及行业安全政策及法律法规；广东数据中心最新信息化建设动态；各种信息系统的漏洞信息；安全产品评测信息等。（九）应急响应，当安全威胁事件发生后迅速采取的措施和行动，其目的是最快速恢复系统的保密性、完整性和可用性，阻止和降低安全威胁事件带来的严重性影响。应急响应将对网络入侵、拒绝服务攻击、大规模病毒爆发、主机或网络异常事件等紧急安全问题提供强有力保障，控制事态发展；保护

24、或恢复服务主机、网络服务的正常工作；并且针对事件分析，找出应用系统的安全漏洞，根据出现的问题及时调整安全策略，根据现场保留情况尽可能对入侵者进行追查，确保在以后的维护中正确解决问题。紧急响应服务种类包括入侵调查、异常响应、紧急事件。应急响应的具体流程是：1、记录系统安全事件，记录事件的每一环节，包括事件的时间、地点。要打印拷贝、记录拷贝时间、记录对话内容，并尽可能采用自动化的记录方法；2、系统安全事件核实与判断：(1) 核实系统安全事件真实性；(2) 判断系统安全事件类型和范围；(3) 判断系统安全事件危害性；(4) 确定事件的威胁级别；3、系统安全事件现场处理方案选择：(1) 克制态度；(2) 紧急消除；(3) 紧急恢复；(4) 切换；(5) 监视；(6) 跟踪；(7) 查证辅助代码开发；(8) 报警；(9) 权力机关的反击；4、系统安全事件处理服务和过程，系统安全事件处理过程本身需要工具，需要专门处理安全事件的服务和过程。这些过程包括：拷贝过程、监视过程、跟踪过程、报警过程、通报过程、对话过程、消除过程、恢复过程和其它过程等；5、系统安全事件后处理，包括事件后消除、弥补系统脆弱性、分析原因、总结教训、完善安全策略、服务和过程。