解决方案

IDC整体安全解决方案

时间:2013-06-24 作者: 来源:管平新
一、IDC现状及发展趋势
根据中国IDC圈2013年3月发布的《2012-2013年度中国IDC产业发展研究报告》数据显示,2012年全球IDC市场整体市场规模达到255.2亿美元,增速为14.6%。从报告中可以看出,在全球数据中心市场中,欧美地区市场需求已趋于饱和,亚太地区正成为带动全球IDC市场的主要动力。其中,美国已开始逐步关闭部分小型数据中心,政府带头部署云计算;欧洲略落后于美国,云计算尚在部署阶段;而亚太尚处于IDC基础建设阶段,未来潜力巨大。

国内IDC市场中,金融和电信行业的数据中心建设占据了50%的市场份额,其次是政府、制造和能源行业,广电也开始加入其中。网络游戏和视频等应用业务成为拉动IDC市场增长主力,云计算已成为IDC产业未来发展趋势,而网络安全成为IDC产业日益关注的问题。

二、IDC网络架构及面临的安全威胁
IDC网络架构一般包括四层:互联网接入层、汇聚层、业务接入层和运维管理层。互联网接入层由2台核心路由器组成,作为IDC和互联网互联互通的纽带,对外完成与互联网的高速互联,对内负责与IDC的汇聚层交换互联,负责IDC内部路由信息与外部路由信息转发和维护等,互联网接入层的出口带宽至少20Gbps,多采用多条10 Gbps出口链路。汇聚层由多台成对的汇聚交换机组成,是业务接入层交换机的汇聚点,并上联到互联网接入层核心路由器,汇聚层交换机与互联网接入层核心路由器之间多采用多条10Gbps链路连接。业务接入层由接入交换机和各业务系统的服务器、存储等设备组成,是对外提供IDC相关业务的核心,接入交换机与汇聚交换机之间多采用多条千兆链路连接。运维管理层提供网络管理、资源管理、业务管理、安全管理、运营管理等IDC管理功能,向IDC的运营维护人员和客户提供设备管理、系统维护、远程接入等服务。

IDC所面临的安全威胁主要体现为:网络层的非法访问,网络漏洞的存在,DDOS攻击等入侵和攻击行为,大量恶意流量,有效带宽问题,用户的访问行为取证,等等;业务层的系统自身脆弱性的存在,病毒、垃圾邮件泛滥,网站被篡改、挂马、受到SQL注入/跨站等攻击,系统可用性保障,等等;管理层的系统如何运维管理,运维人员的操作是否违规,安全事件如何统一管理分析,运维终端自身的安全性,IDC如何监管,等等。

三、天融信IDC整体安全解决方案
针对上述IDC面临的安全威胁,天融信推出了IDC整体安全解决方案,从互联网接入层、汇聚层、业务接入层和运维管理层四个层面,提出了相应的安全解决方案,如下图示。
图1、天融信IDC整体安全解决方案图
互联网接入层
互联网接入层是整个IDC业务的出口,承担着抵御DDOS攻击和保证带宽正常可用及IDC业务可正常访问的重任,重点需防治DDOS攻击造成的带宽或主机资源被大量消耗。

抗DDOS/流量清洗
建议部署天融信公司的万兆级抗DDOS/流量清洗设备TopDDOS,清洗攻击流量,保证整个IDC网络带宽的可用和IDC业务的可访问。TopDDOS应用了天融信自主研发的抗拒绝服务攻击算法,创造性地将算法实现在协议栈的最底层,避免了TCP/UDP/IP等高层系统网络堆栈的处理,使整个运算代价大大降低, 并结合特有硬件加速运算,因此系统效率极高。TopDDOS另借助天融信攻防实验室多年的DDOS攻击研究成果,具有业界最完善的DDOS攻击检测能力。
TopDDOS通过异常流量检测系统实时检测DDOS攻击,一旦检测到攻击流量,就将异常流量牵引到异常流量清洗系统进行攻击流量清洗,将清洗后的正常流量再回注入网络,这样即可实时抵御来自互联网的DDOS攻击,有效过滤DDOS攻击流量,保障IDC业务持续正常访问。

如下图示,是IDC抗DDOS/异常流量清洗部署和工作示意图。
 图2、天融信IDC抗DDOS/流量清洗解决方案图
汇聚层
汇聚层是IDC业务汇聚之处,首先需要把好网络安全关,如访问控制、入侵检测、网络脆弱性扫描、网络设备安全加固等,其次肩负着为IDC业务做负载均衡和进行流量分析管理等职责。

高性能防火墙
建议在汇聚层部署天融信公司的万兆级NGFW高性能防火墙TopGuard,为需要边界防护的IDC用户提供访问控制等增值服务。天融信目前有擎天系列并行多级硬件架构机架式万兆高性能防火墙和猎豹系列基于TopASIC芯片万兆级高性能防火墙,基于高效安全自主TOS操作系统和多核架构,采用了自主原创实现数据层多核快速转发的高性能业务处理技术TopTURBO,处理能力高达320Gbps,支持防火墙、VPN、入侵防御、病毒防御、URL分类过滤、虚拟防火墙、IPV6等功能,支持VPN虚拟化接入,非常适合部署在IDC汇聚层为不同IDC用户提供不同要求的边界安全防护。
 
图3、天融信NGFW防火墙多核架构

高性能网络入侵检测
建议在汇聚层部署天融信公司的万兆级高性能网络入侵检测系统TopSentry,为需要网络入侵行为检测的IDC用户提供入侵、攻击检测等增值服务。天融信自主研发的网络入侵检测系统TopSentry,采用了与防火墙产品相同的多核处理硬件平台和自主知识产权TOS系统,基于先进的SmartAMP并行处理架构,内置处理器动态负载均衡专利技术,结合独创的SecDFA核心加速算法,全面支持IPV6,可实时快速检测包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等超过3500中网络攻击行为,在满流量+全规则+攻击流状况下,无论是大包还是小包,均能达到万兆级满速检测率。非常适合部署在IDC汇聚层万兆级环境。
天融信TopSentry五合一安全防护功能图

网络安全审计
建议在汇聚层部署天融信公司的网络安全审计系统TopAudit-NET,为IDC用户提供用户网络行为审计和取证增值服务。天融信公司自主研发的TopAudit-NET采用基于量子存储技术,可有效保证海量审计数据不丢失;利用云审计平台的自治查询技术充分发挥TopSec多核平台的计算能力,可实现海量数据查询操作的瞬时返回,真正实现即查即显;提供PPPoE实名审计、AD域实名审计 、802.1x实名审计;采用海量原始数据包存储,供专业人士进行深度分析,国内唯一;采用专用硬件架构与双专用安全操作系统冷备,当常用系统出现故障可使用备用系统迅速恢复。

脆弱性扫描与管理
建议在汇聚层部署天融信公司的脆弱性扫描与管理系统TopScanner,为IDC用户提供定期脆弱性扫描增值服务。TopScanner采用B/S架构,基于CVSS、等级保护的科学扫描理念,集合了智能服务识别、多重服务检测、脚本依赖、脚本智能调度、信息动态抛出、安全扫描、优化扫描、拒绝服务脚本顺序扫描、断点恢复等先进技术,确保了扫描的高准确度、高速度。TopScanner扫描引擎采用基于主机、目标的漏洞、网络、应用的检测技术,最大限度的增强漏洞识别的精度。TopScanner漏洞知识库大于20000条、每周保持更新、兼容Nessus插件库、兼容国际CVE标准。TopScanner提供多种扫描策略模板和参数模板,可实现多种任务扫描、多主机扫描、授权扫描等,可实现级联部署、对外接口、Syslog日志、统计对比报告等,还可对扫描的各种目标设备进行有效的监管。

应用流量管理
建议在汇聚层部署天融信公司的应用流量管理系统TopFlow,为IDC用户提供业务应用流量分析和管理增值服务。TopFlow具有业界最强大的协议识别引擎,其独有的“加密协议深度识别”技术可以识别经过加密的P2P协议,可准确识别除传统TCP/IP协议外高达600多种七层应用协议。提供带宽限制、带宽预留、带宽保证,支持策略嵌套,支持硬件Bypass功能,可对单IP进行限速,可对流量进行精细化的管理,支持HTTP控制和DNS重定向、DNS劫持、丢弃请求的DNS控制,具有应用流量深度放大、应用分流及流量代理、用户身份追查等功能,支持跨路由代理流量检查,支持基于TCP、UDP连接数控制,支持DSCP标记以和路由器联动,提供丰富的报表功能,可为用户提供了应用监视、流量分析、流量管理、流量统计、流量管理控制等功能。
 
 
图4、天融信TopFlow应用流量检测图

服务器负载均衡
建议在汇聚层部署天融信公司的服务器负载均衡系统TopApp-LB,对需要服务器负载均衡服务的IDC用户提供增值服务。TopApp-LB采用了智能服务器负载均衡技术,支持多种负载均衡算法,动态监测服务器的性能和健康状态,支持TCP、HTTP、HTTPS、自定义等多种服务健康检查方式,自动选择最佳服务器并智能地均衡服务器流量,可隐藏服务器真实IP,支持10种以上快速高效的智能负载均衡算法,支持快速高效的非持续性负载均衡算法和多种持续性负载均衡算法,支持专为Cache服务器设定的负载均衡算法,支持服务器流量的自动均衡,支持服务器最大连接数限制,具有会话保持功能,可实现服务故障自动通知,支持服务器负载均衡高可用性部署等。

业务接入层
业务接入层是IDC各种业务核心所在,需要重点考虑IDC业务安全,如防御针对网站的攻击、对网站进行网页防篡改防护、对IDC业务系统上线前的安全评估与加固等。

WEB应用防火墙
建议在业务接入层部署天融信公司的WEB应用防火墙TopWAF,为IDC用户提供网站安全防护增值服务。TopWAF是天融信公司自主研制出品的新一代网站“替身”防护产品,可从事前预警、事中防护、事后分析三方面提供对网站进行全周期安全防护。事前,TopWAF对网站服务进行动态监视,实时监测系统的服务能力及服务质量,建立安全隐患预警机制;事中,TopWAF基于“无故障运行时间”原则,依托稳定、高效、安全的系统内核及先进的多维防护体系,通过WEB应用威胁防御、网页防篡改、抗拒绝服务攻击和WEB应用优化等多项功能,保障网站应用服务系统的运行质量;事后,TopWAF提供多角度的决策支撑数据,为用户提供清晰详尽的阶段性报表,帮助网站管理者准确地了解网站的运行状况并进行有针对性的调整。
 
图5、天融信TopWAF事前、事中、事后全周期防护图
网页防篡改
建议在业务接入层部署天融信公司的网页防篡改系统,为IDC用户提供网页防篡改增值服务。天融信网页防篡改系统,采用增强型事件触发+系统(内核)文件底层驱动过滤技术(即第三代防篡改技术),安全、稳定、可靠;采取先进的多重防护技术,杜绝篡改;完全基于内核级事件触发机制,对服务器资源占用极少,效率远高于同类产品;对服务器安全性能实时监控,确保服务器安全稳定运行;对WEB服务运行状态进行安全监控,保证WEB服务部受限于异常事件干扰;支持保护WEB服务器配置文件,杜绝网站指向遭到破坏。可有效防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏。
 
图6、第三代防篡改技术演进图

系统上线前评估加固
建议在业务接入层,通过天融信公司的专业信息安全服务,为IDC用户提供IDC业务系统上线前评估加固增值服务。天融信具有分布于全国各地的超过70人的专业信息安全服务团队,储备了各种专业信息安全服务人才,可为IDC用户提供涵盖网络设备、主机设备、操作系统、数据库、安全设备等各种设备和系统的系统上线前的评估与加固等专业信息安全服务。

运维管理层
运维管理层的核心任务是保证整个IDC的网络、设备、系统等的正常、安全运转和业务的正常、安全运行,需要重点考虑IDC的边界安全防护、4A(账号/认证/授权/审计)、数据库审计、终端安全、运维审计、安全管理、运维管理、远程VPN安全接入、以及由第三方信息安全公司提供的包括远程网站安全监测与恢复、安全事件审计与预警、安全策略风险评估等在内的安全云服务等。

防火墙
建议在运维管理层部署天融信公司NGFW防火墙TopGuard,将IDC运维管理区与IDC业务区逻辑隔离开。天融信具有擎天、猎豹、通用三大系列防火墙,可针对用户不同的网络环境和不同的应用场所,提供从万兆机架式、万兆非机架式到千兆高端、千兆中端、千兆低端、百兆等多种级别防火墙,以及病毒过滤、入侵防御、URL过滤等多种功能选择。

VPN网关
建议在运维管理层部署天融信公司的IPSEC/SSL VPN多合一VPN网关TopVPN VONE,为IDC运维人员提供带外远程VPN安全接入IDC运维管理区,进行运维操作和管理。TopVPN VONE基于自主知识产权的TOS安全操作系统,采用领先的AMP技术,采用先进的多核并行技术和智能集群技术,内置高速压缩算法。支持iOS、Android等智能终端接入。支持应用QoS,支持WebCache加速,集成了强大的防火墙功能。支持用户名/口令、证书、USB Key、短信、动态令牌、硬件特征码、指纹等多种认证方式,支持第三方CA和CA在线认证。支持统一用户管理,支持多种单点登录方式,用户只需一次认证即可访问所有授权业务资源。支持虚拟门户,不同IDC用户可拥有独立的接入门户,定制不同登录界面、功能模块、认证方式等。

天融信VPN远程安全接入图

4A(账号/认证/授权/审计)
建议在运维管理层部署天融信公司的4A(账号/认证/授权/审计)系统TopUTS,为IDC运维人员提供统一的4A管理。TopUTS摈弃了传统的单点登录技术的实现方式,采用国内领先的支持C-S 和B-S 架构的单点登录(SSO)实现机制,无需任何系统改造,其实现方式与应用系统的操作平台、开发平台、开发语言、数据库、Web 服务器无关,在不改变现有软硬件及网络环境的前提下,无缝地将用户各种现有的应用系统整合到单点登录平台上,实现一次登录后就可访问所有的应用系统。真正实现了“即插即用”、 “一点登录,全网漫游”,真正体现了与“应用无关”的完美集成概念。
 
图7、天融信4A(账号/认证/授权/审计)架构图

运维审计(堡垒主机)
建议在运维管理层部署天融信公司的运维审计(堡垒主机)系统TopAudit-SAG,为IDC运维人员提供统一的运维操作审计。TopAudit-SAG支持主账号、被管资源、角色的树形无限级分组,支持静态口令、证书、智能卡、指纹等认证方式,支持丰富的被管资源并可自动收集被管资源的账号,支持所有被管设备的密码自动变更,可将访问控制配置抽象成主机命令策略、访问时间策略、客户端地址策略、访问锁定策略四种策略以简化用户的配置和使用,可有效实现单点登录、集中账号管理、身份认证、资源授权、访问控制和操作审计,非常适合于对IDC运维人员的管理和操作行为的审计。
 
图8、天融信运维审计(堡垒主机)功能示意图

数据库审计
建议在运维管理层部署天融信公司的数据库审计系统TopAudit-DB,为IDC运维人员提供数据库操作审计,及时发现数据库违规操作,保护IDC业务数据库的安全。TopAudit-DB作为高性能专业数据库审计硬件产品,广泛支持Sybase、DN2、SQL Server、Oracle、MYSQL、Informix、PostgreSQL、达梦、南大通用Gbase、人大金仓等多种数据库审计分析;基于量子存储技术,可有效保证海量审计数据不丢失;利用云审计平台的自治查询技术充分发挥Topsec多核平台的计算能力,实现海量数据查询操作的瞬时返回,真正实现即查即显;采用面向数据应用的压力分析技术,实时、准确的审计分析所有SQL语句,明确判断SQL语句的操作类型、操作对象;支持自定义的SQL语句分析功能,国内唯一;具有实时分析统计报表功能,有效解决了统计报表查询长时间等待问题,实现统计报表即查即显;国内唯一真正实现三层关联审计分析,关联分析准确度高达90%以上;实时告警分析,支持用户自定义告警规则,支持邮件、短信、命令行、防火墙联动等多种告警方式。

终端安全管理
建议在运维管理层部署天融信公司的终端安全管理系统TopDESK,为IDC运维人员提供终端安全准入等,防止运维人员终端自身的安全问题影响IDC业务系统。TopDESK是第三代终端管理系统,在具备补丁管理、802.1x准入控制、存储介质(U盘等)管理、非法外联管理、终端安全性检查、终端状态监控、终端行为监控、安全报警等功能基础上,增加风险管理和主动防范机制,具备完善的违规监测和风险分析,实现有效防护和控制,降低风险,并指导持续改进和完善防护策略,并具备终端敏感信息检查功能,支持终端流量监控,非常适合于对IDC运维终端的安全管理。

安全管理平台(SOC)
建议在运维管理层部署天融信公司的安全管理平台(SOC)TopAnalyzer,对IDC所有的安全设备、非安全设备进行统一的安全事件、安全态势等分析和管理等。TopAnalyzer是面向全网IT资源整合的安全管理平台,它通过对全网安全域中IT资源事件的采集、处理和分析,构建可度量的业务信息系统风险模型,实现集中监控、分析和管理的信息系统,展示整体信息安全态势,并为整个信息系统的安全运营提供决策服务和运维流程管理。TopAnalyzer具有首页动态配置功能,不同的角色可以配置不同的首页来展示不同的主题;具有安全对象管理、脆弱性管理、风险管理、事件管理、安全预警、告警功能、安全策略管理、工单管理、知识库管理、专家辅助决策管理、报表管理等功能。TopAnalyzer基于业务驱动,采用面向服务的体系架构、可扩展的事件收集专利技术、先进的事件归并技术、标准SWL92语法过滤技术、基于状态的实时关联检测技术、基于辅助决策的智能防护、多视角展示技术等,可提供持续改进的风险管理保障。
 
图9、天融信安全管理平台(SOC)图

IT运维管理
建议在运维管理层部署天融信公司的IT运维管理系统,实现对整个IDC的IT运维管理。天融信IT运维管理系统基于ISO 20000和ITIL 3.0,围绕着人、流程、技术、信息四个方面,维护并管理组织机构相关信息,维护并管理供应商、厂商、服务商相关信息,维护并管理合同信息,维护并管理各类文档,维护并管理服务信息,扫描并导入现网主机以及设备(目标设备开启SNMP)信息进入资产库,维护并管理资产信息。同时,将当前全网配置状态设置为基线(BaseLine),查看现网设备的配置变动与基线对比。这样,达到对整个IDC相关组织、供应商、厂商、服务商、机房、网络、设备、系统、资产等全方位的事件管理、问题管理、运维评价、变更管理等目的。
 
图10、天融信IT运维管理系统功能示意图

信息安全管理系统(ISMS)
建议在运维管理层部署天融信公司针对IDC/ISP监管开发的信息安全管理系统(ISMS),实现对IDC的信息安全监管。天融信ISMS可对IDC/ISP经营单位的单位信息、机房数据、用户数据等基础数据进行管理和监测;可对上行流量数据进行监测,并记录和统计访问信息,形成访问日志;可对网络中传输的公共信息数据进行监测,发现网络中的违法违规网站、违法信息等,保存有关记录,对违法信息进行过滤处理;同时,可将相关信息主动上报给电信管理部门的安全监管系统(SMMS),或由安全监管系统查询相关记录和日志,通过对IDC/ISP进行信息安全监管,达到保证互联网安全的目的。
 
图11、天融信IDC/ISP ISMS系统功能示意图

安全云服务
建议选择天融信公司的安全云服务,为IDC用户提供远程网站安全监测与恢复、安全事件审计与预警等服务,解除IDC用户安全管理难的后顾之忧。天融信公司基于其安全管理平台(SOC)等安全产品,已在多地建成天融信安全云服务中心,可基于先进的技术平台、经验丰富的安全运营团队、成熟的服务管理体系,依托来自国家监管机构的权威分析数据,为政府和企业用户提供的包括网站安全监测与恢复、安全事件审计与预警、安全巡检、安全策略风险评估等在内的专业安全云服务,可帮助政企用户及时发现网络中存在的安全问题、分析安全事件产生的原因和影响、提供安全事件的预警和解决方案、帮助用户处理和解决安全问题。
 
图12、天融信安全云服务示意图

四、总结
天融信公司自1995年成立以来,一直致力于自主和创新,设立了阿尔法实验室和博士后工作站。从1996年推出第一款国产防火墙开始,陆续推出自主知识产权的安全操作系统TOS、TopASIC、多核多线程、绿色安全平台、万兆级机架式平台、NGFW下一代防火墙等,产品线也不断丰富,全面覆盖边界安全、鉴别审计、内网安全、数据安全、网络优化、安全管理等,连续13年在防火墙/VPN市场排名第一,连续11年在整体安全市场排名第一。公司分布于全国各地的专业安全服务队伍,可为政府、金融、运营商、企业等提供专业化、行业化的安全服务。公司基于自有安全管理平台(SOC)等产品搭建的安全云服务平台,可为全国各地的用户提供远程网站安全监测与恢复、安全策略风险分析、安全设备管理等安全云服务。

IDC网络是最具代表性的大型机房业务提供网络,天融信IDC整体安全解决方案,一方面体现了天融信对IDC面临的安全问题的深刻理解,另一方面也体现了天融信强大的安全产品、安全服务和安全解决方案能力。
作为国内最具实力和最值得信赖的安全产品/安全服务/安全解决方案提供商,天融信愿为用户提供更多、更好的整体安全解决方案。