【正文】 慎重進(jìn)行流量規(guī)劃。那么，部署iSCSI 的情況是怎樣的呢? 到目前為止，討論的重點(diǎn)一直是FCoE。思科預(yù)計，在實際環(huán)境中，下一代企業(yè)數(shù)據(jù)中心將包括多種技術(shù)，如FCoE、iSCSI 和光纖通道等。階段4 便于擴(kuò)展的動態(tài)數(shù)據(jù)中心交換矩陣階段4的目標(biāo)是發(fā)揮上一階段的功能優(yōu)勢，提高數(shù)據(jù)中心數(shù)據(jù)交換矩陣的可擴(kuò)展性、靈活性和效率(參見圖4)。從存儲角度來看，數(shù)據(jù)中心交換矩陣將支持FCoE和iSCSI 服務(wù)器接入，以及與FCoE、光纖通道和iSCSI 相連的目標(biāo)。這種擴(kuò)展的優(yōu)勢之一就是簡化對光纖通道SAN 的訪問，因為無需再通過專用鏈路從接入層進(jìn)行光纖通道回連。但有一個新任務(wù)，即向現(xiàn)有Cisco MDS 9000 系列導(dǎo)向器級光纖通道交換機(jī)添加FCoE 接口，以簡化對現(xiàn)有SAN 的訪問。安全和四到七層處理(例如負(fù)載均衡)等服務(wù)也完全虛擬化，能在任何需要之時實施。企業(yè)所獲凈優(yōu)勢包括提高成本效率和使IT 更好地滿足業(yè)務(wù)需求。甘肅廣電網(wǎng)絡(luò)天祝云計算數(shù)據(jù)中心項目是省廣電網(wǎng)絡(luò)公司統(tǒng)一實施的五大產(chǎn)業(yè)之一，項目規(guī)劃占地150畝，總投資10億元，分三期完成。項目建成后，預(yù)計年產(chǎn)值達(dá)8000萬元，真正成為我國西北規(guī)模最大、功能齊全、技術(shù)先進(jìn)的云計算數(shù)據(jù)中心。第五篇：數(shù)據(jù)中心信息安全解決方案數(shù)據(jù)中心解決方案（安全）行業(yè)基線方案目錄第 一 章 信息安全保障系統(tǒng).....................................................................3 系統(tǒng)概述.....................................................................................3 安全標(biāo)準(zhǔn).....................................................................................3 系統(tǒng)架構(gòu).....................................................................................4 系統(tǒng)詳細(xì)設(shè)計.............................................................................5 計算環(huán)境安全......................................................................5 區(qū)域邊界安全......................................................................7 通信網(wǎng)絡(luò)安全......................................................................8 管理中心安全......................................................................9 安全設(shè)備及系統(tǒng).......................................................................11 VPN加密系統(tǒng)....................................................................12 入侵防御系統(tǒng)....................................................................12 防火墻系統(tǒng)........................................................................13 安全審計系統(tǒng)....................................................................14 漏洞掃描系統(tǒng)....................................................................15 網(wǎng)絡(luò)防病毒系統(tǒng)................................................................17 PKI/CA身份認(rèn)證平臺......................................................18 接入認(rèn)證系統(tǒng)....................................................................20第1頁杭州?？低曄到y(tǒng)技術(shù)有限公司行業(yè)基線方案 安全管理平臺....................................................................21第2頁杭州海康威視系統(tǒng)技術(shù)有限公司行業(yè)基線方案第 一 章 信息安全保障系統(tǒng) 系統(tǒng)概述信息安全保障系統(tǒng)是集計算環(huán)境安全、安全網(wǎng)絡(luò)邊界、通信網(wǎng)絡(luò)安全以及安全管理中心于一體的基礎(chǔ)支撐系統(tǒng)。系統(tǒng)的體系架構(gòu)如圖所示：信息系統(tǒng)安全是保障整個系統(tǒng)安全運(yùn)行的一整套策略、技術(shù)、機(jī)制和保障制度，它涵蓋系統(tǒng)的許多方面，一個安全可靠的系統(tǒng)需要多方面因素共同作用。該標(biāo)準(zhǔn)依據(jù)國家信息安全等級保護(hù)的要求，規(guī)范了信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求，標(biāo)準(zhǔn)適用于指導(dǎo)信息系統(tǒng)運(yùn)營使用單位、信息安全企業(yè)、信息安全服務(wù)機(jī)構(gòu)開展信息系統(tǒng)等級第3頁杭州海康威視系統(tǒng)技術(shù)有限公司行業(yè)基線方案保護(hù)安全技術(shù)方案的設(shè)計和實施，也可作為信息安全職能部門進(jìn)行監(jiān)督、檢查和指導(dǎo)的依據(jù)。已出臺的一系列信息安全等級保護(hù)相關(guān)法規(guī)、政策文件、國家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)準(zhǔn)，為信息安全等級保護(hù)工作的開展提供了法律、政策、標(biāo)準(zhǔn)依據(jù)。 系統(tǒng)架構(gòu)智慧城市數(shù)據(jù)中心依據(jù)《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》（GB/T 248562009），構(gòu)建 “一個中心支撐下的三重防御”的安全防護(hù)體系。第4頁杭州?？低曄到y(tǒng)技術(shù)有限公司行業(yè)基線方案信息安全保障系統(tǒng)的一個中心是指管理中心安全，三重防御是指計算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全。區(qū)域邊界安全主要提供網(wǎng)絡(luò)邊界身份認(rèn)證、訪問控制、病毒防御、安全審計、網(wǎng)絡(luò)安全隔離與可信交換等安全服務(wù)。管理中心安全主要包括安全管理子系統(tǒng)、CA子系統(tǒng)、認(rèn)證授權(quán)子系統(tǒng)和統(tǒng)一安全審計子系統(tǒng)等，它是系統(tǒng)的安全基礎(chǔ)設(shè)施，也是系統(tǒng)的安全管控中心。 系統(tǒng)詳細(xì)設(shè)計 計算環(huán)境安全 計算環(huán)境安全概述伴隨著等級保護(hù)工作的持續(xù)開展，包括防火墻、安全網(wǎng)關(guān)、入侵防御、防病毒等在內(nèi)的安全產(chǎn)品成功地應(yīng)用到信息系統(tǒng)中，從很大程度上解決了安全問題，增強(qiáng)了信息安全防御能力。計算環(huán)境安全針對的是對系統(tǒng)的信息進(jìn)行存儲、處理及實施安全策略的相關(guān)部件，它的重點(diǎn)是為了提高以服務(wù)器為核心的計算平臺自身防御水平。計算環(huán)境部署的安全系統(tǒng)均可被安全管理中心統(tǒng)一管理、統(tǒng)一監(jiān)控，實第5頁杭州?？低曄到y(tǒng)技術(shù)有限公司行業(yè)基線方案現(xiàn)協(xié)同防護(hù)。在對每一個用戶注冊到系統(tǒng)時，采用用戶名和用戶標(biāo)識符標(biāo)識用戶身份，并確保在系統(tǒng)整個生存周期用戶標(biāo)識的唯一性；在每次用戶登錄系統(tǒng)時，采用受控的口令或具有相應(yīng)安全強(qiáng)度的其他機(jī)制進(jìn)行用戶身份鑒別，并對鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。采用基于角色的訪問控制技術(shù)，實現(xiàn)不同用戶、不同角色對不同資源的細(xì)粒度訪問控制，分別制定了不同的訪問控制規(guī)則，訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級。3）安全審計功能提供安全審計機(jī)制，記錄系統(tǒng)的相關(guān)安全事件。該功能應(yīng)提供審計記錄查詢、分類和存儲保護(hù)，并可由安全管理與基礎(chǔ)支撐功能層統(tǒng)一管理。5）惡意代碼防范功能安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)，并定期進(jìn)行升級和更新，以提供針對不同操作系統(tǒng)的工作站和服務(wù)器的全面惡意代碼防護(hù)。第6頁杭州?？低曄到y(tǒng)技術(shù)有限公司行業(yè)基線方案 區(qū)域邊界安全 區(qū)域邊界安全概述隨著應(yīng)用系統(tǒng)和通訊網(wǎng)絡(luò)結(jié)構(gòu)日漸復(fù)雜，異地跨邊界的業(yè)務(wù)訪問、移動用戶遠(yuǎn)程業(yè)務(wù)訪問等復(fù)雜的系統(tǒng)需求不斷增多，如何對跨邊界的數(shù)據(jù)進(jìn)行有效的控制與監(jiān)視已成為越來越關(guān)注的焦點(diǎn)，這對系統(tǒng)區(qū)域邊界防護(hù)提出了新的挑戰(zhàn)和要求。數(shù)據(jù)中心的區(qū)域邊界安全主要通過在系統(tǒng)邊界部署防火墻系統(tǒng)、防毒墻、入侵防御系統(tǒng)、安全接入平臺等安全設(shè)備和系統(tǒng)以及使用在管理中心所部署的安全審計系統(tǒng)提供的服務(wù)，完成邊界包過濾、邊界安全審計、邊界入侵防范、邊界完整性保護(hù)，邊界安全隔離與可信數(shù)據(jù)交換等一系列功能。 區(qū)域邊界安全功能要求1）邊界包過濾功能提供對數(shù)據(jù)包的進(jìn)/出網(wǎng)絡(luò)接口、協(xié)議（TCP、UDP、ICMP、以及其他非IP協(xié)議）、源地址、目的地址、源端口、目的端口、以及時間、用戶、服務(wù)（群組）的訪問過濾與控制功能，對進(jìn)入或流出的區(qū)域邊界的數(shù)據(jù)進(jìn)行安全檢查，只允許符合安全安全策略的數(shù)據(jù)包通過，同時對連接網(wǎng)絡(luò)的流量、內(nèi)容過濾進(jìn)行管理。3）邊界入侵防范功能在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。5）邊界安全隔離與可信數(shù)據(jù)交換功能可完成指揮信令的雙向流動，以及視頻流單向流入公安信息網(wǎng)的安全隔離與控制，同時，還應(yīng)可采用兩頭落地的“數(shù)據(jù)交換”模式，實現(xiàn)公安信息通信網(wǎng)與其它網(wǎng)絡(luò)間的基于文件和數(shù)據(jù)庫同步的數(shù)據(jù)安全交換和高強(qiáng)度隔離。通信網(wǎng)絡(luò)的安全保障越來越成為人們關(guān)注的重點(diǎn)。數(shù)據(jù)中心的通信網(wǎng)絡(luò)安全主要是通過部署入侵防范系統(tǒng)和VPN加密系統(tǒng)等安全設(shè)備和系統(tǒng)以及使用管理中心所部署的安全審計系統(tǒng)提供的服務(wù)，完成傳輸網(wǎng)絡(luò)安全審計、數(shù)據(jù)傳輸完整性與機(jī)密性保護(hù)等一系列功能。 通信網(wǎng)絡(luò)安全功能要求1）傳輸網(wǎng)絡(luò)安全審計功能提供通信網(wǎng)絡(luò)所傳輸數(shù)據(jù)在包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息在內(nèi)的審計功能。第8頁杭州?？低曄到y(tǒng)技術(shù)有限公司行業(yè)基線方案 管理中心安全 管理中心安全概述安全管理平臺是對定級系統(tǒng)的安全策略及計算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全上的安全機(jī)制實施統(tǒng)一管理的平臺。數(shù)據(jù)中心的管理中心安全主要是通過部署安全審計系統(tǒng)、接入認(rèn)證系統(tǒng)、PKI/CA身份認(rèn)證系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、漏洞掃描系統(tǒng)和安全管理平臺等安全設(shè)備和系統(tǒng)，完成證書管理、實時監(jiān)控、統(tǒng)計分析、配置管理、密鑰管理、日志管理、系統(tǒng)管理、統(tǒng)一用戶管理、統(tǒng)一身份認(rèn)證、資源授權(quán)及訪問控制管理、單點(diǎn)登錄管理、網(wǎng)絡(luò)安全審計、主機(jī)安全審計、數(shù)據(jù)庫安全審計、應(yīng)用系統(tǒng)安全審計等一系列功能。證書管理應(yīng)不僅能夠提供用戶注冊、審核，密鑰產(chǎn)生、分發(fā)，證書簽發(fā)、制證及發(fā)布等基本功能，還應(yīng)能為其它應(yīng)用系統(tǒng)提供證書下載，在線證書狀態(tài)查詢、可信時間等服務(wù)，并進(jìn)行綜合管理，使其它系統(tǒng)能夠更方便的利用電子認(rèn)證基礎(chǔ)設(shè)施實現(xiàn)安全應(yīng)用。實時監(jiān)控應(yīng)可按照業(yè)務(wù)和資產(chǎn)進(jìn)行分類，可依據(jù)分類進(jìn)行簡單、直觀的實時監(jiān)控。提供實時監(jiān)控頁面即時切換，并可對實時監(jiān)控項和圖形化統(tǒng)計項進(jìn)行自定義布局，完成管理員最關(guān)心的實時監(jiān)控和事件統(tǒng)計配置和顯示?？商峁┝祟A(yù)定義統(tǒng)計和自定義統(tǒng)計模式。根據(jù)實際的統(tǒng)計需求，對統(tǒng)計項進(jìn)行自定義配置。統(tǒng)計結(jié)果以圖形化方式呈現(xiàn)，呈現(xiàn)方式多樣，至少可支持柱圖、餅圖、趨勢圖等，并為關(guān)聯(lián)分析提供支撐。配置管理應(yīng)可按照業(yè)務(wù)和資產(chǎn)重要程度和管理域的方式對業(yè)務(wù)和資產(chǎn)進(jìn)行統(tǒng)一配置管理，提供便捷的添加、修改、刪除、查詢功能，便于管理員能方便地查找所需的業(yè)務(wù)和資產(chǎn)信息，并對業(yè)務(wù)和資產(chǎn)屬性進(jìn)行維護(hù)。6）日志管理功能使審計員可以通過日志管理對密鑰日志、系統(tǒng)日志進(jìn)行事后審計和追蹤，作為日志審計的依據(jù)。日志管理應(yīng)可提供強(qiáng)大、完善的日志查詢和檢索功能，滿足審計員對日志的審計和查詢需求。8）統(tǒng)一用戶管理功能根據(jù)用戶的數(shù)字證書，提供對用戶的管理功能，包括用戶的主賬號（代表用戶身份的唯一帳號）和從賬號（不同應(yīng)用系統(tǒng)中的用戶帳號）的對應(yīng)管理，用戶屬性的統(tǒng)一管理，以及實現(xiàn)用戶整個生命周期管理，包括對人員入職、調(diào)動、離職等過程中的用戶身份的創(chuàng)建、修改、刪除等操作的管理等。9）統(tǒng)一身份認(rèn)證功能第10頁杭州海康威視系統(tǒng)技術(shù)有限公司行業(yè)基線方案基于數(shù)字證書完成用戶與客戶端認(rèn)證設(shè)備之間的認(rèn)證，實現(xiàn)基于PKI的握手協(xié)議，實現(xiàn)不同系統(tǒng)和設(shè)備之間的身份認(rèn)證有效統(tǒng)一，保護(hù)系統(tǒng)訪問的安全性。10）資源授權(quán)及訪問控制管理功能基于數(shù)字證書，并采用基于RBAC的技術(shù)，在用戶進(jìn)行信息系統(tǒng)的資源訪問及使用時，實現(xiàn)不同用戶、不同角色對不同資源的細(xì)粒度訪問控制。11）單點(diǎn)登錄管理功能基于數(shù)字證書，使用戶能夠方便地跨越多個站點(diǎn)或安全域?qū)崿F(xiàn)單點(diǎn)登錄，即用戶登錄到網(wǎng)絡(luò)以后，便能在安全可靠的前提下，訪問任何應(yīng)用程序而無需再次進(jìn)行身份驗證；單點(diǎn)登錄應(yīng)同時提供針對B/S系統(tǒng)與C/S應(yīng)用系統(tǒng)的單點(diǎn)登錄功能。13）主機(jī)安全審計功能 實現(xiàn)用戶對主機(jī)操作行為的審計。15）應(yīng)用系統(tǒng)安全審計功能 實現(xiàn)對應(yīng)用系統(tǒng)操作行為的審計。各安全設(shè)備及系統(tǒng)的功能要求如下：第11頁杭州?？低曄到y(tǒng)技術(shù)有限公司行業(yè)基線方案 VPN加密系統(tǒng)VPN的身份認(rèn)證通過LADP協(xié)議可以與認(rèn)證服務(wù)器建立認(rèn)證關(guān)系，也可以與PKI/CA服務(wù)器建立聯(lián)系在終端導(dǎo)入證書，VPN 加密技術(shù)采用DES、3DES、AES、IDEA、RC4等加密技術(shù)，通過上述的加密技術(shù)，保證視頻、信令、數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸安全。 入侵防御系統(tǒng)入侵防御系統(tǒng)是一種軟、硬結(jié)合的計算機(jī)系統(tǒng)，它能通過攻擊特征庫匹配、漏洞機(jī)理分析、應(yīng)用還原重組、網(wǎng)絡(luò)異常分析等主要技術(shù)實現(xiàn)了精確抵御黑客攻擊、蠕蟲、木馬、后門，抑制間諜軟件、灰色軟件、網(wǎng)絡(luò)釣魚的泛濫，全面防止拒絕服務(wù)攻擊和服務(wù)溢出分布式攻擊。 防火墻系統(tǒng)防火墻是傳輸與網(wǎng)絡(luò)安全中最基本、最常用的手段之一，防火墻可以實現(xiàn)數(shù)據(jù)中心內(nèi)部、外部網(wǎng)絡(luò)之間的邏輯隔離，達(dá)到有效的控制對網(wǎng)絡(luò)訪問的作用。防火墻具有很強(qiáng)的記錄日志的功能．可以對不同通信網(wǎng)絡(luò)所要求的策略來記錄所有不安會的訪問行為