发布时间 : 星期日 文章大数据中心项目可行性研究报告更新完毕开始阅读0fb3ef50fe00bed5b9f3f90f76c66137ee064fe3
大数据中心项目可行性研究报告
可靠稳定的网络平台,是应用业务系统得以实施和推广的基石。网络平台的设计必须从设备、网络拓扑结构、网络技术等几个方面保证网络的可靠稳定性。
4) 网络安全性
除了要保障网络平台的安全性,还需要在一定程度上保障应用业务系统和其它网络资源的安全。网络平台应该从几个方面保证网络安全:1)设备本身的访问安全 2)内部网之间资源访问安全 3)路由系统安全 4)互联网访问安全。 3.2.10.2
网络系统设计
今后的数据中心的网络将建设在现有电子商务外网网络的基础上(详细设计见XX市电子商务外网网络设计方案)。
3.2.11 安全保障体系
数据中心的安全保障体系是确保数据中心系统安全性,保障在不同的业务系统之间(包括核心业务以及各种相关业务系统)以数据中心为核心进行数据共享、数据存取、数据交换等过程中的全面安全性。
整个安全保障体系可分为:物理安全、网络安全、系统安全、应用软件安全和信息资源安全。数据中心的安全保障体系是贯穿整个体系架构每个层次各系统的。各子系统的设计与构建都要把安全保障作为关键部分。实现数据中心的安全保障不仅要从技术层面,还需要从管理层面考虑。
数据中心系统的安全隐患主要来自于外部侵入和内部破坏,系统的安全包含技术的安全、法律和制度的保障等,安全建设包括权限与认证体系、信息安全处理体系、信息传输安全体系等方面。
第44页
大数据中心项目可行性研究报告
数据资源安全应用程序安全系统安全网络安全物理安全安全管理机制安全技术 数据中心安全体系示意图
系统的每一层次均有安全性的问题,安全策略包括物理安全、网络安全、系统安全、应用安全、数据资源安全。同时从安全技术和安全管理机制两个方面提供安全保障。 3.2.11.1
物理安全
物理安全实现主要包括机房安全和人员管理,具体细节详见数据中心安全子项目的说明。 3.2.11.2
网络安全
通过合理部署安全防御系统(如防火墙、入侵检测等),并通过统一安全管理服务平台实现对各种不同的安全防御设备的统一管理、配置、监控、分析等,提供全面的、基于统一安全策略的网络安全防御,避免来自各个不同目的的攻击、干扰和非法访问问题。各种安全防御技术的主要功能如下表所示:
名 称 配 置 在网络之间执行访问控制策略(在应用层之下)。通过拦阻机制防火墙 或允许机制实现对跨网络的各种连接或访问进行控制,确保只有满足安全策略的信息流通行。 入侵检测系统采用安全监测控制器和探测器两级的分布式结构,入侵检测 探测器配置在网络的敏感部位进行信息的采集,而安全监测控制器则对所收集到的信息进行分析处理,判断网络是否遭到入侵攻击。 第45页
大数据中心项目可行性研究报告
漏洞扫描系统负责定期或不定期地调用网络安全性分析、操作系漏洞扫描 统安全性分析软件对整个内部系统进行安全扫描和检测,及时发现网络新的安全漏洞并予以补救 提供全网一致的病毒防治系统部署和管理,负责对各类计算机病病毒防治 毒的检测与杀灭。提供病毒免疫方式包括病毒预防、病毒诊断、病毒杀灭、病毒检测等。 对各种网络安全系统、接入实体的详细操作记录、各电子商务应安全审计 用系统所产生的具体日志信息进行全面的整理和详细的分析统计,提供强大有效的查询、报表和分析功能以便于管理员使用。 3.2.11.3
系统安全
系统安全包括:操作系统安全、数据库系统安全、应用服务器系统安全和Web服务器系统安全。
操作系统、数据库系统、应用服务器是数据中心系统应用的支撑系统级平台,数据和软件的丢失、篡改、窃取、非法复制、滥用等对系统造成的后果是灾难性的,对社会造成的影响是严重的。因此要求操作系统、数据库管理系统本身的安全级别应能达到GB17859-1999第3级安全标记保护的主要安全特性。 3.2.11.4
应用程序安全
应用程序安全是构建在系统平台安全性之上的。结合数据中心的安全认证平台,在设计上,数据中心的每个应用程序需要有自己的安全模型,但在开发期间应遵循一组标准的指导原则。采用用户验证和用户授权、加密、数字签名、XML安全技术等手段从应用程序一级进行安全保障。 3.2.11.5
数据安全
数据是信息系统的核心,数据安全是数据中心电子商务安全体系建设信息安全的重要组成部分。从数据中心数据流的分析来看,数据主要存在于两种状态中,一个是数据库中,一个是在传输过程中。
在数据交换的过程中,必须通过严格的加密机制以及用户身份验证机制保证
第46页
大数据中心项目可行性研究报告
数据交换的安全。
数据安全包括几个层面上的内容,包括:
系统层面上的安全:采用可靠的操作系统(C2级)保证系统对于用户口令、权限的验证。
网络层面上的安全:对主机进行IP地址的访问列表限制,可细化到每个协议的资料包程度。
数字证书层面的安全:采用CA认证,保证与资料中心进行资料交换的主机身份都是经过认证的。
交换层面上的安全:采用加密以及用户身份认证机制。
要达到数据安全的目的,至少要满足以下三点:首先需要对两种状态中的机密数据进行加密。其次,对核心数据的访问进行控制,再次定期对数据备份,防止意外发生。
3.2.11.5.1 核心数据加密
数据加密是用来保证数据即使被窃取之后,也很难了解数据的内容。因为保税区的特殊情况,对数据的保密和安全要求极为严格,因此除了在数据通过网络传输过程的保密和安全采取有效措施外,还要对数据库中的静态数据(如账号、密码、签名信息和财务数据等)和系统配置信息等核心数据进行加密,在显示时通过用户程序进行解密。这样,防止有人直接读取数据库表数据,获知核心数据的内容,功能甚至可以防止站点管理员、数据库管理员对数据的窥视。
以上描述的功能可以在平台一级以统一的API提供数据加密的服务,核心数据的选择原则,需要根据应用的情况来决定。
3.2.11.5.2 数据访问控制
访问控制是指通过应用一级的控制,来保证数据的访问安全和数据的操作安全。也就是说,只有通过认证而且经过授权的用户,才能浏览他权限范围之内的
第47页