文档介绍：Company number：【WTUT-WT88Y-W8BBGB-BWYTT-19998】
数据中心安全建设方案
数据中心安全
解决方案
目录
实现对用户身份的准确鉴别。
IP准入控制系统
现在国内外，有很多厂商推出自己的准入控制系统解决方案，目的就是为了在终端接入网络前对其进行安全检查，只允许合法的用户接入到网络当中，避免随意接入网络给系统带来风险。主流的解决方案有两种方式，旁路部署方式都是基于的，需要跟交换机做联动；串接的部署方式不需要与交换机联动，但会给网络的通过性与性能带来挑战，采用的用户不多。这些解决方案，在复杂的中国环境部署成功的并不多，要么网络条件非常好，交换机都支持，要么网络非常扁平化，终端都可以收敛到同一个出口。
IP地址管理困难：接入Intranet的计算机设备都需要一个合法的IP地址，IP地址的分配和管理是一件令网络管理人员头疼的事情，IP地址、MAC地址、计算机名冒用、滥用现象广泛存在，而管理人员缺乏有效的监控手段。局域网上若有两台主机IP地址相同，则两台主机相互报警，造成应用混乱。因此，IP地址盗用与冲突成了网管员最头疼的问题。当几百台、甚至上千台主机同时上网，如何控制IP地址盗用与冲突更是当务之急。
在实际中，网络管理员为入网用户分配和提供的IP地址，只有通过客户进行正确地注册后才有效。这为终端用户直接接触IP地址提供了一条途径。由于终端用户的介入，入网用户有可能自由修改IP地址。改动后的IP地址在联网运行时可导致三种结果：
非法的IP地址，自行修改的IP地址不在规划的网段内，网络呼叫中断。
重复的IP地址，与已经分配且正在联网运行的合法的IP地址发生资源冲突，无法链接。
非法占用已分配的资源，盗用其它注册用户的合法IP地址（且注册该IP地址的机器未通电运行）联网通讯。
IPScan能很好的控制非法的IP接入，并对内网已有的联网IP通过切断联网实现迅速快捷的控制，以很方便的方式实现内网安全威胁的最小化。IPScan通过对IP/MAC的绑定，对每个IP地址都可以进行实时的监控，一旦发现非法的IP地址和某个IP地址进行非法操作的时候，都可以及时对这些IP地址进行操作，，有效的防止IP冲突。产品是基于二层（数据链路层）的设计理念，可以有效地控制ARP广播病毒，通过探测ARP广播包，可以自动阻止中毒主机大量发送ARP广播，从而保证了内网的安全。
通过实现IP地址的绑定，从而变相的实现了网络实名制，在接入网络的终端都被授予唯一的IP地址，在网络中产生的所有日志将会变得非常有意义，它可以关联到是哪一个终端哪一个用户，能让安全日志产生定责的作用。
防泄密技术的选择
国外有良好的法律环境，内部有意泄密相对极少，对内部人员确认为可信，数据泄露主要来自外部入侵和内部无意间的泄密。因此，国外DLP（数据防泄漏）解决方案主要用来防止外部入侵和内部无意间泄密，可以解决部分问题，但无法防止内部主动泄密，只能更多地依赖管理手段。
而国内环境，法律威慑力小，追踪难度大，泄密者比较容易逃脱法律制裁，犯罪成本比较小；同时，国内各种管理制度不完善，内部人员无意间泄密的概率也比较大。国内DLP以加密权限为核心，从主动预防的立足点来防止数据泄露，对数据进行加密，从源头上进行控制。即使内部数据流失到外部，也因为已被加密而无法使用，从而保证了数据的安全
。所以国内DLP既能防止内部泄密（包括内部有意泄密和无意泄密），同时也能防止外部入侵窃密。
主机账号生命周期管理系统
XXX用户局越来越多的业务外包给系统提供商或者其他专业代维公司，这些业务系统涉及了大量的公民敏感信息。如何有效地监控第三方厂商和运维人员的操作行为，并进行严格的审计是用户现在面临的一个挑战。严格的规章制度只能约束一部分人的行为，只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行，在发生安全事件后，才能有效的还原事故现场，准确的定位到责任人。
主机账号生命周期管理系统能帮助用户建立集中的和统一的主机运维管理平台，实现自动化的监控审计，对所有维护人员和支持人员的操作行为（Telnet、SSH、RDP、FTP、SFTP、VNC、KVM等协议）进行监控和跟踪审计，（实现对所有登录系统的人员的所有操作进行全面行为过程审计，达到对所访问主机的操作行为进行采集，以便实时监控和事后回放分析、重现和检索，以最大限度地减少运行事故、降低运行风险、进行责任追溯，不可抵赖。同时提供直观的问题报告工具），防止敏感数据从物理层被窃取。
按照规定，一段时间内必须修改一次主机及数据库的密码，以符合安全性要求，往往这些密码太多，修改一次也费时费力，还经常出现root密码修改