数据中心安全加固方案

类型:智慧教育    日期:2020-01-03

學(xué)校数据中心当前主要承担學(xué)校各项业務(wù)系统的运营,是學(xué)校信息化资产的核心位置。目前防火墙位于数据中心与校园网边界,实现基本的访问控制与边界安全隔离;WEB应用(yòng)防火墙与漏洞扫描设备均旁路部署在数据中心交换机上,WEB应用(yòng)防火墙承担學(xué)校网站系统的安全防护,实现针对SQL注入、跨站脚本攻击、网站挂马、黑链的防护;漏洞扫描设备承担对业務(wù)系统的操作系统、数据库进行漏洞分(fēn)析检测功能(néng);

     、等保合规

       本次方案主要针对现有(yǒu)的网络安全體(tǐ)系无法满足信息系统安全等级保护第三级需要,因此,我们的建设的目标是需要满足等保三级相关的技术要求。

 

图片2.png

信息系统安全保障主體(tǐ)是业務(wù)系统,安全保障框架所有(yǒu)安全控制都应以安全方针、策略做為(wèi)安全工作的指导与依据,落实安全管理(lǐ)和安全技术两大维度的具體(tǐ)实施与维护,以业務(wù)系统的安全运营為(wèi)信息安全保障建设的核心,并辅以安全评估与安全培训贯穿信息安全保障體(tǐ)系的全过程,形成风险可(kě)控的安全保障框架體(tǐ)系。

二、方案简介

      数据中心安全加固整體(tǐ)方案拓扑如下图所示:

         

微信图片_20200104165134.png


数据中心安全加固,采用(yòng)安恒眀御下一代防火墙替换原有(yǒu)的H3C防火墙,制定细化的访问控制策略,关闭无需使用(yòng)的端口及IP地址,实现对数据中心访问的精细化控制。同时,在安恒眀御下一代防火墙上开启防病毒模块,实现基于网关的在線(xiàn)杀毒功能(néng)。

     三、建设原则

n  重点保护原则

根据信息系统的重要程度、业務(wù)特点,通过不同安全區(qū)域的划分(fēn),实现不同强度的安全保护,集中资源优先保护涉及核心业務(wù)或关键信息资产的信息系统。

n  适度安全原则

任何信息系统都不能(néng)做到绝对的安全,过多(duō)的安全要求必将造成易用(yòng)性降低和运行的复杂性,因此要在安全需求、安全风险和易用(yòng)性之间进行平衡和折中。

n  风险管理(lǐ)原则

进行安全风险管理(lǐ),确认可(kě)能(néng)影响信息系统的安全风险,正确的识别风险、合理(lǐ)的管理(lǐ)风险,并让信息系统的安全风险降低到可(kě)以接受的水平以内。

n  分(fēn)权制衡原则

在信息系统中,对所有(yǒu)权限应该进行适当地划分(fēn),使每个授权主體(tǐ)只能(néng)拥有(yǒu)其中的一部分(fēn)权限,使他(tā)们之间相互制约、相互监督,共同保证信息系统的安全。

n  标准化原则

在方案设计和设备选型方面必须遵循國(guó)家以及行业内的相关标准,并充分(fēn)考虑不同产品之间的兼容性。

n  统一安全管理(lǐ)原则

在方案设计中主机、网络设备、安全设备、应用(yòng)系统、数据库等必须遵循统一安全管理(lǐ)的要求。

四、方案优势

 n  满足信息系统等级保护第三级的相关要求;

 n 引入高级威胁监测體(tǐ)系,并且联动防火墙,可(kě)对未知威胁进行监测和防护;

 n 最大程度的利旧,节省项目资金投入;

 n 為(wèi)后期态势感知、大数据平台的部署升级做好了技术准备。