學(xué)校数据中心当前主要承担學(xué)校各项业務(wù)系统的运营，是學(xué)校信息化资产的核心位置。目前防火墙位于数据中心与校园网边界，实现基本的访问控制与边界安全隔离；WEB应用(yòng)防火墙与漏洞扫描设备均旁路部署在数据中心交换机上，WEB应用(yòng)防火墙承担學(xué)校网站系统的安全防护，实现针对SQL注入、跨站脚本攻击、网站挂马、黑链的防护；漏洞扫描设备承担对业務(wù)系统的操作系统、数据库进行漏洞分(fēn)析检测功能(néng)；

     一、等保合规

       本次方案主要针对现有(yǒu)的网络安全體(tǐ)系无法满足信息系统安全等级保护第三级需要，因此，我们的建设的目标是需要满足等保三级相关的技术要求。

信息系统安全保障主體(tǐ)是业務(wù)系统，安全保障框架所有(yǒu)安全控制都应以安全方针、策略做為(wèi)安全工作的指导与依据，落实安全管理(lǐ)和安全技术两大维度的具體(tǐ)实施与维护，以业務(wù)系统的安全运营為(wèi)信息安全保障建设的核心，并辅以安全评估与安全培训贯穿信息安全保障體(tǐ)系的全过程，形成风险可(kě)控的安全保障框架體(tǐ)系。

二、方案简介

      数据中心安全加固整體(tǐ)方案拓扑如下图所示：

数据中心安全加固，采用(yòng)安恒眀御下一代防火墙替换原有(yǒu)的H3C防火墙，制定细化的访问控制策略，关闭无需使用(yòng)的端口及IP地址，实现对数据中心访问的精细化控制。同时，在安恒眀御下一代防火墙上开启防病毒模块，实现基于网关的在線(xiàn)杀毒功能(néng)。

     三、建设原则

n  重点保护原则

根据信息系统的重要程度、业務(wù)特点，通过不同安全區(qū)域的划分(fēn)，实现不同强度的安全保护，集中资源优先保护涉及核心业務(wù)或关键信息资产的信息系统。

n  适度安全原则

任何信息系统都不能(néng)做到绝对的安全，过多(duō)的安全要求必将造成易用(yòng)性降低和运行的复杂性，因此要在安全需求、安全风险和易用(yòng)性之间进行平衡和折中。

n  风险管理(lǐ)原则

进行安全风险管理(lǐ)，确认可(kě)能(néng)影响信息系统的安全风险，正确的识别风险、合理(lǐ)的管理(lǐ)风险，并让信息系统的安全风险降低到可(kě)以接受的水平以内。

n  分(fēn)权制衡原则

在信息系统中，对所有(yǒu)权限应该进行适当地划分(fēn)，使每个授权主體(tǐ)只能(néng)拥有(yǒu)其中的一部分(fēn)权限，使他(tā)们之间相互制约、相互监督，共同保证信息系统的安全。

n  标准化原则

在方案设计和设备选型方面必须遵循國(guó)家以及行业内的相关标准，并充分(fēn)考虑不同产品之间的兼容性。

n  统一安全管理(lǐ)原则

在方案设计中主机、网络设备、安全设备、应用(yòng)系统、数据库等必须遵循统一安全管理(lǐ)的要求。

四、方案优势

 n  满足信息系统等级保护第三级的相关要求；

 n 引入高级威胁监测體(tǐ)系，并且联动防火墙，可(kě)对未知威胁进行监测和防护；

 n 最大程度的利旧，节省项目资金投入；

 n 為(wèi)后期态势感知、大数据平台的部署升级做好了技术准备。