數據中心安全加固方案
類型:智慧教育 日期:2020-01-03
學校數據中心當前主要承擔學校各項業務系統的運營,是學校信息化資產的核心位置。目前防火墻位于數據中心與校園網邊界,實現基本的訪問控制與邊界安全隔離;WEB應用防火墻與漏洞掃描設備均旁路部署在數據中心交換機上,WEB應用防火墻承擔學校網站系統的安全防護,實現針對SQL注入、跨站腳本攻擊、網站掛馬、黑鏈的防護;漏洞掃描設備承擔對業務系統的操作系統、數據庫進行漏洞分析檢測功能;
一、等保合規
本次方案主要針對現有的網絡安全體系無法滿足信息系統安全等級保護第三級需要,因此,我們的建設的目標是需要滿足等保三級相關的技術要求。
信息系統安全保障主體是業務系統,安全保障框架所有安全控制都應以安全方針、策略做為安全工作的指導與依據,落實安全管理和安全技術兩大維度的具體實施與維護,以業務系統的安全運營為信息安全保障建設的核心,并輔以安全評估與安全培訓貫穿信息安全保障體系的全過程,形成風險可控的安全保障框架體系。
二、方案簡介
數據中心安全加固整體方案拓撲如下圖所示:
數據中心安全加固,采用安恒眀御下一代防火墻替換原有的H3C防火墻,制定細化的訪問控制策略,關閉無需使用的端口及IP地址,實現對數據中心訪問的精細化控制。同時,在安恒眀御下一代防火墻上開啟防病毒模塊,實現基于網關的在線殺毒功能。
三、建設原則
n 重點保護原則
根據信息系統的重要程度、業務特點,通過不同安全區域的劃分,實現不同強度的安全保護,集中資源優先保護涉及核心業務或關鍵信息資產的信息系統。
n 適度安全原則
任何信息系統都不能做到絕對的安全,過多的安全要求必將造成易用性降低和運行的復雜性,因此要在安全需求、安全風險和易用性之間進行平衡和折中。
n 風險管理原則
進行安全風險管理,確認可能影響信息系統的安全風險,正確的識別風險、合理的管理風險,并讓信息系統的安全風險降低到可以接受的水平以內。
n 分權制衡原則
在信息系統中,對所有權限應該進行適當地劃分,使每個授權主體只能擁有其中的一部分權限,使他們之間相互制約、相互監督,共同保證信息系統的安全。
n 標準化原則
在方案設計和設備選型方面必須遵循國家以及行業內的相關標準,并充分考慮不同產品之間的兼容性。
n 統一安全管理原則
在方案設計中主機、網絡設備、安全設備、應用系統、數據庫等必須遵循統一安全管理的要求。
四、方案優勢
n 滿足信息系統等級保護第三級的相關要求;
n 引入高級威脅監測體系,并且聯動防火墻,可對未知威脅進行監測和防護;
n 最大程度的利舊,節省項目資金投入;
n 為后期態勢感知、大數據平臺的部署升級做好了技術準備。