数据中心安全管理解决方案
1.1
建设思路
数据中心的安全体系建设并非安全产品的堆砌,它是一个根据用户具
体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系,
涉及众多的安全技术,实施过程需要涉及大量的调研、咨询等工作,还会
涉及到众多的安全厂家之间的协调、产品的选型,安全系统建成后怎么维
持这个生态体系的平衡,是一个复杂的系统工程,一般建议分期投资建
设,从技术到管理,逐步实现组织的战略目标。
整体设计思路是将需要保护的核心业务主机包及数据库围起来,与其
他网络区域进行逻辑隔离,封闭一切不应该暴漏的端口、 IP,在不影响现
有业务的情况下形成数据孤岛,设置固定的数据访问入口,对入口进行严
格的访问控制及审计。由之前的被动安全变为主动防御,控制安全事故的
发生,对接入系统的人员进行有效的认证、授权、审计,让敏感操作变得
更加透明,有效防止安全事件的发生。
在访问入口部署防火墙、账号生命周期管理系统、数据加密系统、令
牌认证系统、审计系统等安全设施,对所有外界向核心区域主机发起的访
问进行控制、授权、审计,对流出核心区域的批量敏感数据进行加密处
理,所有加密的数据将被有效的包围在安全域之内,并跟踪数据产生、扭
转、销毁的整个生命周期,杜绝敏感数据外泄及滥用行为。
为了保证 XXX 用户的业务连续性,各安全子系统都采用旁路的方式部
署到网络当中,其中账号生命周期管理系统、审计系统、数据库都采用双
机的模式,以提供自身的高可靠性;加密系统、特权账号生命周期管理系
统、令牌认证系统都建议部署在 VMware 云计算平台上,利用 VMware
强大的服务器虚拟化能力为防泄密系统提供良好的可靠性与可扩展性保
证。