word
第一章 解决方案
1.1
建设需求
XXX 用户经过多年的信息化建设,各项业务都顺利的开展起来了,数据中
心已经积累了很多宝贵的数据,这些无形的资产比硬件资产还重要,但它们却面
临着非常大的安全挑战。
在早期的系统建设过程中,大多用户不会考虑数据安全、应用安全层面的问
题,经过多年的开展,数据中心越来越庞大,业务越来越复杂,但信息安全完全
没有配套建设,经常会发生一些安全事件,如:数据库的表被人删除了、主码被
人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况,而这些安全
事件往往都是特权用户从后台直接操作的,非常隐蔽,这时候往往无从查起。
其实,信息安全建设在系统的设计初期开始,就应该要介入,始终贯穿其中,
这样花费的人力物力才是最小。当一个系统建成后,发现问题了,回头再来考虑
安全建设,这样投入的本钱将会变得最大。
1.2
建设思路
数据中心的安全体系建设并非安全产品的堆砌,它是一个根据用户具体业务
环境、使用习惯、安全策略要求等多个方面构建的一套生态体系,涉与众多的安
全技术,实施过程需要涉与大量的调研、咨询等工作,还会涉与到众多的安全厂
家之间的协调、产品的选型,安全系统建成后怎么维持这个生态体系的平衡,是
一个复杂的系统工程,一般建议分期投资建设,从技术到管理,逐步实现组织的
战略目标。
整体设计思路是将需要保护的核心业务主机包与数据库围起来,与其他网络
区域进展逻辑隔离,封闭一切不应该暴漏的端口、IP,在不影响现有业务的情况
下形成数据孤岛,设置固定的数据访问入口,对入口进展严格的访问控制与审计。
由之前的被动安全变为主动防御,控制安全事故的发生,对接入系统的人员进展
有效的认证、授权、审计,让敏感操作变得更加透明,有效防止安全事件的发生。
2 / 24