数据中心安全 解决方案目录 第一章 解决方案 1 .1 建设需求 X X X 用户经过多年的信息化建设,各项业务都顺利的开展起来了,数据中心已经积累了很多宝贵的数据,这些无形的资产比硬件资产还重要,但它们却面临着非常大的安全挑战。 在早期的系统建设过程中,大多用户不会考虑数据安全、应用安全层面的问题,经过多年的发展,数据中心越来越庞大,业务越来越复杂,但信息安全完全没有配套建设,经常会发生一些安全事件,如:数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况,而这些安全事件往往都是特权用户从后台直接操作的,非常隐蔽,这时候往往无从查起。 其实,信息安全建设在系统的设计初期开始,就应该要介入,始终贯穿其中,这样花费的人力物力才是最小 。当 一个 系统建成 后,发现 问题了,回 头 再 来考虑安全建设,这样投 入的成 本 将 会变 得 最大。 1 .2 建设思 路 数据中心的安全体 系建设并 非安全产品 的堆 砌 ,它是一个 根 据用户具 体 业务环 境 、使用习 惯 、安全策 略 要求等多个 方面构 建的一套生态 体 系,涉 及 众 多的安全技 术 ,实施 过程需要涉 及 大量 的调 研 、咨 询 等工 作,还会涉 及 到 众 多的安全厂家 之 间 的协 调 、产品 的选 型 ,安全系统建成 后怎 么 维 持 这个 生态 体 系的平 衡 ,是一个 复杂的系统工 程,一般 建议 分 期投 资建设,从技 术 到 管 理 ,逐 步 实现 组 织 的战略 目 标 。 整 体 设计思 路 是将 需要保 护 的核 心业务主机包 及 数据库围 起来,与 其他 网 络区 域 进 行 逻 辑 隔 离 ,封 闭 一切 不应该暴 漏 的端 口 、IP,在不影 响 现 有业务的情况下 形成 数据孤 岛 ,设置 固 定 的数据访 问入口 ,对 入口 进 行 严 格 的访 问控 制 及 审 计。由 之 前 的被动 安全变 为 主动 防 御 ,控 制 安全事故 的发生,对 接入系统的人员进 行有效 的认 证 、授 权、审 计,让 敏感操作变 得 更 加 透 明 ,有效 防 止 安全事件的发生。 在访问入口部署防火墙、账号生命周期管理系统、数据加密系统、令牌认证系统、审计系统等安全设施,对所有外界向核心区域主机发起的访问进行控制、授权、审计,对流出核心区域的批量敏感数据...
