學校數據中(zhōng)心當前主要承擔學校各項業務系統的運營，是學校信息化資(zī)産的核心位置。目前防火(huǒ)牆位于數據中(zhōng)心與校園網邊界，實現基本的訪問控制與邊界安全隔離(lí)；WEB應用防火(huǒ)牆與漏洞掃描設備均旁路部署在數據中(zhōng)心交換機上，WEB應用防火(huǒ)牆承擔學校網站系統的安全防護，實現針對SQL注入、跨站腳本攻擊、網站挂馬、黑鏈的防護；漏洞掃描設備承擔對業務系統的操作系統、數據庫進行漏洞分(fēn)析檢測功能；

     一(yī)、等保合規

       本次方案主要針對現有的網絡安全體(tǐ)系無法滿足信息系統安全等級保護第三級需要，因此，我(wǒ)(wǒ)們的建設的目标是需要滿足等保三級相關的技術要求。

信息系統安全保障主體(tǐ)是業務系統，安全保障框架所有安全控制都應以安全方針、策略做爲安全工(gōng)作的指導與依據，落實安全管理和安全技術兩大(dà)維度的具體(tǐ)實施與維護，以業務系統的安全運營爲信息安全保障建設的核心，并輔以安全評估與安全培訓貫穿信息安全保障體(tǐ)系的全過程，形成風險可控的安全保障框架體(tǐ)系。

二、方案簡介

      數據中(zhōng)心安全加固整體(tǐ)方案拓撲如下(xià)圖所示：

數據中(zhōng)心安全加固，采用安恒眀禦下(xià)一(yī)代防火(huǒ)牆替換原有的H3C防火(huǒ)牆，制定細化的訪問控制策略，關閉無需使用的端口及IP地址，實現對數據中(zhōng)心訪問的精細化控制。同時，在安恒眀禦下(xià)一(yī)代防火(huǒ)牆上開(kāi)啓防病毒模塊，實現基于網關的在線殺毒功能。

     三、建設原則

n  重點保護原則

根據信息系統的重要程度、業務特點，通過不同安全區域的劃分(fēn)，實現不同強度的安全保護，集中(zhōng)資(zī)源優先保護涉及核心業務或關鍵信息資(zī)産的信息系統。

n  适度安全原則

任何信息系統都不能做到絕對的安全，過多的安全要求必将造成易用性降低和運行的複雜(zá)性，因此要在安全需求、安全風險和易用性之間進行平衡和折中(zhōng)。

n  風險管理原則

進行安全風險管理，确認可能影響信息系統的安全風險，正确的識别風險、合理的管理風險，并讓信息系統的安全風險降低到可以接受的水平以内。

n  分(fēn)權制衡原則

在信息系統中(zhōng)，對所有權限應該進行适當地劃分(fēn)，使每個授權主體(tǐ)隻能擁有其中(zhōng)的一(yī)部分(fēn)權限，使他們之間相互制約、相互監督，共同保證信息系統的安全。

n  标準化原則

在方案設計和設備選型方面必須遵循國家以及行業内的相關标準，并充分(fēn)考慮不同産品之間的兼容性。

n  統一(yī)安全管理原則

在方案設計中(zhōng)主機、網絡設備、安全設備、應用系統、數據庫等必須遵循統一(yī)安全管理的要求。

四、方案優勢

 n  滿足信息系統等級保護第三級的相關要求；

 n 引入高級威脅監測體(tǐ)系，并且聯動防火(huǒ)牆，可對未知(zhī)威脅進行監測和防護；

 n 最大(dà)程度的利舊(jiù)，節省項目資(zī)金投入；

 n 爲後期态勢感知(zhī)、大(dà)數據平台的部署升級做好了技術準備。