学校数据中心当前主要承担学校各项业务系统的运营，是学校信息化资产的核心位置。目前防火墙位于数据中心与校园网边界，实现基本的访问控制与边界安全隔离；WEB应用防火墙与漏洞扫描设备均旁路部署在数据中心交换机上，WEB应用防火墙承担学校网站系统的安全防护，实现针对SQL注入、跨站脚本攻击、网站挂马、黑链的防护；漏洞扫描设备承担对业务系统的操作系统、数据库进行漏洞分析检测功能；

     一、等保合规

       本次方案主要针对现有的网络安全体系无法满足信息系统安全等级保护第三级需要，因此，我们的建设的目标是需要满足等保三级相关的技术要求。

信息系统安全保障主体是业务系统，安全保障框架所有安全控制都应以安全方针、策略做为安全工作的指导与依据，落实安全管理和安全技术两大维度的具体实施与维护，以业务系统的安全运营为信息安全保障建设的核心，并辅以安全评估与安全培训贯穿信息安全保障体系的全过程，形成风险可控的安全保障框架体系。

二、方案简介

      数据中心安全加固整体方案拓扑如下图所示：

数据中心安全加固，采用安恒眀御下一代防火墙替换原有的H3C防火墙，制定细化的访问控制策略，关闭无需使用的端口及IP地址，实现对数据中心访问的精细化控制。同时，在安恒眀御下一代防火墙上开启防病毒模块，实现基于网关的在线杀毒功能。

     三、建设原则

n  重点保护原则

根据信息系统的重要程度、业务特点，通过不同安全区域的划分，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。

n  适度安全原则

任何信息系统都不能做到绝对的安全，过多的安全要求必将造成易用性降低和运行的复杂性，因此要在安全需求、安全风险和易用性之间进行平衡和折中。

n  风险管理原则

进行安全风险管理，确认可能影响信息系统的安全风险，正确的识别风险、合理的管理风险，并让信息系统的安全风险降低到可以接受的水平以内。

n  分权制衡原则

在信息系统中，对所有权限应该进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使他们之间相互制约、相互监督，共同保证信息系统的安全。

n  标准化原则

在方案设计和设备选型方面必须遵循国家以及行业内的相关标准，并充分考虑不同产品之间的兼容性。

n  统一安全管理原则

在方案设计中主机、网络设备、安全设备、应用系统、数据库等必须遵循统一安全管理的要求。

四、方案优势

 n  满足信息系统等级保护第三级的相关要求；

 n 引入高级威胁监测体系，并且联动防火墙，可对未知威胁进行监测和防护；

 n 最大程度的利旧，节省项目资金投入；

 n 为后期态势感知、大数据平台的部署升级做好了技术准备。