数据中心安全管理建设方案

2024年4月29日发(作者：)

数据中心安全管理建设方案

1.1 建设思路

数据中心的安全体系建设并非安全产品的堆砌，它是一个根据用户具体业务环境、使

用习惯、安全策略要求等多个方面构建的一套生态体系，涉及众多的安全技术，实施过程

需要涉及大量的调研、咨询等工作，还会涉及到众多的安全厂家之间的协调、产品的选

型，安全系统建成后怎么维持这个生态体系的平衡，是一个复杂的系统工程，一般建议分

期投资建设，从技术到管理，逐步实现组织的战略目标。

整体设计思路是将需要保护的核心业务主机包及数据库围起来，与其他网络区域进行

逻辑隔离，封闭一切不应该暴漏的端口、IP，在不影响现有业务的情况下形成数据孤岛，

设置固定的数据访问入口，对入口进行严格的访问控制及审计。由之前的被动安全变为主

动防御，控制安全事故的发生，对接入系统的人员进行有效的认证、授权、审计，让敏感

操作变得更加透明，有效防止安全事件的发生。

在访问入口部署防火墙、账号生命周期管理系统、数据加密系统、令牌认证系统、审

计系统等安全设施，对所有外界向核心区域主机发起的访问进行控制、授权、审计，对流

出核心区域的批量敏感数据进行加密处理，所有加密的数据将被有效的包围在安全域之

内，并跟踪数据产生、扭转、销毁的整个生命周期，杜绝敏感数据外泄及滥用行为。

为了保证XXX用户的业务连续性，各安全子系统都采用旁路的方式部署到网络当

中，其中账号生命周期管理系统、审计系统、数据库都采用双机的模式，以提供自身的高

1

可靠性；加密系统、特权账号生命周期管理系统、令牌认证系统都建议部署在VMware

云计算平台上，利用VMware强大的服务器虚拟化能力为防泄密系统提供良好的可靠性

与可扩展性保证。

1.2 建设需求

XXX用户经过多年的信息化建设，各项业务都顺利的开展起来了，数据中心已经积

累了很多宝贵的数据，这些无形的资产比硬件资产还重要，但它们却面临着非常大的安全

挑战。

在早期的系统建设过程中，大多用户不会考虑数据安全、应用安全层面的问题，经过

多年的发展，数据中心越来越庞大，业务越来越复杂，但信息安全完全没有配套建设，经

常会发生一些安全事件，如：数据库的表被人删除了、主机密码被人修改了、敏感数据泄

露了、特权账号被第三方人员使用等等情况，而这些安全事件往往都是特权用户从后台直

接操作的，非常隐蔽，这时候往往无从查起。

其实，信息安全建设在系统的设计初期开始，就应该要介入，始终贯穿其中，这样花

费的人力物力才是最小。当一个系统建成后，发现问题了，回头再来考虑安全建设，这样

投入的成本将会变得最大。

1.3 总体方案

信息安全系统整体部署架构图

2