1.1 建设需求

1.2 建设思路

1.3 总体方案

信息安全系统整体部署架构图

1.3.1 IP准入控制系统

1.3.2 防泄密技术的选择

1.3.3 主机账号生命周期管理系统

1.3.4 数据库账号生命周期管理系统

1.3.5 双因素认证系统

1.3.6 数据库审计系统

1.3.7 数据脱敏系统

1.3.8 应用内嵌账号管理系统

1.3.9 云计算平台

1.3.10 防火墙

1.3.11 统一安全运营平台

1.3.12 安全运维服务

1.4 实施效果

1.4.1 针对终端接入的管理

1.4.2 针对敏感数据的使用管理

1.4.3 针对敏感数据的访问管理

1.4.4 针对主机设备访问的管理

1.4.5 针对数据库访问的管理

1.4.6 针对数据库的审计

1.4.7 针对应用内嵌账号的管理

1.4.8 安全运营的规范

1.4.9 针对管理的优化

数据中心的安全体系建设并非简单堆砌安全产品，而是一个综合考量用户业务环境、使用习惯及安全策略要求的复杂生态体系。这一体系的构建涉及多种安全技术，其实施过程需深入调研、广泛咨询，并协调多家安全厂商，进行产品选型。安全系统建成后，如何维持这一生态体系的平衡，更是一项艰巨的任务。因此，一般建议采取分期投资建设的策略，从技术到管理，逐步推进，以实现组织的战略目标。

整体设计思路是围绕核心业务主机包及数据库，构建逻辑隔离区域，封闭不必要的端口和IP，形成数据孤岛，同时设置固定的数据访问入口，并对其进行严格的访问控制和审计。这一转变使得安全策略由被动转为主动，有效控制安全事故的发生。同时，对接入系统的人员进行严格的认证、授权和审计，使敏感操作更加透明，有效预防安全事件的发生。

在访问入口，我们部署了防火墙、账号生命周期管理系统、数据加密系统、令牌认证系统和审计系统等安全设施。这些设施对所有外界向核心区域主机的访问进行严格的控制、授权和审计，并对流出的批量敏感数据进行加密处理。所有加密数据都被有效地限制在安全域内，并跟踪其整个生命周期，从产生到扭转再到销毁，以防止敏感数据外泄和滥用。