背 景 与 需 求

随着交通集团信息化程度的不断提高，使得对其网络数据中心的依赖程度不断增加，网上信息价值不断增大，信息安全问题也日渐凸现。交通集团数据中心信息安全体系是交通集团信息安全管理的重要组成部分，是交通集团信息化业务开展的重要安全屏障。交通集团数据中心之前已采取了些网络安全措施，如划分Vlan，在一定程度上实现了系统逻辑隔离、监控和防护的功能，但是由于缺乏系统的、整体的安全规划，因此系统目前仍然存在较多的安全风险，这些安全风险也使交通集团数据中心产生了安全建设的需求。从安全建设的角度，交通集团数据中心的安全建设来自两个方面，一是从符合国家政策的角度，需要按照公安部信息系统安全等级保护相关标准以及交通集团的业务发展战略和十三五规划（草案），按照分级、分域的建设思路，进行总体的安全规划和设计；另外也需要从自身安全防护的角度，分析对抗外部恶意攻击、防范内部误操作行为、规避物理安全风险、强化安全管理等方面的建设需求。

解 决 方 案

交通集团数据中心信息安全保障体系是一个包含实体、网络、系统、应用和管理等五个层面，包括保护、检测、响应、恢复四个方面，通过技术保障和规章制度建立起来的可靠有效的安全体系，相关设计如图所示： 

天融信按等保三级安全技术要求，结合交通集团数据中心信息安全现状首先划分多个相对独立的安全域，然后根据各个安全域的特点来选择不同的防护措施，再重点从网络安全、系统安全、应用安全、管理安全的角度出发进行规划设计，在此基础上，再进一步向组织管理体系、运行体系方面进行扩展，同时实现全面的安全策略，完成交通集团数据中心信息安全保障体系的建设。

天融信为交通集团数据中心信息安全保障体系设计了：交通数据交换区：包含交通关键运营系统等；安全管理区：承担安全业务操作及运维管理；交通数据库区：主要包含了核心业务数据库。以上各区域安排部署防火墙、网闸、防毒墙、IDS、WAF、安全管理平台、终端管理系统、漏洞扫描系统、堡垒机、数据库审计等安全系统措施，提高了交通集团信息安全防护能力、抗安全风险能力，保障交通集团安全技术及安全管理，确保交通集团业务安全稳定运行。

建 设 效 果

根据交通集团数据中心系统的安全需求分析与设计，天融信公司建议采用国内主流成熟性的技术和产品，通过使用防火墙、网闸、防毒墙、IDS、WAF、安全管理平台、终端管理系统、漏洞扫描系统、堡垒机、数据库审计等安全措施，运用切实的安全控制策略和安全服务手段，为交通集团数据中心系统的网络安全运行、系统可靠性运行和数据信息安全保密性提供一套安全保障防御体系。