水利数据中心安全保障体系研究
2017-07-12李丹
摘要:随着“互联网+”时代的到来,大数据、云计算等IT技术发展迅速,应用日益广泛。水利行业数据中心建设快速发展的同时,数据安全及保护问题越发凸显。探讨水利行业数据中心安全保障体系建设,提出数据中心安全策略。
关键词:数据中心;云计算;安全保障;等级保护;IPS
DOIDOI:10.11907/rjdk.171736
中图分类号:TP309.2
文献标识码:A 文章编号:1672-7800(2017)006-0174-02
0 引言
“互联网+”时代的到来深刻影响着每个行业,给水利行业带来了信息化变革。随着移动互联网、云计算、大数据、物联网等一系列新兴IT技术的发展,水利行业将迎来全面升级的“2.0时代”[1-3]。水利数据中心建设是水利信息化发展的重要环节,是推动水利信息化从“1.0时代”向“2.0时代”迈进的坚实一步。目前,水利信息化已渗透到水利工作每一个环节,成为整个水利工作的神经系统,网络和应用系统能否稳定和安全运行,将直接影响到防汛抗灾、水资源管理、水环境、水生态保护等各项工作的开展。随着数据中心建设及运行,数据安全及保护的重要性日益凸显[4]。加强数据中心安全保障体系建设尤为重要。信息安全等级保护为数据中心安全保障体系建设提供了理论支撑[5]。
1 信息安全等级保护及数据中心安全
按照相关定义,信息系统安全等级保护工作主要分为定级、备案、建设整改、等级测评和监督检查等环节[6]。按照国家《信息系统安全等级保护定级指南》和水利部《水利网络与信息安全体系建设基本技术要求》,结合水利信息化的现状,本文水利数据中心的安全等级为第三级。
本文提出数据中心安全策略由“三个体系”、“一个中心”、“三重防护”构成,简称“313工程”,如图1所示。
三个体系:信息安全管理体系、信息安全技术体系和信息安全运维体系。三大体系构成了信息安全保护框架的核心内容。
一个中心:信息安全管理中心是信息安全保障框架的核心,是三大体系的执行点与校验点。信息安全中心包括系统管理、安全管理和审计管理。
三重防护:通过三层结构实现信息安全保护,物理、制度、人员是信息安全保护的基础,分别对应着物理安全、制度安全和人员管理安全。
按照分区分域建设原则,水利数据中心等级保护安全建设的体系结构和逻辑组成如图2所示。
2 信息安全管理体系建设
(1)组织机构建设。建立计划、财务、建设管理部门会同信息安全主管部门定期协调和沟通制度,确保信息安全项目立项,项目建设资金有保障,建设管理规范,同时加强对信息安全投入的统筹管理。加强各级水利信息化工程或系统之间的衔接和协调。强化安全管理部门的职能,定期召开信息安全工作领导小组会议,确定年度重点信息安全项目,共同推动信息安全工作的组织实施。建立一把手抓信息安全工作的组织体制,充分调动各部门、各单位积极性和主动性,相互配合。
(2)人员安全建设。充分利用各种途径和方式,建设全方位、多层次、高素质的信息安全人才队伍。统筹制定水利信息化安全人才需求分析与人才队伍建设计划。以岗位培训和继续教育为重点,提高信息化安全工作思想意识,知识结构和组织能力,提高各级信息安全技术人员的理论水平和实践操作能力;采用引进与培养相结合的方式,培养一批精通水利知识和信息安全的复合型人才;建立有利于吸引人才、留住人才的激励机制和用人机制,逐渐建成一支素质高、技术好、业务强与水利信息化需求和信息安全建设相适应的技术队伍[7]。
(3)制度标准建设。标准化是实现信息安全的基本要求,信息安全体系建设与管理需要统一的制度标准。为此,需建立健全标准规范体系,构建一个科学、系统、先进和开放的水利信息安全标准体系框架。目前,在信息采集、汇集、交换、存储、处理和服务等环节已有技术标准。对缺乏相关标准或标准不能完全满足信息安全的环节,需要根据信息安全建设具体情况,参照国际、国内标准,制定相应的信息化的标准体系,建设相关标准,逐步实现信息安全建设的标准化。
3 信息安全技术体系建设
3.1 物理层建设
物理层是信息安全技术体系的基础,一般指机房及配套设施的建設,具体包括:机房装饰、供配电系统安装、空调新风系统安装、消防报警系统安装、防雷接地系统安装、安防系统安装及机房动力环境监控系统安装[8]。
3.2 网络层建设
网络层建设是基于物理层建设,网络安全设备主要包括网络防火墙、IPS(入侵检测防御)、网络安全审计等。
(1)网络防火墙。防火墙是关键的安全保障设备之一,其原理是通过过滤存在隐患及不安全信息的数据包,达到保护网络安全的目的,其典型网络拓扑结构如图3所示。
通过制定网络协议,达到控制数据流的作用。防火墙能够禁止不安全的NFS协议,阻止外部攻击者利用脆弱的协议来攻击内部网络。防火墙是一个重要的内外网隔离设备,通过设置网络内外隔离,达到限制外部网段对内网中敏感网段的访问。防火墙是隐私保护的重要设备,随着信息社会的不断发展,现阶段隐私保护越来越被重视,防火墙可以通过对敏感网段的屏蔽,对敏感信息进行简单的加噪声来保护隐私不被泄露。
(2)IPS:是Intrusion Prevention System的简称,即入侵预防系统,是防火墙的重要补充和辅助系统。随着网络的普及,网络内部和外部的威胁越来越多,目前流行的有DoS(Denial of Service 拒绝服务)、DDoS(Distributed DoS 分布式拒绝服务)、暴力猜解(Brut-Force-Attack)、端口扫描(Portscan)等。入侵预防系统也是一种主动入侵检测设备,可以查找其备案的具有潜在攻击的数据包,并将其过滤。
(3)网络安全审计:网络安全审计是一个发现网络及系统漏洞入侵行为的过程。制定安全策略,利用记录和数据挖掘等功能找到可疑数据IP及访问行为;最后生成报表供网络管理员查看。网络管理员对可疑的数据、IP、网络行为进行屏蔽。
3.3 数据资源安全建设
数据安全涉及数据采集、传输、存储、发布分发和备份过程,主要指数据的机密性、完整性和可用性。数据的机密性主要依靠加密算法来保证,数据的完整性主要利用数据备份和还原措施来保证,数据的可用性主要利用数据校验来保证。
3.4 应用程序安全建设
应用程序的安全措施主要是在程序系统中实行统一的权限管理,建立CA证书系统,建立统一的门户,避免多点登录情况。使得权限管理在一个统一的安全框架下,对系统内部权限按岗分配。同时开发安全的应用程序,对程序的代码进行审计,查找安全漏洞,保障网络安全。
4 信息安全运维体系
(1)机房管理制度。明确操作人员的各项操作,制订管理人员出入规定,制订防止计算机病毒感染和传播的相应制度,建立各系统专人管理制度和其它相关规定(如电力供应、温度、湿度、清洁度、安全防火等)。
(2)运行管理制度。对系统运行过程中的异常情况做好记录,及时报告;严禁以非正常方式修改信息系统中的各种数据;明确数据备份制度,确保系统数据安全。
(3)运行日志制度。系统运行日志不仅可以为信息系统运行提供历史资料,而且可以为查找系统故障提供线索。因此,必须准确记录并妥善保存系统运行日志,主要包括时间、操作人员、系统运行情况、异常情况记录、值班人员签字、负责人签字等内容。
5 结语
本文结合国家《信息系统安全等级保护定级指南》和水利部《水利网络与信息安全体系建设基本技术要求》的技术要点,提出了水利行业信息安全运行体系建设思路及策略,建立了一套切合实际、科学合理的运行管理体制。大数据及云计算时代,系统安全的保护难度在逐渐加大,安全保障体系建设也需要不断强化。
参考文献:
[1]莫岱青. 两会政府工作报告首倡“互联网+”的意义[J]. 计算机与网络,2015(6):10-11.
[2]张建勋,古志民,郑超.云计算研究进展综述[J].计算机应用研究,2010(2):429-433.
[3]王元卓,靳小龙,程学旗.网络大数据:现状与展望[J].计算机学报,2013(6):1125-1138.
[4]李丹,陳贵海,任丰原,蒋长林,徐明伟.数据中心网络的研究进展与趋势[J]. 计算机学报,2014(2):259-274.
[5]冯登国,张阳,张玉清.信息安全风险评估综述[J].通信学报,2004,25(7):245-268.
[6]沈昌祥.云计算安全与等级保护[J].信息安全与通信保密,2012(1):16-17.
[7]张栋冰,兰义华.信息安全专业人才培养的思考[J].软件导刊,2008(6):8-10.
[8]于华川.计算机网络信息安全研究[J].软件导刊,2010(2):124-126.
[9]李广.等级保护三级系统建设实践[J].计算机安全,2010(8):82-84.
(责任编辑:陈福时)