寇磊 杨涛 刘沛洋

［摘 要］数据中心建设是信息化发展中的重点内容，可以妥善解决“信息孤岛”、数据开发利用低等问题。

然而，受制于数据中心对开放互联网依赖的影响，建设单位对其信息安全防护工作也提出了更高的要求。文章圍绕数据中心存在的信息安全隐患，从规范数据中心部署运维、强化数据中心相关数据的加密传输、加强数据中心运维审计、强化数据共享使用管理、重视数据中心网络安全防护工作等方面入手，提出几点有效的信息安全防护建设策略，以供参考。

［关键词］数据中心建设；信息安全隐患；信息安全防护建设；加密传输

doi：10.3969/j.issn.1673 - 0194.2023.12.027

［中图分类号］TP393［文献标识码］A［文章编号］1673-0194（2023）12-0084-03

0     引 言

在信息技术不断发展的背景下，各行业开展业务工作产生的数据信息也日渐增多，通过构建统一数据中心，能够实现对这些数据信息的有效管理和高效利用，同时也能将数据安全风险集中到数据中心，可一旦数据采集、整合传输等环节出现信息泄露、窜改等情况，将无法保障数据安全性，会对相关行业发展造成较大的经济损失。因此，需要对数据中心较常出现的信息安全问题进行仔细分析，并立足实际采用有效措施建立健全的信息安全防护体系，确保数据中心在安全的环境中运行［1］。

1     数据中心存在的信息安全隐患

互联网时代，大数据信息得到了广泛应用，数据范围也在逐步扩大。大数据在改变人们生产生活方式的同时，也潜藏着各种信息安全隐患。人们在应用大数据的同时，也应该充分认识到计算机网络具有开放性，尤其是各行业数据中心在运营中要时刻注意，做好信息安全防护。以下简单分析数据中心运行潜在的信息安全隐患。第一，账号密码管理不严。在对数据中心的业务系统进行安装部署时，应用程序编程接口（Application Programming Interface，API）、统一资源定位系统（uniform resource locator，URL）链接等处于开放状态，容易因高危后缀名而存在被截取盗听的风险。与此同时，构建系统默认开放账号的浏览功能，没有在系统运行以后对冗余的账号进行修改处理，这也为系统安全运行埋下诸多隐患。第二，访问权限控制度不够。在完成数据中心建设以后，没有对其运行实施定期监管，再加上系统多采用模块化的权限管理方式，开放的数据访问接口不能按照部署进行权限下放，更别说与主机端口进行互联网协议地址（Internet Protocol Address、IP）、局域网地址绑定，这种粗放式的管理也会使数据中心数据面临被泄露、破坏等风险。第三，运维审计较为欠缺。在对数据中心开展日常运维工作时，通常会直接进行一些命名操作，如更新数据、替换重复表格等，实际作业一旦出现误删的操作情况，重新恢复这些数据就会变得更加困难，且考虑到系统日志量非常大，想要通过日志管理明确这一问题出现的真正原因难度也较高［2］。第四，数据存储传输未加密。数据中心存在的数据大多具有体积较大、结构复杂、格式较多等特点，特别是对一些图件信息，在进行存储传输时为了增强数据的可读性，往往会直接使用明文进行存储，然后通过数据中心和终端用户进行数据交换，整个过程也极容易发生数据泄露、丢失等安全问题。第五，数据共享流程不规范。数据共享方式有很多，常见的有系统之间的数据同步、终端用户数据文件应用等，实际共享过程中若出现操作不规范的情况，如数据使用未经过审批流程，就直接进行数据接口配置，整个过程也极容易发生数据泄露情况［3］。

2     数据中心建设背景下信息安全防护建设

大数据时代，网络恶意攻击形式多种多样，如果企业数据中心遭到攻击，不仅会损坏计算机的防护功能，对计算机平台中存储的重要数据信息也会造成不可逆的损害，还会影响企业的正常运营。因而，为了保障企业的正常发展，其要结合自身数据信息使用情况，对企业信息安全做好统筹与防护工作，避免计算机网络受到外来攻击。

2.1   规范数据中心部署运维

对数据中心信息安全防护体系进行构建，要高度重视数据中心的部署运维工作，通过推进数据中心部署运维规范化，促进数据中心实现稳定可靠运行，防止发生相应数据安全问题。具体举措包括以下几点。首先，把握软硬件设施。要对构建数据中心的软硬件设施进行全面了解，定期更新、维护数据中心的服务器部署清单，在确保服务器相应信息真实准确的基础上，对没有用的系统进行有效清理，对于终端与数据中心的交互访问也要进行权限限制，通过使用最小化的权限管理，最大限度保证数据中心能够在相对安全的环境中运行。其次，系统管理账号加密。在对数据中心进行部署时，要及时删除产生的测试账号，对系统中出现的已经停用或长期不使用的用户进行定期排查，对于数据库用户、终端账号、系统用户等的密码，可以考虑使用复杂程度更高的口令，这在一定程度上也能提升信息安全等级［4］。再次，规范运维过程。针对数据中心的应用服务端和数据服务端，最好能够分开部署，在完成联机业务系统构建以后，搭建安全防护设备，对涉及的其他应用也要进行网络隔离，在对数据进行下载时还可以配置专用终端和绑定移动存储介质接入，从而有效保证数据传输过程安全。最后，加强用户管理。在应用系统、数据查询等环节，由于接入网络以后会面临诸多安全风险，所以要对系统用户实施严格管理，使之切实履行数据保密责任和留存个人操作日志，以便及时发现并解决可能出现的安全问题。

2.2   强化数据中心相关数据的加密传输

数据中心包含大量的重要、敏感信息，会将不同类型的数据分开存储在不同类型的数据库系统中。为切实保障这些数据信息的安全性和完整性，需要对数据库采用部署加密系统措施，实现对数据库存储信息的加密存储与管理，对于一些重要信息甚至要采用独立权限管控系统进行管理。相应举措主要包括以下两个方面。一方面，部署数据库静态脱敏工具。针对数据中心需要进行API调用的应用环境，可以对API接口部署数据库静态脱敏工具，增强数据脱敏能力，实际操作中可以采用混淆、多次重组等方式，对脱敏后可以运用的数据进行自动生成，并将其运用到数据二次开发和API应用当中，从而保证整个过程中真实的数据信息不容易被泄露［5］。另一方面，在可视化分析系统中采用动态脱敏工具。针对数据中心开发的子系统，如可视化分析系统，可以将动态脱敏工具运用其中，在防止未授权第三方访问的同时，也能够避免数据遭受恶意破坏，甚至还可以按照数据中心的数据敏感度、应用范围等要求进行加密，在数据采集环节对相关信息实施脱敏操作，从而避免重要数据信息被非法访问和

使用。

2.3   重视对数据中心的运维审计

以往发生数据库安全事故以后，往往很难进行追溯与审计。随着信息技术的不断发展，数据库安全审计成为保障信息安全的重要防御手段，通过深化落实好数据中心的运维审计工作，则可以进一步提高数据中心信息安全保障水平。第一，搭建基于旁路监听的数据中心防御体系。将注意力放在数据采集、数据解析和审计分析上，在数据采集环节可以采用旁路监听的方式，将数据采集引擎接入中心的核心交换机，借助端口镜像管理模式实现对数据库所有动作的监测，然后严格遵照签订的操作协议进行还原整理，将相关内容有效发送到数据解析中心。在数据解析环节则可以根据预设的数据解析与事件关联的规则，对数据库操作数据进行有效接收和操作关联解析，得到的结果也要及时发送到数据分析中心，帮助数据库管理者对数据库审计规则进行科学设置，若接收到的解析结果符合设置审计规则，通过数据分析中心也能及时进行报警与处理。第二，搭建基于旁路监听的数据库安全审计方法。有效建立基于旁路监听的数据库安全审计方法以后，实际开展审计工作时既不需要占用数据库服务器性能，也不需要改变原本数据中心的网络拓扑结构，消耗的网络性能资源仅限于端口镜像，可以通过访问结构化查询语言数据库（Structured Query Language，SQL）的语句级别对数据庫的字段级别进行查看与防控，最终审计结果也会集中体现在一个管理平台上，这样有利于从根源上防控与解决数据窃取、窜改等问题，明显提升数据中心的网络信息安全管理水平与质量。

2.4   强化数据共享使用管理

企业在数据共享使用过程中，容易受到网络、操作等因素影响而出现各类安全隐患，这时候要加强信息安全防护，就必须强化数据共享使用管理，确保信息安全。首先，仔细梳理数据流向，在制定数据共享使用管理办法之前，可以对数据中心的数据流向进行全面细致的了解，然后遵循谁使用、谁负责原则对数据责任部门进行确定，避免数据使用出现不规范、责任不明确等情况。其次，明确流程审批工作，对于使用数据的部门而言，要严格按照规定的流程提出数据使用申请，并在获得数据使用权以后按照规定合理使用共享信息，操作中对于没有经过审批出现的数据共享使用情况，也要作出严厉的惩处，以防止类似情况在以后工作中再次发生，同时，数据共享使用审批流程也会更加健全完善，有利于使用部门及人员严格按照流程规范进行标准化操作［6］。再次，定期开展安全培训。要紧密围绕数据使用审批制度、数据保密制度等内容，定期组织开展安全教育培训活动，让相关部门及人员参与其中，在不断提升其数据安全意识的同时，严格遵照规范要求对数据中心的数据进行开发、共享和使用，使数据中心的数据价值和作用得到充分

发挥。

2.5   开展网络安全防护工作

数据中心建设背景下，要加强信息安全防护工作，就必须高度重视网络安全管理，这主要是因为数据中心的有效运行离不开网络环境的支持。例如，数据中心开展数据查询、通道传输等环节工作时容易受到网络因素影响，使得数据丢失、窜改等发生概率提高。具体防范举措包括以下几点。第一，加强网络安全设计。在内联网中若信息传输采用的是共用信道，使用的TCP/IP协议具有开放性的特点，这时候容易出现数据被假冒、窃取等情况；对于外联网而言，若数据中心业务系统数据源头主要来源于各网点，那么内联网与外部进行连接主要通过数字数据网络（Digital Data Network，DDN）、公共交换电话网络（Public Switched Telephone Network，PSTN）等实现。

要避免运行安全受到外部网络环境攻击，就应在链路层和网络层采用一定的安全措施，保证数据传输的安全性。第二，安装入侵检测系统。由于入侵检测系统（intrusion detection system，IDS）或入侵防御系统（Intrusion Prevention System，IPS）通常会部署在不同安全级别的网络边界，所以，在建设数据中心时也可以对专门的入侵检测系统进行安装和使用，通过对网络运行状态进行实时监控，对发生的网络异常事件进行捕捉，在确定系统遭受到网络攻击以后，围绕具体问题快速堵塞相应漏洞，甚至对于网络发出的内外部攻击，数据中心也能及时作出响应，自动切断攻击方的连接，有效维护数据中心运行安全性和稳定性。第三，积极采用虚拟专用网（Virtual Private Network，VPN）。在数据对外传输时，要保证网络上所有传输重要数据的安全性，就需要有效利用VPN技术对重要的数据实施加密处理，还可以将身份认证技术融入其中，确保加密后数据的私密性和安全性。第四，加强数据中心主机安全防护。考虑到数据中心的主机多处在内联网中，开展信息安全防护工作可以通过安装防病毒、恶意攻击等软件，实现对信息资源和网络设备的有效保护，同时对数据中心主机的业务系统、操作系统和安全防护系统的日志进行分析，如通过分析失败登录次数、文件错误分析、跟踪业务系统状态等信息，对存在的各类故障问题进行及时有效的解决，从而明显提高数据中心运行安全性，有力保证相应数据的信息安全。

3     结束语

随着社会经济和科学技术的不断发展，社会各领域开展工作产生的数据信息也越来越多，由于这些数据信息有较高的分析利用价值，如何高效管理这些数据信息也引起人们广泛的关注与讨论。依托现代信息技术对数据中心进行积极打造，可以更好地实现数据信息高效管理与开发利用，不过受到网络环境、业务操作等因素影响，数据中心信息安全问题频频发生。因此，各企业需要对这项工作给予高度重视，并紧密围绕数据中心存在的信息安全隐患，有效做好规范数据中心部署运维、搭建基于旁路监听的数据中心防御体系、明确数据共享使用流程审批、加强数据中心网络安全防护等工作，保证数据中心在安全的环境中运行，从而有效保障相应数据信息传输、共享和使用

安全。

主要参考文献

［1］李彦宾，孙松儿.云计算时代的信息安全防护方案设计研究［J］.信息网络安全，2011（10）：17-18.

［2］冯智圣.区域数据中心信息安全防护技术探讨［J］.华南金融电脑，2019（1）：7-10.

［3］佘春燕.大数据背景下计算机网络信息安全防护手段研究［J］.软件，2022（3）：65-67.

［4］本刊编辑.数据大集中后的信息安全防护建设［J］.计算机与网络，2013（10）：50-51.

［5］付旭阳，周敏，叶钧.高校数据中心信息安全建设［J］.电脑编程技巧与维护，2018（5）：154-155，163.

［6］杨威.大数据背景下信息中心网络信息安全防护措施［J］.现代信息科技，2019 （8）：152-153，157.