APP下载

数据中心建设背景下信息安全防护建设研究

2023-08-25寇磊杨涛刘沛洋

中国管理信息化 2023年12期

寇磊 杨涛 刘沛洋

[摘 要]数据中心建设是信息化发展中的重点内容,可以妥善解决“信息孤岛”、数据开发利用低等问题。

然而,受制于数据中心对开放互联网依赖的影响,建设单位对其信息安全防护工作也提出了更高的要求。文章圍绕数据中心存在的信息安全隐患,从规范数据中心部署运维、强化数据中心相关数据的加密传输、加强数据中心运维审计、强化数据共享使用管理、重视数据中心网络安全防护工作等方面入手,提出几点有效的信息安全防护建设策略,以供参考。

[关键词]数据中心建设;信息安全隐患;信息安全防护建设;加密传输

doi:10.3969/j.issn.1673 - 0194.2023.12.027

[中图分类号]TP393[文献标识码]A[文章编号]1673-0194(2023)12-0084-03

0     引 言

在信息技术不断发展的背景下,各行业开展业务工作产生的数据信息也日渐增多,通过构建统一数据中心,能够实现对这些数据信息的有效管理和高效利用,同时也能将数据安全风险集中到数据中心,可一旦数据采集、整合传输等环节出现信息泄露、窜改等情况,将无法保障数据安全性,会对相关行业发展造成较大的经济损失。因此,需要对数据中心较常出现的信息安全问题进行仔细分析,并立足实际采用有效措施建立健全的信息安全防护体系,确保数据中心在安全的环境中运行[1]。

1     数据中心存在的信息安全隐患

互联网时代,大数据信息得到了广泛应用,数据范围也在逐步扩大。大数据在改变人们生产生活方式的同时,也潜藏着各种信息安全隐患。人们在应用大数据的同时,也应该充分认识到计算机网络具有开放性,尤其是各行业数据中心在运营中要时刻注意,做好信息安全防护。以下简单分析数据中心运行潜在的信息安全隐患。第一,账号密码管理不严。在对数据中心的业务系统进行安装部署时,应用程序编程接口(Application Programming Interface,API)、统一资源定位系统(uniform resource locator,URL)链接等处于开放状态,容易因高危后缀名而存在被截取盗听的风险。与此同时,构建系统默认开放账号的浏览功能,没有在系统运行以后对冗余的账号进行修改处理,这也为系统安全运行埋下诸多隐患。第二,访问权限控制度不够。在完成数据中心建设以后,没有对其运行实施定期监管,再加上系统多采用模块化的权限管理方式,开放的数据访问接口不能按照部署进行权限下放,更别说与主机端口进行互联网协议地址(Internet Protocol Address、IP)、局域网地址绑定,这种粗放式的管理也会使数据中心数据面临被泄露、破坏等风险。第三,运维审计较为欠缺。在对数据中心开展日常运维工作时,通常会直接进行一些命名操作,如更新数据、替换重复表格等,实际作业一旦出现误删的操作情况,重新恢复这些数据就会变得更加困难,且考虑到系统日志量非常大,想要通过日志管理明确这一问题出现的真正原因难度也较高[2]。第四,数据存储传输未加密。数据中心存在的数据大多具有体积较大、结构复杂、格式较多等特点,特别是对一些图件信息,在进行存储传输时为了增强数据的可读性,往往会直接使用明文进行存储,然后通过数据中心和终端用户进行数据交换,整个过程也极容易发生数据泄露、丢失等安全问题。第五,数据共享流程不规范。数据共享方式有很多,常见的有系统之间的数据同步、终端用户数据文件应用等,实际共享过程中若出现操作不规范的情况,如数据使用未经过审批流程,就直接进行数据接口配置,整个过程也极容易发生数据泄露情况[3]。

2     数据中心建设背景下信息安全防护建设

大数据时代,网络恶意攻击形式多种多样,如果企业数据中心遭到攻击,不仅会损坏计算机的防护功能,对计算机平台中存储的重要数据信息也会造成不可逆的损害,还会影响企业的正常运营。因而,为了保障企业的正常发展,其要结合自身数据信息使用情况,对企业信息安全做好统筹与防护工作,避免计算机网络受到外来攻击。

2.1   规范数据中心部署运维

对数据中心信息安全防护体系进行构建,要高度重视数据中心的部署运维工作,通过推进数据中心部署运维规范化,促进数据中心实现稳定可靠运行,防止发生相应数据安全问题。具体举措包括以下几点。首先,把握软硬件设施。要对构建数据中心的软硬件设施进行全面了解,定期更新、维护数据中心的服务器部署清单,在确保服务器相应信息真实准确的基础上,对没有用的系统进行有效清理,对于终端与数据中心的交互访问也要进行权限限制,通过使用最小化的权限管理,最大限度保证数据中心能够在相对安全的环境中运行。其次,系统管理账号加密。在对数据中心进行部署时,要及时删除产生的测试账号,对系统中出现的已经停用或长期不使用的用户进行定期排查,对于数据库用户、终端账号、系统用户等的密码,可以考虑使用复杂程度更高的口令,这在一定程度上也能提升信息安全等级[4]。再次,规范运维过程。针对数据中心的应用服务端和数据服务端,最好能够分开部署,在完成联机业务系统构建以后,搭建安全防护设备,对涉及的其他应用也要进行网络隔离,在对数据进行下载时还可以配置专用终端和绑定移动存储介质接入,从而有效保证数据传输过程安全。最后,加强用户管理。在应用系统、数据查询等环节,由于接入网络以后会面临诸多安全风险,所以要对系统用户实施严格管理,使之切实履行数据保密责任和留存个人操作日志,以便及时发现并解决可能出现的安全问题。

2.2   强化数据中心相关数据的加密传输

数据中心包含大量的重要、敏感信息,会将不同类型的数据分开存储在不同类型的数据库系统中。为切实保障这些数据信息的安全性和完整性,需要对数据库采用部署加密系统措施,实现对数据库存储信息的加密存储与管理,对于一些重要信息甚至要采用独立权限管控系统进行管理。相应举措主要包括以下两个方面。一方面,部署数据库静态脱敏工具。针对数据中心需要进行API调用的应用环境,可以对API接口部署数据库静态脱敏工具,增强数据脱敏能力,实际操作中可以采用混淆、多次重组等方式,对脱敏后可以运用的数据进行自动生成,并将其运用到数据二次开发和API应用当中,从而保证整个过程中真实的数据信息不容易被泄露[5]。另一方面,在可视化分析系统中采用动态脱敏工具。针对数据中心开发的子系统,如可视化分析系统,可以将动态脱敏工具运用其中,在防止未授权第三方访问的同时,也能够避免数据遭受恶意破坏,甚至还可以按照数据中心的数据敏感度、应用范围等要求进行加密,在数据采集环节对相关信息实施脱敏操作,从而避免重要数据信息被非法访问和

使用。

2.3   重视对数据中心的运维审计

以往发生数据库安全事故以后,往往很难进行追溯与审计。随着信息技术的不断发展,数据库安全审计成为保障信息安全的重要防御手段,通过深化落实好数据中心的运维审计工作,则可以进一步提高数据中心信息安全保障水平。第一,搭建基于旁路监听的数据中心防御体系。将注意力放在数据采集、数据解析和审计分析上,在数据采集环节可以采用旁路监听的方式,将数据采集引擎接入中心的核心交换机,借助端口镜像管理模式实现对数据库所有动作的监测,然后严格遵照签订的操作协议进行还原整理,将相关内容有效发送到数据解析中心。在数据解析环节则可以根据预设的数据解析与事件关联的规则,对数据库操作数据进行有效接收和操作关联解析,得到的结果也要及时发送到数据分析中心,帮助数据库管理者对数据库审计规则进行科学设置,若接收到的解析结果符合设置审计规则,通过数据分析中心也能及时进行报警与处理。第二,搭建基于旁路监听的数据库安全审计方法。有效建立基于旁路监听的数据库安全审计方法以后,实际开展审计工作时既不需要占用数据库服务器性能,也不需要改变原本数据中心的网络拓扑结构,消耗的网络性能资源仅限于端口镜像,可以通过访问结构化查询语言数据库(Structured Query Language,SQL)的语句级别对数据庫的字段级别进行查看与防控,最终审计结果也会集中体现在一个管理平台上,这样有利于从根源上防控与解决数据窃取、窜改等问题,明显提升数据中心的网络信息安全管理水平与质量。

2.4   强化数据共享使用管理

企业在数据共享使用过程中,容易受到网络、操作等因素影响而出现各类安全隐患,这时候要加强信息安全防护,就必须强化数据共享使用管理,确保信息安全。首先,仔细梳理数据流向,在制定数据共享使用管理办法之前,可以对数据中心的数据流向进行全面细致的了解,然后遵循谁使用、谁负责原则对数据责任部门进行确定,避免数据使用出现不规范、责任不明确等情况。其次,明确流程审批工作,对于使用数据的部门而言,要严格按照规定的流程提出数据使用申请,并在获得数据使用权以后按照规定合理使用共享信息,操作中对于没有经过审批出现的数据共享使用情况,也要作出严厉的惩处,以防止类似情况在以后工作中再次发生,同时,数据共享使用审批流程也会更加健全完善,有利于使用部门及人员严格按照流程规范进行标准化操作[6]。再次,定期开展安全培训。要紧密围绕数据使用审批制度、数据保密制度等内容,定期组织开展安全教育培训活动,让相关部门及人员参与其中,在不断提升其数据安全意识的同时,严格遵照规范要求对数据中心的数据进行开发、共享和使用,使数据中心的数据价值和作用得到充分

发挥。

2.5   开展网络安全防护工作

数据中心建设背景下,要加强信息安全防护工作,就必须高度重视网络安全管理,这主要是因为数据中心的有效运行离不开网络环境的支持。例如,数据中心开展数据查询、通道传输等环节工作时容易受到网络因素影响,使得数据丢失、窜改等发生概率提高。具体防范举措包括以下几点。第一,加强网络安全设计。在内联网中若信息传输采用的是共用信道,使用的TCP/IP协议具有开放性的特点,这时候容易出现数据被假冒、窃取等情况;对于外联网而言,若数据中心业务系统数据源头主要来源于各网点,那么内联网与外部进行连接主要通过数字数据网络(Digital Data Network,DDN)、公共交换电话网络(Public Switched Telephone Network,PSTN)等实现。

要避免运行安全受到外部网络环境攻击,就应在链路层和网络层采用一定的安全措施,保证数据传输的安全性。第二,安装入侵检测系统。由于入侵检测系统(intrusion detection system,IDS)或入侵防御系统(Intrusion Prevention System,IPS)通常会部署在不同安全级别的网络边界,所以,在建设数据中心时也可以对专门的入侵检测系统进行安装和使用,通过对网络运行状态进行实时监控,对发生的网络异常事件进行捕捉,在确定系统遭受到网络攻击以后,围绕具体问题快速堵塞相应漏洞,甚至对于网络发出的内外部攻击,数据中心也能及时作出响应,自动切断攻击方的连接,有效维护数据中心运行安全性和稳定性。第三,积极采用虚拟专用网(Virtual Private Network,VPN)。在数据对外传输时,要保证网络上所有传输重要数据的安全性,就需要有效利用VPN技术对重要的数据实施加密处理,还可以将身份认证技术融入其中,确保加密后数据的私密性和安全性。第四,加强数据中心主机安全防护。考虑到数据中心的主机多处在内联网中,开展信息安全防护工作可以通过安装防病毒、恶意攻击等软件,实现对信息资源和网络设备的有效保护,同时对数据中心主机的业务系统、操作系统和安全防护系统的日志进行分析,如通过分析失败登录次数、文件错误分析、跟踪业务系统状态等信息,对存在的各类故障问题进行及时有效的解决,从而明显提高数据中心运行安全性,有力保证相应数据的信息安全。

3     结束语

随着社会经济和科学技术的不断发展,社会各领域开展工作产生的数据信息也越来越多,由于这些数据信息有较高的分析利用价值,如何高效管理这些数据信息也引起人们广泛的关注与讨论。依托现代信息技术对数据中心进行积极打造,可以更好地实现数据信息高效管理与开发利用,不过受到网络环境、业务操作等因素影响,数据中心信息安全问题频频发生。因此,各企业需要对这项工作给予高度重视,并紧密围绕数据中心存在的信息安全隐患,有效做好规范数据中心部署运维、搭建基于旁路监听的数据中心防御体系、明确数据共享使用流程审批、加强数据中心网络安全防护等工作,保证数据中心在安全的环境中运行,从而有效保障相应数据信息传输、共享和使用

安全。

主要参考文献

[1]李彦宾,孙松儿.云计算时代的信息安全防护方案设计研究[J].信息网络安全,2011(10):17-18.

[2]冯智圣.区域数据中心信息安全防护技术探讨[J].华南金融电脑,2019(1):7-10.

[3]佘春燕.大数据背景下计算机网络信息安全防护手段研究[J].软件,2022(3):65-67.

[4]本刊编辑.数据大集中后的信息安全防护建设[J].计算机与网络,2013(10):50-51.

[5]付旭阳,周敏,叶钧.高校数据中心信息安全建设[J].电脑编程技巧与维护,2018(5):154-155,163.

[6]杨威.大数据背景下信息中心网络信息安全防护措施[J].现代信息科技,2019 (8):152-153,157.