大型分布式管理信息系統的安全問題研究

摘 要：從計算機和網絡安全的角度出發，以構建大型分布式管理信息系統為背景，首先闡述系統的結構和安全需求；在此基礎上分析了系統可能面臨的安全風險；最后從技術和管理兩個方面提出了相關的安全策略。

關鍵詞： 系統安全； 分布式；管理信息系統； 網絡

中圖分類號：TP309文獻標志碼：A

文章編號：1001—3695(2007)03—0121—04

隨著計算機的普及和網絡技術的迅猛發展，越來越多的企業和單位將業務與計算機網絡技術結合起來，通過網絡平臺來工作。政府部門也不例外，政府的許多部門正在建立基于電子政務網絡的大型分布式業務系統。該系統投資巨大，涉及范圍遍及全國各地，規模龐大、結構非常復雜、數據存儲容量巨大。由于該系統所承擔的業務往往涉及國家機密和重大利益，對系統的安全性能要求非常高，對構建這種系統所可能面臨的威脅和風險進行研究有很重要的現實意義。

1 系統結構與安全需求

這種大型分布式系統的結構大致分為三層，如圖1所示。中央信息中心為第一層。該層是系統的核心部分，負責業務數據的處理、存儲和管理，所有數據均通過部門內部專用網絡傳送至中央信息中心進行處理和存儲。各個省級單位的信息中心組成系統的第二層。它負責將省內的業務數據集中起來并向中央信息中心傳遞數據，同時將返回的數據和結果送回原處；另外，第二層也可以對省內的數據進行暫時存儲和預處理，在某些區域可根據實際情況讓第二層信息中心完成對數據的處理工作。第三層是各個縣市的業務節點。這些節點數量眾多，分布在全國各個地方，負責業務數據的采集和與客戶進行溝通。以上三層的各個信息節點通過專用線路相連，構成了一個復雜的專用網絡。這個系統具有以下特點：①規模龐大，結構復雜。由于該系統節點遍布全國，節點數量眾多且投資巨大，規模非常龐大；又因為各個節點構成的專用網絡分為三層結構，各個層的結構各不相同，各個節點的結構也不盡相同，所以系統的結構非常復雜。②擁有海量數據，對業務數據處理非常復雜且性能要求高。由于該部門每年的業務數據量巨大且逐年遞增，信息中心必須能夠處理和存儲海量的數據；又由于業務數據處理流程本身非常復雜，而且對響應時間、差錯率、無故障率等性能指標要求嚴格，業務數據處理非常復雜且對性能要求高。③業務數據涉及國家安全和行業重大利益，對系統安全性能要求極高。該系統的應用部門是國家的重要部門，業務數據涉及國家機密信息，若泄密則會威脅國家安全和行業的重要利益，所以系統對于安全性能要求很高。④各個區域信息化程度差異很大，技術和設備兼容性問題突出。由于系統涉及范圍遍布全國各地，各個地方的信息化水平參差不齊，應用的技術和設備差別也很大，若要將已有技術和設備與新技術設備整合也將面臨兼容性問題。

圖1 大型分布式系統結構圖

從系統特點可知，系統對安全性能有很高的要求。具體來說包括以下幾點：①必須保證數據采集過程中的安全；②必須保證數據傳輸過程中的安全；③必須保證數據存儲的安全；④中央信息中心是整個系統的核心，對于其中的主機和數據庫以及網絡系統應采用最高級別的安全措施；⑤客戶單位的網絡系統安全應該由各個單位自己負責；⑥應通過防火墻將內部網絡與國際互聯網隔離開，通過嚴格的安全策略來防范外部攻擊，保證內網和專網的安全；⑦在沒有業務數據傳輸時，內部網絡與國際互聯網間應該采用物理隔離措施，保證絕對安全。

2 系統的安全威脅和風險分析

系統的不安全因素有很多，主要是由系統的脆弱性和人為因素決定的。系統可能存在的風險包括以下幾個方面：

（1）物理安全風險。

物理災難主要包括地震、火災、水災、戰爭、停電以及硬件損壞等。這些物理災難可能給系統造成的安全風險有：地震、水災、火災等環境事故造成整個系統毀滅；電源故障造成設備斷電，系統停止工作；硬件損壞會造成數據丟失，系統停止工作。

這些問題會導致系統的網絡鏈路無法連通、業務數據無法正常傳輸，更重要的問題是可能導致存儲系統的損壞，從而使業務歷史數據完全丟失，造成不可估量的損失。

（2）網絡結構風險。

從系統三層網絡結構的角度考慮，無論是對于三層中的任何一層來說還是對于層中的任何一個信息節點來說，系統都會面臨著如下安全威脅：①來自于公網互連的安全危脅。當系統內部網絡與Internet互連時，內部網絡就會面臨來自Internet的各種風險，包括非法入侵、病毒傳播等。②來自內部專用網絡的安全威脅。系統除了會面臨來自外部網絡的威脅以外，還將面臨來自內部專用網絡的更大威脅，如系統遭受來自內部人員編寫的攻擊程序的攻擊、系統網絡結構被內部人員泄密等。

（3）操作系統安全風險。

目前的操作系統無論是Windows還是其他任何商用UNIX操作系統均存在安全漏洞，這些安全漏洞都可能存在重大安全隱患。黑客可能會利用這些安全漏洞對網絡操作系統進行攻擊，也可能利用這些漏洞竊取重要數據和信息，從而給國家和部門帶來巨大的損失。但如果進行安全配置、填補安全漏洞、關閉一些不常用的服務、禁止開放一些不常用而又比較敏感的端口等，黑客要成功進入內部網就比較困難，這樣可以降低操作系統的安全風險。

（4）應用系統安全風險。

加載在系統平臺上運行的軟件，包括業務系統等，組成了應用系統。由于應用系統也可能存在某些已知或未知的安全漏洞，應用系統同樣存在安全風險。應用系統的安全風險有很多方面，主要包括如下幾個方面：①

文件服務器的安全風險。辦公網絡應用通常是共享網絡資源，所以在缺少完備的訪問控制策略的情況下，共享資源很有可能被外部人員輕易竊取或被內部人員泄露出去。②

數據庫服務器的安全風險。大型分布式網絡內通常配備有大規模的集群數據庫服務器，主要提供數據存儲服務。數據庫服務器的安全風險包括非授權用戶的訪問、通過口令猜測獲得系統管理員權限、數據庫服務器本身存在漏洞容易受到攻擊等。③

病毒侵害風險。對于任何系統來說，病毒的危害都是可能存在的，大型系統更不可以輕視病毒的危害。由于系統運行在部門內部網絡之上，且與公共網絡相連，網絡又是病毒傳播的主要途徑，系統網絡中一旦有一臺主機受病毒感染，則病毒就完全可能在極短的時間內傳播到網絡所有主機上，給系統造成難以估計的損失。

（5）數據信息的安全風險。

數據安全對任何用戶來說都非常重要，只要數據在網絡線路上傳輸，就很難保證在傳輸過程中不被非法竊取、竄改。

（6）管理安全風險。

它主要是由人為因素造成的，同樣能給系統帶來極大的安全威脅。它包括：系統安全管理制度不完善，對工作人員和其他用戶缺乏明確的行為約束規范；系統安全管理制度執行不力、管理工作混亂、用戶權限劃分不明、用戶分工界限不清；未落實責任負責制，造成工作人員責任劃分不明；工作人員安全意識不高。

管理安全風險是大型系統面臨的重大風險之一，管理也是保證大型系統安全的關鍵因素。

3 安全策略

信息系統的安全策略可以分為安全技術策略和安全管理策略。安全技術策略側重于闡述如何應用技術來保證系統的安全；而安全管理策略側重于闡述采取何種管理措施來保障系統安全。

3.1 系統的安全技術策略

（1）系統組網安全技術

大型信息系統是基于廣域網的信息平臺，要保證系統安全首先要保證組網安全。組網安全技術是指通過科學地設計配置網絡結構和設備來保證構建安全網絡的技術。大型信息系統的網絡環境是廣域網，在全國范圍內分布著上千個規模、大小不一的系統節點，它們之間通過專用通道進行連接構成了一個復雜的網絡。該網絡是一個分層樹狀結構，其安全組網的關鍵在于對每個系統節點進行網絡結構設計，每一層的系統節點配置類似，層與層之間的系統節點只是在規模和性能配置方面有所不同，其安全組網拓撲結構（圖2）大致相同。每個系統節點都有兩個端口，一個接入系統內部專用網絡與系統其他節點相連；另一個接入外網與客戶單位相連。在系統節點內部端口處設置防火墻將內部局域網與外部傳輸網絡隔離，并配置病毒防治系統對系統節點的進出數據進行病毒掃描。節點內部局域網大致分為業務系統、存儲系統和網絡安全控制系統三部分。網絡安全控制中心負責節點內所有安全事務的管理，其主要安全防護措施包括入侵檢測、漏洞掃描、病毒防治、訪問控制、主機保護以及實時監控等。

圖2 系統節點安全組網拓撲結構

（2）數據傳輸安全技術

①VPN技術。

VPN（Virtual Private Network）即虛擬專用網絡，它為用戶提供了一種通過公用網絡安全地對內部專用網絡進行遠程訪問的連接方式。與其他網絡不同的是，VPN連接使用隧道作為傳輸通道，而這個隧道是建立于公共網絡或專用網絡基礎之上的。目前廣泛使用的是基于IPSec的VPN技術，它側重于安全保密，融合了加密、認證、密鑰管理等密碼技術。使用VPN技術可以為系統節點之間的數據傳輸提供點到點的安全通道，能有效提高數據傳輸的安全性和穩定性。

②數據加密技術。

在系統中，為了防止非法用戶竊取機密信息和非授權用戶越權操作數據，可以對數據進行加密。常見的加密技術包括路由加密、鏈路加密、節點加密、端到端加密、電子函件加密等。其中加密算法是加密的核心，密碼算法可以看作是一個復雜的函數變換，Ｃ＝Ｆ（Ｍ，Ｋｅｙ）。其中，Ｃ代表密文，即加密后得到的字符序列；Ｍ代表明文，即待加密的字符序列；Ｋｅｙ表示密鑰，是秘密選定的一個字符序列。當加密完成后，可以將密文通過不安全渠道送給收信人，只有擁有解密密鑰的收信人才可以對密文進行解密并反變換得到明文。密鑰的傳遞必須通過安全渠道。目前流行的密碼算法主要有ＤＥＳ（數據加密標準）、ＲＳＡ（公鑰密碼體制）、ＩＤＥＡ（國際數據加密算法）和ＤＳＡ（數字簽名算法）等。對節點之間傳輸的數據進行加密能極大地增加非法用戶竊取機密數據的難度，從而有效地保證數據傳輸的安全。

（3）數據處理安全技術

①訪問控制。

它用于限制用戶對數據或網絡的訪問，能保證只有具有訪問權限的用戶才能訪問網絡或數據。訪問控制主要通過用戶名/口令體系來提供對訪問用戶身份的鑒別，以防止非法用戶對網絡的登錄或非授權用戶對數據的操作。用戶名/口令體系主要可以分布在四個層次上使用，分別是：開機口令，防止非法用戶訪問主機；網絡登錄口令，防止非法用戶對網絡的登錄；應用系統訪問口令，禁止應用系統操作人員以外的其他人員對應用系統的操作；數據訪問口令，用于保護私有或重要數據。

②權限控制。

系統用戶由于級別和崗位不同，能使用的系統功能和資源也是不同的，權限的劃分應有利于分層次對系統用戶進行授權管理，它限制用戶只能在授權范圍內對系統進行操作，是維護系統安全的基本方法和策略。在大型系統中，權限的設置可以按照用戶/角色/功能范圍模型來劃分。該模型首先將用戶按照自己的角色分成不同級別的組，如系統管理員、高級管理員、中級管理員和初級管理員等；然后在每一個角色組內對用戶按照功能范圍的不同進行劃分，如可以將某應用系統的管理員按照功能模塊的不同劃分為不同的管理員。在角色/功能范圍的劃分中，一個角色或功能范圍可以有多個子角色或子功能范圍。因此，大型系統的權限劃分可以按照業務管理的實際操作流程精確到每一個職位，這樣既易于管理，又可以嚴格控制每個用戶對系統的操作。

③防火墻技術。

防火墻是一組網絡設備和相應軟件的集合，用于加強對網絡間通信的監控和管理。防火墻既可以拒絕非法用戶對系統的訪問，又可以阻止未授權用戶訪問系統的敏感數據，同時允許合法用戶訪問網絡資源。在大型信息系統中，每個節點都部署有功能性能不同的防火墻，它們不僅可以快速高效地保障出入系統的數據安全，而且可以提供入侵檢測、反漏洞掃描、反網絡攻擊等安全保障功能，在必要時可以完全隔離內部網絡和外網。防火墻可以安裝在路由器上，也可以安裝在主機上；既可以使用硬件防火墻，也可以使用軟件防火墻。防火墻功能的設置完全依據各個節點對防火墻的功能需求及安全策略來確定。

④計算機病毒防治技術。

為了保證系統高效穩定地運行，系統必須加強對計算機病毒的防治。對于網絡環境下的大型系統，其病毒防治比較復雜。由于病毒容易通過網絡快速擴散到相連的其他終端，首先必須在每個節點內對病毒進行防治，防止病毒的擴散；然后必須采取整體防治策略，在發現病毒后馬上啟動防殺措施，并通知系統的中央病毒防治中心。由中心啟動備份防殺計劃并在整個系統內發布預警信息，中心應全程監控病毒的防殺過程。目前廣泛應用的計算機病毒防治技術分為三種：①特征碼掃描法，在病毒防治中心建立病毒代碼庫，掃描時將掃描對象與病毒代碼庫進行比較，如有吻合則判斷為染上病毒；②虛擬執行技術，該技術通過查殺病毒時在內存中建立虛擬執行環境，并將可能帶有病毒的文件在該環境下執行，在執行過程中從虛擬環境中截取文件數據，若含有可疑病毒代碼則對其進行殺毒，最后將文件還原；③文件實時監控技術，該技術通過利用操作系統底層接口技術，對系統中的所有類型文件或指定類型的文件進行實時行為監控；一旦有病毒傳染或發作就及時報警，從而實現了對病毒的實時、永久、自動監控。在大型信息系統的病毒防治中心可以綜合采用以上三種技術，并設置相應的防治策略以達到最優效果。

（4）數據存儲安全技術

①SAN 存儲區域網絡。

系統節點存儲方案采用SAN，即存儲區域網絡，其拓撲結構如圖3所示。它在存儲設備與服務器之間建立直接的高速網絡連接，通過這種連接來實現只受光纖線路長度限制的集中式存儲。存儲局域網主要由光纖通道交換機、本地磁盤陣列、備份磁帶庫及遠程容災磁盤陣列組成SAN系統。其高可擴容性能夠具有很高的存儲能力，為異種操作系統和磁盤系統提供支持，為異地容災備份提供無縫支持，并且可以將已有的投資與長期存儲解決方案結合起來，建立一個可擴展、易管理、能夠靈活適應不可預見的存儲需要的網絡存儲環境。因此，大型系統節點采用SAN存儲方案能夠滿足大型信息系統海量數據存儲、快速處理及災難備份的要求。

圖3 系統節點存儲區域網絡拓撲結構

②遠程雙線路備份。

如圖4所示，系統設置兩個中央級的網絡數據中心，兩個中央級的數據中心通過專線互為備份。下級網絡中心到中央網絡數據中心的連接采用雙線路備份方式，也就是說每個省級中心都有專線連接到兩個中央數據中心；縣市級中心到省中心的連接與上述連接類似。當業務數據從客戶端傳輸到系統內網時，離客戶端最近的系統節點負責過濾、檢查業務數據，然后接收數據并將數據通過專線傳輸到中央級數據中心。中央級數據中心對數據進行處理后反饋結果并將相關數據備份到另一個中央數據中心。遠程雙線路備份方案通過增加線路和硬件配置的冗余，極大增強了系統的穩定性和安全性，既能保證在單線路斷開的情況下通過備份線路傳輸數據，又能夠在單個數據中心發生災難的情況下保證系統的正常運行，同時還能使發生災難的數據中心迅速通過遠程備份快速還原數據，滿足了大型系統對網絡數據安全性能的極高要求。

圖4 系統雙線路備份網絡拓撲結構

3.2 系統的安全管理策略

（1）制定目標，明確安全責任。實現大型信息系統的安全管理首先需要制定統一的安全目標。在沒有統一安全目標的情況下，由于大型信息系統的管理涉及到數量眾多的組織和部門，而這些組織和部門的人員數量、受教育程度、工作方式、業務范圍和對象等又有所不同，對于安全的目標也有所不同。各組織、各部門各自為戰，從整體來看安全隱患多，不利于系統整體安全的實現。在制定好系統統一的安全目標后還需要明確安全責任。大型系統的安全責任首先需要分級、分區域、分部門地細化，然后將細化后的安全責任明確到個人，個人對安全責任區的系統安全活動完全負責。這樣，不僅每個人都明確自己的責任，還增強了個人的安全責任意識。

（2）制定規范的安全管理制度。實現大型信息系統的安全管理需要有規范的安全管理制度來作保證。安全管理制度的制定首先應該參照國家的有關法律法規和行業的相關制度，然后根據本部門的實際情況來制定。安全管理制度的制定吸取國際上先進信息系統安全管理經驗并與國內信息系統管理的實際情況結合起來。安全管理制度要求明確系統的安全工作目標、安全機構職責、安全人員權限、各組織部門應遵循的安全原則、安全管理工作運作方式以及所有工作人員的職責范圍等。

（3）引進風險分析和預測機制。風險是指系統遭受威脅的可能性。對整個系統的威脅根據其來自何處及性質和可能造成的后果進行分類，然后對其進行定性定量的分析，可以得出其風險性，從而推斷出系統所能承受的風險。綜合考慮系統風險及系統承受風險所付出的代價，可以選取對抗威脅、降低風險的最優措施。預測可以發現潛在的系統風險，從而采取預防措施防止系統風險給系統造成重大損失。對于大型信息系統，由于其涉及范圍廣、技術復雜、管理困難，其存在的系統安全風險很多，引入風險分析和預測機制可以有效地控制系統風險對系統的威脅。

（4）引進故障實時監控和反饋機制。故障實時監控是指通過監控網絡對系統各部分工作狀態進行實時監控。故障實時監控可以在第一時間發現系統故障并予以排除，從而將故障給系統造成的損失降到最低；將故障預警和處理信息反饋給系統的安全管理中心，安全管理中心將其存檔或群發至系統的各個節點，有利于系統對類似問題的預防和處理，從而從整體上降低故障給系統造成的損失。對于大型信息系統而言，其本身是一個廣域網絡，利用實時監控和反饋機制可以有效地提高系統安全管理效率，降低系統安全風險。

（5）制定故障應急措施和災難應對計劃。故障應急措施和災難應對計劃可以在故障和災難發生時以最短的時間提出最優的解決措施，可以有效控制故障和災難給系統帶來的影響，從而最大程度地降低故障和災難給系統造成的損失。故障和災難應急計劃應該建立在風險分析的基礎上，其內容包括緊急解決方案、資源備份方案、備份解決方案、系統恢復和重建方案等。

（6）制定安全人員培訓和安全知識宣傳計劃。由于大型系統的安全管理需要大量經驗豐富的安全管理人員，大型系統安全管理的復雜性不僅體現在其技術的復雜性上，更體現在對安全管理人員的管理上。制定安全人員培訓計劃可以保證大量安全管理人員在同一個安全管理標準下工作；而安全知識宣傳計劃不僅可以有效促進安全管理人員知識的更新，還可以增強全體員工的安全意識。

4 結束語

本文以構建應用于電子政務的大型分布式信息系統為背景，在分析了大型信息系統可能存在的安全風險的基礎上提出了相應的技術策略和管理策略，其中大部分策略已被應用于某政府部門大型信息系統的建設中。最后需要指出的是大型信息系統不僅是一個高技術的系統，也是一個全社會的系統。大型系統安全策略的制定是一項復雜的工程，在建設前進行縝密的安全規劃和研究能有效降低系統的安全風險，而且在安全方案的實施過程中必須始終將技術手段和管理手段結合起來應用，以達到最優效果。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。