對外匯數據倉庫安全問題及措施的思考

【摘要】數據倉庫在當前外匯管理工作中發揮著不可或缺的作用，其安全問題也是管理部門不能回避的課題。本文僅以外匯信息數據為例，簡要介紹外匯數據倉庫所面臨的威脅，并將當前外匯數據倉庫相關安全防護措施加以匯總分析，對提升外匯業務數據安全具有現實意義。

【關鍵詞】外匯數據倉庫 安全威脅 安全措施

數據倉庫是一個面向主題的、穩定的、集成的大容量并且隨時間變化的數據集合，是為用戶提供決策制定過程，出于分析監測和決策支持目的而創建。隨著當前事中事后非現場監管方式已逐漸成為外匯管理主要監督模式，外匯數據倉庫在充分挖掘外匯業務違規線索、提高監管效率和分析能力等方面起著日益重要的作用。與此同時，數據倉庫的安全問題也因其重要性受到越來越多的關注。本文僅以外匯業務為例，簡析如何保障數據倉庫安全性和可用性，以及相關防范措施。

一、外匯數據倉庫面臨的安全威脅

數據的存儲與處理具有高度的密集性使得數據倉庫系統自身具有一定的脆弱性，外匯數據倉庫同時受到外部因素和內部因素雙重安全威脅。外匯數據倉庫安全性首先需要關注兩個方面的問題：一是數據可用性問題，即對信息系統硬件設備、環境的物理破壞或者對計算機軟件、信息數據本身的破壞，造成信息數據不可用或不可訪問。二是外匯數據倉庫訪問權限的控制問題。數據訪問權限方面，在數據倉庫管理模式下給一些用戶分配必要權限的同時屏蔽用戶對數據倉庫中其他數據的訪問。外匯管理局經過近些年信息化建設與發展，已經基本形成了以外匯局應用服務平臺為門戶，實行權限統一管理、單點登錄的數據大集中管理格局，其中數據的大集中概念不僅僅是把全國各外匯局分局數據集中在外匯局總局統一采集、存儲和訪問，同時也將各個業務條線系統的數據抽取至一個數據倉庫，為監管部門開展非現場監測分析提供數據基礎。數據倉庫包含全部重要數據，特別是敏感的個人數據，相對于其他業務數據而言，這些數據除了面對被破壞和丟失的風險，還會受到被非法訪問或泄露的威脅。所以對外匯數據倉庫權限訪問控制也是需要重點考慮的問題。

二、保障外匯數據倉庫安全的主要措施

（一）確保服務器端的高安全性和可用性

1.數據備份措施。對數據倉庫系統進行備份是有效防止數據倉庫因發生意外事故而導致數據流失或系統癱瘓的方法。數據倉庫系統的備份包括硬件備份和軟件備份。硬件備份的優點就是能夠快速的執行備份與恢復操作，在實際工作中執行大型數據集合的備份和恢復是很費時的，因此在設計一個大型數據倉庫系統備份機制，應當首選能夠快速恢復的硬件備份方式。在對硬件進行備份時，通常采用雙機熱備份的方式，即系統需要配置兩臺相同的服務器，其中一臺為主服務器，而另一臺為備份服務器，當在運行硬件設備失效時，可以迅速切換到備份設備。另一種可以有效預防大規模自然災害的硬件備份方式是建立數據備份中心，將整個系統在同一城市或異地城市建立相同的數據中心，并充分考慮實際業務需要和運維成本兩個因素，確定合適的數據同步頻率。當服務器端遭到災難性的破壞時，可以立即啟用備份數據中心，替代原來的數據中心。軟件備份按照備份級別可分為數據級備份和應用級備份。數據級別備份關注點在于數據，即災難發生后可以確保數據倉庫原有的數據不會丟失或遭到破壞。該備份方式較為基礎，僅需磁帶庫和管理軟件就能實現最基本數據備份；應用級備份是在數據級備份的基礎上，再把執行應用處理能力復制一份，構建一套應用系統。應用級備份能提供不間斷的業務服務，讓業務系統的服務請求能夠透明地繼續運行，從而保證信息系統提供的服務完整、可靠、安全。

2.服務器端身份驗證。當用戶在登錄服務器之前，首先就應對其合法性進行檢查，即對用戶的進行身份進行驗證。有多種形式可以對用戶的身份驗證進行驗證，而其中最常見、也是最方便快捷的方式就是設置服務器登錄口令；此外也可以通過對服務器進行遠程登錄驗證的設置。用戶只有通過服務器的驗證，才能成為計算機網絡中的合法用戶，進而才能進入到系統中并開始操作，如果沒有通過驗證，將會拒絕其使用該數據倉庫系統資源。

（二）構建安全健壯的外匯信息網絡

為了防止信息在傳輸過程中被竊取或泄露，可采取以下三種方式：一是采取加密方式對信息進行保護；二是將內部業務網絡和外部互聯網采用物理隔離方式，安裝經安全認證的網絡防火墻設備，建立網絡安全邊界。其中必須在互聯網端開放的業務系統，則可以采用網閘方式進行隔離，確保內網安全；三是對關鍵網絡節點和設備采用雙線熱備方式，確保網絡通信暢通。

（三）設計靈活周密的外匯局信息系統權限訪問機制

外匯業務數據不僅需要進行加密和備份，也更需要嚴格的審核和超細粒度的訪問控制機制。外匯局信息系統保護措施也主要體現在數據訪問權限控制設計機制方面：為了保護各種不同業務項下的明細數據，系統需要設計兩級用戶角色，將信息系統功能模塊的分配和被訪問的數據類別分配分開，由系統管理員角色來分配系統各功能權限，例如匯總查詢、明細查詢或者報表分析等功能，以達到控制用戶是否能訪問明細數據還是匯總數據。然后再由數據管理員角色分配不同業務數據的訪問權限，例如國際收支申報數據或個人結售匯數據等，該數據權限機制可以精準的分配不同業務數據類型和不同層次的數據訪問權限。

（四）加強內部管理，健全外匯信息系統安全管理制度

加強對外匯信息系統的安全管理是保障數據倉庫安全運行的重要前提，對內部要加強防范意識，強化內部管理。首先數據倉庫涉及到的運行、管理、維護和監督等方面，每個環節都必須建立健全各項制度，規范網絡信息發布制度，并且依據安全管理制度的目標和要求制訂安全審計的內容、方法進行監督；其次是明確各管理部門的職責和罰則，對于確因違規操作而造成數據倉庫系統安全事件的，可根據后果影響提出明確的懲罰措施。最后是統一管理客戶端機器，對于可訪問到外匯局應用服務平臺的客戶端，應統一安裝正版殺毒軟件并及時更新病毒庫，定期下載操作系統補丁，杜絕一切安全隱患。

三、結語

基于數據倉庫技術的信息管理系統在外匯管理工作中的已不可或缺，隨著該項技術在外匯管理工作中廣泛深入的應用，關于數據倉庫安全問題的探討將變得越來越有必要。未來工作中我們將加強對數據庫中的實體安全、軟件安全、數據安全以及運行安全的研究，制定出更加科學的數據倉庫安全防護措施，為外匯管理工作的高效開展提供堅實的保障。

參考文獻

[1]于鵑.數據倉庫與大數據融合的探討[C].2014電力行業信息化年會論文集，2014.

[2]孫滔.淺析數據倉庫安全問題及措施[J].電子技術與軟件工程，2014.

[3]賴小平.淺論數據倉庫技術[J].網絡與信息，2009.

作者簡介：李興勇（1982-），男，安徽六安人，就職于人行銀行合肥中心支行，中級工程師。