水利數(shù)據(jù)中心安全保障體系研究

摘要：隨著“互聯(lián)網(wǎng)+”時(shí)代的到來(lái)，大數(shù)據(jù)、云計(jì)算等IT技術(shù)發(fā)展迅速，應(yīng)用日益廣泛。水利行業(yè)數(shù)據(jù)中心建設(shè)快速發(fā)展的同時(shí)，數(shù)據(jù)安全及保護(hù)問(wèn)題越發(fā)凸顯。探討水利行業(yè)數(shù)據(jù)中心安全保障體系建設(shè)，提出數(shù)據(jù)中心安全策略。

關(guān)鍵詞：數(shù)據(jù)中心；云計(jì)算；安全保障；等級(jí)保護(hù)；IPS

DOIDOI：10.11907/rjdk.171736

中圖分類號(hào)：TP309.2

文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-7800（2017）006-0174-02

0 引言

“互聯(lián)網(wǎng)+”時(shí)代的到來(lái)深刻影響著每個(gè)行業(yè)，給水利行業(yè)帶來(lái)了信息化變革。隨著移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等一系列新興IT技術(shù)的發(fā)展，水利行業(yè)將迎來(lái)全面升級(jí)的“2.0時(shí)代”[1-3]。水利數(shù)據(jù)中心建設(shè)是水利信息化發(fā)展的重要環(huán)節(jié)，是推動(dòng)水利信息化從“1.0時(shí)代”向“2.0時(shí)代”邁進(jìn)的堅(jiān)實(shí)一步。目前，水利信息化已滲透到水利工作每一個(gè)環(huán)節(jié)，成為整個(gè)水利工作的神經(jīng)系統(tǒng)，網(wǎng)絡(luò)和應(yīng)用系統(tǒng)能否穩(wěn)定和安全運(yùn)行，將直接影響到防汛抗災(zāi)、水資源管理、水環(huán)境、水生態(tài)保護(hù)等各項(xiàng)工作的開展。隨著數(shù)據(jù)中心建設(shè)及運(yùn)行，數(shù)據(jù)安全及保護(hù)的重要性日益凸顯[4]。加強(qiáng)數(shù)據(jù)中心安全保障體系建設(shè)尤為重要。信息安全等級(jí)保護(hù)為數(shù)據(jù)中心安全保障體系建設(shè)提供了理論支撐[5]。

1 信息安全等級(jí)保護(hù)及數(shù)據(jù)中心安全

按照相關(guān)定義，信息系統(tǒng)安全等級(jí)保護(hù)工作主要分為定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查等環(huán)節(jié)[6]。按照國(guó)家《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》和水利部《水利網(wǎng)絡(luò)與信息安全體系建設(shè)基本技術(shù)要求》，結(jié)合水利信息化的現(xiàn)狀，本文水利數(shù)據(jù)中心的安全等級(jí)為第三級(jí)。

本文提出數(shù)據(jù)中心安全策略由“三個(gè)體系”、“一個(gè)中心”、“三重防護(hù)”構(gòu)成，簡(jiǎn)稱“313工程”，如圖1所示。

三個(gè)體系：信息安全管理體系、信息安全技術(shù)體系和信息安全運(yùn)維體系。三大體系構(gòu)成了信息安全保護(hù)框架的核心內(nèi)容。

一個(gè)中心：信息安全管理中心是信息安全保障框架的核心，是三大體系的執(zhí)行點(diǎn)與校驗(yàn)點(diǎn)。信息安全中心包括系統(tǒng)管理、安全管理和審計(jì)管理。

三重防護(hù)：通過(guò)三層結(jié)構(gòu)實(shí)現(xiàn)信息安全保護(hù)，物理、制度、人員是信息安全保護(hù)的基礎(chǔ)，分別對(duì)應(yīng)著物理安全、制度安全和人員管理安全。

按照分區(qū)分域建設(shè)原則，水利數(shù)據(jù)中心等級(jí)保護(hù)安全建設(shè)的體系結(jié)構(gòu)和邏輯組成如圖2所示。

2 信息安全管理體系建設(shè)

（1）組織機(jī)構(gòu)建設(shè)。建立計(jì)劃、財(cái)務(wù)、建設(shè)管理部門會(huì)同信息安全主管部門定期協(xié)調(diào)和溝通制度，確保信息安全項(xiàng)目立項(xiàng)，項(xiàng)目建設(shè)資金有保障，建設(shè)管理規(guī)范，同時(shí)加強(qiáng)對(duì)信息安全投入的統(tǒng)籌管理。加強(qiáng)各級(jí)水利信息化工程或系統(tǒng)之間的銜接和協(xié)調(diào)。強(qiáng)化安全管理部門的職能，定期召開信息安全工作領(lǐng)導(dǎo)小組會(huì)議，確定年度重點(diǎn)信息安全項(xiàng)目，共同推動(dòng)信息安全工作的組織實(shí)施。建立一把手抓信息安全工作的組織體制，充分調(diào)動(dòng)各部門、各單位積極性和主動(dòng)性，相互配合。

（2）人員安全建設(shè)。充分利用各種途徑和方式，建設(shè)全方位、多層次、高素質(zhì)的信息安全人才隊(duì)伍。統(tǒng)籌制定水利信息化安全人才需求分析與人才隊(duì)伍建設(shè)計(jì)劃。以崗位培訓(xùn)和繼續(xù)教育為重點(diǎn)，提高信息化安全工作思想意識(shí)，知識(shí)結(jié)構(gòu)和組織能力，提高各級(jí)信息安全技術(shù)人員的理論水平和實(shí)踐操作能力；采用引進(jìn)與培養(yǎng)相結(jié)合的方式，培養(yǎng)一批精通水利知識(shí)和信息安全的復(fù)合型人才；建立有利于吸引人才、留住人才的激勵(lì)機(jī)制和用人機(jī)制，逐漸建成一支素質(zhì)高、技術(shù)好、業(yè)務(wù)強(qiáng)與水利信息化需求和信息安全建設(shè)相適應(yīng)的技術(shù)隊(duì)伍[7]。

（3）制度標(biāo)準(zhǔn)建設(shè)。標(biāo)準(zhǔn)化是實(shí)現(xiàn)信息安全的基本要求，信息安全體系建設(shè)與管理需要統(tǒng)一的制度標(biāo)準(zhǔn)。為此，需建立健全標(biāo)準(zhǔn)規(guī)范體系，構(gòu)建一個(gè)科學(xué)、系統(tǒng)、先進(jìn)和開放的水利信息安全標(biāo)準(zhǔn)體系框架。目前，在信息采集、匯集、交換、存儲(chǔ)、處理和服務(wù)等環(huán)節(jié)已有技術(shù)標(biāo)準(zhǔn)。對(duì)缺乏相關(guān)標(biāo)準(zhǔn)或標(biāo)準(zhǔn)不能完全滿足信息安全的環(huán)節(jié)，需要根據(jù)信息安全建設(shè)具體情況，參照國(guó)際、國(guó)內(nèi)標(biāo)準(zhǔn)，制定相應(yīng)的信息化的標(biāo)準(zhǔn)體系，建設(shè)相關(guān)標(biāo)準(zhǔn)，逐步實(shí)現(xiàn)信息安全建設(shè)的標(biāo)準(zhǔn)化。

3 信息安全技術(shù)體系建設(shè)

3.1 物理層建設(shè)

物理層是信息安全技術(shù)體系的基礎(chǔ)，一般指機(jī)房及配套設(shè)施的建設(shè)，具體包括：機(jī)房裝飾、供配電系統(tǒng)安裝、空調(diào)新風(fēng)系統(tǒng)安裝、消防報(bào)警系統(tǒng)安裝、防雷接地系統(tǒng)安裝、安防系統(tǒng)安裝及機(jī)房動(dòng)力環(huán)境監(jiān)控系統(tǒng)安裝[8]。

3.2 網(wǎng)絡(luò)層建設(shè)

網(wǎng)絡(luò)層建設(shè)是基于物理層建設(shè)，網(wǎng)絡(luò)安全設(shè)備主要包括網(wǎng)絡(luò)防火墻、IPS（入侵檢測(cè)防御）、網(wǎng)絡(luò)安全審計(jì)等。

（1）網(wǎng)絡(luò)防火墻。防火墻是關(guān)鍵的安全保障設(shè)備之一，其原理是通過(guò)過(guò)濾存在隱患及不安全信息的數(shù)據(jù)包，達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的，其典型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示。

通過(guò)制定網(wǎng)絡(luò)協(xié)議，達(dá)到控制數(shù)據(jù)流的作用。防火墻能夠禁止不安全的NFS協(xié)議，阻止外部攻擊者利用脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻是一個(gè)重要的內(nèi)外網(wǎng)隔離設(shè)備，通過(guò)設(shè)置網(wǎng)絡(luò)內(nèi)外隔離，達(dá)到限制外部網(wǎng)段對(duì)內(nèi)網(wǎng)中敏感網(wǎng)段的訪問(wèn)。防火墻是隱私保護(hù)的重要設(shè)備，隨著信息社會(huì)的不斷發(fā)展，現(xiàn)階段隱私保護(hù)越來(lái)越被重視，防火墻可以通過(guò)對(duì)敏感網(wǎng)段的屏蔽，對(duì)敏感信息進(jìn)行簡(jiǎn)單的加噪聲來(lái)保護(hù)隱私不被泄露。

（2）IPS：是Intrusion Prevention System的簡(jiǎn)稱，即入侵預(yù)防系統(tǒng)，是防火墻的重要補(bǔ)充和輔助系統(tǒng)。隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)內(nèi)部和外部的威脅越來(lái)越多，目前流行的有DoS（Denial of Service 拒絕服務(wù)）、DDoS（Distributed DoS 分布式拒絕服務(wù)）、暴力猜解（Brut-Force-Attack）、端口掃描（Portscan）等。入侵預(yù)防系統(tǒng)也是一種主動(dòng)入侵檢測(cè)設(shè)備，可以查找其備案的具有潛在攻擊的數(shù)據(jù)包，并將其過(guò)濾。

（3）網(wǎng)絡(luò)安全審計(jì)：網(wǎng)絡(luò)安全審計(jì)是一個(gè)發(fā)現(xiàn)網(wǎng)絡(luò)及系統(tǒng)漏洞入侵行為的過(guò)程。制定安全策略，利用記錄和數(shù)據(jù)挖掘等功能找到可疑數(shù)據(jù)IP及訪問(wèn)行為；最后生成報(bào)表供網(wǎng)絡(luò)管理員查看。網(wǎng)絡(luò)管理員對(duì)可疑的數(shù)據(jù)、IP、網(wǎng)絡(luò)行為進(jìn)行屏蔽。

3.3 數(shù)據(jù)資源安全建設(shè)

數(shù)據(jù)安全涉及數(shù)據(jù)采集、傳輸、存儲(chǔ)、發(fā)布分發(fā)和備份過(guò)程，主要指數(shù)據(jù)的機(jī)密性、完整性和可用性。數(shù)據(jù)的機(jī)密性主要依靠加密算法來(lái)保證，數(shù)據(jù)的完整性主要利用數(shù)據(jù)備份和還原措施來(lái)保證，數(shù)據(jù)的可用性主要利用數(shù)據(jù)校驗(yàn)來(lái)保證。

3.4 應(yīng)用程序安全建設(shè)

應(yīng)用程序的安全措施主要是在程序系統(tǒng)中實(shí)行統(tǒng)一的權(quán)限管理，建立CA證書系統(tǒng)，建立統(tǒng)一的門戶，避免多點(diǎn)登錄情況。使得權(quán)限管理在一個(gè)統(tǒng)一的安全框架下，對(duì)系統(tǒng)內(nèi)部權(quán)限按崗分配。同時(shí)開發(fā)安全的應(yīng)用程序，對(duì)程序的代碼進(jìn)行審計(jì)，查找安全漏洞，保障網(wǎng)絡(luò)安全。

4 信息安全運(yùn)維體系

（1）機(jī)房管理制度。明確操作人員的各項(xiàng)操作，制訂管理人員出入規(guī)定，制訂防止計(jì)算機(jī)病毒感染和傳播的相應(yīng)制度，建立各系統(tǒng)專人管理制度和其它相關(guān)規(guī)定（如電力供應(yīng)、溫度、濕度、清潔度、安全防火等）。

（2）運(yùn)行管理制度。對(duì)系統(tǒng)運(yùn)行過(guò)程中的異常情況做好記錄，及時(shí)報(bào)告；嚴(yán)禁以非正常方式修改信息系統(tǒng)中的各種數(shù)據(jù)；明確數(shù)據(jù)備份制度，確保系統(tǒng)數(shù)據(jù)安全。

（3）運(yùn)行日志制度。系統(tǒng)運(yùn)行日志不僅可以為信息系統(tǒng)運(yùn)行提供歷史資料，而且可以為查找系統(tǒng)故障提供線索。因此，必須準(zhǔn)確記錄并妥善保存系統(tǒng)運(yùn)行日志，主要包括時(shí)間、操作人員、系統(tǒng)運(yùn)行情況、異常情況記錄、值班人員簽字、負(fù)責(zé)人簽字等內(nèi)容。

5 結(jié)語(yǔ)

本文結(jié)合國(guó)家《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》和水利部《水利網(wǎng)絡(luò)與信息安全體系建設(shè)基本技術(shù)要求》的技術(shù)要點(diǎn)，提出了水利行業(yè)信息安全運(yùn)行體系建設(shè)思路及策略，建立了一套切合實(shí)際、科學(xué)合理的運(yùn)行管理體制。大數(shù)據(jù)及云計(jì)算時(shí)代，系統(tǒng)安全的保護(hù)難度在逐漸加大，安全保障體系建設(shè)也需要不斷強(qiáng)化。

參考文獻(xiàn)：

[1]莫岱青. 兩會(huì)政府工作報(bào)告首倡“互聯(lián)網(wǎng)+”的意義[J]. 計(jì)算機(jī)與網(wǎng)絡(luò)，2015（6）：10-11.

[2]張建勛，古志民，鄭超.云計(jì)算研究進(jìn)展綜述[J].計(jì)算機(jī)應(yīng)用研究，2010（2）：429-433.

[3]王元卓，靳小龍，程學(xué)旗.網(wǎng)絡(luò)大數(shù)據(jù)：現(xiàn)狀與展望[J].計(jì)算機(jī)學(xué)報(bào)，2013（6）：1125-1138.

[4]李丹，陳貴海，任豐原，蔣長(zhǎng)林，徐明偉.數(shù)據(jù)中心網(wǎng)絡(luò)的研究進(jìn)展與趨勢(shì)[J]. 計(jì)算機(jī)學(xué)報(bào)，2014（2）：259-274.

[5]馮登國(guó)，張陽(yáng)，張玉清.信息安全風(fēng)險(xiǎn)評(píng)估綜述[J].通信學(xué)報(bào)，2004，25（7）：245-268.

[6]沈昌祥.云計(jì)算安全與等級(jí)保護(hù)[J].信息安全與通信保密，2012（1）：16-17.

[7]張棟冰，蘭義華.信息安全專業(yè)人才培養(yǎng)的思考[J].軟件導(dǎo)刊，2008（6）：8-10.

[8]于華川.計(jì)算機(jī)網(wǎng)絡(luò)信息安全研究[J].軟件導(dǎo)刊，2010（2）：124-126.

[9]李廣.等級(jí)保護(hù)三級(jí)系統(tǒng)建設(shè)實(shí)踐[J].計(jì)算機(jī)安全，2010（8）：82-84.

（責(zé)任編輯：陳福時(shí)）