數據中心建設背景下信息安全防護建設研究

寇磊 楊濤 劉沛洋

［摘 要］數據中心建設是信息化發展中的重點內容，可以妥善解決“信息孤島”、數據開發利用低等問題。

然而，受制于數據中心對開放互聯網依賴的影響，建設單位對其信息安全防護工作也提出了更高的要求。文章圍繞數據中心存在的信息安全隱患，從規范數據中心部署運維、強化數據中心相關數據的加密傳輸、加強數據中心運維審計、強化數據共享使用管理、重視數據中心網絡安全防護工作等方面入手，提出幾點有效的信息安全防護建設策略，以供參考。

［關鍵詞］數據中心建設；信息安全隱患；信息安全防護建設；加密傳輸

doi：10.3969/j.issn.1673 - 0194.2023.12.027

［中圖分類號］TP393［文獻標識碼］A［文章編號］1673-0194（2023）12-0084-03

0 ? ? 引 言

在信息技術不斷發展的背景下，各行業開展業務工作產生的數據信息也日漸增多，通過構建統一數據中心，能夠實現對這些數據信息的有效管理和高效利用，同時也能將數據安全風險集中到數據中心，可一旦數據采集、整合傳輸等環節出現信息泄露、竄改等情況，將無法保障數據安全性，會對相關行業發展造成較大的經濟損失。因此，需要對數據中心較常出現的信息安全問題進行仔細分析，并立足實際采用有效措施建立健全的信息安全防護體系，確保數據中心在安全的環境中運行［1］。

1 ? ? 數據中心存在的信息安全隱患

互聯網時代，大數據信息得到了廣泛應用，數據范圍也在逐步擴大。大數據在改變人們生產生活方式的同時，也潛藏著各種信息安全隱患。人們在應用大數據的同時，也應該充分認識到計算機網絡具有開放性，尤其是各行業數據中心在運營中要時刻注意，做好信息安全防護。以下簡單分析數據中心運行潛在的信息安全隱患。第一，賬號密碼管理不嚴。在對數據中心的業務系統進行安裝部署時，應用程序編程接口（Application Programming Interface，API）、統一資源定位系統（uniform resource locator，URL）鏈接等處于開放狀態，容易因高危后綴名而存在被截取盜聽的風險。與此同時，構建系統默認開放賬號的瀏覽功能，沒有在系統運行以后對冗余的賬號進行修改處理，這也為系統安全運行埋下諸多隱患。第二，訪問權限控制度不夠。在完成數據中心建設以后，沒有對其運行實施定期監管，再加上系統多采用模塊化的權限管理方式，開放的數據訪問接口不能按照部署進行權限下放，更別說與主機端口進行互聯網協議地址（Internet Protocol Address、IP）、局域網地址綁定，這種粗放式的管理也會使數據中心數據面臨被泄露、破壞等風險。第三，運維審計較為欠缺。在對數據中心開展日常運維工作時，通常會直接進行一些命名操作，如更新數據、替換重復表格等，實際作業一旦出現誤刪的操作情況，重新恢復這些數據就會變得更加困難，且考慮到系統日志量非常大，想要通過日志管理明確這一問題出現的真正原因難度也較高［2］。第四，數據存儲傳輸未加密。數據中心存在的數據大多具有體積較大、結構復雜、格式較多等特點，特別是對一些圖件信息，在進行存儲傳輸時為了增強數據的可讀性，往往會直接使用明文進行存儲，然后通過數據中心和終端用戶進行數據交換，整個過程也極容易發生數據泄露、丟失等安全問題。第五，數據共享流程不規范。數據共享方式有很多，常見的有系統之間的數據同步、終端用戶數據文件應用等，實際共享過程中若出現操作不規范的情況，如數據使用未經過審批流程，就直接進行數據接口配置，整個過程也極容易發生數據泄露情況［3］。

2 ? ? 數據中心建設背景下信息安全防護建設

大數據時代，網絡惡意攻擊形式多種多樣，如果企業數據中心遭到攻擊，不僅會損壞計算機的防護功能，對計算機平臺中存儲的重要數據信息也會造成不可逆的損害，還會影響企業的正常運營。因而，為了保障企業的正常發展，其要結合自身數據信息使用情況，對企業信息安全做好統籌與防護工作，避免計算機網絡受到外來攻擊。

2.1 ? 規范數據中心部署運維

對數據中心信息安全防護體系進行構建，要高度重視數據中心的部署運維工作，通過推進數據中心部署運維規范化，促進數據中心實現穩定可靠運行，防止發生相應數據安全問題。具體舉措包括以下幾點。首先，把握軟硬件設施。要對構建數據中心的軟硬件設施進行全面了解，定期更新、維護數據中心的服務器部署清單，在確保服務器相應信息真實準確的基礎上，對沒有用的系統進行有效清理，對于終端與數據中心的交互訪問也要進行權限限制，通過使用最小化的權限管理，最大限度保證數據中心能夠在相對安全的環境中運行。其次，系統管理賬號加密。在對數據中心進行部署時，要及時刪除產生的測試賬號，對系統中出現的已經停用或長期不使用的用戶進行定期排查，對于數據庫用戶、終端賬號、系統用戶等的密碼，可以考慮使用復雜程度更高的口令，這在一定程度上也能提升信息安全等級［4］。再次，規范運維過程。針對數據中心的應用服務端和數據服務端，最好能夠分開部署，在完成聯機業務系統構建以后，搭建安全防護設備，對涉及的其他應用也要進行網絡隔離，在對數據進行下載時還可以配置專用終端和綁定移動存儲介質接入，從而有效保證數據傳輸過程安全。最后，加強用戶管理。在應用系統、數據查詢等環節，由于接入網絡以后會面臨諸多安全風險，所以要對系統用戶實施嚴格管理，使之切實履行數據保密責任和留存個人操作日志，以便及時發現并解決可能出現的安全問題。

2.2 ? 強化數據中心相關數據的加密傳輸

數據中心包含大量的重要、敏感信息，會將不同類型的數據分開存儲在不同類型的數據庫系統中。為切實保障這些數據信息的安全性和完整性，需要對數據庫采用部署加密系統措施，實現對數據庫存儲信息的加密存儲與管理，對于一些重要信息甚至要采用獨立權限管控系統進行管理。相應舉措主要包括以下兩個方面。一方面，部署數據庫靜態脫敏工具。針對數據中心需要進行API調用的應用環境，可以對API接口部署數據庫靜態脫敏工具，增強數據脫敏能力，實際操作中可以采用混淆、多次重組等方式，對脫敏后可以運用的數據進行自動生成，并將其運用到數據二次開發和API應用當中，從而保證整個過程中真實的數據信息不容易被泄露［5］。另一方面，在可視化分析系統中采用動態脫敏工具。針對數據中心開發的子系統，如可視化分析系統，可以將動態脫敏工具運用其中，在防止未授權第三方訪問的同時，也能夠避免數據遭受惡意破壞，甚至還可以按照數據中心的數據敏感度、應用范圍等要求進行加密，在數據采集環節對相關信息實施脫敏操作，從而避免重要數據信息被非法訪問和

使用。

2.3 ? 重視對數據中心的運維審計

以往發生數據庫安全事故以后，往往很難進行追溯與審計。隨著信息技術的不斷發展，數據庫安全審計成為保障信息安全的重要防御手段，通過深化落實好數據中心的運維審計工作，則可以進一步提高數據中心信息安全保障水平。第一，搭建基于旁路監聽的數據中心防御體系。將注意力放在數據采集、數據解析和審計分析上，在數據采集環節可以采用旁路監聽的方式，將數據采集引擎接入中心的核心交換機，借助端口鏡像管理模式實現對數據庫所有動作的監測，然后嚴格遵照簽訂的操作協議進行還原整理，將相關內容有效發送到數據解析中心。在數據解析環節則可以根據預設的數據解析與事件關聯的規則，對數據庫操作數據進行有效接收和操作關聯解析，得到的結果也要及時發送到數據分析中心，幫助數據庫管理者對數據庫審計規則進行科學設置，若接收到的解析結果符合設置審計規則，通過數據分析中心也能及時進行報警與處理。第二，搭建基于旁路監聽的數據庫安全審計方法。有效建立基于旁路監聽的數據庫安全審計方法以后，實際開展審計工作時既不需要占用數據庫服務器性能，也不需要改變原本數據中心的網絡拓撲結構，消耗的網絡性能資源僅限于端口鏡像，可以通過訪問結構化查詢語言數據庫（Structured Query Language，SQL）的語句級別對數據庫的字段級別進行查看與防控，最終審計結果也會集中體現在一個管理平臺上，這樣有利于從根源上防控與解決數據竊取、竄改等問題，明顯提升數據中心的網絡信息安全管理水平與質量。

2.4 ? 強化數據共享使用管理

企業在數據共享使用過程中，容易受到網絡、操作等因素影響而出現各類安全隱患，這時候要加強信息安全防護，就必須強化數據共享使用管理，確保信息安全。首先，仔細梳理數據流向，在制定數據共享使用管理辦法之前，可以對數據中心的數據流向進行全面細致的了解，然后遵循誰使用、誰負責原則對數據責任部門進行確定，避免數據使用出現不規范、責任不明確等情況。其次，明確流程審批工作，對于使用數據的部門而言，要嚴格按照規定的流程提出數據使用申請，并在獲得數據使用權以后按照規定合理使用共享信息，操作中對于沒有經過審批出現的數據共享使用情況，也要作出嚴厲的懲處，以防止類似情況在以后工作中再次發生，同時，數據共享使用審批流程也會更加健全完善，有利于使用部門及人員嚴格按照流程規范進行標準化操作［6］。再次，定期開展安全培訓。要緊密圍繞數據使用審批制度、數據保密制度等內容，定期組織開展安全教育培訓活動，讓相關部門及人員參與其中，在不斷提升其數據安全意識的同時，嚴格遵照規范要求對數據中心的數據進行開發、共享和使用，使數據中心的數據價值和作用得到充分

發揮。

2.5 ? 開展網絡安全防護工作

數據中心建設背景下，要加強信息安全防護工作，就必須高度重視網絡安全管理，這主要是因為數據中心的有效運行離不開網絡環境的支持。例如，數據中心開展數據查詢、通道傳輸等環節工作時容易受到網絡因素影響，使得數據丟失、竄改等發生概率提高。具體防范舉措包括以下幾點。第一，加強網絡安全設計。在內聯網中若信息傳輸采用的是共用信道，使用的TCP/IP協議具有開放性的特點，這時候容易出現數據被假冒、竊取等情況；對于外聯網而言，若數據中心業務系統數據源頭主要來源于各網點，那么內聯網與外部進行連接主要通過數字數據網絡（Digital Data Network，DDN）、公共交換電話網絡（Public Switched Telephone Network，PSTN）等實現。

要避免運行安全受到外部網絡環境攻擊，就應在鏈路層和網絡層采用一定的安全措施，保證數據傳輸的安全性。第二，安裝入侵檢測系統。由于入侵檢測系統（intrusion detection system，IDS）或入侵防御系統（Intrusion Prevention System，IPS）通常會部署在不同安全級別的網絡邊界，所以，在建設數據中心時也可以對專門的入侵檢測系統進行安裝和使用，通過對網絡運行狀態進行實時監控，對發生的網絡異常事件進行捕捉，在確定系統遭受到網絡攻擊以后，圍繞具體問題快速堵塞相應漏洞，甚至對于網絡發出的內外部攻擊，數據中心也能及時作出響應，自動切斷攻擊方的連接，有效維護數據中心運行安全性和穩定性。第三，積極采用虛擬專用網（Virtual Private Network，VPN）。在數據對外傳輸時，要保證網絡上所有傳輸重要數據的安全性，就需要有效利用VPN技術對重要的數據實施加密處理，還可以將身份認證技術融入其中，確保加密后數據的私密性和安全性。第四，加強數據中心主機安全防護。考慮到數據中心的主機多處在內聯網中，開展信息安全防護工作可以通過安裝防病毒、惡意攻擊等軟件，實現對信息資源和網絡設備的有效保護，同時對數據中心主機的業務系統、操作系統和安全防護系統的日志進行分析，如通過分析失敗登錄次數、文件錯誤分析、跟蹤業務系統狀態等信息，對存在的各類故障問題進行及時有效的解決，從而明顯提高數據中心運行安全性，有力保證相應數據的信息安全。

3 ? ? 結束語

隨著社會經濟和科學技術的不斷發展，社會各領域開展工作產生的數據信息也越來越多，由于這些數據信息有較高的分析利用價值，如何高效管理這些數據信息也引起人們廣泛的關注與討論。依托現代信息技術對數據中心進行積極打造，可以更好地實現數據信息高效管理與開發利用，不過受到網絡環境、業務操作等因素影響，數據中心信息安全問題頻頻發生。因此，各企業需要對這項工作給予高度重視，并緊密圍繞數據中心存在的信息安全隱患，有效做好規范數據中心部署運維、搭建基于旁路監聽的數據中心防御體系、明確數據共享使用流程審批、加強數據中心網絡安全防護等工作，保證數據中心在安全的環境中運行，從而有效保障相應數據信息傳輸、共享和使用

安全。

主要參考文獻

［1］李彥賓，孫松兒.云計算時代的信息安全防護方案設計研究［J］.信息網絡安全，2011（10）：17-18.

［2］馮智圣.區域數據中心信息安全防護技術探討［J］.華南金融電腦，2019（1）：7-10.

［3］佘春燕.大數據背景下計算機網絡信息安全防護手段研究［J］.軟件，2022（3）：65-67.

［4］本刊編輯.數據大集中后的信息安全防護建設［J］.計算機與網絡，2013（10）：50-51.

［5］付旭陽，周敏，葉鈞.高校數據中心信息安全建設［J］.電腦編程技巧與維護，2018（5）：154-155，163.

［6］楊威.大數據背景下信息中心網絡信息安全防護措施［J］.現代信息科技，2019 （8）：152-153，157.