【摘要】本文總結(jié)企業(yè)信息安全經(jīng)驗，研究關(guān)于企業(yè)應(yīng)用系統(tǒng)的安全防護(hù)的體系架構(gòu)設(shè)計。

【關(guān)鍵詞】信息安全；應(yīng)用系統(tǒng)；安全防護(hù)

一、引言

企業(yè)的信息安全越來越受到企業(yè)相關(guān)人員的關(guān)注，企業(yè)內(nèi)部雖然采取了各種措施，但仍然發(fā)生許多安全問題，本文重在總結(jié)信息系統(tǒng)建設(shè)過程中的經(jīng)驗，探討企業(yè)信息系統(tǒng)安全，建立應(yīng)用系統(tǒng)安全防護(hù)架構(gòu)，研究信息系統(tǒng)的硬、軟件及系統(tǒng)的數(shù)據(jù)保護(hù)及容災(zāi)機制的建立。

二、安全防護(hù)的總體原則

（一）適度安全、分級保護(hù)

安全沒有絕對性，增加安全性往往意味著更大的成本投入和操作的復(fù)雜化。因此，在進(jìn)行安全規(guī)劃、建設(shè)和管理時，應(yīng)在投資、安全回報和可用技術(shù)之間找到最佳的平衡點。

根據(jù)應(yīng)用系統(tǒng)的重要程度，以及資產(chǎn)面臨的風(fēng)險大小等因素，決定各類資產(chǎn)的安全保護(hù)級別。制訂信息系統(tǒng)的安全保護(hù)等級表，明確資產(chǎn)類別，確定資產(chǎn)何種級別的安全程度。

（二）全生命周期管理

任何一個應(yīng)用系統(tǒng)按其在數(shù)據(jù)中心的生命周期，可劃分為建設(shè)、運行維護(hù)、銷毀等三個過程。安全保護(hù)應(yīng)落實在建設(shè)、運行維護(hù)、管理的全過程中，任何一個環(huán)節(jié)的疏忽都可能給信息系統(tǒng)帶來危害。因此，我們設(shè)計的安全體系按此設(shè)計覆蓋了應(yīng)用系統(tǒng)的全過程。

（三）技術(shù)和管理結(jié)合

在采用安全技術(shù)和產(chǎn)品的同時應(yīng)重視管理，在我們體系建設(shè)中不僅有應(yīng)用先進(jìn)技術(shù)的安全保護(hù)體系，如虛擬化、集群技術(shù)、安全評估系統(tǒng)等。也按ISO27001要求制訂各類管理制度，完善系統(tǒng)的安全防御措施，強化網(wǎng)絡(luò)與信息安全的日常管理工作。通過監(jiān)測環(huán)境和應(yīng)用系統(tǒng)的變化，分析變化可能帶來的風(fēng)險，及時調(diào)整原有安全保護(hù)和管理措施，控制風(fēng)險的蔓延。

三、應(yīng)用程序全生命周期安全防護(hù)

根據(jù)當(dāng)前數(shù)據(jù)中心特點，以下是按應(yīng)用程序的生命周期進(jìn)行安全管理方案：

（一）應(yīng)用系統(tǒng)上線前的安全管理

俗話說：進(jìn)攻是最好的防守。安全問題也是如此，與其事后補救不如事前預(yù)防。因此，建立應(yīng)用系統(tǒng)上線前的安全管理措施同樣非常重要，主要包括：

（1）在應(yīng)用系統(tǒng)規(guī)劃階段，充分考慮運行后的安全性因素，設(shè)計好解決方法或者規(guī)避措施。

（2）必須使用安全、正規(guī)的正版軟件安裝操作系統(tǒng)。

（3）在操作系統(tǒng)安裝完成后，及時更新操作系統(tǒng)補丁。

（4）檢查己啟用的服務(wù)，根據(jù)需要關(guān)閉掉不必要的服務(wù)例如：FTP、IIS、Telnet等。

（5）防病毒軟件的安裝及病毒庫更新。

（6）更換administrator用戶，設(shè)置符合強度要求的密碼和權(quán)限范圍；停用guest等賬號。

（7）在完成上述步驟后，使用專業(yè)的安全評估設(shè)備，進(jìn)行漏洞掃描及安全評估，在評估結(jié)果為安全的情況下，再進(jìn)行應(yīng)用程序的安裝。

（8）在完成應(yīng)用程序部署后，再次使用安全評估設(shè)備，進(jìn)行漏洞掃描及安全評估，只有評估安全的情況下才正式上線運行。

（二）應(yīng)用系統(tǒng)運行中的安全管理

安全問題的特點為“三分技術(shù)、七分管理”。除了各種技術(shù)手段外安全管理的落實是解決安全問題、提高安全水平的基石。面對網(wǎng)絡(luò)與信息安全的脆弱性除了完善系統(tǒng)的安全防御措施外還須加強網(wǎng)絡(luò)與信息安全的日常工作管理，在遵循ISO 20000標(biāo)準(zhǔn)的前提下，重點做好以下工作：

（1）根據(jù)《數(shù)據(jù)機房運行管理辦法》要求，每天定時對機房的環(huán)境、設(shè)備和應(yīng)用系統(tǒng)的狀態(tài)進(jìn)行巡檢。

（2）定期對機房內(nèi)各類設(shè)備的運行狀態(tài)進(jìn)行檢測，對系統(tǒng)備份狀況進(jìn)行檢查。

（3）通過機房環(huán)境監(jiān)控系統(tǒng)對機房內(nèi)的動力、溫度、濕度和消防狀態(tài)，進(jìn)行監(jiān)控管理。

（4）通過應(yīng)用系統(tǒng)監(jiān)控軟件對服務(wù)器、網(wǎng)絡(luò)設(shè)備、中間件、數(shù)據(jù)庫和WEB應(yīng)用的運行狀態(tài)進(jìn)行監(jiān)控管理，一旦發(fā)生異常及時進(jìn)行報警。

（5）對進(jìn)入機房的人員進(jìn)行登記，在相關(guān)人員的陪同下方可進(jìn)入。

（6）任何人對應(yīng)用服務(wù)器進(jìn)行的任何操作，都必須在授權(quán)后才能進(jìn)行，對于變更程序等重大操作，必須填寫變更申請單和記錄單。

（7）對系統(tǒng)的操作過程必須使用相關(guān)人員賬號，通過堡壘機進(jìn)行操作，以便對操作過程進(jìn)行記錄、錄像。

（8）建立用戶權(quán)限申請、變更審批流程制度，同時對用戶操作內(nèi)容進(jìn)行記錄，并定期審計以上內(nèi)容。

（9）每季度對及關(guān)鍵應(yīng)用進(jìn)行一次安全評估機制。

（三）應(yīng)用系統(tǒng)停止使用后的安全管理

（1）通過審批流程確定停用應(yīng)用系統(tǒng)的合規(guī)性。

（2）封存應(yīng)用系統(tǒng)數(shù)據(jù)，停用用戶賬號，修改查詢賬號權(quán)限。

（3）到達(dá)應(yīng)用系統(tǒng)封存年限后，按保密規(guī)定實施數(shù)據(jù)銷毀。

四、應(yīng)用系統(tǒng)數(shù)據(jù)保護(hù)

為了提供全面的數(shù)據(jù)保護(hù)，降低應(yīng)用系統(tǒng)的停機時間，提高安全性和連續(xù)性，根據(jù)下圖中應(yīng)用系統(tǒng)的層次，利用冗余、群集、備份和容災(zāi)等技術(shù)，對包括服務(wù)器硬件、操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫及重要文件制定了全套的保護(hù)措施和保護(hù)方案。

（一）服務(wù)器保護(hù)

服務(wù)器的硬盤數(shù)據(jù)保護(hù)：目前可通過磁盤陣列來實現(xiàn)磁盤上數(shù)據(jù)的保護(hù)，常用的陣列有Raid10和Raid5等，Raid10能提供很高的讀寫性能和數(shù)據(jù)安全性，但是磁盤的利用率很低，陣列的總?cè)萘恐挥写疟P數(shù)量的一半。Raid5的讀寫性能和數(shù)據(jù)安全性雖然沒有Raid10高， Raid的配置可根據(jù)預(yù)算和應(yīng)用系統(tǒng)的需求進(jìn)行合理配置。

服務(wù)器的網(wǎng)卡保護(hù)：為每臺服務(wù)器配置兩塊網(wǎng)卡，，將兩塊網(wǎng)卡綁定為一塊網(wǎng)卡，當(dāng)任意一塊網(wǎng)卡故障，或連接的網(wǎng)絡(luò)設(shè)備故障時，另一塊網(wǎng)卡可繼續(xù)保持工作，可避免因網(wǎng)絡(luò)故障引起的停機事件。

服務(wù)器其它硬件保護(hù)（如主板、CPU等）：發(fā)生硬件故障造成停機，必然會造成應(yīng)用系統(tǒng)的中斷，可通過群集技術(shù)，實現(xiàn)應(yīng)用系統(tǒng)的高可用。常用的群集有服務(wù)器群集、應(yīng)用系統(tǒng)群集、數(shù)據(jù)庫群集等。

（二）操作系統(tǒng)保護(hù)

現(xiàn)在各種常用操作系統(tǒng)都提供了群集管理軟件。通過群集管理軟件，可在一臺節(jié)點服務(wù)器發(fā)生故障停機時，將該節(jié)點的應(yīng)用遷移到群集中，其它正常工作的節(jié)點服務(wù)器上運行，從而保證應(yīng)用系統(tǒng)的高可用性。

（三）應(yīng)用程序保護(hù)

應(yīng)用程序發(fā)生故障會對業(yè)務(wù)產(chǎn)生直接影響，為了實現(xiàn)應(yīng)用系統(tǒng)的連續(xù)性，多采用群集部署方式。例如采用了websphere群集技術(shù)，將應(yīng)用程序部署在一個前臺web服務(wù)管理器和多個應(yīng)用程序服務(wù)器上，前端web服務(wù)負(fù)責(zé)管理調(diào)度，會根據(jù)事先定義的策略，將每個客戶發(fā)起的會話請求，分配到不同的應(yīng)用服務(wù)器上，當(dāng)某個應(yīng)用程序節(jié)點發(fā)生故障時，前端web服務(wù)停用該節(jié)點，而使用其它應(yīng)用程序節(jié)點繼續(xù)工作，這樣的部署不僅實現(xiàn)了高可用，同時也實現(xiàn)了應(yīng)用的負(fù)載均衡。

（四）數(shù)據(jù)庫保護(hù)

數(shù)據(jù)庫是應(yīng)用系統(tǒng)的后臺部分，高可用性要求是最高的，因此數(shù)據(jù)庫群集以雙機熱備為主。如Oracle數(shù)據(jù)庫群集采用RAC技術(shù)，使用多節(jié)點服務(wù)器實現(xiàn)數(shù)據(jù)庫的高可用。

由于數(shù)據(jù)庫的連續(xù)性要求較高，因此數(shù)據(jù)庫的備份以在線式備份為主。根據(jù)數(shù)據(jù)庫恢復(fù)數(shù)據(jù)的需求不同，采用多種備份方式進(jìn)行備份，如歸檔備份、日志備份、控制文件備份、導(dǎo)出備份和數(shù)據(jù)庫備份。在線式備份在備份的時候，需要消耗操作系統(tǒng)和數(shù)據(jù)庫資源，備份時會降低應(yīng)用系統(tǒng)的性能，所以一般在系統(tǒng)相對空閑的時間段進(jìn)行。

（五）存儲保護(hù)

存儲是群集的，因此對存儲的安全性要求也是最高的。目前常用的能實現(xiàn)高可用的存儲有光纖SAN、IP SAN等，可采取同步復(fù)制或者鏡像技術(shù)實現(xiàn)高可用。

（六）數(shù)據(jù)備份

如何進(jìn)行全面的數(shù)據(jù)備份，首先需要通過各種備份策略，對操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)庫的數(shù)據(jù)，進(jìn)行不同時間點，不同類型的數(shù)據(jù)備份，其次需要制定各種場景的恢復(fù)方案和容災(zāi)方案，最后需要定期對各種數(shù)據(jù)恢復(fù)方案，進(jìn)行恢復(fù)演練，并根據(jù)演練結(jié)果，調(diào)整數(shù)據(jù)恢復(fù)方案，以保障數(shù)據(jù)恢復(fù)方案和容災(zāi)方案的可行性和有效性。容災(zāi)機制包括建立災(zāi)難備份系統(tǒng)的管理機制、組織架構(gòu)、災(zāi)難響應(yīng)流程、災(zāi)難切換流程、災(zāi)難應(yīng)急流程等。

數(shù)據(jù)備份的目的是為了恢復(fù)，針對恢復(fù)場景的不同，需要制定各種不同的恢復(fù)方案，包括常規(guī)數(shù)據(jù)恢復(fù)方案和災(zāi)難性故障的容災(zāi)機制。數(shù)據(jù)恢復(fù)方案和容災(zāi)機制制定后，必須進(jìn)行嚴(yán)格的測試，確保方案的成功率和有效性。需要按照恢復(fù)演練計劃定期進(jìn)行恢復(fù)演練，演練是為了熟悉容災(zāi)切換、回切流程，使員工熟悉自己在容災(zāi)中所扮演的角色，在災(zāi)難真正發(fā)生時，能夠有條不紊地開展恢復(fù)的過程。通過演練，還可以發(fā)現(xiàn)切換、回切流程的不足，驗證和優(yōu)化災(zāi)難恢復(fù)方案，確保在災(zāi)難發(fā)生時，災(zāi)難恢復(fù)方案能夠行之有效。

五、結(jié)論

無論我們的安全措施如何完善，也沒有辦法預(yù)測所有可能發(fā)生的事件。因此無論在架構(gòu)設(shè)計、系統(tǒng)維護(hù)、數(shù)據(jù)備份和災(zāi)難演練等環(huán)節(jié)，都需要不斷的完善和改進(jìn)，盡可能的降低應(yīng)用系統(tǒng)的風(fēng)險，只有技術(shù)和管理相結(jié)合，不斷發(fā)現(xiàn)問題，持續(xù)改進(jìn)完善安全機制，才能保證應(yīng)用系統(tǒng)的穩(wěn)定和安全。

作者簡介：劉晨（1968—），男，湖北武漢人，中級工程師，研究方向：計算機技術(shù)及應(yīng)用。