摘要：隨著“互聯(lián)網(wǎng)+”時代的到來，大數(shù)據(jù)、云計算等IT技術(shù)發(fā)展迅速，應(yīng)用日益廣泛。水利行業(yè)數(shù)據(jù)中心建設(shè)快速發(fā)展的同時，數(shù)據(jù)安全及保護(hù)問題越發(fā)凸顯。探討水利行業(yè)數(shù)據(jù)中心安全保障體系建設(shè)，提出數(shù)據(jù)中心安全策略。

關(guān)鍵詞：數(shù)據(jù)中心；云計算；安全保障；等級保護(hù)；IPS

DOIDOI：10.11907/rjdk.171736

中圖分類號：TP309.2

文獻(xiàn)標(biāo)識碼：A 文章編號：1672-7800（2017）006-0174-02

0 引言

“互聯(lián)網(wǎng)+”時代的到來深刻影響著每個行業(yè)，給水利行業(yè)帶來了信息化變革。隨著移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等一系列新興IT技術(shù)的發(fā)展，水利行業(yè)將迎來全面升級的“2.0時代”[1-3]。水利數(shù)據(jù)中心建設(shè)是水利信息化發(fā)展的重要環(huán)節(jié)，是推動水利信息化從“1.0時代”向“2.0時代”邁進(jìn)的堅實一步。目前，水利信息化已滲透到水利工作每一個環(huán)節(jié)，成為整個水利工作的神經(jīng)系統(tǒng)，網(wǎng)絡(luò)和應(yīng)用系統(tǒng)能否穩(wěn)定和安全運(yùn)行，將直接影響到防汛抗災(zāi)、水資源管理、水環(huán)境、水生態(tài)保護(hù)等各項工作的開展。隨著數(shù)據(jù)中心建設(shè)及運(yùn)行，數(shù)據(jù)安全及保護(hù)的重要性日益凸顯[4]。加強(qiáng)數(shù)據(jù)中心安全保障體系建設(shè)尤為重要。信息安全等級保護(hù)為數(shù)據(jù)中心安全保障體系建設(shè)提供了理論支撐[5]。

1 信息安全等級保護(hù)及數(shù)據(jù)中心安全

按照相關(guān)定義，信息系統(tǒng)安全等級保護(hù)工作主要分為定級、備案、建設(shè)整改、等級測評和監(jiān)督檢查等環(huán)節(jié)[6]。按照國家《信息系統(tǒng)安全等級保護(hù)定級指南》和水利部《水利網(wǎng)絡(luò)與信息安全體系建設(shè)基本技術(shù)要求》，結(jié)合水利信息化的現(xiàn)狀，本文水利數(shù)據(jù)中心的安全等級為第三級。

本文提出數(shù)據(jù)中心安全策略由“三個體系”、“一個中心”、“三重防護(hù)”構(gòu)成，簡稱“313工程”，如圖1所示。

三個體系：信息安全管理體系、信息安全技術(shù)體系和信息安全運(yùn)維體系。三大體系構(gòu)成了信息安全保護(hù)框架的核心內(nèi)容。

一個中心：信息安全管理中心是信息安全保障框架的核心，是三大體系的執(zhí)行點與校驗點。信息安全中心包括系統(tǒng)管理、安全管理和審計管理。

三重防護(hù)：通過三層結(jié)構(gòu)實現(xiàn)信息安全保護(hù)，物理、制度、人員是信息安全保護(hù)的基礎(chǔ)，分別對應(yīng)著物理安全、制度安全和人員管理安全。

按照分區(qū)分域建設(shè)原則，水利數(shù)據(jù)中心等級保護(hù)安全建設(shè)的體系結(jié)構(gòu)和邏輯組成如圖2所示。

2 信息安全管理體系建設(shè)

（1）組織機(jī)構(gòu)建設(shè)。建立計劃、財務(wù)、建設(shè)管理部門會同信息安全主管部門定期協(xié)調(diào)和溝通制度，確保信息安全項目立項，項目建設(shè)資金有保障，建設(shè)管理規(guī)范，同時加強(qiáng)對信息安全投入的統(tǒng)籌管理。加強(qiáng)各級水利信息化工程或系統(tǒng)之間的銜接和協(xié)調(diào)。強(qiáng)化安全管理部門的職能，定期召開信息安全工作領(lǐng)導(dǎo)小組會議，確定年度重點信息安全項目，共同推動信息安全工作的組織實施。建立一把手抓信息安全工作的組織體制，充分調(diào)動各部門、各單位積極性和主動性，相互配合。

（2）人員安全建設(shè)。充分利用各種途徑和方式，建設(shè)全方位、多層次、高素質(zhì)的信息安全人才隊伍。統(tǒng)籌制定水利信息化安全人才需求分析與人才隊伍建設(shè)計劃。以崗位培訓(xùn)和繼續(xù)教育為重點，提高信息化安全工作思想意識，知識結(jié)構(gòu)和組織能力，提高各級信息安全技術(shù)人員的理論水平和實踐操作能力；采用引進(jìn)與培養(yǎng)相結(jié)合的方式，培養(yǎng)一批精通水利知識和信息安全的復(fù)合型人才；建立有利于吸引人才、留住人才的激勵機(jī)制和用人機(jī)制，逐漸建成一支素質(zhì)高、技術(shù)好、業(yè)務(wù)強(qiáng)與水利信息化需求和信息安全建設(shè)相適應(yīng)的技術(shù)隊伍[7]。

（3）制度標(biāo)準(zhǔn)建設(shè)。標(biāo)準(zhǔn)化是實現(xiàn)信息安全的基本要求，信息安全體系建設(shè)與管理需要統(tǒng)一的制度標(biāo)準(zhǔn)。為此，需建立健全標(biāo)準(zhǔn)規(guī)范體系，構(gòu)建一個科學(xué)、系統(tǒng)、先進(jìn)和開放的水利信息安全標(biāo)準(zhǔn)體系框架。目前，在信息采集、匯集、交換、存儲、處理和服務(wù)等環(huán)節(jié)已有技術(shù)標(biāo)準(zhǔn)。對缺乏相關(guān)標(biāo)準(zhǔn)或標(biāo)準(zhǔn)不能完全滿足信息安全的環(huán)節(jié)，需要根據(jù)信息安全建設(shè)具體情況，參照國際、國內(nèi)標(biāo)準(zhǔn)，制定相應(yīng)的信息化的標(biāo)準(zhǔn)體系，建設(shè)相關(guān)標(biāo)準(zhǔn)，逐步實現(xiàn)信息安全建設(shè)的標(biāo)準(zhǔn)化。

3 信息安全技術(shù)體系建設(shè)

3.1 物理層建設(shè)

物理層是信息安全技術(shù)體系的基礎(chǔ)，一般指機(jī)房及配套設(shè)施的建設(shè)，具體包括：機(jī)房裝飾、供配電系統(tǒng)安裝、空調(diào)新風(fēng)系統(tǒng)安裝、消防報警系統(tǒng)安裝、防雷接地系統(tǒng)安裝、安防系統(tǒng)安裝及機(jī)房動力環(huán)境監(jiān)控系統(tǒng)安裝[8]。

3.2 網(wǎng)絡(luò)層建設(shè)

網(wǎng)絡(luò)層建設(shè)是基于物理層建設(shè)，網(wǎng)絡(luò)安全設(shè)備主要包括網(wǎng)絡(luò)防火墻、IPS（入侵檢測防御）、網(wǎng)絡(luò)安全審計等。

（1）網(wǎng)絡(luò)防火墻。防火墻是關(guān)鍵的安全保障設(shè)備之一，其原理是通過過濾存在隱患及不安全信息的數(shù)據(jù)包，達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的，其典型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示。

通過制定網(wǎng)絡(luò)協(xié)議，達(dá)到控制數(shù)據(jù)流的作用。防火墻能夠禁止不安全的NFS協(xié)議，阻止外部攻擊者利用脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻是一個重要的內(nèi)外網(wǎng)隔離設(shè)備，通過設(shè)置網(wǎng)絡(luò)內(nèi)外隔離，達(dá)到限制外部網(wǎng)段對內(nèi)網(wǎng)中敏感網(wǎng)段的訪問。防火墻是隱私保護(hù)的重要設(shè)備，隨著信息社會的不斷發(fā)展，現(xiàn)階段隱私保護(hù)越來越被重視，防火墻可以通過對敏感網(wǎng)段的屏蔽，對敏感信息進(jìn)行簡單的加噪聲來保護(hù)隱私不被泄露。

（2）IPS：是Intrusion Prevention System的簡稱，即入侵預(yù)防系統(tǒng)，是防火墻的重要補(bǔ)充和輔助系統(tǒng)。隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)內(nèi)部和外部的威脅越來越多，目前流行的有DoS（Denial of Service 拒絕服務(wù)）、DDoS（Distributed DoS 分布式拒絕服務(wù)）、暴力猜解（Brut-Force-Attack）、端口掃描（Portscan）等。入侵預(yù)防系統(tǒng)也是一種主動入侵檢測設(shè)備，可以查找其備案的具有潛在攻擊的數(shù)據(jù)包，并將其過濾。

（3）網(wǎng)絡(luò)安全審計：網(wǎng)絡(luò)安全審計是一個發(fā)現(xiàn)網(wǎng)絡(luò)及系統(tǒng)漏洞入侵行為的過程。制定安全策略，利用記錄和數(shù)據(jù)挖掘等功能找到可疑數(shù)據(jù)IP及訪問行為；最后生成報表供網(wǎng)絡(luò)管理員查看。網(wǎng)絡(luò)管理員對可疑的數(shù)據(jù)、IP、網(wǎng)絡(luò)行為進(jìn)行屏蔽。

3.3 數(shù)據(jù)資源安全建設(shè)

數(shù)據(jù)安全涉及數(shù)據(jù)采集、傳輸、存儲、發(fā)布分發(fā)和備份過程，主要指數(shù)據(jù)的機(jī)密性、完整性和可用性。數(shù)據(jù)的機(jī)密性主要依靠加密算法來保證，數(shù)據(jù)的完整性主要利用數(shù)據(jù)備份和還原措施來保證，數(shù)據(jù)的可用性主要利用數(shù)據(jù)校驗來保證。

3.4 應(yīng)用程序安全建設(shè)

應(yīng)用程序的安全措施主要是在程序系統(tǒng)中實行統(tǒng)一的權(quán)限管理，建立CA證書系統(tǒng)，建立統(tǒng)一的門戶，避免多點登錄情況。使得權(quán)限管理在一個統(tǒng)一的安全框架下，對系統(tǒng)內(nèi)部權(quán)限按崗分配。同時開發(fā)安全的應(yīng)用程序，對程序的代碼進(jìn)行審計，查找安全漏洞，保障網(wǎng)絡(luò)安全。

4 信息安全運(yùn)維體系

（1）機(jī)房管理制度。明確操作人員的各項操作，制訂管理人員出入規(guī)定，制訂防止計算機(jī)病毒感染和傳播的相應(yīng)制度，建立各系統(tǒng)專人管理制度和其它相關(guān)規(guī)定（如電力供應(yīng)、溫度、濕度、清潔度、安全防火等）。

（2）運(yùn)行管理制度。對系統(tǒng)運(yùn)行過程中的異常情況做好記錄，及時報告；嚴(yán)禁以非正常方式修改信息系統(tǒng)中的各種數(shù)據(jù)；明確數(shù)據(jù)備份制度，確保系統(tǒng)數(shù)據(jù)安全。

（3）運(yùn)行日志制度。系統(tǒng)運(yùn)行日志不僅可以為信息系統(tǒng)運(yùn)行提供歷史資料，而且可以為查找系統(tǒng)故障提供線索。因此，必須準(zhǔn)確記錄并妥善保存系統(tǒng)運(yùn)行日志，主要包括時間、操作人員、系統(tǒng)運(yùn)行情況、異常情況記錄、值班人員簽字、負(fù)責(zé)人簽字等內(nèi)容。

5 結(jié)語

本文結(jié)合國家《信息系統(tǒng)安全等級保護(hù)定級指南》和水利部《水利網(wǎng)絡(luò)與信息安全體系建設(shè)基本技術(shù)要求》的技術(shù)要點，提出了水利行業(yè)信息安全運(yùn)行體系建設(shè)思路及策略，建立了一套切合實際、科學(xué)合理的運(yùn)行管理體制。大數(shù)據(jù)及云計算時代，系統(tǒng)安全的保護(hù)難度在逐漸加大，安全保障體系建設(shè)也需要不斷強(qiáng)化。

參考文獻(xiàn)：

[1]莫岱青. 兩會政府工作報告首倡“互聯(lián)網(wǎng)+”的意義[J]. 計算機(jī)與網(wǎng)絡(luò)，2015（6）：10-11.

[2]張建勛，古志民，鄭超.云計算研究進(jìn)展綜述[J].計算機(jī)應(yīng)用研究，2010（2）：429-433.

[3]王元卓，靳小龍，程學(xué)旗.網(wǎng)絡(luò)大數(shù)據(jù)：現(xiàn)狀與展望[J].計算機(jī)學(xué)報，2013（6）：1125-1138.

[4]李丹，陳貴海，任豐原，蔣長林，徐明偉.數(shù)據(jù)中心網(wǎng)絡(luò)的研究進(jìn)展與趨勢[J]. 計算機(jī)學(xué)報，2014（2）：259-274.

[5]馮登國，張陽，張玉清.信息安全風(fēng)險評估綜述[J].通信學(xué)報，2004，25（7）：245-268.

[6]沈昌祥.云計算安全與等級保護(hù)[J].信息安全與通信保密，2012（1）：16-17.

[7]張棟冰，蘭義華.信息安全專業(yè)人才培養(yǎng)的思考[J].軟件導(dǎo)刊，2008（6）：8-10.

[8]于華川.計算機(jī)網(wǎng)絡(luò)信息安全研究[J].軟件導(dǎo)刊，2010（2）：124-126.

[9]李廣.等級保護(hù)三級系統(tǒng)建設(shè)實踐[J].計算機(jī)安全，2010（8）：82-84.

（責(zé)任編輯：陳福時）