李一楠 瀘州職業(yè)技術(shù)學(xué)院

隨著數(shù)字化校園的快速發(fā)展，信息系統(tǒng)對高職學(xué)校的日常運(yùn)轉(zhuǎn)起到了越來越重要的作用。學(xué)校的一些重要系統(tǒng)，如教務(wù)系統(tǒng)、學(xué)工系統(tǒng)、財(cái)務(wù)系統(tǒng)、人事管理系統(tǒng)、辦公系統(tǒng)等，一方面讓學(xué)校的日常運(yùn)行實(shí)現(xiàn)了信息化，另一方面也產(chǎn)生了大量的數(shù)據(jù)。數(shù)據(jù)中心作為高職院校的信息化建設(shè)的核心，它的地位是非常重要的。建設(shè)一個(gè)結(jié)構(gòu)先進(jìn)的、安全可靠的數(shù)據(jù)中心，是高職院校發(fā)展過程中面臨的一個(gè)重大任務(wù)。因此需要加強(qiáng)對數(shù)據(jù)中心的信息安全管理，確保數(shù)據(jù)的安全性和有效傳輸。

一、數(shù)據(jù)中心的信息安全管理

數(shù)據(jù)中心，涉及到學(xué)校的教務(wù)、人事、學(xué)工、財(cái)務(wù)等敏感信息，這些信息的安全保障對于一個(gè)高校的正常運(yùn)轉(zhuǎn)來說非常重要。必須要對數(shù)據(jù)中心的信息安全管理體系進(jìn)行合理有效的設(shè)計(jì)，才能夠避免受到由外部攻擊或者內(nèi)部安全隱患帶來的數(shù)據(jù)安全問題，從而保障學(xué)校、老師以及學(xué)生的利益。

二、數(shù)據(jù)中心的安全分析

（一）環(huán)境安全

環(huán)境安全是數(shù)據(jù)中心自身存在的一些安全漏洞帶來的，包括服務(wù)器的可靠性、綜合布線系統(tǒng)的合理性、設(shè)備的性能、供電系統(tǒng)的穩(wěn)定性等，這些因素都會(huì)影響到數(shù)據(jù)中心的運(yùn)行狀態(tài)。此外防火、防水、溫度控制系統(tǒng)等方面，也是影響數(shù)據(jù)中心的數(shù)據(jù)中心安全運(yùn)行的重要因素。一般來講，高校的數(shù)據(jù)中心作為全校所有信息化系統(tǒng)的心臟地帶，其重要性不言而喻，因此對于人員、物品進(jìn)出都要嚴(yán)格管理。

（二）數(shù)據(jù)的傳輸安全

高校數(shù)據(jù)中心的數(shù)據(jù)安全防護(hù)是國家教育信息化和國家網(wǎng)絡(luò)安全中的重要一環(huán)。合理應(yīng)用數(shù)據(jù)安全防護(hù)技術(shù)，可以有效降低高校數(shù)據(jù)泄露風(fēng)險(xiǎn)隱患，防范數(shù)據(jù)泄露安全事件的發(fā)生，為高校信息化建設(shè)發(fā)展保駕護(hù)航。數(shù)據(jù)中心承載高職院校大量重要業(yè)務(wù)數(shù)據(jù)，以及教師、學(xué)生的個(gè)人信息，安全地位十分重要。當(dāng)前的互聯(lián)網(wǎng)環(huán)境復(fù)雜，充斥大量的惡意攻擊和木馬病毒等，對于數(shù)據(jù)中心來說是嚴(yán)峻的威脅。數(shù)據(jù)中心頻繁受到網(wǎng)絡(luò)攻擊，存在較大風(fēng)險(xiǎn)丟失和泄露數(shù)據(jù)。所以要針對不同的潛在威脅做好防護(hù)手段，如上網(wǎng)認(rèn)證、行為審計(jì)、流量監(jiān)控、堡壘主機(jī)等措施都可以起到很好的防護(hù)效果。此外還需要對敏感信息加密，強(qiáng)化監(jiān)控系統(tǒng)。內(nèi)部用戶也要根據(jù)不同角色定位進(jìn)行分流，避免內(nèi)部用戶被劫持后，任意入侵網(wǎng)絡(luò)。

（三）服務(wù)器安全

服務(wù)器是具體承載數(shù)據(jù)中心的所有業(yè)務(wù)的載體，對它的安全防護(hù)也是安防工作的重點(diǎn)，無論是來自外部的威脅還是內(nèi)部的入侵都要做好管理，關(guān)鍵是要設(shè)計(jì)合理的信息安全管理體系。

三、數(shù)據(jù)中心安全防護(hù)措施

在對數(shù)據(jù)中心進(jìn)行信息安全管理的工作中，需要長時(shí)間、高質(zhì)量、不間斷地保證其安全性，有很大的難度。落實(shí)到具體的設(shè)計(jì)層面，需要根據(jù)安全需求做好前期的分析工作，通過頭腦風(fēng)暴的方式，針對可能存在的漏洞給出對應(yīng)的解決方案，同時(shí)為了避免出現(xiàn)頭痛醫(yī)頭腳痛醫(yī)腳的情況，必須要做好頂層設(shè)計(jì)。在結(jié)構(gòu)設(shè)計(jì)中，需要選擇安全可信賴的優(yōu)質(zhì)產(chǎn)品，相關(guān)技術(shù)應(yīng)用之間也需要保持配合，構(gòu)建一體化的安全防護(hù)體系。在選擇安全產(chǎn)品的時(shí)候，要保證各系統(tǒng)之間的聯(lián)動(dòng)性，相互配合，避免出現(xiàn)防護(hù)死角。針對數(shù)據(jù)中心，目前國內(nèi)已經(jīng)有相關(guān)防護(hù)標(biāo)準(zhǔn)設(shè)定，針對不同部分有不同標(biāo)準(zhǔn)，在設(shè)計(jì)中，需要做好獨(dú)立設(shè)計(jì)和防護(hù)體系應(yīng)用。例如，在用戶信息安全管理防護(hù)中，需要設(shè)計(jì)身份證認(rèn)證環(huán)節(jié)，確保用戶規(guī)范化進(jìn)入系統(tǒng)。

（一）環(huán)境安全防護(hù)

在數(shù)據(jù)中心通常是集中布局，便于降低成本和集中防護(hù)。首先，在終端設(shè)備的選擇上需要在適用性原則的基礎(chǔ)上選擇穩(wěn)定可靠的產(chǎn)品。對于數(shù)據(jù)中心很重要的一點(diǎn)就是供電的穩(wěn)定性，所以必須配備應(yīng)急的備用電源。其次，需要安裝環(huán)境溫度控制系統(tǒng)，對環(huán)境的溫度、濕度進(jìn)行監(jiān)控，讓機(jī)房的電磁輻射水平保持在一個(gè)合理的范圍。最后，數(shù)據(jù)中心存放大量電器設(shè)備，必須做好防水措施，以免因意外發(fā)生短路而造成損失。在系統(tǒng)設(shè)計(jì)中，防火措施也是必不可少，最好是采用主動(dòng)式的氣體滅火器，此類滅火裝置通過隔絕封閉空間內(nèi)的氧氣，達(dá)到滅火目的，因此人員進(jìn)入時(shí)要避免單人長時(shí)間獨(dú)處。除以上措施外，還應(yīng)該做好防雷措施，并對人員和物品的進(jìn)出進(jìn)行登記管理。

（二）網(wǎng)絡(luò)安全防護(hù)

為了讓系統(tǒng)在安全的環(huán)境下穩(wěn)定運(yùn)行，做好網(wǎng)絡(luò)安全防護(hù)措施是必不可少的。在內(nèi)外部網(wǎng)絡(luò)之間設(shè)置防火墻，濾進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)，控制和阻斷進(jìn)出網(wǎng)絡(luò)的訪問行為，記錄通過防火墻的信息內(nèi)容和行為，還可以對網(wǎng)絡(luò)的攻擊行為起到檢測的作用。通過漏洞掃描尋找網(wǎng)絡(luò)系統(tǒng)中的安全漏洞也是網(wǎng)絡(luò)安全防護(hù)的重要手段。漏洞掃描的主要目的就是先于入侵者發(fā)現(xiàn)漏洞并堵住漏洞，從而起到安全防護(hù)的作用。開啟安全日志，記錄非法用戶的登錄名稱、操作時(shí)間和行為等信息并給出警告，便于管理人員及時(shí)地發(fā)現(xiàn)問題，并作出反應(yīng)。安全日志并不會(huì)對非法行為采取措施，是一種被動(dòng)的防護(hù)策略。另外，應(yīng)該使用防毒、殺毒的一體化解決方案，可以有效的預(yù)防和阻止網(wǎng)絡(luò)病毒對系統(tǒng)的入侵。除了以上防護(hù)手段以外，對系統(tǒng)網(wǎng)絡(luò)采取分層、分級(jí)設(shè)計(jì)，對不同級(jí)別、不同角色的訪問權(quán)限進(jìn)行限制，確保網(wǎng)絡(luò)安全性。對流量進(jìn)行監(jiān)控審計(jì)，采取阻斷技術(shù)，檢測并阻止非法連接和訪問，只要發(fā)現(xiàn)未授權(quán)的訪問，就可以及時(shí)屏蔽，確保網(wǎng)絡(luò)的安全性。

（三）應(yīng)用安全防護(hù)

對于軟件安全防護(hù)，首先，要強(qiáng)化操作系統(tǒng)安全。就操作系統(tǒng)來說，其本身也具有一定的漏洞，數(shù)據(jù)中心的服務(wù)器操作系統(tǒng)應(yīng)該保持一致性，盡量減少問題的多樣性，降低維護(hù)系統(tǒng)的工作量。其次，應(yīng)用系統(tǒng)中的軟件也應(yīng)該保持一致性，并且要盡量避免將不安全的端口暴露在網(wǎng)絡(luò)中，做好軟件的遠(yuǎn)程監(jiān)控方案，并進(jìn)行補(bǔ)丁的自主更新。最后，做好應(yīng)用軟件的備份可以保證在應(yīng)用系統(tǒng)癱瘓時(shí)迅速恢復(fù)。

（四）數(shù)據(jù)安全防護(hù)

信息數(shù)據(jù)是高職學(xué)校數(shù)據(jù)中心最具核心的資產(chǎn)，包括學(xué)校的人事信息、財(cái)務(wù)記錄、學(xué)生數(shù)據(jù)等。有效地利用這些數(shù)據(jù)能夠?qū)W(xué)校決策、工作效率等方面產(chǎn)生積極的作用。目前，針對高校的網(wǎng)絡(luò)攻擊數(shù)不勝數(shù)，時(shí)有高校信息系統(tǒng)被攻破造成數(shù)據(jù)泄露的事件發(fā)生。從歷次的網(wǎng)絡(luò)攻防演練的結(jié)果來看，各高校的網(wǎng)絡(luò)安全措施并不到位，數(shù)據(jù)安全形勢并不樂觀。數(shù)據(jù)安全的狀態(tài)常常會(huì)發(fā)生變化，要想持續(xù)性的保護(hù)數(shù)據(jù)安全，首先，應(yīng)當(dāng)定期的展開數(shù)據(jù)風(fēng)險(xiǎn)評估，從而找出潛在的風(fēng)險(xiǎn)，評估范圍應(yīng)該盡可能的全面。此項(xiàng)工作可以幫助發(fā)現(xiàn)數(shù)據(jù)安全防護(hù)系統(tǒng)的漏洞，并根據(jù)評估報(bào)告優(yōu)化數(shù)據(jù)安全防護(hù)措施，避免數(shù)據(jù)安全事故帶來的重大損失。對數(shù)據(jù)的安全防護(hù)，一定要做好數(shù)據(jù)加密和訪問權(quán)限管理等措施。對于敏感數(shù)據(jù)要進(jìn)行加密處理，對于數(shù)據(jù)的訪問，需要通過認(rèn)證環(huán)節(jié)。其次，要采取分級(jí)的權(quán)限管理機(jī)制，根據(jù)功能的劃分來給用戶設(shè)置權(quán)限。在此基礎(chǔ)上，針對具體的業(yè)務(wù)對象或者數(shù)據(jù)內(nèi)容進(jìn)一步的細(xì)分權(quán)限設(shè)置。最后，數(shù)據(jù)安全泄漏事故往往是人為疏忽造成的，因此還應(yīng)該培訓(xùn)高校老師的數(shù)據(jù)安全意識(shí)，讓普通老師也認(rèn)識(shí)到數(shù)據(jù)資產(chǎn)的重要性，以及正確存儲(chǔ)、移交數(shù)據(jù)的方法。

四、數(shù)據(jù)中心的風(fēng)險(xiǎn)管控

除了采取上述安全防護(hù)措施以外，還應(yīng)對數(shù)據(jù)中心進(jìn)行風(fēng)險(xiǎn)管控，盡可能降低。數(shù)據(jù)中心機(jī)房是全校網(wǎng)絡(luò)的心臟地帶，包括服務(wù)器，IPS設(shè)備，業(yè)務(wù)系統(tǒng)等硬件和軟件設(shè)備的集合。高校的數(shù)據(jù)中心機(jī)房一般有專門的部門管理，對于日常的維護(hù)絕不是簡單的設(shè)備維修，而是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及的內(nèi)容繁雜，包括機(jī)房設(shè)備維修、系統(tǒng)補(bǔ)丁升級(jí)、安全日志審查等。因此，需要設(shè)計(jì)一套用來應(yīng)對風(fēng)險(xiǎn)的科學(xué)策略。

（一）風(fēng)險(xiǎn)識(shí)別

數(shù)據(jù)中心機(jī)房的風(fēng)險(xiǎn)管理主要涉及對風(fēng)險(xiǎn)的識(shí)別、分析、應(yīng)對等方面。其中，風(fēng)險(xiǎn)識(shí)別就是找出潛在的如機(jī)房火災(zāi)、漏水、停電等風(fēng)險(xiǎn)點(diǎn)，是風(fēng)險(xiǎn)管理中最重要的工作之一，是發(fā)現(xiàn)存在的風(fēng)險(xiǎn)并采取措施應(yīng)對風(fēng)險(xiǎn)的先決條件。可以使用德爾菲法，頭腦風(fēng)暴等方法收集匯總風(fēng)險(xiǎn)識(shí)別的內(nèi)容。在對數(shù)據(jù)中心日常管理和運(yùn)維的過程中，針對識(shí)別出的高風(fēng)險(xiǎn)因素，需要制定對應(yīng)的處置策略。風(fēng)險(xiǎn)是時(shí)刻存在的，需要提高風(fēng)險(xiǎn)意識(shí)，積極引入風(fēng)險(xiǎn)管理機(jī)制，才能在出現(xiàn)問題時(shí)候迅速解決。

數(shù)據(jù)中心日常運(yùn)維中存在的風(fēng)險(xiǎn)可以大致分為五類，主要包括設(shè)備風(fēng)險(xiǎn)、業(yè)務(wù)風(fēng)險(xiǎn)、運(yùn)維管理風(fēng)險(xiǎn)、自然風(fēng)險(xiǎn)等。其中的設(shè)備風(fēng)險(xiǎn)包含：服務(wù)器終端的風(fēng)險(xiǎn)，電源設(shè)備風(fēng)險(xiǎn)，環(huán)境 管理設(shè)備風(fēng)險(xiǎn)等。業(yè)務(wù)風(fēng)險(xiǎn)主要包括網(wǎng)絡(luò)事故引起的一般性的業(yè)務(wù)風(fēng)險(xiǎn)和其他原因?qū)е碌臉I(yè) 務(wù)質(zhì)量下降風(fēng)險(xiǎn)等。運(yùn)維管理風(fēng)險(xiǎn)主要是由制度漏洞和管理人員安全意識(shí)薄弱引發(fā)的風(fēng)險(xiǎn)等。自然風(fēng)險(xiǎn)主要包括火災(zāi)、水災(zāi)、電磁干擾等。

（二）風(fēng)險(xiǎn)分析

對數(shù)據(jù)中心的風(fēng)險(xiǎn)分析是指運(yùn)用適當(dāng)?shù)脑u估方式，判斷風(fēng)險(xiǎn)發(fā)生的概率以及風(fēng)險(xiǎn)可能造成的破壞力度，同時(shí)提醒運(yùn)維管理人員對可能造成事故的高風(fēng)險(xiǎn)，進(jìn)行密切關(guān)注，及時(shí)處置。

（三）風(fēng)險(xiǎn)應(yīng)對

風(fēng)險(xiǎn)管控的方法有很多種，比如風(fēng)險(xiǎn)預(yù)防，就是在風(fēng)險(xiǎn)發(fā)生之前指定應(yīng)對措施，一旦發(fā)生風(fēng)險(xiǎn)即可按照應(yīng)急方案采取措施，將損失降到最低。另外還可以對風(fēng)險(xiǎn)進(jìn)行轉(zhuǎn)移，因?yàn)閿?shù)據(jù)中心24 小時(shí)不停運(yùn)轉(zhuǎn)，單靠信息技術(shù)中心一個(gè)部門不能百分之百保障一年365 天的安全，可以通過與第三方公司簽訂維保協(xié)議，將風(fēng)險(xiǎn)轉(zhuǎn)移給第三方。

五、結(jié)語

數(shù)據(jù)中心的信息安全管理對于學(xué)校信息系統(tǒng)的正常運(yùn)轉(zhuǎn)有著重要作用，涉及到各部門的業(yè)務(wù)系統(tǒng)等軟硬件設(shè)備，所以，高校數(shù)據(jù)中心的運(yùn)行和維護(hù)是一個(gè)持續(xù)性的復(fù)雜工作。必須要做好相關(guān)的信息安全管理保障。在設(shè)計(jì)數(shù)據(jù)中心的信息安全管理體系時(shí)，仔細(xì)的研判各環(huán)節(jié)的潛在危險(xiǎn)，制定相應(yīng)措施，保障數(shù)據(jù)中心的高效穩(wěn)定的運(yùn)行。