論信息系統中關鍵數據的深度防護

蘭 蕊,劉旭生

1.忻州師范學院,山西忻州 034000

2.山西忻州供電分公司,山西忻州 034000

論信息系統中關鍵數據的深度防護

蘭 蕊1,劉旭生2

1.忻州師范學院,山西忻州 034000

2.山西忻州供電分公司,山西忻州 034000

關鍵數據的安全直接關系著現代企業的發展命脈，針對企業關鍵數據安全的重要性，本文提出了建立信息系統中關鍵數據的深度防護體系，從信息設備、網絡傳輸和數據加密3個方面論述了關鍵數據深度防護體系的必要性和可靠性。通過在某大型企業部署深度防護體系，大大增強了關鍵數據的安全性，同時也大大提高了整個網絡與信息系統的穩定性。實踐證明該種深度防護體系能有效保障關鍵數據的安全性。

關鍵數據；數據保護；訪問控制；加密

1 信息系統中保護關鍵數據的重要性

信息化發展到今天，關鍵數據成為現代企業的核心競爭力，保護數據則成為一個企業立于不敗之地的要素之一。人為操作不當、應用程序漏洞、病毒和黑客攻擊都有可能造成數據丟失或損壞，如何能最大限度的保護數據不被這些因素破壞已成為一個企業的重中之重。

目前，大多數企業的信息系統均采用客戶終端—應用服務器—數據庫服務器的三級業務模式，如圖1所示，企業的關鍵數據放置在數據庫服務器區域，該區域的數據是否安全呢，答案是不安全。從系統的體系架構上來看，由客戶端向應用服務器發起訪問請求，應用服務器根據情況向數據庫發送請求，數據庫作出響應并由應用服務器反饋給客戶端，原則上客戶端并不直接訪問數據庫。但從圖1的拓撲上就可以看出，應用服務器區域和數據庫服務器區域的所有服務器通過網絡對客戶端都是透明的，沒有訪問控制設備和相應的措施，非法用戶、黑客、病毒通過網絡都可以侵入數據庫服務器區域，對關鍵數據造成破壞，因此關鍵數據是不安全的，需要構建深度防護體系。

圖1

2 關鍵數據深度防護體系的構成

構建關鍵數據的深度防護體系需要從以下3方面來解決：

1）實施數據保護技術，對關鍵設備實行服務器容錯，部署數據備份體系，制定合理的災難恢復和容災方案，確保當發生數據災難時能及時完整的恢復數據；

2）加強訪問控制措施，對信息系統體系進行“分區分級”，逐級進行防護，確保各級系統只能讓授權用戶訪問被授權的數據，不能越級訪問；

3）部署數據加密體系，針對數據庫層、應用服務層和客戶終端層分別進行節點加密、鏈路加密和端對端加密，防止數據在傳輸時被竊聽、泄漏、篡改和破壞。

3 實施數據保護技術，提高自身的可靠性

3.1 對關鍵設備實行服務器容錯

采用雙機熱備技術或服務器集群技術對存放重要數據的服務器實行服務器容錯，可以極大地降低企業業務在災難發生時的損失，保證業務系統的7×24小時不間斷運轉。

3.2 部署數據備份體系

數據備份是一種十分重要的數據安全策略，通過備份軟件把數據備份到磁帶設備或是其它設備上，在原始數據丟失或遭到破壞的情況下，利用備份數據把原始數據恢復出來，使系統能夠正常工作。從備份方案來看，主要有完全備份、增量備份和差異備份3種，一般都是結合使用。網絡存儲備份管理系統可以對整個網絡的數據進行備份管理，系統管理員可對全網的備份策略進行統一管理，備份服務器可以監控所有機器的備份作業，也可以修改備份策略，并可即時瀏覽所有目錄。

3.3 制定合理的災難恢復和容災方案

數據恢復與備份技術本身并不沖突，前者作為后者的補救手段。常見容災系統按業務系統不同、所要求的RTO和RPO不同，可分為介質容災、遠程備份容災、數據容災和應用容災等四種類型（本文只討論數據容災）。數據容災的保護對象是業務數據，容災方案必須能夠實現對數據庫數據、基于文件系統的數據，甚至對系統的數據卷，進行實時有效保護。根據數據的需要，可以實現數據文件容災、數據庫容災、存儲網絡層數據容災、數據卷容災、磁盤陣列級數據容災等功能。

4 加強訪問控制措施，避免非法用戶訪問

如圖2所示，將整個系統拓撲分為3個大區：客戶終端區、應用服務器區和數據庫區。在客戶終端區和應用服務器區之間部署第一道防火墻和入侵防御系統IPS（圖2中的防火墻1和IPS）。對應用服務器區的服務分為公共服務類和專業服務類。公共服務是為所有終端提供服務的，比如DNS服務、全局性的WWW服務、網絡版殺毒軟件分發、辦公系統服務等，此類服務幾乎所有終端都會使用，所以對此類服務進行端口控制，不進行IP限制。如DNS服務器只打開53端口，防火墻1設置策略：只有通過53端口才能訪問DNS服務器。專業服務如財務、生產、營銷等應用服務等，該類型服務是局限在某類專業人員范圍內使用的，用戶不多，因此防火墻1設置策略：只有專業用戶終端的IP地址通過特定的端口才可以訪問對應的專業服務。在防火墻1和交換機1之間部署IPS，通過IPS深入到7層的分析與檢測，實時阻斷網絡流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、DDoS等攻擊和惡意行為，并對分布在網絡中的各種P2P、IM等非關鍵業務進行有效管理，實現對網絡應用、網絡基礎設施和網絡性能的全面保護。

在應用服務器區和數據庫區部署第二道防火墻（圖2中的防火墻2），因為數據庫區存儲的都是關鍵數據，所以它是整個信息系統的核心。數據庫區的數據都是通過應用服務器來提交的，客戶終端不可能直接向數據庫中存數數據，因此在防火墻2上部署策略：只允許特定的應用服務器通過特定的端口訪問對應數據庫中的數據，并開啟日志。

如上所述，對應用服務器區的防護形成一級防護，防止客戶終端對應用服務進行非法訪問或攻擊，保證了應用服務器區的安全；對數據庫區的防護形成二級防護，防止非法用戶直接訪問或通過應用服務器訪問數據庫，確保數據安全。用戶終端只能通過特定的端口或特定IP來訪問對應的應用服務器，數據庫只能被指定的應用服務器訪問，不能越權越級訪問，保證了整個信息系統安全穩定運行。

圖2

5 部署數據加密體系，防止機密數據丟失

網絡加密技術就是指對數據進行編碼使其看起來毫無意義，同時仍保持其可恢復的形式，接收到的加密消息可以被解密，轉換回它原來的可理解的形式。加密可以在網絡的不同層次上進行，對應于數據庫層、應用服務層和客戶終端層的3層模式可以分別用節點加密、鏈路加密和端對端加密對數據進行保護。

1）節點加密。它對數據庫層加密，它僅對報文加密而不對報頭加密，以便于傳輸路由根據其報頭的標識進行選擇；

2）鏈路加密。它對數據庫層和應用服務層之間的傳輸鏈路進行加密。鏈路加密側重與在通信鏈路上而不考慮信源和信宿，是對保密信息通過各鏈路采用不同的加密密鑰提供安全保護的。它面向節點，對于客戶終端層主體是透明的；

3）端對端加密。它對客戶終端層進行加密，不對下層協議進行信息加密，協議信息以明文形式傳輸，用戶數據在中央節點不需解密。由于網絡本身并不會知道正在傳送的數據是加密數據，這對防止拷貝網絡軟件和軟件漏洞也很有效。而且網絡上的每個用戶可以擁有不同的加密密鑰，網絡本身不需要增添任何專門的加解密設備，但每個系統具備加密設備與軟件。6 結論

關鍵數據的安全已成為一個企業信息化的核心內容，保證關鍵數據的安全是信息化工作的必需。本文深入討論了關鍵數據深度防護體系，對設備實施數據保護技術、對網絡加強訪問控制措施、對數據進行加密，從關鍵數據可能出現安全問題的3個方面分別進行了論述并提出解決方案，通過該體系的實施可以保證關鍵數據的安全。

[1]郭鑫，催紅霞，姜彬.企業網絡安全致勝寶典[M].電子工業出版社.網絡技術，2007，10.

[2]陳逸，謝霆.網絡優化與故障檢修手冊[M].電子工業出版社.網絡技術，2005，9.

[3]李輝，張立，宋曉倩.黑客攻防與計算機病毒分析檢測安全解決方案[M].電子信息技術出版社，2006，6.

[4]Catherine paquet，Diane Teare.組建可擴展的Cisco互連網絡[M].人民郵電出版社，2004，2.

[5]何艷輝，王達.網管員必讀—網絡管理[M].電子工業出版社，2005，3.

[6]仲治國.搞定黑客當好網管[M].電腦報電子音像出版社，2009，4.

TP393

A

1674-6708（2011）35-0178-02