水利數據中心安全保障體系研究

摘要：隨著“互聯網+”時代的到來，大數據、云計算等IT技術發展迅速，應用日益廣泛。水利行業數據中心建設快速發展的同時，數據安全及保護問題越發凸顯。探討水利行業數據中心安全保障體系建設，提出數據中心安全策略。

關鍵詞：數據中心；云計算；安全保障；等級保護；IPS

DOIDOI：10.11907/rjdk.171736

中圖分類號：TP309.2

文獻標識碼：A 文章編號：1672-7800（2017）006-0174-02

0 引言

“互聯網+”時代的到來深刻影響著每個行業，給水利行業帶來了信息化變革。隨著移動互聯網、云計算、大數據、物聯網等一系列新興IT技術的發展，水利行業將迎來全面升級的“2.0時代”[1-3]。水利數據中心建設是水利信息化發展的重要環節，是推動水利信息化從“1.0時代”向“2.0時代”邁進的堅實一步。目前，水利信息化已滲透到水利工作每一個環節，成為整個水利工作的神經系統，網絡和應用系統能否穩定和安全運行，將直接影響到防汛抗災、水資源管理、水環境、水生態保護等各項工作的開展。隨著數據中心建設及運行，數據安全及保護的重要性日益凸顯[4]。加強數據中心安全保障體系建設尤為重要。信息安全等級保護為數據中心安全保障體系建設提供了理論支撐[5]。

1 信息安全等級保護及數據中心安全

按照相關定義，信息系統安全等級保護工作主要分為定級、備案、建設整改、等級測評和監督檢查等環節[6]。按照國家《信息系統安全等級保護定級指南》和水利部《水利網絡與信息安全體系建設基本技術要求》，結合水利信息化的現狀，本文水利數據中心的安全等級為第三級。

本文提出數據中心安全策略由“三個體系”、“一個中心”、“三重防護”構成，簡稱“313工程”，如圖1所示。

三個體系：信息安全管理體系、信息安全技術體系和信息安全運維體系。三大體系構成了信息安全保護框架的核心內容。

一個中心：信息安全管理中心是信息安全保障框架的核心，是三大體系的執行點與校驗點。信息安全中心包括系統管理、安全管理和審計管理。

三重防護：通過三層結構實現信息安全保護，物理、制度、人員是信息安全保護的基礎，分別對應著物理安全、制度安全和人員管理安全。

按照分區分域建設原則，水利數據中心等級保護安全建設的體系結構和邏輯組成如圖2所示。

2 信息安全管理體系建設

（1）組織機構建設。建立計劃、財務、建設管理部門會同信息安全主管部門定期協調和溝通制度，確保信息安全項目立項，項目建設資金有保障，建設管理規范，同時加強對信息安全投入的統籌管理。加強各級水利信息化工程或系統之間的銜接和協調。強化安全管理部門的職能，定期召開信息安全工作領導小組會議，確定年度重點信息安全項目，共同推動信息安全工作的組織實施。建立一把手抓信息安全工作的組織體制，充分調動各部門、各單位積極性和主動性，相互配合。

（2）人員安全建設。充分利用各種途徑和方式，建設全方位、多層次、高素質的信息安全人才隊伍。統籌制定水利信息化安全人才需求分析與人才隊伍建設計劃。以崗位培訓和繼續教育為重點，提高信息化安全工作思想意識，知識結構和組織能力，提高各級信息安全技術人員的理論水平和實踐操作能力；采用引進與培養相結合的方式，培養一批精通水利知識和信息安全的復合型人才；建立有利于吸引人才、留住人才的激勵機制和用人機制，逐漸建成一支素質高、技術好、業務強與水利信息化需求和信息安全建設相適應的技術隊伍[7]。

（3）制度標準建設。標準化是實現信息安全的基本要求，信息安全體系建設與管理需要統一的制度標準。為此，需建立健全標準規范體系，構建一個科學、系統、先進和開放的水利信息安全標準體系框架。目前，在信息采集、匯集、交換、存儲、處理和服務等環節已有技術標準。對缺乏相關標準或標準不能完全滿足信息安全的環節，需要根據信息安全建設具體情況，參照國際、國內標準，制定相應的信息化的標準體系，建設相關標準，逐步實現信息安全建設的標準化。

3 信息安全技術體系建設

3.1 物理層建設

物理層是信息安全技術體系的基礎，一般指機房及配套設施的建設，具體包括：機房裝飾、供配電系統安裝、空調新風系統安裝、消防報警系統安裝、防雷接地系統安裝、安防系統安裝及機房動力環境監控系統安裝[8]。

3.2 網絡層建設

網絡層建設是基于物理層建設，網絡安全設備主要包括網絡防火墻、IPS（入侵檢測防御）、網絡安全審計等。

（1）網絡防火墻。防火墻是關鍵的安全保障設備之一，其原理是通過過濾存在隱患及不安全信息的數據包，達到保護網絡安全的目的，其典型網絡拓撲結構如圖3所示。

通過制定網絡協議，達到控制數據流的作用。防火墻能夠禁止不安全的NFS協議，阻止外部攻擊者利用脆弱的協議來攻擊內部網絡。防火墻是一個重要的內外網隔離設備，通過設置網絡內外隔離，達到限制外部網段對內網中敏感網段的訪問。防火墻是隱私保護的重要設備，隨著信息社會的不斷發展，現階段隱私保護越來越被重視，防火墻可以通過對敏感網段的屏蔽，對敏感信息進行簡單的加噪聲來保護隱私不被泄露。

（2）IPS：是Intrusion Prevention System的簡稱，即入侵預防系統，是防火墻的重要補充和輔助系統。隨著網絡的普及，網絡內部和外部的威脅越來越多，目前流行的有DoS（Denial of Service 拒絕服務）、DDoS（Distributed DoS 分布式拒絕服務）、暴力猜解（Brut-Force-Attack）、端口掃描（Portscan）等。入侵預防系統也是一種主動入侵檢測設備，可以查找其備案的具有潛在攻擊的數據包，并將其過濾。

（3）網絡安全審計：網絡安全審計是一個發現網絡及系統漏洞入侵行為的過程。制定安全策略，利用記錄和數據挖掘等功能找到可疑數據IP及訪問行為；最后生成報表供網絡管理員查看。網絡管理員對可疑的數據、IP、網絡行為進行屏蔽。

3.3 數據資源安全建設

數據安全涉及數據采集、傳輸、存儲、發布分發和備份過程，主要指數據的機密性、完整性和可用性。數據的機密性主要依靠加密算法來保證，數據的完整性主要利用數據備份和還原措施來保證，數據的可用性主要利用數據校驗來保證。

3.4 應用程序安全建設

應用程序的安全措施主要是在程序系統中實行統一的權限管理，建立CA證書系統，建立統一的門戶，避免多點登錄情況。使得權限管理在一個統一的安全框架下，對系統內部權限按崗分配。同時開發安全的應用程序，對程序的代碼進行審計，查找安全漏洞，保障網絡安全。

4 信息安全運維體系

（1）機房管理制度。明確操作人員的各項操作，制訂管理人員出入規定，制訂防止計算機病毒感染和傳播的相應制度，建立各系統專人管理制度和其它相關規定（如電力供應、溫度、濕度、清潔度、安全防火等）。

（2）運行管理制度。對系統運行過程中的異常情況做好記錄，及時報告；嚴禁以非正常方式修改信息系統中的各種數據；明確數據備份制度，確保系統數據安全。

（3）運行日志制度。系統運行日志不僅可以為信息系統運行提供歷史資料，而且可以為查找系統故障提供線索。因此，必須準確記錄并妥善保存系統運行日志，主要包括時間、操作人員、系統運行情況、異常情況記錄、值班人員簽字、負責人簽字等內容。

5 結語

本文結合國家《信息系統安全等級保護定級指南》和水利部《水利網絡與信息安全體系建設基本技術要求》的技術要點，提出了水利行業信息安全運行體系建設思路及策略，建立了一套切合實際、科學合理的運行管理體制。大數據及云計算時代，系統安全的保護難度在逐漸加大，安全保障體系建設也需要不斷強化。

參考文獻：

[1]莫岱青. 兩會政府工作報告首倡“互聯網+”的意義[J]. 計算機與網絡，2015（6）：10-11.

[2]張建勛，古志民，鄭超.云計算研究進展綜述[J].計算機應用研究，2010（2）：429-433.

[3]王元卓，靳小龍，程學旗.網絡大數據：現狀與展望[J].計算機學報，2013（6）：1125-1138.

[4]李丹，陳貴海，任豐原，蔣長林，徐明偉.數據中心網絡的研究進展與趨勢[J]. 計算機學報，2014（2）：259-274.

[5]馮登國，張陽，張玉清.信息安全風險評估綜述[J].通信學報，2004，25（7）：245-268.

[6]沈昌祥.云計算安全與等級保護[J].信息安全與通信保密，2012（1）：16-17.

[7]張棟冰，蘭義華.信息安全專業人才培養的思考[J].軟件導刊，2008（6）：8-10.

[8]于華川.計算機網絡信息安全研究[J].軟件導刊，2010（2）：124-126.

[9]李廣.等級保護三級系統建設實踐[J].計算機安全，2010（8）：82-84.

（責任編輯：陳福時）