高職學校數據中心的信息安全分析和風險管理

李一楠 瀘州職業技術學院

隨著數字化校園的快速發展，信息系統對高職學校的日常運轉起到了越來越重要的作用。學校的一些重要系統，如教務系統、學工系統、財務系統、人事管理系統、辦公系統等，一方面讓學校的日常運行實現了信息化，另一方面也產生了大量的數據。數據中心作為高職院校的信息化建設的核心，它的地位是非常重要的。建設一個結構先進的、安全可靠的數據中心，是高職院校發展過程中面臨的一個重大任務。因此需要加強對數據中心的信息安全管理，確保數據的安全性和有效傳輸。

一、數據中心的信息安全管理

數據中心，涉及到學校的教務、人事、學工、財務等敏感信息，這些信息的安全保障對于一個高校的正常運轉來說非常重要。必須要對數據中心的信息安全管理體系進行合理有效的設計，才能夠避免受到由外部攻擊或者內部安全隱患帶來的數據安全問題，從而保障學校、老師以及學生的利益。

二、數據中心的安全分析

（一）環境安全

環境安全是數據中心自身存在的一些安全漏洞帶來的，包括服務器的可靠性、綜合布線系統的合理性、設備的性能、供電系統的穩定性等，這些因素都會影響到數據中心的運行狀態。此外防火、防水、溫度控制系統等方面，也是影響數據中心的數據中心安全運行的重要因素。一般來講，高校的數據中心作為全校所有信息化系統的心臟地帶，其重要性不言而喻，因此對于人員、物品進出都要嚴格管理。

（二）數據的傳輸安全

高校數據中心的數據安全防護是國家教育信息化和國家網絡安全中的重要一環。合理應用數據安全防護技術，可以有效降低高校數據泄露風險隱患，防范數據泄露安全事件的發生，為高校信息化建設發展保駕護航。數據中心承載高職院校大量重要業務數據，以及教師、學生的個人信息，安全地位十分重要。當前的互聯網環境復雜，充斥大量的惡意攻擊和木馬病毒等，對于數據中心來說是嚴峻的威脅。數據中心頻繁受到網絡攻擊，存在較大風險丟失和泄露數據。所以要針對不同的潛在威脅做好防護手段，如上網認證、行為審計、流量監控、堡壘主機等措施都可以起到很好的防護效果。此外還需要對敏感信息加密，強化監控系統。內部用戶也要根據不同角色定位進行分流，避免內部用戶被劫持后，任意入侵網絡。

（三）服務器安全

服務器是具體承載數據中心的所有業務的載體，對它的安全防護也是安防工作的重點，無論是來自外部的威脅還是內部的入侵都要做好管理，關鍵是要設計合理的信息安全管理體系。

三、數據中心安全防護措施

在對數據中心進行信息安全管理的工作中，需要長時間、高質量、不間斷地保證其安全性，有很大的難度。落實到具體的設計層面，需要根據安全需求做好前期的分析工作，通過頭腦風暴的方式，針對可能存在的漏洞給出對應的解決方案，同時為了避免出現頭痛醫頭腳痛醫腳的情況，必須要做好頂層設計。在結構設計中，需要選擇安全可信賴的優質產品，相關技術應用之間也需要保持配合，構建一體化的安全防護體系。在選擇安全產品的時候，要保證各系統之間的聯動性，相互配合，避免出現防護死角。針對數據中心，目前國內已經有相關防護標準設定，針對不同部分有不同標準，在設計中，需要做好獨立設計和防護體系應用。例如，在用戶信息安全管理防護中，需要設計身份證認證環節，確保用戶規范化進入系統。

（一）環境安全防護

在數據中心通常是集中布局，便于降低成本和集中防護。首先，在終端設備的選擇上需要在適用性原則的基礎上選擇穩定可靠的產品。對于數據中心很重要的一點就是供電的穩定性，所以必須配備應急的備用電源。其次，需要安裝環境溫度控制系統，對環境的溫度、濕度進行監控，讓機房的電磁輻射水平保持在一個合理的范圍。最后，數據中心存放大量電器設備，必須做好防水措施，以免因意外發生短路而造成損失。在系統設計中，防火措施也是必不可少，最好是采用主動式的氣體滅火器，此類滅火裝置通過隔絕封閉空間內的氧氣，達到滅火目的，因此人員進入時要避免單人長時間獨處。除以上措施外，還應該做好防雷措施，并對人員和物品的進出進行登記管理。

（二）網絡安全防護

為了讓系統在安全的環境下穩定運行，做好網絡安全防護措施是必不可少的。在內外部網絡之間設置防火墻，濾進出網絡數據，控制和阻斷進出網絡的訪問行為，記錄通過防火墻的信息內容和行為，還可以對網絡的攻擊行為起到檢測的作用。通過漏洞掃描尋找網絡系統中的安全漏洞也是網絡安全防護的重要手段。漏洞掃描的主要目的就是先于入侵者發現漏洞并堵住漏洞，從而起到安全防護的作用。開啟安全日志，記錄非法用戶的登錄名稱、操作時間和行為等信息并給出警告，便于管理人員及時地發現問題，并作出反應。安全日志并不會對非法行為采取措施，是一種被動的防護策略。另外，應該使用防毒、殺毒的一體化解決方案，可以有效的預防和阻止網絡病毒對系統的入侵。除了以上防護手段以外，對系統網絡采取分層、分級設計，對不同級別、不同角色的訪問權限進行限制，確保網絡安全性。對流量進行監控審計，采取阻斷技術，檢測并阻止非法連接和訪問，只要發現未授權的訪問，就可以及時屏蔽，確保網絡的安全性。

（三）應用安全防護

對于軟件安全防護，首先，要強化操作系統安全。就操作系統來說，其本身也具有一定的漏洞，數據中心的服務器操作系統應該保持一致性，盡量減少問題的多樣性，降低維護系統的工作量。其次，應用系統中的軟件也應該保持一致性，并且要盡量避免將不安全的端口暴露在網絡中，做好軟件的遠程監控方案，并進行補丁的自主更新。最后，做好應用軟件的備份可以保證在應用系統癱瘓時迅速恢復。

（四）數據安全防護

信息數據是高職學校數據中心最具核心的資產，包括學校的人事信息、財務記錄、學生數據等。有效地利用這些數據能夠對學校決策、工作效率等方面產生積極的作用。目前，針對高校的網絡攻擊數不勝數，時有高校信息系統被攻破造成數據泄露的事件發生。從歷次的網絡攻防演練的結果來看，各高校的網絡安全措施并不到位，數據安全形勢并不樂觀。數據安全的狀態常常會發生變化，要想持續性的保護數據安全，首先，應當定期的展開數據風險評估，從而找出潛在的風險，評估范圍應該盡可能的全面。此項工作可以幫助發現數據安全防護系統的漏洞，并根據評估報告優化數據安全防護措施，避免數據安全事故帶來的重大損失。對數據的安全防護，一定要做好數據加密和訪問權限管理等措施。對于敏感數據要進行加密處理，對于數據的訪問，需要通過認證環節。其次，要采取分級的權限管理機制，根據功能的劃分來給用戶設置權限。在此基礎上，針對具體的業務對象或者數據內容進一步的細分權限設置。最后，數據安全泄漏事故往往是人為疏忽造成的，因此還應該培訓高校老師的數據安全意識，讓普通老師也認識到數據資產的重要性，以及正確存儲、移交數據的方法。

四、數據中心的風險管控

除了采取上述安全防護措施以外，還應對數據中心進行風險管控，盡可能降低。數據中心機房是全校網絡的心臟地帶，包括服務器，IPS設備，業務系統等硬件和軟件設備的集合。高校的數據中心機房一般有專門的部門管理，對于日常的維護絕不是簡單的設備維修，而是一項復雜的系統工程，涉及的內容繁雜，包括機房設備維修、系統補丁升級、安全日志審查等。因此，需要設計一套用來應對風險的科學策略。

（一）風險識別

數據中心機房的風險管理主要涉及對風險的識別、分析、應對等方面。其中，風險識別就是找出潛在的如機房火災、漏水、停電等風險點，是風險管理中最重要的工作之一，是發現存在的風險并采取措施應對風險的先決條件。可以使用德爾菲法，頭腦風暴等方法收集匯總風險識別的內容。在對數據中心日常管理和運維的過程中，針對識別出的高風險因素，需要制定對應的處置策略。風險是時刻存在的，需要提高風險意識，積極引入風險管理機制，才能在出現問題時候迅速解決。

數據中心日常運維中存在的風險可以大致分為五類，主要包括設備風險、業務風險、運維管理風險、自然風險等。其中的設備風險包含：服務器終端的風險，電源設備風險，環境 管理設備風險等。業務風險主要包括網絡事故引起的一般性的業務風險和其他原因導致的業 務質量下降風險等。運維管理風險主要是由制度漏洞和管理人員安全意識薄弱引發的風險等。自然風險主要包括火災、水災、電磁干擾等。

（二）風險分析

對數據中心的風險分析是指運用適當的評估方式，判斷風險發生的概率以及風險可能造成的破壞力度，同時提醒運維管理人員對可能造成事故的高風險，進行密切關注，及時處置。

（三）風險應對

風險管控的方法有很多種，比如風險預防，就是在風險發生之前指定應對措施，一旦發生風險即可按照應急方案采取措施，將損失降到最低。另外還可以對風險進行轉移，因為數據中心24 小時不停運轉，單靠信息技術中心一個部門不能百分之百保障一年365 天的安全，可以通過與第三方公司簽訂維保協議，將風險轉移給第三方。

五、結語

數據中心的信息安全管理對于學校信息系統的正常運轉有著重要作用，涉及到各部門的業務系統等軟硬件設備，所以，高校數據中心的運行和維護是一個持續性的復雜工作。必須要做好相關的信息安全管理保障。在設計數據中心的信息安全管理體系時，仔細的研判各環節的潛在危險，制定相應措施，保障數據中心的高效穩定的運行。