隨著各項(xiàng)業(yè)務(wù)不斷推陳出新,我國(guó)各大銀行業(yè)金融機(jī)構(gòu)陸續(xù)著手加強(qiáng)自身的信息化基礎(chǔ)設(shè)施建設(shè),以豐富信息利用手段、提高決策判斷水平。在此過(guò)程中,各商業(yè)銀行分別將數(shù)據(jù)集中到省級(jí)數(shù)據(jù)中心,或者建立大型區(qū)域數(shù)據(jù)中心,有的甚至形成了成熟完整的國(guó)家數(shù)據(jù)中心,數(shù)據(jù)集中進(jìn)程發(fā)展迅速。數(shù)據(jù)集中極大提升了銀行的核心競(jìng)爭(zhēng)力和服務(wù)水平,但同時(shí)也將數(shù)據(jù)安全風(fēng)險(xiǎn)集中到了數(shù)據(jù)中心,由于各種類型的業(yè)務(wù)數(shù)據(jù)直接匯聚到數(shù)據(jù)中心進(jìn)行統(tǒng)一管理,數(shù)據(jù)中心變得愈加龐大和復(fù)雜,其中的數(shù)據(jù)也變得愈加關(guān)鍵。本文在區(qū)域數(shù)據(jù)中心建設(shè)的背景下探討如何認(rèn)識(shí)和提高信息安全防護(hù)技術(shù)。
一、信息安全防護(hù)技術(shù)的發(fā)展
(一)信息安全的概念
信息安全是指數(shù)據(jù)信息在存儲(chǔ)、傳遞和處理過(guò)程中保持其完整、真實(shí)、可用和不被泄漏的特性,即保密性、完整性、可用性、可控性和可審查性。信息安全的對(duì)象主要有實(shí)體安全、網(wǎng)絡(luò)安全、傳輸安全、應(yīng)用安全和用戶安全。
(二)信息安全技術(shù)防護(hù)發(fā)展歷史
信息安全技術(shù)防護(hù)的發(fā)展歷史大致可分為三個(gè)階段。
1.系統(tǒng)審計(jì)技術(shù)階段。主要是側(cè)重于記錄用戶使用信息系統(tǒng)的過(guò)程,以便審計(jì)人員事后發(fā)現(xiàn)用戶的違規(guī)操作行為,但其管理功能有限,且無(wú)法及時(shí)阻止違規(guī)行為的發(fā)生。
2.主機(jī)監(jiān)控技術(shù)階段。主要是防止單臺(tái)主機(jī)信息泄漏和違規(guī)操作行為發(fā)生,具有初步的主動(dòng)防護(hù)功能并有較強(qiáng)的控制手段,女N夕t-設(shè)控制、主機(jī)網(wǎng)絡(luò)控制、用戶認(rèn)證等,但采用的主要還是單點(diǎn)加固的機(jī)制,防護(hù)體系不夠完整,存在安全“瓶頸”。
3.可信網(wǎng)絡(luò)與數(shù)據(jù)安全技術(shù)階段。在這一階段,強(qiáng)化了整體防御能力,增加了“可信”的概念,其中包括可信終端、可信軟件和可信用戶等內(nèi)容。整個(gè)控制過(guò)程不僅僅限于單一的時(shí)間點(diǎn),而是從終端系統(tǒng)接入網(wǎng)絡(luò)開(kāi)始的整個(gè)生命周期,利用交換機(jī)、防火墻對(duì)非法終端進(jìn)行隔離,利用入侵檢測(cè)、防病毒、漏洞掃描、審計(jì)軟件等對(duì)用戶行為進(jìn)行檢測(cè),借助補(bǔ)丁軟件、木馬專殺工具對(duì)終端進(jìn)行保護(hù)。除整體防御之外,它也更加貼近關(guān)鍵數(shù)據(jù),通過(guò)透明的加密技術(shù)、虛擬磁盤技術(shù)、文件重定向技術(shù)直接保護(hù)電-T文檔和數(shù)據(jù)的安全。
二、區(qū)域數(shù)據(jù)中心面臨的主要技術(shù)風(fēng)險(xiǎn)
除了承受自然災(zāi)害、人為破壞、操作失誤、系統(tǒng)軟硬件故障等風(fēng)險(xiǎn)外,由于區(qū)域數(shù)據(jù)中心是將全省或者幾個(gè)省的業(yè)務(wù)和數(shù)據(jù)集于一體,具有聯(lián)網(wǎng)網(wǎng)點(diǎn)數(shù)量巨大、聯(lián)網(wǎng)網(wǎng)點(diǎn)地域分布廣闊、聯(lián)網(wǎng)交易數(shù)量龐大等特點(diǎn),因而又面臨由集中帶來(lái)的以下幾類技術(shù)風(fēng)險(xiǎn)。
(一)業(yè)務(wù)系統(tǒng)整合帶來(lái)的風(fēng)險(xiǎn)。根據(jù)區(qū)域數(shù)據(jù)中心“數(shù)據(jù)集中、資源整合”的要求,原來(lái)分散開(kāi)發(fā)和部署的應(yīng)用系統(tǒng)在數(shù)據(jù)集中的環(huán)境下需要作進(jìn)一步的梳理和整合,在此轉(zhuǎn)變過(guò)程中,硬件的更新、軟件的升級(jí)以及整合之后系統(tǒng)之間的相互制約,都會(huì)對(duì)各系統(tǒng)產(chǎn)生一定的影響。如果遷移整合過(guò)程沒(méi)有規(guī)范的標(biāo)準(zhǔn)作為準(zhǔn)則,或者出現(xiàn)細(xì)節(jié)上的失誤,都會(huì)對(duì)各系統(tǒng)的平穩(wěn)連續(xù)運(yùn)行造成不良影響。
(二)數(shù)據(jù)自身的安全風(fēng)險(xiǎn)。隨著大部分業(yè)務(wù)數(shù)據(jù)都基本上集中在數(shù)據(jù)中心,其分析利用的效率固然會(huì)大大提高,但數(shù)據(jù)集中的過(guò)程也是風(fēng)險(xiǎn)相對(duì)集中的過(guò)程,一旦數(shù)據(jù)中心的存儲(chǔ)數(shù)據(jù)發(fā)生丟失、混亂或是被破壞等現(xiàn)象,造成的后果將蔓延至整個(gè)區(qū)域范圍,造成大范圍的不良影響。
(三)系統(tǒng)設(shè)計(jì)不科學(xué)帶來(lái)的風(fēng)險(xiǎn)。區(qū)域數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)應(yīng)具有基本的海量聯(lián)機(jī)事務(wù)處理能力,在對(duì)此類系統(tǒng)進(jìn)行開(kāi)發(fā)之前,對(duì)單位時(shí)間內(nèi)事務(wù)或交易發(fā)生量的估算非常重要,下方面要對(duì)基本的處理能力作準(zhǔn)確估算,同時(shí)不失前瞻性,另一方面又要防止過(guò)度夸大業(yè)務(wù)量,造成信息資源浪費(fèi)。因此,在開(kāi)發(fā)業(yè)務(wù)系統(tǒng)時(shí)(尤其是在自主開(kāi)發(fā)時(shí)),一定程度上存在著業(yè)務(wù)系統(tǒng)處理能力不足或者資源閑置的風(fēng)險(xiǎn)。
(四)網(wǎng)絡(luò)通信“瓶頸”風(fēng)險(xiǎn)。數(shù)據(jù)集中同時(shí)也意味著網(wǎng)絡(luò)壓力的集中,網(wǎng)絡(luò)帶寬如果無(wú)法滿足大量網(wǎng)絡(luò)終端實(shí)時(shí)聯(lián)機(jī)交易的數(shù)據(jù)傳輸要求,就會(huì)存在由于通信阻塞造成聯(lián)機(jī)交易失敗或失效的風(fēng)險(xiǎn)。
(五)維護(hù)與管理風(fēng)險(xiǎn)。由于區(qū)域數(shù)據(jù)中心的體系結(jié)構(gòu)和運(yùn)行管理相對(duì)復(fù)雜,由此對(duì)技術(shù)人員的運(yùn)維和管理水平提出了更高的要求,如果科技隊(duì)伍的技術(shù)水平?jīng)]有配套地提升,如果沒(méi)有針對(duì)數(shù)據(jù)集中的工作環(huán)境制訂詳細(xì)的運(yùn)維管理和應(yīng)急處置制度,那么面對(duì)突如其來(lái)的風(fēng)險(xiǎn)事故時(shí),將難以及時(shí)處理以確保系統(tǒng)連續(xù)穩(wěn)定的運(yùn)行。
(六)遭受攻擊與入侵風(fēng)險(xiǎn)。區(qū)域數(shù)據(jù)中心的作用和風(fēng)險(xiǎn)都較以往分散式的體系結(jié)構(gòu)更為突出,因此在一定程度上就更加可能成為入侵攻擊的目標(biāo)與對(duì)象,且與以往相比,由于地位突出,區(qū)域數(shù)據(jù)中心遭受攻擊強(qiáng)度會(huì)更大、持續(xù)時(shí)間會(huì)更長(zhǎng)、方式種類會(huì)更多,故一旦沒(méi)有配套的安全防護(hù)技術(shù)體系,后果將不堪設(shè)想。
(七)應(yīng)急事件的風(fēng)險(xiǎn)。區(qū)域數(shù)據(jù)中心為發(fā)揮其業(yè)務(wù)處理和分析的高效性,需要跨部門開(kāi)展多層次、多種類的協(xié)作,在此業(yè)務(wù)架構(gòu)和技術(shù)架構(gòu)下,應(yīng)急演練涉及面廣、操作難度大,可能會(huì)造成無(wú)法開(kāi)展應(yīng)急演練或演練次數(shù)銳減的情況,演練實(shí)質(zhì)效果很難保證,從而導(dǎo)致區(qū)域數(shù)據(jù)中心發(fā)生重大故障時(shí),業(yè)務(wù)恢復(fù)效率低,技術(shù)風(fēng)險(xiǎn)不斷擴(kuò)大。
(八)其它配套體系不完善帶來(lái)的風(fēng)險(xiǎn)。區(qū)域數(shù)據(jù)中心的建設(shè)過(guò)程同樣也是配套設(shè)施不斷完善的過(guò)程,在此期間,災(zāi)難備份中心建設(shè)相對(duì)滯后,IT資源監(jiān)控的技術(shù)手段有待豐富,區(qū)域數(shù)據(jù)中心在風(fēng)險(xiǎn)方面的宣傳仍是空白,當(dāng)核心系統(tǒng)或設(shè)備發(fā)生故障時(shí),由于自身風(fēng)險(xiǎn)定位不明確,將難以迅速地采取有效的應(yīng)對(duì)措施。
三、區(qū)域數(shù)據(jù)中心整體安全防護(hù)策略
(一)以標(biāo)準(zhǔn)的流程和可靠的技術(shù)手段確保系統(tǒng)平穩(wěn)整合
為實(shí)現(xiàn)從原有分散式系統(tǒng)到集中式系統(tǒng)平穩(wěn)過(guò)渡,首先要從技術(shù)上和管理上完善系統(tǒng)整合的標(biāo)準(zhǔn)、規(guī)范和流程,在充分了解技術(shù)細(xì)節(jié)的前提下,使系統(tǒng)的遷移工作以科學(xué)和固定的模式來(lái)實(shí)施,從細(xì)節(jié)上確保系統(tǒng)遷移整合的正確性、完整性和可審計(jì)性,不但要使結(jié)果符合要求,更要使整個(gè)過(guò)程可控制。其次,是要盡可能使用可靠、先進(jìn)的技術(shù)手段,一方面提高系統(tǒng)遷移整合工作的效率和準(zhǔn)確性,另一方面促使科技隊(duì)伍多學(xué)多用、活學(xué)活用,同步提高信息技術(shù)水平。
(二)采取有效技術(shù)手段確保數(shù)據(jù)安全
數(shù)據(jù)集中后,數(shù)據(jù)的安全性問(wèn)題日益突出,對(duì)此,首先是要做好數(shù)據(jù)的備份和恢復(fù)準(zhǔn)備工作,在區(qū)域數(shù)據(jù)中心的主機(jī)服務(wù)器中可以利用數(shù)據(jù)一致性技術(shù)(如時(shí)間戳技術(shù))等解決數(shù)據(jù)不一致的問(wèn)題,以及使用數(shù)據(jù)備份中經(jīng)常用到的數(shù)據(jù)復(fù)制技術(shù)(如遠(yuǎn)程鏡像技術(shù)、快照技術(shù)等),在數(shù)據(jù)丟失的緊急情況下使數(shù)據(jù)能得到及時(shí)恢復(fù),避免對(duì)業(yè)務(wù)造成影響。其次,要根據(jù)不同業(yè)務(wù)系統(tǒng)涉密性和安全性等級(jí),通過(guò)嚴(yán)格的存儲(chǔ)訪問(wèn)控制技術(shù)來(lái)實(shí)現(xiàn)安全訪問(wèn),在網(wǎng)絡(luò)存儲(chǔ)中使用IPSAN等技術(shù),建立數(shù)據(jù)的卷綁定,設(shè)置主機(jī)的訪問(wèn)權(quán)限,如讀寫權(quán)限、通過(guò)密碼訪問(wèn)(CHAP認(rèn)證)等。再者,要加強(qiáng)對(duì)元數(shù)據(jù)的管理,通過(guò)元數(shù)據(jù)優(yōu)化、提取和語(yǔ)義一致等功能的參考模型來(lái)支持元數(shù)據(jù)的再使用、一致性、完整性和共享性。
(三)采用軟件工程成熟手段開(kāi)展系統(tǒng)設(shè)計(jì)
區(qū)域數(shù)據(jù)中心對(duì)應(yīng)用系統(tǒng)的功能和性能提出了許多全新的要求,一個(gè)系統(tǒng)(特別是需要具有巨量聯(lián)機(jī)韋務(wù)處理能力的系統(tǒng))能否勝任,其設(shè)計(jì)過(guò)程非常關(guān)鍵。首先,在系統(tǒng)設(shè)計(jì)初期,必須充分與業(yè)務(wù)系統(tǒng)溝通,確定業(yè)務(wù)量的變化范圍,由此一方面確定系統(tǒng)的性能范圍,另一方面使系統(tǒng)的技術(shù)架構(gòu)與業(yè)務(wù)架構(gòu)相吻合,切實(shí)發(fā)揮對(duì)業(yè)務(wù)的支持和促進(jìn)作用。其次,在系統(tǒng)設(shè)計(jì)過(guò)程中,可以廣泛應(yīng)用已有的、成熟的軟件工程設(shè)計(jì)技術(shù),例如面向?qū)ο笤O(shè)計(jì)方法和以及成熟的設(shè)計(jì)模式,設(shè)計(jì)模式是被反復(fù)使用、經(jīng)過(guò)分類編目的、具有高可用性的代碼設(shè)計(jì)經(jīng)驗(yàn)的總結(jié),如GoF(GangofFour,四人組)的23種基本設(shè)計(jì)模式,通過(guò)使用這些方法和技術(shù),能夠有效保證系統(tǒng)設(shè)計(jì)的高可用性,應(yīng)對(duì)系統(tǒng)設(shè)計(jì)的風(fēng)險(xiǎn)。第三,大型系統(tǒng)在上線之前必須經(jīng)過(guò)嚴(yán)格反復(fù)的測(cè)試,從中發(fā)現(xiàn)問(wèn)題、總結(jié)問(wèn)題、修改問(wèn)題,以保證系統(tǒng)具有勝任區(qū)域數(shù)據(jù)中心業(yè)務(wù)處理的高品質(zhì)。
(四)確保網(wǎng)絡(luò)通信安全可靠、帶寬充足
對(duì)于業(yè)務(wù)量飆升帶來(lái)的區(qū)域數(shù)據(jù)中心網(wǎng)絡(luò)通信“瓶頸”問(wèn)題,首先要注重避免在網(wǎng)絡(luò)核心區(qū)中存在單點(diǎn)故障風(fēng)險(xiǎn),在網(wǎng)絡(luò)設(shè)計(jì)中,應(yīng)盡可能使用設(shè)備的雙機(jī)熱備(如路由器、防火墻、核心交換機(jī)的雙機(jī)熱備),以及采用不同通信運(yùn)營(yíng)商的冗余線路來(lái)解決線路備份問(wèn)題,保證網(wǎng)絡(luò)通信的可靠性。其次是要根據(jù)實(shí)際流量增長(zhǎng)的需求,拓寬通訊帶寬。同時(shí)合理利用網(wǎng)絡(luò)設(shè)備的負(fù)載均衡技術(shù),有效填補(bǔ)網(wǎng)絡(luò)線路和不同的網(wǎng)絡(luò)設(shè)備之間的速率差距,確保充分利用網(wǎng)絡(luò)資源。
(五)提高隊(duì)伍素質(zhì),規(guī)范運(yùn)維操作
區(qū)域數(shù)據(jù)中心在各個(gè)專項(xiàng)領(lǐng)域都提出了更高的要求,因此,有必要加強(qiáng)現(xiàn)有技術(shù)人員的培訓(xùn),在條件允許的情況下,進(jìn)行集中培訓(xùn)和學(xué)習(xí),或引進(jìn)具有專項(xiàng)技能或運(yùn)維經(jīng)驗(yàn)的人才來(lái)補(bǔ)充維護(hù)團(tuán)隊(duì),使得區(qū)域數(shù)據(jù)中心各項(xiàng)運(yùn)行維護(hù)工作運(yùn)作順暢,并具有過(guò)硬的異常處理能力。同時(shí),應(yīng)注重IT操作流程的完善,以及配套操作和審計(jì)流程的自動(dòng)化,強(qiáng)化規(guī)范操作的落實(shí)和監(jiān)督,降低維護(hù)與管理的風(fēng)險(xiǎn)。
(六)強(qiáng)化技術(shù)手段,預(yù)防攻擊與入侵
防止區(qū)域數(shù)據(jù)中心受到外來(lái)攻擊和入侵,主要是在網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)設(shè)計(jì)、入侵監(jiān)鋇0和病毒防治等方面,通過(guò)各種技術(shù)手段,強(qiáng)化網(wǎng)絡(luò)安全和主機(jī)安全水平(這方面的內(nèi)容將在第四部分中詳細(xì)介紹)。
(七)加強(qiáng)應(yīng)急演練,提高風(fēng)險(xiǎn)處置能力
數(shù)據(jù)集中格局形成后,作為配套設(shè)施建設(shè),應(yīng)該相應(yīng)成立區(qū)域數(shù)據(jù)中心應(yīng)急處置領(lǐng)-%AN組,其中包括領(lǐng)導(dǎo)小組辦公室,業(yè)務(wù)、技術(shù)、后勤通信電力保障小組等各層次的應(yīng)急隊(duì)伍,明確各層次的職責(zé),制定合理可操作的區(qū)域數(shù)據(jù)中心應(yīng)急預(yù)案。同時(shí),各AN組應(yīng)該根據(jù)應(yīng)急預(yù)案定期開(kāi)展多種形式的演練,使用模擬技術(shù)使演練更加逼真,以提高區(qū)域數(shù)據(jù)中心的應(yīng)急處置能力。
(八)未雨綢繆,強(qiáng)化災(zāi)難備份中心建設(shè)
災(zāi)難備份中心的重要性和必要性毋庸贅述,它是信息安全的“最后一道防線”,災(zāi)難中心的建設(shè)對(duì)于不同機(jī)構(gòu)的數(shù)據(jù)中心來(lái)說(shuō),從成本因素考慮,可視實(shí)際情況不同而采用不同的形式,在管理、技術(shù)和資金方面有優(yōu)勢(shì)等的大型數(shù)據(jù)中心可單獨(dú)建立災(zāi)難中心,反之,則可租用和共享災(zāi)難備份中心?! ?/p>
四、區(qū)域數(shù)據(jù)中心網(wǎng)絡(luò)和主機(jī)專項(xiàng)安全防護(hù)策略。
(一)網(wǎng)絡(luò)安全防護(hù)
1.網(wǎng)絡(luò)安全設(shè)備。首先是硬件設(shè)備安全,所使用的設(shè)備必須符合國(guó)家質(zhì)量技術(shù)監(jiān)督局、公安部《安全技術(shù)防范產(chǎn)品管理辦法》規(guī)定,具有生產(chǎn)許可證,安全認(rèn)證符合我國(guó)3C認(rèn)證要求和安全與警用電子產(chǎn)品型式檢驗(yàn)要求,或具有美國(guó)、日本、歐盟等技術(shù)先進(jìn)國(guó)家安全防范行業(yè)安全認(rèn)證書,對(duì)重要安全產(chǎn)品還必須獲得國(guó)家保密和安全部門的評(píng)泓和認(rèn)證。
2.網(wǎng)絡(luò)安全設(shè)計(jì)。在內(nèi)聯(lián)網(wǎng)中,如果信息傳輸采用公用信道,且TCP/IP協(xié)議具有開(kāi)放性,那么數(shù)據(jù)很容易被竊取、篡改和假冒。而在外聯(lián)網(wǎng),如果某些業(yè)務(wù)系統(tǒng)數(shù)據(jù)的源頭來(lái)自各網(wǎng)點(diǎn),而內(nèi)聯(lián)網(wǎng)與外部的連接是通過(guò)FR、DDN、X.25和PSTN實(shí)現(xiàn),則必須在鏈路層和網(wǎng)絡(luò)層采用一定的安全措施。在鏈路層,采用支持FR和X25協(xié)議的加密設(shè)備進(jìn)行鏈路加密,并且對(duì)個(gè)別重要業(yè)務(wù)的通信使用單獨(dú)設(shè)立PVC通道;在網(wǎng)絡(luò)層,首先要在內(nèi)聯(lián)網(wǎng)與外聯(lián)網(wǎng)之間使用防火墻、路由器進(jìn)行數(shù)據(jù)包過(guò)濾、地址轉(zhuǎn)換(NAT)等技術(shù)手段,對(duì)來(lái)自接入網(wǎng)的非法訪問(wèn)進(jìn)行控制,其次要在局域網(wǎng)內(nèi)設(shè)置虛擬專用網(wǎng)絡(luò),實(shí)現(xiàn)重要業(yè)務(wù)系統(tǒng)的服務(wù)器與一般的辦公用機(jī)相隔離,再者是建立統(tǒng)一的網(wǎng)絡(luò)管理平臺(tái)和監(jiān)控平臺(tái)。
3.網(wǎng)絡(luò)接入和訪問(wèn)控制。一是為了提高網(wǎng)絡(luò)速度,減少網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)量(特別是廣播包的數(shù)量),就必須對(duì)網(wǎng)絡(luò)進(jìn)行虛網(wǎng)(VLan)的劃分,因?yàn)闃I(yè)務(wù)的劃分與部門的設(shè)置有著密切的關(guān)系,所以劃分VLan的原則可以部門為主體進(jìn)行劃分。二是設(shè)計(jì)信息停火區(qū)(DMZ),用來(lái)放置與各互連單位進(jìn)行信息交換的服務(wù)器。外部用戶訪問(wèn)DMZ中的各服務(wù)器時(shí),必須先經(jīng)過(guò)防火墻的地址轉(zhuǎn)換,然后將數(shù)據(jù)包送到放置在防火墻DMZ區(qū)的各個(gè)服務(wù)器。通過(guò)這種網(wǎng)絡(luò)結(jié)構(gòu),可以制定針對(duì)服務(wù)器的安全策略,也可以制訂指向內(nèi)網(wǎng)的安全策略,還可以根據(jù)針對(duì)服務(wù)器的各種攻擊進(jìn)行防范。三是結(jié)合實(shí)際情況,按照相關(guān)安全要求禁止遠(yuǎn)程接人方式。
4.入侵檢測(cè)系統(tǒng)(IDS和IPS)。IDS/IPS一般部署在不同安全級(jí)別的網(wǎng)絡(luò)邊界,可用于監(jiān)測(cè)和抵御網(wǎng)絡(luò)威脅。在區(qū)域數(shù)據(jù)中心有必要使用專門的人侵檢測(cè)系統(tǒng),對(duì)網(wǎng)絡(luò)運(yùn)行進(jìn)行實(shí)時(shí)監(jiān)控,捕獲網(wǎng)絡(luò)異常事件和訪問(wèn)特定機(jī)器的數(shù)據(jù)包,按一定的規(guī)則進(jìn)行分析、檢測(cè),從而確定是否有計(jì)算機(jī)對(duì)網(wǎng)絡(luò)或受保護(hù)的計(jì)算機(jī)進(jìn)行攻擊,進(jìn)而堵塞系統(tǒng)設(shè)置中的安全漏洞。IDS/IPS對(duì)各類黑客攻擊行為以及新型的未知的攻擊行為能夠?qū)崟r(shí)監(jiān)控,自動(dòng)檢測(cè)可疑行為,及時(shí)發(fā)現(xiàn)來(lái)自網(wǎng)絡(luò)外部或內(nèi)部的攻擊,并實(shí)時(shí)響應(yīng),切斷攻擊方的連接。
5.采用虛擬專用網(wǎng)(vPN)。數(shù)據(jù)在對(duì)外傳輸時(shí),為保證所有在網(wǎng)絡(luò)上傳輸?shù)闹匾獢?shù)據(jù)的安全性,可以使用VPN技術(shù)對(duì)重要數(shù)據(jù)進(jìn)行加密處理,加密后的數(shù)據(jù)不僅能夠確保其私密性,還具有信息身份認(rèn)證功能和抗攻擊功能,其他人無(wú)法將偽造的信息在VPN隧道上傳輸,并且即使他人截獲了數(shù)據(jù)信息,也無(wú)法對(duì)加密的信息進(jìn)行破解。
(二)數(shù)據(jù)中心主機(jī)安全防護(hù)
除了網(wǎng)絡(luò)基礎(chǔ)環(huán)境的安全外,區(qū)域數(shù)據(jù)中心主機(jī)的信息安全防護(hù)體系是另一個(gè)重點(diǎn),一般來(lái)說(shuō),主機(jī)基本上都處在內(nèi)聯(lián)網(wǎng)中,所采取安全防護(hù)措施主要有以下幾個(gè)方面。
1.防病毒、蠕蟲(chóng)和惡意軟件。防病毒、蠕蟲(chóng)和惡意軟件可以說(shuō)是最基本的主機(jī)安全防護(hù)措施,它可以防止計(jì)算機(jī)病毒通過(guò)網(wǎng)絡(luò)進(jìn)行傳播和擴(kuò)散,并對(duì)信息資源和網(wǎng)絡(luò)設(shè)備進(jìn)行保護(hù)。區(qū)域數(shù)據(jù)中心主機(jī)可安裝業(yè)界流行的防病毒軟件并開(kāi)啟自動(dòng)防護(hù)功能,同時(shí)部署防病毒服務(wù)器,供客戶主機(jī)進(jìn)行實(shí)時(shí)更新,以防遭受新型病毒、蠕蟲(chóng)和惡意軟件的破壞。
2.清除木馬和間諜軟件。木馬和間諜軟件可以說(shuō)是一種特殊的病毒,除盜取業(yè)務(wù)系統(tǒng)的用戶和密碼,然后進(jìn)行破壞以外,有些木馬和間諜軟件還可能會(huì)用來(lái)盜取重要文件,危害企業(yè)秘密信息的安全。因此,除了部署企業(yè)版防病毒軟件以外,還可定期使用專用工具對(duì)主機(jī)進(jìn)行全面掃描,清除木馬、間諜軟件。
3.操作系統(tǒng)安全和補(bǔ)丁分發(fā)系統(tǒng)。一是保證主機(jī)上安裝的操作系統(tǒng)和軟件必須是正版軟件,以及確保只安裝與業(yè)務(wù)相關(guān)的軟件。二是根據(jù)操作指引,關(guān)閉操作系統(tǒng)中不必要的服務(wù),啟用相關(guān)安全策略。三是針對(duì)操作系統(tǒng)和軟件本身存在漏洞和安全隱患,在區(qū)域數(shù)據(jù)中心部署補(bǔ)丁分發(fā)系統(tǒng),強(qiáng)制對(duì)所有主機(jī)進(jìn)行補(bǔ)丁更新,保證操作系統(tǒng)和應(yīng)用軟件的安全性。
4.主機(jī)數(shù)據(jù)文件安全??梢钥紤]采用以下方式增強(qiáng)數(shù)據(jù)文件的安全性:一是對(duì)于以文件形式存放的涉密文,全部轉(zhuǎn)化PDF格式并使用在線驗(yàn)證的加密機(jī)制,其加密算法采用的是256位的AES對(duì)稱加密,另外對(duì)涉密文件的權(quán)限進(jìn)行控制(如設(shè)置為“能看、不能改、不能打印”等),進(jìn)一步對(duì)文件進(jìn)行防護(hù);二是對(duì)信息數(shù)據(jù)進(jìn)行加密,特別是對(duì)使用數(shù)據(jù)庫(kù)保存的業(yè)務(wù)數(shù)據(jù),對(duì)其中的數(shù)據(jù)進(jìn)行加密,使用密文進(jìn)行保存。
5.主機(jī)漏洞的管理。使用成熟的漏洞掃描系統(tǒng),基于其最新的安全漏洞庫(kù),對(duì)區(qū)域數(shù)據(jù)中心主機(jī)漏洞進(jìn)行定期掃描,分析和檢測(cè)主機(jī)中存在的弱點(diǎn)和漏洞,并按照修補(bǔ)方法和安全實(shí)施策略進(jìn)行加固。
6.日志分析管理。對(duì)數(shù)據(jù)中心主機(jī)的業(yè)務(wù)系統(tǒng)、操作系統(tǒng)和安全防護(hù)系統(tǒng)的日志進(jìn)行分析,如通過(guò)對(duì)業(yè)務(wù)系統(tǒng)中失敗登錄的次數(shù)、硬盤使用的情況、文件錯(cuò)誤的分析來(lái)跟蹤業(yè)務(wù)系統(tǒng)的狀態(tài);通過(guò)分析操作系統(tǒng)的設(shè)備驅(qū)動(dòng)程序啟動(dòng)失敗情況、硬件錯(cuò)誤、服務(wù)運(yùn)行等日志,解決操作系統(tǒng)和硬件的故障;通過(guò)對(duì)防病毒系統(tǒng)日志進(jìn)行分析,發(fā)現(xiàn)區(qū)域病毒發(fā)作的特點(diǎn)并提出解決方法。