邵美科
(东北财经大学,辽宁 大连 116025)
高校数据中心信息安全建设研究
邵美科
(东北财经大学,辽宁大连116025)
[摘要]随着教育信息化的推进,高校数据中心建设已经成为各个学校信息化建设的重点,它集成了数字化校园的各个应用系统,是校园信息系统的核心枢纽,是学校实现数据共享和交换的神经中枢。数据中心的信息安全是整个高校信息化安全的核心。文章对高校数据中心信息安全建设进行深入分析,通过对数据和信息的分析,提出多种真正有效措施来提高数据中心信息的安全。
[关键词]高校;数据中心;信息安全
我国近二十年来信息化建设飞速发展,各个行业对信息系统的依赖程度都在提高,信息化、数字化已经成为现代社会一个非常明显的进步标志。目前,信息技术在高校建设应用范围也越来越广,数据中心作为高校办学核心技术所在更是早就向数字化和信息化发展,由此导致信息系统的安全问题越来越突出,所以数据中心的信息安全建设日趋重要,以此提高数据中心对信息风险的防范能力。
高校数据中心是保障校内多个应用系统安全运行,保证学生身份认证和管理、日常办公、人事管理、财务管理、图书资料管理、教务选课等工作的前提条件,另外数据中心内存有学校各种重要的资料和关键的数据。保证这些资料数据的安全,保障各应用系统的安全运行是数据中心的一项重要职责,所以进行数据中心信息安全建设是确保高校数据安全的必然选择,其根本出发点和归宿是为了保证数据中心信息不丢失或者被盗[1]。
然而,随着互联网技术日新月异的发展,数据中心存在安全隐患。这些安全隐患除了来自管理制度的不健全外,有来自于现有网络各种攻击技术手段,未被授权的访问可能会导致数据整体性和私密性遭到破坏,还有一些数据中心内部的操作,如新业务系统上线,系统升级等带来的网络宕机。各种安全产品、安全技术的简单堆砌并不能保证数据中心的安全,所以只有在安全策略的指导下,建立有机的、智能化的安全防范体系,才能有效地保障校园数据中心的关键业务和关键数据的安全[2]。
2.1高校数据中心信息安全建设的主要技术手段
高校数据中心信息安全建设的主要技术手段有:防火墙、防病毒系统、入侵防御、漏洞扫描、CA认证、数据备份与容灾、个人桌面控制系统、监控与审计系统、不间断电源系统等。这些手段联合起来才可以确保组建成一个较为坚固的安全运行环境。
2.1.1防火墙
防火墙是信息安全体系中最重要的设备之一,对高校数据中心来说,它可以为内部办公的局域网以及外部网络提供安全屏障。它对流经的网络通信进行监测扫描,只有选择指定的网络应用协议才可以通过。另外,防火墙还强化了网络安全策略的配置和管理,对经过它的各种访问进行记录并做出日志,利用它提供的网络使用数据统计情况,当有可疑的访问发生时,能自动进行报警。我们还可以通过防火墙对内部网络进行划分,实现对内部网中的重点网段的隔离(如服务器的DMZ区),从而防止局部重点网络安全出现问题对全局网络造成伤害。
2.1.2防病毒系统、入侵防御、漏洞扫描
计算机病毒传播途径多,同时具有非授权性、隐蔽性、传染性、潜伏性、破坏性、可触发性等多重特点,杀伤力极大,不但能攻击系统数据区、文件和内存,而且还能干扰系统、堵塞网络等,单凭防火墙是无法保证数据中心的信息安全的,因此,部署防病毒系统、入侵检测(防御)、漏洞扫描是很有必要的。我们在网络中部署网络杀毒软件,定期对内网中所有服务器和客户端进行杀毒,并实时更新病毒库。还需要在网络入口处部署入侵防御系统,阻止各种尝试性闯入、伪装攻击、系统渗透、泄露、拒绝服务和恶意使用等各种手段的入侵。部署漏洞扫描系统就是每天定期扫描网络和操作系统中可能存在的漏洞,并立即告警,及时打补丁,把各种攻击消灭在萌芽状态。
2.1.3CA认证系统(身份认证、数据传输加密、电子签名、电子公章、时间戳等)
为数据中心信息的安全考虑,尤其是机密数据的电子政务系统必须采用CA认证。CA认证可以解决网络环境中可信的身份认证,并且可以解决信息机密性、信息完整性、身份认证实体性、行为不可否认性、授权有效性等问题。只有本人凭电子钥匙经过CA认证后才能登录系统访问机密数据,数据也只有经过CA加密才能在网络中传输,数据的接收方也必须经过CA认证,所有操作必须经过电子签名并加盖时间戳。这样,通过CA认证,数据中心中的数据的安全系数就得到了极大的提高。
2.1.4数据备份与容灾
为了提高服务器的安全性和持续稳定运行,在大多数模式下可以建立服务器集群,就是集群中所有的计算机拥有一个共同的名称,这样集群内任何一个系统上运行的服务可被所有的网络客户所使用。另外要建立容灾备份系统,这是对数据做好保护至关重要的,也是保证提供正常服务的最后一道防线。一旦有影响数据安全的情况发生,可以在最短的时间内恢复受损的数据。备份的方法也很多,有手动备份、自动备份、LAN备份、双机热备等。对于海量的空间数据,在资金许可的情况下,还可以考虑利用广域网进行数据远程异地备份,建立容灾中心,来确保数据的安全。
2.2高校数据中心信息安全的制度建设
想要建设成供任何一个系统,除了要配置较为完善的技术设备、软件支持外,还要建立一个与之适用的完善、合理的规章制度。高校数据中心信息安全的制度建设过程中,必须成立校内的信息安全小组,他们的主要任务就是从整体上规范安全建设,制定数据标准,贯彻执行和完善信息安全的规章制度,并且对日常工作进行认真检查、监督和指导。在实际工作中要认真研究各种相关制度,不断的对当前制度进行更新和完善,进一步确保信息数据的安全。
2.3高校数据中心信息安全建设的其他方面
数据中心的信息安全建设除了要建设各种软件防护系统、制定完善的制度外,安全管理也是其中一个非常重要的部分。安全管理贯穿整个安全防范体系,是安全防范体系的核心。代表了安全防范体系中人的因素。为了保障数据中心信息的安全,必须要进行安全操作培训工作,而这一工作的重要前提就是做好数据中心的安全管理工作。再好的技术如果没有能够落实到位,其高水平无法真正发挥作用。所以,建设高效的数据中心信息安全系统,必须要将安全管理落实到位。安全管理不仅包括行政意义上的安全管理,更主要的是对安全技术和安全策略的管理,使用者的安全意识是信息系统是否安全的决定因素,因此对校园数据中心用户的安全培训和安全服务是整个安全体系中重要、不可或缺的一部分。具体实施的时候,首先对所有相关工作人员进行安全知识培训,要求所有相关人员对数据中心的安全有一个最充分全面的认识,从而在实际工作中更加主动、积极的去关注系统安全、信息安全,尽早消除各种隐患因素[3]。
3.1建立信息安全框架及安全组织机构
高校应建立信息安全框架,即制定系统安全保障方案,实施安全宣传教育、安全监管和安全服务。在大多数高校,网络信息管理中心是信息安全的主管部门和技术支持部门,身兼管理和技术两项职能,但学校往往赋予网络中心的只有技术支持的职能,没有真正意义上的管理职能,出现安全事故只解决技术问题,遗留的很多问题得不到明确的解决。因此,高校还应该建立专门负责信息安全管理的组织机构,该组织机构由学校主要领导负责,并由技术部门和管理部门的人员构成,其中包括网络中心的负责人,并由网络中心负责各部门间的协调和联络,制定安全政策和策略以及一系列体现安全政策的规章制度并监督执行,真正的发挥这类机构的作用。另外应该重视网络中心的人员配置情况,引进高层次的技术人才和管理人才,分别负责网络建设、管理和维护、信息资源建设、信息安全治理等工作,做到分工明确、责任到人,这样才能切实地提高数据中心的信息安全。
3.2加强信息安全的思想认识培养,树立信息安全意识
网络信息管理中心要充分发挥其管理职能,与学校保卫处、学工部、校团委等相关部门协调配合,积极在全校范围内开展有关信息安全的宣传活动,邀请信息安全方面的专家对师生、员工进行安全培训,定期举行关于信息安全的学术报告,将一些信息安全的实际案例放到中心、校园网站等等,加强对师生、员工的安全教育,将安全意识扩展为一种氛围,努力提高和强化校内的信息安全观念意识,确立信息安全管理的基本思想与策略,加快信息安全人才的培养。这就从强制性的安全策略转换为自主接受的安全策略文化,当然这也是实现信息安全目标的基本前提。
3.3确保信息安全得到成熟有效的技术保证,定期进行信息安全审核和评估
环境的不断变化决定了信息安全工作的性质是长期的、无尽头的,因此要求使用的安全产品在技术上必须是成熟的、有效的。对于高校数据中心信息安全,从技术角度来说,主要涉及到网络通信系统的保密与安全、操作系统与数据库平台的安全、应用软件系统的安全等三个方面。所以必须对网络系统进行科学的安全分析,结合具体应用,将上述三个方面密切结合,在网络信息系统中建立了一整套安全机制,实现从外到内的安全防护。另外,必须定期的对学校的信息安全过程进行严格的审核,并对学校的信息安全进行新的风险分析和风险评估,制定适合现状的信息安全策略。
校园数据中心是校园信息系统的核心枢纽,数据中心的信息安全保障体系应是一个包含安全政策法规、标准规范、组织管理、技术保障、基础设施、人才培养的多层次、全方位的系统。,充分利用现代社会先进的安全保护技术和高水平的安全管理技术对数据中心进行全面改造和升级,真正提高高校数据中心信息安全系数,同时,积极促进行业整体信息化应用水平的全面提高,为信息化发展保驾护航。
主要参考文献
[1]顾瑞,张珍义,卢加元.高校数据中心的安全问题研究[J].中国教育信息化:高职教育,2008(11):59-60.
[2]王英峰.谈高校数据中心信息安全建设[J].中国教育信息化:高职教育,2008(21):61-62.
[3]胡峻铭,高洁.试析高校数据中心信息安全建设[J].数字技术与应用,2013(6):218-218.
doi:10.3969/j.issn.1673 - 0194.2016.03.094
[中图分类号]TP393
[文献标识码]A
[文章编号]1673-0194(2016)03-0175-02
[收稿日期]2015-11-26