水利数据中心安全保障体系研究

摘要：随着“互联网+”时代的到来，大数据、云计算等IT技术发展迅速，应用日益广泛。水利行业数据中心建设快速发展的同时，数据安全及保护问题越发凸显。探讨水利行业数据中心安全保障体系建设，提出数据中心安全策略。

关键词：数据中心；云计算；安全保障；等级保护；IPS

DOIDOI：10.11907/rjdk.171736

中图分类号：TP309.2

文献标识码：A 文章编号：1672-7800（2017）006-0174-02

0 引言

“互联网+”时代的到来深刻影响着每个行业，给水利行业带来了信息化变革。随着移动互联网、云计算、大数据、物联网等一系列新兴IT技术的发展，水利行业将迎来全面升级的“2.0时代”[1-3]。水利数据中心建设是水利信息化发展的重要环节，是推动水利信息化从“1.0时代”向“2.0时代”迈进的坚实一步。目前，水利信息化已渗透到水利工作每一个环节，成为整个水利工作的神经系统，网络和应用系统能否稳定和安全运行，将直接影响到防汛抗灾、水资源管理、水环境、水生态保护等各项工作的开展。随着数据中心建设及运行，数据安全及保护的重要性日益凸显[4]。加强数据中心安全保障体系建设尤为重要。信息安全等级保护为数据中心安全保障体系建设提供了理论支撑[5]。

1 信息安全等级保护及数据中心安全

按照相关定义，信息系统安全等级保护工作主要分为定级、备案、建设整改、等级测评和监督检查等环节[6]。按照国家《信息系统安全等级保护定级指南》和水利部《水利网络与信息安全体系建设基本技术要求》，结合水利信息化的现状，本文水利数据中心的安全等级为第三级。

本文提出数据中心安全策略由“三个体系”、“一个中心”、“三重防护”构成，简称“313工程”，如图1所示。

三个体系：信息安全管理体系、信息安全技术体系和信息安全运维体系。三大体系构成了信息安全保护框架的核心内容。

一个中心：信息安全管理中心是信息安全保障框架的核心，是三大体系的执行点与校验点。信息安全中心包括系统管理、安全管理和审计管理。

三重防护：通过三层结构实现信息安全保护，物理、制度、人员是信息安全保护的基础，分别对应着物理安全、制度安全和人员管理安全。

按照分区分域建设原则，水利数据中心等级保护安全建设的体系结构和逻辑组成如图2所示。

2 信息安全管理体系建设

（1）组织机构建设。建立计划、财务、建设管理部门会同信息安全主管部门定期协调和沟通制度，确保信息安全项目立项，项目建设资金有保障，建设管理规范，同时加强对信息安全投入的统筹管理。加强各级水利信息化工程或系统之间的衔接和协调。强化安全管理部门的职能，定期召开信息安全工作领导小组会议，确定年度重点信息安全项目，共同推动信息安全工作的组织实施。建立一把手抓信息安全工作的组织体制，充分调动各部门、各单位积极性和主动性，相互配合。

（2）人员安全建设。充分利用各种途径和方式，建设全方位、多层次、高素质的信息安全人才队伍。统筹制定水利信息化安全人才需求分析与人才队伍建设计划。以岗位培训和继续教育为重点，提高信息化安全工作思想意识，知识结构和组织能力，提高各级信息安全技术人员的理论水平和实践操作能力；采用引进与培养相结合的方式，培养一批精通水利知识和信息安全的复合型人才；建立有利于吸引人才、留住人才的激励机制和用人机制，逐渐建成一支素质高、技术好、业务强与水利信息化需求和信息安全建设相适应的技术队伍[7]。

（3）制度标准建设。标准化是实现信息安全的基本要求，信息安全体系建设与管理需要统一的制度标准。为此，需建立健全标准规范体系，构建一个科学、系统、先进和开放的水利信息安全标准体系框架。目前，在信息采集、汇集、交换、存储、处理和服务等环节已有技术标准。对缺乏相关标准或标准不能完全满足信息安全的环节，需要根据信息安全建设具体情况，参照国际、国内标准，制定相应的信息化的标准体系，建设相关标准，逐步实现信息安全建设的标准化。

3 信息安全技术体系建设

3.1 物理层建设

物理层是信息安全技术体系的基础，一般指机房及配套设施的建設，具体包括：机房装饰、供配电系统安装、空调新风系统安装、消防报警系统安装、防雷接地系统安装、安防系统安装及机房动力环境监控系统安装[8]。

3.2 网络层建设

网络层建设是基于物理层建设，网络安全设备主要包括网络防火墙、IPS（入侵检测防御）、网络安全审计等。

（1）网络防火墙。防火墙是关键的安全保障设备之一，其原理是通过过滤存在隐患及不安全信息的数据包，达到保护网络安全的目的，其典型网络拓扑结构如图3所示。

通过制定网络协议，达到控制数据流的作用。防火墙能够禁止不安全的NFS协议，阻止外部攻击者利用脆弱的协议来攻击内部网络。防火墙是一个重要的内外网隔离设备，通过设置网络内外隔离，达到限制外部网段对内网中敏感网段的访问。防火墙是隐私保护的重要设备，随着信息社会的不断发展，现阶段隐私保护越来越被重视，防火墙可以通过对敏感网段的屏蔽，对敏感信息进行简单的加噪声来保护隐私不被泄露。

（2）IPS：是Intrusion Prevention System的简称，即入侵预防系统，是防火墙的重要补充和辅助系统。随着网络的普及，网络内部和外部的威胁越来越多，目前流行的有DoS（Denial of Service 拒绝服务）、DDoS（Distributed DoS 分布式拒绝服务）、暴力猜解（Brut-Force-Attack）、端口扫描（Portscan）等。入侵预防系统也是一种主动入侵检测设备，可以查找其备案的具有潜在攻击的数据包，并将其过滤。

（3）网络安全审计：网络安全审计是一个发现网络及系统漏洞入侵行为的过程。制定安全策略，利用记录和数据挖掘等功能找到可疑数据IP及访问行为；最后生成报表供网络管理员查看。网络管理员对可疑的数据、IP、网络行为进行屏蔽。

3.3 数据资源安全建设

数据安全涉及数据采集、传输、存储、发布分发和备份过程，主要指数据的机密性、完整性和可用性。数据的机密性主要依靠加密算法来保证，数据的完整性主要利用数据备份和还原措施来保证，数据的可用性主要利用数据校验来保证。

3.4 应用程序安全建设

应用程序的安全措施主要是在程序系统中实行统一的权限管理，建立CA证书系统，建立统一的门户，避免多点登录情况。使得权限管理在一个统一的安全框架下，对系统内部权限按岗分配。同时开发安全的应用程序，对程序的代码进行审计，查找安全漏洞，保障网络安全。

4 信息安全运维体系

（1）机房管理制度。明确操作人员的各项操作，制订管理人员出入规定，制订防止计算机病毒感染和传播的相应制度，建立各系统专人管理制度和其它相关规定（如电力供应、温度、湿度、清洁度、安全防火等）。

（2）运行管理制度。对系统运行过程中的异常情况做好记录，及时报告；严禁以非正常方式修改信息系统中的各种数据；明确数据备份制度，确保系统数据安全。

（3）运行日志制度。系统运行日志不仅可以为信息系统运行提供历史资料，而且可以为查找系统故障提供线索。因此，必须准确记录并妥善保存系统运行日志，主要包括时间、操作人员、系统运行情况、异常情况记录、值班人员签字、负责人签字等内容。

5 结语

本文结合国家《信息系统安全等级保护定级指南》和水利部《水利网络与信息安全体系建设基本技术要求》的技术要点，提出了水利行业信息安全运行体系建设思路及策略，建立了一套切合实际、科学合理的运行管理体制。大数据及云计算时代，系统安全的保护难度在逐渐加大，安全保障体系建设也需要不断强化。

参考文献：

[1]莫岱青. 两会政府工作报告首倡“互联网+”的意义[J]. 计算机与网络，2015（6）：10-11.

[2]张建勋，古志民，郑超.云计算研究进展综述[J].计算机应用研究，2010（2）：429-433.

[3]王元卓，靳小龙，程学旗.网络大数据：现状与展望[J].计算机学报，2013（6）：1125-1138.

[4]李丹，陳贵海，任丰原，蒋长林，徐明伟.数据中心网络的研究进展与趋势[J]. 计算机学报，2014（2）：259-274.

[5]冯登国，张阳，张玉清.信息安全风险评估综述[J].通信学报，2004，25（7）：245-268.

[6]沈昌祥.云计算安全与等级保护[J].信息安全与通信保密，2012（1）：16-17.

[7]张栋冰，兰义华.信息安全专业人才培养的思考[J].软件导刊，2008（6）：8-10.

[8]于华川.计算机网络信息安全研究[J].软件导刊，2010（2）：124-126.

[9]李广.等级保护三级系统建设实践[J].计算机安全，2010（8）：82-84.

（责任编辑：陈福时）