寇磊 楊濤 劉沛洋

［摘 要］數(shù)據(jù)中心建設(shè)是信息化發(fā)展中的重點(diǎn)內(nèi)容，可以妥善解決“信息孤島”、數(shù)據(jù)開發(fā)利用低等問題。

然而，受制于數(shù)據(jù)中心對開放互聯(lián)網(wǎng)依賴的影響，建設(shè)單位對其信息安全防護(hù)工作也提出了更高的要求。文章圍繞數(shù)據(jù)中心存在的信息安全隱患，從規(guī)范數(shù)據(jù)中心部署運(yùn)維、強(qiáng)化數(shù)據(jù)中心相關(guān)數(shù)據(jù)的加密傳輸、加強(qiáng)數(shù)據(jù)中心運(yùn)維審計(jì)、強(qiáng)化數(shù)據(jù)共享使用管理、重視數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)工作等方面入手，提出幾點(diǎn)有效的信息安全防護(hù)建設(shè)策略，以供參考。

［關(guān)鍵詞］數(shù)據(jù)中心建設(shè)；信息安全隱患；信息安全防護(hù)建設(shè)；加密傳輸

doi：10.3969/j.issn.1673 - 0194.2023.12.027

［中圖分類號］TP393［文獻(xiàn)標(biāo)識碼］A［文章編號］1673-0194（2023）12-0084-03

0 ? ? 引 言

在信息技術(shù)不斷發(fā)展的背景下，各行業(yè)開展業(yè)務(wù)工作產(chǎn)生的數(shù)據(jù)信息也日漸增多，通過構(gòu)建統(tǒng)一數(shù)據(jù)中心，能夠?qū)崿F(xiàn)對這些數(shù)據(jù)信息的有效管理和高效利用，同時也能將數(shù)據(jù)安全風(fēng)險(xiǎn)集中到數(shù)據(jù)中心，可一旦數(shù)據(jù)采集、整合傳輸?shù)拳h(huán)節(jié)出現(xiàn)信息泄露、竄改等情況，將無法保障數(shù)據(jù)安全性，會對相關(guān)行業(yè)發(fā)展造成較大的經(jīng)濟(jì)損失。因此，需要對數(shù)據(jù)中心較常出現(xiàn)的信息安全問題進(jìn)行仔細(xì)分析，并立足實(shí)際采用有效措施建立健全的信息安全防護(hù)體系，確保數(shù)據(jù)中心在安全的環(huán)境中運(yùn)行［1］。

1 ? ? 數(shù)據(jù)中心存在的信息安全隱患

互聯(lián)網(wǎng)時代，大數(shù)據(jù)信息得到了廣泛應(yīng)用，數(shù)據(jù)范圍也在逐步擴(kuò)大。大數(shù)據(jù)在改變?nèi)藗兩a(chǎn)生活方式的同時，也潛藏著各種信息安全隱患。人們在應(yīng)用大數(shù)據(jù)的同時，也應(yīng)該充分認(rèn)識到計(jì)算機(jī)網(wǎng)絡(luò)具有開放性，尤其是各行業(yè)數(shù)據(jù)中心在運(yùn)營中要時刻注意，做好信息安全防護(hù)。以下簡單分析數(shù)據(jù)中心運(yùn)行潛在的信息安全隱患。第一，賬號密碼管理不嚴(yán)。在對數(shù)據(jù)中心的業(yè)務(wù)系統(tǒng)進(jìn)行安裝部署時，應(yīng)用程序編程接口（Application Programming Interface，API）、統(tǒng)一資源定位系統(tǒng)（uniform resource locator，URL）鏈接等處于開放狀態(tài)，容易因高危后綴名而存在被截取盜聽的風(fēng)險(xiǎn)。與此同時，構(gòu)建系統(tǒng)默認(rèn)開放賬號的瀏覽功能，沒有在系統(tǒng)運(yùn)行以后對冗余的賬號進(jìn)行修改處理，這也為系統(tǒng)安全運(yùn)行埋下諸多隱患。第二，訪問權(quán)限控制度不夠。在完成數(shù)據(jù)中心建設(shè)以后，沒有對其運(yùn)行實(shí)施定期監(jiān)管，再加上系統(tǒng)多采用模塊化的權(quán)限管理方式，開放的數(shù)據(jù)訪問接口不能按照部署進(jìn)行權(quán)限下放，更別說與主機(jī)端口進(jìn)行互聯(lián)網(wǎng)協(xié)議地址（Internet Protocol Address、IP）、局域網(wǎng)地址綁定，這種粗放式的管理也會使數(shù)據(jù)中心數(shù)據(jù)面臨被泄露、破壞等風(fēng)險(xiǎn)。第三，運(yùn)維審計(jì)較為欠缺。在對數(shù)據(jù)中心開展日常運(yùn)維工作時，通常會直接進(jìn)行一些命名操作，如更新數(shù)據(jù)、替換重復(fù)表格等，實(shí)際作業(yè)一旦出現(xiàn)誤刪的操作情況，重新恢復(fù)這些數(shù)據(jù)就會變得更加困難，且考慮到系統(tǒng)日志量非常大，想要通過日志管理明確這一問題出現(xiàn)的真正原因難度也較高［2］。第四，數(shù)據(jù)存儲傳輸未加密。數(shù)據(jù)中心存在的數(shù)據(jù)大多具有體積較大、結(jié)構(gòu)復(fù)雜、格式較多等特點(diǎn)，特別是對一些圖件信息，在進(jìn)行存儲傳輸時為了增強(qiáng)數(shù)據(jù)的可讀性，往往會直接使用明文進(jìn)行存儲，然后通過數(shù)據(jù)中心和終端用戶進(jìn)行數(shù)據(jù)交換，整個過程也極容易發(fā)生數(shù)據(jù)泄露、丟失等安全問題。第五，數(shù)據(jù)共享流程不規(guī)范。數(shù)據(jù)共享方式有很多，常見的有系統(tǒng)之間的數(shù)據(jù)同步、終端用戶數(shù)據(jù)文件應(yīng)用等，實(shí)際共享過程中若出現(xiàn)操作不規(guī)范的情況，如數(shù)據(jù)使用未經(jīng)過審批流程，就直接進(jìn)行數(shù)據(jù)接口配置，整個過程也極容易發(fā)生數(shù)據(jù)泄露情況［3］。

2 ? ? 數(shù)據(jù)中心建設(shè)背景下信息安全防護(hù)建設(shè)

大數(shù)據(jù)時代，網(wǎng)絡(luò)惡意攻擊形式多種多樣，如果企業(yè)數(shù)據(jù)中心遭到攻擊，不僅會損壞計(jì)算機(jī)的防護(hù)功能，對計(jì)算機(jī)平臺中存儲的重要數(shù)據(jù)信息也會造成不可逆的損害，還會影響企業(yè)的正常運(yùn)營。因而，為了保障企業(yè)的正常發(fā)展，其要結(jié)合自身數(shù)據(jù)信息使用情況，對企業(yè)信息安全做好統(tǒng)籌與防護(hù)工作，避免計(jì)算機(jī)網(wǎng)絡(luò)受到外來攻擊。

2.1 ? 規(guī)范數(shù)據(jù)中心部署運(yùn)維

對數(shù)據(jù)中心信息安全防護(hù)體系進(jìn)行構(gòu)建，要高度重視數(shù)據(jù)中心的部署運(yùn)維工作，通過推進(jìn)數(shù)據(jù)中心部署運(yùn)維規(guī)范化，促進(jìn)數(shù)據(jù)中心實(shí)現(xiàn)穩(wěn)定可靠運(yùn)行，防止發(fā)生相應(yīng)數(shù)據(jù)安全問題。具體舉措包括以下幾點(diǎn)。首先，把握軟硬件設(shè)施。要對構(gòu)建數(shù)據(jù)中心的軟硬件設(shè)施進(jìn)行全面了解，定期更新、維護(hù)數(shù)據(jù)中心的服務(wù)器部署清單，在確保服務(wù)器相應(yīng)信息真實(shí)準(zhǔn)確的基礎(chǔ)上，對沒有用的系統(tǒng)進(jìn)行有效清理，對于終端與數(shù)據(jù)中心的交互訪問也要進(jìn)行權(quán)限限制，通過使用最小化的權(quán)限管理，最大限度保證數(shù)據(jù)中心能夠在相對安全的環(huán)境中運(yùn)行。其次，系統(tǒng)管理賬號加密。在對數(shù)據(jù)中心進(jìn)行部署時，要及時刪除產(chǎn)生的測試賬號，對系統(tǒng)中出現(xiàn)的已經(jīng)停用或長期不使用的用戶進(jìn)行定期排查，對于數(shù)據(jù)庫用戶、終端賬號、系統(tǒng)用戶等的密碼，可以考慮使用復(fù)雜程度更高的口令，這在一定程度上也能提升信息安全等級［4］。再次，規(guī)范運(yùn)維過程。針對數(shù)據(jù)中心的應(yīng)用服務(wù)端和數(shù)據(jù)服務(wù)端，最好能夠分開部署，在完成聯(lián)機(jī)業(yè)務(wù)系統(tǒng)構(gòu)建以后，搭建安全防護(hù)設(shè)備，對涉及的其他應(yīng)用也要進(jìn)行網(wǎng)絡(luò)隔離，在對數(shù)據(jù)進(jìn)行下載時還可以配置專用終端和綁定移動存儲介質(zhì)接入，從而有效保證數(shù)據(jù)傳輸過程安全。最后，加強(qiáng)用戶管理。在應(yīng)用系統(tǒng)、數(shù)據(jù)查詢等環(huán)節(jié)，由于接入網(wǎng)絡(luò)以后會面臨諸多安全風(fēng)險(xiǎn)，所以要對系統(tǒng)用戶實(shí)施嚴(yán)格管理，使之切實(shí)履行數(shù)據(jù)保密責(zé)任和留存?zhèn)€人操作日志，以便及時發(fā)現(xiàn)并解決可能出現(xiàn)的安全問題。

2.2 ? 強(qiáng)化數(shù)據(jù)中心相關(guān)數(shù)據(jù)的加密傳輸

數(shù)據(jù)中心包含大量的重要、敏感信息，會將不同類型的數(shù)據(jù)分開存儲在不同類型的數(shù)據(jù)庫系統(tǒng)中。為切實(shí)保障這些數(shù)據(jù)信息的安全性和完整性，需要對數(shù)據(jù)庫采用部署加密系統(tǒng)措施，實(shí)現(xiàn)對數(shù)據(jù)庫存儲信息的加密存儲與管理，對于一些重要信息甚至要采用獨(dú)立權(quán)限管控系統(tǒng)進(jìn)行管理。相應(yīng)舉措主要包括以下兩個方面。一方面，部署數(shù)據(jù)庫靜態(tài)脫敏工具。針對數(shù)據(jù)中心需要進(jìn)行API調(diào)用的應(yīng)用環(huán)境，可以對API接口部署數(shù)據(jù)庫靜態(tài)脫敏工具，增強(qiáng)數(shù)據(jù)脫敏能力，實(shí)際操作中可以采用混淆、多次重組等方式，對脫敏后可以運(yùn)用的數(shù)據(jù)進(jìn)行自動生成，并將其運(yùn)用到數(shù)據(jù)二次開發(fā)和API應(yīng)用當(dāng)中，從而保證整個過程中真實(shí)的數(shù)據(jù)信息不容易被泄露［5］。另一方面，在可視化分析系統(tǒng)中采用動態(tài)脫敏工具。針對數(shù)據(jù)中心開發(fā)的子系統(tǒng)，如可視化分析系統(tǒng)，可以將動態(tài)脫敏工具運(yùn)用其中，在防止未授權(quán)第三方訪問的同時，也能夠避免數(shù)據(jù)遭受惡意破壞，甚至還可以按照數(shù)據(jù)中心的數(shù)據(jù)敏感度、應(yīng)用范圍等要求進(jìn)行加密，在數(shù)據(jù)采集環(huán)節(jié)對相關(guān)信息實(shí)施脫敏操作，從而避免重要數(shù)據(jù)信息被非法訪問和

使用。

2.3 ? 重視對數(shù)據(jù)中心的運(yùn)維審計(jì)

以往發(fā)生數(shù)據(jù)庫安全事故以后，往往很難進(jìn)行追溯與審計(jì)。隨著信息技術(shù)的不斷發(fā)展，數(shù)據(jù)庫安全審計(jì)成為保障信息安全的重要防御手段，通過深化落實(shí)好數(shù)據(jù)中心的運(yùn)維審計(jì)工作，則可以進(jìn)一步提高數(shù)據(jù)中心信息安全保障水平。第一，搭建基于旁路監(jiān)聽的數(shù)據(jù)中心防御體系。將注意力放在數(shù)據(jù)采集、數(shù)據(jù)解析和審計(jì)分析上，在數(shù)據(jù)采集環(huán)節(jié)可以采用旁路監(jiān)聽的方式，將數(shù)據(jù)采集引擎接入中心的核心交換機(jī)，借助端口鏡像管理模式實(shí)現(xiàn)對數(shù)據(jù)庫所有動作的監(jiān)測，然后嚴(yán)格遵照簽訂的操作協(xié)議進(jìn)行還原整理，將相關(guān)內(nèi)容有效發(fā)送到數(shù)據(jù)解析中心。在數(shù)據(jù)解析環(huán)節(jié)則可以根據(jù)預(yù)設(shè)的數(shù)據(jù)解析與事件關(guān)聯(lián)的規(guī)則，對數(shù)據(jù)庫操作數(shù)據(jù)進(jìn)行有效接收和操作關(guān)聯(lián)解析，得到的結(jié)果也要及時發(fā)送到數(shù)據(jù)分析中心，幫助數(shù)據(jù)庫管理者對數(shù)據(jù)庫審計(jì)規(guī)則進(jìn)行科學(xué)設(shè)置，若接收到的解析結(jié)果符合設(shè)置審計(jì)規(guī)則，通過數(shù)據(jù)分析中心也能及時進(jìn)行報(bào)警與處理。第二，搭建基于旁路監(jiān)聽的數(shù)據(jù)庫安全審計(jì)方法。有效建立基于旁路監(jiān)聽的數(shù)據(jù)庫安全審計(jì)方法以后，實(shí)際開展審計(jì)工作時既不需要占用數(shù)據(jù)庫服務(wù)器性能，也不需要改變原本數(shù)據(jù)中心的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，消耗的網(wǎng)絡(luò)性能資源僅限于端口鏡像，可以通過訪問結(jié)構(gòu)化查詢語言數(shù)據(jù)庫（Structured Query Language，SQL）的語句級別對數(shù)據(jù)庫的字段級別進(jìn)行查看與防控，最終審計(jì)結(jié)果也會集中體現(xiàn)在一個管理平臺上，這樣有利于從根源上防控與解決數(shù)據(jù)竊取、竄改等問題，明顯提升數(shù)據(jù)中心的網(wǎng)絡(luò)信息安全管理水平與質(zhì)量。

2.4 ? 強(qiáng)化數(shù)據(jù)共享使用管理

企業(yè)在數(shù)據(jù)共享使用過程中，容易受到網(wǎng)絡(luò)、操作等因素影響而出現(xiàn)各類安全隱患，這時候要加強(qiáng)信息安全防護(hù)，就必須強(qiáng)化數(shù)據(jù)共享使用管理，確保信息安全。首先，仔細(xì)梳理數(shù)據(jù)流向，在制定數(shù)據(jù)共享使用管理辦法之前，可以對數(shù)據(jù)中心的數(shù)據(jù)流向進(jìn)行全面細(xì)致的了解，然后遵循誰使用、誰負(fù)責(zé)原則對數(shù)據(jù)責(zé)任部門進(jìn)行確定，避免數(shù)據(jù)使用出現(xiàn)不規(guī)范、責(zé)任不明確等情況。其次，明確流程審批工作，對于使用數(shù)據(jù)的部門而言，要嚴(yán)格按照規(guī)定的流程提出數(shù)據(jù)使用申請，并在獲得數(shù)據(jù)使用權(quán)以后按照規(guī)定合理使用共享信息，操作中對于沒有經(jīng)過審批出現(xiàn)的數(shù)據(jù)共享使用情況，也要作出嚴(yán)厲的懲處，以防止類似情況在以后工作中再次發(fā)生，同時，數(shù)據(jù)共享使用審批流程也會更加健全完善，有利于使用部門及人員嚴(yán)格按照流程規(guī)范進(jìn)行標(biāo)準(zhǔn)化操作［6］。再次，定期開展安全培訓(xùn)。要緊密圍繞數(shù)據(jù)使用審批制度、數(shù)據(jù)保密制度等內(nèi)容，定期組織開展安全教育培訓(xùn)活動，讓相關(guān)部門及人員參與其中，在不斷提升其數(shù)據(jù)安全意識的同時，嚴(yán)格遵照規(guī)范要求對數(shù)據(jù)中心的數(shù)據(jù)進(jìn)行開發(fā)、共享和使用，使數(shù)據(jù)中心的數(shù)據(jù)價(jià)值和作用得到充分

發(fā)揮。

2.5 ? 開展網(wǎng)絡(luò)安全防護(hù)工作

數(shù)據(jù)中心建設(shè)背景下，要加強(qiáng)信息安全防護(hù)工作，就必須高度重視網(wǎng)絡(luò)安全管理，這主要是因?yàn)閿?shù)據(jù)中心的有效運(yùn)行離不開網(wǎng)絡(luò)環(huán)境的支持。例如，數(shù)據(jù)中心開展數(shù)據(jù)查詢、通道傳輸?shù)拳h(huán)節(jié)工作時容易受到網(wǎng)絡(luò)因素影響，使得數(shù)據(jù)丟失、竄改等發(fā)生概率提高。具體防范舉措包括以下幾點(diǎn)。第一，加強(qiáng)網(wǎng)絡(luò)安全設(shè)計(jì)。在內(nèi)聯(lián)網(wǎng)中若信息傳輸采用的是共用信道，使用的TCP/IP協(xié)議具有開放性的特點(diǎn)，這時候容易出現(xiàn)數(shù)據(jù)被假冒、竊取等情況；對于外聯(lián)網(wǎng)而言，若數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)數(shù)據(jù)源頭主要來源于各網(wǎng)點(diǎn)，那么內(nèi)聯(lián)網(wǎng)與外部進(jìn)行連接主要通過數(shù)字?jǐn)?shù)據(jù)網(wǎng)絡(luò)（Digital Data Network，DDN）、公共交換電話網(wǎng)絡(luò)（Public Switched Telephone Network，PSTN）等實(shí)現(xiàn)。

要避免運(yùn)行安全受到外部網(wǎng)絡(luò)環(huán)境攻擊，就應(yīng)在鏈路層和網(wǎng)絡(luò)層采用一定的安全措施，保證數(shù)據(jù)傳輸?shù)陌踩?。第二，安裝入侵檢測系統(tǒng)。由于入侵檢測系統(tǒng)（intrusion detection system，IDS）或入侵防御系統(tǒng)（Intrusion Prevention System，IPS）通常會部署在不同安全級別的網(wǎng)絡(luò)邊界，所以，在建設(shè)數(shù)據(jù)中心時也可以對專門的入侵檢測系統(tǒng)進(jìn)行安裝和使用，通過對網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行實(shí)時監(jiān)控，對發(fā)生的網(wǎng)絡(luò)異常事件進(jìn)行捕捉，在確定系統(tǒng)遭受到網(wǎng)絡(luò)攻擊以后，圍繞具體問題快速堵塞相應(yīng)漏洞，甚至對于網(wǎng)絡(luò)發(fā)出的內(nèi)外部攻擊，數(shù)據(jù)中心也能及時作出響應(yīng)，自動切斷攻擊方的連接，有效維護(hù)數(shù)據(jù)中心運(yùn)行安全性和穩(wěn)定性。第三，積極采用虛擬專用網(wǎng)（Virtual Private Network，VPN）。在數(shù)據(jù)對外傳輸時，要保證網(wǎng)絡(luò)上所有傳輸重要數(shù)據(jù)的安全性，就需要有效利用VPN技術(shù)對重要的數(shù)據(jù)實(shí)施加密處理，還可以將身份認(rèn)證技術(shù)融入其中，確保加密后數(shù)據(jù)的私密性和安全性。第四，加強(qiáng)數(shù)據(jù)中心主機(jī)安全防護(hù)。考慮到數(shù)據(jù)中心的主機(jī)多處在內(nèi)聯(lián)網(wǎng)中，開展信息安全防護(hù)工作可以通過安裝防病毒、惡意攻擊等軟件，實(shí)現(xiàn)對信息資源和網(wǎng)絡(luò)設(shè)備的有效保護(hù)，同時對數(shù)據(jù)中心主機(jī)的業(yè)務(wù)系統(tǒng)、操作系統(tǒng)和安全防護(hù)系統(tǒng)的日志進(jìn)行分析，如通過分析失敗登錄次數(shù)、文件錯誤分析、跟蹤業(yè)務(wù)系統(tǒng)狀態(tài)等信息，對存在的各類故障問題進(jìn)行及時有效的解決，從而明顯提高數(shù)據(jù)中心運(yùn)行安全性，有力保證相應(yīng)數(shù)據(jù)的信息安全。

3 ? ? 結(jié)束語

隨著社會經(jīng)濟(jì)和科學(xué)技術(shù)的不斷發(fā)展，社會各領(lǐng)域開展工作產(chǎn)生的數(shù)據(jù)信息也越來越多，由于這些數(shù)據(jù)信息有較高的分析利用價(jià)值，如何高效管理這些數(shù)據(jù)信息也引起人們廣泛的關(guān)注與討論。依托現(xiàn)代信息技術(shù)對數(shù)據(jù)中心進(jìn)行積極打造，可以更好地實(shí)現(xiàn)數(shù)據(jù)信息高效管理與開發(fā)利用，不過受到網(wǎng)絡(luò)環(huán)境、業(yè)務(wù)操作等因素影響，數(shù)據(jù)中心信息安全問題頻頻發(fā)生。因此，各企業(yè)需要對這項(xiàng)工作給予高度重視，并緊密圍繞數(shù)據(jù)中心存在的信息安全隱患，有效做好規(guī)范數(shù)據(jù)中心部署運(yùn)維、搭建基于旁路監(jiān)聽的數(shù)據(jù)中心防御體系、明確數(shù)據(jù)共享使用流程審批、加強(qiáng)數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)等工作，保證數(shù)據(jù)中心在安全的環(huán)境中運(yùn)行，從而有效保障相應(yīng)數(shù)據(jù)信息傳輸、共享和使用

安全。

主要參考文獻(xiàn)

［1］李彥賓，孫松兒.云計(jì)算時代的信息安全防護(hù)方案設(shè)計(jì)研究［J］.信息網(wǎng)絡(luò)安全，2011（10）：17-18.

［2］馮智圣.區(qū)域數(shù)據(jù)中心信息安全防護(hù)技術(shù)探討［J］.華南金融電腦，2019（1）：7-10.

［3］佘春燕.大數(shù)據(jù)背景下計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)手段研究［J］.軟件，2022（3）：65-67.

［4］本刊編輯.數(shù)據(jù)大集中后的信息安全防護(hù)建設(shè)［J］.計(jì)算機(jī)與網(wǎng)絡(luò)，2013（10）：50-51.

［5］付旭陽，周敏，葉鈞.高校數(shù)據(jù)中心信息安全建設(shè)［J］.電腦編程技巧與維護(hù)，2018（5）：154-155，163.

［6］楊威.大數(shù)據(jù)背景下信息中心網(wǎng)絡(luò)信息安全防護(hù)措施［J］.現(xiàn)代信息科技，2019 （8）：152-153，157.