隨著各項(xiàng)業(yè)務(wù)不斷推陳出新，我國各大銀行業(yè)金融機(jī)構(gòu)陸續(xù)著手加強(qiáng)自身的信息化基礎(chǔ)設(shè)施建設(shè)，以豐富信息利用手段、提高決策判斷水平。在此過程中，各商業(yè)銀行分別將數(shù)據(jù)集中到省級(jí)數(shù)據(jù)中心，或者建立大型區(qū)域數(shù)據(jù)中心，有的甚至形成了成熟完整的國家數(shù)據(jù)中心，數(shù)據(jù)集中進(jìn)程發(fā)展迅速。數(shù)據(jù)集中極大提升了銀行的核心競(jìng)爭(zhēng)力和服務(wù)水平，但同時(shí)也將數(shù)據(jù)安全風(fēng)險(xiǎn)集中到了數(shù)據(jù)中心，由于各種類型的業(yè)務(wù)數(shù)據(jù)直接匯聚到數(shù)據(jù)中心進(jìn)行統(tǒng)一管理，數(shù)據(jù)中心變得愈加龐大和復(fù)雜，其中的數(shù)據(jù)也變得愈加關(guān)鍵。本文在區(qū)域數(shù)據(jù)中心建設(shè)的背景下探討如何認(rèn)識(shí)和提高信息安全防護(hù)技術(shù)。

一、信息安全防護(hù)技術(shù)的發(fā)展

(一)信息安全的概念

信息安全是指數(shù)據(jù)信息在存儲(chǔ)、傳遞和處理過程中保持其完整、真實(shí)、可用和不被泄漏的特性，即保密性、完整性、可用性、可控性和可審查性。信息安全的對(duì)象主要有實(shí)體安全、網(wǎng)絡(luò)安全、傳輸安全、應(yīng)用安全和用戶安全。

(二)信息安全技術(shù)防護(hù)發(fā)展歷史

信息安全技術(shù)防護(hù)的發(fā)展歷史大致可分為三個(gè)階段。

1．系統(tǒng)審計(jì)技術(shù)階段。主要是側(cè)重于記錄用戶使用信息系統(tǒng)的過程，以便審計(jì)人員事后發(fā)現(xiàn)用戶的違規(guī)操作行為，但其管理功能有限，且無法及時(shí)阻止違規(guī)行為的發(fā)生。

2．主機(jī)監(jiān)控技術(shù)階段。主要是防止單臺(tái)主機(jī)信息泄漏和違規(guī)操作行為發(fā)生，具有初步的主動(dòng)防護(hù)功能并有較強(qiáng)的控制手段，女N夕t-設(shè)控制、主機(jī)網(wǎng)絡(luò)控制、用戶認(rèn)證等，但采用的主要還是單點(diǎn)加固的機(jī)制，防護(hù)體系不夠完整，存在安全“瓶頸”。

3．可信網(wǎng)絡(luò)與數(shù)據(jù)安全技術(shù)階段。在這一階段，強(qiáng)化了整體防御能力，增加了“可信”的概念，其中包括可信終端、可信軟件和可信用戶等內(nèi)容。整個(gè)控制過程不僅僅限于單一的時(shí)間點(diǎn)，而是從終端系統(tǒng)接入網(wǎng)絡(luò)開始的整個(gè)生命周期，利用交換機(jī)、防火墻對(duì)非法終端進(jìn)行隔離，利用入侵檢測(cè)、防病毒、漏洞掃描、審計(jì)軟件等對(duì)用戶行為進(jìn)行檢測(cè)，借助補(bǔ)丁軟件、木馬專殺工具對(duì)終端進(jìn)行保護(hù)。除整體防御之外，它也更加貼近關(guān)鍵數(shù)據(jù)，通過透明的加密技術(shù)、虛擬磁盤技術(shù)、文件重定向技術(shù)直接保護(hù)電-T文檔和數(shù)據(jù)的安全。

二、區(qū)域數(shù)據(jù)中心面臨的主要技術(shù)風(fēng)險(xiǎn)

除了承受自然災(zāi)害、人為破壞、操作失誤、系統(tǒng)軟硬件故障等風(fēng)險(xiǎn)外，由于區(qū)域數(shù)據(jù)中心是將全省或者幾個(gè)省的業(yè)務(wù)和數(shù)據(jù)集于一體，具有聯(lián)網(wǎng)網(wǎng)點(diǎn)數(shù)量巨大、聯(lián)網(wǎng)網(wǎng)點(diǎn)地域分布廣闊、聯(lián)網(wǎng)交易數(shù)量龐大等特點(diǎn)，因而又面臨由集中帶來的以下幾類技術(shù)風(fēng)險(xiǎn)。

(一)業(yè)務(wù)系統(tǒng)整合帶來的風(fēng)險(xiǎn)。根據(jù)區(qū)域數(shù)據(jù)中心“數(shù)據(jù)集中、資源整合”的要求，原來分散開發(fā)和部署的應(yīng)用系統(tǒng)在數(shù)據(jù)集中的環(huán)境下需要作進(jìn)一步的梳理和整合，在此轉(zhuǎn)變過程中，硬件的更新、軟件的升級(jí)以及整合之后系統(tǒng)之間的相互制約，都會(huì)對(duì)各系統(tǒng)產(chǎn)生一定的影響。如果遷移整合過程沒有規(guī)范的標(biāo)準(zhǔn)作為準(zhǔn)則，或者出現(xiàn)細(xì)節(jié)上的失誤，都會(huì)對(duì)各系統(tǒng)的平穩(wěn)連續(xù)運(yùn)行造成不良影響。

(二)數(shù)據(jù)自身的安全風(fēng)險(xiǎn)。隨著大部分業(yè)務(wù)數(shù)據(jù)都基本上集中在數(shù)據(jù)中心，其分析利用的效率固然會(huì)大大提高，但數(shù)據(jù)集中的過程也是風(fēng)險(xiǎn)相對(duì)集中的過程，一旦數(shù)據(jù)中心的存儲(chǔ)數(shù)據(jù)發(fā)生丟失、混亂或是被破壞等現(xiàn)象，造成的后果將蔓延至整個(gè)區(qū)域范圍，造成大范圍的不良影響。

(三)系統(tǒng)設(shè)計(jì)不科學(xué)帶來的風(fēng)險(xiǎn)。區(qū)域數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)應(yīng)具有基本的海量聯(lián)機(jī)事務(wù)處理能力，在對(duì)此類系統(tǒng)進(jìn)行開發(fā)之前，對(duì)單位時(shí)間內(nèi)事務(wù)或交易發(fā)生量的估算非常重要，下方面要對(duì)基本的處理能力作準(zhǔn)確估算，同時(shí)不失前瞻性，另一方面又要防止過度夸大業(yè)務(wù)量，造成信息資源浪費(fèi)。因此，在開發(fā)業(yè)務(wù)系統(tǒng)時(shí)(尤其是在自主開發(fā)時(shí))，一定程度上存在著業(yè)務(wù)系統(tǒng)處理能力不足或者資源閑置的風(fēng)險(xiǎn)。

(四)網(wǎng)絡(luò)通信“瓶頸”風(fēng)險(xiǎn)。數(shù)據(jù)集中同時(shí)也意味著網(wǎng)絡(luò)壓力的集中，網(wǎng)絡(luò)帶寬如果無法滿足大量網(wǎng)絡(luò)終端實(shí)時(shí)聯(lián)機(jī)交易的數(shù)據(jù)傳輸要求，就會(huì)存在由于通信阻塞造成聯(lián)機(jī)交易失敗或失效的風(fēng)險(xiǎn)。

(五)維護(hù)與管理風(fēng)險(xiǎn)。由于區(qū)域數(shù)據(jù)中心的體系結(jié)構(gòu)和運(yùn)行管理相對(duì)復(fù)雜，由此對(duì)技術(shù)人員的運(yùn)維和管理水平提出了更高的要求，如果科技隊(duì)伍的技術(shù)水平?jīng)]有配套地提升，如果沒有針對(duì)數(shù)據(jù)集中的工作環(huán)境制訂詳細(xì)的運(yùn)維管理和應(yīng)急處置制度，那么面對(duì)突如其來的風(fēng)險(xiǎn)事故時(shí)，將難以及時(shí)處理以確保系統(tǒng)連續(xù)穩(wěn)定的運(yùn)行。

(六)遭受攻擊與入侵風(fēng)險(xiǎn)。區(qū)域數(shù)據(jù)中心的作用和風(fēng)險(xiǎn)都較以往分散式的體系結(jié)構(gòu)更為突出，因此在一定程度上就更加可能成為入侵攻擊的目標(biāo)與對(duì)象，且與以往相比，由于地位突出，區(qū)域數(shù)據(jù)中心遭受攻擊強(qiáng)度會(huì)更大、持續(xù)時(shí)間會(huì)更長、方式種類會(huì)更多，故一旦沒有配套的安全防護(hù)技術(shù)體系，后果將不堪設(shè)想。

(七)應(yīng)急事件的風(fēng)險(xiǎn)。區(qū)域數(shù)據(jù)中心為發(fā)揮其業(yè)務(wù)處理和分析的高效性，需要跨部門開展多層次、多種類的協(xié)作，在此業(yè)務(wù)架構(gòu)和技術(shù)架構(gòu)下，應(yīng)急演練涉及面廣、操作難度大，可能會(huì)造成無法開展應(yīng)急演練或演練次數(shù)銳減的情況，演練實(shí)質(zhì)效果很難保證，從而導(dǎo)致區(qū)域數(shù)據(jù)中心發(fā)生重大故障時(shí)，業(yè)務(wù)恢復(fù)效率低，技術(shù)風(fēng)險(xiǎn)不斷擴(kuò)大。

(八)其它配套體系不完善帶來的風(fēng)險(xiǎn)。區(qū)域數(shù)據(jù)中心的建設(shè)過程同樣也是配套設(shè)施不斷完善的過程，在此期間，災(zāi)難備份中心建設(shè)相對(duì)滯后，IT資源監(jiān)控的技術(shù)手段有待豐富，區(qū)域數(shù)據(jù)中心在風(fēng)險(xiǎn)方面的宣傳仍是空白，當(dāng)核心系統(tǒng)或設(shè)備發(fā)生故障時(shí)，由于自身風(fēng)險(xiǎn)定位不明確，將難以迅速地采取有效的應(yīng)對(duì)措施。

三、區(qū)域數(shù)據(jù)中心整體安全防護(hù)策略

(一)以標(biāo)準(zhǔn)的流程和可靠的技術(shù)手段確保系統(tǒng)平穩(wěn)整合

為實(shí)現(xiàn)從原有分散式系統(tǒng)到集中式系統(tǒng)平穩(wěn)過渡，首先要從技術(shù)上和管理上完善系統(tǒng)整合的標(biāo)準(zhǔn)、規(guī)范和流程，在充分了解技術(shù)細(xì)節(jié)的前提下，使系統(tǒng)的遷移工作以科學(xué)和固定的模式來實(shí)施，從細(xì)節(jié)上確保系統(tǒng)遷移整合的正確性、完整性和可審計(jì)性，不但要使結(jié)果符合要求，更要使整個(gè)過程可控制。其次，是要盡可能使用可靠、先進(jìn)的技術(shù)手段，一方面提高系統(tǒng)遷移整合工作的效率和準(zhǔn)確性，另一方面促使科技隊(duì)伍多學(xué)多用、活學(xué)活用，同步提高信息技術(shù)水平。

(二)采取有效技術(shù)手段確保數(shù)據(jù)安全

數(shù)據(jù)集中后，數(shù)據(jù)的安全性問題日益突出，對(duì)此，首先是要做好數(shù)據(jù)的備份和恢復(fù)準(zhǔn)備工作，在區(qū)域數(shù)據(jù)中心的主機(jī)服務(wù)器中可以利用數(shù)據(jù)一致性技術(shù)(如時(shí)間戳技術(shù))等解決數(shù)據(jù)不一致的問題，以及使用數(shù)據(jù)備份中經(jīng)常用到的數(shù)據(jù)復(fù)制技術(shù)(如遠(yuǎn)程鏡像技術(shù)、快照技術(shù)等)，在數(shù)據(jù)丟失的緊急情況下使數(shù)據(jù)能得到及時(shí)恢復(fù)，避免對(duì)業(yè)務(wù)造成影響。其次，要根據(jù)不同業(yè)務(wù)系統(tǒng)涉密性和安全性等級(jí)，通過嚴(yán)格的存儲(chǔ)訪問控制技術(shù)來實(shí)現(xiàn)安全訪問，在網(wǎng)絡(luò)存儲(chǔ)中使用IPSAN等技術(shù)，建立數(shù)據(jù)的卷綁定，設(shè)置主機(jī)的訪問權(quán)限，如讀寫權(quán)限、通過密碼訪問(CHAP認(rèn)證)等。再者，要加強(qiáng)對(duì)元數(shù)據(jù)的管理，通過元數(shù)據(jù)優(yōu)化、提取和語義一致等功能的參考模型來支持元數(shù)據(jù)的再使用、一致性、完整性和共享性。

(三)采用軟件工程成熟手段開展系統(tǒng)設(shè)計(jì)

區(qū)域數(shù)據(jù)中心對(duì)應(yīng)用系統(tǒng)的功能和性能提出了許多全新的要求，一個(gè)系統(tǒng)(特別是需要具有巨量聯(lián)機(jī)韋務(wù)處理能力的系統(tǒng))能否勝任，其設(shè)計(jì)過程非常關(guān)鍵。首先，在系統(tǒng)設(shè)計(jì)初期，必須充分與業(yè)務(wù)系統(tǒng)溝通，確定業(yè)務(wù)量的變化范圍，由此一方面確定系統(tǒng)的性能范圍，另一方面使系統(tǒng)的技術(shù)架構(gòu)與業(yè)務(wù)架構(gòu)相吻合，切實(shí)發(fā)揮對(duì)業(yè)務(wù)的支持和促進(jìn)作用。其次，在系統(tǒng)設(shè)計(jì)過程中，可以廣泛應(yīng)用已有的、成熟的軟件工程設(shè)計(jì)技術(shù)，例如面向?qū)ο笤O(shè)計(jì)方法和以及成熟的設(shè)計(jì)模式，設(shè)計(jì)模式是被反復(fù)使用、經(jīng)過分類編目的、具有高可用性的代碼設(shè)計(jì)經(jīng)驗(yàn)的總結(jié)，如GoF(GangofFour，四人組)的23種基本設(shè)計(jì)模式，通過使用這些方法和技術(shù)，能夠有效保證系統(tǒng)設(shè)計(jì)的高可用性，應(yīng)對(duì)系統(tǒng)設(shè)計(jì)的風(fēng)險(xiǎn)。第三，大型系統(tǒng)在上線之前必須經(jīng)過嚴(yán)格反復(fù)的測(cè)試，從中發(fā)現(xiàn)問題、總結(jié)問題、修改問題，以保證系統(tǒng)具有勝任區(qū)域數(shù)據(jù)中心業(yè)務(wù)處理的高品質(zhì)。

(四)確保網(wǎng)絡(luò)通信安全可靠、帶寬充足

對(duì)于業(yè)務(wù)量飆升帶來的區(qū)域數(shù)據(jù)中心網(wǎng)絡(luò)通信“瓶頸”問題，首先要注重避免在網(wǎng)絡(luò)核心區(qū)中存在單點(diǎn)故障風(fēng)險(xiǎn)，在網(wǎng)絡(luò)設(shè)計(jì)中，應(yīng)盡可能使用設(shè)備的雙機(jī)熱備(如路由器、防火墻、核心交換機(jī)的雙機(jī)熱備)，以及采用不同通信運(yùn)營商的冗余線路來解決線路備份問題，保證網(wǎng)絡(luò)通信的可靠性。其次是要根據(jù)實(shí)際流量增長的需求，拓寬通訊帶寬。同時(shí)合理利用網(wǎng)絡(luò)設(shè)備的負(fù)載均衡技術(shù)，有效填補(bǔ)網(wǎng)絡(luò)線路和不同的網(wǎng)絡(luò)設(shè)備之間的速率差距，確保充分利用網(wǎng)絡(luò)資源。

(五)提高隊(duì)伍素質(zhì)，規(guī)范運(yùn)維操作

區(qū)域數(shù)據(jù)中心在各個(gè)專項(xiàng)領(lǐng)域都提出了更高的要求，因此，有必要加強(qiáng)現(xiàn)有技術(shù)人員的培訓(xùn)，在條件允許的情況下，進(jìn)行集中培訓(xùn)和學(xué)習(xí)，或引進(jìn)具有專項(xiàng)技能或運(yùn)維經(jīng)驗(yàn)的人才來補(bǔ)充維護(hù)團(tuán)隊(duì)，使得區(qū)域數(shù)據(jù)中心各項(xiàng)運(yùn)行維護(hù)工作運(yùn)作順暢，并具有過硬的異常處理能力。同時(shí)，應(yīng)注重IT操作流程的完善，以及配套操作和審計(jì)流程的自動(dòng)化，強(qiáng)化規(guī)范操作的落實(shí)和監(jiān)督，降低維護(hù)與管理的風(fēng)險(xiǎn)。

(六)強(qiáng)化技術(shù)手段，預(yù)防攻擊與入侵

防止區(qū)域數(shù)據(jù)中心受到外來攻擊和入侵，主要是在網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)設(shè)計(jì)、入侵監(jiān)鋇0和病毒防治等方面，通過各種技術(shù)手段，強(qiáng)化網(wǎng)絡(luò)安全和主機(jī)安全水平(這方面的內(nèi)容將在第四部分中詳細(xì)介紹)。

(七)加強(qiáng)應(yīng)急演練，提高風(fēng)險(xiǎn)處置能力

數(shù)據(jù)集中格局形成后，作為配套設(shè)施建設(shè)，應(yīng)該相應(yīng)成立區(qū)域數(shù)據(jù)中心應(yīng)急處置領(lǐng)-％AN組，其中包括領(lǐng)導(dǎo)小組辦公室，業(yè)務(wù)、技術(shù)、后勤通信電力保障小組等各層次的應(yīng)急隊(duì)伍，明確各層次的職責(zé)，制定合理可操作的區(qū)域數(shù)據(jù)中心應(yīng)急預(yù)案。同時(shí)，各AN組應(yīng)該根據(jù)應(yīng)急預(yù)案定期開展多種形式的演練，使用模擬技術(shù)使演練更加逼真，以提高區(qū)域數(shù)據(jù)中心的應(yīng)急處置能力。

(八)未雨綢繆，強(qiáng)化災(zāi)難備份中心建設(shè)

災(zāi)難備份中心的重要性和必要性毋庸贅述，它是信息安全的“最后一道防線”，災(zāi)難中心的建設(shè)對(duì)于不同機(jī)構(gòu)的數(shù)據(jù)中心來說，從成本因素考慮，可視實(shí)際情況不同而采用不同的形式，在管理、技術(shù)和資金方面有優(yōu)勢(shì)等的大型數(shù)據(jù)中心可單獨(dú)建立災(zāi)難中心，反之，則可租用和共享災(zāi)難備份中心。　　

四、區(qū)域數(shù)據(jù)中心網(wǎng)絡(luò)和主機(jī)專項(xiàng)安全防護(hù)策略。

(一)網(wǎng)絡(luò)安全防護(hù)

1．網(wǎng)絡(luò)安全設(shè)備。首先是硬件設(shè)備安全，所使用的設(shè)備必須符合國家質(zhì)量技術(shù)監(jiān)督局、公安部《安全技術(shù)防范產(chǎn)品管理辦法》規(guī)定，具有生產(chǎn)許可證，安全認(rèn)證符合我國3C認(rèn)證要求和安全與警用電子產(chǎn)品型式檢驗(yàn)要求，或具有美國、日本、歐盟等技術(shù)先進(jìn)國家安全防范行業(yè)安全認(rèn)證書，對(duì)重要安全產(chǎn)品還必須獲得國家保密和安全部門的評(píng)泓和認(rèn)證。

2．網(wǎng)絡(luò)安全設(shè)計(jì)。在內(nèi)聯(lián)網(wǎng)中，如果信息傳輸采用公用信道，且TCP／IP協(xié)議具有開放性，那么數(shù)據(jù)很容易被竊取、篡改和假冒。而在外聯(lián)網(wǎng)，如果某些業(yè)務(wù)系統(tǒng)數(shù)據(jù)的源頭來自各網(wǎng)點(diǎn)，而內(nèi)聯(lián)網(wǎng)與外部的連接是通過FR、DDN、X.25和PSTN實(shí)現(xiàn)，則必須在鏈路層和網(wǎng)絡(luò)層采用一定的安全措施。在鏈路層，采用支持FR和X25協(xié)議的加密設(shè)備進(jìn)行鏈路加密，并且對(duì)個(gè)別重要業(yè)務(wù)的通信使用單獨(dú)設(shè)立PVC通道；在網(wǎng)絡(luò)層，首先要在內(nèi)聯(lián)網(wǎng)與外聯(lián)網(wǎng)之間使用防火墻、路由器進(jìn)行數(shù)據(jù)包過濾、地址轉(zhuǎn)換(NAT)等技術(shù)手段，對(duì)來自接入網(wǎng)的非法訪問進(jìn)行控制，其次要在局域網(wǎng)內(nèi)設(shè)置虛擬專用網(wǎng)絡(luò)，實(shí)現(xiàn)重要業(yè)務(wù)系統(tǒng)的服務(wù)器與一般的辦公用機(jī)相隔離，再者是建立統(tǒng)一的網(wǎng)絡(luò)管理平臺(tái)和監(jiān)控平臺(tái)。

3．網(wǎng)絡(luò)接入和訪問控制。一是為了提高網(wǎng)絡(luò)速度，減少網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)量(特別是廣播包的數(shù)量)，就必須對(duì)網(wǎng)絡(luò)進(jìn)行虛網(wǎng)(VLan)的劃分，因?yàn)闃I(yè)務(wù)的劃分與部門的設(shè)置有著密切的關(guān)系，所以劃分VLan的原則可以部門為主體進(jìn)行劃分。二是設(shè)計(jì)信息停火區(qū)(DMZ)，用來放置與各互連單位進(jìn)行信息交換的服務(wù)器。外部用戶訪問DMZ中的各服務(wù)器時(shí)，必須先經(jīng)過防火墻的地址轉(zhuǎn)換，然后將數(shù)據(jù)包送到放置在防火墻DMZ區(qū)的各個(gè)服務(wù)器。通過這種網(wǎng)絡(luò)結(jié)構(gòu)，可以制定針對(duì)服務(wù)器的安全策略，也可以制訂指向內(nèi)網(wǎng)的安全策略，還可以根據(jù)針對(duì)服務(wù)器的各種攻擊進(jìn)行防范。三是結(jié)合實(shí)際情況，按照相關(guān)安全要求禁止遠(yuǎn)程接人方式。

4．入侵檢測(cè)系統(tǒng)(IDS和IPS)。IDS／IPS一般部署在不同安全級(jí)別的網(wǎng)絡(luò)邊界，可用于監(jiān)測(cè)和抵御網(wǎng)絡(luò)威脅。在區(qū)域數(shù)據(jù)中心有必要使用專門的人侵檢測(cè)系統(tǒng)，對(duì)網(wǎng)絡(luò)運(yùn)行進(jìn)行實(shí)時(shí)監(jiān)控，捕獲網(wǎng)絡(luò)異常事件和訪問特定機(jī)器的數(shù)據(jù)包，按一定的規(guī)則進(jìn)行分析、檢測(cè)，從而確定是否有計(jì)算機(jī)對(duì)網(wǎng)絡(luò)或受保護(hù)的計(jì)算機(jī)進(jìn)行攻擊，進(jìn)而堵塞系統(tǒng)設(shè)置中的安全漏洞。IDS／IPS對(duì)各類黑客攻擊行為以及新型的未知的攻擊行為能夠?qū)崟r(shí)監(jiān)控，自動(dòng)檢測(cè)可疑行為，及時(shí)發(fā)現(xiàn)來自網(wǎng)絡(luò)外部或內(nèi)部的攻擊，并實(shí)時(shí)響應(yīng)，切斷攻擊方的連接。

5．采用虛擬專用網(wǎng)(vPN)。數(shù)據(jù)在對(duì)外傳輸時(shí)，為保證所有在網(wǎng)絡(luò)上傳輸?shù)闹匾獢?shù)據(jù)的安全性，可以使用VPN技術(shù)對(duì)重要數(shù)據(jù)進(jìn)行加密處理，加密后的數(shù)據(jù)不僅能夠確保其私密性，還具有信息身份認(rèn)證功能和抗攻擊功能，其他人無法將偽造的信息在VPN隧道上傳輸，并且即使他人截獲了數(shù)據(jù)信息，也無法對(duì)加密的信息進(jìn)行破解。

(二)數(shù)據(jù)中心主機(jī)安全防護(hù)

除了網(wǎng)絡(luò)基礎(chǔ)環(huán)境的安全外，區(qū)域數(shù)據(jù)中心主機(jī)的信息安全防護(hù)體系是另一個(gè)重點(diǎn)，一般來說，主機(jī)基本上都處在內(nèi)聯(lián)網(wǎng)中，所采取安全防護(hù)措施主要有以下幾個(gè)方面。

1．防病毒、蠕蟲和惡意軟件。防病毒、蠕蟲和惡意軟件可以說是最基本的主機(jī)安全防護(hù)措施，它可以防止計(jì)算機(jī)病毒通過網(wǎng)絡(luò)進(jìn)行傳播和擴(kuò)散，并對(duì)信息資源和網(wǎng)絡(luò)設(shè)備進(jìn)行保護(hù)。區(qū)域數(shù)據(jù)中心主機(jī)可安裝業(yè)界流行的防病毒軟件并開啟自動(dòng)防護(hù)功能，同時(shí)部署防病毒服務(wù)器，供客戶主機(jī)進(jìn)行實(shí)時(shí)更新，以防遭受新型病毒、蠕蟲和惡意軟件的破壞。

2．清除木馬和間諜軟件。木馬和間諜軟件可以說是一種特殊的病毒，除盜取業(yè)務(wù)系統(tǒng)的用戶和密碼，然后進(jìn)行破壞以外，有些木馬和間諜軟件還可能會(huì)用來盜取重要文件，危害企業(yè)秘密信息的安全。因此，除了部署企業(yè)版防病毒軟件以外，還可定期使用專用工具對(duì)主機(jī)進(jìn)行全面掃描，清除木馬、間諜軟件。

3．操作系統(tǒng)安全和補(bǔ)丁分發(fā)系統(tǒng)。一是保證主機(jī)上安裝的操作系統(tǒng)和軟件必須是正版軟件，以及確保只安裝與業(yè)務(wù)相關(guān)的軟件。二是根據(jù)操作指引，關(guān)閉操作系統(tǒng)中不必要的服務(wù)，啟用相關(guān)安全策略。三是針對(duì)操作系統(tǒng)和軟件本身存在漏洞和安全隱患，在區(qū)域數(shù)據(jù)中心部署補(bǔ)丁分發(fā)系統(tǒng)，強(qiáng)制對(duì)所有主機(jī)進(jìn)行補(bǔ)丁更新，保證操作系統(tǒng)和應(yīng)用軟件的安全性。

4．主機(jī)數(shù)據(jù)文件安全。可以考慮采用以下方式增強(qiáng)數(shù)據(jù)文件的安全性：一是對(duì)于以文件形式存放的涉密文，全部轉(zhuǎn)化PDF格式并使用在線驗(yàn)證的加密機(jī)制，其加密算法采用的是256位的AES對(duì)稱加密，另外對(duì)涉密文件的權(quán)限進(jìn)行控制(如設(shè)置為“能看、不能改、不能打印”等)，進(jìn)一步對(duì)文件進(jìn)行防護(hù)；二是對(duì)信息數(shù)據(jù)進(jìn)行加密，特別是對(duì)使用數(shù)據(jù)庫保存的業(yè)務(wù)數(shù)據(jù)，對(duì)其中的數(shù)據(jù)進(jìn)行加密，使用密文進(jìn)行保存。

5．主機(jī)漏洞的管理。使用成熟的漏洞掃描系統(tǒng)，基于其最新的安全漏洞庫，對(duì)區(qū)域數(shù)據(jù)中心主機(jī)漏洞進(jìn)行定期掃描，分析和檢測(cè)主機(jī)中存在的弱點(diǎn)和漏洞，并按照修補(bǔ)方法和安全實(shí)施策略進(jìn)行加固。

6．日志分析管理。對(duì)數(shù)據(jù)中心主機(jī)的業(yè)務(wù)系統(tǒng)、操作系統(tǒng)和安全防護(hù)系統(tǒng)的日志進(jìn)行分析，如通過對(duì)業(yè)務(wù)系統(tǒng)中失敗登錄的次數(shù)、硬盤使用的情況、文件錯(cuò)誤的分析來跟蹤業(yè)務(wù)系統(tǒng)的狀態(tài)；通過分析操作系統(tǒng)的設(shè)備驅(qū)動(dòng)程序啟動(dòng)失敗情況、硬件錯(cuò)誤、服務(wù)運(yùn)行等日志，解決操作系統(tǒng)和硬件的故障；通過對(duì)防病毒系統(tǒng)日志進(jìn)行分析，發(fā)現(xiàn)區(qū)域病毒發(fā)作的特點(diǎn)并提出解決方法。