作者根据从事社会保险信息系统规划、设计和运维的多年经验,将生产区安全的重要性和相关问题提炼出来并进行了专门的论述,其中包括怎样避免因对设备、网络、软件等规划不当,可能造成的生产区数据安全问题……
作者根据从事社会保险信息系统规划、设计和运维的多年经验,将生产区安全的重要性和相关问题提炼出来并进行了专门的论述,其中包括怎样避免因对设备、网络、软件等规划不当,可能造成的生产区数据安全问题,并对如何着手建立和维护数据安全机制和法规遵从等方面的内容也进行了独特的论述。
一、 核心数据系统威胁越来越重
在考虑信息系统安全问题时,人们往往更多关注的是涉及因特网接入后所带来威胁,而这只是整个信息系统安全的一个重要方面,通常,在一般数据大集中的系统中,通常将系统分为几个区域,例如生产区、交换区、决策区等,其中,生产区是必不可少而且是最重要的区域,它所包括的是一个系统的主机及存储系统、核心数据库系统、核心网络交换系统、数据备份系统等,是信息系统的核心和最重要的部分。
生产系统终端设备的使用者,主要是单位内直接进行业务操作的内部工作人员,而生产系统网络的构建,大都是以专线或VPN形式构成的内部网络,这些网络因不与外部构成直接连接,所以称为内网。同时,在生产系统中运行的程序,通常也是最核心和最重要的程序,是在一个单位或部门进行的主要业务操作,因此,生产区的安全性高于体系结构中其它的区域,是需要予以最关注的部分。生产区安全包括数据、应用软件和Web服务、网络周边和法规遵从等多方面内容,具有较高的复杂性和管理难度。
二、 生产区内主要的安全问题和面临威胁的甄别
1、数据库系统
数据库所面临的威胁有:数据管理方式和管理流程编制不得当,造成数据不准和修改错误,过多的采用了直接数据库操作而非程序操作,没有做好修改日志记录或日志遭破坏,对后台数据库没有通过权限进行有效控制,与其他单位进行数据交换时数据遭到损坏,对数据库的监控不利,数据库没有得到优化,DBA权限得不到应有的限制等。
2、主机和存储系统
主机、存储系统如果设计能力和容量较低,在使用中会发生响应迟缓,存储容量不足,如规划、设计能力和容量过高,则会造成初始投资过大,资源浪费等,因此必须考虑周全。主机的双机或集群,存储设备通道和磁盘以RAID形式冗余配置,对于一个信息系统的可用性和数据保护,都是十分重要的。面前敏感数据存储系统多采用SAN网络,SAN交换机的双机冗余配置对数据保护也是必要的。
3、应用程序
当应用软件存在严重漏洞、对关键字段控制不严,以及对一些误操作没有编写有完好的识别、诊断和处理程序时,都可能导致程序崩溃或垃圾数据的产生。有些权限控制功能嵌套在应用程序中,处理不好时很可能造成先以低权限的用户登录后,再通过嵌套调用获得更高级别操作权限,所以应用程序对数据安全的影响十分重大。
4、内部网络和边界防护
在集中式数据库应用过程中,保证网络的良好运转,是保证业务正常运转的重要环节之一,路由、交换设备的能力不足或调试不当,IP地址规划设置不合理,都会引起数据传输受阻或引发网络安全问题,而网络的安全又直接影响到数据安全。病毒的传播、黑客的攻击,都可能通过没有设置很好边界防护的网络进行。即使设置有很好的网络边界防护,从网络的威胁还可能来自内部人员直接通过内部网络的恶意破坏或职务犯罪,因此来自网络的威胁是多方面的。
5、数据备份和灾难恢复系统
完整和及时的数据备份是当遇有事故发生后拯救数据的最关键手段,因此也是保证数据安全的重要环节。对数据备份重视不够,数据备份设备不完好,不经常检查和定期更新数据备份介质,都可能产出无效的数据备份,使之在关键时刻用不上。
从制度措施上来说,对数据库数据备份没有健全的规章制度,数据备份策略制定的不合理,没有对数据备份介质进行可靠的存放,也会给数据安全带来隐患。另外,对于重要部门而且要求实时性高的数据中心,若没有建立相关的灾难恢复系统,其数据安全等级也会受到相应的影响。
6、监控及辅助系统
对数据库、主机、存储、数据备份等系统没有实施有效监控,并适时调配相关参数,不但会使整个系统在工作中效能低下,同时还会造成数据安全隐患。对网络、防火墙、入侵检测系统监控不当,同样也会使系统受到安全威胁。
辅助设备,包括维持机房设备正常工作的电力设施、不间断电源、空调等,若规划设计不合理,参数调配不好或得不到有效的维护,也会间接对数据安全构成威胁。
三、 解决生产区数据安全问题的方法
1、数据库及应用程序的安全保证
在保障数据库和应用程序的安全方面,应采用相关数据存到同一用户,相关用户对应于相应表空间,执行统一的安全管理规定,口令定期更改的原则。针对数据库DBA的权限过高的特点,除对其有所限制外,还可采取多人按职责分类监管的措施,有针对性的加强对其操作的审计,并特别针对这部分有价值日志进行保护。
在一些生产系统中,权限的设置和安全控制都主要依赖于应用程序,特别是在将权限控制功能嵌套在应用程序中的系统,应采用权限管理以功能模块为单位的策略,对应用程序的调用过程,应有专人进行研究、测试及审核,发现问题及时更改。对所建立账户、密码在应用程序中的加密算法及核对过程也应进行研究和控制。
2、主机和存储系统的安全保障措施
在重要数据管理系统中,为保证业务的连续性和数据安全,系统数据库主机应配备双机系统,采用集群或主、备形式进行搭配。在存储以及主机与存储的连接设计上,应采用了双通道卡、双光纤交换机的设置,以使其可靠性更高。
3、确保数据备份的可靠性和可用性
因为数据备份对保证数据安全非常重要,所以要制定好备份策略,例如可采用日增量、周全备等方式进行备份策略的安排。另外,在采用传统磁带库设备进行备份的同时,还可在每日夜间进行一次数据下卸,第二天由存储阵列导入活动硬盘中,相当于每日增加了一个全备份,而该备份又不同于磁带,这种双重备份形式可使数据备份及保存更为可靠。
对重要数据备份介质的存放,必须考虑周全,除在机房介质间存放一份,进行每日更换外,还应在本地其他地方存放一份,至少每周更换一次,甚至应选择到外地再存放一份,并进行每月或每季度的更换,以防地域性灾难对备份数据的破坏。
数据备份是否成功,必须经回装测试来进行验证。在一个系统中最好设置有与生产系统主机、存储及数据库基本相同或类似的测试系统,进行定期的和当系统有较大变化时的数据回装测试,以验证备份数据的有效性。
4、网络安全措施
加强网络的边界防护,是防止经外网到内网对数据进行破坏的重要方式,当前,国内外通过网络匿名或破译密码非法登录,实施对数据库的攻击,盗取、篡改、破坏数据的案例屡见不鲜,因此,为确保数据安全,防患于未然,需要在网络边界上设置防火墙,并在网络关键部位设置入侵检测设备,定期分析相关日志,以保证内网安全。
一个结构清晰且配置合理的网络,对网络及数据安全非常重要。结构清晰,指对网络实施按区域的划分和管理,并使网络具有从主干到局部都结构清晰、配置方便的特点,以使查找网络故障快捷。网络配置合理,指网络设备配置和IP地址配置的合理。例如主干网可采用A类、局域网采用C类私有地址,再做细致划分时,对每个单位所分配的地址个数,最好都做细致测算,并按实际需求进行分配,这样不仅节省了IP资源,而且可在一定程度上使网络安全性得以提高。
重要环节的网络系统最好具有双线路,并由两家运营商独立提供,其中一条作为备份线路,以提高网络对业务连续性的支持。
5、提高数据交换环节的安全性
当一个重要信息系统需要与外单位进行数据交换时,应避免采用直接联网的交换方式,最好能通过一个专用交换平台进行数据交换,并在交换平台中进行相应的数据安全监测和审计,更为保险的措施是设置专用的中间数据库对交换数据暂存,以进一步提高数据交换的安全性。
四、 建立数据安全机制的一些相关策略
1、保证数据质量
首先,数据质量是信息的生命,保证数据安全的前提首先是要保证数据质量,而数据质量要从数据产生的源头抓起,因此在信息进入计算机系统之前,就应采用诸如表格式设计、编码设计、指标设计、校验检查、用户核对等数据控制技术来保证数据的质量,因为错误的数据进入计算机系统后,产出的还是错误的、无价值的数据,所以首先必须严把数据质量关。
2、形成数据管理的长效机制
保证数据安全,要从如下几个方面着手做好建立数据安全机制的工作。首先,一个单位对于其关键数据,需要借鉴银行业以风险监管为核心的原则,即内部控制的核心原则,实现财务、业务、资金的三集中管理。可采用双人审核、自动凭证生成、电子对帐、财务结算等技术措施,由自身掌管政策和数据,由银行完成货币操作。
其次,是规范流程,约束操作。数据维护,是需要强化管理的基础性工作,要通过建立严格的数据维护制度,来实现对数据的全面管理,确保数据资源的持续发展和可利用。当需要对关键信息进行维护时,必须经业务部门人员审核、单位负责人审批后,由专人进行维护,并及时建立数据维护信息台帐,按月形成月报上报到相关部门备案。
再有,是加强客户监督。凡是具有与银行、保险、证券交易所有类似业务的行业,可采用客户审核的方式保证数据安全,即借鉴银行、保险、证券交易所等给客户打印对帐单的方式,让客户协助监督数据安全,客户出于保护自己权益的原则,也会对账目进行仔细审核。此外,还可以采用邮寄、网上查询等多种方式让客户对数据进行核查。
3、加强对用户权限的控制
对生产区用户权限的控制,指对在生产区内进行操作的各级业务、财务人员权限的分配和控制,这是在生产系统中保证数据安全的重要措施之一。权限的分配应采用层层负责制,在本单位所属的各级机构指定专人负责权限的分配,核心部门的系统管理员负责创建下级机构系统管理员的用户,并分配初始密码,一般人员的初始账户由本级系统管理员统一创建,并分级建立用户档案。
用户初次登录时,应有强制性修改本级帐户密码的程序措施,各级管理员应相对固定,如该系统管理员无法继续从事本级系统管理员工作时,应与接替人员对照账户文档,现场核对帐户及当时的用户信息,检查无误后方可进行工作交接,接替人员应立即变更本级系统管理员密码及账户信息。
生产区的用户身份认证系统要具有充分的完备性和应用性,即具备所有必须的组件,并满足所有的业务要求,能与业务应用紧密组合。用户权限应在准确理解各项操作的基础上,经测试成功后再赋予直接用户,设置中应避免权限重叠和相互抵触、交叉、及嵌套的情况发生。对于具有特殊的或个别修改权限人员帐户的设置,应仅对专门的部门或人员进行,并定期审计其操作记录。当有人员调离或岗位变更的情况发生时,应立即删除相应用户。
4、采用相关安全套件强化用户登录检验
除了由所执行的应用程序来进行用户的合法性校验和权限核准外,还可采用相关的辅助手段和工具对用户登录系统做强制认证,例如采用域控制作为用户登录网络的第一级审验,可进一步提高了网络登录的安全性,从而提高核心数据的安全性。目前已有很多公司推出了身份管理、网络准入控制的解决方案以及相关技术产品,有的甚至是基于SOA的、可以热插拔的形式嵌入在应用系统之中,它们的核心都是对接入系统的终端用户进行合法性、完整性检查以及权限的控制,以增加系统的安全性、可用性,并可对进入网络的用户实施高效、集中的监控、管理和审计。
5、建立和加强法规遵从
2002年,在安然事件后的一片混乱中,美国颁布了萨班斯-奥克斯利法案(Sarbanes-Oxley Act,简称“萨班斯法案”)。该法案对美国商业界以至IT界影响巨大,从此也产生了法规遵从的概念和实践。萨班斯法案是一部涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律,其基本目标是:遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者的利益。萨班斯法案为公司的外部审计师创建了一个新的监督体制,并把对财务报告的内部控制作为关注的具体内容,不仅要求管理层报告公司对财务报告的内部控制,而且要求外部审计师证实管理层所披露报告的准确性。
为了识别管理层对财务报告所作的相关认定,审计师需审核每个重要账户潜在的错报、漏报及产生原因,而公司在对财务报告做出确认时往往需要借助于IT系统,所以审计师要同时评价公司IT系统的性质、使用状况以及复杂程度,如IT系统中是否有一套为财务报告的建立和维持而应具备的内部控制结构和流程,影响财务报告的记录是否可能被毁坏、更改或弄虚作假,因此对IT系统提出了更高的要求,而数据的安全和保护在这个内部控制结构中扮演着关键角色。
前车之鉴,我国目前从中央各部委到地方各行业,也在积极制定相关的法律法规,以促进各重要企业和部门建立健全起有效的内控机制和管理制度,以进行更严格监管和审计,促进国民经济平稳有序的健康发展,数据的安全保护也将进入有法可依、有规可从的新阶段。
五、总结:数据安全不仅看外,更多防内
当今,大量业务处理需要计算机系统来完成,IT系统因为业务驱动的原因不断发展,使业务对IT系统的依赖更为增强,这同时使数据安全威胁的复杂性和严重性也显著提高,对信息系统的威胁,已从过去单纯的黑客攻击、病毒破坏转向一种有明确目的盗窃和犯罪,安全漏洞的出现也从过去仅给业务造成损失和名誉受到影响发展为直接的资金财产损失,而对生产区数据安全的威胁除了具有外部因素外,更多的则是来自内部工作人员,因此生产系统中数据安全不但包括技术问题,而且是一个与业务密切相关的问题,确保数据安全要从技术、管理制度和法规遵从等多方位进行规划和考虑,这也将使我们对保证生产系统的数据安全提高到一个新的认识高度。