企業(yè)應(yīng)用系統(tǒng)安全防護(hù)

【摘要】本文總結(jié)企業(yè)信息安全經(jīng)驗(yàn)，研究關(guān)于企業(yè)應(yīng)用系統(tǒng)的安全防護(hù)的體系架構(gòu)設(shè)計(jì)。

【關(guān)鍵詞】信息安全；應(yīng)用系統(tǒng)；安全防護(hù)

一、引言

企業(yè)的信息安全越來(lái)越受到企業(yè)相關(guān)人員的關(guān)注，企業(yè)內(nèi)部雖然采取了各種措施，但仍然發(fā)生許多安全問(wèn)題，本文重在總結(jié)信息系統(tǒng)建設(shè)過(guò)程中的經(jīng)驗(yàn)，探討企業(yè)信息系統(tǒng)安全，建立應(yīng)用系統(tǒng)安全防護(hù)架構(gòu)，研究信息系統(tǒng)的硬、軟件及系統(tǒng)的數(shù)據(jù)保護(hù)及容災(zāi)機(jī)制的建立。

二、安全防護(hù)的總體原則

（一）適度安全、分級(jí)保護(hù)

安全沒(méi)有絕對(duì)性，增加安全性往往意味著更大的成本投入和操作的復(fù)雜化。因此，在進(jìn)行安全規(guī)劃、建設(shè)和管理時(shí)，應(yīng)在投資、安全回報(bào)和可用技術(shù)之間找到最佳的平衡點(diǎn)。

根據(jù)應(yīng)用系統(tǒng)的重要程度，以及資產(chǎn)面臨的風(fēng)險(xiǎn)大小等因素，決定各類資產(chǎn)的安全保護(hù)級(jí)別。制訂信息系統(tǒng)的安全保護(hù)等級(jí)表，明確資產(chǎn)類別，確定資產(chǎn)何種級(jí)別的安全程度。

（二）全生命周期管理

任何一個(gè)應(yīng)用系統(tǒng)按其在數(shù)據(jù)中心的生命周期，可劃分為建設(shè)、運(yùn)行維護(hù)、銷毀等三個(gè)過(guò)程。安全保護(hù)應(yīng)落實(shí)在建設(shè)、運(yùn)行維護(hù)、管理的全過(guò)程中，任何一個(gè)環(huán)節(jié)的疏忽都可能給信息系統(tǒng)帶來(lái)危害。因此，我們?cè)O(shè)計(jì)的安全體系按此設(shè)計(jì)覆蓋了應(yīng)用系統(tǒng)的全過(guò)程。

（三）技術(shù)和管理結(jié)合

在采用安全技術(shù)和產(chǎn)品的同時(shí)應(yīng)重視管理，在我們體系建設(shè)中不僅有應(yīng)用先進(jìn)技術(shù)的安全保護(hù)體系，如虛擬化、集群技術(shù)、安全評(píng)估系統(tǒng)等。也按ISO27001要求制訂各類管理制度，完善系統(tǒng)的安全防御措施，強(qiáng)化網(wǎng)絡(luò)與信息安全的日常管理工作。通過(guò)監(jiān)測(cè)環(huán)境和應(yīng)用系統(tǒng)的變化，分析變化可能帶來(lái)的風(fēng)險(xiǎn)，及時(shí)調(diào)整原有安全保護(hù)和管理措施，控制風(fēng)險(xiǎn)的蔓延。

三、應(yīng)用程序全生命周期安全防護(hù)

根據(jù)當(dāng)前數(shù)據(jù)中心特點(diǎn)，以下是按應(yīng)用程序的生命周期進(jìn)行安全管理方案：

（一）應(yīng)用系統(tǒng)上線前的安全管理

俗話說(shuō)：進(jìn)攻是最好的防守。安全問(wèn)題也是如此，與其事后補(bǔ)救不如事前預(yù)防。因此，建立應(yīng)用系統(tǒng)上線前的安全管理措施同樣非常重要，主要包括：

（1）在應(yīng)用系統(tǒng)規(guī)劃階段，充分考慮運(yùn)行后的安全性因素，設(shè)計(jì)好解決方法或者規(guī)避措施。

（2）必須使用安全、正規(guī)的正版軟件安裝操作系統(tǒng)。

（3）在操作系統(tǒng)安裝完成后，及時(shí)更新操作系統(tǒng)補(bǔ)丁。

（4）檢查己?jiǎn)⒂玫姆?wù)，根據(jù)需要關(guān)閉掉不必要的服務(wù)例如：FTP、IIS、Telnet等。

（5）防病毒軟件的安裝及病毒庫(kù)更新。

（6）更換administrator用戶，設(shè)置符合強(qiáng)度要求的密碼和權(quán)限范圍；停用guest等賬號(hào)。

（7）在完成上述步驟后，使用專業(yè)的安全評(píng)估設(shè)備，進(jìn)行漏洞掃描及安全評(píng)估，在評(píng)估結(jié)果為安全的情況下，再進(jìn)行應(yīng)用程序的安裝。

（8）在完成應(yīng)用程序部署后，再次使用安全評(píng)估設(shè)備，進(jìn)行漏洞掃描及安全評(píng)估，只有評(píng)估安全的情況下才正式上線運(yùn)行。

（二）應(yīng)用系統(tǒng)運(yùn)行中的安全管理

安全問(wèn)題的特點(diǎn)為“三分技術(shù)、七分管理”。除了各種技術(shù)手段外安全管理的落實(shí)是解決安全問(wèn)題、提高安全水平的基石。面對(duì)網(wǎng)絡(luò)與信息安全的脆弱性除了完善系統(tǒng)的安全防御措施外還須加強(qiáng)網(wǎng)絡(luò)與信息安全的日常工作管理，在遵循ISO 20000標(biāo)準(zhǔn)的前提下，重點(diǎn)做好以下工作：

（1）根據(jù)《數(shù)據(jù)機(jī)房運(yùn)行管理辦法》要求，每天定時(shí)對(duì)機(jī)房的環(huán)境、設(shè)備和應(yīng)用系統(tǒng)的狀態(tài)進(jìn)行巡檢。

（2）定期對(duì)機(jī)房?jī)?nèi)各類設(shè)備的運(yùn)行狀態(tài)進(jìn)行檢測(cè)，對(duì)系統(tǒng)備份狀況進(jìn)行檢查。

（3）通過(guò)機(jī)房環(huán)境監(jiān)控系統(tǒng)對(duì)機(jī)房?jī)?nèi)的動(dòng)力、溫度、濕度和消防狀態(tài)，進(jìn)行監(jiān)控管理。

（4）通過(guò)應(yīng)用系統(tǒng)監(jiān)控軟件對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備、中間件、數(shù)據(jù)庫(kù)和WEB應(yīng)用的運(yùn)行狀態(tài)進(jìn)行監(jiān)控管理，一旦發(fā)生異常及時(shí)進(jìn)行報(bào)警。

（5）對(duì)進(jìn)入機(jī)房的人員進(jìn)行登記，在相關(guān)人員的陪同下方可進(jìn)入。

（6）任何人對(duì)應(yīng)用服務(wù)器進(jìn)行的任何操作，都必須在授權(quán)后才能進(jìn)行，對(duì)于變更程序等重大操作，必須填寫(xiě)變更申請(qǐng)單和記錄單。

（7）對(duì)系統(tǒng)的操作過(guò)程必須使用相關(guān)人員賬號(hào)，通過(guò)堡壘機(jī)進(jìn)行操作，以便對(duì)操作過(guò)程進(jìn)行記錄、錄像。

（8）建立用戶權(quán)限申請(qǐng)、變更審批流程制度，同時(shí)對(duì)用戶操作內(nèi)容進(jìn)行記錄，并定期審計(jì)以上內(nèi)容。

（9）每季度對(duì)及關(guān)鍵應(yīng)用進(jìn)行一次安全評(píng)估機(jī)制。

（三）應(yīng)用系統(tǒng)停止使用后的安全管理

（1）通過(guò)審批流程確定停用應(yīng)用系統(tǒng)的合規(guī)性。

（2）封存應(yīng)用系統(tǒng)數(shù)據(jù)，停用用戶賬號(hào)，修改查詢賬號(hào)權(quán)限。

（3）到達(dá)應(yīng)用系統(tǒng)封存年限后，按保密規(guī)定實(shí)施數(shù)據(jù)銷毀。

四、應(yīng)用系統(tǒng)數(shù)據(jù)保護(hù)

為了提供全面的數(shù)據(jù)保護(hù)，降低應(yīng)用系統(tǒng)的停機(jī)時(shí)間，提高安全性和連續(xù)性，根據(jù)下圖中應(yīng)用系統(tǒng)的層次，利用冗余、群集、備份和容災(zāi)等技術(shù)，對(duì)包括服務(wù)器硬件、操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫(kù)及重要文件制定了全套的保護(hù)措施和保護(hù)方案。

（一）服務(wù)器保護(hù)

服務(wù)器的硬盤數(shù)據(jù)保護(hù)：目前可通過(guò)磁盤陣列來(lái)實(shí)現(xiàn)磁盤上數(shù)據(jù)的保護(hù)，常用的陣列有Raid10和Raid5等，Raid10能提供很高的讀寫(xiě)性能和數(shù)據(jù)安全性，但是磁盤的利用率很低，陣列的總?cè)萘恐挥写疟P數(shù)量的一半。Raid5的讀寫(xiě)性能和數(shù)據(jù)安全性雖然沒(méi)有Raid10高， Raid的配置可根據(jù)預(yù)算和應(yīng)用系統(tǒng)的需求進(jìn)行合理配置。

服務(wù)器的網(wǎng)卡保護(hù)：為每臺(tái)服務(wù)器配置兩塊網(wǎng)卡，，將兩塊網(wǎng)卡綁定為一塊網(wǎng)卡，當(dāng)任意一塊網(wǎng)卡故障，或連接的網(wǎng)絡(luò)設(shè)備故障時(shí)，另一塊網(wǎng)卡可繼續(xù)保持工作，可避免因網(wǎng)絡(luò)故障引起的停機(jī)事件。

服務(wù)器其它硬件保護(hù)（如主板、CPU等）：發(fā)生硬件故障造成停機(jī)，必然會(huì)造成應(yīng)用系統(tǒng)的中斷，可通過(guò)群集技術(shù)，實(shí)現(xiàn)應(yīng)用系統(tǒng)的高可用。常用的群集有服務(wù)器群集、應(yīng)用系統(tǒng)群集、數(shù)據(jù)庫(kù)群集等。

（二）操作系統(tǒng)保護(hù)

現(xiàn)在各種常用操作系統(tǒng)都提供了群集管理軟件。通過(guò)群集管理軟件，可在一臺(tái)節(jié)點(diǎn)服務(wù)器發(fā)生故障停機(jī)時(shí)，將該節(jié)點(diǎn)的應(yīng)用遷移到群集中，其它正常工作的節(jié)點(diǎn)服務(wù)器上運(yùn)行，從而保證應(yīng)用系統(tǒng)的高可用性。

（三）應(yīng)用程序保護(hù)

應(yīng)用程序發(fā)生故障會(huì)對(duì)業(yè)務(wù)產(chǎn)生直接影響，為了實(shí)現(xiàn)應(yīng)用系統(tǒng)的連續(xù)性，多采用群集部署方式。例如采用了websphere群集技術(shù)，將應(yīng)用程序部署在一個(gè)前臺(tái)web服務(wù)管理器和多個(gè)應(yīng)用程序服務(wù)器上，前端web服務(wù)負(fù)責(zé)管理調(diào)度，會(huì)根據(jù)事先定義的策略，將每個(gè)客戶發(fā)起的會(huì)話請(qǐng)求，分配到不同的應(yīng)用服務(wù)器上，當(dāng)某個(gè)應(yīng)用程序節(jié)點(diǎn)發(fā)生故障時(shí)，前端web服務(wù)停用該節(jié)點(diǎn)，而使用其它應(yīng)用程序節(jié)點(diǎn)繼續(xù)工作，這樣的部署不僅實(shí)現(xiàn)了高可用，同時(shí)也實(shí)現(xiàn)了應(yīng)用的負(fù)載均衡。

（四）數(shù)據(jù)庫(kù)保護(hù)

數(shù)據(jù)庫(kù)是應(yīng)用系統(tǒng)的后臺(tái)部分，高可用性要求是最高的，因此數(shù)據(jù)庫(kù)群集以雙機(jī)熱備為主。如Oracle數(shù)據(jù)庫(kù)群集采用RAC技術(shù)，使用多節(jié)點(diǎn)服務(wù)器實(shí)現(xiàn)數(shù)據(jù)庫(kù)的高可用。

由于數(shù)據(jù)庫(kù)的連續(xù)性要求較高，因此數(shù)據(jù)庫(kù)的備份以在線式備份為主。根據(jù)數(shù)據(jù)庫(kù)恢復(fù)數(shù)據(jù)的需求不同，采用多種備份方式進(jìn)行備份，如歸檔備份、日志備份、控制文件備份、導(dǎo)出備份和數(shù)據(jù)庫(kù)備份。在線式備份在備份的時(shí)候，需要消耗操作系統(tǒng)和數(shù)據(jù)庫(kù)資源，備份時(shí)會(huì)降低應(yīng)用系統(tǒng)的性能，所以一般在系統(tǒng)相對(duì)空閑的時(shí)間段進(jìn)行。

（五）存儲(chǔ)保護(hù)

存儲(chǔ)是群集的，因此對(duì)存儲(chǔ)的安全性要求也是最高的。目前常用的能實(shí)現(xiàn)高可用的存儲(chǔ)有光纖SAN、IP SAN等，可采取同步復(fù)制或者鏡像技術(shù)實(shí)現(xiàn)高可用。

（六）數(shù)據(jù)備份

如何進(jìn)行全面的數(shù)據(jù)備份，首先需要通過(guò)各種備份策略，對(duì)操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)庫(kù)的數(shù)據(jù)，進(jìn)行不同時(shí)間點(diǎn)，不同類型的數(shù)據(jù)備份，其次需要制定各種場(chǎng)景的恢復(fù)方案和容災(zāi)方案，最后需要定期對(duì)各種數(shù)據(jù)恢復(fù)方案，進(jìn)行恢復(fù)演練，并根據(jù)演練結(jié)果，調(diào)整數(shù)據(jù)恢復(fù)方案，以保障數(shù)據(jù)恢復(fù)方案和容災(zāi)方案的可行性和有效性。容災(zāi)機(jī)制包括建立災(zāi)難備份系統(tǒng)的管理機(jī)制、組織架構(gòu)、災(zāi)難響應(yīng)流程、災(zāi)難切換流程、災(zāi)難應(yīng)急流程等。

數(shù)據(jù)備份的目的是為了恢復(fù)，針對(duì)恢復(fù)場(chǎng)景的不同，需要制定各種不同的恢復(fù)方案，包括常規(guī)數(shù)據(jù)恢復(fù)方案和災(zāi)難性故障的容災(zāi)機(jī)制。數(shù)據(jù)恢復(fù)方案和容災(zāi)機(jī)制制定后，必須進(jìn)行嚴(yán)格的測(cè)試，確保方案的成功率和有效性。需要按照恢復(fù)演練計(jì)劃定期進(jìn)行恢復(fù)演練，演練是為了熟悉容災(zāi)切換、回切流程，使員工熟悉自己在容災(zāi)中所扮演的角色，在災(zāi)難真正發(fā)生時(shí)，能夠有條不紊地開(kāi)展恢復(fù)的過(guò)程。通過(guò)演練，還可以發(fā)現(xiàn)切換、回切流程的不足，驗(yàn)證和優(yōu)化災(zāi)難恢復(fù)方案，確保在災(zāi)難發(fā)生時(shí)，災(zāi)難恢復(fù)方案能夠行之有效。

五、結(jié)論

無(wú)論我們的安全措施如何完善，也沒(méi)有辦法預(yù)測(cè)所有可能發(fā)生的事件。因此無(wú)論在架構(gòu)設(shè)計(jì)、系統(tǒng)維護(hù)、數(shù)據(jù)備份和災(zāi)難演練等環(huán)節(jié)，都需要不斷的完善和改進(jìn)，盡可能的降低應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)，只有技術(shù)和管理相結(jié)合，不斷發(fā)現(xiàn)問(wèn)題，持續(xù)改進(jìn)完善安全機(jī)制，才能保證應(yīng)用系統(tǒng)的穩(wěn)定和安全。

作者簡(jiǎn)介：劉晨（1968—），男，湖北武漢人，中級(jí)工程師，研究方向：計(jì)算機(jī)技術(shù)及應(yīng)用。