时间:2023-07-18 09:37:18
引言:寻求写作上的突破?我们特意为您精选了4篇安全保障管理策略范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
档案工作的安全保障工作主要是针对档案信息资料而言的。对档案信息资料进行合理地利用和保管是档案安全保障工作的重点。接下来,笔者就从档案管理的安全保障工作上来进行详细地探讨:
(一)预防先于补救的安全策略
相关的档案管理工作人员要对预防工作的重要性加强重视,要在档案信息没有出现问题的情况下做好预防工作,这样一旦档案信息出现了任何问题就可以及时采取措施来进行处理和改进,做到未雨绸缪。从实际的工作上开看,主要是将先进的技术和手段应用在档案管理的安全保障工作中,促进档案管理的信息化建设水平。从当前我国档案管理信息化建设的工作形式上可以看出,档案的信息化系统可能会受到病毒的侵袭。导致系统的功能降低,系统严重受损,导致一些档案信息被窃取,进而降低整个系统的性能。严重的还会造成经济损失,使得档案管理系统处于崩溃的状态。因此,相关的技术人员和管理人员要对这一问题加强重视,聘请技术人员对加设相应的防火墙,或者是采用相关的杀毒软件来对信息资料进行保护,防止病毒的入侵。
(二)防内防外共同作用的安全策略
要努力做好档案的安全保障工作需要从多方面来进行,不仅包括企业或者是组织的外部还要从内部入手,保证档案工作的安全性。在档案工作进行的过程中,要对可能出现的安全问题进行探讨和分析,通常情况下,档案工作的内部出现的安全问题比外部的问题要多,无论是在数量上还是在质量上都是如此。究其原因主要是由于档案管理工作人员的工作积极性以及责任意识不强,或者是工作能力以及专业技能没有达到相应的标准。所以,企业的档案管理工作人员在工作的过程中,会出现档案资料信息管理的不到位,或者是受到利益的诱惑而出现档案信息泄露的问题。除此之外,对计算机操作系统的了解程度不够往往会出现账目或者是管理的不科学性问题。可见,企业发展的内部所涌现出的问题要远远多于外部,因此,档案管理部门要加强对工作人员的培训,以提高其专业技能和综合素质为标准,培养其安全意识。
(三)持续发展战略
做好档案信息的安全保障工作并不是短暂性的工作,应该具有一定的长期性。因此,档案信息的安全问题要得到人们的高度重视。其中较为重要的就是科技的应用。现如今,无论是产品还是管理理念都在进行不断的更新换代,档案管理工作的各项内容都在不断变化,不仅存在着严重的漏洞,还会造成严重的经济损失和信息的泄露。为了避免档案信息的不稳定性持续存在,需要完善管理措施,制定相应的制度,将安全保障工作放在首位。实现档案信息安全的稳定性以及可靠性。
二、档案管理中安全保障工作的具体措施
(一)全网安全运行体系
全网安全就是指对网络运行的各个发展阶段的管理,实现统一的发展,促进网络运行的高效性。这是档案管理工作人员以及网络运行技术人员重视的问题。只有认清这些问题,才能将具体的工作落到实处。
对于全网运行的安全性来说,其薄弱环节是产生严重影响的重要环节。可见,网络运行的某个端口或者是某台机器出现了故障很有可能造成整个网络系统的瘫痪。因此,在实际的工作中,工作人员的安全意识要不断加强,对于网络系统的各个软件以及硬件等都进行系统的维护,同时要对出现漏洞的环节进行修复或者是升级,提高档案信息管理的自动化水平。另外,管理系统的认证服务以及加密体系等都需要和管理措施以及技术方式等向连接,提高管理的高效性和稳定性。另外,档案信息管理的安全性会随着时间的变化或者是办公地点的变化而出现明显的问题,因此,相关的网络管理工作人员要从全网的角度出发,落实安全保障措施。促进档案管理工作的高效进行。
(二)联动安全与全网安全的重要
保障档案馆网络安全的基础设施、网络按防护体系、安全管理标准规范(包括法律法规、技术标准、管理制度和操作规范等)等集成起来协同工作,实现档案馆网络环境中从网络及其基础设施、各种软件系统、硬件设备的同步管理和联动安全服务出发,建立由网络、系统、机构、组织和个人共同构筑档案馆安全运行的一体化保障体系。
(三)档案馆全网安全运行
中图分类号:TP311文献标识码:A文章编号:1009-3044(2010)20-5501-02
1 高职院校教学管理系统应用的背景和现状分析
随着近年来我国教育改革的深化,素质教育的全面推进,高校扩招政策的出台,高职院校办学规模不断扩大,对教学管理部门而言,增加工作量的同时工作难度也增加了,管理手段的落后直接影响教学质量和办学水平。面对挑战,许多高职院校纷纷启动并加快了数字化校园建设的步伐,相继建成校园网,搭建了数字化校园的硬件平台,运用教学管理系统,将日常教学管理事务纳入信息化和网络化管理中。
根据系统的开发时期、使用要求、技术实现方式等差异,可以将高职院校教学管理系统划分为三个不同的发展阶段:1)是单机管理系统。这种系统功能单一落后,软件实现简单、性能差,主要用于完成某些单方面的教学管理功能。2)是采用C/S工作模式局域网管理系统。具有强大的数据操作和事物处理能力,模型直观简洁,易于人们理解和接受。但随着学校规模的日益扩大,软件功能的不停升级,二层C/S模式的局限性逐渐彰显:① C/S模式的开发和维护成本较高,因为对不同的客户端要开发不同的程序,并且应用程序的安装、修改和升级均必须在所有的客户机上走一遍;② 随着客户端对数据处理功能的要求增加,客户端的负荷越来越重,造成“胖”客户端现象,打击了系统的整体性能;③ 数据安全性不好,因为客户端程序可以直接访问数据库服务器,因此在客户端计算机上的其他程序也有途径访问数据库服务器,从而使数据库的安全性受到威胁。3)是以web技术为基础基于B/S工作模式的教学管理系统。这是随着web技术的兴起,继承发展于C/S模式的一种改进模式。该模式利用不断成熟和普及的浏览器技术,将数据存放在数据库服务器上,业务处理程序在应用服务器上存放和运行,这种结构不仅把客户机从沉重的负担和不断对其提高性能的要求中解放出来,也把技术维护人员从繁重的维护升级工作中解脱出来。这种三层结构层与层之间相互独立,任何一层的改变不影响其他层的功能,从根本上改变了二层C/S体系结构的缺陷,是应用系统体系结构中的一次深刻变革,成为当前教学管理系统的首选体系结构。
2 基于web技术基于B/S工作模式的教学管理系统
我校是一所具有50年办学经验的国家级重点职业学校,在册学生维持在8000人次左右,现有6大专业体系,高职专业12个,中专专业近20个,课程共650多门,每学期平均需制定专业教学计划25个,安排授课课时4000多节,安排任课教师300余人,日常教学管理工作量较繁重,并且我校存在分校区办学模式,地理位置跨度较大,基于以上实际情况,经过对三代教学管理系统优缺点的分析,2005年,我校建成基于B/S工作模式的教学管理系统,依托该系统,实现了各校区教学信息的有效沟通,将教学管理者和教师们从繁重的手工传统工作模式中解放出来,从而把工作精力投入到提高管理水平和提高教学质量的工作中。
随着网络信息技术的快速发展和校园信息化水平的提高,基于B/S工作模式的教学管理系统已成为学校教学管理工作必不可少的组成部分。与此同时,系统所蕴藏的风险也成为无法回避的问题。虽然,基于B/S的网络应用是比较成熟的,特别是在JAVA这样的跨平台语言出现之后,B/S架构的管理系统得到相当广泛的应用,但该结构在系统安全性上仍存在硬伤。相较C/S系统而言,B/S系统在客户机与数据库之间增加了一层WEB服务器,使两者不再直接连接,客户机无法直接对数据库操作,可有效地隔离用户对核心数据的危险性访问,但由于C/S的相对专用性和封闭性,整个C/S系统相对安全,而B/S的开放性,使得这种结构的系统更容易受到来自internet 上的攻击。
3 B/S工作模式下数据安全性策略分析
保证数据安全是教学管理系统正常运行和教学工作正常运转的前提。基于B/S工作模式的教学管理系统采用后端数据库的动态页面生成技术,用户通过internet平台不仅可以进行静态信息浏览,而且可以进行数据库访问和数据处理,如何保证数据的安全性,是系统亟待解决的问题。
策略①:抑制控制,强化系统安全设计,即在系统设计、编程和测试阶段,通过采取有效的措施堵塞漏洞,抑制风险产生。
网络安全层次:采用路由器的IP过滤功能、网关、防火墙、服务器等方式将校园网与internet相连时起到隔离作用;并将校园网划分为多个子网,有效减少网络频带压力,使大部分信息在子网范围内传输,减少信息外泄的机会,实现IP地址身份验证机制,防止持有非法IP地址的人访问本子网的资源。
服务器安全层次:
首先检查用户的合法性及身份验证,采用在网络中设一登陆验证服务器的方法;在web服务器上设计有相应的权限限制,只有合法用户才能通过网页来访问事物处理程序。
策略②:预防控制,采用基于B/S和C/S混合模式的教学管理系统,充分发挥了两种模式各自优点,尤其在系统安全性保障方面,集成两种模式的长处,从预防角度达到控制风险的目的。
基于B/S工作模式的教学管理系统并没有将C/S系统挤出管理系统领域,相反,随着PC机硬件配置的不断提高,客户端的“肥胖”不再影响健康,而网络服务器的承载能力和网络本身的安全隐患却成了制约B/S系统结构的瓶颈,因此选择何种工作模式的教学管理系统取决于实际应用方式,即能否适应学校办学模式,满足广大师生的教学需求。我校教学管理系统分成教学计划、课程管理、学籍管理、成绩管理、选课管理、师资管理、信息、系统管理等模块。在上述模块中,由于学籍、成绩、教学计划、师资管理等需要较高的安全性和较强的交互性,同时需要处理大量的数据,因此这部分子系统适合采用传统的C/S模式;而信息与学生信息查询及选课管理则具有适用范围广、安全互性要求不高等特点,这部分可采用B/S模式。
策略③:恢复控制,即在系统风险导致的损害实际发生时,必须有有效的系统修复措施。
目前,几乎所有的教学管理系统,无论基于何种工作模式,都是以数据库系统为平台,我校的教学管理系统也是运行于SQL Server2000服务器,管理制度不完善、系统管理人员的意外操作、破坏性病毒攻击、自然灾害等原因都可能导致数据库遭破坏,因此从数据库层面保证系统数据安全是保障系统数据安全性的根本途径。在现有技术条件下,系统管理员定期做好备份是保证数据库安全的重要措施,一旦数据库系统出现故障,就能利用备份数据及时采取有效措施,恢复系统功能。
SQL Server2000支持四种备份类型,在实际工作中应根据具体情况进行选择。四种备份类型的功能及其优势如表1所示:
表1 SQL Server2000数据库备份类型
对于这四种备份类型,可结合实际情况制定相应的备份策略。我校的处理方法是:教师提交成绩单前,做一次数据库的完全备份,成绩提交期间每日进行差异备份,随时可以恢复到故障点以前的状态。因为在教师提交成绩单期间,数据库处于随时更新的状态,因此制定良好的计划和适合需求的备份策略才能保证数据库的安全,保障系统正常运行。同时还应选择相应的时间间隔生成事物日志备份,可把数据恢复到意外发生时的即时点。
4 结束语
目前,B/S体系结构在管理信息系统的开发中日益显示主导作用,但作为一名系统管理员,除了选择适合本校办校实际的管理系统之外,必须充分考虑基于该工作模式的系统能否在安全性能上有更好的表现,这是衡量系统性能的重要指标之一,是关系到学校教学管理工作能否正常进行的核心问题。
参考文献:
[1] 邵莉,梁兴建.数据库备份策略及恢复措施研究[J].四川理工学院学报:自然科学版,2009(2):14.
随着云计算、大数据等新兴技术的不断发展,企业信息化、智能化程度、网络化、数字化程度越来越高,人类社会进入到以大数据为主要特征的知识文明时代。大数据是企业的重要财富,正在成为企业一种重要的生产资料,成为企业创新、竞争、业务提升的前沿。大数据正在成为企业未来业务发展的重要战略方向,大数据将引领企业实现业务跨越式发展;同时,由此带来的信息安全风险挑战前所未有,远远超出了传统意义上信息安全保障的内涵,对于众多大数据背景下涉及的信息安全问题,很难通过一套完整的安全产品和服务从根本上解决安全隐患。
自2008年国际综合性期刊《Nature》发表有关大数据(Big Data)的专刊以来,面向各应用领域的大数据分析更成为各行业及信息技术方向关注的焦点。大数据的固有特征使得传统安全机制和方法显示出不足。本文系统分析了大数据时代背景下的企业信息系统存在的主要信息安全脆弱性、信息安全威胁以及信息安全风险问题,并有针对性地提出相应的信息安全保障策略,为大数据背景下的企业信息安全保障提供一定指导的作用。
1 大数据基本内涵
大数据(Big Data),什么是大数据,目前还没有形成统一的共识。网络企业普遍将大数据定义为数据量与数据类型复杂到在合理时间内无法通过当前的主流数据库管理软件生成、获取、传输、存储、处理,管理、分析挖掘、应用决策以及销毁等的大型数据集。大数据具有4V特征(Volume,Varity,Value,Velocity),即数据量大、数据类型多、数据价值密度低、数据处理速度快。
2011年麦肯锡咨询公司了《大数据:下一个创新、竞争和生产力的变革领域》[1]的研究报告,引起了信息产业界的广泛关注。美国谷歌公司(Google)、国际商业机器公司(IBM)、美国易安信公司(EMC)、脸书(Facebook)等公司相继开始了大数据应用、分析、存储、管理等相关技术的研究,并推出各自的大数据解决框架、方案以及产品。
例如,阿帕奇软件基金会(Apache)组织推出的Hadoop大数据分析框架,谷歌公司推出的BigTable、GFS(Google File System)、MapReduce等技术框架等,这些研究成果为随后的大数据应用迅猛发展提供了便利的条件。2012年3月,美国奥巴马总统了2亿美元的“Big Data Initiative”(大数据研究和发展计划),该计划涉及能源、国防、医疗、基础科学等领域的155个项目种类,该计划极大地推动了大数据技术的创新与应用,标志着奥巴马政府将大数据战略从起初的政策层提升到国家战略层。
同时,我国对大数据的认识、应用及相关技术服务等也在不断提高,企业界一致认同大数据在降低企业经营运营成本、提升管理层决策效率、提高企业经济效益等方面具有广阔的应用前景,相继大数据相关战略文件,同时国家组织在民生、国防等重要领域投入大量的人力物力进行相关技术研究与创新实践。中国移动通信公司在已有的云计算平台基础上,开展了大量大数据应用研究,力图将数据信息转化为商业价值,促进业务创新。
例如,通过挖掘用户的移动互联网行为特征,助力市场决策;利用信令数据支撑终端、网络、业务平台关联分析,优化网络质量。商业银行也相继开展了经融大数据研究,提升银行的竞争力。例如,通过对用户数据分析开展信用评估,降低企业风险;从细粒度的级别进行客户数据分析,为不同客户提供个性化的产品与服务,提升银行的服务效率。总而言之,大数据正在带来一场颠覆性的革命,将会推动整个社会取得全面进步。
2 大数据安全研究现状
在大数据计算和分析过程中,安全是不容忽视的。大数据的固有特征对现有的安全标准、安全体系架构、安全机制等都提出了新的挑战。目前对大数据完整性的研究主要包括两方面,一是对数据完整性的检测;二是对完整性被破坏的数据的恢复。在完整性检测方面,数据量的增大使传统的MD5、SHA1等效率较低的散列校验方法不再适用,验证者也无法将全部数据下载到本地主机后再进行验证。
面向大数据的高效隐私保护方法方面,高效、轻量级的数据加密已有多年研究,虽然可用于大数据加密,但加密后数据不具可用性。保留数据可用性的非密码学的隐私保护方法因而得到了广泛的研究和应用。这些方法包括数据随机化、k-匿名化、差分隐私等。这些方法在探究隐私泄漏的风险、提高隐私保护的可信度方面还有待深入,也不能适应大数据的海量性、异构性和时效性。
在隐私保护下大数据的安全计算方面,很多应用领域中的安全多方计算问题都在半诚实模型中得到了充分的研究,采用的方法包括电路赋值(Circuit Evaluation)、遗忘传输(Oblivious Transfer)、同态加密等。通过构造零知识证明,可以将半诚实模型中的解决方法转换到恶意模型中。而在多方参与、涉及大量数据处理的计算问题,目前研究的主要缺陷是恶意模型中方法的复杂度过高,不适应多方参与、多协议执行的复杂网络环境。
企业大数据技术是指大数据相关技术在企业的充分应用,即对企业业务、生产、监控、监测等信息系统在运行过程中涉及的海量数据进行抽取、传输、存储、处理,管理、分析挖掘、应用决策以及销毁等,实现大数据对企业效率的提升、效益的增值以及风险的预测等。
企业的大数据类型通常主要包括业务经营数据即客户信息数据、企业的生产运营与管理数据以及企业的设备运行数据等,即客户信息数据、员工信息数据、财务数据、物资数据、系统日志、设备监测数据、调度数据、检修数据、状态数据等。企业大数据具有3V、3E特征[2],3V即数据体量大(Volume)、数据类型多(Varity)与数据速度快(Velocity),3E即数据即能量(Energy)、数据即交互(Exchange)与数据即共情(Empathy)。3 大数据时代企业信息安全漏洞与风险并存
大数据时代,大数据在推动企业向着更为高效、优质、精准的服务前行的同时,其重要性与特殊性也给企业带来新的信息安全风险与挑战。如何针对大数据的重要性与特殊性构建全方位多层次的信息安全保障体系,是企业发展中面临的重要课题。大数据背景下,结合大数据时代的企业工作模式,企业可能存在的信息安全风险主要表现在以下三个方面:
(1)企业业务大数据信息安全风险:由于缺乏针对大数据相关的政策法规、标准与管理规章制度,导致企业对客户信息大数据的“开放度”难以掌握,大数据开放和隐私之间难以平衡;企业缺乏清晰的数据需求导致数据资产流失的风险;企业数据孤岛,数据质量差可用性低,导致数据无法充分利用以及数据价值不能充分挖掘的风险;大数据安全能力和防范意识差,大数据人才缺乏导致大数据分析、处理等工作难以开展的风险;管理技术和架构相对滞后,导致数据泄露的风险。
(2)企业基础设施信息安全风险:2010年,震网病毒[3]通过网络与预制的系统漏洞对伊朗核电站发起攻击,导致伊朗浓缩铀工程的部分离心机出现故障,极大的延缓了伊朗核进程。从此开启了世界各国对工业控制系统安全的重视与管控。对于生产企业,工业生产设备是企业的命脉,其控制系统的安全性必须得到企业的高度重视。随着物理设备管理控制系统与大数据采集系统在企业的不断应用,监控与数据采集系统必将成为是物理攻击的重点方向,越来越多的安全问题随之出现。
设备“接入点”范围的不断扩大,传统的边界防护概念被改变; 2013年初,美国工业控制系统网络紧急响应小组(ICS-CERT)预警,发现美国两家电厂的发电控制设备在2012年10月至12月期间感染了USB设备中的恶意软件。该软件能够远程控制开关闸门、旋转仪表表盘、大坝控制等重要操作,对电力设备及企业安全造成了极大的威胁。
(3)企业平台信息安全风险: 应用层安全风险主要是指网络给用户提供服务所采用的应用软件存在的漏洞所带来的安全风险,包括: Web服务、邮件系统、数据库软件、域名系统、路由与交换系统、防火墙及网管系统、业务应用软件以及其他网络服务系统等;操作系统层的安全风险主要是指网络运行的操作系统存在的漏洞带来的安全风险,例如Windows NT、UNIX、Linux系列以及专用操作系统本身安全漏洞,主要包括访问控制、身份认证、系统漏洞以及操作系统的安全配置等;网络层安全风险主要指网络层身份认证,网络资源的访问控制,数据传输的保密性与完整性、路由系统的安全、远程接入、域名系统、入侵检测的手段等网络信息漏洞带来的安全性。
4 企业大数据信息安全保障策略
针对大数据时代下企业可能存在的信息安全漏洞与风险,本文从企业的网络边界信息安全保障、应用终端信息安全保障、应用平台信息安全保障、网络安全信息安全保障、数据安全信息安全保障等多方面提出如下信息安全保障策略,形成具有层次特性的企业信息安全保障体系,提升大数据时代下的企业信息安全保障能力。
4.1企业系统终端——信息安全保障策略
对企业计算机终端进行分类,依照国家信息安全等级保护的要求实行分级管理,根据确定的等级要求采取相应的安全保障策略。企业拥有多种类型终端设备,对于不同终端,根据具体终端的类型、通信方式以及应用环境等选择适宜的保障策略。确保移动终端的接入安全,移动作业类终端严格执行企业制定的办公终端严禁“内外网机混用”原则,移动终端接入内网需采用软硬件相结合的加密方式接入。配子站终端需配置安全模块,对主站系统的参数设置指令和控制命令采取数据完整性验证和安全鉴别措施,以防范恶意操作电气设备,冒充主站对子站终端进行攻击。
4.2企业网络边界——信息安全保障策略
企业网络具有分区分层的特点,使边界不受外部的攻击,防止恶意的内部人员跨越边界对外实施攻击,在不同区的网络边界加强安全防护策略,或外部人员通过开放接口、隐蔽通道进入内部网络。在管理信息内部,审核不同业务安全等级与网络密级,在网络边界进行相应的隔离保护。按照业务网络的安全等级、实时性需求以及用途等评价指标,采用防火墙隔离技术、协议隔离技术、物理隔离技术等[4]对关键核心业务网络进行安全隔离,实现内部网与外部网访问资源限制。
4.3企业网络安全——信息安全保障策略
网络是企业正常运转的重要保障,是连接物理设备、应用平台与数据的基础环境。生产企业主要采用公共网络和专用网络相结合的网络结构,专用网络支撑企业的生产管理、设备管理、调度管理、资源管理等核心业务,不同业务使用的专用网络享有不同安全等级与密级,需要采取不同的保障策略。网络弹性是指基础网络在遇到突发事件时继续运行与快速恢复的能力。
采用先进的网络防护技术,建立基础网一体化感知、响应、检测、恢复与溯源机制,采取网络虚拟化、硬件冗余、叠加等方法提高企业网络弹性与安全性;对网络基础服务、网络业务、信息流、网络设备等基础网络环境采用监控审计、安全加固、访问控制、身份鉴别、备份恢复、入侵检测、资源控制等措施增强网络环境安全防护;在企业网络中,重要信息数据需要安全通信。针对信息数字资源的安全交换需求,构建企业的业务虚拟专用网。在已有基础网络中采用访问控制、用户认证、信息加密等相关技术,防止企业敏感数据被窃取,采取建立数据加密虚拟网络隧道进行信息传输安全通信机制。
4.4企业应用系统平台——信息安全保障策略
应用系统平台安全直接关系到企业各业务应用的稳定运行,对应用平台进行信息安全保障,可以有效避免企业业务被阻断、扰乱、欺骗等破坏行为,本文建议给每个应用平台建立相应的日志系统,可以对用户的操作记录、访问记录等信息进行归档存储,为安全事件分析提供取证与溯源数据,防范内部人员进行异常操作。
企业应用平台的用户类型多样,不同的应用主体享有不同的功能与应用权限,考虑到系统的灵活性与安全性,采用基于属性权限访问控制[5]、基于动态和控制中心访问权限控制[6]、基于域访问权限控制[7]、基于角色访问控制等访问控制技术;确保企业应用平台系统安全可靠,在应用平台上线前,应邀请第三方权威机构对其进行信息安全测评,即对应用平台系统进行全面、系统的安全漏洞分析与风险评估[8],并制定相应的信息安全保障策略。4.5企业大数据安全——信息保障策略
大数据时代下,大数据是企业的核心资源。企业客户数据可能不仅包含个人的隐私信息,而且还包括个人、家庭的消费行为信息,如果针对客户大数据不妥善处理,会对用户造成极大的危害,进而失信于客户。目前感知大数据(数据追踪溯源)、应用大数据(大数据的隐私保护[9]与开放)、管控大数据(数据访问安全、数据存储安全)等问题,仍然制约与困扰着大数据的发展。大数据主要采用分布式文件系统技术在云端存储,在对云存储环境进行安全防护的前提下,对关键核心数据进行冗余备份,强化数据存储安全,提高企业大数据安全存储能力。
为了保护企业数据的隐私安全、提高企业大数据的安全性的同时提升企业的可信度,可采用数据分享、分析、时进行匿名保护已经隐私数据存储加密保护措施来加强企业数据的隐私安全,对大数据用户进行分类与角色划分,严格控制、明确各角色数据访问权限,规范各级用户的访问行为,确保不同等级密级数据的读、写操作,有效抵制外部恶意行为,有效管理云存储环境下的企业大数据安全。
5 结束语
随着云计算、大数据等新兴技术的不断发展,企业信息化、智能化程度、网络化、数字化程度越来越高,人类社会进入到以大数据为主要特征的知识文明时代。大数据是企业的重要财富,正在成为企业一种重要的生产资料,成为企业创新、竞争、业务提升的前沿。大数据正在成为企业未来业务发展的重要战略方向,大数据将引领企业实现业务跨越式发展;同时,由此带来的信息安全风险挑战前所未有,远远超出了传统意义上信息安全保障的内涵,对于众多大数据背景下涉及的信息安全问题,很难通过一套完整的安全产品和服务从根本上解决安全隐患。
自2008年国际综合性期刊《Nature》发表有关大数据(Big Data)的专刊以来,面向各应用领域的大数据分析更成为各行业及信息技术方向关注的焦点。大数据的固有特征使得传统安全机制和方法显示出不足。本文系统分析了大数据时代背景下的企业信息系统存在的主要信息安全脆弱性、信息安全威胁以及信息安全风险问题,并有针对性地提出相应的信息安全保障策略,为大数据背景下的企业信息安全保障提供一定指导的作用。
1 大数据基本内涵
大数据(Big Data),什么是大数据,目前还没有形成统一的共识。网络企业普遍将大数据定义为数据量与数据类型复杂到在合理时间内无法通过当前的主流数据库管理软件生成、获取、传输、存储、处理,管理、分析挖掘、应用决策以及销毁等的大型数据集。大数据具有4V特征(Volume,Varity,Value,Velocity),即数据量大、数据类型多、数据价值密度低、数据处理速度快。
2011年麦肯锡咨询公司了《大数据:下一个创新、竞争和生产力的变革领域》[1]的研究报告,引起了信息产业界的广泛关注。美国谷歌公司(Google)、国际商业机器公司(IBM)、美国易安信公司(EMC)、脸书(Facebook)等公司相继开始了大数据应用、分析、存储、管理等相关技术的研究,并推出各自的大数据解决框架、方案以及产品。例如,阿帕奇软件基金会(Apache)组织推出的Hadoop大数据分析框架,谷歌公司推出的BigTable、GFS(Google File System)、MapReduce等技术框架等,这些研究成果为随后的大数据应用迅猛发展提供了便利的条件。2012年3月,美国奥巴马总统了2亿美元的“Big Data Initiative”(大数据研究和发展计划),该计划涉及能源、国防、医疗、基础科学等领域的155个项目种类,该计划极大地推动了大数据技术的创新与应用,标志着奥巴马政府将大数据战略从起初的政策层提升到国家战略层。
同时,我国对大数据的认识、应用及相关技术服务等也在不断提高,企业界一致认同大数据在降低企业经营运营成本、提升管理层决策效率、提高企业经济效益等方面具有广阔的应用前景,相继大数据相关战略文件,同时国家组织在民生、国防等重要领域投入大量的人力物力进行相关技术研究与创新实践。
中国移动通信公司在已有的云计算平台基础上,开展了大量大数据应用研究,力图将数据信息转化为商业价值,促进业务创新。例如,通过挖掘用户的移动互联网行为特征,助力市场决策;利用信令数据支撑终端、网络、业务平台关联分析,优化网络质量。商业银行也相继开展了经融大数据研究,提升银行的竞争力。例如,通过对用户数据分析开展信用评估,降低企业风险;从细粒度的级别进行客户数据分析,为不同客户提供个性化的产品与服务,提升银行的服务效率。总而言之,大数据正在带来一场颠覆性的革命,将会推动整个社会取得全面进步。
2 大数据安全研究现状
在大数据计算和分析过程中,安全是不容忽视的。大数据的固有特征对现有的安全标准、安全体系架构、安全机制等都提出了新的挑战。目前对大数据完整性的研究主要包括两方面,一是对数据完整性的检测;二是对完整性被破坏的数据的恢复。在完整性检测方面,数据量的增大使传统的MD5、SHA1等效率较低的散列校验方法不再适用,验证者也无法将全部数据下载到本地主机后再进行验证。
面向大数据的高效隐私保护方法方面,高效、轻量级的数据加密已有多年研究,虽然可用于大数据加密,但加密后数据不具可用性。保留数据可用性的非密码学的隐私保护方法因而得到了广泛的研究和应用。这些方法包括数据随机化、k-匿名化、差分隐私等。
这些方法在探究隐私泄漏的风险、提高隐私保护的可信度方面还有待深入,也不能适应大数据的海量性、异构性和时效性。在隐私保护下大数据的安全计算方面,很多应用领域中的安全多方计算问题都在半诚实模型中得到了充分的研究,采用的方法包括电路赋值(Circuit Evaluation)、遗忘传输(Oblivious Transfer)、同态加密等。通过构造零知识证明,可以将半诚实模型中的解决方法转换到恶意模型中。而在多方参与、涉及大量数据处理的计算问题,目前研究的主要缺陷是恶意模型中方法的复杂度过高,不适应多方参与、多协议执行的复杂网络环境。
企业大数据技术是指大数据相关技术在企业的充分应用,即对企业业务、生产、监控、监测等信息系统在运行过程中涉及的海量数据进行抽取、传输、存储、处理,管理、分析挖掘、应用决策以及销毁等,实现大数据对企业效率的提升、效益的增值以及风险的预测等。
企业的大数据类型通常主要包括业务经营数据即客户信息数据、企业的生产运营与管理数据以及企业的设备运行数据等,即客户信息数据、员工信息数据、财务数据、物资数据、系统日志、设备监测数据、调度数据、检修数据、状态数据等。企业大数据具有3V、3E特征[2],3V即数据体量大(Volume)、数据类型多(Varity)与数据速度快(Velocity),3E即数据即能量(Energy)、数据即交互(Exchange)与数据即共情(Empathy)。
3 大数据时代企业信息安全漏洞与风险并存
大数据时代,大数据在推动企业向着更为高效、优质、精准的服务前行的同时,其重要性与特殊性也给企业带来新的信息安全风险与挑战。如何针对大数据的重要性与特殊性构建全方位多层次的信息安全保障体系,是企业发展中面临的重要课题。大数据背景下,结合大数据时代的企业工作模式,企业可能存在的信息安全风险主要表现在以下三个方面:
(1)企业业务大数据信息安全风险:由于缺乏针对大数据相关的政策法规、标准与管理规章制度,导致企业对客户信息大数据的“开放度”难以掌握,大数据开放和隐私之间难以平衡;企业缺乏清晰的数据需求导致数据资产流失的风险;企业数据孤岛,数据质量差可用性低,导致数据无法充分利用以及数据价值不能充分挖掘的风险;大数据安全能力和防范意识差,大数据人才缺乏导致大数据分析、处理等工作难以开展的风险;管理技术和架构相对滞后,导致数据泄露的风险。
(2)企业基础设施信息安全风险:2010年,震网病毒[3]通过网络与预制的系统漏洞对伊朗核电站发起攻击,导致伊朗浓缩铀工程的部分离心机出现故障,极大的延缓了伊朗核进程。从此开启了世界各国对工业控制系统安全的重视与管控。对于生产企业,工业生产设备是企业的命脉,其控制系统的安全性必须得到企业的高度重视。随着物理设备管理控制系统与大数据采集系统在企业的不断应用,监控与数据采集系统必将成为是物理攻击的重点方向,越来越多的安全问题随之出现。
设备“接入点”范围的不断扩大,传统的边界防护概念被改变; 2013年初,美国工业控制系统网络紧急响应小组(ICS-CERT)预警,发现美国两家电厂的发电控制设备在2012年10月至12月期间感染了USB设备中的恶意软件。该软件能够远程控制开关闸门、旋转仪表表盘、大坝控制等重要操作,对电力设备及企业安全造成了极大的威胁。
(3)企业平台信息安全风险: 应用层安全风险主要是指网络给用户提供服务所采用的应用软件存在的漏洞所带来的安全风险,包括: Web服务、邮件系统、数据库软件、域名系统、路由与交换系统、防火墙及网管系统、业务应用软件以及其他网络服务系统等;操作系统层的安全风险主要是指网络运行的操作系统存在的漏洞带来的安全风险,例如Windows NT、UNIX、Linux系列以及专用操作系统本身安全漏洞,主要包括访问控制、身份认证、系统漏洞以及操作系统的安全配置等;网络层安全风险主要指网络层身份认证,网络资源的访问控制,数据传输的保密性与完整性、路由系统的安全、远程接入、域名系统、入侵检测的手段等网络信息漏洞带来的安全性。
4 企业大数据信息安全保障策略
针对大数据时代下企业可能存在的信息安全漏洞与风险,本文从企业的网络边界信息安全保障、应用终端信息安全保障、应用平台信息安全保障、网络安全信息安全保障、数据安全信息安全保障等多方面提出如下信息安全保障策略,形成具有层次特性的企业信息安全保障体系,提升大数据时代下的企业信息安全保障能力。
4.1企业系统终端——信息安全保障策略
对企业计算机终端进行分类,依照国家信息安全等级保护的要求实行分级管理,根据确定的等级要求采取相应的安全保障策略。企业拥有多种类型终端设备,对于不同终端,根据具体终端的类型、通信方式以及应用环境等选择适宜的保障策略。确保移动终端的接入安全,移动作业类终端严格执行企业制定的办公终端严禁“内外网机混用”原则,移动终端接入内网需采用软硬件相结合的加密方式接入。配子站终端需配置安全模块,对主站系统的参数设置指令和控制命令采取数据完整性验证和安全鉴别措施,以防范恶意操作电气设备,冒充主站对子站终端进行攻击。
4.2企业网络边界——信息安全保障策略
企业网络具有分区分层的特点,使边界不受外部的攻击,防止恶意的内部人员跨越边界对外实施攻击,在不同区的网络边界加强安全防护策略,或外部人员通过开放接口、隐蔽通道进入内部网络。在管理信息内部,审核不同业务安全等级与网络密级,在网络边界进行相应的隔离保护。按照业务网络的安全等级、实时性需求以及用途等评价指标,采用防火墙隔离技术、协议隔离技术、物理隔离技术等[4]对关键核心业务网络进行安全隔离,实现内部网与外部网访问资源限制。
4.3企业网络安全——信息安全保障策略
网络是企业正常运转的重要保障,是连接物理设备、应用平台与数据的基础环境。生产企业主要采用公共网络和专用网络相结合的网络结构,专用网络支撑企业的生产管理、设备管理、调度管理、资源管理等核心业务,不同业务使用的专用网络享有不同安全等级与密级,需要采取不同的保障策略。网络弹性是指基础网络在遇到突发事件时继续运行与快速恢复的能力。采用先进的网络防护技术,建立基础网一体化感知、响应、检测、恢复与溯源机制,采取网络虚拟化、硬件冗余、叠加等方法提高企业网络弹性与安全性;对网络基础服务、网络业务、信息流、网络设备等基础网络环境采用监控审计、安全加固、访问控制、身份鉴别、备份恢复、入侵检测、资源控制等措施增强网络环境安全防护;在企业网络中,重要信息数据需要安全通信。针对信息数字资源的安全交换需求,构建企业的业务虚拟专用网。在已有基础网络中采用访问控制、用户认证、信息加密等相关技术,防止企业敏感数据被窃取,采取建立数据加密虚拟网络隧道进行信息传输安全通信机制。
4.4企业应用系统平台——信息安全保障策略
应用系统平台安全直接关系到企业各业务应用的稳定运行,对应用平台进行信息安全保障,可以有效避免企业业务被阻断、扰乱、欺骗等破坏行为,本文建议给每个应用平台建立相应的日志系统,可以对用户的操作记录、访问记录等信息进行归档存储,为安全事件分析提供取证与溯源数据,防范内部人员进行异常操作。企业应用平台的用户类型多样,不同的应用主体享有不同的功能与应用权限,考虑到系统的灵活性与安全性,采用基于属性权限访问控制[5]、基于动态和控制中心访问权限控制[6]、基于域访问权限控制[7]、基于角色访问控制等访问控制技术;确保企业应用平台系统安全可靠,在应用平台上线前,应邀请第三方权威机构对其进行信息安全测评,即对应用平台系统进行全面、系统的安全漏洞分析与风险评估[8],并制定相应的信息安全保障策略。
4.5企业大数据安全——信息保障策略
大数据时代下,大数据是企业的核心资源。企业客户数据可能不仅包含个人的隐私信息,而且还包括个人、家庭的消费行为信息,如果针对客户大数据不妥善处理,会对用户造成极大的危害,进而失信于客户。目前感知大数据(数据追踪溯源)、应用大数据(大数据的隐私保护[9]与开放)、管控大数据(数据访问安全、数据存储安全)等问题,仍然制约与困扰着大数据的发展。大数据主要采用分布式文件系统技术在云端存储,在对云存储环境进行安全防护的前提下,对关键核心数据进行冗余备份,强化数据存储安全,提高企业大数据安全存储能力。为了保护企业数据的隐私安全、提高企业大数据的安全性的同时提升企业的可信度,可采用数据分享、分析、时进行匿名保护已经隐私数据存储加密保护措施来加强企业数据的隐私安全,对大数据用户进行分类与角色划分,严格控制、明确各角色数据访问权限,规范各级用户的访问行为,确保不同等级密级数据的读、写操作,有效抵制外部恶意行为,有效管理云存储环境下的企业大数据安全。
5 结束语