数据工程信息安全管理细则
第一章总则
第一条为了规范广东移动有限责任公司数据工程施工期间的信息安全管理,保证工程施工期间网络信息安全,根据国家有关法规和公司实际情况,特
制定本管理细则。
第二条本细则适用于广东移动各类数据工程,包括常GPRS工程、短信中心工程、IOD工程、短信网关工程、小区广播工程、IP工程、WAP工程等。第三条参与广东移动通信工程实施的厂家、施工单位以及本公司工程管理人员,随工人员都必须严格遵守本管理细则。
第四条本规定自发布之日起立即生效。
第二章信息安全
第一条严禁任何人员利用广东移动通信网络制作、复制、发布、传播含有下列内容的信息:
(一)反对宪法所确定的基本原则的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉和利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)破坏国家宗教政策,宣扬邪教和封建迷信的;
(六)散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
(八)侮辱或者诽谤他人,侵害他人合法权益的;
(九)含有法律、行政法规禁止的其他内容的;
(十)对我公司不利或有损我公司形象的。
第二条严禁任何人员有意制造网络漏洞,要求任何人员严格按照工程操作步骤执行,杜绝任何人为失误引起工程期间的各种信息安全隐患,坚决防
止被别有用心的用户利用,否则将追究相关单位及当事人的法律责任。
第三章工程信息安全人员的职责
第一条每项工程市公司必须有专人负责工程实施期间的网络信息安全工作。
在每个工程项目开工前,必须确定工程信息安全负责人和信息安全员
各一人,其中信息安全负责人工程负责人兼任,信息安全员由工程信
息安全员兼任。要求负责网络信息安全的人员必须具备较高政治思想
觉悟。
第二条负责网络信息安全的人员安排必须固定,不得随意更改。若因工作需要人员变动时,必须由市公司书面申请,待工程管理中心批复后方可
生效。
第三条对于省管工程,由省公司负责与施工单位及施工人员签订《工程信息安全保证书》,并在工程前下发已签订《工程信息安全保证书》的施
工人员名单;对于市管工程,由市公司负责与施工单位及施工人员签
订《工程信息安全保证书》。
第四条市公司信息安全负责人负责审核进入机房进行调测的厂家、施工单位及其他的工程人员,只有已签订保证书的施工人员,才可进入我省各
节点现场。
第五条在系统接入现网调测期间,信息安全员必须在现场全程监督施工单位调试人员的操作。
第六条在系统接入现网调测期间,在每天的调测工作开始时,信息安全员必须监督并检查系统的记录功能的启用,确保系统记录每个帐号登陆的
详细历史信息,同时检查前一天的记录文件的内容。
第七条每天在完成调测任务,离开现场前,信息安全员必须通知省公司监控室、对端现网设备维护人员关闭相应设备的链路告警,同时监督施工
人员断开新建网元与现网连接的所有网线,关闭设备电源。信息安全
员必须与现场调测人员双方签字确认后方可离开现场。
第八条对于与短信直接相关的系统,在系统加电调测期间,信息安全员必须每天定期对系统进行检查,尤其应该注意检查系统计费文件中每天发
送的短信总条数是否有异常,内容是否符合要求;检查是否按照规定
只放通的几个测试号码的主、被叫鉴权;统计信令链负荷是否异常。
信息安全员必须与现场调测人员双方签字确认。
第九条在系统加电调测期间,人员离开机房时信息安全员必须监督调测人员启动所有服务器或小型机的屏幕保护功能,并设置密码。由信息安全
员和调测人员双方确认无误后方可离场。
第十条负责工程调测用帐号和密码的管理。
(一)工程期间由市公司信息安全负责人管理工程调测用帐号,不得向无关人员泄漏帐号和密码;
(二)市公司信息安全负责人必须在调测期间定期检查系统,确认系统不存在无关的帐号;
(三)市公司信息安全负责人须定期修改帐号和密码;
(四)系统验收割接投入正常运行后,市公司负责人必须与当地维护人员移交密码,并及时删除所有工程调测帐号和其他测试数据,
双方验证该工程调测帐号不可用后签名确认。
第十一条在内部网上禁止开放网段访问短信中心或IOD平台。在工程期间有特殊需求时,只有在省公司相关部门批准后,在允许的特定时间对具有
特定IP地址的主机开放网络连接,信息安全员必须全程监督。
第十二条在工程调测期间禁止任何人员通过新建网元对现网用户发布任何信息,如确实需要,内容须经省公司相关部门审核,并由信息安全负责
人现场监督实施。
第十三条工程调测期间,如需对测试号码发布信息,信息安全员必须审核信息
内容,不得违反信息安全的规定。
第十四条在工程调测期间严禁使用后台短信息群发软件进行测试。
第十五条工程期间测试SP的接入,接入号码、端口需由省公司相关部门审批。第十六条原则上不允许工程调测人员通过电话拨号或互联网以远程登陆的方式来调试系统,如确实需要,须由工程信息安全员负责连接拨号线路,
并全程监督,要确保每次调试完后清除相关数据、断开线路和关闭
MODEM电源。不得向无关人员透露远程拨号的电话号码。
第十七条系统通过验收后,信息安全员必须监督施工人员进行割接数据准备,严禁在割接前提前激活所有的割接数据,特别是用户鉴权数据。
第十八条在工程施工过程中,如出现任何工程信息安全隐患或事故,信息安全负责人应当立即停止信息的传输,切断新建网元与现网的所有连接,
保存有关记录,并及时向上级汇报。
第四章施工现场管理
第一条参与工程施工的施工单位和施工人员,须在开工前签定《工程信息安全保证书》。
第二条施工单位须将参与工程调测的人员名单和资料报我公司审核。如在系统调测期间更换或增加调测人员,须征得我公司的同意,同时与个人签订
《工程信息安全保证书》。
第三条对于督导工程,厂家督导不得实际操作任何现网和在建网元的设备。
第四条对于交钥匙工程,在系统接入现网调测期间,要求调测现场必须有两人以上,其中必须包括信息安全员和施工单位的调测人员。
第五条对于督导工程,在系统接入现网调测期间,要求调测现场必须有三人以上,其中必须包括我公司工程信息安全员,厂家的督导和施工单位的调
测人员。
第六条严禁施工单位的调测人员在调测期间对现网用户发布任何信息,如确实需要,内容须经省公司相关部门审核。对于调测人员擅自发布信息的内
容及其后果由施工单位负责。
第七条在短信和IOD工程调测期间,严禁调测人员开发、使用和流传短信群发软件,进行短信的广播式或群发的测试。
第八条严格工程调测用帐号的管理。
(一)施工单位必须指定专人管理工程调测帐号;
(二)施工单位帐号管理人员必须与市公司信息安全负责人确定工程调测帐号,不得随意增加无关的帐号、密码,不得向无关人员泄漏
密码;
(三)如果施工单位调测人员变更,应及时更改相关的帐号和密码;
(四)施工单位帐号管理员应与市公司信息安全负责人定期修改各个设备上的用户名和密码;
(五)在系统割接投入正常运行后,须配合信息安全负责人及时删除工程调测帐号。
第七条每天在完成调测任务,离开现场前,现场调测人员必须断开新建网元与现网连接的所有网线、关闭设备电源,现场调测人员必须与信息安
全员双方签字确认。
第八条对于与短信直接相关的系统,在系统加电调测期间,现场调测人员必须配合信息安全员每天定期对系统进行检查,尤其应该注意检查系统
计费文件中每天发送的短信总条数是否有异常,内容是否符合要求;
检查是否按照规定只放通的几个测试号码的主、被叫鉴权;统计信令
链负荷是否异常。现场调测人员必须与信息安全员双方签字确认。第九条在系统加电调测期间,只有信息安全员和调测人员同时在现场进行调试时才允许将短信的所有程序正常开启,人员离开机房前调测人员必
须将以下进程退出:CTIserver;MAPserver。
第十条在系统加电调测期间,人员离开机房时调测人员必须启动所有服务器或小型机的屏幕保护功能,并设置密码。由信息安全员和调测人员双
方确认无误后方可离场。
第十一条在系统接入现网调测期间,在每天的调测工作开始时,调测人员必须启用系统的记录功能,确保系统记录每个帐号登陆的详细历史信息,
同时检查前一天的记录文件的内容。
第十二条现场调测人员不得通过电话拨号或互联网以远程登陆的方式来调试系统,如确实需要,须向工程信息安全员申请。
第十三条系统通过验收后,调测人员必须提前准备割接数据,并配合市公司信息安全员检查,但严禁在割接前提前激活所有的割接数据,特别是用
户鉴权数据。
第十四条厂家督导和现场调测人员必须遵守当地机房管理规定。
第十五条本系统项目的现场调测人员不得擅自操作别的系统的机器设备。否则,由此造成的后果将由施工单位负责。
第十六条现场调测人员必须严格按照施工单位提供的操作步骤、参数配置原则执行,否则,由此造成的后果将由施工单位负责。
第十七条若由于施工单位调测人员原因造成我公司资产损失的,施工单位应赔偿我公司的实际损失。
附件与本规定相关的文档
第一条施工单位和施工人员需签订的《工程信息安全保证书》。
广东移动通信有限责任公司
工程管理中心
2002年11月
信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1.上岗前的培训; 2.安全制度及其修订后的培训; 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。
页眉内容 XXX 数据安全管理规定 编制:____________________ 审核:____________________ 批准:____________________ [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXX所有,受到有关产权及版权法保护。任何个人、机构未经XXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。]
1.分发控制 2.文件版本信息 3.文件版本信息说明 文件版本信息记录本文件提交时的当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。 第一章总则 第一条为保证XXX信息系统核心数据安全,维护数据所有者权利,明
确利益相关者的责任与义务,按照分类管理、分级保护、授权使用的原则,根据《XXX信息系统安全管理规定》及国家信息系统安全等级保护等有关要求,特制订本规定。 第二条本规定所管理的数据均为非涉密的数据,XXX系统已标识密级的文件或已声明密级的数据不纳入本规定管理范畴。 第三条本规定适用于全国XXX信息系统环境中的数据安全管理工作。XXX各单位、部门均应按本规定开展数据安全管理工作。 第二章术语定义 第四条本规定所称数据所有者是指,对所管理业务领域内的信息或信息系统,有权获取、创建、维护和授权的业务主管。 第五条本规定所称利益相关者包括数据创建者、数据所有者、数据管理者、数据使用者及信息安全管理人员。 第六条本规定所管理的数据涵盖以纸质、电子等形式存在的文件和非文件形式的信息及其衍生物。其中,非文件形式的数据包括数据库及配置文件中的数据、配置信息等。 第三章职责定义 第七条数据创建者负责针对其所创建数据的内容和价值提出分类分级建议,提交对应级别数据所有者确认。 第八条来自XXX信息系统以外的数据,数据承接者视同创建者行使提出分级分类建议的责任和义务。 第九条数据所有者具有确认数据类别和敏感级别、确认销毁、提出技术保障需求、审查自检和审计报告、做出安全事件处置决定等权利和义务。其中,XXX业务数据的所有者为XXX指定的相应业务部门。 第十条各类数据的责任部门是该类数据的管理者。数据管理者作为数据所有者的代理者,代理数据所有者从事数据管理工作,负责其所管辖范围内数据的安全管理工作。数据管理者的职责包括但不限于:数据类别和敏感级别的标识与声明,根据级别进行管理与保护,数据使用培训,执行销毁操作并声明,定期自查提交报告,配合数据安全违规调查等。
数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大,则数据库系统的安全性能就较好。目前市场上流行的是关系式数据库管理系统,其安全性功能很弱,这就导致数据库系统的安全性存在一定的威胁。因此,数据库管理员应从以下几个方面对数据库的安全进行考虑。 一:用户角色的管理 这是保护数据库系统安全的重要手段之一。它通过建立不同的用户组和用户口令验证,可以有效地防止非法的Oracle用户进入数据库系统,造成不必要的麻烦和损坏;另外在Oracle数据库中,可以通过授权来对Oracle用户的操作进行限制,即允许一些用户可以对Oracle服务器进行访问,也就是说对整个数据库具有读写的权利,而大多数用户只能在同组内进行读写或对整个数据库只具有读的权利。在此,特别强调对SYS和SYSTEM两个特殊账户的保密管理。 为了保护ORACLE数据库服务器的安全,应保证$ORACLE_HOME/bin目录下的所有内容的所有权为Oracle用户所有。为了加强数据库在网络中的安全性,对于远程用户,应使用加密方式通过密码来访问数据库,加强网络上的DBA权限控制,如拒绝远程的DBA访问等。二:数据库的加密 由于数据库系统在操作系统下都是以文件形式进行管理的,因此入侵者可以直接利用操作系统的漏洞窃取数据库文件,或者直接利用OS工具来非法伪造、篡改数据库文件内容。这种隐患一般数据库用户难以察觉,分析和堵塞这种漏洞被认为是B2级的安全技术措施。数据库管理系统分层次的安全加密方法主要用来解决这一问题,它可以保证当前面的层次已经被突破的情况下仍能保障数据库数据的安全,这就要求数据库管理系统必须有一套强有力的安全机制。解决这一问题的有效方法之一是数据库管理系统对数据库文件进行加密处理,使得即使数据不幸泄露或者丢失,也难以被人破译和阅读。 我们可以考虑在三个不同层次实现对数据库数据的加密,这三个层次分别是OS层、DBMS内核层和DBMS外层。 ⑴在OS层加密。在OS层无法辨认数据库文件中的数据关系,从而无法产生合理的密钥,对密钥合理的管理和使用也很难。所以,对大型数据库来说,在OS层对数据库文件进行加密很难实现。 ⑵在DBMS内核层实现加密。这种加密是指数据在物理存取之前完成加/解密工作。这种加密方式的优点是加密功能强,并且加密功能几乎不会影响DBMS的功能,可以实现加密功能与数据库管理系统之间的无缝耦合。其缺点是加密运算在服务器端进行,加重了服务器的负载,而且DBMS和加密器之间的接口需要DBMS开发商的支持。 ⑶在DBMS外层实现加密。比较实际的做法是将数据库加密系统做成DBMS的一个外层工具,根据加密要求自动完成对数据库数据的加/解密处理。采用这种加密方式进行加密,加/解密运算可在客户端进行,它的优点是不会加重数据库服务器的负载并且可以实现网上
网络与信息安全风险评估管理实施细则 第一章编制说明 第一条为在确保(以下简称“”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T 1730-2008)、《网络与信息安全风险评估管理办法》等国家政策、行业 标准和集团公司相关规定,特制定本实施细则。 第二条本实施细则所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威 胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险, 有针对性的提出改进措施的活动。 第三条本实施细则适用于省公司、各市分公司根据行业监管要求或者自身安全要求,针对通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯 控制系统、门禁系统等发起的各类风险评估。 第四条涉及的部门及单位包括:省公司网络部,各级通信网、业务网和各支撑系统维护部门,如省网管中心、业务支撑中心、发展计划部IT中心、行政 事务中心及各市分公司等等。 1
第二章职责与分工 第五条总体原则 (一)在“谁主管、谁负责”总体原则指导下,按照统一管理、分级负责原则,省公司及各市分公司负责所辖网络和系统的安全风险评估工作。 (二)“自评估为主、第三方评估为辅”原则。省公司应着力推动自有评估队伍的建设,逐步实现自主评估。第三方评估应侧重弥补尤其是在队伍建设初期, 由于对电信网络协议漏洞、编程漏洞了解较少、渗透测试技术水平不高等 方面的不足。 (三)原则上,安全评估服务与系统建设不能采用同一厂家。 第六条发起风险评估的责任主体包括省公司网络部、各级通信网、业务网和各支撑系统维护部门,如省网管中心、业务支撑中心、发展计划部IT中心及 各市分公司等等。 第七条省公司网络部应在网络与信息安全工作领导小组及上级主管部门领导下,组织开展公司层面安全评估工作: (一)落实上级安全风险评估工作总体安排,配合上级组织的风险评估工作。 在重大活动或敏感时期,应根据上级安排或者自身需要发起对特定网络 及信息系统的专项评估工作; (二)建立和完善风险评估工作考核指标和考核办法,组织考核评比。对风险评估相关文档的发布、保存、流转、更改、作废、销毁各环节进行严格 把控,确保风险评估资料的机密性、完整性和可用性; 2
网络信息安全管理制度 网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置经公安部认证的防火墙,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等. 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。 5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保
文件编号:GD/FS-9367 (操作规程范本系列) 数据中心信息安全管理及管控要求详细版 The Daily Operation Mode, It Includes All The Implementation Items, And Acts To Regulate Individual Actions, Regulate Or Limit All Their Behaviors, And Finally Simplify Management Process. 编辑:_________________ 单位:_________________ 日期:_________________
数据中心信息安全管理及管控要求 详细版 提示语:本操作规程文件适合使用于日常的规则或运作模式中,包含所有的执行事项,并作用于规范个体行动,规范或限制其所有行为,最终实现简化管理过程,提高管理效率。,文档所展示内容即为所得,可在下载完成后直接进行编辑。 随着在世界范围内,信息化水平的不断发展,数据中心的信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布了ISO17799、 ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前,在信息安全管理方面,英国标准ISO27000:2005已经成为世界上应用最广泛与典型的信息安全管理标准,它是在BSI/DISC的
BDD/2信息安全管理委员会指导下制定完成。 ISO27001标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。ISO27000-1与ISO27000-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。20xx年
**集团有限公司 重大事件期间网络与信息安全管理规定(试行) 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作,建立有效的安全防护体系,进一步提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保重大事件期间网络与信息安全,制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动,如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导,落实信息安全责任地;高度重视,强化安全防范措施;周密部署,加强各相关方协作为原则,以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响,确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括:集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下,负责本单位网络与信息安全防范和整改工作。
第五条重大事件期间在时间上分为三个阶段,分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段;从重大事件起始日期至结束日期为实施阶段;从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作,网络与信息安全采取自查和现场抽查相结合的方式,先开展各单位内部的网络与信息安全自查,在各单位自查的基础上,由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患,各单位应制定整改
网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。
计算机数据库在信息安全管理中的应用 发表时间:2018-07-18T11:40:05.357Z 来源:《科技研究》2018年6期作者:罗晓 [导读] 计算机数据库技术在信息安全管理领域中的应用会随着社会的进步得到更广阔的发展空间。 黑龙江工商学院黑龙江哈尔滨 150025 1 计算机数据库技术 1.1 涵义 当前,计算机科学技术已得到全面普及,作为核心数据管理技术的计算机数据库技术主要是在计算机内部的数据结构基础上,对各类数据进行储备、组织和管理;根据信息安全管理的要求,计算机数据库技术通过储备、组织及管理数据来进一步促进信息安全管理功能,与用户提出的个性化需求完全一致。 1.2 特征 (1)独立性;计算机数据库技术的物理结构与逻辑结构均存在明显的独立性特点。其中,物理结构的独立性具体体现在当数据库的物理结构有所变化时,比如之前使用的数据信息存储方法发生了变化、重新购置了数据信息的存储设备等,这对计算机数据库的逻辑结构实际不会造成影响,无需重新设置计算机原有的应用程序。逻辑结构的独立性具体体现在存储于数据库内的信息资料与计算机应用程序在逻辑结构上是彼此相互独立的,就算数据库内的信息资料出现了一定的变化,也不用更改计算机的应用程序。 (2)组织性;存储于数据库内的大部分文件相互间都有着一定的联系,这些文件会根据某一关系而组成相应的组织结构,以整体角度而言,均体现出了相应的组织结构形式,尤其是存在于统一集合中的数据彼此均存在一些相同的点。 (3)灵活性;灵活性在计算机数据库技术中十分明显,除了能做好数据的储备、组织及管理工作外,还发挥着修改、编辑和查询数据的功能,能帮助人们及时的查找到所需的数据信息。此外,计算机数据库技术充分考虑了用户们的个性化需求,针对具体的信息安全管理需求,明确与之匹配的信息数据库,实现管理的统一性。 (4)共享性;计算机数据库技术最为关键的一个特征就是共享性,随着互联网的发展,计算机数据库技术做到了资源的有效共享。通过计算机数据库技术能够及时处理数据库内的数据信息,同时,还能将数据库内的数据信息应用到一个计算机应用程序中,也可同时应用于多个计算机程序中。由于计算机数据库技术具有资源共享性特点,所以对于不同用户提出的信息安全管理需求能够很好的满足。 2 信息安全管理中计算机数据库技术的应用现状 2.1 计算机数据库技术已成为信息安全管理中的主要发展趋势 首先,数据库技术在信息安全管理中的应用与数据库技术的发展历程保持密不可分的关系,数据库技术是从最早的网状数据库到层次数据库再到关系数据库,最后生成了面向对象数据库。 其次,随着实践的不断深入,数据库技术逐渐成熟与完善,其适用性和可操作性的功能作用越来越明显,因此其未来发展中将会涉及到更大的领域。另外,根据数据库当前的应用情况,实践中最常用到的是关系数据库和面向对象数据库这两项技术。最后,以未来发展角度而言,在多媒体应用范围的不断扩大下,要求数据库系统实现对图形、声音及影像等复杂对象的存储,同时,采用数据库技术促进复杂对象顺利完成复杂的行为。所以将面向对象数据库技术和计算机数据库技术有机的结合,能够为计算机数据库技术的发展提供新方向,全新的数据库技术会受到越来越多的人关注。 2.2 信息安全管理中计算机数据库技术的应用领域逐步扩大 具体体现在四个方面:一,通过有机结合计算机技术与数据库,不仅增强了生命力,且在市场中具有广阔的发展前景;二,计算机数据库技术目前已经应用到了商业、工业、农业等诸多的行业领域中,为各行各业提供了更为有效的信息安全管理方法,保证了信息安全管理效率。三,随着计算机数据库技术的广泛应用,使得各个行业在信息安全管理过程中得到了强有力的技术保障,对行业的可持续发展与管理水平的提升具有重要的现实意义。四,由于计算机数据库技术安全系数高及适用性广,所以其有着明显的应用优势,得到了诸多行业的青睐。 3 强化信息安全管理中计算机数据库技术的措施 3.1 保证计算机数据库技术的高安全性 计算机数据库技术应具有较高的安全性,严防不法人员入侵数据库,避免因大量的数据丢失、被不法者使用等而引起安全隐患。计算机数据库技术的安全性能高与否直接决定了数据库系统质量。由于数据的共享性,所以会不可避免的降低数据库的安全,不过,并非所有数据均应做到共享,比如部分与国家利益军事机密、商业机密等相关的数据,不但严厉禁止共享,还必须制定严格的保密措施。因此,我们在实现一些数据的共享的同时,还要做好必要的保密工作,比如针对 DBMS 的统一控制要求,严控使用权限,用户访问过程中必须采取数据加密、视图机制,对于没有合法使用权限的用户,不得实施相关操作。 3.2 促进计算机数据库系统理论与实践的有机结合 由于计算机数据库系统理论是在计算机技术和数据库原理的发展基础上而不断发展的,所以其实践应用过程中必须以计算机数据库系统的最新发展成果为主要指导,从而保证实践具有更高的科学性;此外,还应根据计算机数据库系统的实践应用情况开展计算机数据库系统的理论研究工作。总而言之,计算机数据库系统只有具备广泛的适用性方可实现良好的发展前景,不过为了其持续快速的成长,相关的研究依旧不可少。未来中,计算机数据库系统会更安全更高效的应用于信息安全管理领域中。 3.3 保证数据的完整性 首先,凡是通过窗口操作输入的数据,通常都会以客户端应用程序为主提高数据的完整性,这不仅能够防止非法数据进入到数据库中,而且第一时间将操作反馈信息告知给用户,保证用户选择的正确性。其次,凡是利用其他渠道转入到数据库中的数据,通常采用服务器端数据库管理系统保证数据的完整性。此外,通过表定义的约束统一维护数据,能够减少客户端应用程序的大量开发,发挥应用系统的维护性和可靠性作用。再有,凡是在数据完整性和安全性方面提出高要求的系统,应通过多层保护屏障促进数据的完整性与安全性提升,比如,在客户端应用系统程序中对输入数据是否具有有效性进行检查,同时在服务器端数据库中设置表的约束、规则及触发器等对数据的
大数据及其安全相关策略 1引言 随着互联网、物联网、云计算等技术的快速发展,以及智能终端、网络社会、数字地球等信息体的普及和建设,全球数据量出现爆炸式增长,仅在2011年就达到1.8万亿GB。IDC预计,到2020年全球数据量将增加50倍。毋庸臵疑,大数据时代已经到来。一方面,云计算为这些海量的、多样化的数据提供存储和运算平台,同时数据挖掘和人工智能从大数据中发现知识、规律和趋势,为决策提供信息参考。但是,大数据的发展将进一步扩大信息的开放程度,随之而来的隐私数据或敏感信息的泄露事件时有发生。面对大数据发展的新特点、新挑战,如何保障数据安全是我们需要研究的课题。 2 “大数据”的概念 大数据通常被认为是一种数据量很大、数据形式多样化的非结构化数据。随着对大数据研究的进一步深入,大数据不仅指数据本身的规模,也包括数据采集工具、数据存储平台、数据分析系统和数据衍生价值等要素。其主要特点有以下几点: 2.1数据量大
大数据时代,各种传感器、移动设备、智能终端和网络社会等无时不刻都在产生数据,数量级别已经突破TB,发展至PB乃至ZB,统计数据量呈千倍级别上升。据估计,2012年 全球产生的数据量将达到2.7ZB,2015年将超过8ZB 2.2类型多样 当前大数据不仅仅是数据量的井喷性增长,而且还包含着数据类型的多样化发展。以往数据大都以二维结构呈现,但随着互联网、多媒体等技术的快速发展和普及,视频、音频、图片、邮件、HTML、RFID、GPS和传感器等产生的非结构化数据,每年都以60%速度增长。 预计,非结构化数据将占数据总量的80%以上[1] 2.3运算高效 基于云计算的Hadoop大数据框架,利用集群的威力高速运算和存储,实现了一个分布式运行系统,以流的形式提供高传输率来访问数据,适应了大数据的应用程序。而且,数据挖掘、语义引擎、可视化分析等技术的发展,可从海量的数据中深度解析,提取信息,掌控数据增值的“加速器”。 2.4产生价值 价值是大数据的终极目的。大数据本身是一个“金矿产”,可以从大数据的融合中获得意想不到的有价值的信息。特别是激烈竞争的商业领域,数据正成为企业的新型资产,追求数据最大价值化。同时,大数据价值也存在密度低的特性,需要对海量的数据进行挖掘分析
信息安全管理办法 第一章总则 第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。 第二条本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。 第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。 第四条信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。
第五条本办法适用于公司总部、各企事业单位及其全体员工。 第二章信息安全管理组织与职责 第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。 第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。 第八条信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。 第九条公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全子网,信息中心对其提供指导,必要时可以中断其与骨干网连接,待子网恢复正常后再恢复连接。
第一章总则 第一条为了提高员工信息安全防范意识和操作技能,保障公司信息安全,根据公司信息安全管理制度的要求,制定本守则。 第二条公司全体员工须遵守公司信息安全制度和本守则,共同维护和保障公司信息安全,确保公司各项业务正常开展。 第三条本守则遵循“信息安全,人人有责”、“谁使用,谁负责”的原则。公司全体员工人人行动起来,积极学习信息安全知识,提高防范意识和操作技能,自觉遵守信息安全制度,共同保障公司信息系统的安全运行。 第四条本守则是对员工日常操作公司信息系统的基本要求,在公司信息安全制度高于本守则要求或发生冲突时,应以公司信息安全制度为准。 第二章口令使用 第五条安全优质的用户口令是保障信息安全的第一步。员工应为个人使用电脑设置好开机、屏幕保护口令,为各类帐户设置好登录口令,口令设置遵循以下基本原则: 1) 在信息系统可支持情况下,一般用户口令长度8位以上,并由字母、数字混合构成,重要系
统管理员口令长度12位以上,并由字母、数字、特殊字符混合构成; 2) 要便于自己记忆; 3) 不使用别人容易利用个人相关信息猜测的信息。例如用户名、姓名(拼音名称、英文名称)、生日、电话号码、身份证号码以及其它系统已使用的口令等; 4) 避免使用连续的相同数字,或者全是数字或全是字母的字符组。 5) 不使用字典中完整单词,避免字典攻击; 6) 不同安全等级、不同应用用途的用户应设置不同口令。例如:业务用户和非业务用户、公司内部用户和普通上网用户等应分别设置不同口令; 第六条注意口令保密。不得将个人用户口令泄露给他人,也不得打听或猜测他人用户口令。避免将口令记录在他人可能容易获取的地方,例如笔记本、纸条、电子文件等;避免在自动登录过程中以不安全的方式保存口令。 第七条新用户在第一次登录时应修改其临时设置的口令;设置缺省口令的新用户,用户生效后及时登录并修改口令。 第八条定期修改口令。业务终端登录用户和业务类用户每季度至少修改一次,重要用户根据其他制度要求增加修改频率。普通办公终端登录用户和办公类用户半年至少修改一次。避免重复使用旧口令。
XXXXX有限公司 体系文件文件编号XZ-GZ10-019 版本号 标题:关键岗位信息安全管理细则 页数1/2 1.目的 为了切实保障公司信息系统安全,规范公司关键岗位人员信息安全的责任,根据国家信息安全法规,制定本细则。 2.适用范围 公司所有关键岗位人员。 3.定义 关键岗位——本细则中关键岗位是指在信息系统运行过程中可接触到等级为敏感级及以上信息资产 的岗位。 关键岗位人员——本公司关键岗位为设计人员(项目开发)质量管理人员,公司骨干(主管级及以上 人员)业务(销售)等岗位。 4.引用文件 无 5.程序 信息关键岗位控制要求 关键岗位是指在信息系统运行过程中可接触到等级为敏感级以上信息的岗位,选拔招聘关键岗位人员 时,应对被选拔者的相关背景和资历、入职动机、工作稳定性等进行审查,审查通过后方可上岗工作。 关键岗位人员必须是正式员工,并签署“商业秘密保密协议”和“员工遵守职业道德准则承诺书”。 为做好关键岗位风险控制,有效防范和规避关键岗位员工操作风险和道德风险,应对关键岗位人员进 行信息安全例行检查,通过例行检查对关键岗位人员进行评估,必要时对关键岗位人员实施轮换,在 轮换时需对原岗位人员进行离任审计,以确保对离任人员的风险控制。 关键岗位的员工,有义务接受信息安全和保密知识、职业道德的教育和培训。 关键岗位人员禁止使用(除非授权):a) USB接口数据交换;b) 外网访问; c) 非公司邮箱的使用(邮箱使用权限需经审批);d) 电脑打印; 关键岗位的信息安全基本要求。
禁止利用计算机资源制造、传播违反国家法律法规的信息。 掌握所在岗位需要的计算机信息安全知识,妥善保管计算机系统中的重要文件和数据,妥善保管身份 认证凭据(如用户账号、密码、数字证书等)。 严禁自行更换所使用计算机系统的软硬件配置;严禁在计算机设备上安装、使用盗版软件,与工作无 关的软件或非授权数据介质(如软盘、光盘、优盘和移动硬盘等)。 XXXXX有限公司 体系文件文件编号XZ-GZ10-019 版本号 标题:关键岗位信息安全管理细则 页数2/2
XXX 数据安全管理规定 编制:____________________ 审核:____________________ 批准:____________________ [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有 特别注明,版权均属XXX所有,受到有关产权及版权法保护。任何个人、机构未经XXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。]
1.分发控制 分发对象文档权限说明 XXX内部员工只读 2.文件版本信息 版本日期拟稿和修改说明 3.文件版本信息说明 文件版本信息记录本文件提交时的当前有效的版本控制信息,当前版 本文件有效期将在新版本文档生效时自动结束。文件版本小于 1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。
第一章总则 第一条为保证XXX信息系统核心数据安全,维护数据所有者权利,明确利益相关者的责任与义务,按照分类管理、分级保护、授权使用的原则,根据《XXX信息系统安全管理规定》及国家信息系统安全等级保护等 有关要求,特制订本规定。 第二条本规定所管理的数据均为非涉密的数据,XXX系统已标识密级的文件或已声明密级的数据不纳入本规定管理范畴。 第三条本规定适用于全国XXX信息系统环境中的数据安全管理工作。XXX各单位、部门均应按本规定开展数据安全管理工作。 第二章术语定义 第四条本规定所称数据所有者是指,对所管理业务领域内的信息或 信息系统,有权获取、创建、维护和授权的业务主管。 第五条本规定所称利益相关者包括数据创建者、数据所有者、数据 管理者、数据使用者及信息安全管理人员。 第六条本规定所管理的数据涵盖以纸质、电子等形式存在的文件和 非文件形式的信息及其衍生物。其中,非文件形式的数据包括数据库及配 置文件中的数据、配置信息等。
计算机科学与技术学院《物联网信息安全》 结业论文 数据库系统的安全 专业 班级 姓名 学号 日期2015年6月
数据库系统的安全 摘要:数据库安全(DataBase Security)是指采取各种安全措施对数据库及其相关文件和数据进行保护。数据库系统的重要指标之一是确保系统安全,以各种防范措施防止非授权使用数据库,主要通过DBMS实现的。数据库系统中一般采用用户标识和鉴别、存取控制、视图以及密码存储等技术进行安全控制。 数据库安全的核心和关键是其数据安全。数据安全是指以保护措施确保数据的完整性、保密性、可用性、可控性和可审查性。由于数据库存储着大量的重要信息和机密数据,而且在数据库系统中大量数据集中存放,供多用户共享,因此,必须加强对数据库访问的控制和数据安全防护。 数据库技术是应用最广泛的一门计算机技术,它的安全越来越重要。该文从数据库安全入手,对用户认证、存取控制、安全管理和数据库加密等数据库安全技术的几个方面进行了讨论。并对国内目前采用改造数据库的方式来提高数据库安全的几个主要应用,进行了详尽的阐述,最后指出了数据库安全现存的问题和将来研究的方向。 关键词:数据库安全;数据库加密;认证;数据库改造;安全管理 Abstract:The DataBase Security, DataBase Security) refers to the various Security measures to the DataBase and its related files and data protection.One of the important indexes of database system is to ensure that the system is safe, in a variety of preventive measures to prevent the unauthorized use of the database, mainly by the DBMS.Database systems generally use user identity and identification, access control, views and password storage technology for safety control, etc. The core and key of the database security is its data security.Data security refers to protecting measures to ensure the data integrity, confidentiality, availability, controllability and can review.Due to the database to store a lot of important information and confidential data, and a large number of data in the database system are centralized, for users to share more, therefore, must strengthen the control of database access and data security protection. Database technology is one of the most widely applied computer technologies, its security is becoming more and more important. This paper starts from the definition of database security, discusses the problems of user authorization, access control, security management and database encryption. The main present domestic applications that improve the security of database through the method of revisions of database are discussed in detail. At last, the existing problems of database security are proposed and the future research directions are also indicated. Key words:Database security; Revisions of database;Authentication
数据中心安全策略的体系架构与功能设计 一、数据中心建设的安全策略 1.数据中心安全策略的体系架构 数据中心安全的内容已从原来的保密性和完整性扩展为信息的可用性、核查性、真实性、抗抵赖性以及可靠性等范围,更涉及到包括计算机硬件系统、操作系统、应用程序以及与应用程序相关联的计算机网络硬件设施和数据库系统等计算机网络体系的方方面面,具体架构如图1所示。 从图1中可以看出,数据中心建设的安全策略包括4层:硬件安全防护层、数据安全检测层、数据隔离恢复层和数据安全备份层。 2.数据中心安全策略的功能设计 2.1.硬件安全防护层 数据中心建设的硬件安全主要采用的策略包括高速带宽、服务器负载平衡以及防火墙的使用。 (1)高速带宽(High Speed Bandwidth) 为了使数据中心在激烈的计算机网络竞争中处于领先地位,高质量的网络连接是维持高质量数据中心的基本要素。为避免因计算机网络带宽的共享问题产生冲突而降低数据中心的功能和效率,应该为数据中心的管理者和使用者提供最大限度的利用带宽。 (2)服务器负载平衡(Server Load Balancing) 单一的服务器不能满足数据中心日益增加的用户访问量、数据资源和信息资源。数据中心的应用系统采用了3层结构,数据中心中大量复杂的查询、重复的计算以及动态超文本网页的生成都是通过服务器来实现的,而服务器的速度一直都是数据中心数据处理速度的“瓶颈”。为了满足ISP/ICP的需求,提高数据
中心服务器的访问性能,数据中心建设采用了服务器负载均衡的先进技术。网络负载均衡器是一个非常重要的计算机网络产品,利用一个IP资源就可以根据用户的要求产生多个虚拟的IP服务器,按照一定协议能够使它们协调一致地工作。不同的用户或者不同的访问请求可以访问到不同的服务器,使得多个服务器可以同时并行工作,提高服务器的访问性能。如果当计算机“黑客”攻击某台服务器而导致该服务器的系统瘫痪时,负载均衡器和负载均衡技术会关闭其与该系统的连接,将其访问分流到其他服务器上,保证了数据中心持续稳定的工作。 (3)防火墙(Firewall) 防火墙技术是位于Internet之间或者内部网络之间以及Internet与内部网络之间的计算机网络设备或计算机中的一个功能模块,主要由硬件防火墙与软件防火墙按照一定的安全策略建立起来的有机组成体,目的在于保护内部网络或计算机主机的安全。原则上只有在内部网络安全策略中合法的通信量才能顺利进出防火墙。具体功能包括保护数据的完整性、保护网络的有效性和保护数据的精密性。防火墙的使用便于数据中心硬件资源和软件资源集中的安全管理,安全策略的强制执行,从而降低了计算机网络的脆弱性,提高了数据中心的安全保密性。 2.2.数据安全检测层 数据安全检测层包括数据的入侵检测和数据与安全审计两大功能,主要完成隐患数据和操作进不来以及隐患数据和操作查得出的任务。 (1)入侵检测(Intrusion Detection) 数据的入侵检测是一种积极的安全防护技术,是继防火墙之后的第二道安全闸门,是把数据中心的关口前移,对入侵行为进行安全检测,让存在安全隐患的数据不能进入到数据中心,主要通过收集和分析用户的网络行为;安全日志、审计规则和数据;网络中计算机系统中的若干关键点的信息,检查进入数据中心以及数据中心内部的操作、数据是否违反安全策略以及是否存在被攻击的迹象。主要采用模式匹配、统计分析和完整性分析3种分析策略。数据中心建设的入侵检测采用的是公共入侵检测框架(CIDF),其具体架构如图2所示。入侵检测系统可以根据对数据和操作的分析,检测出数据中心是否受到外部或者内部的入侵和攻击。