第一篇:关于Saas的数据安全
在日常的工作中经常会被市场部同事请去针对一些客户提出来的关于数据安全问题进行说明与解答。在与多个客户的沟通过程中也发现,大家对这个问题确实比较关注;并且不约而同的把本地化部署作为解决他们对Saas服务数据安全担忧的解决方案。站在客户的立场,其实可以很容易的理解他们的这种担心,也理解他们提出本地化部署的出发点;但是理解归理解,理解不代表对这种想法的认可。
关于Saas相对本地部署应用的类似于低成本、快实施、零运维等等各种好处在各种介绍中已经非常多了,相信大家也容易理解并且认可,我就不再补充。今天我想重点说说客户最担心的数据安全问题,本地部署在数据安全性上就一定会比Saas好吗?
讨论这个问题之前必须先对客户所担心的数据安全问题进行一下明确与界定,根据与客户沟通的经验,在Saas模式下客户说到的安全问题无非是这三个方面:其一,Saas平台的数据丢失,不可还原;其二,Saas平台的数据被第三方以技术手段非法获取;其三,Saas平台的数据被平台方出于商业目的恶意透露。那么我们针对这三个问题一个个来分析一下,是不是本地部署这三个问题就完全解决了呢?
对于 “数据丢失不可还原”理论上对于任何一个系统都是存在的,没办法完全杜绝,能做的就是降低丢失的概率。具体措施就是数据备份,相对成熟的互联网公司对数据备份都相当重视;有专门的DBA团队设计非常周密的备份方案,备份的技术手段也是自动与高效的,并且会进行定期的还原演练。比喻在dayHR,我们的DBA团队就给客户的数据设计了三套并存的备份方案,分别会进行机房本地、研发网、第三方机房(加密)的备份;备份周期是每日增量与每周全量,并且每两周会进行一次备份还原演练。通过这些措施基本上杜绝了“数据丢失不可还原”的可能性。
那企业本地部署系统“数据丢失不可还原”问题就不会存在呢?非常遗憾,根据我本人十多年为企业提供IT服务的经验来看,在企业本地部署的系统“数据丢失不可还原”的机率大于成熟互联网公司100倍都不止。我曾遇到过删除整个数据库无法还原的,也曾遇到过将整个服务器格式化,丢失所有数据的,林林总总非常之多。受限于意识、技术手段、备份设备、人才等等各方面的影响,除开极少数在企业IT做得非常优秀的公司外,绝大多数公司在数据备份方面做得都非常不专业。最严重的是不备份,出了问题彻底歇菜;一般的会在数据库机器上做个备份,硬盘坏了依然没啥作用;即使备份不出问题,但是从不演练,等到关键节点要做恢复时发现恢复不了。所以对于“数据丢失不可还原”这个担心来说,成熟Saas平台的可靠性远远高于企业本地部署。
那对于“数据被第三方以技术手段非法获取”是不是本地部署机率会更小呢?如果企业彻底断开外网,所有应用不能从外网访问包括移动应用,那这个答案是肯定的!如果在互联网时代特别是移动互联网大行其道的时代,一个企业能做到与外网的完全隔离,我确实无话可说,第三方也确实没有办法通过技术手段非常获取你的数据。
但是我相信绝大多数企业肯定还是要与外网相通的,你的内部应用为了方便员工,也是需要向外网开发放。一但开放,同Saas平台一样“数据被第三方以技术手段非法获取”的可能性就存在,那么我们只需要对比一下,这种机率谁大谁小就可以了。互联网公司将安全普遍当成头等大事,在人才、设备、工具上投入都非常之多;一般来说都会有专门的安全团队负责平台的安全,会部署一系列安全相关的软硬件工具以提高平台的安全性。对于安全来说更核心的是日常的基本功,比喻说团队的安全意识培养、程序开发过程中的安全考虑、对于主机的所有日志的安全审计、安全事件应对演练等等,只有这些东西做到位,才可能保证到平台安全,降低“数据被第三方以技术手段非法获取”的可能性。对于我们dayHR的安全团队来说,在部署了基本的网络防火墙与应用防火墙、一些安全监控工具外,其日常最重要的工作就是审计与传教:审计就是对主机各种日志的审计,发现隐藏在日志中的各种异常与风险,并针对性的采取措施;传教就是对整个研发团队传导安全理念,培训安全知识,从而提高整个研发团队的安全水平。
据我了解,一般的企业(排除一些真的重视安全以及土豪公司哈)IT部都没有专业的安全团队;更重要的是,认为应用就部署在内网,安全问题不严重,在意识上就不注意安全问题。安全其实上是一个很奢侈的事儿,舍不得投入根本做不好安全;安全人才特别稀缺、要价很高,安全解决方案与工具都很贵;再加上如果没有吃过安全的亏,完全没有安全意识。所有这一切都造成了在一般的企业中要想做安全都是非常困难的事儿,从各大漏洞平台的统计来看,企业应用与政府应用是低级高危漏洞的高发区。而互联网公司由于行业特点与自由的核心利益所然,必须做好安全,相对来说系统更加安全。所以成熟的Saas平台比一般企业维护的内部系统更加安全,“数据被第三方以技术手段非法获取”机率更小。
对于第三点“Saas平台的数据被平台方出于商业目的恶意透露”,换成直白点的话,就是将客户的数据去卖钱。这个问题其实上不是技术上的问题了,是一个商业模式上的问题;如果一个Saas平台的盈利模式是靠出卖客户的数据去赚钱,我相信他很难成长起来。首先投资商不会给他投钱,其次客户也不会选择他的服务。打造一个成熟的Saas平台需要大量的金钱投入,比喻说dayHR走到今天这个规模,已经投入了上亿的资金。只要我们这个平台上出了一例我们自己因商业利益透漏了客户的资料,整个平台的信誉就完了,相信也没有客户会选择我们的服务了,也就意味着上亿的投入打了水漂,你觉得我们能做这样的事吗?
对于Saas平台来说,确实会利用一部分用户数据;但这种利用一定是基于大数据这个角度,任何时候平台都不会对于特定客户数据进行透漏。就像我们远观一片森林,可看清葱绿、广大、起伏,但是看不清每棵树是什么树、长什么样、有多少枝丫与叶片。
关于Saas平台的数据安全我经常会给同事们说一个例子,在此也以这个例子结尾吧!十年之前网上支付刚起步时,有多少人质疑其安全性不敢使用;而如今,网上支付是绝大多数网民最普通的日常动作了。不是网上支付的安全性问题已经彻底解决,而是趋势不可阻挡。企业Saas也一样,数据安全性问题也只是其发展过程中的一个小小的波折,大势不可阻挡!
——dayHR技术负责人
第二篇:关于SaaS的思考
关于SaaS的思考
内容提要:本文从商业模式、开发模式和应用模式客观地分析了SaaS所面临的问题,并对问题的解决提出建议。
关键字:SaaS,客户个性化,构件化,产业链
一.商业模式面对的问题和对策
1.解决客户个性问题是SaaS必须面对的客观问题
Internet 和Internet相关技术的发展,新一代ERP系统应运而生。新一代ERP系统的核心特征是在原有基础上,加入了基于Internet的客户关系管理(CRM)与价值链管理(VCM)。从企业内部来看,ERP本身并没有实质的变化,但企业对外经营方式令人耳目一新。
SaaS(Software-as-a-service)软件即服务!如其说是软件商业模式的改变,倒不如说是人们观念上的改变;过去软件商想方设法将软件产品销售给客户,现如今要借助全程电子商务平台给客户提供全面服务。
这需要真本事。
俗话说:“没有金刚钻,别揽瓷器活。”
“客户个性化”可谓瓷器活,没有实用而有效的客户个性化解决方法和工具,揽了瓷器活也是瞎耽误工夫。
“客户个性化”可简单归纳为5个方面:
⑴输入(界面)个性化
⑵输出(展示,表格打印)个性化
⑶使用权限个性化
⑷流程个性化
⑸数据综合分析个性化
“客户个性化”即是技术活又是艺术活,必须在产品自定制功能方面下足工夫。
用户不需要具备任何编程知识就可以自行根据需要添加、删除或是编辑应用列表,而且这些动作都是在自己的界面上实现,不会影响到提供上的后台管理以及其他应用此软件的用户。只有这样,SaaS才有“底气”应对用户如此复杂的、主观的和客观的应用要求。
理论上,前3个性化问题的解决不会太难,但流程个性化和数据综合分析个性化还有待进一步探讨;彻底解决“客户个性化”问题的道路还很漫长。
我们应该注意到,SaaS在美国等发达国家也仅仅只是研究探索阶段,在国内的市场上成熟应用在短期内是极不现实的,更何况国内的ERP传统开发商已经在低端市场上竞争非常激烈了,SaaS供应商如果仅仅想依靠低价策略来获取这个低端市场的份额,风险可想而知。
因此,SaaS前进的道路上还有许多障碍需要清除。
2.安全性是进入SaaS时代的先决条件
安全性问题是客户十分关注的问题,也是市场信心建立的先决条件。
安全性可归纳为:
⑴服务商的安全诚信度
⑵服务保障机制
⑶网络传输安全和稳定性
⑷数据存储安全性
⑸商业机密保护手段
一旦企业的SaaS业务系统全面运行,企业的命运就掌握在SaaS供应商的手里,企业必须不断支付费用才能得到SaaS服务商持续、稳定的服务,一旦SaaS服务商出现什么麻烦或风险,直接殃及企业自身的系统运行。因此,服务商的安全诚信度在很大程度上左右市场信心的建立。
即使SaaS开发商费尽辛苦,成功将SaaS实施于企业,接下来的问题还有不少,最主要的问题是SaaS系统的正常运营:如何保证应用系统的稳定性,如何保证网络畅通,如何处理大量并发和海量数据,如何进行数据备份,这些都是需要重点考虑的内容。
我们的服务保障机制建立和完善了吗?
服务商的数据安全采用什么存储保护模型、采取了什么备份复制策略,是否有能力抵御互联网黑客和病毒的攻击。
一旦出现重大问题时是如何恢复数据的?有没有业务连续和灾难恢复保障策略?有没有实现灾难异地恢复方案?其中,在解决和处理数据恢复和备份时,是否需要用户中断业务操作等。
企业信息系统数据的安全性和重要性往往至关重要,尤其是财务数据和客户信息,这些数据往往是一个企业的核心机密,将这些至关重要的核心数据放在第三方的服务器上,对于大部分企业来说是比较难接受。特别是服务器和网络有时会遇到不可预知的故障,而如果一个企业进行关键业务的时候发生这些故障,那么这种服务就会被质疑。
文档安全也是用户关注的焦点之一,在SaaS模式下,数据的安全性和保密性是需要SaaS提供商来负责保护的,这是最基本的要求。
当然,涉及一些核心、机密的信息,如国家的电子政务应用方面的信息和数据等。用户还希望采用自定义的加密手段来保护数据,由用户自己决定安全度,可以增加用户的信心度。
二.开发模式面对的问题和对策
1.软件走工业化的道路势在必行
实施过ERP的企业往往怨声载道;是什么原因导致ERP如此尴尬的境地?
原来,软件工程师进行高科技软件产品的开发,还在使用极端落后的“生产”方式,现代化的软件产品一直还停留在“手工作坊”的生产阶段,满足客户个性化的效率太低,成本太高。
50多年来,重复着高技术人才低效率劳动的局面,严重制约了软件产业的发展,尤其是ERP系统的低效率开发更是引发ERP发展危机的主要原因。
大家知道,人类社会的生产方式从19世纪的手工单件生产进化到后来的大工业生产,一个决定性的飞跃就是出现了标准化的零部件,产品可由现成的零部件装配而成,从而使生产走向了规模化。
同样,ERP软件的开发、生产的根本变革就是转向建筑在标准化零部件或成为软件构件基础上的高效率、高质量的新型生产方式。
企业管理软件的开发方式亟待彻底变革!其根本出路就是走构件化、工业化的道路;信
息化和工业化融合已势在必行。
ERP工业化具有以下四个重大意义:
⑴从根本上改革ERP的落后的生产方式:从手工编码方式转向面向构件的ERP业务组装的生产方式。
⑵从根本上解放落后的ERP的生产力:免编程的面向构件的快速搭建ERP系统的开发方式大大解放ERP的生产力。使得ERP的产品质量得到了保证,缩短了开发周期,大大节约了开发成本与实施成本。
⑶从根本上改变落后的ERP的生产关系:基于构件化的ERP平台可以建立一种崭新的ERP产业链联盟的商业模式,这种模式是十分有利于ERP业界社会分工的、十分有利于用户的利益的一种新型的先进的社会关系,这时的ERP商业模式自然可以SaaS了,可区分为ERP构件生产商、ERP平台提供商、ERP应用系统生产组装商以及ERP项目服务商等专业分工,做到分工明确,各司其职、各负其责,充分保护产业链中各环节角色的利益。
⑷构件化为打造SaaS生态链提供技术支持。
长期以来,ERP没有形成真正意义上的产业链也是引发ERP危机的主要原因。
SaaS客观上要求软件行业进一步分工:
①构件制造商—研发和发布各种功能的构件(或中间件)
②平台运营商—SaaS平台的管理服务商
③咨询服务商—由管理行家组成的管理顾问和技术督导的专业公司
④数据库管理中心—服务器租赁和数据库管理的专业公司
⑤信息服务商—数据挖掘和进行信息资源交易的专业公司
SaaS重在服务,以“专业、周密、廉价、安全”的优质服务赢得市场。
“专业”通过专业分工保障
“周密”的服务源自深厚的技术基础和个性化服务理念
“廉价”建立在可控的低成本上
“安全”以专业和严格的服务机制作保障
2.SaaS应当以开放标准为基础
常听到“中小企业管理不规范”的抱怨。
“规范的管理模式”是什么?有标准吗?“世界500强”的管理模式适合我们的企业吗? 只能“抱怨”电脑技术发展太快,加上企业管理太复杂,理论界和人们的认识还没有跟上电脑技术的发展。
“没有规矩不成方圆。”
网络发展之快得益于网络协议;电讯业务发展也离不开行业规范。
不容质疑,电脑及其网络是管理工具;如何有效地用好这些工具,有必要制定相关标准,以免软件商继续无序竞争、重复开发,造成社会资源的浪费,使众多企业蒙受损失。
统一的标准是SaaS行业分工协同工作的前提。
完善的标准是SaaS健康发展的基石。
业务标准化不是技术问题,但严重制约SaaS的发展;同样,SaaS平台技术开放标准也
亟待制定和推广;这些问题的解决,行业协会和政府有关部门责无旁贷。以开放的、统一的SaaS标准为基础,营造平台、开发软件、提供服务,可望打造大型SaaS企业。
3.SaaS平台的核心是服务平台
SaaS平台技术上应该是众多接口协议和服务机制的集成。
因此,SaaS平台的定位要明确,重点是功能,而不是具体内容。
原则上,平台独立于操作系统和数据库
平台采用可伸缩架构
平台具有免编程的二次开发能力
平台的兼容性可通过协同开发不断丰富和完善功能
平台的核心技术必须自主创新,不能简单地利用外来技术组件/模块,否则,根本不具备傲视群雄的技术优势。
三.应用模式面对的问题和对策
1.SaaS的专业化服务是保障
SaaS(Software-as-a-service)软件即服务!服务必须专业,专业应该规范。
专业化服务理念是打造SaaS产业链的主线。
如何推动Saas产业链的建立,为用户提供多样化、可定制、可整合、端到端的SaaS服务呢?任何一个行业要想发展壮大,走向规模化,产业链的形成是必不可少的。
以SaaS平台的管理服务商为核心,构件制造商、信息服务商、数据库管理中心、以及面向最终用户的咨询服务商各种不同的角色的分工合作。
平台的管理服务商为大家提供软件服务运营所需要的基础设施和运营保障。而构件制造商则可以根据市场来开发SaaS软件并部署到运营商的平台上,不需要直接面对最终用户,可能是由大量的咨询服务商来为SaaS用户提供SaaS服务的实施,整合等服务。
而对于SaaS用户来讲,他们不再需要面对多个不同的软件开发商和运营商,而只需要选择合适的咨询服务商即可。而SaaS相关的行业规范也可以确保不同软件开发商和服务提供商之间的应用、服务、数据、信息是可整合的。
2.SaaS的关键是建立完善的服务体系
建立完善的服务体系是SaaS专业化服务的关键。如:
⑴服务人员需要相关资质认证
⑵服务商需要评估
⑶第三方监理和监督
这是打造SaaS生态链的必要环节。
四.前景展望
1.信息化理论和实践研究面临机遇
目前,企业对信息化的认识尚未成熟,理论界也存在一些困惑。
信息化对企业经营管理是重要的,通过提高企业的管理水平来提升企业竞争力也是对的。但问题是管理本身也需要成本,规范企业管理所引发的管理成本,企业是否能承受,是否值
得。因为广大的中小企业还面临生存问题。
因此,结合中国国情,将管理思想和计算机技术有机的结合,探寻企业信息化有效的解决方法大有可为。
SaaS的宗旨是服务,站在企业角度,如何打好信息化基础,如何在企业适当的阶段使用适合的软件来改善企业管理,实事求是地帮助企业;这方面,信息化理论和实践研究都面临挑战。
理论上,信息化本身管理方法和信息处理方法还需完善;实践上,软件商要创新,要练好内功。
信息化本身的问题解决了,管理信息化的方法明确了,才能指导SaaS服务及培训体系确实建立起来。
2.工业化与信息化融合大势所趋
资本的时代已经过去,创意的时代已经来临,创意将成为新的经济增长点。
信息时代充满着创意,但创意生成的新技术或方法必须和实际接轨才可以转化为生产力;
创意需要环境保障,既需要机制来形成氛围,使创意源源不断按市场经济规律发挥作用。信息化过程就是创意的过程。
工业化发展需要借力信息化,工业化是信息化的前提和基础,两者的结合大势所趋。以主导型企业的经销网络拉动整个产业基地内企业之间的协同生产,用电子商务手段构建供应链商务关系,提升产业集群竞争力,让区域经济踏上新型工业化发展道路,这将是工业化与信息化融合的有效途径。
探索中国信息化的未来之路,规模化、专业化将成为趋势,而自主创新和不断探索是信息化的发展之路,SaaS在未来拥有更多机会,“有容乃大”,谁的心胸更开放,谁才有可能会成功。
3.传统管理软件与SaaS模式会长期共存,互为依托,共同发展
SaaS模式适用于中小企业还是大企业没有定性,主要取决于用户的消费观念。
SaaS提供的主要是通用的功能软件,对于那些特殊的功能要求,通过付费定制仍然有较大盈利空间。
传统管理软件与SaaS模式会长期共存,互为依托,共同发展。
传统管理软件(ERP)所遭遇的问题不能归罪于商业模式,应归罪于落后的生产方式; ERP普遍存在的问题是客户对ERP实施的效果不满意;即客户的个性化要求没有达到造成的。
传统管理软件(ERP)生产方式的创新,生产成本的降低,生产效率的提高,有效地解决客户的个性化问题,定制软件开发市场将会有新的气象。
未来的ERP将更加关注用户个性化和协同互动,ERP系统将从单纯的企业信息资源平台演变为社区企业电子商务平台。
4.SaaS服务及培训体系研究是新的热点
建立网络化服务模式与传统服务模式互补的新型信息化服务及培训体系;
建立技术导航、网络模拟、远程培训等服务平台;
面向产业链的中小企业信息化应用服务,为企业信息化集成技术应用与示范提供共性技术服务与技术支撑。
形成行业服务规范,使每个行业服务机构集群能满足重点行业大部分企业的服务需求。SaaS服务及培训体系研究将成为新的热点。
5.职业教育是新的盈利点
SaaS的成败在于服务,其中,主要因素是人,需要大量懂管理又懂应用的人,这些人
应该是经过职业训练的专业人士。
职业教育本身就是盈利模式,人才“自产自用”,一来保障SaaS服务的专业化,二来通过教育促进SaaS服务体系不断完善,三来能缓解就业市场的压力。真是好处多多。
6.SaaS评估和认证也是SaaS生态链的重要环节
第三篇:数据安全方案
数据安全方案
1、双机热备
2、磁带(库)、虚拟带库备份
3、数据双活
4、异地备份
5、两地三中心
一、双机热备方案
双机热备针对的是服务器的临时故障所做的一种备份技术,通过双机热备,来避免长时间的服务中断,保证系统长期、可靠的服务。
1.集群技术
在了解双机热备之前,我们先了解什么是集群技术。
集群(Cluster)技术是指一组相互独立的计算机,利用高速通信网络组成一个计算机系统,每个群集节点(即集群中的每台计算机)都是运行其自己进程的一个独立服务器。这些进程可以彼此通信,对网络客户机来说就像是形成了一个单一系统,协同起来向用户提供应用程序、系统资源和数据,并以单一系统的模式加以管理。一个客户端(Client)与集群相互作用时,集群像是一个独立的服务器。计算机集群技术的出发点是为了提供更高的可用性、可管理性、可伸缩性的计算机系统。一个集群包含多台拥有共享数据存储空间的服务器,各服务器通过内部局域网相互通信。当一个节点发生故障时,它所运行的应用程序将由其他节点自动接管。其中,只有两个节点的高可用集群又称为双机热备,即使用两台服务器互相备份。当一台服务器出现故障时,可由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续对外提供服务。可见,双机热备是集群技术中最简单的一种。
2.双机热备适用对象
一般邮件服务器(不间断提供应用类的都适用)是要长年累月工作的,且为了工作上需要,其邮件备份工作就绝对少不了。有些企业为了避免服务器故障产生数据丢失等现象,都会采用RAID技术和数据备份技术。但是数据备份只能解决系统出现问题后的恢复;而RAID技术,又只能解决硬盘的问题。我们知道,无论是硬件还是软件问题,都会造成邮件服务的中断,而RAID及数据备份技术恰恰就不能解决避免服务中断的问题。要恢复服务器,再轻微的问题或者强悍的技术支持,服务器都要中断一段时间,对于一些需要随时实时在线的用户而言,丢失邮件就等于丢失金钱,损失可大可小,这类用户是很难忍受服务中断的。因此,就需要通过双机热备,来避免长时间的服务中断,保证系统长期、可靠的服务。
3.实现方案
双机热备有两种实现模式,一种是基于共享的存储设备的方式,另一种是没有共享的存储设备的方式,一般称为纯软件方式。
1)基于共享的存储设备的方式
基于存储共享的双机热备是双机热备的最标准方案。对于这种方式,采用两台服务器(邮件系统同时运行在两台服务器上),使用共享的存储设备磁盘阵列(邮件系统的数据都存放在该磁盘阵列中)。两台服务器可以采用互备、主从、并行等不同的方式。在工作过程中,两台服务器将以一个虚拟的IP地址对外提供服务,依工作方式的不同,将服务请求发送给其中一台服务器承担。同时,服务器通过心跳线(目前往往采用建立私有网络的方式)侦测另一台服务器的工作状况。当一台服务器出现故障时,另一台服务器根据心跳侦测的情况做出判断,并进行切换,接管服务。对于用户而言,这一过程是全自动的,在很短时间内完成,从而对业务不会造成影响。由于使用共享的存储设备,因此两台服务器使用的实际上是一样的数据,由双机或集群软件对其进行管理。优点:对于共享方式,数据库放在共享的存储设备上。当一台服务器提供服务时,直接在存储设备上进行读写。而当系统切换后,另一 台服务器也同样读取该存储设备上的数据。它可以在无人值守的情况下提供快速的切换,保证不会有数据丢失现象。缺点:增加了昂贵的存储设备投资,对于有实力的企业,可优先考虑该方式。2)纯软件方式
纯软件的方式,通过镜像软件,将数据可以实时复制到另一台服务器上,这样同样的数据就在两台服务器上各存在一份,如果一台服务器出现故障,可以及时切换到另一台服务器。
优点:
a.避免了磁盘阵列的单点故障:对于双机热备,本身即是防范由于单个设备的故障导致服务中断,但磁盘阵列恰恰又形成了一个新的单点。(比如,服务器的可靠系数是99.9%, 磁盘阵列的可靠系数是99.95%,则纯软双机的可靠系数是1-99.9%x99.9%=99.99%,而基于磁盘阵列的双机热备系统的可靠系数则会是略低于99.95%。
b.节约投资:不需购买昂贵的磁盘阵列。
c.不受距离的限制:两台服务器不需受SCSI电缆的长度限制(光纤通道的磁盘阵列也不受距离限制,但投资会大得多)。这样,可以更灵活地部署服务器,包括通过物理位置的距离来提高安全性。
缺点:
a.可靠性相对较差,两服务器间的数据实时复制是一个比较脆弱的环节。
b.一旦某台服务器出现中断,恢复后还要进行比较复杂的数据同步恢复。并且,这个时段系统处于无保护状态。
c.没有事务机制,由于其复制是在文件和磁盘层进行的,复制是否成功不会影响数据库事务操作,因此有出现数据不完整变化的情况,这个存在着相当的风险。4.配置
硬件:两台相同配置的服务器,具体的要求大家可以根据各自的实际需要来选择。
磁盘阵列,适用于采用共享的方式搭建双机热备系统。集群软件:
搭建双机热备当然少不了集群软件。在这里推荐集群软件RoseHA,这个软件包括心跳监测部分和资源接管部分,心跳监测可以通过网络链路和串口进行,而且支持冗余链路,它们之间相互发送报文来告诉对方自己当前的状态,如果在指定的时间内未收到对方发送的报文,那么就认为对方失效,这时需启动资源接管模块来接管运行在对方主机上的资源或者服务。另外在采用共享方式搭建的双机热备系统时,可以采用微软SERVER系统企业版及以上版本自带功能实现。
二、磁带(库)、虚拟带库备份
用户信息化最重要的是客户数据,任何系统都不会有100%安全性,所以用户需要做数据备份,以便信息系统出故障时,可以把数据还原出来,给用户把损失降到最低。客户备份系统应由备份服务器、存储介质及专业备份软件构成,备份对象为公司内部数据库(Oracle、SQL Server)、办公自动化数据、内部WEB文件及其他重要文件。
1、备份系统系列设计原则 A、安全性原则:
在设计上完全保证系统的安全性和高可用性。在实施的过程中,能在线安装和部署,避免对现有的生产系统的影响。同时,存储管理软件安全性能应在数据的传输,全寿命周期管理和应用存储系统管理员和操作员各个层次得到体现,满足用户的安全机制。B、备份的开放性原则:
采取Legato备份软件采用开放磁带格式(OTF),因此备份磁带格式与平台无关,能保证磁带内容在异构服务器上可识别,在更换备份服务器时,保证仍能读出数据。
C、备份的高可用性原则:
为了配合未来应用系统(Oracle数据库)的高可用集群,Legato软件领先、成熟的集群备份支持,可保证当服务器集群发生切换时,备份任务可不中断进行。D、可扩展性原则:
Legato软件的备份功能,可无缝面向未来扩展。目前的备份方案为备份到磁带,Legato备份软件可支持先进的备份到磁盘技术,并且在恢复时,可以同时从磁盘或者磁带进行系统恢复。存储管理软件需采用先进技术,以利于整个系统的平滑升级。同时,必须考虑到今后存储环境的变化和灾难恢复系统建立的需要。
E、可管理性与系统高效原则:
为保证数据存储的可管理性,减少管理的复杂性。采用先进的备份技术和先进的备份系统软件,采用统一的管理机制,保证大数据量的一致性备份和高速切换。提供高效的存储设备的管理能力和数据自动备份功能。F、系统完整性原则:
作为数据存储系统的组成部分,本系统的各项设计从整体考虑,协调各子系统构成完整的数据存储管理系统。G、系统成熟性原则:
存储管理软件必须稳定可靠,不能存在单点故障。H、投资有效原则:
系统方案应具有高性能价格比,具有较高实用性。
2、存储备份系统连接示意图
存储备份连接示意图
3、存储备份工作原理说明
如图所示,该方案设计的基本思想是采用LAN备份的结构,满足大容量、高可靠、高可扩展的存储要求。磁盘阵列为原有设备,备份系统采用先进的Legato Networker备份管理软件,对局域网的应用服务器通过LAN实现LAN备份。通过Networker的管理,存储在磁盘阵列中的数据和每台应用服务器硬盘中的数据可以定时、分组的备份到虚拟磁带库中,为数据保留一个副本,确保数据的安全、可靠。A、EMC Legato/Networker备份管理软件
本地备份系统的核心是NetWorker Server Network Edition for Windows 主备份模块,它安装在性能高、工作稳定的备份服务器上,它对整个备份系统进行监控和管理。对系统中的所有服务器,我们都安装一个备份的客户端。LAN网络的服务器我们采用LAN的备份方式备份到虚拟磁带库中。对Oracle数据库的在线备份可通过相应的NetWorker Module for Oracle, Windows Client数据库在线备份模块在线完成。对SQL数据库的在线备份可通过相应的NetWorker Module for SQL, Windows Client 数据库在线备份模块在线完成。如果未来有新的数据库服务器增加,只需要添加相应的模块即可。对Cluster的双机,Legato Networker看到的是一个虚拟主机,所以在备份的时候,无论两台Cluster主机是否均正常工作,都不影响备份进程。我们需要安装数据库在线备份模块,对Oracle数据库应用实现在线备份;对重要的数据库服务器我们安装Open File Manager模块,他能够在文件打开之前为数据保留一个时间点状态,这样就不会因为文件被打开而影响备份。Legato Networker备份软件写入卷中的数据格式为Open Tape格式,与备份服务器的操作系统类型无关,当我们更换备份服务器的操作系统时,同样可以从原操作系统备份的数据卷中恢复数据。因此备份磁带格式与平台无关,能保证磁带内容在异构服务器上可识别,在更换备份服务器时,保证仍能读出数据;上述方案为我们提供的数据备份基本方案,设计的目的是采用业界最先进的备份技术完成对系统数据在线、快速、有效的磁带备份保护。同时本方案还是系统扩充的基础,可以无缝的向EMC Legato/Networker在未来提供的备份技术和备份产品进行升级。
B、SureSave虚拟磁带库
采用SureSave虚拟磁带库作为备份设备,充分利用备份软件的简单管理性,虚拟磁带库大容量快速备份等先进的特性。为满足备份性能和备份设备可靠性要求,我们推荐使用SureSave虚拟磁带库作为备份设备,用以将磁盘阵列上的数据快速备份到虚拟磁带库中。SureSave虚拟磁带库特点: ◆ 可模拟多个包含机械手、磁带槽和磁带驱动器的标准磁带库设备; ◆ 可模拟多个独立的磁带机(LTO等);
◆ 模拟磁带库个数、磁带槽个数和磁带机个数可任意设定; ◆ 虚拟磁带容量可任意设定; ◆ 支持虚拟磁带的条码标识; ◆ 支持虚拟磁带归档功能;
◆ 冗余电源、风扇和具有RAID保护的存储系统; ◆ 支持SCSI和FC主机和存储接口; ◆ 支持备份数据的自动化分级式归档; ◆ 中文界面
备份系统可实现全备份、增量备份;分组备份、介质分组使用、介质自动轮回使用等多种备份策略;支持设备故障自动报警。
4、采用备份到虚拟磁带库与备份到传统磁带库的比较
虚拟磁带库作为传统磁带库的一个有益的补充方案,在某些应用环境有比磁带库更好的特性,但在超大容量存储和设备本身的价格上,磁带库依然具有不可替代的优势。国际权威部门预测,随着技术和产品的不断完善,虚拟磁带库将逐渐占据数据备份存储的应用领域,而磁带库将逐渐转向数据归档存储市场。
三、数据双活
一、总体架构图
目前大多数单位存储都是使用单一存储,其实,作为数据存储的媒介,很重要,但是却形成了单点故障,为了进一步保障应用的高可用性,提高生产的安全级别,用户应对存储系统进行虚拟化整合,并搭建双活存储系统,保证关键业务所使用的存储系统即使有一台存储系统出现故障,也不会出现业务停顿,达到更高的生产安全保障。改造后的示意图如下:
如上图所示,在生产中心的SAN网络中配置一套存储虚拟化设备——EMC VPlex,将目前的存储系统接入VPlex,所有应用系统只需要访问VPlex上的卷即可,接入VPlex上的存储可以做到镜像关系(即双活)或级联关系。建议对重要应用的数据存储在镜像的两台存储系统上。通过全新的备份软件Networker和备份存储Datadomain对生产数据进行本地及远程备份和恢复。整个方案的组成部分为:
A.光纤交换网络:由两台速度为8Gbps的光纤交换机组成光纤交换网络,为所有系统提供基于光纤协议的访问;两台光纤交换机之间互为冗余,为系统的网络提供最大的可靠性保护。用户可自行建设冗余SAN网络。B.主存储系统:配置两台及以上存储系统,通过虚拟化存储进行本地数据保护,对外提供统一的访问接口;重要应用系统的数据都保存在后端多台存储系统上;
C.存储虚拟化:以EMC VPlex Local作为存储虚拟化;应用系统只需要访问虚拟化存储,而不需要直接管理后端的具体的存储系统;通过存储虚拟化,可以达到两台存储之间双活,对数据进行跨存储的本地及远程保护,统一管理接口和访问接口;
D.利旧存储:EMC VPlex Local挂接存储,对存储的品牌、配置、性能没有太多限制(注:挂接到vPlex后端的其他存储品牌需要在vPlex的兼容列表内。)从而充分利用已有投资,减少投资浪费。
二、项目建设规划
通过EMC VPlex对存储进行虚拟化,逻辑示意图如下图所示: 存储系统 A存储系统 B存储系统 C存储系统 D生产卷1生产卷2生产卷2生产卷3生产卷1扩展卷3光纤交换网络虚拟存储VPLEXLocal虚拟卷光纤交换网络应用系统服务器数据库服务器内部网
1.本地存储双活
应用系统通过虚拟化存储VPlex访问后端的存储系统,VPlex在提供虚拟化的存储访问的同时,还可以对数据进行本地保护。
如下图所示,VPlex通过镜像虚拟卷提供给应用系统访问,而在后端,VPlex镜像虚拟卷将数据写入两台独立的存储系统中,来达到数据本地保护的目的。
VPlex提供的本地数据高可用性保护,可以保证在存储系统、VPlex系统自身出现故障时,应用还可以正常使用,且不会导致数据丢失。
当存储系统A/B其中一台出现故障时,由于通过VPlex的镜像功能,存储系统A/B之间是RAID 1关系,应用系统可以正常运行,不需要停机; 当VPlex系统自身出现故障时,由于在Vplex中的设置,VPlex不会修改存储系统LUN的配置信息,即,用户可以将存储系统A或B的LUN直接挂到应用系统,保证应用系统的继续运行,不会产生数据丢失。
2.存储系统利旧
VPlex在提供虚拟化的存储访问的同时,还可以方便地对存储容量进行扩展。当一台存储系统出现空间不足的情况时,可以通过VPlex的虚拟卷,将多台存储系统的空间组成一个卷给应用使用。通过这种级联方式,应用系统直接访问VPlex的虚拟卷,而VPlex后端接入的存储系统只是作为VPlex虚拟卷的存储资源池使用,达到资源的更合理分配和优化。
3.数据迁移
在整个项目过程中,EMC将负责整个系统的搭建及相应的数据迁移,保证应用系统的正常过度。其中,数据迁移服务包括以下内容:
将重要应用的数据迁移到性能最优的存储系统上,通过VPlex的镜像功能,与其他存储做成双活存储;
将VPlex不兼容的存储系统上的数据,通过第三方数据迁移工具迁移到VPlex存储资源池中;
整个双活系统做好,解决了最关键的数据存储的单点故障问题。
四、异地备份
一、方案背景
集团公司或政府分支机构数据结构复杂、分散,具备集中备份、容灾等需求。
受地震、水灾、火灾、盗窃等事故都可能造成企事业单位的数据丢失。将数据备份到本地,其安全性是远远不够的。据统计“911”事件很多公司因彻底丢失数据导致而倒闭。台风“桑美”导致浙江,福建和上海数千台计算机迚水,很多硬盘丢失数据。
企事业单位的信息化程度越高,数据类型越繁杂,数据量也越庞大。尤其是有多个分公司的集团公司、多分支的政府机构。日常业务数据、办公文档都保存在个人电脑上,分支机构还有不同业务的服务器,这些数据的重要性不言而喻。
而将这些数据集中备份到企事业单位的数据中心不管从容灾考虑上还是从数据集中管理上都是目前企事业单位信息化规划的重点项目之一。
在有限预算下,数据备份到异地的容灾解决方案将是当前企事业单位的首要规划之一。
二、方案分析
桌面备份软件纯粹为数据的保护管理而设计,可跨区域异地备份和管理桌面、服务器等终端数据;可通过异地恢复数据解决受地震、水灾、火灾、盗窃等事故造成数据丢失的问题。1.架构分析
如下图,由集团公司或机构总部的数据中心搭建一台或多台备份服务器,分公司或分支机构通过专线或VPN链路连接到备份服务器,将重要数据集中备份到数据中心。
通过备份软件的定时备份可以将备份时间设定为凌晨以后,可降低因数据传输对其他业务数据交换的影响。备份时建议通过备份软件将重要数据自动压缩后备份到备份服务器,提高数据传输效率。2.部署产品
将用于备份的独立服务器接入机房主干交换机上,配置内网静态IP并安装备份软件备份服务端,安装成功后将自动生成静默安装的备份客户端,无需配置。
服务端可以通过Web平台管理和配置,方便进程管理。为提高数据备份性能,建议服务器配置不要太低。
在分支机构需要备份数据的桌面终端访问Web管理平台客户端安装向导页面,下载备份客户端并安装。即可通过服务端配置的数据备份制定计划任务备份复制桌面终端数据。
终端桌面过多的分支机构建议为该分支机构建立独立的备份服务器,本地备份后再通过备份服务器采用夜间网络空闲时二次备份到集团公司的备份服务器。
需要通过VPN链路方式异地备份需要为备份服务器设置VPN拨号并为其配置固定的VPN内部IP地址,用于通过VPN方式的异地备份。
三、方案效果
终端用户:
无需手工提交数据到集团公司或上层机构,完全自动静默处理,提高业务效率。
管理员: 不再奔波网络拥堵和挽救数据等繁琐工作,更多时间用于维护信息中心业务数据。
用户单位:
轻松做到数据可备,数据可查,数据可统一管理规划。
如下图,分公司将重要数据备份到集团公司数据中心,当分公司遇到突发火灾事故机房所有数据丢失。机房重建后通过集团公司数据中心恢复数据到分公司,分公司即刻可以开展原有业务,可将损失降低到最小化。
五、两地三中心
结合近年国内出现的大范围自然灾害,以同城双中心加异地灾备中心的“两地三中心”的灾备模式也随之出现,这一方案兼具高可用性和灾难备份的能力。
同城双中心是指在同城或邻近城市建立两个可独立承担关键系统运行的数据中心,双中心具备基本等同的业务处理能力并通过高速链路实时同步数据,日常情况下可同时分担业务及管理系统的运行,并可切换运行;灾难情况下可在基本不丢失数据的情况下进行灾备应急切换,保持业务连续运行。与异地灾备模式相比较,同城双中心具有投资成本低、建设速度快、运维管理相对简单、可靠性更高等优点。
异地灾备中心是指在异地的城市建立一个备份的灾备中心,用于双中心的数据备份,当双中心出现自然灾害等原因而发生故障时,异地灾备中心可以用备份数据进行业务的恢复。
针对两地三中心灾备建设的需求,我公司利用灾备软件的优势结合存储虚拟化的优势,设计了典型的建设方案,方案原理和组网如图所示。
如图,同城双中心的应用切换,采用灾备软件中的集群软件来实现,生产中心主机和灾备中心主机上都需要安装相应监测软件。监测本地双机或集群状态,并通过监测软件在本地和远程的集群之间进行状态监测。
在网络层,同城双中心之间采用光纤连接,保证双中心之间较大的带宽,以响应实时的业务数据需求,同城异地之间采用专网或IP广域网即可实现,以节约成本。同城双中心的光纤采用波分复用(WDM)技术进行建设,针对两地只有1条或2条光纤连接的场景,采用WDM方式,能够虚拟出多条FC或GE联络,满足两地之间对业务和数据多重链路的需求。WDM技术能充分利用光纤的巨大带宽资源,大幅度提高系统传输容量,降低传输成本,因此在长途和骨干网的超大容量传输中得到了广泛的应用。将WDM技术引入城域网、接入网,整个网络就会变成无缝连接的整体,为所有不同的业务提供支持和连接,因此城域网中WDM具有很大优越性。在数据存储层,部署存储虚拟化网关,充分利用用户现有存储,通过存储的同步远程复制功能将数据同步复制到灾备站点。确保生产中心和灾备中心的数据完全一致。使用存储的异步复制功能,将数据通过广域网复制到远端的灾备站点,并且保证数据的完整性和可用性。远端站点的作用主要是用来防止地理和自然灾难,当同城的双中心全部故障后,可以确保在异地有一份完整的数据拷贝,用于后续业务的恢复。
下面介绍方案具体的数据备份及业务流程:
数据备份
同城双中心的数据采用同步复制,在同城灾备中心建立一个在线更新的数据副本。当有数据下发到生产中心阵列时,阵列间的同步复制都会同时将数据复制一份到同城灾备中心。
同城灾备中心与异地灾备中心之间采用异步复制方式,定期将数据进行复制备份,异步复制支持增量复制方式,可以节省数据备份的带宽占用,缩短数据的备份时间。
灾难检测
主机上通过对资源组状态的监控来判断资源的可用性,包括数据库资源组、网络资源组等。资源组的状态分online/offline/fault三种,正常情况下生产中心在工作的时候资源组的状态都是online,而灾备中心的资源组是offline状态。每个资源组在online和offline的时候均可以指定运行程序或脚本,程序或脚本执行完成后资源组即完成online或offline的过程。当检测到生产中心有资源组出现fault状态时,同城内生产中心同灾备中心将进行切换,以保证业务的连续性。
容灾切换
基于应用容灾切换包括一系列的动作:停止灾难节点的部件服务、切断数据复制链路、建立数据容灾基线、启动容灾节点的部件服务、通知前端设备进行业务网络切换。具体动作可以结合实际情况,通过脚本来定制。
恢复回切
回切工作流程和切换流程原理是一样的,只是因为切换的时候是不确定触发的、可能导致业务受部分影响;而回切的时候通过人工确认,选择最小影响的情况下执行操作(比如业务流量非常小的情况下,甚至暂停业务情况下),因此回切推荐采用的是手动切换模式。
应用级容灾采用的是自动切换还是手动切换,用户可以在部署时通过修改主机集群软件的切换配置实现。
同城范围有效保证了数据的安全性和业务连续性; 异地复制数据根据灾难情形,尽可能降低数据丢失机率; 同城双中心为同步复制,数据实时同步,RPO=0;
异地无距离限制,保证数据一致性,保证了数据的有效保护; 异地容灾带宽要求低,先进的复制机制提高带宽利用率。
第四篇:数据安全保密制度
医院数据安全管理制度
为加强医院信息系统数据管理,防止数据尤其是敏感数据泄漏、外借、转移或丢失,特制定本制度。
1.医院信息系统相关数据安全工作由信息中心数据库管理员(DBA)负责,DBA必须采取有效的方法和技术,防止网络系统数据或信息的丢失、破坏或失密。2.根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。严格遵守业务数据的更改查询审批制度,未经批准不得随意更改、查询业务数据。3.医院信息系统管理维护人员应按照DBA分配的用户名独立登录数据库,应熟悉并严格监督数据库使用权限、用户密码使用情况,定期更换用户口令密码。不得采用任何其他用户名未经批准进行相关数据库操作。对DBA分配给自己的用户名和密码负有保管责任,不得泄漏给任何第三方。
4.利用医院信息系统用户管理模块或其他技术手段对系统用户访问权限进行管理,用户的访问权限由系统负责人提出,经本部门领导和信息中心主任核准。用户权限的分配由信息中心专人负责。
5.计算机工程技术人员要主动对网络系统实行查询、监控,及时对故障进行有效的隔离、排除和恢复,对数据库及时进行维护和管理。设立数据库审计设备,所有针对数据库的增加、删除、修改和查询动作均应记录,数据记录保留3个月。数据库审计设备记录的查询由纪检部分负责。
6.所有上网操作人员必须严格遵守计算机以及其他相关设备的操作规程,禁止其他人员进行与系统操作无关的工作。外来维护人员进行服务器的维修、维护操作,信息中心相应人员应全程陪同。
7.计算机工程技术人员有权监督和制止一切违反安全管理的行为。
8.开发维护人员与操作人员必须实行岗位分离,开发环境和现场必须与生产环境和现场隔离。开发环境的业务数据除留部分供测试用,由DBA负责删除。9.屏蔽掉核心机房所有设备的远程控制功能,所有操作必须进入操作间指定电脑方能操作。机房内24四小时录像监控,保留1月内的进入机房的日志。10.信息中心维护人员需要签订“数据保密协议”,严禁向无关人员非法提供医院相关数据。违反者给予相应处分。
第五篇:数据安全复习
信息系统:计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
信息安全:保护信息系统的硬件、软件及相关数据,使之不因为偶然或恶意侵犯而遭到破坏、更改及泄露,保证信息系统能够连续、可靠、正常的运行。
信息安全管理体系(Information Security Management System,ISMS)是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
信息安全风险评估:从风险管理角度,运用定性、定量的科学分析方法和手段,系统地分析信息和信息系统等资产所面临的、人为的和自然的威胁,以及威胁事件一旦发生可能遭受的危害程度,有针对性地提出抵御威胁的安全等级防护对策和整改措施,从而最大限度地减少经济损失和负面影响。
风险评估的意义
风险评估是了解信息系统安全风险的重要手段。风险评估的最终目的是指导信息系统的安全建设,安全建设的实质是控制信息安全风险。风险评估结果是后续安全建设的依据。
信息安全管理与风险评估的关系
信息安全风险评估是信息安全风险管理的一个阶段。信息安全风
险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动。风险评估使得组织能够准确定位风险管理的策略、实践和工具,能够将信息安全活动的重点放在重要的问题上,能够选择成本效益合理的和适用的安全对策。基于风险评估的风险管理方法被实践证明是有效的和实用的,己被广泛应用于各个领域。因此,风险评估是信息安全管理体系和信息安全风险管理的基础,是对现有网络的安全性进行分析的第一手资料,也是网络安全领域内最重要的内容之一,它为实施风险管理和风险控制提供了直接的依据。
建立信息安全管理体系6个基本步骤:(1)信息安全管理体系的策划与准备;(2)信息安全管理体系文件的编制;(3)建立信息安全管理框架;(4)信息安全管理体系的运行;(5)信息安全管理体系的审核;(6)信息安全管理体系的管理评审。
信息安全风险评估依据 1.政策法规 2.国际标准 3.国家标准 4.行业标准
信息安全风险评估原则
1.可控性原则 2.完整性原则 3.最小影响原则 4.保密原则 资产识别工作内容 1.回顾评估范围内的业务 2.识别信息资产,进行合理分类 3.确定每类信息资产的安全需求 4.为每类信息资产的重要性赋值
威胁识别工作内容 1.威胁识别 2.威胁分类 3.威胁赋值 4.构建威胁场景 脆弱性识别原则
(1)全面考虑和突出重点相结合的原则(2)局部与整体相结合的原则(3)层次化原则
(4)手工与自动化工具相结合的原则 风险处理计划控制措施选择 1.接受风险
2.避免风险 3.转移风险 4.降低风险 5.处置残留风险
建立信息安全管理体系的步骤
(1)信息安全管理体系的策划与准备;(2)信息安全管理体系文件的编制;(3)建立信息安全管理框架;(4)信息安全管理体系的运行;(5)信息安全管理体系的审核;(6)信息安全管理体系的管理评审。
编写信息安全管理体系文件的作用
阐述声明的作用; 规定、指导的作用; 记录、证实的作用;
评价信息安全管理体系的作用; 保障信息安全改进的作用; 平衡培训要求的作用。定义ISMS的范围
组织所有的信息系统; 组织的部分信息系统;
特定的信息系统。实施信息安全风险评估
首先,组织应当确定的风险评估方法; 其次,组织利用已确定的风险评估方法识别风险; 之后,组织进行分析并评价风险。信息安全风险管理主要包括以下几种措施:
接受风险 规避风险 转移风险 降低风险
TCSEC:可信计算机系统评估标准(Trusted Computer System Evaluation Criteria, TCSEC),将安全分为4个方面(安全政策、可说明性、安全保障和文档)和7个安全级别(从低到高依次为D、C1、C2、B1、B2、B3和A级)。
IT治理是组织根据自身文化和信息化水平构建适合组织发展的架构并实施的一种管理过程,是平衡IT资源和组织利益相关者之间IT决策权力归属与责任分配的一种管理模式,旨在规避IT风险和增加IT收益,实现IT目标与组织业务目标的融合。
2.PRINCE2,结构化的项目管理方法,其过程模型由8个管理过程组成。
3.ITIL:信息技术基础架构库(Information Technology
Infrastructure Library, ITIL)由英国政府部门CCTA(Central Computing and Telecommunications Agency)在20世纪80年代末制订,现由英国商务部OGC(Office of Government Commerce)负责管理,主要适用于IT服务管理(ITSM)。
4.COBIT模型:COBIT(Control Objectives for Information and related Technology)是目前国际上通用的信息系统审计的标准,由ISACA(The Information System Audit and Control Association,美国信息系统审计与控制协会)在1996年公布。
2012年4月,ISACA官方正式发布COBIT5.0。COBIT5.0提出了能使组织在一套包含7个驱动因素整体方法下、建立有效治理和管理框架的5个原则,以优化信息和技术的投资及使用以满足相关者的利益。
标准间的相互关系: COBIT、ITIL、ISO/IEC 27001和PRINCE2在管理IT上各有优势,如COBIT重点在于IT控制和IT度量评价;
ITIL重点在于IT过程管理,强调IT支持和IT交付:ISO/IEC 27001重点在于IT安全控制;
PRINCE2重点在于项目管理,强调项目的可控性,明确项目管理中人员角色的具体职责,同时实现项目管理质量的不断改进。
规划阶段的信息安全风险评估
评估着重以下几方面:
(1)是否依据相关规则,建立了与业务战略一致的信息系统安全规划,并得到最高管理者的认可;
(2)系统规划中是否明确信息系统开发的组织、业务变更的管理、开发优先级;
(3)系统规划中是否考虑信息系统的威胁、环境,并制定总体的安全方针;
(4)系统规划中是否描述信息系统预期使用的信息,包括预期的应用、信息资产的重要性、潜在的价值、可能的使用限制、对业务的支持程度等;
(5)系统规划中是否描述所有与信息系统安全相关的运行环境,包括物理和人员的安全配置,以及明确相关的法规、组织安全政策、专门技术和知识等。
实施阶段的信息安全风险评估
开发、技术、产品获取过程的评估要点包括:
(1)法律、政策、适用标准和指导方针。直接或间接影响信息系统安全需求的特定法津;影响信息系统安全需求、产品选择的政府政策、国际或国家标准;
(2)信息系统的功能需要:安全需求是否有效地支持系统的功能;
(3)成本效益风险:是否根据信息系统的资产、威胁和脆弱性的分析结果,确定在符合相关法律、政策、标准和功能需要的前提下
选择最合适的安全措施;
(4)评估保证级别,是否明确系统建设后应进行怎样的测试和检查,从而确定是否满足项目建设、实施规范的要求。
系统交付实施过程的评估要点包括:
(1)根据实际建设的系统,详细分析资产、面临的威胁和脆弱性;
(2)根据系统建设目标和安全需求,对系统的安全功能进行验收测试;评价安全措施能否抵御安全威胁;
(3)评估是否建立了与整体安全策略一致的组织管理制度;(4)对系统实现的风险控制效果与预期设计的符合性进行判断,如存在较大的不符合,应重新进行信息系统安全策略的设计与调整。
运维阶段的信息安全风险评估
(1)资产评估:在真实环境下较为细致的评估,包括实施阶段采购的软硬件资产、系统运行过程中生成的信息资产、相关的人员与服务等。本阶段资产识别是前期资产识别的补充与增加;
(2)威胁评估:应全面地分析威胁的可能性和影响程度。对非故意威胁导致安全事件的评估可以参照安全事件的发生概率;对故意威胁导致安全事件的评估主要就威胁的各个影响因素做出专业判断;
(3)脆弱性评估:是全面的脆弱性评估,包括运行环境中物理、网络、系统、应用、安全保障设备、管理等各方面的脆弱性。技术脆
弱性评估可以采取核查、扫描、案例验证、渗透测试的方式实施;安全保障设备的脆弱性评估,应考虑安全功能的实现情况和安全保障设备本身的脆弱性。技术脆弱性评估可以采取核查、扫描、案例验证、渗透性试的方式实施;安全保障设备的脆弱性评估,应考虑安全功能的实现情况和安全保障设备本身的脆弱性;管理脆弱性评估可以采取文档、记录核查等方式进行验证;
(4)风险计算:根据风险计算的相关方法,对重要资产的风险进行定性或定量的风险分析,描述不同资产的风险高低状况。
信息安全策略(Information Security Policy)本质上说是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划,其目的就是对组织中成员阐明如何使用组织中的信息系统资源,如何处理敏感信息,如何采用安全技术产品,用户在使用信息时应当承担的责任,详细描述对员工的安全意识和技能要求,列出被组织禁止的行为。
信息安全策略可以分为两个层次:一个是信息安全方针,另一个是具体的信息安全策略。
所谓信息安全方针就是组织的信息安全委员会或管理部门制定的一个高层文件,用于指导组织如何对资产,包括敏感性信息进行管理、保护和分配的规则进行指示。信息安全方针必须要在ISMS实施的前期制定出来,阐明最高管理层的承诺,提出组织管理信息安全的方法,由管理层批准,指导ISMS 的所有实施工作。信息安全策略是在信息安全方针的基础上,根据风险评估的结果,为降低信息安全风险,保证控制措施的有效执行而制定的具体明确的信息安全实施规则。
信息安全事件是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态。通常情况下,信息安全事件的发生是由于自然的、人为的或者软硬件自身存在缺陷或故障造成的。
信息安全事故由单个或一系列有害或意外信息安全事件组成,它们具有损害业务运作和威胁信息安全的极大可能性。
1.管理评审的定义
指组织的最高管理者按规定的时间间隔对信息安全管理体系进行评审,以确保体系的持续适宜性、充分性和有效性。管理评审过程应确保收集到必要的信息,以供管理者进行评价,管理评审应形成文件。
信息安全管理认证是第三方依据程序对产品、过程、服务符合规定的要求给予书面保证(合格证书),认证的基础是标准,认证的方法包括对产品特性的抽样检验和对组织体系的审核与评定,认证的证明方式是认证证书与认证标志。认证是第三方所从事的活动,通过认证活动,组织可以对外提供某种信任与保证,如产品质量保证、信息安全保证等。
信息安全认证包括两类:一类为ISMS认证,另一类为信息安全产品认证。
4、如果某个网站允许用户上传任意类型的文件,黑客最可能进行的攻击是(C)A、拒绝服务攻击 B、口令破解 C、文件上传漏洞攻击 D、SQL注入攻击
某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于不可接受的内附范围内,应考虑是否接受此风险或进一步增加相应的安全措施。(正确)
网络监听不是主动攻击类型。(正确)
关于Linux操作系统,下面说法正确的是(D)? A.有特定的厂商对系统进行维护 B.是世界上占市场份额最大的操作系统 C.系统的安装和使用比Windows系统简单 D.完全开源的,可以根据具体要求对系统进行修改
目前国内对信息安全人员的资格认证为(C)。A.国际注册信息安全专家(简称CISSP)
B.国际注册信息系统审计师(简称CISA)C.注册信息安全专业人员(简称CISP)D.以上资格都是
我国第一部保护计算机信息系统安全的专门法规是(D)A、《计算机信息网络国际联网管理暂行规定》 B、《中华人民共和国信息安全法》 C、《中华人民共和国电信条例》
D、《中华人民共和国计算机信息系统安全保护条例》
40、对秘密级、机密级信息系统每几年至少进行一次保密检查或者系统测评?(B)A、一 B、二 C、三D、四
以下不属于信息安全管理员的职责的是(A)A、制定网络设备安全配置规则 B、对信息安全产品的购置提出建议 C、对系统管理员的操作行为进行指导和监督 D、负责信息安全保障工作的具体组织协调
60、根据国家标准《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986-2007),对信息安全事件进行分级需考虑的主要因素
中,说法不正确的是(D)A、信息系统自身的重要程度
B、对信息系统及数据遭破坏而导致损失的程度 C、该事件对社会造成影响的范围和程度 D、建造和运维该信息系统的经费数额
《中华人民共和国电子签名法》是我国首部真正意义上的信息网络环境下的单行法律。(√)
对于涉密信息系统实行分级保护,确定涉密信息系统安全等级,主要考虑的因素包括涉密信息的涉密等级、涉密信息系统的重要性、到破坏后对国计民生造成的危害性和涉密信息系统必须达到的安全保护水平。(√)
数据信息是信息系统的重要资产。(√)信息安全产品是信息系统的重要组成部分。(√)人员管理是信息安全工作的核心内容。(√)
信息安全防护是一个“过程”,而非一个“程序”。(√)电子签名的主要目的是防抵赖、防止否认,一边给仲裁机构提供证据。(√)
通过网络扫描可以判断目标主机的操作系统类型。(√)
口令破解攻击包括(字典破解(Dictionary attack)、混合字典攻击(Hybrid attack)、暴力破解(Brute force attack)。
木马是一种基于远程控制的黑客工具,具有隐藏性和授权性的特点。
RSA算法的安全是基于分解两个大素数的积的困难。P2DR的含义是:策略、保护、探测、反应。PKI的主要组成包括CA、RA、CR 现代病毒木马融合了进程注入、注册表隐藏、漏洞扫描新技术
溢出攻击的核心是修改堆栈记录中进程的返回地址
网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增加安全设施投资外,还应考虑用户的方便性、管理的复杂性、对现有系统的影响及对不同平台的支持。
从安全属性对各种网络攻击进行分类,阻断攻击是针对可用性的攻击
Smurf攻击。Smurf攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击
点击咨询 