论文部分内容阅读
摘要:在石油企业信息化建设实践中,为了满足油田经济的需要,必须做好数据业务系统的数据集成及数据共享工作,解决油田企业数据信息孤岛问题,实现油田数据的共享。在油田数据中心的构建过程中,推动企业信息化安全建设,数据安全技术管控体系通过技术手段保障油田数据开放过程的安全,数据安全技术管控体系的安全边界可覆盖数据全生命周期各阶段,如:通过VPN隧道保障数据采集传输安全,通过数据库透明加密保障数据存储安全,通过数据脱敏/数据库防火墙/数据库运维审计等手段保障数据处理和交换安全等。在油田数据中心数据的运维管理过程中,云技术及虚拟化技术不断得到应用,油田数据中心运维管理面临着新的发展趋势。
关键词:油田企业;数据中心;运维管理
一、概述
随着数据中心不断发展,其运维管理技术也在不断发展。在实际应用中,数据中心机房的作用是非常重要的,其需要承担很多功能,包括数据存储、业务系统计算以及网络通信等。因此,保证机房基础设备安全、稳定运行是非常重要的,直接影响了业务系统能否稳定、持续运行。随着大数据、物联网和云计算等技术的快速发展和应用,数据中心的计算量、存储量和带宽需求都得到了明显提升。在这样的背景下,数据中心的体量不断增大,机房设备数量不断增加,这加大了数据中心运维管理的难度,并对监控巡视、故障发现和处置等都提出了更高的要求。
二、数据中心运维管理技术分析
安全传输隧道。油田数据从前置机汇聚到中心前置机的过程中,会面临网络窃听和数据篡改的风险,进而导致用户隐私数据泄露。因此,油田数据汇聚传输过程中需要确保数据的完整性、机密性。为此,我们可以在油田网络出口侧和中心数据汇聚区网络入口侧部署专用防火墙设备,并在防火墙设备上开启IPSec VPN传输隧道,从而保障油田数据以加密态从生产侧安全汇聚至油田数据中心数据机房。另外,在专用防火墙上启用IPSec VPN时,支持国密算法,如SM4、SM9等,在国际形势由合作走向对抗的时代,这一点至关重要。
透明加密。油田数据汇聚到油田数据中心后,会统一在数据湖中予以存储,为保障数据存储安全,防范数据脱库等攻击手段,油田数据中心建设了透明加密系统,基于拦截数据库读写请求路径,实现数据写入磁盘时进行透明加密操作,并支持SM4等国密算法。实现在数据文件泄露的极端情况下,攻击人员也无法完成读取具体数据,间接保证了油田数据的存储安全。
数据脱敏。为了防止对油田数据的滥用,防止油田数据在未经脱敏的情况下流出,油田数据中心建设了动态脱敏系统和静态脱敏系统。动态脱敏系统提供“边使用,边脱敏”的实时去标识化能力;静态脱敏系统提供离线的端到端敏感数据擦除能力。两者结合使用,基于丰富有效的脱敏算法,如遮蔽、仿真、随机、假命化、日期偏移、年龄范围泛化,实现敏感数据去标识化的同时保持数据关联
性,不影响正常业务的开展。油田数据中心的数据脱敏系统符合有效性、真实性、高效性、稳定性、可配置性技术原则。
数据库防火墙。针对数据操作人员的高危离群操作防控场景,数据中心可以建设数据库防火墙系统。数据库防火墙系统通过自主学习和人工配置相结合的方式设定用户行为基线。第三方应用通过数据库防火墙系统访问数据库,数据库防火墙系统拦截访问流量、解析SQL语句、拦截高危离群操作并产生告警。
数据库运维审计。针对运维人员执行高权限操作的场景,油田数据中心建设了数据库运维系统。数据库运维系统支持拦截运维操作行为,针对高权限运维操作行为进行阻断。运维人员可以在系统中提交高权限操作申请,数据安全管理办公室进行审批后生成一次性许可码,并将许可码下发给运维人员,运维人员携带许可码即可执行高权限操作。此外,油田数据中心还可以建设数据库审计系统,针对数据库的所有操作都会被审计,方便事后追查定责、离群行为审计、潜在风险分析等。
数据安全运营。为了落实安全管理体制的规范和流程,发挥安全技术管控的监测和防护能力,需要常态化、完善的安全运营手段作支撑,以实现可持续优化的数据安全闭环管理流程,数据安全运营中心支撑集中化、日常化的数据安全运营业务流程,解决“用起来”的问题,提供管理数据资产、敏感数据管理和自动分级分类、数据资产安全评估、资源备案、规范策略管理、基于行为基线的风险事件监测、风险事件处置等能力。数据安全运营中心还支持可视化的运营监管能力,可全面掌握数据安全运营状况,实现“用好”的目标,提供数据资产状况感知、风险分布态势感知、规范策略落实跟踪、安全事件动态监测等能力。
常态化管理。数据资产评估系统支持通过网络扫描或手工填报等方式发现新资产,对资产进行画像,资产管理做到“心中有数”。具备及时发现资产脆弱性的能力,如数据库防火墙可发现数据库弱口令、数据库安全漏洞,在不升级底层数据库的情况下通过虚拟补丁的方式修补漏洞。可有效防范各种数据安全威胁。支持将运维、审计、防火墙等系统发现的安全事件转换为对应的安全策略。保障之后的同类安全事件可被及时拦截。针对性质比较严重的安全事件,油田数据中心制定了应急预案及应急处置机制。综合分析系统中存在的风险和已经发生的安全事件,可给出指导性的策略优化方案,包括脱敏策略、防火墙策略等。整个油田数据中心的数据安全态势可通过“一张图”展示,数据安全的相关风险和事件都会第一时间推送到运营中心,实现早发现、早处置、早优化。
三、结束语
数据中心具有非常重要的作用,做好其運维工作十分重要。智能技术的发展为提高数据中心运维工作提供了新的技术支持。我们可以通过强化油田企业信息化建设,提高数据中心的安全操作效益,充分提高油田企业数据中心工作的安全性,保持其稳定性,充分发挥其作用,提高油田企业数据信息服务的安全性,实现油田企业的合理有效运作。
参考文献
[1]杨宣林. 智慧油气田与智慧云数据中心的安全管理[J]. 信息系统工程,2019(7):75.
[2]杨业. 油田数据中心建设及发展方向探讨[J]. 信息系统工程,2018(9):31.
关键词:油田企业;数据中心;运维管理
一、概述
随着数据中心不断发展,其运维管理技术也在不断发展。在实际应用中,数据中心机房的作用是非常重要的,其需要承担很多功能,包括数据存储、业务系统计算以及网络通信等。因此,保证机房基础设备安全、稳定运行是非常重要的,直接影响了业务系统能否稳定、持续运行。随着大数据、物联网和云计算等技术的快速发展和应用,数据中心的计算量、存储量和带宽需求都得到了明显提升。在这样的背景下,数据中心的体量不断增大,机房设备数量不断增加,这加大了数据中心运维管理的难度,并对监控巡视、故障发现和处置等都提出了更高的要求。
二、数据中心运维管理技术分析
安全传输隧道。油田数据从前置机汇聚到中心前置机的过程中,会面临网络窃听和数据篡改的风险,进而导致用户隐私数据泄露。因此,油田数据汇聚传输过程中需要确保数据的完整性、机密性。为此,我们可以在油田网络出口侧和中心数据汇聚区网络入口侧部署专用防火墙设备,并在防火墙设备上开启IPSec VPN传输隧道,从而保障油田数据以加密态从生产侧安全汇聚至油田数据中心数据机房。另外,在专用防火墙上启用IPSec VPN时,支持国密算法,如SM4、SM9等,在国际形势由合作走向对抗的时代,这一点至关重要。
透明加密。油田数据汇聚到油田数据中心后,会统一在数据湖中予以存储,为保障数据存储安全,防范数据脱库等攻击手段,油田数据中心建设了透明加密系统,基于拦截数据库读写请求路径,实现数据写入磁盘时进行透明加密操作,并支持SM4等国密算法。实现在数据文件泄露的极端情况下,攻击人员也无法完成读取具体数据,间接保证了油田数据的存储安全。
数据脱敏。为了防止对油田数据的滥用,防止油田数据在未经脱敏的情况下流出,油田数据中心建设了动态脱敏系统和静态脱敏系统。动态脱敏系统提供“边使用,边脱敏”的实时去标识化能力;静态脱敏系统提供离线的端到端敏感数据擦除能力。两者结合使用,基于丰富有效的脱敏算法,如遮蔽、仿真、随机、假命化、日期偏移、年龄范围泛化,实现敏感数据去标识化的同时保持数据关联
性,不影响正常业务的开展。油田数据中心的数据脱敏系统符合有效性、真实性、高效性、稳定性、可配置性技术原则。
数据库防火墙。针对数据操作人员的高危离群操作防控场景,数据中心可以建设数据库防火墙系统。数据库防火墙系统通过自主学习和人工配置相结合的方式设定用户行为基线。第三方应用通过数据库防火墙系统访问数据库,数据库防火墙系统拦截访问流量、解析SQL语句、拦截高危离群操作并产生告警。
数据库运维审计。针对运维人员执行高权限操作的场景,油田数据中心建设了数据库运维系统。数据库运维系统支持拦截运维操作行为,针对高权限运维操作行为进行阻断。运维人员可以在系统中提交高权限操作申请,数据安全管理办公室进行审批后生成一次性许可码,并将许可码下发给运维人员,运维人员携带许可码即可执行高权限操作。此外,油田数据中心还可以建设数据库审计系统,针对数据库的所有操作都会被审计,方便事后追查定责、离群行为审计、潜在风险分析等。
数据安全运营。为了落实安全管理体制的规范和流程,发挥安全技术管控的监测和防护能力,需要常态化、完善的安全运营手段作支撑,以实现可持续优化的数据安全闭环管理流程,数据安全运营中心支撑集中化、日常化的数据安全运营业务流程,解决“用起来”的问题,提供管理数据资产、敏感数据管理和自动分级分类、数据资产安全评估、资源备案、规范策略管理、基于行为基线的风险事件监测、风险事件处置等能力。数据安全运营中心还支持可视化的运营监管能力,可全面掌握数据安全运营状况,实现“用好”的目标,提供数据资产状况感知、风险分布态势感知、规范策略落实跟踪、安全事件动态监测等能力。
常态化管理。数据资产评估系统支持通过网络扫描或手工填报等方式发现新资产,对资产进行画像,资产管理做到“心中有数”。具备及时发现资产脆弱性的能力,如数据库防火墙可发现数据库弱口令、数据库安全漏洞,在不升级底层数据库的情况下通过虚拟补丁的方式修补漏洞。可有效防范各种数据安全威胁。支持将运维、审计、防火墙等系统发现的安全事件转换为对应的安全策略。保障之后的同类安全事件可被及时拦截。针对性质比较严重的安全事件,油田数据中心制定了应急预案及应急处置机制。综合分析系统中存在的风险和已经发生的安全事件,可给出指导性的策略优化方案,包括脱敏策略、防火墙策略等。整个油田数据中心的数据安全态势可通过“一张图”展示,数据安全的相关风险和事件都会第一时间推送到运营中心,实现早发现、早处置、早优化。
三、结束语
数据中心具有非常重要的作用,做好其運维工作十分重要。智能技术的发展为提高数据中心运维工作提供了新的技术支持。我们可以通过强化油田企业信息化建设,提高数据中心的安全操作效益,充分提高油田企业数据中心工作的安全性,保持其稳定性,充分发挥其作用,提高油田企业数据信息服务的安全性,实现油田企业的合理有效运作。
参考文献
[1]杨宣林. 智慧油气田与智慧云数据中心的安全管理[J]. 信息系统工程,2019(7):75.
[2]杨业. 油田数据中心建设及发展方向探讨[J]. 信息系统工程,2018(9):31.