数据安全策略研究

摘 要　随着信息技术的迅猛发展，信息的价值与信息扩散的影响与日俱增，在信息系统中安全尤为重要。信息系统由若干个模块与其相连的信息链组成。本文抓住信息链中的重要环节，就数据安全进行剖析，提出系统内部安全、系统间安全及环境安全等方法，保证信息链中的数据安全。

关键词　信息链；信道；安全策略；容灾；访问控制

1 引言

随着信息论、控制论的不断演化，通信、计算机、系统工程和人工智能等多种技术发展与融合，人们在信息的获取、传输、存储、处理与施用等方面的能力空前提高，信息技术革命与人们的生活息息相关。尤其是在信息极度膨胀的当今社会，人们对信息的依赖程度越来越紧密，因此对信息系统中的数据的可靠和信息的安全要求也越来越高，越来越迫切。本文着重对以计算机、网络传输等为载体的信息链作简要阐述，对如何保证其安全提供一些方法。

2 基本概念

质量、能量和信息是物质的三大基本属性，是普遍存在于客观世界和人的意识活动中的。所谓信息是指事物存在的方式或运动状态以及这种方式或运动状态的直接或间接表述。信息具有时效性、寄载性、共享性、可计量性和可控性等特征[1]。

其中信息的可计量性已由信息论奠基人、美国数学家c.e shannon和控制论的鼻祖维纳在上个世纪以概率论为工具从数学上证明了平均信息量，即信息熵h(x)

h(x)=∑p(xi ) h(xi ) (i=1，2，，n)

由一组xi(i=1，2，，n)事件组成的集合为信源，每个事件出现的概率分别是p(x1 )、p(x2 )、p(x3 ) 、p(xn )且

∑p(xi )=1 (i=1，2，，n)。

定义h(xi) =-p(xi ) (i=1，2，，n)，h(xi )称为这一事件xi 的平均信息量。

信息的可控性体现了信息的可操作性，同时也增加了信息的复杂性。为了更有效地将信息系统应用到不同的任务和需求中去，应运而生了各种信息技术，如信息的搜索技术、信息的传输技术、信息的存储技术、信息的处理技术、信息的施用技术等。这些技术广泛运用于信息的整个生命周期中，存在于信源、信道、信宿等几个重要环节。

信源是信息的发源地，信息的获取和产生主要依赖于信源；而信道是信息传递的物理通道或媒介，是衔接信息与信宿的桥梁；信宿是信息传输的终点或目的地，是信息的接受者或利用者，是信息的归宿。信源产生消息，而信宿接受消息，信道用于传递消息，因此信息系统产生了信息链。信息链以其网络化、智能化、并行化、集成化、多媒体化为显著特征，每个环节的信息链中各子系统的侧重点不同。而信息在信息链中快速传递与广泛共享大大加强了需求各方对信息的搜集、传递、处理和施用的能力[2]。

图1 信息系统的流程框图 为了使信息系统内的资源少受或不受自然和人为等有害因素的威胁和危害，必须对信息系统中信息链的各个环节采取有效的安全策略加以保护，使其能够正常、稳定、可靠、高效、安全地运转。信息系统的流程图可参见图1。

3 信息链中的数据安全策略

以网络与计算机为载体的信息系统中信息的发生、收集可以采用自动数据采集与人工采集录用相结合的方法，使具有某些特征的数据进入该系统中，并通过网络等传输媒质将数据送至数据中心，再分发到信息处理系统中，通常是高性能的计算机平台进行加工处理，然后将其运算结果发送到数据中心或需要施用数据的部门中去。

上述系统中存在着信息链，存在着若干个模块或子系统。每个模块或子系统又由更小粒度的模块或子系统构成，同时它们之间存在着复杂的关系，有若干个输入/输出、信息传输、信息存储、信息处理等模块。因此，需要建立多级安全模型，把系统中所有的主体和客体分别设置需要的登记和范畴，并按照确定的规则设置访问监督器。每当信息链中的一个主体要访问一个客体时，访问监督器根据该主体的安全属性和其要访问客体的安全属性，按照规则进行检查，看其是否具有访问权限。

建立安全的信息防护体系时，必须考虑到危及信息安全的各种因素，它包括信息系统自身存在的脆弱性和来自系统内、外部的各种各样的威胁。

以计算机系统和网络为特征的信息系统存在着固有的弱点和脆弱性，如果利用这些弱点，信息系统中的具有重要价值的信息可以被不留痕迹地窃取，非法访问可以造成系统内信息受到侵害，其脆弱性主要表现在：

①电磁辐射泄漏；

②存储媒质失控；

③数据可访问性；

④磁性介质的剩余磁效应；

⑤通信和网络的弱点等。

而对信息安全的主要威胁是非人为因素造成的和人为因素造成的两种。因此我们必须考虑信息系统的健壮性、完整性、可靠性和保密性等。

信息链中的系统安全遵循“木桶原理”，任何一个子系统或模块出现问题，则会殃及全系统的安全。为了保证数据的有效、可靠、完整、安全，必须对系统进行分层安全设计[3]。根据该思想我们可将系统的安全策略分为环境安全策略、子系统内部安全策略和子系统间的安全策略等。

3.1 环境安全策略

系统面临的安全威胁来自多方面，有信息的泄漏，如击键窥探、电磁泄漏窥探、内存空间窥探、磁盘缓存窥探等等，有信息的伪造与篡改，有资源的窃取，有系统遭受蓄意破坏等。为保证系统安全必须首要考虑环境安全，采取有效措施，统筹兼顾，做到：

①物理实体的选址考虑；

②应急措施与路径冗余；

③防电磁辐射泄漏；

④媒质的安全如介质的保存、保护与备份等；

⑤防止线路截获，如线路的短路、断路，并联盗窃，感应窃取以及通信干扰等。

3.2 系统内部安全策略

信息系统内部常用的安全策略有：

①信息系统容灾技术；

②安全操作系统及访问控制技术；

③数据备份与加密技术等。

3.2.1 容灾基本概念

在考虑信息系统容灾策略时，比较合理的做法是：按照数据的重要性及其所处的地位进行级别的划分，按照划分结果对数据采用不同的备份方法。划分时一般要考虑几个因素：

bwo（backup window objective）：备份窗口目标，主要是指创建备份数据时所耗费的时间；

rpo（recovery point objective）：即数据恢复点目标，主要指的是系统所能容忍的数据丢失量，针对的是数据丢失；

rto (recovery time objective)：即恢复时间目标，指的是能够忍受的服务停止的最长时间，也就是从灾难发生到系统恢复服务所需要的最短时间，针对的是服务丢失。rpo和rto之间没有必然的联系。

图2 容灾系统的七层架构

容灾系统的每一个层次采用不同的容灾方法，具有不同的数据恢复能力，即rto与rpo的差别。 图3 容灾系统处理能力与代价 而当恢复策略转向更高层时，cost参数将呈指数增长。图3说明了这种关系。因此在选择容灾方案时应该根据实际情况在三个参数之间综合考虑。目前大多数企业的容灾系统处于share中的第2层，仅有少数系统具有“零数据丢失”的能力。

3.2.2 信息系统容灾策略

除了环境安全策略外需要考虑的是信息系统的数据容灾技术。它包括本地容灾策略、异地容灾策略、系统管理和系统恢复策略等[3]。

3.2.2.1 本地容灾系统

本地容灾的主要手段是容错，容错的基本思想是在系统体系结构上精心设计，利用外加资源的冗余技术来达到掩蔽故障的影响，从而自动地恢复系统或达到安全停机的目的。容错是依靠外加资源的方法来换取可靠性的，附加资源的方法很多，主要的有附加硬件，附加信息，附加时间和附加软件[4]。

硬件冗余是指通过硬件的重复使用而提高可靠性的方式，包括：硬件堆积冗余，待命存储冗余，及混合冗余等。时间冗余是通过消耗时间资源来达到容错目的的，例如：程序卷回，指令复执等。信息冗余是靠增加信息的多余度来提高可靠性的，附加的信息应具有如下功能：当代码中某些信息位发生错误（包括附加位本身的错误）时能及时发现错误或恢复原来的信息，一般来说，附加的信息位越多，其检错纠错能力越强[5]。软件冗余包括两个方向：研究无错软件，研究容错软件。

3.2.2.2 异地容灾系统

异地容灾是指在相隔较远的异地，建立两套或多套功能相同的it系统，当主系统因意外停止工作时，备用系统可以接替工作，保证系统的不间断运行。异地容灾中涉及的一个重要概念是数据复制，数据复制的主要目的是确保异地间各个系统关键数据和状态参数的一致。它可分为同步复制和异步复制。

同步复制的工作过程如下：当主系统主机向本地的存储设备发送一个i/o请求时，这个请求同时被传送到备份系统的存储设备中，等到两个存储设备都处理完成后，才向主系统主机返回确认信号。这样确保两个存储设备中数据的一致性。但是，当两个系统距离较远或者通讯效率不够时，向容灾系统发送i/o请求，会造成主系统明显的延迟，甚至会使主机无法正常工作。

异步复制是指主系统内主机与存储设备间的i/o处理与数据复制过程无关，即主机无须等待远端存储设备完成数据复制就开始下一次i/o操作。这样主系统与备份系统之间数据复制的通讯效率高，不会影响到主系统内部的处理能力，但是这样可能产生两系统中数据不一致问题。

管理软件主要用于广域网范围的远程故障切换和故障诊断。当故障发生时，确保快速的反应和迅速的业务接管。在管理软件的控制下，广域网范围的高可用能力与本地系统的高可用能力形成一个整体，实现多级的故障切换和恢复机制，确保系统在各个范围的可靠与安全。

3.2.2.3 容灾系统运行过程

一个完整的容灾系统工作过程如下：在正常情况下，主系统和备份系统都处于运行状态，但业务处理程序只在主系统中进行；而数据的任何修改，都会同步地复制到备份系统。当主系统的某些部件发生故障，冗余部件将接替工作，直到损坏部件修复，在整个过程中，系统不受影响正常运行。当自然灾难发生，主系统瘫痪时，备份系统将启动业务应用系统，保证业务的正常运行。主系统修复后，将备份系统的当前数据复制回主系统，然后将应用系统切回到主系统，备份系统重新回到备份状态；或者主系统修复后，作为备份系统使用，而备份系统作为主系统。这样能够很好应付各种软硬件故障、人为或自然灾害对计算机处理系统的影响，保护业务系统的不间断运行。

3.2.3 安全操作系统及访问控制技术

操作系统的安全与健壮是信息系统安全可靠的基础，只有这样它才能对整个计算机信息系统的硬件和软件资源进行有效的控制与管理，并为所管理的资源提供相应的安全保护。设计一个安全操作系统通常采用下列关键技术：

①隔离性设计；

②核心设计；

③结构设计。

一个安全操作系统必须保证系统控制和管理数据的存取、程序的运行、i/o设备的正常运转时以最小的负载对系统效率的影响，对系统中的数据库也可以采用安全策略，如安全管理策略、存储控制策略、库内加密、整个数据库加密、硬件加密等方法，来实现数据库的安全与保密。

为了有效地管理所属资源，实施访问控制是行之有效的措施之一。访问控制是对处理状态下的信息进行保护，是系统安全机制的核心之一，它保护被访问的客体，并对访问权限进行确定、授予和实施，在保证系统安全的前提下，最大限度地共享资源。一般访问控制机制应遵循下列原则：

①最小特权原则；

②对存取访问的监督检查原则；

③实体权限的实效性原则；

④访问控制的可靠性原则；

⑤存取权分离原则；

⑥最小共享存取原则；

⑦设计的安全性原则；

⑧用户的承受能力与经济性原则等。

访问控制可以保护系统信息，保证重要信息的机密性，维护系统信息的完整性，减少病毒感染的机会，延缓病毒的传染时间。

3.2.4 系统备份与数据加密策略

备份技术与故障恢复技术是信息系统安全的重要组成部分，是确保信息系统在遇到各种不测事件、遭到破坏时能尽快投入再使用的保证。备份技术包括全系统备份技术和部分系统备份技术，备份方式有全量备份、增量备份和差分备份等，另外对系统数据加密和加密数据备份，以确保数据的安全。

3.3 系统间的安全策略

由于自身的安全缺陷和网络的开放性使得信息系统的安全面临极大的挑战，人们不断研发新的技术改善其弱点，在系统间也同样面临类似问题。在信息传输过程中，通讯双方必须有身份验证机制才能保证彼此的信任，否则通讯就失去了真实性。

为了保证系统间的安全机制，实现信息传递过程中的机密性、完整性、抗否认性、可用性等，其安全信息传输系统必须具备下列安全功能：

①身份及信息验证；

②网络的访问控制；

③通信信息的加密；

④鉴别技术；

⑤安全审计技术等。

系统间的安全策略可以采用加密技术，如链路-链路加密和端-端加密等方式；也可以采用防火墙技术，如基于分组过滤的防火墙、基于服务的防火墙、基于vpn的防火墙等；还可以采用智能卡技术。另外系统间还必须十分注重抵御日益猖獗的计算机病毒，注意管理预防与技术防范相结合。

4 结束语

目前信息系统中的数据安全非常重要，除了制度上的保障外，技术保障是基础。信息系统中的数据安全策略着重研究信息系统间、信息系统内部以及数据链的诸多环节的容错、容灾、访问控制等问题。对于信息系统的设计必须考虑安全性原则、整体性原则、投资保护原则、实用性原则等，既要保证系统内部的稳定性、安全性，也要保证系统间的友善性和互联、互通、互操作性，避免有价值信息的泄漏，避免己方受到外界的恶意攻击。

参考文献

[1] 赵战生，冯登国，戴英侠，等．信息安全技术浅谈[m]．北京：科学出版社，1999

[2] 顾锦旗，胡苏太，朱平．实用网络存储技术[m]．上海：上海交通大学出版社，2002

[3] 贾晶，陈元，王丽娜．信息系统的安全与保密[m]．北京：清华大学出版社，2002

[4] 袁由光，陈以农．容错与避错技术及其应用[m]．北京：科学出版社，1992

[5]陈蓉．容灾最后一个保障[j]．中国计算机报，2001，1066：2063-2065