第74期【智造 V课堂】分享嘉宾:南京航空航天大学计算机科学与技术学院产业教授,中国首席信息官联盟两化融合技术指导体系实践指南专家张有成。张教授从智能制造时代下的安全隐患、数据安全以及业务连续性保障三个方面展开分享。
本次V课堂得到了江苏省CIO联盟、南京CIO俱乐部、南通CIO联盟、IT人俱乐部、泰州CIO联盟、无锡CIO联盟、泰兴CIO联盟、靖江企业信息化交流群、昆山CIO联盟、常熟IT人俱乐部等40多个微信群的支持,每位大咖的的分享都让微信群里的同仁们收获满满的信息化经验。
动动手指往下滑~~~
☟☟☟☟☟
分享嘉宾
张 有 成
主要成就
● 南京壹进制信息技术股份有限公司董事长兼CEO。
首先我发一张背景图,这张图是智能制造的“十三五”规划,上面我做了一个简单的标注,在“十三五”规划中把智能制造明确划分了两步走的战略。第一步里面提到了一个关键词数字化制造,第二步提到的关键词是智能制造。这两个关键词分别和我们今天晚上分享的主题是对应的,其中数字化制造就涉及到今天分享的数据安全,智能制造它需要业务连续性的支撑才有可能保障制造的顺利进行。
我们看一张关于安全隐患的背景图,今天晚上的分享分为三个部分:第一个部分是介绍一下智能制造时代我们所面临的一些信息安全的隐患,第二部分重点介绍数据安全的内容,第三部分一起分享业务连续性保障方面的相关内容。
第一部分在智能制造时代所面临的安全隐患,我们可以看到这张图,右边是IDC的一个统计,可以看到的是在美国过去2000年以前的10年里面,因为数据丢失和损毁,会给企业带来一些灾难性的后果,平均统计的结果是在数据丢失的当年会有55%的企业因此而倒闭,在两年之后会有高达84%的企业因为数据的丢失或者损毁造成倒闭。
左边这个是EMC的报告,这个报告委托第三方机构做的全球数据保护指数的研究。在2014年EMC公布的这份全球数据保护指数揭示的是在过去12个月里,全球的企业因为数据丢失和宕机造成的损失高达1.7万亿美金,这个数字相当于当年德国GDP的50%。在去年EMC又公布的一份全球数据保护指数表明,在新的一年里面,全球因为数据丢失和系统中断造成损失的企业数量增加了13%,这个调查统计是针对全球的多达几千名的IT决策者或CIO所得到的调查结果,这个后果还是非常惊心动魄的。
接下来我们看下一张图,这张图是列举了一些典型的数据安全问题因素。造成数据丢失的后果的,可以粗分为两大类:一类是系统自身的软硬件故障,或者是有自然灾害等等造成的。这类问题非人为的,我们可以把它归结为Safety的问题。另外一类,比如说是恶意的勒索,对数据进行恶意勒索加密,包括人为的误操作等等,这些都是属于Security的问题,这是人为的。那么这两类问题都有可能造成数据丢失、破坏、损毁的后果,针对这两类问题,我们在后面会展开讨论,怎么解决人为的以及非人为的破坏因素对数据造成的损失。
接下来我们看一个代表性的案例,在5月份全球爆发的勒索病毒,近期又出了变种。勒索病毒给全球带来了比较大的恐慌,它破坏的实质,从数据安全的特性上去讲,最关键的是破坏了数据的完整性和可用性,从而进一步导致数据的丢失,或者是业务中断。目前,安全厂商给出了很多措施,都属于治标方面的措施。比如说修补系统的漏洞,采取一些网络安全防御措施,包括进行病毒查杀等等,当然这个都有滞后性,因为下一次变种的破坏,可能会由其他的漏洞攻击进来。
几乎大家都可以得到的提示是采用备份手段。备份对于勒索病毒这样的攻击破坏来说,它只是减少数据损失,但是并不能确保数据的不丢失,就是因为备份的手段它具有时间间隔。比如说我们每天做一次备份,当我们中了勒索病毒,通过备份来恢复的时候,把数据恢复到昨天,那么今天的数据就丢失掉了。
治本的措施就是针对勒索病毒而言,首先我们对于重要的数据采用实时的,或者是持续的数据保护手段,从而确保数据的更新变化过程都能够得到保存和记录。
第二点就是对于特别重点的一些关键的,比如说工业生产上的一些应用,需要采取一些必要的业务连续性保障手段,业务连续性这块会在第三部分来跟各位进行分享。第二部分要分享的是数据安全的部分。
第二部分是数据安全的问题,首先我们看一下相关的背景,在今年6月1日开始实施的国家《网络安全法》,非常明确的对数据安全做了一些规定和要求。在《网络安全法》公布刚刚一周左右的时间就有人成为了第一人,触犯了网络安全法,从而遭到了刑事处罚。我们可以看到在《网络安全法》里面,数据备份、加密,我们可以看到防止泄密、窃取、篡改以及里面提到的完整性、保密性、可用性等等,这些都是我们接下来要分享的数据安全的内容。
接下来我们再看一下等保,全称是信息安全等级保护。我们可以看到在等保5级的体系里面是非常明确的规定了数据的备份,从第3级开始明确要求异地灾备。我限于篇幅就没有把这个内容具体的贴出来,但是我们可以看到在数据安全的部分,是从三个方面要求的。一是通讯,在网络通讯过程中怎么保障数据的传输安全。二是数据存储的角度怎么样去保障数据安全。第三个是备份恢复。从这三个方面等保都提出了非常明确的要求。
接下来我们可以看到的是最新一版数据中心的国标,数据中心设计规范新的一版国标将从明年的1月1日开始正式实施。在这个新版的国标里面它明确增加了对网络系统和灾备数据中心的设计要求,在这个要求里我摘取了一部分。比如说3.1.5,这一节它就明确要求在建同城或者异地灾备中心的时候,对灾备中心提出了一些具体的要求。4.2.5的话它明确了对有业务连续性要求的单位应该要建立灾备数据中心。
第二部分数据安全,我把其中最重要的三个特性跟各位做一个交流分享。数据安全全球公认的三个重要特性分别是:数据的保密性、数据的完整性和数据的可用性。那么整体而言,数据安全它是我们整个网络空间安全的核心命脉。对于我们智能制造行业来说,它也是整个智能制造业的支撑,没有数据安全,我们智能制造的支撑体系也没有办法正常的存在下去,这也是整个信息化的基础。
我们首先来看一下其中的第一点,就是数据的保密性。数据保密性最重要的是要达到阻止非授权的主体访问数据,具体来说我们怎么样能够做到数据保密,不泄露出去呢?最常见的技术手段有如下几种:第一种就是加密,我们对需要防泄密的数据进行加密。加密的手段非常多,国际上通用的对于传统数据加密的是对称加密算法。比如说在国际上用得比较多的AES高级加密算法。这次臭名昭著的勒索病毒用的就是128位密钥的AES加密算法。对于国内来说,我们有国密算法,比如说SM1、SM4等等这样一些对称加密算法来实现数据的加密。具体来说加密方式有硬加密和软加密等等。
其次我们要做访问控制,就是说数据加密之后,谁可以去解密?或者谁可以去访问这些数据?要通过身份认证做访问控制,那么这类手段非常多的,比较常见的是PKI(Public Key Infrastructure-公钥基础设施)机制。一些典型的PKI机制,比如说咱们用网银的时候用U盾加上密码,这种身份认证,通过在线的CA中心给我们做身份认证,从而确保用户的访问安全,访问者是真正数据的所有者。
此外还有信息隐藏等一些手段来保障数据安全,比如说对一些重要数据做隐藏,隐藏的方式也非常多,甚至有一些把重要数据藏在视频文件、图片等等里面,从而保障重要的数据不会泄露出去,这是第一点保密性。
第二完整性。完整性最重要的就是要保障这个数据不会未经授权进行篡改,也就是未经我们的许可不能去篡改我们的数据。以勒索病毒为例,未经数据的所有者许可,勒索软件把我们重要计算机上的硬盘数据进行了加密,这就是一种典型的篡改。技术实现手段有如下这些方式:
第一种方式就是最传统的备份与恢复,刚才也提了备份恢复它是一种典型的方式,但是它的缺点就是存在着时间窗口,就是上一次备份和最近一次备份存在着时间差。这种时间差内的数据,我们恢复到上一次的时候会丢掉最近的一部分数据。第二种方式就是多版本,例如存储快照等功能,这个可以给我们保留多份数据的版本,同样存在着时间间隔的缺陷和不足。第三种方式是数据复制,数据复制就是我们通过同步或者异步数据复制手段,来保障我们的生产数据还有另外的复制后的副本。它的好处就是说我们最新复制的数据和我们生产数据是一致的。第四种方式是持续数据保护,可在存储块级、文件级或应用级持续记录数据变化内容与时间戳,在必要时可将数据恢复到过去任意历史时间点。
第三是数据的可用性。数据的可用性也是非常重要的方向,也就是说我们需要访问数据的时候,数据能够访问到,通常实现它的手段包括容错、高可用、容灾等一些技术。在接下来的内容会做一个分享。
大家请看这张图,这张图我们列举了一些常见数据保护的方式,我们看看它的不足。第一种方式比如说我们最常见的磁盘阵列(Redundant Arrays of Independent Disks,RAID),它具备冗余的机制,这种冗余的机制让存储具有一定的容错能力,比如说典型的RAID5,在损坏一块磁盘的时候是没有关系的,数据不会丢失的,因为它具有一定的容错能力,通过校验码,我们可以保障数据的无损。但是如果说损坏超过一块硬盘,这个RAID5的机制就无法保障了,我们可能需要其他的RAID机制,比如说RAID6我们可以容忍两块硬盘的损坏。但不管怎么说,它都是有限度的介质容错。而且它也无法防范人为因素的数据破坏,包括数据的逻辑错误等。
典型的双机热备系统我们可以看到,双机热备在我们一些重要的业务系统用得比较多,比如说我们企业的ERP和一些核心的数据库,我们采用双机热备。这样一种方式应该说典型的可以采用共享存储或者是数据复制的方式,在主机出现故障之后,可以由备机接管,听起来这个方式是非常安全可靠的。但实际上在数据安全这个层面它存在着比较重大的隐患。
这个重大的隐患就是比如说我们采用共享存储的方式,如果说存储出现问题的话,备机接管过去之后业务是中断的,因为没有数据可用。对于双存储,我们做数据复制的场景如果产生了逻辑错误,或者类似于勒索病毒这样的人为的恶意软件的破坏,这时候复制过去的数据一样是不可用的。
所以双机热备系统它更多的是解决高可用的问题,应对非人为的,这些Safety的问题,面对一些人为的Security的问题,双机热备系统是无能为力的。我们再进一步看,比如说我们做同城容灾,做异地镜像,包括我们采用分布式的存储,都存在着类似的一些问题,更多的是解决了一些高可用、容错等等这样一些问题,并不能很好的解决一些人为因素引起的一些数据安全问题。
大家请看这张图,这张图我们列举了几种常见的数据保护方式。这个数据保护方式我们可以看到左边列举了一些传统的,就是刚才所描述的,比如说定时备份、快照和数据复制这样一些数据保护方式。右边我列举了一些持续数据保护方式,比如说采用文件级、磁盘级的一些持续数据保护方式。应该说单从技术角度而言,每种技术都有它适应的场景。
左边的定制备份快照和数据复制的传统方式,应该说非常成熟稳定可靠。但是也有它的不足,各有优缺点。右边我们可以看到持续数据保护通过在系统的内核植入文件过滤驱动和磁盘块过滤驱动程序,来监听截获数据的变化,从而对数据进行实时的、持续的监控保护。
右边这种方式毫无疑问相当于对数据变化过程做了录像,可以带来比较强大的数据保护能力,但是也要付出更多的系统资源的开销,所以各有利弊。那么在实际应用过程中往往要根据业务类型、数据变化,在实际运用过程中往往需要根据数据的重要性,数据变化的规律,从而可以采用相应的、不同的数据保护技术,也可以进行一些组合的应用。这就是数据安全的部分,我分享了这些内容,接下来我们分享第三部分关于业务连续性这块,这块也是今天晚上我分享的重中之重,最核心的一块。
在智能制造时代应该说业务连续性是要面临着不同寻常的挑战,有这么几个要点:第一在生产制造系统里面,IT的应用越来越复杂,越来越深入,不像过去可能在制造业里面IT只是作为一个配角,作为一个辅助工具而存在。随着智能制造的深入,IT也从配角逐步的演变成主角,从而深入到生产制造的核心环节,并且变得越来越复杂。这样就相应的造成IT的业务链条过长,不可控的因素特别多,每一个中断因素都可能触发业务中断。
对我们很多制造业的企业来说,在IT这一块只是工具和帮手,我们并不是专门研究安全这方面的。因此大部分企业可能在怎么保障业务连续性这块要面临严峻的挑战,在出现业务中断的时候,怎么样能够快速恢复这些跟IT相关的业务,并且这个恢复过程也是可信的,完全可控的,怎么样能做到?这是一个严峻的挑战!
在这里面我们抓住两个核心的关键跟各位做个分享,第一作为一个基础来说,我们首先需要做到的是要保障核心数据不丢,如果说在我们制造业相关的这些信息系统里面,一些重要的数据如果丢掉的话,那么业务一定就会中断。第二就是要确保关键应用不停,万一在生产应用过程中,关键的应用出现了业务中断,出现了停顿,我们要有相应的灾难恢复或者是应急接管的机制,从而保障业务的连续性。
接下来我们看几个相关的国标,在信息系统的灾难恢复和业务连续性管理这块它是有相应的标准的。第一个标准是比较老的2007年颁布的20988国标。在这个国标里头把灾难恢复分为6个等级和7个要素,在这里面非常明确的对灾难恢复的级别进行了划分,其中划分的两个重要的核心参数依据,一个是叫RPO(Recovery Point Objective),一个叫RTO(Recovery Time Objective)。其中RPO就是中文的恢复点目标,它实际上就是以数据安全作为一个出发点,也就是说RPO这个指标的核心含义就是说我们能够容忍的数据丢失量,比如说我们每天对数据进行一次备份,这个RPO就是24小时,就是我们恢复点目标是24小时,出现意外之后,可以把它恢复到1天之前。这就意味着在最糟糕的情况下,我们可能容忍要丢失一整天的数据,24小时的,这就是RPO的意义,以容忍的数据丢失量为参照指标。
另外一个指标是RTO,是恢复时间目标。这个核心关键指标是以应用作为出发点的,在出现中断事件造成应用系统宕机,业务中断了之后,我们把业务恢复到正常工作的这种状态所需要的时间,也就是说相当于我们整个业务应用恢复时间的间隔,这就是RTO的指标。
我们接着把20988的灾难恢复的标准再详细的看一下,在这样一个标准里面,它从最入门的第一级到最高等级的第六级,对灾难恢复划分不同层次的规范。其中右边这七个要素就是支撑灾难恢复系统的,必要的七个部分,比如说我们需要做数据备份系统,来保障数据的不丢失,它是我们整个业务连续、灾难恢复的支撑。再往上包括还有备用数据的处理系统、网络系统,还有一些基础设施,比如说我们的建筑等等一些基础设施,还有技术支持能力、运维管理能力,这两个能力是人方面的一些要素,最上面是灾难恢复的预案。
我们每家企业在涉及灾难恢复系统的时候可以参照这个标准,首先我们要确定自己不同的业务系统需要达到什么样的设计标准。那么这样相应不同的应用根据它的灾难恢复的等级,从而采用相应技术支撑要素,来保障我们能达到相应的恢复等级。不同的应用可以不一样的,对于每一家企业而言,同时我们在设计好了之后是要根据灾难恢复的预案是需要做定期的灾难恢复演练,要验证我们设计的灾难恢复体系能不能达到预定的灾难恢复的等级目标。
我们接着看GB/T 30146,公共安全的业务连续性管理体系的要求是企业能够按照不同的阶段,来建设业务连续性管理体系。这个体系它是一个闭环,是按照PDCA环来进行设计的。从而通过迭代的过程来保障企业的业务连续性保障能力,我们依次看一下几个关键的环节和阶段。
首先是启动阶段,启动阶段就是说要建立一个业务连续性的管理团队,这个团队要得到管理层的支持,通常作为企业的管理者要加入到业务连续性管理小组里面的,从而要提供资源支持的保障。之后要制定相应的业务连续性管理的政策,组建相应的团队,并且制定业务连续性保障相应的项目计划。
第二个阶段就是分析评估,在分析这个阶段首要的就是要做风险分析,也就是说我们企业在当前的状态下,我们企业智能制造可能引入大量的信息系统,一方面它给我们带来便利,带来生产效率的提升。但另一方面也相当于双刃剑,也给我们埋下了安全隐患,到底有哪些风险呢?我们许多根据企业的实际情况和不同的阶段要做相应的务实的分析。这些风险要结合我们的业务情况要进行影响,对业务的影响进行务实的分析。可能是有不同的大小,有些可能会造成业务短暂的停整,有些可能会造成业务长期的停整,可能需要进行相应的分析。把这些要素都汇总起来之后按照优先级排序,形成一个风险威胁和重大事件的列表。
第三个阶段就是设计阶段。针对这些重大事件给企业的业务连续带来的风险,我们要设计相应的恢复策略,这些恢复策略之后,我们对应的就是相应事件支持的实现的技术方案,之后进入实施阶段,这些技术方案怎么进一步落实它。
在方案实施阶段一个非常重要的工作,就是灾难恢复计划的开发,我们要制定企业的DRP就是灾难恢复计划,结合前面阶段的要求,之后针对所设定的计划进行人员的培训和灾难回复的演练。
最后一个阶段就是运营阶段,进入日常运营管理了,把前面的方案定期做演练,以及对我们的灾难恢复进行评审和维护,在实际使用过程中进行迭代,万一出现了问题我们可以持续改进,从而逐步完善灾难恢复能力,在灾后的应急接管和恢复的能力。
接下来我们再看一个图,我们列举了两种业务连续性保障的技术方案。我们可以看到左边是一种传统方案,是基于数据复制的。我们一般是做一个本地的双机、集群这样一些高可用的手段,也可以做同城容灾,通过数据复制做同城容灾。万一我们的生产系统遭遇了意外不能正常工作之后,我们可以用备用的系统去接管它,从而保障业务的连续,这样一个传统方案,主要有两个缺点:一个缺点是说它的成本会比较高,因为这样一种系统它主要是采用冗余的方式,把我们生产系统复制一份甚至是多份的方式来保障高可用性,万一主要的生产系统出现问题之后,我们用备用的系统去接管它,这种方式就造成软硬件投资的加大。
另外一个缺点就是在数据安全这块存在着明显的隐患,这样一种主要的隐患是什么原因造成的呢?就是这个系统的设计其实更多的是针对非人为的软、硬件系统故障,我们从而通过冗余实现业务连续性保障。如果是人为因素造成的,不管是误操作的,还是恶意的攻击和破坏,这样就会造成被我们误操作或者是人为恶意破坏的生产系统里面的数据同样会被复制到灾备系统。
同样以勒索病毒为例,生产系统的数据,比如说被勒索病毒感染了,也被恶意的加密了,这种加密的状态同样会被复制到灾备系统。最终灾备系统的数据跟生产的数据是一样的,两份数据都被加密了。在这种情况下,灾备系统去接管应用是没有用的,在生产系统因为数据不可用瘫痪之后,我们备用的灾备系统同样也没办法正常工作,因为数据都是不可用的。所以在安全方面还存在着隐患和不足。
我们看右侧是基于CDP的持续保护来做应用容灾,这种应用容灾的方式就是说我们需要付出相对大一点的代价,我们要把数据的变化过程都记录下来。万一我们的系统遭到了误操作或者人为破坏的时候,我们可以把数据回滚到过去的历史时间点,也就是破坏前的状态。我们回滚过去之后可以挂载这些数据不需要做恢复的动作,同时我们用一套容灾的系统既可以使用物理的容灾系统,也可以使用虚拟机的,去接管被破坏的生产业务系统。这种接管如果涉及到数据的回滚,包括用虚拟机去接管应用会有时间差。
这种时间差通常是分钟级的,对于一些可以容忍分钟级的RTO的业务应用是可以用第二种方式的,因为性价比更高,不需要去做那么多冗余的系统投入。因为被接管的生产系统是以文件的形式存储在容灾机上面。哪一个生产系统坏掉了,就启动对应的容灾系统去接管它,所以成本非常低,不需要一对一或者多对一的冗余。同时,在数据安全这一块因为有完整的数据变化过程的记录,所以可以很好的应对类似于勒索病毒这样的各种破坏。
我们做一个小小的总结,前面我从数据安全、业务连续两个方面做了一个分析,在智能制造时代对于企业而言终级的安全目标实际上就是业务连续,就是我们最最关注的,不管什么原因,如果说我们的业务中断了,那么生产造成停产,从而可能会给企业带来非常大的损失,所以这是我们最关键的,相应的就是我们要做到这一点,从数据安全的角度而言,可能更重要的是关注后面两点,因为数据安全的第一点保密性,它并不影响业务连续性,但是数据的完整性和可用性是直接影响业务的连续性。
我们看两道防线,第一道防线是传统的,就是对于安全而言,就是过去大家一讲到网络安全就认为要增加防火墙这一类的设备。增加这一类设备没有错,它相当于为我们的业务系统增加了第一道防线,当然它主要是对外的,做一个防御对抗。这种防御对抗可以阻止一些外来的风险,理想情况下是把它拒之门外,但这也仅仅是理想而已,因为任何防御对抗措施都不能百分百保障说把所有的外部的入侵都能够拒之门外,都是有限的防范。
另一方面如果是这种破坏是来自于内部的,那么这种内部的破坏,外部的防线是没有办法防范的,这种内部的破坏可能是误操作的乌龙指造成数据的损坏或者宕机。这一次勒索病毒是典型的,像类似于中石油这样的一些企业,内网遭到了大面积的影响,造成业务的瘫痪。这是什么原因呢?就是作为内网的服务器又不连互联网怎么会遭到勒索病毒这样的攻击呢?实际上往往是因为社会工程学等等这样一些因素。
举个例子来说,如果企业内部有摆渡者的角色,当有一天某一个用户比如说他带着自己的笔记本电脑或者说U盘进入了内网系统,如果他的电脑或者U盘上面感染了类似于勒索病毒这样的恶意软件,等到他进入内网的这一刻,就有可能把内网所有的电脑都全部感染,因此内网也不是百分百的安全,因为人为的因素也很难百分百的去控制,有的是有意的,有的可能是无心之过。
对于智能制造时代的制造业企业家而言,要保障我们的业务连续,除了要设置第一道防线之外,我们还要给自己设置最后一道防线。最后一道安全防线非常重要的是我们要具备灾难恢复能力,灾难恢复能力就是万一我们没有防得住外部的破坏或者攻击,或者说我们没有能够防得住内部的误操作等等这种破坏,总之造成的结果是数据丢失或者是业务瘫痪。在这种情况下,如果我们具备灾难恢复能力,我们可以在出现这种意外的时候能够迅速地让我们生产业务系统能够恢复到正常工作状态,从而保障我们业务连续。
最后跟各位分享的一句话也是安全的理念,没有准备就是准备没有。实际上在我们今天轰轰烈烈的在推进智能制造事业的同时,我们也要做好相应的安全准备。如果说我们在数据安全和业务连续性保障这一块没有做好充分的准备,我们可能在信息化这一块投入的越深,未来万一出现意外的时候,我们可能遭到的损失就越加惨重,尤其是广大的中小企业可能都没有自己专职的IT部门,更是缺乏专业的信息安全的专家。所以在业务连续性保障这一块应该是处于弱势的地位。
可以说在我们企业推进信息化的过程中,要面临的中断事件和各种风险威胁是层出不穷的,也是防不胜防的。只有我们具备安全的意识,从而提前采取一些必要的自我防范、自我保护的措施,才能最终保障我们在智能制造时代可以持续的发展,扬帆远航,远离这些灾害和各类人为的破坏。
提问环节
提问:企业特别是传统制造业对信息安全的重视很多是事件驱动型,被动性很强,另一方面,信息安全投资也不小,见效不直观,怎么去改变企业各级信息安全的认识,并把行动落到实处?
答:这个问题非常有代表性。信息安全认识的提升需要多方面的共同努力。典型安全事件的宣传,类似让驾驶员学习常见事故录像一样,有利于大家安全意识的提升;国人家丑不可外扬的传统,对安全事件的宣传是一个重大的阻碍。
信息安全,并不是投入越大越好,而是根据企业的信息化发展阶段以及自身对信息安全问题后果的容忍底线来决定。比如,企业的重要数据如果丢失,会造成数十万元以上的损失,那么投入几万元来做一些灾备投入就是可以考虑的。类似的,如果企业的业务中断会造成数百万元以上的损失,那么投入数十万元来保障业务连续性也是值得考虑的。
提问:我们公司的OA服务器,准备用带防火墙功能的企业级路由,但是又怕仅
仅是这样还不够,需不需要单独购买防火墙软件?
答:防火墙只是手段,不是目的。
首先需要考虑的是制定信息安全的目标,也即公司的OA应用需要达到什么样的信息安全保障目标。
以今天分享主题为例,数据安全方面,是要防数据泄密还是防数据丢失?如果防数据丢失,我们可以容忍多长时间的数据丢失呢!业务连续性保障方面,是否需要保障业务连续?万一宕机了,可以容忍多长的恢复时间?
提问:在销售、生产以及采购三个环节,如何实现企业信息化安全管理?
答:对于包括销售、生产以及采购等环节在内的企业信息化安全管理,个人感觉关键可以考虑3个方面:
1.数据安全,关键是防止重要数据不泄露和不丢失,可以采用防泄密与数据备份、持续数据保护等手段。
2.业务连续性,关键是保障核心关键业务信息系统不中断,这里需要根据不同的业务系统设定企业可以容忍的RTO(业务中断后的恢复时间),可以采用双机、群集、应急接管等手段。
3.网络安全,关键防范外部恶意攻击,根据企业的信息系统规模采用相应的防火墙等网络安全设备。
提问:云计算环境下,在会计信息化基本构架和数据分布方面,怎么保障不同层次的数据安全?
答:在云环境下面数据安全的问题,我还是从数据安全三个角度去分析。
第一个问题是保密性,在云环境下保密性问题还是一个比较难以解决的问题,因为云开放式的环境,怎么样保障数据的保密性?实际上这块真的要解决的话,是要用多种技术做组合的。比如说对在云平台下面存储的数据一定要有密文形式的,就是加密存储,对于它的解密和身份认证结合CA认证的一些方式,PKI的机制来解决保密的问题。
第二点数据的完整性,在云的平台下解决这个问题。对于云分布式存储架构它有很强的高可用性,因为同样一份数据,可能有多份数据副本,甚至分布在不同城市的数据中心,在出现硬件故障之后,可能会有很多的副本来保障数据的不丢失。所以高可用性应该是非常好的,其中数据的完整性针对硬件故障而引发的问题不大,最怕的是逻辑错,或者说人为的因素。比如说误删除,或者说像勒索病毒这样的恶意攻击破坏,是没有办法的,所以在云的环境下面其中重要的数据还是需要做灾备,如果不做灾备的话,万一出现逻辑错或者人为因素可能会造成永久的丢失。
应对云平台下面数据如果要做灾备的话,可以根据数据的重要性,来评估一下自己能容忍不同的RPO的层级,比如说可以容忍丢失1天,还是丢失1小时,甚至是零丢失,从而我们要采取不同的灾备措施来保障数据的完整、可靠、不丢失。
提问:中小企业怎么样最小投资规划才能做好信息数据的安全性?
答:对于中小企业来说,数据安全其实最重要的就是两个方面,一个就是防泄密,一个是防丢失。从防泄密的角度去看,是要区分数据的类型,并不是所有的数据都需要做防泄密的保护措施,只有针对那些企业非常核心的一些商业机密等等,这些数据泄露出去可能给企业造成损失的,才需要采用防泄密措施。
对于防丢失来说,如果这些数据丢了之后,可以很轻松的重新产生这些数据,也是不需要备份的,对于丢了之后可能会造成重大损失,而且很难重新去生成的数据,那么就必须要进行备份保护。
先说防泄密的措施,对于中小企业来说,防泄密的措施是非常多的,一方面可以采用一些防泄密的软件。第二个是我们把企业分散的、很难控制的电脑终端把它虚拟化,变成一个云桌面,这样就把数据全部集中在服务器里面,对于服务器采取安全保护措施就可以了,在终端屏蔽一些USB等等一些接口。这样终端只能够连接服务器进行工作,也是一种防泄密的保护措施。
对防止数据丢失来说方法也是非常多的,既可以做定期备份,也可以使用一些第三方的工具,比如说开源等等一些工具。也可以使用专业的备份软件,数据备份一体机等等,手段很多。当然不同的方式有它自己的优缺点,使用专业的设备全自动化程度高,包括有一些完整性校验手段,确保恢复的时候不会有错漏和偏差等等,也包括一些加密措施,保证了备份数据不会容易泄密,造成其他方面安全损失。
提问:公司不想花费太多做服务器的双机热备份,而负责日常维护的IT人员又担心服务器一旦宕机会造成数据的严重损失,虽然每周都会手动备份SQL数据到移动硬盘,但是出问题也会损失至少一周的数据,有没有更好的防灾备份方法?比如投入成本低,但是安全性更好,又不需要人每天去检查的方法?
答:我要纠正一个概念,双机热备其实它不是数据备份。双机热备它最常用的一种模式就是主备模式,就是一个主机处于工作状态,另外一个主机处于备用的状态,当主机出现意外之后,比如说宕机了,备机就接替它的工作,这个本质上是一种高可用的形式,这种形式它主要是保障业务连续的,就是保障在主机出现软硬件故障之后,备机可以接替工作让业务不停。
那么对于数据备份来说双机热备它不是解决这个问题的,双机热备有两种典型的应用场景,一种是双机单柜,一种是双机双柜。双机单柜是共享存储,如果是存储出问题了,那么备机就是没有用了,它没有数据备用的机制。另外一种是形式是双机双柜,双机双柜是配双存储,那就是主存储的数据也会被实时的复制到备用的存储,这样就是在主机或者主存储出现意外之后,备机或者备用的存储可以去接替他,能保障业务的连续。那么主存储和被用存储之间是实时复制的关系,就是我们前面所分享说的。那么这两者数据之间是一样的,以勒索病毒为例。比如说我们主机的存储,被勒索病毒所感染,数据被恶意加密,同样的这种加密会被复制到备用的存储,也就是备用的存储数据也被加密了。这种情况下我们备机是没有办法正常工作的,所以它不是备份,它只是一种高可用措施,所以这个一定要讲清楚。
备份是要做数据的副本,数据的副本是从业务系统里面剥离出来的,不像双机热备包括双活系统,都是处在业务系统的场内,还有可能被用户访问到,或者去改变它的数据状态等等。作为一个数据副本,用户是访问不到的,只有管理员可以访问它,在出现意外的时候可以通过它来进行恢复。
移动硬盘备份是一种非常不可取的方式,当然它比不做要好,因为移动硬盘通常它都是消费级的硬盘,因为硬盘也是分级的。比如说用于服务器的一般都是企业级的硬盘,它的可靠性非常高,可以24小时工作,有很好的安全保障能力。其次比如说监控硬盘,还有一些桌面的硬盘等等,硬盘它分很多级别。用消费级的移动硬盘去保存作为重要数据的备份是非常不靠谱的一件事。在手工备份这一块同样也有很多不可取的地方,如果说靠每周手工备份一次,这个频度也有点过低,同时手工也容易出现失误操作,比如说万一漏备了什么,同时备到移动硬盘都是明文,一些重要数据很容易泄密。万一移动硬盘丢了就等于是企业所有的数据很容易流失,所以有很多的风险。
我们怎么样解决低成本的备份问题呢?其实方法也有很多种,比如说可以自己写一些备份的脚本,也可以用一些第三方的免费工具,也是一种方法。如果说我们要想自动化程度更高一点怎么办呢?也有方法,比如说纯软件的方法,我们可以采用一些备份软件,备份软件也有一些开源的和一些免费的,但是不能保证真正的可靠。也可以用硬件的方式。比如说用数据备份一体机,可以把数据库、文件和操作系统这些都备下来,这块也是非常成熟的。
如果想再进一步降低成本的可以用NAS,NAS它就是以网络存储为主,但是往往可以附带一些低端的备份软件,如果咱们企业没有一些大型的数据库,比如说MYSQL之类的,也可以用低端NAS来实现这种数据的备份,当然NAS也可以放置在异地,这样能够更好的保障,万一生产系统出问题,通过副本可以找回来。
