思杰應(yīng)用交付控制器助力六安煙草信息化建設(shè)及等保建設(shè)的深思

薛紹松+吳金安+陳浩+趙新+金金

摘 要 隨著2011年國家煙草局制定發(fā)布的《煙草行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)與信息安全事件的定級(jí)準(zhǔn)則》的定級(jí)標(biāo)準(zhǔn)，近些年來煙草行業(yè)也陸續(xù)出臺(tái)了一系列關(guān)于煙草行業(yè)信息安全等級(jí)保護(hù)管理的規(guī)定，六安市煙草公司結(jié)合自身特點(diǎn)根據(jù)煙草行業(yè)相關(guān)信息安全等級(jí)保護(hù)管理的規(guī)定進(jìn)行深入細(xì)致的調(diào)研及規(guī)劃，本文著重介紹了思杰應(yīng)用交付控制器在六安市煙草公司現(xiàn)有環(huán)境下如何助力信息安全等保的建設(shè)以及提供更加安全高效智能的數(shù)據(jù)中心。

關(guān)鍵詞 煙草行業(yè);等級(jí)保護(hù);應(yīng)用交付;安全;數(shù)據(jù)中心

中圖分類號(hào)：TP39 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2014）22-0079-02

長期以來，六安煙草信息系統(tǒng)一直嚴(yán)格按照等級(jí)保護(hù)的要求建設(shè)管理，針對(duì)信息系統(tǒng)中重要的信息安全事件進(jìn)行分等級(jí)響應(yīng)及處置。

從《煙草行業(yè)信息安全等級(jí)保護(hù)管理規(guī)定》〔2014〕103號(hào)及《關(guān)于做好行業(yè)信息安全等級(jí)保護(hù)定級(jí)和備案工作的通知》（國煙辦綜[2014]224號(hào)）的相關(guān)規(guī)定及文件精神來看，加強(qiáng)煙草信息系統(tǒng)安全管理，做好信息系統(tǒng)安全等級(jí)保護(hù)的定級(jí)和備案工作成為現(xiàn)階段煙草行業(yè)的重要工作內(nèi)容。

1 這里我們先來談一談等保，究竟什么是等保

按照國家、煙草行業(yè)的法律法規(guī)規(guī)定。信息系統(tǒng)的安全保護(hù)等級(jí)的要素有兩塊：

1）受侵害的客體。

公民、法人和其他組織的合法權(quán)益;

社會(huì)秩序和公共利益;

國家安全。

2）對(duì)客體造成侵害的程度。

造成一般損害;

造成嚴(yán)重?fù)p害;

造成特別嚴(yán)重?fù)p害。

按照以上要素，信息系統(tǒng)安全保護(hù)等級(jí)可分為五級(jí)：

第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。

第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家安全。

第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國家安全造成損害。

第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國家安全造成嚴(yán)重?fù)p害。

第五級(jí)，會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。

定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系見表1。

而信息安全等級(jí)保護(hù)則是針對(duì)上述信息和信息載體按照重要性等級(jí)分級(jí)進(jìn)行保護(hù)的相關(guān)工作。

2 六安煙草信息化現(xiàn)狀

六安煙草現(xiàn)今主要運(yùn)行的信息系統(tǒng)有國家局、省局分布式部署的各種統(tǒng)一業(yè)務(wù)系統(tǒng)及本單位相關(guān)的日常辦公系統(tǒng)，目前按照等保要求物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)安全這五方面分別進(jìn)行的相關(guān)的安全管控，網(wǎng)絡(luò)嚴(yán)格劃分，采用了包括防火墻、網(wǎng)管管理平臺(tái)、IDS、防毒墻、VPN等安全產(chǎn)品、設(shè)備。數(shù)據(jù)中心更是通過云計(jì)算虛擬化技術(shù)進(jìn)行全面改造，構(gòu)建了一套初具規(guī)模、高效穩(wěn)定的服務(wù)器虛擬化平臺(tái)，同時(shí)還利用Citrix的相關(guān)虛擬化應(yīng)用及桌面技術(shù)對(duì)公司需要外出或移動(dòng)辦公的員工提供了相關(guān)的服務(wù)，在保證數(shù)據(jù)安全的同時(shí)最大限度的提高了辦公效率降低了運(yùn)維等一系列的成本。

六安煙草也在思考當(dāng)企業(yè)遇到了諸如：自然災(zāi)難、人為災(zāi)難等這些可能對(duì)企業(yè)經(jīng)營甚至國家安全帶來巨大的影響的事件或是一些相對(duì)危險(xiǎn)性低，但常見比如硬件故障等，又該怎么辦？一旦發(fā)生災(zāi)難，人身的安全和利益將首當(dāng)其沖。然而災(zāi)難后業(yè)務(wù)運(yùn)營的快速恢復(fù)成為的信息中心的工作重點(diǎn)。因此企業(yè)需要考慮多種因素，并準(zhǔn)備相應(yīng)的流程和技術(shù)確保：

1）關(guān)鍵應(yīng)用可用。

2）安全并可以正常訪問。

應(yīng)用可用，一般情況下會(huì)考慮在一個(gè)或多個(gè)數(shù)據(jù)中心中使用多個(gè)應(yīng)用服務(wù)器或者實(shí)例，而且確保無縫、智能地在它們之間進(jìn)行故障切換。這其中的無縫必須要做到針對(duì)用戶沒有明顯的中斷或不同，而且無需人員干預(yù)。而智能故障切換則是要保證當(dāng)應(yīng)用本身發(fā)生故障時(shí)，或當(dāng)應(yīng)用和用戶之間的路徑上的其它任何組件未正常運(yùn)行時(shí)，都能夠進(jìn)行無需干預(yù)的故障切換。

舉一個(gè)非常簡單的例子，公司的門戶網(wǎng)站有電信聯(lián)通兩條鏈路，某個(gè)時(shí)間段由于電信鏈路的訪問量過大，電信的網(wǎng)絡(luò)出口已經(jīng)嚴(yán)重?fù)砣?，而?duì)應(yīng)電信的用戶來說其用戶體驗(yàn)是這個(gè)網(wǎng)站出問題了，無法訪問，但這個(gè)時(shí)候應(yīng)用本身正常工作，聯(lián)通的鏈路的用戶訪問也正常，這個(gè)時(shí)候系統(tǒng)應(yīng)該針對(duì)電信用戶合理的讓他們選擇最優(yōu)的站點(diǎn)。并且其目標(biāo)是確保用戶的會(huì)話不受影響可以無縫的切換以避免用戶不得不從頭再來或收到不完整的數(shù)據(jù)。而同時(shí)也包含安全并可以正常訪問需求。

3 思杰的應(yīng)用交付控制器對(duì)等保建設(shè)的意義

是否能夠完全、高效地保持安全的應(yīng)用可訪問性，對(duì)于實(shí)現(xiàn)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性所需的整套策略來說至關(guān)重要。思杰的應(yīng)用交付控制器作為實(shí)現(xiàn)業(yè)務(wù)連續(xù)性的綜合解決方案，從單套緊密集成的解決方案中獲得本地和全局服務(wù)器負(fù)載均衡功能以及安全遠(yuǎn)程訪問功能

思杰的該應(yīng)用交付控制器全稱為Citrix Netscaler，現(xiàn)已經(jīng)被Cisco集成到Cisco Unified Fabric Cloud Network Services系列中，成為Cisco ACE的替代產(chǎn)品，并和現(xiàn)有的各種網(wǎng)絡(luò)產(chǎn)品及解決方案完美兼容。利用先進(jìn)的4-7層流量管理功能確保了應(yīng)用的可用性，利用集成式應(yīng)用防火墻增強(qiáng)了安全性，通過卸載服務(wù)器壓力大幅削減了成本，從而可將應(yīng)用的運(yùn)行速度提升5倍。該解決方案不僅降低了TCO，優(yōu)化了用戶體驗(yàn)，還能確保應(yīng)用的持續(xù)可用性。

于此同時(shí)Netscaler還可以實(shí)現(xiàn)本地和全局服務(wù)器負(fù)載均衡，當(dāng)特殊事件導(dǎo)致了服務(wù)器或數(shù)據(jù)中心的中斷時(shí)，Netscaler可以無縫地將用戶重定向到另一個(gè)服務(wù)器或者數(shù)據(jù)中心。此外，以足夠的智能的洞悉各種問題（包括故障和性能降低）會(huì)給整個(gè)站點(diǎn)，以及任何組件和用戶會(huì)話所依靠的服務(wù)造成的影響。endprint

利用NetScaler中包含本地服務(wù)器負(fù)載均衡（LB）功能。通過充分利用廣泛的服務(wù)器健康檢查和負(fù)載均衡算法，對(duì)運(yùn)行異常的任何數(shù)據(jù)中心組件的應(yīng)用會(huì)話進(jìn)行識(shí)別和路由，就可以輕松使得架構(gòu)更加彈性。

而當(dāng)整個(gè)數(shù)據(jù)中心或者某條網(wǎng)絡(luò)發(fā)生故障，NetScaler的全局服務(wù)器負(fù)載均衡（GSLB）功能將起到作用。NetScaler被用作授權(quán)DNS服務(wù)器，因此可以向用戶提供最適合訪問站點(diǎn)相對(duì)應(yīng)的IP地址。

如果所有站點(diǎn)都正常運(yùn)行，用戶將被定向到默認(rèn)站點(diǎn)。如果該站點(diǎn)不可用或超載（根據(jù)各種可配置參數(shù)的狀態(tài)判斷），用戶將被自動(dòng)定向到另一個(gè)備用站點(diǎn)，而不需要手工做任何改變。GSLB服務(wù)只需通過檢查任何現(xiàn)有實(shí)例以及相關(guān)服務(wù)器或者XML組件的可用性和健康情況，GSLB服務(wù)就可以實(shí)現(xiàn)。如果這些組件都沒有響應(yīng)，NetScaler將把該站點(diǎn)歸為“宕機(jī)”，然后對(duì)用戶會(huì)話進(jìn)行相應(yīng)的重定向。

此外，NetScaler的GSLB服務(wù)還采用先進(jìn)的健康檢查方式和策略，對(duì)若干因素進(jìn)行評(píng)估，包括應(yīng)用響應(yīng)時(shí)間、應(yīng)用負(fù)載、包速率、可用SNMP指標(biāo)和該用戶所處的地理位置等，然后將用戶路由到可為他們提供最佳服務(wù)的數(shù)據(jù)中心。這樣，即使在日常運(yùn)行條件下，企業(yè)也可以實(shí)現(xiàn)數(shù)據(jù)中心投資回報(bào)的最大化。

NetScaler LB和GSLB的最終結(jié)果是，可為企業(yè)提高基礎(chǔ)架構(gòu)及相關(guān)應(yīng)用的可用性，以及用戶可以獲得的應(yīng)用體驗(yàn)的質(zhì)量提供更高的保證。

4 結(jié)束語

等保作為國家、煙草行業(yè)重要的一項(xiàng)規(guī)定及舉措，在當(dāng)前環(huán)境下有舉足輕重的意義，然而大環(huán)境下信息部門建設(shè)過程中一味考慮的是如何是針對(duì)潛在的威脅，通過各種技術(shù)、流程來進(jìn)行安全的加固的時(shí)候，或許可以考慮在等保建設(shè)的同時(shí)提高應(yīng)用的可靠、可用性，加速應(yīng)用性能，構(gòu)建一套安全、高效、智能的信息化平臺(tái)。

由于筆者的知識(shí)水平有限，未能對(duì)等保工作及應(yīng)用交付控制器做出更深一層次的理解，在此有何謬誤之處敬請(qǐng)諒解。

參考文獻(xiàn)

[1]計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則（GB 17859-1999）.

[2]信息安全等級(jí)保護(hù)管理辦法（公通字[2007]43號(hào)）.

[3]煙草行業(yè)信息安全等級(jí)保護(hù)管理規(guī)定（國煙辦綜〔2014〕103號(hào)）.

[4]Netscaler應(yīng)用交付控制器.www.citrix.com.cn.endprint

利用NetScaler中包含本地服務(wù)器負(fù)載均衡（LB）功能。通過充分利用廣泛的服務(wù)器健康檢查和負(fù)載均衡算法，對(duì)運(yùn)行異常的任何數(shù)據(jù)中心組件的應(yīng)用會(huì)話進(jìn)行識(shí)別和路由，就可以輕松使得架構(gòu)更加彈性。

而當(dāng)整個(gè)數(shù)據(jù)中心或者某條網(wǎng)絡(luò)發(fā)生故障，NetScaler的全局服務(wù)器負(fù)載均衡（GSLB）功能將起到作用。NetScaler被用作授權(quán)DNS服務(wù)器，因此可以向用戶提供最適合訪問站點(diǎn)相對(duì)應(yīng)的IP地址。

如果所有站點(diǎn)都正常運(yùn)行，用戶將被定向到默認(rèn)站點(diǎn)。如果該站點(diǎn)不可用或超載（根據(jù)各種可配置參數(shù)的狀態(tài)判斷），用戶將被自動(dòng)定向到另一個(gè)備用站點(diǎn)，而不需要手工做任何改變。GSLB服務(wù)只需通過檢查任何現(xiàn)有實(shí)例以及相關(guān)服務(wù)器或者XML組件的可用性和健康情況，GSLB服務(wù)就可以實(shí)現(xiàn)。如果這些組件都沒有響應(yīng)，NetScaler將把該站點(diǎn)歸為“宕機(jī)”，然后對(duì)用戶會(huì)話進(jìn)行相應(yīng)的重定向。

此外，NetScaler的GSLB服務(wù)還采用先進(jìn)的健康檢查方式和策略，對(duì)若干因素進(jìn)行評(píng)估，包括應(yīng)用響應(yīng)時(shí)間、應(yīng)用負(fù)載、包速率、可用SNMP指標(biāo)和該用戶所處的地理位置等，然后將用戶路由到可為他們提供最佳服務(wù)的數(shù)據(jù)中心。這樣，即使在日常運(yùn)行條件下，企業(yè)也可以實(shí)現(xiàn)數(shù)據(jù)中心投資回報(bào)的最大化。

NetScaler LB和GSLB的最終結(jié)果是，可為企業(yè)提高基礎(chǔ)架構(gòu)及相關(guān)應(yīng)用的可用性，以及用戶可以獲得的應(yīng)用體驗(yàn)的質(zhì)量提供更高的保證。

4 結(jié)束語

等保作為國家、煙草行業(yè)重要的一項(xiàng)規(guī)定及舉措，在當(dāng)前環(huán)境下有舉足輕重的意義，然而大環(huán)境下信息部門建設(shè)過程中一味考慮的是如何是針對(duì)潛在的威脅，通過各種技術(shù)、流程來進(jìn)行安全的加固的時(shí)候，或許可以考慮在等保建設(shè)的同時(shí)提高應(yīng)用的可靠、可用性，加速應(yīng)用性能，構(gòu)建一套安全、高效、智能的信息化平臺(tái)。

由于筆者的知識(shí)水平有限，未能對(duì)等保工作及應(yīng)用交付控制器做出更深一層次的理解，在此有何謬誤之處敬請(qǐng)諒解。

參考文獻(xiàn)

[1]計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則（GB 17859-1999）.

[2]信息安全等級(jí)保護(hù)管理辦法（公通字[2007]43號(hào)）.

[3]煙草行業(yè)信息安全等級(jí)保護(hù)管理規(guī)定（國煙辦綜〔2014〕103號(hào)）.

[4]Netscaler應(yīng)用交付控制器.www.citrix.com.cn.endprint

利用NetScaler中包含本地服務(wù)器負(fù)載均衡（LB）功能。通過充分利用廣泛的服務(wù)器健康檢查和負(fù)載均衡算法，對(duì)運(yùn)行異常的任何數(shù)據(jù)中心組件的應(yīng)用會(huì)話進(jìn)行識(shí)別和路由，就可以輕松使得架構(gòu)更加彈性。

而當(dāng)整個(gè)數(shù)據(jù)中心或者某條網(wǎng)絡(luò)發(fā)生故障，NetScaler的全局服務(wù)器負(fù)載均衡（GSLB）功能將起到作用。NetScaler被用作授權(quán)DNS服務(wù)器，因此可以向用戶提供最適合訪問站點(diǎn)相對(duì)應(yīng)的IP地址。

如果所有站點(diǎn)都正常運(yùn)行，用戶將被定向到默認(rèn)站點(diǎn)。如果該站點(diǎn)不可用或超載（根據(jù)各種可配置參數(shù)的狀態(tài)判斷），用戶將被自動(dòng)定向到另一個(gè)備用站點(diǎn)，而不需要手工做任何改變。GSLB服務(wù)只需通過檢查任何現(xiàn)有實(shí)例以及相關(guān)服務(wù)器或者XML組件的可用性和健康情況，GSLB服務(wù)就可以實(shí)現(xiàn)。如果這些組件都沒有響應(yīng)，NetScaler將把該站點(diǎn)歸為“宕機(jī)”，然后對(duì)用戶會(huì)話進(jìn)行相應(yīng)的重定向。

此外，NetScaler的GSLB服務(wù)還采用先進(jìn)的健康檢查方式和策略，對(duì)若干因素進(jìn)行評(píng)估，包括應(yīng)用響應(yīng)時(shí)間、應(yīng)用負(fù)載、包速率、可用SNMP指標(biāo)和該用戶所處的地理位置等，然后將用戶路由到可為他們提供最佳服務(wù)的數(shù)據(jù)中心。這樣，即使在日常運(yùn)行條件下，企業(yè)也可以實(shí)現(xiàn)數(shù)據(jù)中心投資回報(bào)的最大化。

NetScaler LB和GSLB的最終結(jié)果是，可為企業(yè)提高基礎(chǔ)架構(gòu)及相關(guān)應(yīng)用的可用性，以及用戶可以獲得的應(yīng)用體驗(yàn)的質(zhì)量提供更高的保證。

4 結(jié)束語

等保作為國家、煙草行業(yè)重要的一項(xiàng)規(guī)定及舉措，在當(dāng)前環(huán)境下有舉足輕重的意義，然而大環(huán)境下信息部門建設(shè)過程中一味考慮的是如何是針對(duì)潛在的威脅，通過各種技術(shù)、流程來進(jìn)行安全的加固的時(shí)候，或許可以考慮在等保建設(shè)的同時(shí)提高應(yīng)用的可靠、可用性，加速應(yīng)用性能，構(gòu)建一套安全、高效、智能的信息化平臺(tái)。

由于筆者的知識(shí)水平有限，未能對(duì)等保工作及應(yīng)用交付控制器做出更深一層次的理解，在此有何謬誤之處敬請(qǐng)諒解。

參考文獻(xiàn)

[1]計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則（GB 17859-1999）.

[2]信息安全等級(jí)保護(hù)管理辦法（公通字[2007]43號(hào)）.

[3]煙草行業(yè)信息安全等級(jí)保護(hù)管理規(guī)定（國煙辦綜〔2014〕103號(hào)）.

[4]Netscaler應(yīng)用交付控制器.www.citrix.com.cn.endprint