文/萬林

與一般的管理體系相同，數(shù)據(jù)中心安全的管理也遵循二八原則，即二成的問題可以通過技術(shù)手段解決，更多的八成問題則只能依靠管理手段才能較好地解決。

當(dāng)前數(shù)據(jù)中心安全風(fēng)險

數(shù)據(jù)中心是目前最重要的組織級信息服務(wù)的提供與承載平臺，因此這也是信息安全風(fēng)險最為密集的具體場景。遵照信息服務(wù)的一般邏輯結(jié)構(gòu)，當(dāng)前數(shù)據(jù)中心應(yīng)對安全風(fēng)險的處置目標(biāo)可以概括為：數(shù)據(jù)安全、信息服務(wù)安全和其他安全。

數(shù)據(jù)安全

數(shù)據(jù)安全的目標(biāo)是使數(shù)據(jù)在存儲、傳輸以及處理的各個時期都能保證其完整準(zhǔn)確，并保持其保密性。其中在數(shù)據(jù)中心常見的涉及數(shù)據(jù)安全的事件包括存儲介質(zhì)故障、密碼破解、網(wǎng)頁或數(shù)據(jù)庫篡改、網(wǎng)站掛馬、數(shù)據(jù)泄密等。

信息服務(wù)安全

信息服務(wù)安全的目標(biāo)是保障服務(wù)的連續(xù)性，使信息服務(wù)可以在任何時空地域都可以被確定的用戶正常的使用，或者信息服務(wù)可以在遭受來自內(nèi)部或外部的不利影響時能夠快速的恢復(fù)服務(wù)，提高系統(tǒng)平均無故障時間（MTBF，MeanTimeBetweenFailures）。

提高信息服務(wù)安全的具體途徑主要包括：分布式系統(tǒng)、容災(zāi)備份等。

其他安全

其他安全包括任何可能影響數(shù)據(jù)安全和信息服務(wù)安全的其他安全因素。例如配電系統(tǒng)的安全、制冷系統(tǒng)的安全、建筑物的安全、人員和其他利益相關(guān)方安全，以及其他潛在和未知的風(fēng)險等。

數(shù)據(jù)中心安全與ISMS

適合于數(shù)據(jù)中心的ISMS需要對ISO/IEC 27000進行裁剪，使其成為完全面向數(shù)據(jù)中心相關(guān)對象的管理體系。在面對各種安全風(fēng)險時，技術(shù)手段通常是能夠根本解決大多數(shù)安全風(fēng)險的最有效方式，因此也是組織內(nèi)部安全風(fēng)險處置決策時的首選。然而與一般的管理體系相同，數(shù)據(jù)中心安全的管理也遵循二八原則，即二成的問題可以通過技術(shù)手段解決，更多的八成問題則只能依靠管理手段才能較好地解決。因此在數(shù)據(jù)中心安全管理體系中，管理手段占有主導(dǎo)地位，但只有技術(shù)與管理手段的有機結(jié)合才能發(fā)揮安全體系的最大效能。

數(shù)據(jù)中心安全管理的具體實踐

資產(chǎn)管理

1.管理目標(biāo)

對應(yīng)ISO/IEC 27002的7、9。

通過對所有數(shù)據(jù)中心所有的設(shè)施資產(chǎn)的登記與定位，使數(shù)據(jù)中心安全管理體系明確需要關(guān)注的對象。具體包括資產(chǎn)數(shù)量、功能、性能、用途、所在位置、當(dāng)前狀態(tài)等。此外這些內(nèi)容也將幫助在風(fēng)險評估小組時對與硬件設(shè)備有關(guān)的風(fēng)險進行考察。

2.實現(xiàn)途徑

例如山東大學(xué)的數(shù)據(jù)中心以方形地板磚為地理定位的標(biāo)準(zhǔn)，對所有的地板磚進行編號，以機柜和其他設(shè)備所占據(jù)的地板編號為定位點，每個機柜和占據(jù)地板磚的設(shè)備上標(biāo)示其所占地板磚編號。此外所有的記錄文本都在“山東大學(xué)IT運維支撐系統(tǒng)”進行編輯和管理，在方便查詢的同時保證版本的一致。

此外“山東大學(xué)IT運維支撐系統(tǒng)”還記錄了《設(shè)備狀態(tài)跟蹤表》的內(nèi)容，可以根據(jù)設(shè)備型號、配置、廠商、網(wǎng)絡(luò)地址、使用單位、地理位置等信息對設(shè)備進行查詢管理。未來“山東大學(xué)IT運維支撐系統(tǒng)”還將實現(xiàn)對設(shè)備實時狀態(tài)的監(jiān)控報警，并實現(xiàn)文檔的管理。

風(fēng)險的評估與管理

1.管理目標(biāo)

表1 資產(chǎn)管理

對應(yīng)ISO/IEC 27001的4.2和ISO/IEC 27002的4中有關(guān)風(fēng)險管理的要求。

風(fēng)險管理的目的是確認整個ISMS可能面臨的威脅數(shù)據(jù)中心安全的各種風(fēng)險，并跟蹤風(fēng)險的處置過程和結(jié)果。風(fēng)險評估是針對數(shù)據(jù)中心的信息服務(wù)組成部分和環(huán)境設(shè)施存在的可能影響整個數(shù)據(jù)中心安全的各種威脅的識別和確認。風(fēng)險跟蹤是通過定期對已識別的風(fēng)險狀態(tài)的檢查掌握所有風(fēng)險的處置情況，保證盡可能多的風(fēng)險都處于組織管理之中。

2.實現(xiàn)途徑

《風(fēng)險管理跟蹤表》記錄每條被識別的風(fēng)險，字段包括：風(fēng)險編號、描述、發(fā)現(xiàn)人、備選處置措施、風(fēng)險狀態(tài)（識別、接受、處理中、關(guān)閉、拒絕）、上次評估時間。

業(yè)務(wù)連續(xù)性管理

1.管理目標(biāo)

對應(yīng)ISO/IEC 27002的14。

業(yè)務(wù)連續(xù)性管理的核心內(nèi)容是根據(jù)由領(lǐng)導(dǎo)層主導(dǎo)的信息安全總體戰(zhàn)略所約束的業(yè)務(wù)連續(xù)性目標(biāo)以及影響業(yè)務(wù)連續(xù)性的風(fēng)險制定對應(yīng)的業(yè)務(wù)連續(xù)性計劃，此外還包括針對業(yè)務(wù)連續(xù)性計劃開展的條件準(zhǔn)備和驗證。常見的業(yè)務(wù)連續(xù)性計劃應(yīng)包括實現(xiàn)連續(xù)性的方法、執(zhí)行該計劃的團隊和人員、保障業(yè)務(wù)連續(xù)性所必須的關(guān)鍵資產(chǎn)和資源。

2.實現(xiàn)途徑

當(dāng)前山東大學(xué)的業(yè)務(wù)連續(xù)性計劃主要針對不同信息服務(wù)對故障恢復(fù)時間的要求制定不同的計劃，并根據(jù)計劃的特點對應(yīng)用系統(tǒng)進行的個性化的定制。對于發(fā)生故障時必須在30分鐘以內(nèi)恢復(fù)的服務(wù)，其業(yè)務(wù)連續(xù)性計劃要求系統(tǒng)由冗余的多活服務(wù)器節(jié)點組成，服務(wù)不會因為由于一個服務(wù)器節(jié)點的故障導(dǎo)致服務(wù)中斷。同時所有的系統(tǒng)數(shù)據(jù)保存在專用的存儲設(shè)備，并實現(xiàn)與備份存儲設(shè)備的數(shù)據(jù)鏡像，保證存儲服務(wù)的可靠性。而對于故障恢復(fù)時間在數(shù)小時以內(nèi)的服務(wù)，計劃僅要求對數(shù)據(jù)進行異地備份，并且不要求系統(tǒng)的多節(jié)點部署。目前已形成以《校園信息系統(tǒng)業(yè)務(wù)連續(xù)性管理》為核心，共計20個文件組成的業(yè)務(wù)連續(xù)性管理體系。

表2 風(fēng)險的評估與管理

操作管理和訪問控制

對應(yīng)ISO/IEC 27002的10、11。

這一部分的主旨是通過一系列的管理手段防范來自系統(tǒng)內(nèi)部或外部的潛在威脅。具體到數(shù)據(jù)中心的環(huán)境中，建立在某些技術(shù)應(yīng)用基礎(chǔ)之上的管理體系是最有效的。

1.操作規(guī)程與變更管理

數(shù)據(jù)中心的任何配置的變更和組成部分的改變都要有文本化的操作規(guī)程作為指導(dǎo)。操作規(guī)程不是只針對一次操作或特定的系統(tǒng)所制定的，此外還應(yīng)有配套的操作記錄證明某一次操作是嚴(yán)格按照操作規(guī)程完成。

定義組織級的變更管理，對所有涉及數(shù)據(jù)中心配置的變更進行評估和管理，并監(jiān)督變更的過程。組織專門的變更管理委員會對具有重大影響的變更進行評估。

2.防范惡意代碼

防范惡意代碼的最基本目標(biāo)是防止未被授權(quán)的程序或系統(tǒng)出現(xiàn)在數(shù)據(jù)中心。數(shù)據(jù)中心應(yīng)通過建立有效的訪問控制機制，一方面審核將要新增的程序或系統(tǒng)是否會帶來安全風(fēng)險，另一方面控制這些風(fēng)險可能的影響范圍，或使其無法對其他信息服務(wù)構(gòu)成影響。此外數(shù)據(jù)中心需要定期對所有系統(tǒng)進行漏洞檢查和修復(fù)。由第三方提供的產(chǎn)品和服務(wù)要及時要求制造廠商進行消缺和驗證。

通常對數(shù)據(jù)中心的各個信息服務(wù)的漏洞掃描是較好的防范惡意代碼的手段，但由于不同的漏洞掃描工具均各有側(cè)重，因此應(yīng)同時應(yīng)用多種掃描工具，盡可能擴大查找漏洞的能力。

3.備份

備份既包括最簡易的數(shù)據(jù)備份，也包括異地的容災(zāi)備份。數(shù)據(jù)備份是最簡易有效地應(yīng)對數(shù)據(jù)損失故障和保護數(shù)據(jù)的方法，快照是目前最常用的數(shù)據(jù)備份方式，快照的頻率和保留時間要根據(jù)組織級的數(shù)據(jù)保護策略及設(shè)備的能力和容量確定。容災(zāi)備份是位于另一個數(shù)據(jù)中心內(nèi)的數(shù)據(jù)副本。并且只有在原信息服務(wù)所在運行環(huán)境完成不能正常運轉(zhuǎn)時，信息服務(wù)才會轉(zhuǎn)移到容災(zāi)備份數(shù)據(jù)中心運行，因此容災(zāi)備份更適宜于抵抗自然災(zāi)害、社會動蕩等無法抵抗的安全風(fēng)險。

表3 業(yè)務(wù)連續(xù)性管理

數(shù)據(jù)備份只能在可以容忍部分數(shù)據(jù)丟失的數(shù)據(jù)中心完全替代數(shù)據(jù)鏡像的職責(zé)，而數(shù)據(jù)鏡像也只能在可以容忍數(shù)據(jù)不能回滾的數(shù)據(jù)中心完全替代數(shù)據(jù)備份，因此數(shù)據(jù)中心應(yīng)合理整合這兩種職責(zé)以達到最有效的風(fēng)險抵御能力。

4.網(wǎng)絡(luò)訪問控制

數(shù)據(jù)中心要根據(jù)具體應(yīng)用的特征對來自網(wǎng)絡(luò)的訪問進行控制。例如對于有確定用戶的服務(wù)限制非授權(quán)地址的訪問；通過建立純內(nèi)網(wǎng)或內(nèi)外網(wǎng)融合的系統(tǒng)拓撲結(jié)構(gòu)杜絕來自外部網(wǎng)絡(luò)的非法訪問，或降低整個系統(tǒng)的被攻擊面積。

5.用戶和系統(tǒng)訪問控制

用戶和系統(tǒng)訪問控制的目的，是明確劃分不同用戶在系統(tǒng)中所具有的訪問權(quán)限，預(yù)防用戶因不符合權(quán)限的操作導(dǎo)致故障發(fā)生。此外避免使用擁有最高權(quán)限的超級管理員進行系統(tǒng)日常維護的操作和正常應(yīng)用。用戶所被賦予的權(quán)限應(yīng)當(dāng)定期進行審計，及時去除與用戶不適宜的權(quán)限分配。

6.實現(xiàn)途徑

山東大學(xué)數(shù)據(jù)中心目前共有各種操作規(guī)程文件40個，并定期對所有的服務(wù)器、存儲設(shè)備和各個系統(tǒng)進行檢查，評估系統(tǒng)安全隱患。山東大學(xué)的網(wǎng)絡(luò)訪問控制通過多級的防火墻體系和其他配套設(shè)備實現(xiàn)，形成縱深配置的防火墻體系。其中軟件防火墻專注于訪問控制，而硬件防火墻著重對用戶操作和流量進行分析和過濾，防范非法的惡意操作。

此外通過建立專門的內(nèi)網(wǎng)環(huán)境對服務(wù)器虛擬化這樣由多服務(wù)器和存儲設(shè)備組成的大型系統(tǒng)集群進行保護，保證虛擬化服務(wù)器、存儲設(shè)備及其他重要的集群管理系統(tǒng)與校園網(wǎng)完全隔離，僅保留虛擬機本身與校園網(wǎng)的網(wǎng)絡(luò)通訊，降低整個虛擬化集群暴露在校園網(wǎng)的被攻擊面積，提高系統(tǒng)安全性。

表4 操作管理和訪問控制

表5 記錄與度量

表6 評審與持續(xù)改進

記錄與度量

1. 管理目標(biāo)

組織內(nèi)部根據(jù)自身條件選擇合適的記錄方式、測量依據(jù)和度量項。

2.實現(xiàn)途徑（見表5）

評審與持續(xù)改進

1.管理目標(biāo)

對應(yīng)ISO/IEC 27001的7、8和ISO/IEC 27002的 15。

評審分為內(nèi)部評審與管理評審，兩種評審都是通過對各種記錄和度量項的分析制定改進方案。內(nèi)部評審是組織內(nèi)部的自我評審，是一種自查自糾式的處理方式。多數(shù)管理評審都是由管理層邀請第三方進行的，以保證評審的公正有效。

持續(xù)改進的目的是通過使用安全策略、安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防性行動和管理評審的信息持續(xù)改進ISMS的有效性，確定需要改進的不符合項。評審為持續(xù)改進提供推動力。

2.實現(xiàn)途徑

目前山東大學(xué)的數(shù)據(jù)中心正在通過推行ITIL最佳實踐和在系統(tǒng)軟件開發(fā)領(lǐng)域推行CMMI項目管理體系，實現(xiàn)信息服務(wù)從立項開發(fā)，到測試上線，再到運維調(diào)整，到最后的服務(wù)下線的信息服務(wù)全生命周期管理?；贗SMS的數(shù)據(jù)中心安全管理體系也將逐步滲透到現(xiàn)有信息服務(wù)生命周期中。

山東大學(xué)的過程改進小組由網(wǎng)絡(luò)與信息中心的分管副主任領(lǐng)導(dǎo)，小組成員都具有 ITIL、CMMI、ISO/IEC 9000和ISO/IEC 9000的管理經(jīng)驗和系統(tǒng)運維經(jīng)驗，對國際標(biāo)準(zhǔn)和國家、地方標(biāo)準(zhǔn)有較深入的認識，并曾經(jīng)參與過國家、地方、行業(yè)和組織內(nèi)部標(biāo)準(zhǔn)的編寫審定工作。此外成員具有良好的溝通能力和積極主動的問題分析能力，適宜組織過程改進工作的開展。

未來發(fā)展

數(shù)據(jù)中心安全管理體系未來的重點是適合的工具及有力的領(lǐng)導(dǎo)與執(zhí)行力，以及通過經(jīng)驗和知識的積累將安全管理策略直接轉(zhuǎn)換為處置方案的能力。另外未來數(shù)據(jù)中心安全管理體系還需要更多的融入到數(shù)據(jù)中心整體管理過程，從而使安全的意識和內(nèi)容滲透在數(shù)據(jù)中心的各個環(huán)節(jié)，這不僅有助于安全措施的落實，也同時也將促進安全體系甚至整個數(shù)據(jù)中心運營的成熟和良性發(fā)展。

國際標(biāo)準(zhǔn)定義的ISMS體系

隨著信息化在人類社會活動中的深入與擴展，信息作為一種重要的、基礎(chǔ)的組織級業(yè)務(wù)資產(chǎn)，對其進行的安全保護已經(jīng)成為保護信息免受各種威脅的損害，確保業(yè)務(wù)連續(xù)性、業(yè)務(wù)風(fēng)險最小化、投資回報和商業(yè)機遇最大化的最重要的保障機制。為了規(guī)范信息服務(wù)所有者、使用者以及其他利益相關(guān)方在保障特定領(lǐng)域或環(huán)境下的信息安全組織機構(gòu)、措施、審計和控制的管理職能，國際標(biāo)準(zhǔn)化組織經(jīng)過20余年的實踐與完善，形成了相對完整的以構(gòu)建一個完整有效的信息安全管理體系（Information Security Management System，簡稱ISMS）為目地的國際標(biāo)準(zhǔn)集。由于這些標(biāo)準(zhǔn)采用相同的編號首兩位數(shù)字，因此該標(biāo)準(zhǔn)架構(gòu)也被統(tǒng)一稱作ISO/IEC27000。

ISO/IEC 27000為ISMS定義信息的隱私、保密及信息技術(shù)層面，也包含法律、人力資源管理、物資管理、供應(yīng)商管理等諸多方面。其核心主旨是通過積極主動的信息安全風(fēng)險評估和風(fēng)險管理促使信息相關(guān)組織對所有的信息安全進行有效的管控。ISO/IEC 27000的核心標(biāo)準(zhǔn)文本是ISO/IEC 27001《信息安全管理體系——需求》和ISO/IEC 27002《信息安全管理實施細則》。其中ISO/IEC 27001定義了ISMS所應(yīng)具有的規(guī)劃、實施、監(jiān)控與評審以及改進。ISO/IEC 27001定義了ISMS如何運作。ISO/IEC 27002定義了一個符合標(biāo)準(zhǔn)的ISMS最基本要實現(xiàn)的職能或功能及度量項。ISO/IEC 27002定義了ISMS要做什么。整個ISO/IEC 27000體系包含的標(biāo)準(zhǔn)文本22個，另外還有11個文本還處于草案階段。本文中的標(biāo)準(zhǔn)采用的 ISO/IEC 27000：2005。