数据中心运维之数据中心安全管理

数据中心安全管理，是通过对数据中心安全管理组织、基础环境安全、信息技术安全的制定和实施，来确保数据中心的信息安全、技术安全和物理安全。数据中心安全管理的关键点包括：

（1）数据中心安全管理框架。数据中心安全管理的框架，主要考虑下面的基本因素：

1)安全管理制度与策略。包括安全管理策略、安全管理制度、安全管理机构和人员安全管理。

2)数据中心物理与设备安全。包括建筑物结构安全、数据中心电力安全、空调系统及通信安全和数据中心安保系统。

3)数据中心信息技术安全。包括资产安全管理、通信安全管理、网络安全管理、系统安全管理、数据安全管理、软件开发安全和数据中心权限安全。

（2）数据中心安全管理总则。数据中心安全管理总则包括下面的基本内容：

1)应制订明确的数据中心系统总体安全保障目标，建立数据中心信息安全管理工作的总体方针和策略，将数据中心信息安全保障及信息安全风险管理纳入公司全面风险管理体系。

2)应结合数据中心发展战略及业务特点，建立数据中心信息安全保障以及信息安全风险管理框架、策略及流程，制订针对数据中心运行与维护、备份与恢复、应急事件处置以及客户系统运维、信息保密等的安全策略。

3)应制订数据中心系统使用的网络设备、主机设备、安全设备的配置和使用的安全策略。

4)应建立数据中心信息安全风险管理策略，至少包括风险评价和定级、风险偏好、容忍度及参数制订、风险控制、成本及效益评价、控制措施有效性评价策略等，应根据数据中心发展及检查审计结果，定期修订策略。

5)应建立数据中心信息安全风险的持续监测机制，建立风险预警、报告、响应和处理机制，明确风险报告的内容、流程、主客体以及频率，建立符合数据中心实际状况的关键风险指标体系，实现信息安全风险监测的自动化，保证高级管理层和相关部门及时获取数据中心信息安全风险变化，验证现有控制措施的有效性。

6)对于衍生的数据中心信息安全风险以及未按计划达到的控制目标，应重新启动信息安全风险评估流程，制定和选择新的风险控制措施，对已接受的风险，定期进行再评估。

7)应按照国家及行业信息系统信息安全等级保护工作有关要求，开展数据中心系统信息安全测评及整改工作。

8)在选择外部评估时，应对其加强安全管理，签订保密协议或在相关服务协议中明确保密条款，避免泄露敏感信息。

9)应做好数据中心相关的新业务（IaaS云计算等）设计以及主要技术路线选择等关键规划的深入论证工作，关注产品及技术路线的合规性、相关业务及技术规则的一致性和延续性，以及系统间的关联性、依赖性，平衡客户体验和安全性，通过增加关键控制机制等措施防范潜在重要安全隐患，避免产生潜在的信息安全风险。

10)若人力、资源情况等条件许可，应规定所有与数据中心相关的信息资产的安全级别，并制订与其安全级别相对应的保护措施。

（3）安全组织架构

 1)岗位设置。应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；应设立系统管理员、网络管理员和安全管理员等岗位，并定义各个工作岗位的职责；建立由董事会、高级管理层负责、相关各部门负责人及内部专家参与的数据中心信息安全领导协调机制；应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。

2)人员配备。应配备一定数量的系统管理员、网络管理员和安全管理员等；应配备专职安全管理员，实行A、B岗制度，不可兼任其他岗位；关键事务岗位应配备多人共同管理。

3)授权和审批。应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等；应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度；应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息；应记录审批过程并保存审批文档；用户应被授予完成所承担任务所需的最小权限，重要岗位的员工之间应形成相互制约的关系。权限变更应执行相关审批流程，并有完整的变更记录；应建立系统用户及权限清单，定期对员工权限进行检查核对，发现越权用户要查明原因并及时调整，同时清理过期用户权限，做好记录归档。

4)沟通和合作。应加强各类管理人员之间、组织内部机构之间，以及信息安全职能部门内部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问题；应加强与兄弟公司、国家信息安全中心、公安机关、电信和网通等ISP公司的合作沟通以及应急协调机制，有效处置网络与信息安全事件；应加强与供应商、业界专家、专业的安全公司及安全组织的合作与沟通，增强日常安全防护、突发事件处置和故障处理等方面的能力；应建立外联公司联系列表，包括外联公司名称、合作内容、联系人和联系方式等信息；应关注和参加行业内信息安全研讨，学习更新安全知识和理念；应聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等。

5)审核与检查。安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；应由内部人员或审计公司定期进行全面安全检查，至少每年开展一次数据中心全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；内部审计部门应至少每两年对数据中心开展一次审计，审计内容至少包括相关管理制度的完备性及其执行的有效性，相关操作流程的合理性与合规性，信息安全保障体系的完备性和有效性，信息安全风险管理、规划实施、信息系统运行的安全性及重要客户信息和数据的安全性、应急管理、外包管理的有效性、SLA执行情况，以及其他重要信息安全保障的情况；评估和管理第三方公司或外包项目的安全。