文/万林

与一般的管理体系相同，数据中心安全的管理也遵循二八原则，即二成的问题可以通过技术手段解决，更多的八成问题则只能依靠管理手段才能较好地解决。

当前数据中心安全风险

数据中心是目前最重要的组织级信息服务的提供与承载平台，因此这也是信息安全风险最为密集的具体场景。遵照信息服务的一般逻辑结构，当前数据中心应对安全风险的处置目标可以概括为：数据安全、信息服务安全和其他安全。

数据安全

数据安全的目标是使数据在存储、传输以及处理的各个时期都能保证其完整准确，并保持其保密性。其中在数据中心常见的涉及数据安全的事件包括存储介质故障、密码破解、网页或数据库篡改、网站挂马、数据泄密等。

信息服务安全

信息服务安全的目标是保障服务的连续性，使信息服务可以在任何时空地域都可以被确定的用户正常的使用，或者信息服务可以在遭受来自内部或外部的不利影响时能够快速的恢复服务，提高系统平均无故障时间（MTBF，MeanTimeBetweenFailures）。

提高信息服务安全的具体途径主要包括：分布式系统、容灾备份等。

其他安全

其他安全包括任何可能影响数据安全和信息服务安全的其他安全因素。例如配电系统的安全、制冷系统的安全、建筑物的安全、人员和其他利益相关方安全，以及其他潜在和未知的风险等。

数据中心安全与ISMS

适合于数据中心的ISMS需要对ISO/IEC 27000进行裁剪，使其成为完全面向数据中心相关对象的管理体系。在面对各种安全风险时，技术手段通常是能够根本解决大多数安全风险的最有效方式，因此也是组织内部安全风险处置决策时的首选。然而与一般的管理体系相同，数据中心安全的管理也遵循二八原则，即二成的问题可以通过技术手段解决，更多的八成问题则只能依靠管理手段才能较好地解决。因此在数据中心安全管理体系中，管理手段占有主导地位，但只有技术与管理手段的有机结合才能发挥安全体系的最大效能。

数据中心安全管理的具体实践

资产管理

1.管理目标

对应ISO/IEC 27002的7、9。

通过对所有数据中心所有的设施资产的登记与定位，使数据中心安全管理体系明确需要关注的对象。具体包括资产数量、功能、性能、用途、所在位置、当前状态等。此外这些内容也将帮助在风险评估小组时对与硬件设备有关的风险进行考察。

2.实现途径

例如山东大学的数据中心以方形地板砖为地理定位的标准，对所有的地板砖进行编号，以机柜和其他设备所占据的地板编号为定位点，每个机柜和占据地板砖的设备上标示其所占地板砖编号。此外所有的记录文本都在“山东大学IT运维支撑系统”进行编辑和管理，在方便查询的同时保证版本的一致。

此外“山东大学IT运维支撑系统”还记录了《设备状态跟踪表》的内容，可以根据设备型号、配置、厂商、网络地址、使用单位、地理位置等信息对设备进行查询管理。未来“山东大学IT运维支撑系统”还将实现对设备实时状态的监控报警，并实现文档的管理。

风险的评估与管理

1.管理目标

表1 资产管理

对应ISO/IEC 27001的4.2和ISO/IEC 27002的4中有关风险管理的要求。

风险管理的目的是确认整个ISMS可能面临的威胁数据中心安全的各种风险，并跟踪风险的处置过程和结果。风险评估是针对数据中心的信息服务组成部分和环境设施存在的可能影响整个数据中心安全的各种威胁的识别和确认。风险跟踪是通过定期对已识别的风险状态的检查掌握所有风险的处置情况，保证尽可能多的风险都处于组织管理之中。

2.实现途径

《风险管理跟踪表》记录每条被识别的风险，字段包括：风险编号、描述、发现人、备选处置措施、风险状态（识别、接受、处理中、关闭、拒绝）、上次评估时间。

业务连续性管理

1.管理目标

对应ISO/IEC 27002的14。

业务连续性管理的核心内容是根据由领导层主导的信息安全总体战略所约束的业务连续性目标以及影响业务连续性的风险制定对应的业务连续性计划，此外还包括针对业务连续性计划开展的条件准备和验证。常见的业务连续性计划应包括实现连续性的方法、执行该计划的团队和人员、保障业务连续性所必须的关键资产和资源。

2.实现途径

当前山东大学的业务连续性计划主要针对不同信息服务对故障恢复时间的要求制定不同的计划，并根据计划的特点对应用系统进行的个性化的定制。对于发生故障时必须在30分钟以内恢复的服务，其业务连续性计划要求系统由冗余的多活服务器节点组成，服务不会因为由于一个服务器节点的故障导致服务中断。同时所有的系统数据保存在专用的存储设备，并实现与备份存储设备的数据镜像，保证存储服务的可靠性。而对于故障恢复时间在数小时以内的服务，计划仅要求对数据进行异地备份，并且不要求系统的多节点部署。目前已形成以《校园信息系统业务连续性管理》为核心，共计20个文件组成的业务连续性管理体系。

表2 风险的评估与管理

操作管理和访问控制

对应ISO/IEC 27002的10、11。

这一部分的主旨是通过一系列的管理手段防范来自系统内部或外部的潜在威胁。具体到数据中心的环境中，建立在某些技术应用基础之上的管理体系是最有效的。

1.操作规程与变更管理

数据中心的任何配置的变更和组成部分的改变都要有文本化的操作规程作为指导。操作规程不是只针对一次操作或特定的系统所制定的，此外还应有配套的操作记录证明某一次操作是严格按照操作规程完成。

定义组织级的变更管理，对所有涉及数据中心配置的变更进行评估和管理，并监督变更的过程。组织专门的变更管理委员会对具有重大影响的变更进行评估。

2.防范恶意代码

防范恶意代码的最基本目标是防止未被授权的程序或系统出现在数据中心。数据中心应通过建立有效的访问控制机制，一方面审核将要新增的程序或系统是否会带来安全风险，另一方面控制这些风险可能的影响范围，或使其无法对其他信息服务构成影响。此外数据中心需要定期对所有系统进行漏洞检查和修复。由第三方提供的产品和服务要及时要求制造厂商进行消缺和验证。

通常对数据中心的各个信息服务的漏洞扫描是较好的防范恶意代码的手段，但由于不同的漏洞扫描工具均各有侧重，因此应同时应用多种扫描工具，尽可能扩大查找漏洞的能力。

3.备份

备份既包括最简易的数据备份，也包括异地的容灾备份。数据备份是最简易有效地应对数据损失故障和保护数据的方法，快照是目前最常用的数据备份方式，快照的频率和保留时间要根据组织级的数据保护策略及设备的能力和容量确定。容灾备份是位于另一个数据中心内的数据副本。并且只有在原信息服务所在运行环境完成不能正常运转时，信息服务才会转移到容灾备份数据中心运行，因此容灾备份更适宜于抵抗自然灾害、社会动荡等无法抵抗的安全风险。

表3 业务连续性管理

数据备份只能在可以容忍部分数据丢失的数据中心完全替代数据镜像的职责，而数据镜像也只能在可以容忍数据不能回滚的数据中心完全替代数据备份，因此数据中心应合理整合这两种职责以达到最有效的风险抵御能力。

4.网络访问控制

数据中心要根据具体应用的特征对来自网络的访问进行控制。例如对于有确定用户的服务限制非授权地址的访问；通过建立纯内网或内外网融合的系统拓扑结构杜绝来自外部网络的非法访问，或降低整个系统的被攻击面积。

5.用户和系统访问控制

用户和系统访问控制的目的，是明确划分不同用户在系统中所具有的访问权限，预防用户因不符合权限的操作导致故障发生。此外避免使用拥有最高权限的超级管理员进行系统日常维护的操作和正常应用。用户所被赋予的权限应当定期进行审计，及时去除与用户不适宜的权限分配。

6.实现途径

山东大学数据中心目前共有各种操作规程文件40个，并定期对所有的服务器、存储设备和各个系统进行检查，评估系统安全隐患。山东大学的网络访问控制通过多级的防火墙体系和其他配套设备实现，形成纵深配置的防火墙体系。其中软件防火墙专注于访问控制，而硬件防火墙着重对用户操作和流量进行分析和过滤，防范非法的恶意操作。

此外通过建立专门的内网环境对服务器虚拟化这样由多服务器和存储设备组成的大型系统集群进行保护，保证虚拟化服务器、存储设备及其他重要的集群管理系统与校园网完全隔离，仅保留虚拟机本身与校园网的网络通讯，降低整个虚拟化集群暴露在校园网的被攻击面积，提高系统安全性。

表4 操作管理和访问控制

表5 记录与度量

表6 评审与持续改进

记录与度量

1. 管理目标

组织内部根据自身条件选择合适的记录方式、测量依据和度量项。

2.实现途径（见表5）

评审与持续改进

1.管理目标

对应ISO/IEC 27001的7、8和ISO/IEC 27002的 15。

评审分为内部评审与管理评审，两种评审都是通过对各种记录和度量项的分析制定改进方案。内部评审是组织内部的自我评审，是一种自查自纠式的处理方式。多数管理评审都是由管理层邀请第三方进行的，以保证评审的公正有效。

持续改进的目的是通过使用安全策略、安全目标、审核结果、监控事件的分析、纠正和预防性行动和管理评审的信息持续改进ISMS的有效性，确定需要改进的不符合项。评审为持续改进提供推动力。

2.实现途径

目前山东大学的数据中心正在通过推行ITIL最佳实践和在系统软件开发领域推行CMMI项目管理体系，实现信息服务从立项开发，到测试上线，再到运维调整，到最后的服务下线的信息服务全生命周期管理。基于ISMS的数据中心安全管理体系也将逐步渗透到现有信息服务生命周期中。

山东大学的过程改进小组由网络与信息中心的分管副主任领导，小组成员都具有 ITIL、CMMI、ISO/IEC 9000和ISO/IEC 9000的管理经验和系统运维经验，对国际标准和国家、地方标准有较深入的认识，并曾经参与过国家、地方、行业和组织内部标准的编写审定工作。此外成员具有良好的沟通能力和积极主动的问题分析能力，适宜组织过程改进工作的开展。

未来发展

数据中心安全管理体系未来的重点是适合的工具及有力的领导与执行力，以及通过经验和知识的积累将安全管理策略直接转换为处置方案的能力。另外未来数据中心安全管理体系还需要更多的融入到数据中心整体管理过程，从而使安全的意识和内容渗透在数据中心的各个环节，这不仅有助于安全措施的落实，也同时也将促进安全体系甚至整个数据中心运营的成熟和良性发展。

国际标准定义的ISMS体系

随着信息化在人类社会活动中的深入与扩展，信息作为一种重要的、基础的组织级业务资产，对其进行的安全保护已经成为保护信息免受各种威胁的损害，确保业务连续性、业务风险最小化、投资回报和商业机遇最大化的最重要的保障机制。为了规范信息服务所有者、使用者以及其他利益相关方在保障特定领域或环境下的信息安全组织机构、措施、审计和控制的管理职能，国际标准化组织经过20余年的实践与完善，形成了相对完整的以构建一个完整有效的信息安全管理体系（Information Security Management System，简称ISMS）为目地的国际标准集。由于这些标准采用相同的编号首两位数字，因此该标准架构也被统一称作ISO/IEC27000。

ISO/IEC 27000为ISMS定义信息的隐私、保密及信息技术层面，也包含法律、人力资源管理、物资管理、供应商管理等诸多方面。其核心主旨是通过积极主动的信息安全风险评估和风险管理促使信息相关组织对所有的信息安全进行有效的管控。ISO/IEC 27000的核心标准文本是ISO/IEC 27001《信息安全管理体系——需求》和ISO/IEC 27002《信息安全管理实施细则》。其中ISO/IEC 27001定义了ISMS所应具有的规划、实施、监控与评审以及改进。ISO/IEC 27001定义了ISMS如何运作。ISO/IEC 27002定义了一个符合标准的ISMS最基本要实现的职能或功能及度量项。ISO/IEC 27002定义了ISMS要做什么。整个ISO/IEC 27000体系包含的标准文本22个，另外还有11个文本还处于草案阶段。本文中的标准采用的 ISO/IEC 27000：2005。