●　陕西省标准化研究院　李琪

运用标准化方法提高数据中心信息安全管理水平

●陕西省标准化研究院李琪

联系国内外信息安全标准化工作现状，结合GB/T 22080-2008和GB/T 22081-2008两项标准，对数据中心面临的信息安全风险进行梳理，针对性地给出信息安全管理和风险控制方法，使数据中心的信息安全管理进一步贯彻先进标准理念，并使数据中心的信息安全管理水平得到有效提高。

标准化数据中心信息安全管理

引言

随着信息技术的飞速发展，人类已经大步跨入信息化社会。然而，信息化社会在带来许多前所未有的便捷的同时，信息安全风险也逐渐增大。信息安全技术的缺乏、信息系统中的大量安全漏洞、网络上遍布的病毒木马、管理上的不规范和操作人员的安全意识淡薄，这些都导致严重的信息安全问题，从而给不法分子可乘之机，给人民财产安全甚至国家安全带来重大隐患。

2014年，有安全平台披露国内在线旅游市场份额最大的服务商——携程网安全支付日志存在漏洞，可导致大规模用户信息如姓名、身份证号、银行卡类别、银行卡号、银行卡CVV码（信用卡背面的3位数安全码）等信息泄露。这些数据一旦落入黑客手中，盗刷银行卡几乎轻而易举。另外，在2015年春运前夕，“12306”网站超过100 000余条的用户数据遭到泄漏，经分析后得知数据泄露的主要原因是黑客的“撞库攻击”。类似的案例还有很多，这些案例都使人们不得不重新审视周边的信息安全风险，相关机构在推进信息化的同时，不得不提高信息安全管理水平。

对于信息化这把“双刃剑”的使用，一方面应继续利用信息技术提升生产力和人民生活水平；另一方面，也应该高度重视信息安全风险，加强研究信息安全技术和制定相关标准，使信息安全在信息化进程中发挥保障作用。

许多机关单位、事业单位和银行、电信等行业机构都设有数据中心以负责数据库和信息系统的建设、运行和维护工作。数据中心对于各类信息系统的安全稳定运行起着重要的支撑作用，但同时也面临严重的信息安全风险和威胁。“三分技术，七分管理”，要使信息系统安全稳定运行并为信息化社会提供支撑和保障，数据中心不但应完善相关信息安全技术，更应该借鉴、吸收和采用国内外先进标准，运用标准化方法有效提高信息安全管理水平。

信息安全管理与标准化

信息安全不仅是技术问题，也是管理问题。标准化是完善管理职能、提高管理效率的好方法。信息安全管理离不开信息安全标准化，而信息安全标准化离不开一系列信息安全标准。信息安全标准是信息安全保障体系建设的技术支撑，是维护国家利益和保障国家安全的一项重要工具。

信息安全管理的标准化工作首先起始于国外。上世纪90年代，国际上已有许多成熟的信息安全管理标准，其中应用最广泛的是BS7799。BS7799是由英国标准协会（British Standard Institute， BSI）于1995年2月制定，并被国际标准化组织（International Standardization Organization， ISO）和国际电工委员会（International Electrotechnical Commission， IEC）共同吸纳为ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系-要求》和ISO/IEC 27002:2005《信息技术-安全技术-信息安全管理实施细则》两项标准。2013年，ISO在修订ISO/IEC 27001:2005和ISO/IEC 27002:2005的基础上发布了ISO/IEC 27001:2013和ISO/IEC 27001:2013。新标准提供了更加全面系统的信息安全管理体系，适应了信息通信技术新形势下的信息安全管理要求。

ISO/IEC 27001是ISO/IEC 27000标准族的主标准，也是目前世界上唯一的信息安全管理标准，成为“信息安全管理”的国际通用语言，被全球5 000多家政府机构和大型企业所采用。ISO/IEC 27001采用的方法是通过“风险评估”和“风险管理”切入企业的信息安全需求，有效降低企业面临的风险。利用ISO/IEC 27001建立信息安全管理体系已成为各类组织机构，特别是高科技产业和金融机构控制风险不可缺少的重要机制。

我国信息安全标准化工作起始于上世纪80年代，直至2002年，我国信息安全标准化工作取得了许多丰硕的早期成果。2002年4月，全国信息安全标准化技术委员会（以下简称“信安标委”）的成立，标志着我国信息安全标准化工作进入了“统筹规划，协调发展”的新时期。信安标委在成立后联合国家各部门制定了一系列涵盖信息安全各方面、解决信息安全关键问题的国家标准，开展了许多富有成效的工作。

2008年，信安标委发布了GB/T 22080-2008和GB/T 22081-2008两项标准，分别等同采用ISO/IEC 27001:2005和ISO/IEC 27002:2005.

数据中心信息安全风险

下面以陕西省组织机构代码管理中心机房作为数据中心的考察原型，讨论数据中心面临的几种最主要的安全风险，为构建贯彻先进标准理念的数据中心信息安全管理体系和提高数据中心信息安全管理水平奠定基础。

1.数据泄漏风险

数据中心服务器储存的数据往往涉及个人隐私、单位信息甚至国家机密，因此数据中心面临较大的数据泄露风险。数据泄露的途径主要有以下几种：

（1）入侵泄露

服务器通过网络设备接入各类业务系统以支持工作的正常开展，然而网络并不是绝对安全，存在许多安全隐患。黑客可以通过网络与操作系统漏洞侵入数据库服务器，窃取机密数据。病毒、木马等恶意程序一旦进入服务器操作系统，会将机密数据通过后门发送给不法分子。

（2）人员泄露

不法人员进入数据中心机房，并获取数据库服务器的访问权限后，会造成机密数据泄露。此外，数据中心工作人员缺乏信息安全意识，不了解信息安全策略、技术和相关法律知识，从而有可能做出违法违规行为，导致数据泄露事件的发生。

（3）传输泄露

数据中心与数据应用单位和其他数据中心存在数据交换的传输信道，这条信道通常是加密信道或专线，但是数据传输信道加密和认证技术的安全等级不一定能够满足信息安全要求，并且传输信道大多数暴露在自然界，极易被不法分子窃听和篡改。

（4）存储介质泄露

迁移或交换数据时经常使用可移动介质来暂存数据，这给数据中心增加了数据泄露风险。U盘、移动硬盘等可移动介质管理难度大、丢失率高，并且极易携带恶意软件，会给数据机密性带来严重威胁。

2.病毒和木马

病毒和木马极易通过网络和可移动介质进入数据库服务器。病毒会干扰、破坏服务器的正常运行，给日常工作业务带来严重影响。木马会在服务器中设置后门，监听并窃取服务器的机密数据和隐私信息。

3.软硬件缺陷

数据中心服务器软硬件及运行其中的各类业务系统，都是由基础电子元件和编程语言代码构成，很难保证不存在缺陷。对于业务量巨大并且储存有机密数据的服务器来说，一个软硬件的缺陷就有可能导致重大损失。因此数据中心的软硬件设施建设必须做到高标准、高质量。

4.误操作风险

数据中心工作人员在服务器或者业务系统上的误操作会导致系统出错甚至瘫痪。虽然误操作可能是无意识的，但是会给用户和单位造成重大损失。因此工作人员的误操作也是数据中心面临的主要信息安全风险之一。

5.物理和环境安全风险

数据中心的物理和环境安全也面临着种种风险，例如雷击、火灾和偷盗等事故，这些事故往往具有突发性和灾难性，会给数据中心带来难以恢复的损失。因此数据中心的物理安全风险也应该被高度重视。

运用标准化方法提高信息安全管理水平

信息安全管理是指导和控制组织关于信息安全风险相互协调的活动，除在制定信息安全策略方针目标基础上选择控制目标和控制方式外，组织还需考虑控制成本与风险平衡原则，将风险降低到可接受水平，整个过程需要全员参与，实时动态管理。下面结合GB/T 22080-2008和GB/T 22081-2008两项标准，对前文所述数据中心面临的信息安全风险给出具体控制措施，并进一步讨论建立、实施、运行、监视、评审、保持和改进数据中心信息安全管理体系的过程和要求，使数据中心信息安全管理水平得到有效提高。

1.控制信息安全风险

针对前文所述的数据中心面临的信息安全风险，从GB/ T 22080-2008附录A列出的11个安全领域中，选取安全方针；物理和环境安全；通信和操作管理；访问控制；信息系统获取、开发和维护这5个安全领域来具体给出对应的风险控制方法。

（1）安全方针

数据中心的信息安全方针应该满足以下原则：①安全与效率兼顾，预防与防御兼备，全面与改进兼具；②成为各类业务系统运行安全、数据储存与传输安全、物理安全等方面的总体框架和指导性文件；③按照PDCA方法建立并持续改进数据中心ISMS，建立长效机制不断提高数据中心信息安全管理水平。

（2）物理和环境安全

①室内安全：对于数据中心机房的周边、入口等地方设置进出安全保护措施，如刷卡出入或建立出入登记制度。应设计和采取物理保护措施保证数据中心不受火灾、地震、洪水和偷盗等各种自然灾害和人为破坏。

②室外安全：应将数据中心的各类设备放置到物理和环境安全区域，杜绝非授权的访问，并加强基础设施的建设、维护和安全。自然环境中的传输交换线缆应该保证不被窃听和损坏。

（3）通信和操作管理

①为增强系统的可扩展性，系统在建设时应对未来的容量进行预测。在系统验收时确立验收准则，并在建设中和验收前对系统进行测试。

②严格制定恶意代码的控制措施，积极检测、预防恶意代码。制定合理的培训计划提高数据中心工作人员和用户的信息安全意识。

③定期对数据中心的重要数据进行备份，定期检测、检查数据库设备和数据库备份软件的运行，并指定专人对数据备份情况定期进行检查和管理。

④网络管理员应实施控制措施，以确保网络上的信息安全，防止未授权访问所连接的服务。对于网络信息传输和远程设备的访问，应该制定相应的认证、授权和保密方案。传输和交换数据时应使用专线或加密信道，远程连接服务器应设置相应的认证和授权机制。网络管理员应定期查看服务器相关日志，审计服务器操作行为。

⑤对于U盘、光盘等可移动介质，数据中心应制定严密的管理方案，内容包括：可移动介质务必保存在安全、保密环境；对可移动介质的使用实行登记制度；严格控制可移动介质的使用，只有在业务必需时才可使用可移动介质。

⑥信息交换应使用经过认证的加密信道，确保保密内容在安全环境中传输，并防止交换信息被窃听、篡改和伪造。定期进行安全检查，防止数据中心工作人员的通信工具和办公电脑被窃听或植入非法程序。

（4）访问控制

建立访问控制策略并形成文档，内容包括各类业务系统的安全要求及其面临的风险、授权及撤销授权的策略和访问权管理等内容。

对于授权用户应建立认证机制，防止未授权用户的访问甚至破坏。

对于远程访问，应严格遵循访问控制策略，禁止未授权用户的访问，授权用户也只能访问和使用授权范围内的服务。远程访问应使用密码技术、VPN或专线来认证用户的身份，并根据安全等级选择适当的认证方式。

在规划和建设数据中心网络设施时，可将其划分为多个逻辑隔离区域，每个逻辑隔离区域可分别定义不同的安全等级和控制措施。

（5）信息系统获取、开发和维护

数据中心的信息系统在设计、开发时应充分考虑安全性。在采购信息系统时应给出安全要求，如果该信息系统未能满足安全要求，则需对其重新引入安全控制目标和控制措施；如果信息系统的附加功能引入安全风险，则可考虑禁用此功能或提高该功能的安全性。

应用信息系统时的操作关系到信息系统的运行安全，因此应制定措施防止对信息系统的误操作、数据遗失和未授权修改等。对输入、输出数据应进行确认，确保数据正确无误。应严格控制对信息系统文件的访问和修改，使系统文件受到损害的风险降到最小。

可以使用密码技术对信息进行加密和签名，以保证信息的保密性、完整性和不可抵赖性。

对系统源代码要加以保护、访问控制和审计，防止未授权的修改和破坏。

应及时收集当前信息系统所采用技术的脆弱性信息，一旦潜在的技术脆弱性被确认，需识别风险并制定相关措施。

2.构建信息安全管理体系

为提高数据中心信息安全管理水平并使数据中心在各类业务系统的安全稳定运行中发挥更加坚强的保障作用，构建数据中心信息安全管理体系（ISMS）是一种有效方法。按照GB/T 22080-2008标准的4.2.1所述，数据中心结合面临的信息安全风险建立、实施、运行、监视、评审ISMS，形成文件，并保持和改进其有效性。

GB/T 22080-2008标准采用了“规划（Plan）-实施（Do）-检查（Check）-处置（Act）”（PDCA）模型来构建ISMS。采用PDCA模型的ISMS的描述如图1所示，其中PDCA模型各个过程的主要内容如表1所示，该模型可用于所有的ISMS过程。

表1　PDCA过程与主要内容

经过深入研究GB/T 22080-2008，数据中心建立和管理ISMS应达到以下几点要求：

（1）确定ISMS方针

对数据中心的业务、组织、位置、资产和技术等方面的特性进行全面梳理和总结，确定ISMS的范围和边界，并进一步确定ISMS方针。ISMS方针应满足“安全与效率兼顾，预防与防御兼备，全面与改进兼具”的原则，对数据中心的业务系统和数据提供一个全面保护、重点突出、持续改进、体系管理的信息安全管理框架，为数据中心建立和管理ISMS设立总体纲领和目标要求。

（2）对ISMS建立和管理的流程方法文件化

文件化的目标是形成一批数据中心工作人员长期并严格遵循的规范性文件。文件中除ISMS的范围、边界和方针之外，还应包括风险识别、评估、分析处理、实施、运行、监视、评审、保持和改进ISMS的一系列规程和要求。文档要求按照GB/T 22080-2008标准中4.3所述，应包括管理决定的记录，以确保所采取的措施符合管理决定和方针策略，还应确保所记录的结果是可重复产生的。文档能够显示出所选择的控制措施回溯到风险评估和风险处理过程的结果，并进而回溯到ISMS方针和目标之间的关系。

图1　采用PDCA模型的ISMS

在编制ISMS文档时，应按照GB/T 22080-2008标准中4.3要求，对ISMS文档的包含内容、文档控制措施和记录控制加以规范，使得文档对于提高数据中心信息安全管理水平发挥作用。

（3）ISMS的管理职责、内审和管理评审

对于管理职责，首先，数据中心管理者应该提供管理承诺，为ISMS实施提供保证。其次，数据中心应为ISMS实施提供资源。最后，数据中心应通过培训、评价等措施确保所有被赋予ISMS职责的人员具有执行要求任务的能力。

数据中心应该按照计划的时间间隔进行ISMS内部审核，以确定其ISMS的控制目标、控制措施、过程和规程是否符合GB/T 22080-2008标准、相关法律法规和其他信息安全要求，以及是否得到有效实施和保持。

数据中心管理者应按计划时间评审ISMS，以确保其持续的适宜性、充分性和有效性，并将评审结果文件化保存。

（4）持续改进ISMS

数据中心应利用实施ISMS过程中的相关反馈和结果，持续改进ISMS的有效性。对于与ISMS要求不符合的行为和规程，数据中心应积极采取措施消除，并形成文档。数据中心还应积极执行预防措施，以消除潜在的不符合行为和规程。

结语

标准化是提高数据中心信息安全管理水平的有效方法。本文联系国内外信息安全标准和标准化工作现状，结合GB/ T 22080-2008和GB/T 22081-2008两项标准，对数据中心面临的信息安全风险进行梳理，给出针对性的风险控制和信息安全管理体系构建方法，使数据中心的信息安全管理进一步贴近国内外先进标准，并使管理水平进一步得到提高。■

[1]吴国庆，赵琳娣.基于ISO27001:2005的电网公司信息安全管理[J].信息技术与标准化，2007（09）：39-41.

[2]许玉娜，罗锋盈.我国信息安全标准体系解析[J].保密科学技术，2014（01）：17-20.

[3]桓德铭，张艳荣，朱本行.ISO27001在组织机构代码服务中的应用研究[J].标准科学，2014（05）：94-96.

[4]GB/T 22081-2008信息安全管理实用规则[S].

[5]GB/T 22080-2008信息安全管理体系要求[S].