吳東

【摘 要】“大數(shù)據(jù)”、“互聯(lián)網(wǎng)+”等一系列的政府導(dǎo)向性政策，不斷促動(dòng)和加快著我國(guó)信息化進(jìn)程步伐，以至于數(shù)據(jù)中心行業(yè)的猛烈性崛起。爆發(fā)式激增必定伴隨著層出不窮的隱患和問(wèn)題，信息安全則是當(dāng)今企業(yè)甚至是社會(huì)大眾普遍關(guān)注的一項(xiàng)重點(diǎn)。如何對(duì)企業(yè)數(shù)據(jù)中心項(xiàng)目的信息安全管理工作進(jìn)行合理定位，如何讓信息安全管理工作與企業(yè)日常業(yè)務(wù)完美契合，如何確保信息安全管理持續(xù)穩(wěn)定的發(fā)揮其應(yīng)有的作用，乃至于在面對(duì)來(lái)自?xún)?nèi)外部、主動(dòng)或被動(dòng)威脅時(shí)，能夠合理的開(kāi)展督導(dǎo)和管控，都成為了企業(yè)數(shù)據(jù)中心項(xiàng)目日常運(yùn)維的主要工作內(nèi)容。

【關(guān)鍵詞】信息安全；數(shù)據(jù)中心；安全管理

經(jīng)歷了近50年發(fā)展歷程的數(shù)據(jù)中心，在當(dāng)代IT技術(shù)飛速變革以及信息資源噴井式爆發(fā)的大數(shù)據(jù)時(shí)代的促動(dòng)下，數(shù)據(jù)中心在企業(yè)中的關(guān)注度日益提高，其發(fā)展步伐也日漸加快。目前貫通全球的互聯(lián)網(wǎng)就是在無(wú)數(shù)個(gè)數(shù)據(jù)中心的支持下運(yùn)作的，數(shù)據(jù)中心為互聯(lián)網(wǎng)提供了其所需的智能分析手段和信息存管功能。步入21世紀(jì)之后，我國(guó)進(jìn)一步推進(jìn)國(guó)民經(jīng)濟(jì)與社會(huì)信息化建設(shè)進(jìn)程，以此作為提升政府執(zhí)政能力、改善民生、推動(dòng)社會(huì)與經(jīng)濟(jì)發(fā)展的重要舉措。2015年3月5日的十二屆全國(guó)人大三次會(huì)議中，總理李克強(qiáng)在政府工作報(bào)告中提出的“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃，再次將移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等信息化產(chǎn)業(yè)規(guī)劃與創(chuàng)新推上了新潮。其中，數(shù)據(jù)中心產(chǎn)業(yè)也備受業(yè)界的關(guān)注。

一、宏觀(guān)管理

信息安全管理委員會(huì)主任由公司總經(jīng)理?yè)?dān)任，副總經(jīng)理以及各部門(mén)負(fù)責(zé)人為相關(guān)委員。由總經(jīng)理主導(dǎo)該組織對(duì)信息安全管理有關(guān)的重大事項(xiàng)及變更進(jìn)行決策與批準(zhǔn)，包括：信息安全管理范疇、方針及需求的更改等。同時(shí)，總經(jīng)理?yè)?dān)任主任后，首要舉措就是在全公司范圍內(nèi)直接下發(fā)信息安全管理制度，極大程度上提高了公司全體員工對(duì)信息安全管理工作的重視程度，并以此支持和推動(dòng)了該項(xiàng)工作在公司范圍內(nèi)的實(shí)施。

管理者代表則由運(yùn)營(yíng)中心負(fù)責(zé)人擔(dān)任。在組織成立、落實(shí)、運(yùn)行和改進(jìn)信息安全管理體系的基礎(chǔ)上，擔(dān)任公司直屬I(mǎi)T部門(mén)負(fù)責(zé)人，其在信息安全工作中更多的提供專(zhuān)業(yè)技術(shù)上的支持。例如，結(jié)合公司數(shù)據(jù)中心項(xiàng)目網(wǎng)絡(luò)搭建現(xiàn)狀，提出信息安全管理技術(shù)方案、網(wǎng)絡(luò)系統(tǒng)管控措施等[1]。

信息安全工作小組成員則根據(jù)信息安全委員會(huì)要求，公司每個(gè)部門(mén)至少擇派了一名員工加入。由此，該工作小組在真正滲透到公司每個(gè)部門(mén)的基礎(chǔ)上，每名成員也成為了其所在部門(mén)的信息安全工作主導(dǎo)者，更有針對(duì)性的對(duì)相應(yīng)部門(mén)所管理、使用的信息資產(chǎn)安全進(jìn)行保護(hù)。

公司全體員工在以上三層機(jī)構(gòu)的督導(dǎo)下，嚴(yán)格遵守著國(guó)家、集團(tuán)和公司的信息安全政策，采取安全負(fù)責(zé)的方式使用著公司的信息資產(chǎn)。

二、物理安全管理

在ID權(quán)限識(shí)別道閘、電子脈沖圍欄、防尾隨通道等高標(biāo)準(zhǔn)物理防護(hù)設(shè)備與保安周界巡護(hù)的雙重的配備下，公司一度放松了對(duì)物理安全方面的管控。但經(jīng)過(guò)信息安全管理體系的前期風(fēng)險(xiǎn)識(shí)別，發(fā)現(xiàn)在該層面仍然存在諸多信息安全隱患，公司隨即著手進(jìn)行整改。

（一）明確物理訪(fǎng)問(wèn)控制

數(shù)據(jù)中心出入通道的管理：目前，為了便于工程師日常巡檢及維護(hù)工作的開(kāi)展，數(shù)據(jù)中心機(jī)房、各功能間內(nèi)均設(shè)立2—3個(gè)出入通道。特別是一層機(jī)房的出入通道還與相鄰功能間貫通。為了控制數(shù)據(jù)中心核心空間進(jìn)出人員，公司重新設(shè)定了日常通道使用出入口，對(duì)現(xiàn)有使用率不高的通道進(jìn)行重點(diǎn)管理。同時(shí)，將人員、貨物通路作以物理隔離，避免了人、貨交叉的失控情況[2]。此外，還通過(guò)將外圍報(bào)警系統(tǒng)與大門(mén)狀態(tài)聯(lián)動(dòng)的形式，對(duì)非法破壞、人為疏忽導(dǎo)致的大門(mén)常開(kāi)、無(wú)法正常鎖閉等情況進(jìn)行實(shí)時(shí)告警。

（二）細(xì)分物理鎖管理權(quán)限

無(wú)論是核心功能間鎖、機(jī)柜鎖還是一般區(qū)域鎖，在數(shù)據(jù)中心鎖是大量使用的保護(hù)裝置。針對(duì)物理鑰匙存在易被復(fù)制、轉(zhuǎn)借等隱患，公司統(tǒng)一將現(xiàn)有鑰匙從物業(yè)保安部門(mén)進(jìn)行回收整理，按照物理鎖對(duì)應(yīng)房間的信息安全等級(jí)進(jìn)行鑰匙管理權(quán)限的重新分配。即所有與數(shù)據(jù)中心核心設(shè)備相關(guān)的房間鑰匙均由運(yùn)營(yíng)中心進(jìn)行管理。樓宇以及行政區(qū)域鑰匙由物業(yè)部門(mén)統(tǒng)一把控[3]。

（三）跟進(jìn)技術(shù)管控日志分析

目前，數(shù)據(jù)中心在樓體內(nèi)部關(guān)鍵部位安裝了360度高清影像頭、紅外偵測(cè)儀、夜視儀，全區(qū)域出入口安裝了門(mén)禁系統(tǒng)，甚至在核心區(qū)域入口配備了指靜脈身份識(shí)別系統(tǒng)?？梢哉f(shuō)，在高端技術(shù)設(shè)備配備方面，公司足以滿(mǎn)足信息安全管理標(biāo)準(zhǔn)。相應(yīng)的，公司結(jié)合信息安全管理體系要求，進(jìn)一步對(duì)監(jiān)控日志的審計(jì)、留存以及同步加強(qiáng)了管理。公司要求信息安全工作小組組長(zhǎng)及運(yùn)營(yíng)中心負(fù)責(zé)人每月度對(duì)各類(lèi)監(jiān)控日志進(jìn)行審計(jì)，且編寫(xiě)審計(jì)日志報(bào)告，內(nèi)容需涵蓋用戶(hù)活動(dòng)、異常事件和信息安全事件等內(nèi)容。審計(jì)日志文檔至少保存1年，以備調(diào)查和訪(fǎng)問(wèn)控制監(jiān)視工作使用。信息安全委員會(huì)主任每半年對(duì)相關(guān)日志文檔進(jìn)行抽查審計(jì)[4]。另外，公司還要求同一個(gè)安全區(qū)域內(nèi)容的所有相關(guān)信息處理設(shè)施的時(shí)鐘與標(biāo)準(zhǔn)事件的誤差不超過(guò)10秒，以此確保日志的準(zhǔn)確性和實(shí)時(shí)性。

三、人員安全管理

（一）深化人力資源管理

在針對(duì)公司員工現(xiàn)有員工進(jìn)行信息安全管理相關(guān)培訓(xùn)的同時(shí)，在新進(jìn)員工的招聘方面，公司結(jié)合信息安全管理體系關(guān)于人力資源安全方面要求，從招聘、入職到離職整個(gè)流程都著重于信息安全層面進(jìn)行了大量工作。入職前，對(duì)重要人員的入職資格進(jìn)行資格驗(yàn)證。入職后，與其簽署必要的合同和信息安全保密協(xié)議。將信息安全意識(shí)教育做為新員工入職培訓(xùn)的基本內(nèi)容，定期加強(qiáng)員工安全意識(shí)教育。工作中，將信息安全工作的執(zhí)行情況列入階段性KIP考核中。離職或雇傭變更時(shí)，及時(shí)收回與之相關(guān)的資產(chǎn)信息，并調(diào)整或撤銷(xiāo)訪(fǎng)問(wèn)控制權(quán)限。

（二）關(guān)注第三方訪(fǎng)問(wèn)安全

作為集團(tuán)以及地域周邊頂級(jí)數(shù)據(jù)中心，兄弟公司、政府、客戶(hù)參觀(guān)團(tuán)的接待任務(wù)繁重。對(duì)此，公司確立了一項(xiàng)詳細(xì)的接待指引。首先，對(duì)來(lái)訪(fǎng)者的訪(fǎng)問(wèn)動(dòng)機(jī)進(jìn)行核實(shí)。確定身份及其風(fēng)險(xiǎn)級(jí)別后，根據(jù)來(lái)訪(fǎng)人員身份屬性分別采取門(mén)禁卡授權(quán)管理以及工程師現(xiàn)場(chǎng)跟進(jìn)兩種不同模式作以管控。門(mén)禁卡授權(quán)管理主要針對(duì)兄弟公司、施工廠(chǎng)家等風(fēng)險(xiǎn)等級(jí)較低且需要長(zhǎng)時(shí)間、多次出入數(shù)據(jù)中心者。根據(jù)業(yè)務(wù)需求不同，相應(yīng)的門(mén)禁卡權(quán)限也不盡相同。非IT服務(wù)部門(mén)人員或公司外來(lái)人員，如因工作需要必須進(jìn)入核心區(qū)域的情況下，采取工程師實(shí)時(shí)陪同措施。即針對(duì)政府、客戶(hù)參觀(guān)團(tuán)，其大多跟隨講解員按照既有參觀(guān)路線(xiàn)和流程對(duì)數(shù)據(jù)中心進(jìn)行實(shí)地參觀(guān)。期間，所到之處均由工程師授權(quán)并跟進(jìn)出入狀態(tài)。

四、結(jié)論

自上個(gè)世紀(jì)90年代中期起，信息安全管理相關(guān)理論、模型等內(nèi)容在國(guó)際上不斷被提出和完善。近年來(lái)，國(guó)內(nèi)外學(xué)者也繼續(xù)對(duì)信息安全管理的諸多理論保持著高度關(guān)注，其已經(jīng)成為大數(shù)據(jù)時(shí)代下企業(yè)管理的重點(diǎn)之一。我國(guó)研究學(xué)者也紛紛結(jié)合國(guó)情，圍繞著信息安全管理相關(guān)理論提出了大量的創(chuàng)新觀(guān)點(diǎn)。由于其具有集團(tuán)化統(tǒng)一管控以及合資公司本地化管理相結(jié)合的特點(diǎn)，在信息安全管理方面，不單需要遵循集團(tuán)統(tǒng)一部署的信息安全管理總方針，更需要結(jié)合大連當(dāng)?shù)財(cái)?shù)據(jù)中心信息安全現(xiàn)狀進(jìn)行定制化管理。另外，隨著數(shù)據(jù)中心項(xiàng)目的落成及前期運(yùn)行，日益增長(zhǎng)的數(shù)據(jù)業(yè)務(wù)，對(duì)信息安全管理要求逐步提高，需要通過(guò)一個(gè)切合公司自身的管理策略，使數(shù)據(jù)中心達(dá)到維穩(wěn)度較高的運(yùn)行基準(zhǔn)線(xiàn)。

【參考文獻(xiàn)】

[1]錢(qián)濃林，洪芳華，朱利軍，肖鋒，徐旻欣.“互聯(lián)網(wǎng)+”環(huán)境下企業(yè)信息安全管理策略[J].經(jīng)營(yíng)與管理，2017（01）：128-130.

[2]潘晨燕.制造型企業(yè)信息安全管理現(xiàn)存問(wèn)題及優(yōu)化方式研究[J].商場(chǎng)現(xiàn)代化，2016（22）：88-89.

[3]湯毅，姚曉津，鄧沖，黃仙陽(yáng)，黃強(qiáng).中小企業(yè)信息安全管理問(wèn)題的分析及對(duì)策研究[J].信息與電腦（理論版），2016（05）：207-208.

[4]馬志程，張磊，王瓊.基于ISO/IEC17799標(biāo)準(zhǔn)體系的電網(wǎng)企業(yè)信息安全管理新模式[J].電力信息與通信技術(shù)，2016，14（01）：80-83.