浅谈企业数据中心的信息安全管理策略

　　【摘要】大数据、互联网等一系列的政府导向性政策，不断促动和加快着我国信息化进程步伐，以至于数据中心行业的猛烈性崛起。爆发式激增必定伴随着层出不穷的隐患和问题，信息安全则是当今企业甚至是社会大众普遍关注的一项重点。如何对企业数据中心项目的信息安全管理工作进行合理定位，如何让信息安全管理工作与企业日常业务完美契合，如何确保信息安全管理持续稳定的发挥其应有的作用，乃至于在面对来自内外部、主动或被动威胁时，能够合理的开展督导和管控，都成为了企业数据中心项目日常运维的主要工作内容。
　　【关键词】信息安全；数据中心；安全管理
　　经历了近50年发展历程的数据中心，在当代IT技术飞速变革以及信息资源喷井式爆发的大数据时代的促动下，数据中心在企业中的关注度日益提高，其发展步伐也日渐加快。目前贯通全球的互联网就是在无数个数据中心的支持下运作的，数据中心为互联网提供了其所需的智能分析手段和信息存管功能。步入21世纪之后，我国进一步推进国民经济与社会信息化建设进程，以此作为提升政府执政能力、改善民生、推动社會与经济发展的重要举措。2015年3月5日的十二届全国人大三次会议中，总理李克强在政府工作报告中提出的互联网行动计划，再次将移动互联网、云计算、大数据等信息化产业规划与创新推上了新潮。其中，数据中心产业也备受业界的关注。
　　一、宏观管理
　　信息安全管理委员会主任由公司总经理担任，副总经理以及各部门负责人为相关委员。由总经理主导该组织对信息安全管理有关的重大事项及变更进行决策与批准，包括：信息安全管理范畴、方针及需求的更改等。同时，总经理担任主任后，首要举措就是在全公司范围内直接下发信息安全管理制度，极大程度上提高了公司全体员工对信息安全管理工作的重视程度，并以此支持和推动了该项工作在公司范围内的实施。
　　管理者代表则由运营中心负责人担任。在组织成立、落实、运行和改进信息安全管理体系的基础上，担任公司直属IT部门负责人，其在信息安全工作中更多的提供专业技术上的支持。例如，结合公司数据中心项目网络搭建现状，提出信息安全管理技术方案、网络系统管控措施等〔1〕。
　　信息安全工作小组成员则根据信息安全委员会要求，公司每个部门至少择派了一名员工加入。由此，该工作小组在真正渗透到公司每个部门的基础上，每名成员也成为了其所在部门的信息安全工作主导者，更有针对性的对相应部门所管理、使用的信息资产安全进行保护。
　　公司全体员工在以上三层机构的督导下，严格遵守着国家、集团和公司的信息安全政策，采取安全负责的方式使用着公司的信息资产。
　　二、物理安全管理
　　在ID权限识别道闸、电子脉冲围栏、防尾随通道等高标准物理防护设备与保安周界巡护的双重的配备下，公司一度放松了对物理安全方面的管控。但经过信息安全管理体系的前期风险识别，发现在该层面仍然存在诸多信息安全隐患，公司随即着手进行整改。
　　（一）明确物理访问控制
　　数据中心出入通道的管理：目前，为了便于工程师日常巡检及维护工作的开展，数据中心机房、各功能间内均设立23个出入通道。特别是一层机房的出入通道还与相邻功能间贯通。为了控制数据中心核心空间进出人员，公司重新设定了日常通道使用出入口，对现有使用率不高的通道进行重点管理。同时，将人员、货物通路作以物理隔离，避免了人、货交叉的失控情况〔2〕。此外，还通过将外围报警系统与大门状态联动的形式，对非法破坏、人为疏忽导致的大门常开、无法正常锁闭等情况进行实时告警。
　　（二）细分物理锁管理权限
　　无论是核心功能间锁、机柜锁还是一般区域锁，在数据中心锁是大量使用的保护装置。针对物理钥匙存在易被复制、转借等隐患，公司统一将现有钥匙从物业保安部门进行回收整理，按照物理锁对应房间的信息安全等级进行钥匙管理权限的重新分配。即所有与数据中心核心设备相关的房间钥匙均由运营中心进行管理。楼宇以及行政区域钥匙由物业部门统一把控〔3〕。
　　（三）跟进技术管控日志分析
　　目前，数据中心在楼体内部关键部位安装了360度高清影像头、红外侦测仪、夜视仪，全区域出入口安装了门禁系统，甚至在核心区域入口配备了指静脉身份识别系统。可以说，在高端技术设备配备方面，公司足以满足信息安全管理标准。相应的，公司结合信息安全管理体系要求，进一步对监控日志的审计、留存以及同步加强了管理。公司要求信息安全工作小组组长及运营中心负责人每月度对各类监控日志进行审计，且编写审计日志报告，内容需涵盖用户活动、异常事件和信息安全事件等内容。审计日志文档至少保存1年，以备调查和访问控制监视工作使用。信息安全委员会主任每半年对相关日志文档进行抽查审计〔4〕。另外，公司还要求同一个安全区域内容的所有相关信息处理设施的时钟与标准事件的误差不超过10秒，以此确保日志的准确性和实时性。
　　三、人员安全管理
　　（一）深化人力资源管理
　　在针对公司员工现有员工进行信息安全管理相关培训的同时，在新进员工的招聘方面，公司结合信息安全管理体系关于人力资源安全方面要求，从招聘、入职到离职整个流程都着重于信息安全层面进行了大量工作。入职前，对重要人员的入职资格进行资格验证。入职后，与其签署必要的合同和信息安全保密协议。将信息安全意识教育做为新员工入职培训的基本内容，定期加强员工安全意识教育。工作中，将信息安全工作的执行情况列入阶段性KIP考核中。离职或雇佣变更时，及时收回与之相关的资产信息，并调整或撤销访问控制权限。
　　（二）关注第三方访问安全
　　作为集团以及地域周边顶级数据中心，兄弟公司、政府、客户参观团的接待任务繁重。对此，公司确立了一项详细的接待指引。首先，对来访者的访问动机进行核实。确定身份及其风险级别后，根据来访人员身份属性分别采取门禁卡授权管理以及工程师现场跟进两种不同模式作以管控。门禁卡授权管理主要针对兄弟公司、施工厂家等风险等级较低且需要长时间、多次出入数据中心者。根据业务需求不同，相应的门禁卡权限也不尽相同。非IT服务部门人员或公司外来人员，如因工作需要必须进入核心区域的情况下，采取工程师实时陪同措施。即针对政府、客户参观团，其大多跟随讲解员按照既有参观路线和流程对数据中心进行实地参观。期间，所到之处均由工程师授权并跟进出入状态。
　　四、结论
　　自上个世纪90年代中期起，信息安全管理相关理论、模型等内容在国际上不断被提出和完善。近年来，国内外学者也继续对信息安全管理的诸多理论保持着高度关注，其已经成为大数据时代下企业管理的重点之一。我国研究学者也纷纷结合国情，围绕着信息安全管理相关理论提出了大量的创新观点。由于其具有集团化统一管控以及合资公司本地化管理相结合的特点，在信息安全管理方面，不单需要遵循集团统一部署的信息安全管理总方针，更需要结合大连当地数据中心信息安全现状进行定制化管理。另外，随着数据中心项目的落成及前期运行，日益增长的数据业务，对信息安全管理要求逐步提高，需要通过一个切合公司自身的管理策略，使数据中心达到维稳度较高的运行基准线。
　　【参考文献】
　　〔1〕钱浓林，洪芳华，朱利军，肖锋，徐旻欣。互联网环境下企业信息安全管理策略〔J〕。经营与管理，2017（01）：128130。
　　〔2〕潘晨燕。制造型企业信息安全管理现存问题及优化方式研究〔J〕。商场现代化，2016（22）：8889。
　　〔3〕汤毅，姚晓津，邓冲，黄仙阳，黄强。中小企业信息安全管理问题的分析及对策研究〔J〕。信息与电脑（理论版），2016（05）：207208。
　　〔4〕马志程，张磊，王琼。基于ISOIEC17799标准体系的电网企业信息安全管理新模式〔J〕。电力信息与通信技术，2016，14（01）：8083。