数据中心信息安全管理及管控要求

随着在世界范围内,信息化水平的不断发展,数据中心的信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前,在信息安全管理方面,英国标准ISO27000:2005已经成为世界上应用最广泛与典型的信息安全管理标准,它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。

ISO27001标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。ISO27000-1与ISO27000-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月,ISO27000-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准ISO/IEC17799-1:2000《信息技术-信息安全管理实施细则》。20**年9月5日,ISO27000-2:20**草案经过广泛的讨论之后,终于发布成为正式标准,同时ISO27000-2:1999被废止。现在,ISO27000:2005标准已得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对信息安全进行系统的管理,数据中心(IDC)应逐步建立并完善标准化的信息安全管理体系。

一、数据中心信息安全管理总体要求

1、信息安全管理架构与人员能力要求

1.1信息安全管理架构

IDC在当前管理组织架构基础上,建立信息安全管理委员会,涵盖信息安全管理、应急响应、审计、技术实施等不同职责,并保证职责清晰与分离,并形成文件。

1.2人员能力

具备标准化信息安全管理体系内部审核员、CISP(CertifiedInformationSecurityProfessional,国家注册信息安全专家)等相关资质人员。5星级IDC至少应具备一名合格的标准化信息安全管理内部审核员、一名标准化主任审核员。4星级IDC至少应至少具备一名合格的标准化信息安全管理内部审核员

2、信息安全管理体系文件要求,根据IDC业务目标与当前实际情况,建立完善而分层次的IDC信息安全管理体系及相应的文档,包含但不限于如下方面:

2.1信息安全管理体系方针文件

包括IDC信息安全管理体系的范围,信息安全的目标框架、信息安全工作的总方向和原则,并考虑IDC业务需求、国家法律法规的要求、客户以及合同要求。

2.2风险评估

内容包括如下流程:识别IDC业务范围内的信息资产及其责任人;识别资产所面临的威胁;识别可能被威胁利用的脆弱点;识别资产保密性、完整性和可用性的丧失对IDC业务造成的影响;评估由主要威胁和脆弱点导致的IDC业务安全破坏的现实可能性、对资产的影响和当前所实施的控制措施;对风险进行评级。

2.3风险处理

内容包括:与IDC管理层确定接受风险的准则,确定可接受的风险级别等;建立可续的风险处理策略:采用适当的控制措施、接受风险、避免风险或转移风险;控制目标和控制措施的选择和实施,需满足风险评估和风险处理过程中所识别的安全要求,并在满足法律法规、客户和合同要求的基础上达到最佳成本效益。

2.4文件与记录控制

明确文件制定、发布、批准、评审、更新的流程;确保文件的更改和现行修订状态的标识、版本控制、识别、访问控制有完善的流程;并对文件资料的传输、贮存和最终销毁明确做出规范。

记录控制内容包括:保留信息安全管理体系运行过程执行的记录和所有发生的与信息安全有关的重大安全事件的记录;记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。

2.5内部审核

IDC按照计划的时间间隔进行内部ISMS审核,以确定IDC的信息安全管理的控制目标、控制措施、过程和程序符标准化标准和相关法律法规的要求并得到有效地实施和保持。五星级IDC应至少每年1次对信息安全管理进行内部审核。四星级IDC应至少每年1次对信息安全管理进行内部审核。

2.6纠正与预防措施

IDC建立流程,以消除与信息安全管理要求不符合的原因及潜在原因,以防止其发生,并形成文件的纠正措施与预防措施程序无

2.7控制措施有效性的测量

定义如何测量所选控制措施的有效性;规定如何使用这些测量措施,对控制措施的有效性进行测量(或评估)。

2.8管理评审

IDC管理层按计划的时间间隔评审内部信息安全管理体系,以确保其持续的适宜性、充分性和有效性,最终符合IDC业务要求。

五星级IDC管理层应至少每年1次对IDC的信息安全管理体系进行评审四星级IDC管理层应至少每年1次对IDC的信息安全管理体系进行评审。

2.9适用性声明

适用性声明必须至少包括以下3项内容:IDC所选择的控制目标和控制措施,及其选择的理由;当前IDC实施的控制目标和控制措施;标准化附录A中任何控制目标和控制措施的删减,以及删减的正当性理由。

2.10业务连续性

过业务影响分析,确定IDC业务中哪些是关键的业务进程,分出紧急先后次序;确定可以导致业务中断的主要灾难和安全失效、确定它们的影响程度和恢复时间;进行业务影响分析,确定恢复业务所需要的资源和成本,决定对哪些项目制作业务连续性计划(BCP)/灾难恢复计划(DRP)。

2.11其它相关程序

另外,还应建立包括物理与环境安全、信息设备管理、新设施管理、业务连续性管理、灾难恢复、人员管理、第三方和外包管理、信息资产管理、工作环境安全管理、介质处理与安全、系统开发与维护、法律符合性管理、文件及材料控制、安全事件处理等相关流程与制度。

二、信息安全管控要求

1、安全方针

信息安全方针文件与评审建立IDC信息安全方针文件需得到管理层批准、发布并传达给所有员工和外部相关方。

至少每年一次或当重大变化发生时进行信息安全方针评审。

2、信息安全组织

2.1内部组织

2.1.1信息安全协调、职责与授权

信息安全管理委员会包含IDC相关的不同部门的代表;所有的信息安全职责有明确成文的规定;对新信息处理设施,要有管理授权过程。

2.1.2保密协议

IDC所有员工须签署保密协议,保密内容涵盖IDC内部敏感信息;保密协议条款每年至少评审一次。

2.1.3权威部门与利益相关团体的联系

与相关权威部门(包括,公安部门、消防部门和监管部门)建立沟通管道;与安全专家组、专业协会等相关团体进行沟通。

2.1.4独立评审

参考“信息安全管理体系要求”第5和第8条关于管理评审、内部审核的要求,进行独立的评审。

审核员不能审核评审自己的工作;评审结果交管理层审阅。

2.2外方管理

2.2.1外部第三方的相关风险的识别

将外部第三方(设备维护商、服务商、顾问、外包方临时人员、实习学生等)对IDC信息处理设施或信息纳入风险评估过程,考虑内容应包括:需要访问的信息处理设施、访问类型(物理、逻辑、网络)、涉及信息的价值和敏感性,及对业务运行的关键程度、访问控制等相关因素。

建立外部第三方信息安全管理相关管理制度与流程。

2.2.2客户有关的安全问题

针对客户信息资产的保护,根据合同以及相关法律、法规要求,进行恰当的保护。

2.2.3处理第三方协议中的安全问题

涉及访问、处理、交流(或管理)IDC及IDC客户的信息或信息处理设施的第三方协议,需涵盖所有相关的安全要求。

3、信息资产管理

3.1资产管理职责

3.1.1资产清单与责任人

IDC对所有信息资产度进行识别,将所有重要资产都进行登记、建立清单文件并加以维护。

IDC中所有信息和信息处理设施相关重要资产需指定责任人。

3.1.2资产使用

指定信息与信息处理设施使用相关规则,形成了文件并加以实施。

3.2信息资产分类

3.2.1资产分类管理

根据信息资产对IDC业务的价值、法律要求、敏感性和关键性进行分类,建立一个信息分类指南。

信息分类指南应涵盖外来的信息资产,尤其是来自客户的信息资产。

3.2.2信息的标记和处理

按照IDC所采纳的分类指南建立和实施一组合适的信息标记和处理程序。

4、人力资源安全

这里的人员包括IDC雇员、承包方人员和第三方等相关人员。

4.1信息安全角色与职责

人员职责说明体现信息安全相关角色和要求。

4.2背景调查

人员任职前根据职责要求和岗位对信息安全的要求,采取必要的背景验证。

4.3雇用的条款和条件

人员雇佣后,应签署必要的合同,明确雇佣的条件和条款,并包含信息安全相关要求。

4.4信息安全意识、教育和培训

入职新员工培训应包含IDC信息安全相关内容。

至少每年一次对人员进行信息安全意识培训。

4.5安全违纪处理

针对安全违规的人员,建立正式的纪律处理程序。

4.6雇佣的终止与变更

IDC应清晰规定和分配雇用终止或雇用变更的职责;雇佣协议终止于变更时,及时收回相关信息资产,并调整或撤销相关访问控制权限。

5、物理与环境安全

5.1安全区域

5.1.1边界安全与出入口控制

根据边界内资产的安全要求和风险评估的结果对IDC物理区域进行分区、分级管理,不同区域边界与出入口需建立卡控制的入口或有人管理的接待台。

入侵检测与报警系统覆盖所有门窗和出入口,并定期检测入侵检测系统的有效性。

机房大楼应有7×24小时的专业保安人员,出入大楼需登记或持有通行卡。

机房安全出口不少于两个,且要保持畅通,不可放置杂物。

5星级IDC:出入记录至少保存6个月,视频监控至少保存1个月。

4星级IDC:出入记录至少保存6个月,视频监控至少保存1个月。

5.1.2IDC机房环境安全

记录访问者进入和离开IDC的日期和时间,所有的访问者要需要经过授权。

建立访客控制程序,对服务商等外部人员实现有效管控。

所有员工、服务商人员和第三方人员以及所有访问者进入IDC要佩带某种形式的可视标识,已实现明显的区分。外部人员进入IDC后,需全程监控。

5.1.3防范外部威胁和环境威胁

IDC对火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏建立足够的防范控制措施;危险或易燃材料应在远离IDC存放;备份设备和备份介质的存放地点应与IDC超过10公里的距离。

机房内应严格执行消防安全规定,所有门窗、地板、窗帘、饰物、桌椅、柜子等材料、设施都应采用防火材料。

5.1.4公共访问区和交接区

为了避免未授权访问,访问点(如交接区和未授权人员可以进入的其它地点)需进行适当的安全控制,设备货物交接区要与信息处理设施隔开。

5.2设备安全

5.2.1设备安全

设备尽量安置在可减少未授权访问的适当地点;对于处理敏感数据的信息处理设施,尽量安置在可限制观测的位置;对于需要特殊保护的设备,要进行适当隔离;对信息处理设施的运行有负面影响的环境条件(包括温度和湿度),要进行实时进行监视。

5.2.2支持性设备安全

支持性设施(例如电、供水、排污、加热/通风和空调等)应定期检查并适当的测试以确保他们的功能,减少由于他们的故障或失效带来的风险。

实现多路供电,以避免供电的单一故障点。

5.2.3线缆安全

应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。

电源电缆要与通信电缆分开;各种线缆能通过标识加以区分,并对线缆的访问加以必要的访问控制。

线缆标签必须采用防水标签纸和标签打印机进行正反面打印(或者打印两张进行粘贴),标签长度应保证至少能够缠绕电缆一圈或一圈半,打印字符必须清晰可见,打印内容应简洁明了,容易理解。标签的标示必须清晰、简洁、准确、统一,标签打印应当前后和上下排对齐。

5.2.4设备维护

设备需按照供应商推荐的服务时间间隔和说明书,进行正确维护;设备维护由已授权人员执行,并保存维护记录1年。

5.2.5组织场所外的设备安全

应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险。

5.2.6设备的安全处置或再利用

包含储存介质的设备的所有项目应进行检查,以确保在销毁之前,任何敏感信息和注册软件已被删除或安全重写。

5.2.7资产的移动

设备、信息或软件在授权之前不应带出组织场所,设置设备移动的时间限制,并在返还时执行符合性检查;对设备做出移出记录,当返回时,要做出送回记录。

6、通信和操作管理

6.1运行程序和职责

6.1.1运行操作程序文件化

运行操作程序文件化并加以保持,并方便相关使用人员的访问。

6.1.2变更管理

对信息处理设施和系统的变更是否受控,并考虑:重大变更的标识和记录;变更的策划和测试;对这种变更的潜在影响的评估,包括安全影响;对建议变更的正式批准程序;向所有有关人员传达变更细节;返回程序,包括从不成功变更和未预料事态中退出和恢复的程序与职责。

6.1.3职责分离

各类责任及职责范围应加以分割,以降低未授权或无意识的修改或者不当使用组织资产的机会。

6.1.4开发设施、测试设施和运行设施的分离

开发、测试和运行设施应分离,以减少未授权访问或改变运行系统的风险。

6.2第三方服务交付管理

6.2.1服务交付

应确保第三方实施、运行和保持包含在第三方服务交付协议中的安全控制措施、服务定义和交付水准。

IDC应确保第三方保持足够的服务能力和可使用的计划以确保商定的服务在大的服务故障或灾难后继续得以保持。

6.2.2第三方服务的监视和评审

应定期监视和评审由第三方提供的服务、报告和记录,审核也应定期执行,并留下记录。

6.2.3第三方服务的变更管理

应管理服务提供的变更,包括保持和改进现有的信息安全方针策略、程序和控制措施,要考虑业务系统和涉及过程的关键程度及风险的再评估

6.3系统规划和验收

6.3.1容量管理

IDC各系统资源的使用应加以监视、调整,并做出对于未来容量要求的预测,以确保拥有所需的系统性能。

系统硬件系统环境的功能、性能和容量要满足IDC业务处理的和存贮设备的平均使用率宜控制在75%以内。

网络设备的处理器和内存的平均使用率应控制在75%以内。

6.3.2系统验收

建立对新信息系统、升级及新版本的验收准则,并且在开发中和验收前对系统进行适当的测试。

6.4防范恶意代码和移动代码

6.4.1对恶意代码的控制措施

实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序

6.4.2对移动代码的控制措施

当授权使用移动代码时,其配置确保授权的移动代码按照清晰定义的安全策略运行,应阻止执行未授权的移动代码。

6.5备份

6.5.1备份

应按照客户的要求以及已设的备份策略,定期备份和测试信息和软件。各个系统的备份安排应定期测试以确保他们满足业务连续性计划的要求。对于重要的系统,备份安排应包括在发生灾难时恢复整个系统所必需的所有系统信息、应用和数据。

应确定最重要业务信息的保存周期以及对要永久保存的档案拷贝的任何要求。

6.6网络安全管理

6.6.1网络控制

为了防止使用网络时发生的威胁和维护系统与应用程序的安全,网络要充分受控;网络的运行职责与计算机系统的运行职责实现分离;敏感信息在公用网络上传输时,考虑足够的加密和访问控制措施。

6.6.2网络服务的安全

网络服务(包括接入服务、私有网络服务、增值网络和受控的网络安全解决方案,例如防火墙和入侵检测系统等)应根据安全需求,考虑如下安全控制措施:为网络服务应用的安全技术,例如认证、加密和网络连接控制;按照安全和网络连接规则,网络服务的安全连接需要的技术参数;若需要,网络服务使用程序,以限制对网络服务或应用的访问。

6.7介质管理

6.7.1可移动介质的管理

建立适当的可移动介质的管理程序,规范可移动介质的管理。

可移动介质包括磁带、磁盘、闪盘、可移动硬件驱动器、CD、DVD和打印的介质

6.7.2介质的处置

不再需要的介质,应使用正式的程序可靠并安全地处置。保持审计踪迹,保留敏感信息的处置记录。

6.7.3信息处理程序

建立信息的处理及存储程序,以防止信息的未授权的泄漏或不当使用。

包含信息的介质在组织的物理边界以外运送时,应防止未授权的访问、不当使用或毁坏。

6.8信息交换

6.8.1信息交换策略和程序

为了保护通过使用各种类型的通信设施进行信息交换,是否有正式的信息交换方针、程序和控制措施。

6.8.2外方信息交换协议

在组织和外方之间进行信息/软件交换时,是否有交换协议。

6.8.3电子邮件、应用系统的信息交换与共享

建立适当的控制措施,保护电子邮件的安全;为了保护相互连接的业务信息系统的信息,开发与实施相关的方针和程序。

6.9监控

6.9.1审计日志

审计日志需记录用户活动、异常事件和信息安全事件;为了帮助未来的调查和访问控制监视,审计日志至少应保存1年。

6.9.2监视系统的使用

应建立必要的信息处理设施的监视使用程序,监视活动的结果应定期评审。

6.9.3日志信息的保护

记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问。

6.9.4管理员和操作员日志

系统管理员和系统操作员活动应记入日志。系统管理员与系统操作员无权更改或删除日志。

6.9.5故障日志

与信息处理或通信系统的问题有关的用户或系统程序所报告的故障要加以记录、分析,并采取适当的措施。

6.9.6时钟同步

一个安全域内的所有相关信息处理设施的时钟应使用已设的精确时间源进行同步。

5星级IDC各计算机系统的时钟与标准时间的误差不超过10秒。

4星级IDC各计算机系统的时钟与标准时间的误差不超过25秒。

7、访问控制

7.1用户访问管理

应有正式的用户注册及注销程序,来授权和撤销对所有信息系统及服务的访问。

应限制和控制特殊权限的分配及使用;应通过正式的管理过程控制口令的分配,确保口令安全;管理层应定期使用正式过程对用户的访问权进行复查。

7.2用户职责

建立指导用户选择和使用口令的指南规定,使用户在选择及使用口令时,遵循良好的安全习惯。

用户应确保无人值守的用户设备有适当的保护,防止未授权的访问。

建立清空桌面和屏幕策略,采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略,IDC并定期组织检查效果。

7.3网络访问控制

建立访问控制策略,确保用户应仅能访问已获专门授权使用的服务。

应使用安全地鉴别方法以控制远程用户的访问,例如口令+证书。

对于诊断和配置端口的物理和逻辑访问应加以控制,防止未授权访问。

根据安全要求,应在网络中划分安全域,以隔离信息服务、用户及信息系统;对于共享的网络,特别是越过组织边界的网络,用户的联网能力应按照访问控制策略和业务应用要求加以限制,并建立适当的路由控制措施。

7.4操作系统访问控制

建立一个操作系统安全登录程序,防止未授权访问;所有用户应有唯一的、专供其个人使用的标识符(用户ID),应选择一种适当的鉴别技术证实用户所宣称的身份。

可能超越系统和应用程序控制的管理工具的使用应加以限制并严格控制。

不活动会话应在一个设定的休止期后关闭;使用联机时间的限制,为高风险应用程序提供额外的安全。

7.5应用和信息访问控制

用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制。

敏感系统应考虑系统隔离,使用专用的(或孤立的)计算机环境。

7.6移动计算和远程工作

应有正式策略并且采用适当的安全措施,以防范使用移动计算和通信设施时所造成的风险。

通过网络远程访问IDC,需在通过授权的情况下对用户进行认证并对通信内容进行加密。

8、信息系统获取、开发和维护

8.1安全需求分析和说明

在新的信息系统或增强已有信息系统的业务需求陈述中,应规定对安全控制措施的要求。

8.2信息处理控制

输入应用系统的数据应加以验证,以确保数据是正确且恰当的。

验证检查应整合到应用中,以检查由于处理的错误或故意的行为造成的信息的讹误。

通过控制措施,确保信息在处理过程中的完整性,并对处理结果进行验证。

8.3密码控制

应开发和实施使用密码控制措施来保护信息的策略,并保证密钥的安全使用。

8.4系统文件的安全

应有程序来控制在运行系统上安装软件;试数据应认真地加以选择、保护和控制;应限制访问程序源代码。

8.5开发过程和支持过程中的安全

建立变更控制程序控制变更的实施;当操作系统发生变更后,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。

IDC应管理和监视外包软件的开发。

8.6技术脆弱性管理

应及时得到现用信息系统技术脆弱性的信息,评价组织对这些脆弱性的暴露程度,并采取适当的措施来处理相关的风险。

9、信息安全事件管理

9.1报告信息安全事态和弱点

建立正式的IDC信息安全事件报告程序,并形成文件。

建立适当的程序,保证信息安全事态应该尽可能快地通过适当的管理渠道进行报告,要求员工、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。

9.2职责和程序

应建立管理职责和架构,以确保能对信息安全事件做出快速、有效和有序的响应。

9.3对信息安全事件的总结和证据的收集

建立一套机制量化和监视信息安全事件的类型、数量和代价,并且当一个信息安全事件涉及到诉讼(民事的或刑事的),需要进一步对个人或组织进行起诉时,应收集、保留和呈递证据,以使证据符合相关诉讼管辖权。

10、业务连续性管理

10.1业务连续性计划

建立和维持一个用于整个组织的业务连续性计划,通过使用预防和恢复控制措施,将对组织的影响减少到最低,并从信息资产的损失中恢复到可接受的程度。

10.2业务连续性和风险评估

通过恰当的程序,识别能引起IDC业务过程中断的事态(例如,设备故障、人为错误、盗窃、火灾、自然灾害和恐怖行为等),这种中断发生的概率和影响,以及它们对信息安全所造成的后果。

业务资源与过程责任人参与业务连续性风险评估。

10.3制定和实施包括信息安全的连续性计划

建立业务运行恢复计划,以使关键业务过程在中断或发生故障后,能在规定的水准与规定的时间范围恢复运行

10.4测试、维护和再评估业务连续性计划

业务连续性计划应定期测试和更新,以确保其及时性和有效性。

定期测试及更新业务连续性计划(BCP)/灾难恢复计划(DRP),并对员工进行培训;定期对IDC的风险进行审核和管理评审,及时发现潜在的灾难和安全失效。

5星级IDC:至少每年一次测试及更新;BCP/DRP,并对员工进行培训;至少每年一次对IDC的风险进行审核和管理评审,及时发现潜在的灾难和安全失效。

4星级IDC:至少每年一次测试及更新;BCP/DRP,并对员工进行培训;至少每年一次对IDC的风险进行审核和管理评审,及时发现潜在的灾难和安全失效。

11、符合性

11.1可用法律、法规的识别

IDC所有相关的法令、法规和合同要求,以及为满足这些要求组织所采用的方法,应加以明确地定义、收集和跟踪,并形成文件并保持更新。

11.2知识产权

应实施适当的程序,以确保在使用具有知识产权的材料和具有所有权的软件产品时,符合法律、法规和合同的要求。

11.3保护组织的记录

应防止重要的记录遗失、毁坏和伪造,以满足法令、法规、合同和业务的要求。

11.4技术符合性检查

定期地对信息系统进行安全实施标准符合检查,由具有胜任能力的已授权的人员执行,或在他们的监督下执行。

11.5数据保护和个人信息的隐私

应依照相关的法律、法规和合同条款的要求,确保数据保护和隐私。