吳東

【摘 要】“大數(shù)據(jù)”、“互聯(lián)網(wǎng)+”等一系列的政府導向性政策，不斷促動和加快著我國信息化進程步伐，以至于數(shù)據(jù)中心行業(yè)的猛烈性崛起。爆發(fā)式激增必定伴隨著層出不窮的隱患和問題，信息安全則是當今企業(yè)甚至是社會大眾普遍關注的一項重點。如何對企業(yè)數(shù)據(jù)中心項目的信息安全管理工作進行合理定位，如何讓信息安全管理工作與企業(yè)日常業(yè)務完美契合，如何確保信息安全管理持續(xù)穩(wěn)定的發(fā)揮其應有的作用，乃至于在面對來自內(nèi)外部、主動或被動威脅時，能夠合理的開展督導和管控，都成為了企業(yè)數(shù)據(jù)中心項目日常運維的主要工作內(nèi)容。

【關鍵詞】信息安全；數(shù)據(jù)中心；安全管理

經(jīng)歷了近50年發(fā)展歷程的數(shù)據(jù)中心，在當代IT技術飛速變革以及信息資源噴井式爆發(fā)的大數(shù)據(jù)時代的促動下，數(shù)據(jù)中心在企業(yè)中的關注度日益提高，其發(fā)展步伐也日漸加快。目前貫通全球的互聯(lián)網(wǎng)就是在無數(shù)個數(shù)據(jù)中心的支持下運作的，數(shù)據(jù)中心為互聯(lián)網(wǎng)提供了其所需的智能分析手段和信息存管功能。步入21世紀之后，我國進一步推進國民經(jīng)濟與社會信息化建設進程，以此作為提升政府執(zhí)政能力、改善民生、推動社會與經(jīng)濟發(fā)展的重要舉措。2015年3月5日的十二屆全國人大三次會議中，總理李克強在政府工作報告中提出的“互聯(lián)網(wǎng)+”行動計劃，再次將移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等信息化產(chǎn)業(yè)規(guī)劃與創(chuàng)新推上了新潮。其中，數(shù)據(jù)中心產(chǎn)業(yè)也備受業(yè)界的關注。

一、宏觀管理

信息安全管理委員會主任由公司總經(jīng)理擔任，副總經(jīng)理以及各部門負責人為相關委員。由總經(jīng)理主導該組織對信息安全管理有關的重大事項及變更進行決策與批準，包括：信息安全管理范疇、方針及需求的更改等。同時，總經(jīng)理擔任主任后，首要舉措就是在全公司范圍內(nèi)直接下發(fā)信息安全管理制度，極大程度上提高了公司全體員工對信息安全管理工作的重視程度，并以此支持和推動了該項工作在公司范圍內(nèi)的實施。

管理者代表則由運營中心負責人擔任。在組織成立、落實、運行和改進信息安全管理體系的基礎上，擔任公司直屬IT部門負責人，其在信息安全工作中更多的提供專業(yè)技術上的支持。例如，結合公司數(shù)據(jù)中心項目網(wǎng)絡搭建現(xiàn)狀，提出信息安全管理技術方案、網(wǎng)絡系統(tǒng)管控措施等[1]。

信息安全工作小組成員則根據(jù)信息安全委員會要求，公司每個部門至少擇派了一名員工加入。由此，該工作小組在真正滲透到公司每個部門的基礎上，每名成員也成為了其所在部門的信息安全工作主導者，更有針對性的對相應部門所管理、使用的信息資產(chǎn)安全進行保護。

公司全體員工在以上三層機構的督導下，嚴格遵守著國家、集團和公司的信息安全政策，采取安全負責的方式使用著公司的信息資產(chǎn)。

二、物理安全管理

在ID權限識別道閘、電子脈沖圍欄、防尾隨通道等高標準物理防護設備與保安周界巡護的雙重的配備下，公司一度放松了對物理安全方面的管控。但經(jīng)過信息安全管理體系的前期風險識別，發(fā)現(xiàn)在該層面仍然存在諸多信息安全隱患，公司隨即著手進行整改。

（一）明確物理訪問控制

數(shù)據(jù)中心出入通道的管理：目前，為了便于工程師日常巡檢及維護工作的開展，數(shù)據(jù)中心機房、各功能間內(nèi)均設立2—3個出入通道。特別是一層機房的出入通道還與相鄰功能間貫通。為了控制數(shù)據(jù)中心核心空間進出人員，公司重新設定了日常通道使用出入口，對現(xiàn)有使用率不高的通道進行重點管理。同時，將人員、貨物通路作以物理隔離，避免了人、貨交叉的失控情況[2]。此外，還通過將外圍報警系統(tǒng)與大門狀態(tài)聯(lián)動的形式，對非法破壞、人為疏忽導致的大門常開、無法正常鎖閉等情況進行實時告警。

（二）細分物理鎖管理權限

無論是核心功能間鎖、機柜鎖還是一般區(qū)域鎖，在數(shù)據(jù)中心鎖是大量使用的保護裝置。針對物理鑰匙存在易被復制、轉借等隱患，公司統(tǒng)一將現(xiàn)有鑰匙從物業(yè)保安部門進行回收整理，按照物理鎖對應房間的信息安全等級進行鑰匙管理權限的重新分配。即所有與數(shù)據(jù)中心核心設備相關的房間鑰匙均由運營中心進行管理。樓宇以及行政區(qū)域鑰匙由物業(yè)部門統(tǒng)一把控[3]。

（三）跟進技術管控日志分析

目前，數(shù)據(jù)中心在樓體內(nèi)部關鍵部位安裝了360度高清影像頭、紅外偵測儀、夜視儀，全區(qū)域出入口安裝了門禁系統(tǒng)，甚至在核心區(qū)域入口配備了指靜脈身份識別系統(tǒng)?？梢哉f，在高端技術設備配備方面，公司足以滿足信息安全管理標準。相應的，公司結合信息安全管理體系要求，進一步對監(jiān)控日志的審計、留存以及同步加強了管理。公司要求信息安全工作小組組長及運營中心負責人每月度對各類監(jiān)控日志進行審計，且編寫審計日志報告，內(nèi)容需涵蓋用戶活動、異常事件和信息安全事件等內(nèi)容。審計日志文檔至少保存1年，以備調(diào)查和訪問控制監(jiān)視工作使用。信息安全委員會主任每半年對相關日志文檔進行抽查審計[4]。另外，公司還要求同一個安全區(qū)域內(nèi)容的所有相關信息處理設施的時鐘與標準事件的誤差不超過10秒，以此確保日志的準確性和實時性。

三、人員安全管理

（一）深化人力資源管理

在針對公司員工現(xiàn)有員工進行信息安全管理相關培訓的同時，在新進員工的招聘方面，公司結合信息安全管理體系關于人力資源安全方面要求，從招聘、入職到離職整個流程都著重于信息安全層面進行了大量工作。入職前，對重要人員的入職資格進行資格驗證。入職后，與其簽署必要的合同和信息安全保密協(xié)議。將信息安全意識教育做為新員工入職培訓的基本內(nèi)容，定期加強員工安全意識教育。工作中，將信息安全工作的執(zhí)行情況列入階段性KIP考核中。離職或雇傭變更時，及時收回與之相關的資產(chǎn)信息，并調(diào)整或撤銷訪問控制權限。

（二）關注第三方訪問安全

作為集團以及地域周邊頂級數(shù)據(jù)中心，兄弟公司、政府、客戶參觀團的接待任務繁重。對此，公司確立了一項詳細的接待指引。首先，對來訪者的訪問動機進行核實。確定身份及其風險級別后，根據(jù)來訪人員身份屬性分別采取門禁卡授權管理以及工程師現(xiàn)場跟進兩種不同模式作以管控。門禁卡授權管理主要針對兄弟公司、施工廠家等風險等級較低且需要長時間、多次出入數(shù)據(jù)中心者。根據(jù)業(yè)務需求不同，相應的門禁卡權限也不盡相同。非IT服務部門人員或公司外來人員，如因工作需要必須進入核心區(qū)域的情況下，采取工程師實時陪同措施。即針對政府、客戶參觀團，其大多跟隨講解員按照既有參觀路線和流程對數(shù)據(jù)中心進行實地參觀。期間，所到之處均由工程師授權并跟進出入狀態(tài)。

四、結論

自上個世紀90年代中期起，信息安全管理相關理論、模型等內(nèi)容在國際上不斷被提出和完善。近年來，國內(nèi)外學者也繼續(xù)對信息安全管理的諸多理論保持著高度關注，其已經(jīng)成為大數(shù)據(jù)時代下企業(yè)管理的重點之一。我國研究學者也紛紛結合國情，圍繞著信息安全管理相關理論提出了大量的創(chuàng)新觀點。由于其具有集團化統(tǒng)一管控以及合資公司本地化管理相結合的特點，在信息安全管理方面，不單需要遵循集團統(tǒng)一部署的信息安全管理總方針，更需要結合大連當?shù)財?shù)據(jù)中心信息安全現(xiàn)狀進行定制化管理。另外，隨著數(shù)據(jù)中心項目的落成及前期運行，日益增長的數(shù)據(jù)業(yè)務，對信息安全管理要求逐步提高，需要通過一個切合公司自身的管理策略，使數(shù)據(jù)中心達到維穩(wěn)度較高的運行基準線。

【參考文獻】

[1]錢濃林，洪芳華，朱利軍，肖鋒，徐旻欣.“互聯(lián)網(wǎng)+”環(huán)境下企業(yè)信息安全管理策略[J].經(jīng)營與管理，2017（01）：128-130.

[2]潘晨燕.制造型企業(yè)信息安全管理現(xiàn)存問題及優(yōu)化方式研究[J].商場現(xiàn)代化，2016（22）：88-89.

[3]湯毅，姚曉津，鄧沖，黃仙陽，黃強.中小企業(yè)信息安全管理問題的分析及對策研究[J].信息與電腦（理論版），2016（05）：207-208.

[4]馬志程，張磊，王瓊.基于ISO/IEC17799標準體系的電網(wǎng)企業(yè)信息安全管理新模式[J].電力信息與通信技術，2016，14（01）：80-83.