摘要:参考信息安全体系框架和国家信息安全保障体系,数据中心安全防范体系框架结构设计其中,数据中心安全防范组织体系负责操控数据中心安全防范技术;数据中心安全防范技术体系是一切信息安全行为的基础;数据中心安全防范安全管理体系负责管制数据中心安全防范技术体系和组织体系。 |
1数据中心安全防范组织体系
(1)机构设置。数据中心安全防范组织体系包括数据中心安全领导机构和数据中心安全工作机构
①数据中心安全领导机构。数据中心应设置安全领导机构,作为信息安全的最高决策机构,主要工作内容如下:
•贯彻落实国家有关数据中心网络与信息安全工作的政策和法规。
•负责审定数据中心信息安全策略、网络与信息安全重点工作计划,确定信息安全发展思路。
•制定数据中心信息安全发展战略、总体规划、管理规范等。
•负责建立数据中心信息安全组织。
•协调解决数据中心网络与信息安全的重大问题。
•审批数据中心重大安全项目的投资及建设。
•负责解决并协调数据中心信息安全建设过程中战略性问题和冲突。
②数据中心安全工作机构。数据中心安全工作机构的主要工作内容如下:
•负责数据中心信息安全的具体业务管理与日常工作管理。
•执行数据中心安全领导机构的决策,向安全领导机构汇报信息安全工作。
•研究提出数据中心信息安全的发展战略、总体规划、重大政策、管理规范等。确定数据中心安全组织结构后,应分配相关安全责任,便信息安全在组织内得以有效管理,明确定义安全角色与职责。
(2)人员设置。数据申心安全工作机构应包括以下角色
①安全管理员。数据中心应设置信息安全管理员,负责整个数据中心信息安全管理的各项工作,并向数据中心安全领导机构汇报,安全管理员的主要职责如下:
•制定信息安全方针、信息安全管理制度及信息安全技术规范等。
•为数据中心制定安全培训计划,并负责培训。
•负责数据中心信息安全相关项目的需求、建设和测试等。
•对其他管理员进行安全指导。
②系统管理员。数据中心应设置系统管理员,负责操作系统、数据库系统等的安全运维和监管,主要职责如下:
•对责任系统进行安全配置。
•对责任系统进行日常安全运维管理及应急处置。
•对责任系统进行安全运行监控,并定期提交安全运行报告。
③网络管理员。数据中心应设置网络管理员,负责网络设备等的安全运维和监管,主要职责如下:
•负责网络规划与调整,对网络设备进行安全配置。
,负责网络设备的日常安全运维管理及应急处置。
•负责网络设备的安全运行监控,并定期提交安全运行报告。
④应用管理员。数据中心应设置应用管理员,负责应用系统的安全运维和监管,主要职责如下:
•对应用系统进行日常维护和应急处理,并制定应用系统的安全管理制度。
•对应用系统进行安全运行监控,并定期提交安全运行报告。
2数据中心安全防范管理休系
数据中心安全防范管理体系框架
安全管理框架从指导性到具体性依次分为四层,由安全方针统领。安全方针位于图的最上层,呈屋顶形状,其下有三个层次的管理制度类型,包括安全管理办法、安全管理流程和安全规范及操作手册。从上至下,管理制度类型依据层次依次细化。安全方针是信息安全指导性文件,指明了信息安全的发展方向,为信息安全提供管理指导和支持。安全管理办法是对信息安全各方面内容进行管理的方法总述;安全管理流程是在信息安全管理办法的基础上,详细描述各安全控制流程;安全规范及操作手册层为用户提供详细使用文档。
整个信息安全管理框架涵盖两大方面的内容,即安全技术标准和安全管理制度。其中,安全技术标准分为以下几种:
①国际标准。
②国家标准。
③行业标准。
④自行制定或已经正式发布的技术标准。
参考信息安全管理体系的国际标准ISO27001,安全管理制度主要分为6个方面:
①组织及人员安全管理。
②物理及设备资产安全。
③操作安全管理。
④应用系统建设安全管理。
⑤运维安全管理。
⑥业务连续性管理。
其中,人员安全管理及其人员培训、应用系统建设安全管理和运维安全管理尤为重要。
3数据中心安全防范技术体系
数据中心安全防范技术体系分为4个部分:物理环境安全、链路和网络安全、计算机系统安全和应用安全,其中,物理环境安全包括机房环境安全和设备安全等内容;链路和网络安全包括安全区域设计、人侵防护设计、漏洞扫描设计、边界安全防护、内网安全审计设计、网络设备安全设计和桌面安全防护系统设计等内容;计算机系统安全包括操作系统安全、病毒防治系统和数据库安全等内容;应用安全包括数据传输安全、用户权限管理、业务日志、程序安全、用户签到、日志和审计、业务监控、密码管理、操作安全及身份认证和授权等内容。
责任编辑:月儿