数据中心信息安全管理及管控要求

数据中心信息安全管理及管控要求数据中心信息安全管理及管控要求 随着在世界范围内 信息化水平的不断发展 数据中心的 信息安全逐渐成为人们关注的焦点 世界范围内的各个机构 组织 个人都在探寻如何保障信息安全的问题 英国 美国 挪威 瑞典 芬兰 澳大利亚等国均制定了有关信息安全的本 国标准 国际标准化组织 iso 也发布了 iso17799 iso13335 iso15408 等与信息安全相关的国际标准 及技术报告 目前 在信息安全管理方面 英国标准 iso27000 2005 已经成为世界上应用最广泛与典型的信息安全 管理标准 它是在 bsi disc 的 bdd 2 信息安全管理委员会指导 下制定完成 iso27001 标准于 1993 年由英国贸易工业部立项 于 1995 年英国首次出版 bs 7799 1 1995 信息安全管理实施细则 它提供了一套综合的 由信息安全最佳惯例组成的实施规则 其目的是作为确定工商业信息系统在大多数情况所需控制范围 的唯一参考基准 并且适用于大 中 小组织 1998 年英国公 布标准的第二部分 信息安全管理体系规范 它规定信息安 全管理体系要求与信息安全控制要求 它是一个组织的全面或 部分信息安全管理体系评估的基础 它可以作为一个正式认证 方案的根据 iso27000 1 与 iso27000 2 经过修订于 1999 年重 新予以发布 1999 版考虑了信息处理技术 尤其是在网络和通 信领域应用的近期发展 同时还非常强调了商务涉及的信息安 全及信息安全的责任 2000 年 12 月 iso27000 1 1999 信息 安全管理实施细则 通过了国际标准化组织 iso 的认可 正式 成为国际标准 iso iec17799 1 2000 信息技术 信息安全管理 实施细则 2002 年 9 月 5 日 iso27000 2 2002 草案经过广 泛的讨论之后 终于发布成为正式标准 同时 iso27000 2 1999 被废止 现在 iso27000 2005 标准已得到了很多国 家的认可 是国际上具有代表性的信息安全管理体系标准 许 多国家的政府机构 银行 证券 保险公司 电信运营商 网 络公司及许多跨国公司已采用了此标准对信息安全进行系统的 管理 数据中心 idc 应逐步建立并完善标准化的信息安全管 理体系 一 数据中心信息安全管理总体要求 1 信息安全管理架构与人员能力要求 1 1 信息安全管理架构 idc 在当前管理组织架构基础上 建立信息安全管理委员 会 涵盖信息安全管理 应急响应 审计 技术实施等不同职 责 并保证职责清晰与分离 并形成文件 1 2 人员能力 具备标准化 信息安全管理体系内部审核员 cisp certified information security professional 国家注册信息 安全专家 等相关资质人员 5 星级 idc 至少应具备一名合格的 标准化信息安全管理内部审核员 一名标准化 主任审核员 4 星级 idc 至少应至少具备一名合格的标准化信息安全管理内部 审核员 2 信息安全管理体系文件要求 根据 idc 业务目标与当前 实际情况 建立完善而分层次的 idc 信息安全管理体系及相应 的文档 包含但不限于如下方面 2 1 信息安全管理体系方针文件 包括 idc 信息安全管理体系的范围 信息安全的目标框架 信息安全工作的总方向和原则 并考虑 idc 业务需求 国家法 律法规的要求 客户以及合同要求 2 2 风险评估 内容包括如下流程 识别 idc 业务范围内的信息资产及其 责任人 识别资产所面临的威胁 识别可能被威胁利用的脆弱 点 识别资产保密性 完整性和可用性的丧失对 idc 业务造成 的影响 评估由主要威胁和脆弱点导致的 idc 业务安全破坏的 现实可能性 对资产的影响和当前所实施的控制措施 对风险 进行评级 2 3 风险处理 内容包括 与 idc 管理层确定接受风险的准则 确定可接 受的风险级别等 建立可续的风险处理策略 采用适当的控制 措施 接受风险 避免风险或转移风险 控制目标和控制措施 的选择和实施 需满足风险评估和风险处理过程中所识别的安 全要求 并在满足法律法规 客户和合同要求的基础上达到最 佳成本效益 2 4 文件与记录控制 明确文件制定 发布 批准 评审 更新的流程 确保文 件的更改和现行修订状态的标识 版本控制 识别 访问控制 有完善的流程 并对文件资料的传输 贮存和最终销毁明确做 出规范 记录控制内容包括 保留信息安全管理体系运行过程执行 的记录和所有发生的与信息安全有关的重大安全事件的记录 记录的标识 贮存 保护 检索 保存期限和处置所需的控制 措施应形成文件并实施 2 5 内部审核 idc 按照计划的时间间隔进行内部 isms 审核 以确定 idc 的信息安全管理的控制目标 控制措施 过程和程序符标准化 标准和相关法律法规的要求并得到有效地实施和保持 五星级 idc 应至少每年 1 次对信息安全管理进行内部审核 四星级 idc 应至少每年 1 次对信息安全管理进行内部审核 2 6 纠正与预防措施 idc 建立流程 以消除与信息安全管理要求不符合的原因 及潜在原因 以防止其发生 并形成文件的纠正措施与预防措 施程序无 2 7 控制措施有效性的测量 定义如何测量所选控制措施的有效性 规定如何使用这些 测量措施 对控制措施的有效性进行测量 或评估 2 8 管理评审 idc 管理层按计划的时间间隔评审内部信息安全管理体系 以确保其持续的适宜性 充分性和有效性 最终符合 idc 业务 要求 五星级 idc 管理层应至少每年 1 次对 idc 的信息安全管理 体系进行评审四星级 idc 管理层应至少每年 1 次对 idc 的信息 安全管理体系进行评审 2 9 适用性声明 适用性声明必须至少包括以下 3 项内容 idc 所选择的控 制目标和控制措施 及其选择的理由 当前 idc 实施的控制目 标和控制措施 标准化附录 a 中任何控制目标和控制措施的删 减 以及删减的正当性理由 2 10 业务连续性 过业务影响分析 确定 idc 业务中哪些是关键的业务进程 分出紧急先后次序 确定可以导致业务中断的主要灾难和安全 失效 确定它们的影响程度和恢复时间 进行业务影响分析 确定恢复业务所需要的资源和成本 决定对哪些项目制作业务 连续性计划 bcp 灾难恢复计划 drp 2 11 其它相关程序 另外 还应建立包括物理与环境安全 信息设备管理 新 设施管理 业务连续性管理 灾难恢复 人员管理 第三方和 外包管理 信息资产管理 工作环境安全管理 介质处理与安 全 系统开发与维护 法律符合性管理 文件及材料控制 安 全事件处理等相关流程与制度 二 信息安全管控要求 1 安全方针 信息安全方针文件与评审建立 idc 信息安全方针文件需得 到管理层批准 发布并传达给所有员工和外部相关方 至少每年一次或当重大变化发生时进行信息安全方针评审 2 信息安全组织 2 1 内部组织 2 1 1 信息安全协调 职责与授权 信息安全管理委员会包含 idc 相关的不同部门的代表 所 有的信息安全职责有明确成文的规定 对新信息处理设施 要 有管理授权过程 2 1 2 保密协议 idc 所有员工须签署保密协议 保密内容涵盖 idc 内部敏 感信息 保密协议条款每年至少评审一次 2 1 3 权威部门与利益相关团体的联系 与相关权威部门 包括 公安部门 消防部门和监管部门 建立沟通管道 与安全专家组 专业协会等相关团体进行沟通 2 1 4 独立评审 参考 信息安全管理体系要求 第 5 和第 8 条关于管理评审 内部审核的要求 进行独立的评审 审核员不能审核评审自己的工作 评审结果交管理层审阅 2 2 外方管理 2 2 1 外部第三方的相关风险的识别 将外部第三方 设备维护商 服务商 顾问 外包方临时 人员 实习学生等 对 idc 信息处理设施或信息纳入风险评估 过程 考虑内容应包括 需要访问的信息处理设施 访问类型 物理 逻辑 网络 涉及信息的价值和敏感性 及对业务 运行的关键程度 访问控制等相关因素 建立外部第三方信息安全管理相关管理制度与流程 2 2 2 客户有关的安全问题 针对客户信息资产的保护 根据合同以及相关法律 法规 要求 进行恰当的保护 2 2 3 处理第三方协议中的安全问题 涉及访问 处理 交流 或管理 idc 及 idc 客户的信息 或信息处理设施的第三方协议 需涵盖所有相关的安全要求 3 信息资产管理 3 1 资产管理职责 3 1 1 资产清单与责任人 idc 对所有信息资产度进行识别 将所有重要资产都进行 登记 建立清单文件并加以维护 idc 中所有信息和信息处理设施相关重要资产需指定责任 人 3 1 2 资产使用 指定信息与信息处理设施使用相关规则 形成了文件并加 以实施 3 2 信息资产分类 3 2 1 资产分类管理 根据信息资产对 idc 业务的价值 法律要求 敏感性和关 键性进行分类 建立一个信息分类指南 信息分类指南应涵盖外来的信息资产 尤其是来自客户的 信息资产 3 2 2 信息的标记和处理 按照 idc 所采纳的分类指南建立和实施一组合适的信息标 记和处理程序 4 人力资源安全 这里的人员包括 idc 雇员 承包方人员和第三方等相关人 员 4 1 信息安全角色与职责 人员职责说明体现信息安全相关角色和要求 4 2 背景调查 人员任职前根据职责要求和岗位对信息安全的要求 采取 必要的背景验证 4 3 雇用的条款和条件 人员雇佣后 应签署必要的合同 明确雇佣的条件和条款 并包含信息安全相关要求 4 4 信息安全意识 教育和培训 入职新员工培训应包含 idc 信息安全相关内容 至少每年一次对人员进行信息安全意识培训 4 5 安全违纪处理 针对安全违规的人员 建立正式的纪律处理程序 4 6 雇佣的终止与变更 idc 应清晰规定和分配雇用终止或雇用变更的职责 雇佣 协议终止于变更时 及时收回相关信息资产 并调整或撤销相 关访问控制权限 5 物理与环境安全 5 1 安全区域 5 1 1 边界安全与出入口控制 根据边界内资产的安全要求和风险评估的结果对 idc 物理 区域进行分区 分级管理 不同区域边界与出入口需建立卡控 制的入口或有人管理的接待台 入侵检测与报警系统覆盖所有门窗和出入口 并定期检测 入侵检测系统的有效性 机房大楼应有 7 24 小时的专业保安人员 出入大楼需登 记或持有通行卡 机房安全出口不少于两个 且要保持畅通 不可放置杂物 5 星级 idc 出入记录至少保存 6 个月 视频监控至少保存 1 个月 4 星级 idc 出入记录至少保存 6 个月 视频监控至少保存 1 个月 5 1 2 idc 机房环境安全 记录访问者进入和离开 idc 的日期和时间 所有的访问者 要需要经过授权 建立访客控制程序 对服务商等外部人员实现有效管控 所有员工 服务商人员和第三方人员以及所有访问者进入 idc 要佩带某种形式的可视标识 已实现明显的区分 外部人员 进入 idc 后 需全程监控 5 1 3 防范外部威胁和环境威胁 idc 对火灾 洪水 地震 爆炸 社会动荡和其他形式的 自然或人为灾难引起的破坏建立足够的防范控制措施 危险或 易燃材料应在远离 idc 存放 备份设备和备份介质的存放地点 应与 idc 超过 10 公里的距离 机房内应严格执行消防安全规定 所有门窗 地板 窗帘 饰物 桌椅 柜子等材料 设施都应采用防火材料 5 1 4 公共访问区和交接区 为了避免未授权访问 访问点 如交接区和未授权人员可 以进入的其它地点 需进行适当的安全控制 设备货物交接区 要与信息处理设施隔开 5 2 设备安全 5 2 1 设备安全 设备尽量安置在可减少未授权访问的适当地点 对于处理 敏感数据的信息处理设施 尽量安置在可限制观测的位置 对 于需要特殊保护的设备 要进行适当隔离 对信息处理设施的 运行有负面影响的环境条件 包括温度和湿度 要进行实时 进行监视 5 2 2 支持性设备安全 支持性设施 例如电 供水 排污 加热 通风和空调等 应定期检查并适当的测试以确保他们的功能 减少由于他们的 故障或失效带来的风险 实现多路供电 以避免供电的单一故障点 5 2 3 线缆安全 应保证传输数据或支持信息服务的电源布缆和通信布缆免 受窃听或损坏 电源电缆要与通信电缆分开 各种线缆能通过标识加以区 分 并对线缆的访问加以必要的访问控制 线缆标签必须采用防水标签纸和标签打印机进行正反面打 印 或者打印两张进行粘贴 标签长度应保证至少能够缠绕 电缆一圈或一圈半 打印字符必须清晰可见 打印内容应简洁 明了 容易理解 标签的标示必须清晰 简洁 准确 统一 标签打印应当前后和上下排对齐 5 2 4 设备维护 设备需按照供应商推荐的服务时间间隔和说明书 进行正 确维护 设备维护由已授权人员执行 并保存维护记录 1 年 5 2 5 组织场所外的设备安全 应对组织场所的设备采取安全措施 要考虑工作在组织场 所以外的不同风险 5 2 6 设备的安全处置或再利用 包含储存介质的设备的所有项目应进行检查 以确保在销 毁之前 任何敏感信息和注册软件已被删除或安全重写 5 2 7 资产的移动 设备 信息或软件在授权之前不应带出组织场所 设置设 备移动的时间限制 并在返还时执行符合性检查 对设备做出 移出记录 当返回时 要做出送回记录 6 通信和操作管理 6 1 运行程序和职责 6 1 1 运行操作程序文件化 运行操作程序文件化并加以保持 并方便相关使用人员的 访问 6 1 2 变更管理 对信息处理设施和系统的变更是否受控 并考虑 重大变 更的标识和记录 变更的策划和测试 对这种变更的潜在影响 的评估 包括安全影响 对建议变更的正式批准程序 向所有 有关人员传达变更细节 返回程序 包括从不成功变更和未预 料事态中退出和恢复的程序与职责 6 1 3 职责分离 各类责任及职责范围应加以分割 以降低未授权或无意识 的修改或者不当使用组织资产的机会 6 1 4 开发设施 测试设施和运行设施的分离 开发 测试和运行设施应分离 以减少未授权访问或改变 运行系统的风险 6 2 第三方服务交付管理 6 2 1 服务交付 应确保第三方实施 运行和保持包含在第三方服务交付协 议中的安全控制措施 服务定义和交付水准 idc 应确保第三方保持足够的服务能力和可使用的计划以 确保商定的服务在大的服务故障或灾难后继续得以保持 6 2 2 第三方服务的监视和评审 应定期监视和评审由第三方提供的服务 报告和记录 审 核也应定期执行 并留下记录 6 2 3 第三方服务的变更管理 应管理服务提供的变更 包括保持和改进现有的信息安全 方针策略 程序和控制措施 要考虑业务系统和涉及过程的关 键程度及风险的再评估 6 3 系统规划和验收 6 3 1 容量管理 idc 各系统资源的使用应加以监视 调整 并做出对于未 来容量要求的预测 以确保拥有所需的系统性能 系统硬件系统环境的功能 性能和容量要满足 idc 业务处 理的和存贮设备的平均使用率宜控制在 75 以内 网络设备的处理器和内存的平均使用率应控制在 75 以内 6 3 2 系统验收 建立对新信息系统 升级及新版本的验收准则 并且在开 发中和验收前对系统进行适当的测试 6 4 防范恶意代码和移动代码 6 4 1 对恶意代码的控制措施 实施恶意代码的监测 预防和恢复的控制措施 以及适当 的提高用户安全意识的程序 6 4 2 对移动代码的控制措施 当授权使用移动代码时 其配置确保授权的移动代码按照 清晰定义的安全策略运行 应阻止执行未授权的移动代码 6 5 备份 6 5 1 备份 应按照客户的要求以及已设的备份策略 定期备份和测试 信息和软件 各个系统的备份安排应定期测试以确保他们满足 业务连续性计划的要求 对于重要的系统 备份安排应包括在 发生灾难时恢复整个系统所必需的所有系统信息 应用和数据 应确定最重要业务信息的保存周期以及对要永久保存的档 案拷贝的任何要求 6 6 网络安全管理 6 6 1 网络控制 为了防止使用网络时发生的威胁和维护系统与应用程序的 安全 网络要充分受控 网络的运行职责与计算机系统的运行 职责实现分离 敏感信息在公用网络上传输时 考虑足够的加 密和访问控制措施 6 6 2 网络服务的安全 网络服务 包括接入服务 私有网络服务 增值网络和受 控的网络安全解决方案 例如防火墙和入侵检测系统等 应根 据安全需求 考虑如下安全控制措施 为网络服务应用的安全 技术 例如认证 加密和网络连接控制 按照安全和网络连接 规则 网络服务的安全连接需要的技术参数 若需要 网络服 务使用程序 以限制对网络服务或应用的访问 6 7 介质管理 6 7 1 可移动介质的管理 建立适当的可移动介质的管理程序 规范可移动介质的管 理 可移动介质包括磁带 磁盘 闪盘 可移动硬件驱动器 cd dvd 和打印的介质 6 7 2 介质的处置 不再需要的介质 应使用正式的程序可靠并安全地处置 保持审计踪迹 保留敏感信息的处置记录 6 7 3 信息处理程序 建立信息的处理及存储程序 以防止信息的未授权的泄漏 或不当使用 包含信息的介质在组织的物理边界以外运送时 应防止未 授权的访问 不当使用或毁坏 6 8 信息交换 6 8 1 信息交换策略和程序 为了保护通过使用各种类型的通信设施进行信息交换 是 否有正式的信息交换方针 程序和控制措施 6 8 2 外方信息交换协议 在组织和外方之间进行信息 软件交换时 是否有交换协 议 6 8 3 电子邮件 应用系统的信息交换与共享 建立适当的控制措施 保护电子邮件的安全 为了保护相 互连接的业务信息系统的信息 开发与实施相关的方针和程序 6 9 监控 6 9 1 审计日志 审计日志需记录用户活动 异常事件和信息安全事件 为 了帮助未来的调查和访问控制监视 审计日志至少应保存 1 年 6 9 2 监视系统的使用 应建立必要的信息处理设施的监视使用程序 监视活动的 结果应定期评审 6 9 3 日志信息的保护 记录日志的设施和日志信息应加以保护 以防止篡改和未 授权的访问 6 9 4 管理员和操作员日志 系统管理员和系统操作员活动应记入日志 系统管理员与 系统操作员无权更改或删除日志 6 9 5 故障日志 与信息处理或通信系统的问题有关的用户或系统程序所报 告的故障要加以记录 分析 并采取适当的措施 6 9 6 时钟同步 一个安全域内的所有相关信息处理设施的时钟应使用已设 的精确时间源进行同步 5 星级 idc 各计算机系统的时钟与标准时间的误差不超过 10 秒 4 星级 idc 各计算机系统的时钟与标准时间的误差不超过 25 秒 7 访问控制 7 1 用户访问管理 应有正式的用户注册及注销程序 来授权和撤销对所有信 息系统及服务的访问 应限制和控制特殊权限的分配及使用 应通过正式的管理 过程控制口令的分配 确保口令安全 管理层应定期使用正式 过程对用户的访问权进行复查 7 2 用户职责 建立指导用户选择和使用口令的指南规定 使用户在选择 及使用口令时 遵循良好的安全习惯 用户应确保无人值守的用户设备有适当的保护 防止未授 权的访问 建立清空桌面和屏幕策略 采取清空桌面上文件 可移动 存储介质的策略和清空信息处理设施屏幕的策略 idc 并定期组 织检查效果 7 3 网络访问控制 建立访问控制策略 确保用户应仅能访问已获专门授权使 用的服务 应使用安全地鉴别方法以控制远程用户的访问 例如口令 证书 对于诊断和配置端口的物理和逻辑访问应加以控制 防止 未授权访问 根据安全要求 应在网络中划分安全域 以隔离信息服务 用户及信息系统 对于共享的网络 特别是越过组织边界的网 络 用户的联网能力应按照访问控制策略和业务应用要求加以 限制 并建立适当的路由控制措施 7 4 操作系统访问控制 建立一个操作系统安全登录程序 防止未授权访问 所有 用户应有唯一的 专供其个人使用的标识符 用户 id 应选 择一种适当的鉴别技术证实用户所宣称的身份 可能超越系统和应用程序控制的管理工具的使用应加以限 制并严格控制 不活动会话应在一个设定的休止期后关闭 使用联机时间 的限制 为高风险应用程序提供额外的安全 7 5 应用和信息访问控制 用户和支持人员对信息和应用系统功能的访问应依照已确 定的访问控制策略加以限制 敏感系统应考虑系统隔离 使用专用的 或孤立的 计算 机环境 7 6 移动计算和远程工作 应有正式策略并且采用适当的安全措施 以防范使用移动 计算和通信设施时所造成的风险 通过网络远程访问 idc 需在通过授权的情况下对用户进 行认证并对通信内容进行加密 8 信息系统获取 开发和维护 8 1 安全需求分析和说明 在新的信息系统或增强已有信息系统的业务需求陈述中 应规定对安全控制措施的要求 8 2 信息处理控制 输入应用系统的数据应加以验证 以确保数据是正确且恰 当的 验证检查应整合到应用中 以检查由于处理的错误或故意 的行为造成的信息的讹误 通过控制措施 确保信息在处理过程中的完整性 并对处 理结果进行验证 8 3 密码控制 应开发和实施使用密码控制措施来保护信息的策略 并保 证密钥的安全使用 8 4 系统文件的安全 应有程序来控制在运行系统上安装软件 试数据应认真地 加以选择 保护和控制 应限制访问程序源代码 8 5 开发过程和支持过程中的安全 建立变更控制程序控制变更的实施 当操作系统发生变更 后 应对业务的关键应用进行评审和测试 以确保对组织的运 行和安全没有负面影响 idc 应管理和监视外包软件的开发 8 6 技术脆弱性管理 应及时得到现用信息系统技术脆弱性的信息 评价组织对 这些脆弱性的暴露程度 并采取适当的措施来处理相关的风险 9 信息安全事件管理 9 1 报告信息安全事态和弱点 建立正式的 idc 信息安全事件报告程序 并形成文件 建立适当的程序 保证信息安全事态应该尽可能快地通过 适当的管理渠道进行报告 要求员工 承包方人员和第三方人 员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱 点 9 2 职责和程序 应建立管理职责和架构 以确保能对信息安全事