數(shù)據(jù)中心安全防范體系的建設(shè)應(yīng)在信息系統(tǒng)安全策略指導(dǎo)下,充分考慮所面臨的安全威脅,根據(jù)目前數(shù)據(jù)中心的安全狀況,遵循安全法規(guī)標(biāo)準(zhǔn),采取安全措施,從管理制度等不同方面構(gòu)建數(shù)據(jù)中心安全防范體系框架。下面讓我們了解一下安全防范體系框架結(jié)構(gòu)規(guī)范及原則:
安全防范體系框架結(jié)構(gòu)規(guī)劃應(yīng)遵循的標(biāo)準(zhǔn)和規(guī)范主要包含以下內(nèi)容:
(1)ISO27001信息安全管理體系要求。
(2)ISO13335信息技術(shù)安全管理指導(dǎo)。
(3)ISO7498信息處理系統(tǒng),開放系統(tǒng)互聯(lián),基本參考模型,安全結(jié)構(gòu)。
(4)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號(hào))。
(5)《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見M公通字[2004]66號(hào)精神。
(6)《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》GBT22240-2008。
(7)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GBT22239-2008。
(8)B57799-1信息安全管理體系規(guī)范。
(9)NSAIATF信息保障技術(shù)框架。
安全防范體系設(shè)計(jì)的原則
數(shù)據(jù)申心安全防范體系設(shè)計(jì)應(yīng)遵循以下原則:
(1)標(biāo)準(zhǔn)規(guī)范原則。符合國(guó)家信息安全保障體系的要求,符合國(guó)家信息安全等級(jí)保護(hù)國(guó)家密碼管理等相關(guān)制度、標(biāo)準(zhǔn)的要求。
(2)可持續(xù)性原則。安全體系的設(shè)計(jì)可滿足數(shù)據(jù)中心生命周期的持續(xù)安全保障。
(3)可擴(kuò)展性原則。隨著技術(shù)發(fā)展和網(wǎng)絡(luò)應(yīng)用的開展,數(shù)據(jù)中心必然面臨著不斷改進(jìn)、擴(kuò)展的需求。在數(shù)據(jù)中心安全體系建設(shè)過程中,必須考慮到應(yīng)用及安全需求的擴(kuò)展,安全系統(tǒng)應(yīng)具有較強(qiáng)的擴(kuò)充、升級(jí)兼容能力,以滿足業(yè)務(wù)高速發(fā)展的需要。
(4)適度安全原則。在安全策略制定上,要盡量考慮安全機(jī)制的合理性,對(duì)重點(diǎn)信息資源,一定要實(shí)現(xiàn)重點(diǎn)保護(hù)。在保證安全的前提下,應(yīng)盡量減少安全機(jī)制的規(guī)模和復(fù)雜性,使之具有可操作性,避免因過于復(fù)雜而導(dǎo)致安全措施難以執(zhí)行。
(5)管理與技術(shù)相結(jié)合原則。任何一個(gè)信息系統(tǒng)的安全,都包括了產(chǎn)品、過程、人等多方面因素,必須在考慮技術(shù)解決方案的同時(shí),充分考慮法律、法規(guī)、管理等方面的制約和調(diào)控作用。堅(jiān)持技術(shù)和管理相結(jié)合,堅(jiān)持多人負(fù)責(zé)制,相互配合、相互制約,堅(jiān)持職責(zé)分離,堅(jiān)持最小權(quán)利原則等。
(6)整體規(guī)劃、分步實(shí)施原則。數(shù)據(jù)中心安全體系建設(shè)是系統(tǒng)工程,必須有統(tǒng)一的規(guī)劃;同時(shí)安全系統(tǒng)建設(shè)是一個(gè)復(fù)雜的長(zhǎng)期的系統(tǒng)工程,為了確保系統(tǒng)建設(shè)的成功,應(yīng)當(dāng)采取分步實(shí)施的原則,先建設(shè)那些成熟的、必要的且容易實(shí)現(xiàn)的部分。對(duì)采用先進(jìn)技術(shù)的部分,采用示范的方式由點(diǎn)到面地逐漸鋪開。
(7)先進(jìn)性和可行性相結(jié)合原則。安全體系的設(shè)計(jì)要具有一定的前瞻性,要考慮安全技術(shù)的發(fā)展趨勢(shì),滿足業(yè)務(wù)未來發(fā)展的需求,提供可行的方案與規(guī)劃,具備很強(qiáng)的可操作性。
(8)等級(jí)性原則。等級(jí)性原則是指安全層次和安全級(jí)別。良好的信息安全系統(tǒng)必然是分為不同等級(jí)的,包括對(duì)信息保密程度分級(jí),對(duì)用戶操作權(quán)限分級(jí),對(duì)網(wǎng)絡(luò)安全程度分級(jí)(安全子網(wǎng)和安全區(qū)域),對(duì)系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(jí)(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等),從而針對(duì)不同級(jí)別的安全對(duì)象,提供全面、可選的安全算法和安全體制,以滿足數(shù)據(jù)中心不同層次的各種實(shí)際需求。
(9)動(dòng)態(tài)發(fā)展原則。要根據(jù)數(shù)據(jù)中心安全的變化不斷調(diào)整安全措施,適應(yīng)新的數(shù)據(jù)中心環(huán)境,滿足新的數(shù)據(jù)中心安全需求。
(10)易操作性原則。首先,安全措施需要人為去完成,如果措施過于復(fù)雜,對(duì)人的要求過高,本身就降低了安全性。其次,措施的采用不能影響系統(tǒng)的正常運(yùn)行。