文/艾飛 黃建波 蘇宣瑞 劉志權(quán)

高校信息化普遍存在安全管理制度不完善、隊伍建設(shè)缺乏編制、師生網(wǎng)絡(luò)安全意識薄弱等現(xiàn)象，這給高校網(wǎng)絡(luò)安全管理造成了較大威脅。因此，制定科學完備的數(shù)據(jù)中心管理制度是高校數(shù)據(jù)中心的重要任務(wù)。

本文根據(jù)當前高校數(shù)據(jù)中心的運維體系，分析《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》中的測評對象及相應測評指標，明確管理對象的安全要求。在此基礎(chǔ)上，探索數(shù)據(jù)中心的管理制度，并完善數(shù)據(jù)中心管理域，從制度上保障高校數(shù)據(jù)中心的安全運轉(zhuǎn)。

高校數(shù)據(jù)中心運維體系

運維體系的核心思想是技術(shù)和管理規(guī)范并重。運維團隊在標準規(guī)范和管理制度的指導和約束下，采用適當?shù)倪\維工具，實現(xiàn)數(shù)據(jù)中心的四個運維目標，即安全、穩(wěn)定、高效和低成本。運維體系結(jié)構(gòu)如圖1所示。

圖1 高校數(shù)據(jù)中心運維體系

1.運維對象

高校數(shù)據(jù)中心提供的服務(wù)有以下幾個方面：數(shù)據(jù)中心基礎(chǔ)設(shè)施的建設(shè)和運維；全校性信息系統(tǒng)的運維，比如校園門戶、統(tǒng)一認證、一卡通系統(tǒng)、郵件服務(wù)、云服務(wù)、高性能計算等；為學校二級單位提供IT設(shè)備的托管服務(wù)。因此，運維對象包括數(shù)據(jù)中心的基礎(chǔ)設(shè)施、IT設(shè)備、運維工具和運維人員等。

華南理工大學

2.運維工作

高校數(shù)據(jù)中心的常規(guī)運維分為巡檢和維護，巡檢對象主要是智能系統(tǒng)所無法監(jiān)控到的對象，結(jié)合人工巡檢和智能監(jiān)控，及時發(fā)現(xiàn)故障或潛在的隱患，并實施相應的故障維護。此外，高校作為一個開放性的研究場所，網(wǎng)絡(luò)信息系統(tǒng)比較容易受到黑客或者非法組織的入侵和攻擊。因此，持續(xù)完善應急預案和演習，協(xié)助處理應急事件，并在國家重保期間協(xié)助護網(wǎng)行動也是數(shù)據(jù)中心運維的重點工作。

3.運維組織

高校數(shù)據(jù)中心大多采用混合管理模式，將專業(yè)性強、難度大的運維外包給第三方專業(yè)技術(shù)運維單位。學校運維人員負責數(shù)據(jù)中心的建設(shè)和管理以及核心業(yè)務(wù)的運維，在保證數(shù)據(jù)中心專業(yè)性維護需求的同時，兼顧節(jié)省高校的人力和財力。

信息系統(tǒng)安全等級保護測評要求

信息系統(tǒng)等級保護系列標準為國家推行信息系統(tǒng)安全建設(shè)、安全檢查、安全整改提供了技術(shù)標準。其中，2019年正式實施的《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》針對IT技術(shù)和應用將安全控制點劃分為安全通用要求、云計算安全擴展要求、移動計算安全擴展要求、物聯(lián)網(wǎng)安全擴展要求、工業(yè)控制系統(tǒng)安全擴展要求；按照不同的安全等級要求，從安全技術(shù)和安全管理兩個方面定義安全控制點的安全項。其中，每一項的安全項由四部分內(nèi)容組成，分別是測評對象、測評指標、測評實施和單元判定。

1.安全物理環(huán)境

物理環(huán)境指數(shù)據(jù)中心的基礎(chǔ)設(shè)施，包括數(shù)據(jù)中心機房、相關(guān)輔助用房、電氣系統(tǒng)、通風空調(diào)系統(tǒng)、消防系統(tǒng)、智能化系統(tǒng)等，為IT設(shè)備和信息系統(tǒng)的運行提供保障服務(wù)。其中，安全測評的內(nèi)容包括物理訪問控制、防雷（火、水、潮）、防盜竊、防破壞、溫濕度控制、電力供應等方面。

2.安全計算環(huán)境

計算環(huán)境包括計算設(shè)備、計算系統(tǒng)以及數(shù)據(jù)，安全測評內(nèi)容包括身份鑒別、訪問控制、惡意代碼防范、入侵防范、數(shù)據(jù)備份、數(shù)據(jù)完整性、數(shù)據(jù)保密性以及個人信息保護等。

3.安全管理

安全管理測評對象是人員和文檔，人員包括系統(tǒng)管理員、安全審計員、安全管理員、機房管理員，文檔包括管理文檔（策略、制度、規(guī)程）、記錄類文檔等。

數(shù)據(jù)中心管理制度架構(gòu)

海恩法則指出，每一起嚴重事故的背后，必然有29次輕微事故和300起未遂先兆以及1000起事故隱患，事故發(fā)生是由量積累的結(jié)果。數(shù)據(jù)中心安全穩(wěn)定運行的前提是及時發(fā)現(xiàn)系統(tǒng)故障、及時解決系統(tǒng)故障以及規(guī)避人為錯誤。因此，數(shù)據(jù)中心運維的首要工作是通過建立科學規(guī)范的管理制度，提高預防性維護和預測性維護能力，以制度治理替代人治，厘清工作職責與邊界，明確運維工作流程以及規(guī)范系統(tǒng)操作。

結(jié)合上述的高校數(shù)據(jù)中心運維體系和信息系統(tǒng)安全等級保護測評要求，數(shù)據(jù)中心管理制度可分為管理規(guī)范類和技術(shù)實體類（如圖2所示）。

圖2 高校數(shù)據(jù)中心管理制度架構(gòu)

1.管理規(guī)范類

機房是數(shù)據(jù)中心的重點場所，水、電、火、人為破壞是影響機房安全的關(guān)鍵因素，從安防、消防、人員三個方面規(guī)范機房的環(huán)境要求、機房的出入和巡檢要求、值班要求、人員職責、應急預案及處理流程，從而規(guī)范機房的安全管理。

2.技術(shù)實體類

提供安全、穩(wěn)定的校園服務(wù)是數(shù)據(jù)中心的運維目標。其中，硬件故障、設(shè)備誤操作以及人為破壞是IT設(shè)備的安全影響因素；權(quán)限控制和網(wǎng)絡(luò)配置漏洞、軟件程序的非法性、系統(tǒng)誤操作、IT設(shè)備故障、人為破壞是信息系統(tǒng)安全的影響因素。因此，從訪問控制、軟件驗證、系統(tǒng)操作、系統(tǒng)配置、數(shù)據(jù)備份與恢復等方面制定具體的規(guī)程。

數(shù)據(jù)中心管理制度的探索與實施

華南理工大學是國內(nèi)最早開始信息化建設(shè)的高校之一，其中信息網(wǎng)絡(luò)工程研究中心負責中國教育和科研計算機網(wǎng)華南地區(qū)骨干網(wǎng)、廣東省教育和科研計算機網(wǎng)(GDERNET)骨干網(wǎng)絡(luò)、學校校園網(wǎng)、學校云、一卡通系統(tǒng)、以及信息系統(tǒng)的規(guī)劃、建設(shè)、運維和服務(wù)。

數(shù)據(jù)中心管理制度需求探索

1.新管理模式的需求

隨著學校校區(qū)的擴建以及信息化高速發(fā)展的需求，華南理工大學分別在三個校區(qū)建設(shè)并運行數(shù)據(jù)中心，有限的運維人員已無法支撐數(shù)據(jù)中心的運維需求。因此，在人員編制有限的條件下，信息網(wǎng)絡(luò)工程研究中心積極探索數(shù)據(jù)中心管理模式，將電力、消防、空調(diào)等基礎(chǔ)設(shè)施的運維工作外包給第三方專業(yè)公司負責。同時，在混合管理模式下，數(shù)據(jù)中心管理制度需要在值班制度、機房管理、操作規(guī)程、信息保密等方面制定相應的管理制度，統(tǒng)籌管理數(shù)據(jù)中心本校運維人員和第三方運維人員，實現(xiàn)數(shù)據(jù)中心的高效安全運維。

2.網(wǎng)絡(luò)信息安全的要求

按照教育部對教育行業(yè)信息系統(tǒng)安全等級保護的要求，華南理工大學的學校主頁和一卡通系統(tǒng)的信息安全等級保護定級為第三級。其中，測評項安全管理制度要求針對各類管理內(nèi)容和人員制定由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理制度體系。

數(shù)據(jù)中心管理制度研究

2015年，華南理工大學數(shù)據(jù)中心依據(jù)當時的運營需求對管理制度進行了修訂，涉及值班制度、機房安全、消防安全、信息系統(tǒng)聯(lián)網(wǎng)安全保密、網(wǎng)絡(luò)中心安全應急預案等制度。隨著數(shù)據(jù)中心建設(shè)和網(wǎng)絡(luò)安全要求，舊制度所涉及的管理對象和安全要求已無法滿足當前學校數(shù)據(jù)中心高效安全運營的需求。此外，從2018年開始，華南理工大學的學校主頁、一卡通系統(tǒng)每年進行信息安全第三級等保測評，每年出具的測評報告結(jié)果都有提及管理制度完善的問題。

基于以上需求，華南理工大學數(shù)據(jù)中心研究高校數(shù)據(jù)中心管理制度的通用框架，以國家法律法規(guī)及上級相關(guān)部門的文件精神為基礎(chǔ)，結(jié)合等保測評報告建議和學校實際情況，從安全角度全面完善數(shù)據(jù)中心的管理制度。

管理規(guī)范類制度

數(shù)據(jù)中心的安全是全校信息化的基本保障，其中威脅數(shù)據(jù)中心安全的最不可控因素是人為因素，人員和操作規(guī)范是制度的核心。

1.托管服務(wù)制度。明確托管服務(wù)范疇和托管設(shè)備的規(guī)格要求，數(shù)據(jù)中心負責托管設(shè)備的物理安全，托管單位負責設(shè)備的運維工作。

2.機房管理制度

機房管理制度的目標對象是出入機房的人員和設(shè)備。從機房環(huán)境、機房出入、機房的工作范疇、機房運維終端以及授權(quán)的一卡通和賬號的使用等方面進行規(guī)定，避免人為造成的安全事件。

3.機房值班管理制度

明確值班人員的值班時間、專業(yè)要求、工作內(nèi)容、工作要求，為全校提供良好的托管服務(wù)。

4.機房消防管理制度

明確數(shù)據(jù)中心人員的消防責任，增強人員的消防安全意識。制度主體內(nèi)容包括消防設(shè)施日常巡檢內(nèi)容、安全用電用火條例以及突發(fā)火災應急預案和處理流程等。

技術(shù)實體類

IT設(shè)備、應用系統(tǒng)以及數(shù)據(jù)構(gòu)成數(shù)字校園服務(wù)的生態(tài)體系，因此需要加強對設(shè)備、系統(tǒng)、數(shù)據(jù)的管理。

1.設(shè)備安全管理制度

明確設(shè)備管理員的管理職責，從巡檢、操作和維護三個方面規(guī)范對設(shè)備的管理，及時發(fā)現(xiàn)故障或隱患，排除設(shè)備故障，實現(xiàn)設(shè)備生命周期的延長。

2.系統(tǒng)安全管理制度

明確信息系統(tǒng)上線前的系統(tǒng)要求，上線后的系統(tǒng)管理員職責、系統(tǒng)運維的操作規(guī)程、系統(tǒng)的訪問控制以及安全事件預案和處置流程，下線后的系統(tǒng)銷毀要求。

3.密碼管理制度

針對數(shù)據(jù)中心、設(shè)備、系統(tǒng)三類管理員所掌握的機房出入、運維終端、設(shè)備管理、系統(tǒng)管理的密碼，明確密碼設(shè)置要求、密碼使用規(guī)范，防止密碼被猜破、被泄露。

4.備份與恢復管理制度

對系統(tǒng)、配置文件、數(shù)據(jù)制訂備份恢復方案和操作規(guī)程，并規(guī)定驗證和預演要求，以保證備份數(shù)據(jù)的正確性和可用性。

5.存儲介質(zhì)安全管理制度

從存放、使用、銷毀等方面制訂存儲介質(zhì)的管理條例，保護介質(zhì)內(nèi)的數(shù)據(jù)，避免數(shù)據(jù)被泄露。

6.數(shù)據(jù)安全管理制度

依據(jù)“誰經(jīng)手、誰使用、誰管理、誰負責”的管理原則，明確數(shù)據(jù)管理者和使用者的責任，規(guī)范數(shù)據(jù)存儲、數(shù)據(jù)訪問、數(shù)據(jù)的巡檢、失效數(shù)據(jù)的銷毀規(guī)范，同時制訂突發(fā)數(shù)據(jù)事件預案和處理流程以降低事故影響程度。

華南理工大學在廣州國際校區(qū)的建設(shè)中，按照A級標準在國際校區(qū)建設(shè)了大型數(shù)據(jù)中心，并升級改造五山校區(qū)和大學城校區(qū)的數(shù)據(jù)中心，為學校信息化發(fā)展打下了堅實基礎(chǔ)。與此同時，如何科學有效地運維三地校區(qū)的數(shù)據(jù)中心是學校必須解決的問題。文章從運維體系、網(wǎng)絡(luò)信息安全兩個方面分析并厘清數(shù)據(jù)中心的管理對象和網(wǎng)絡(luò)信息安全要求，結(jié)合學校的實際情況，全面探索數(shù)據(jù)中心的管理規(guī)范類和技術(shù)實體類制度。目前，該制度已經(jīng)在三個校區(qū)實施，在滿足信息安全第三級等保測評要求的同時，通過制度對人員、IT設(shè)備、系統(tǒng)等對象進行規(guī)范管理，實現(xiàn)了高效、安全的運維目標。