随着互联网的飞速发展,随着云计算的兴起,越来越多的数据中心拔地而起。任何一个成熟的产业都有着严谨的安全策略,数据中心走到了今天,受到层出不穷发生的信息安全事件影响,其安全问题更是重中之重,建造一个合格的数据中心标准是什么?这个如何检测?这里面有多少难点需要解决?这就是我们今天要谈的话题。
就上述话题,我们51CTO在上海信息化培训中心Future-S会后专访了TUViT亚太区业务总监的邓永基先生。作为技术监督领域的专业人士,邓永基有着自己的独到见解。
互联网是个开放的舞台,但并不是数据中心中的每个数据都是可以和他人分享的,其实是根本不能分享的。如何保管好自己的数据,除了安全软件方面的考虑外,也有很多物理因素要考虑在内。
高调与低调
常关注数据中心的朋友一定看过类似的新闻,“XXX大型数据中心于我国某地落成,用以解决当地的互联网问题,大幅度推动某地互联网产业的发展”。相比起国内数据中心、IDC机房的高调媒体姿态,许多国外数据中心都放在了我们普通人认为鸟不生蛋的地方(51CTO推荐阅读:潜入维基解密机房 更新中文视频+高清图)。为什么放在那?这并不利于新闻媒体的正面报道,也许人家对安全的需求要大于媒体的褒奖。相信如果维基解密把数据中心里的“机密”放在了一个世人皆知的地方,哪些问题就不会再敏感了,真正的敏感问题早就被官方和谐的无影无踪了。
就数据中心隐蔽的重要性,邓永基认为:“数据中心里的数据不属于管理者,not owner,它属于数据本身的拥有者——公司、组织或个人。真正优秀的数据中心外界很难知晓其具体信息,Google的主数据中心在哪?相信没人能说得清。只有这样的数据中心才能真正保障所存储数据的安全。”
是啊,究竟Google的主数据中心在哪,这几乎是每个IT媒体想知晓的问题。虽然51CTO之前也报道过不少Google数据中心的新闻,但大多数都是管中窥豹,具体细节并不为人所知。看来,如何将重要的数据中心隐藏好是个重要的问题,但仅仅光藏还是好是不够的,这需要有个标准来约束,有太多的问题需要注意。数据中心该不该像我国媒体报道的那样大张旗鼓,也需要有个规章制度来管管了。
说到规章制度,还得从当下关注比较高的ISO 27001说起,目前在中国,很多数据中心都以ISO27001信息安全管理体系为认证标准并通过,可是ISO 27001对于数据中心的安全要求有那些,它是如果解决实际问题的呢?
#p#
“条理分明”的ISO 27001
从最简单的Physical Security物理安全来看,ISO 27001的标准要求中关于物理安全的要求主要是在A.9 - 物理与环境安全,其中包括A.9.1安全区域和A.9.2设备安全两大项,然后细分为和安全区域有关的 A.9.1.1物理安全边界,A.9.1.2物理进入控制,A.9.1.3办公室,房间和设施的安全, A.9.1.4防范外部和环境威胁,A.9.1.5在安全区域工作,A.9.1.6公共访问和装卸区域;和设备安全有关的A.9.2.1设备安置与保护,A.9.2.2支持设施,A.9.2.3电缆安全,A.9.2.4设备维护,A.9.2.5管辖区域外设备安全,A.9.2.6设备报废或重用,A.9.2.7财产转移。
数据中心安全控制措施
总共十三项安全控制措施,的确可谓“条理分明”的列出所有与物理安全相关的安全条例。但是,再深入的看每一项安全控制措施的规范内容时,就会发现,这标准中并没有载明如何落实相关安全控制措施的具体做法。
#p#
令人“无语”的ISO 27001
看完这段叙述,您应该也有同感,这样的指南,还是仅只能提供实施的方向与关注,对于具体实施并没有实质的帮助。例如,电缆桥架和桥架内电缆铺设,电线电缆导管和线槽铺设,开关,插座,电缆头制作,接线和绝缘等,这些关系专业数据中心能否达成运营要求的关键细节,并没有在目前常见的相关标准中出现。
鉴于此,邓永基解释到:“德国在2002年初,许多兴建中的专业数据中心不约而同的有了上述的疑问,并提出制定针对专业数据中心建置,运维的规范与认证标准。TUViT制定的TSI(Trusted Site Infrastructure,简称数据中心认证规范) 就是在这样的背景之下催生出来的产业标准。
TSI数据中心安全八大模块
#p#
一场中立的访谈
通过访谈,51CTO记者了解到,其实就相对不够严谨的ISO 27001来说,还是有许多国内数据中心根本达不到标准。原因很简单,数据中心的设计、建造部门未分离,没有相关的监管机制来约束,那么“又当裁判员又当运动员”的模式也就见怪不怪了。
此次访谈中并没有太多对数据中心的溢美之词,邓永基更多的时候是从第三方的角度来和我们探讨数据中心的现状和问题,这点让听惯了夸张之词的记者我颇感欣慰。作为中立的媒体,我们更愿意关注新闻事件背后的问题,并督促社会各界解决它们,这一点和邓总的观点不谋而合。
总体来说,我国数据中心的发展趋势是好的,但发展中遇到的问题在哪里,如何解决还需要很长的一段路来走。ISO27001、TSI以及其他的认证规范都是协助我们发展数据中心不可或缺的资源,我们如何选择它们为数据中心服务,为IT服务,是现阶段应该考虑的问题了。
【编辑推荐】