坚若磐石的安全堡垒 数据中心安全面面观
本文为TUV IT亚太业务总监邓永基在“ 2009北京信息安全与业务连续性管理峰会”的主题演讲——《坚若磐石的安全堡垒-数据中心安全面面观》。在坐的各位,都与金融行业有关,金融行业在最近几年,金融行业特别强调在数据中心的问题,自己建立一个很好的数据中心,或者找一个单位,来帮你运维,怎么来进行运用?总之数据中心已经变成一个很重要的话题。
在金融或者电信,它的地位也越来越重要,在座有没有卖网络设备公司。我听到有一位朋友,卖网络设备,比如说最大就是思科公司,他们预测他说接下来两年中国一定会购买非常多的数据中心,从他们卖出来的设备就知道,那些设备全部卖只有数据中心才会用到那种设备,最大型的设备已经供不应求。
今天我们要谈就是数据中心,首先讲的一个是沈阳的安全机制,怎么做才能做到一个安全的数据中心。刚刚我们讨论里面就已经有人问到,我在还没开始之前,还先提一下,有人觉得越来越多的标准无所适从该做哪一个标准,为了把这些标准全部整合在一起,做一套就好。原则是不行的,但是这个不行有两个,做标准不希望你们这样做,做标准希望做出不同标准希望你各自追寻。
第二每个标准当初设计的时候是对,它有自己的背景。为什么要设计这一套标准,它的部分会评出几个人说最近我们应不应该想出一个新的标准,什么叫类似中国的质量监督系统机构是一个公正单位。至今已经100多年了,在欧洲做质量监理是很重要的,132年,我在单位是TUV.IT,我们比较侧重最近我们比较在技术方面我们早上说到,管理体系框架东西说很多了。大家已经明白,中国已经有的国标,想要落实到实施面的该用哪些东西,今天谈数据中心就是这样一个概念,当大家用完了27001,大家用了20000之类相关标准以后,发现它们特别针对某一个机会,27001向问大家一个简单的问题,27001基本是针对哪一种形态的机构。针对什么样的公司,27001,有没有人可以告诉我,银行吗?还是政府机构?电信?针对什么?没有吗?谁可以用27001,咨询公司可以用吗,TUV可以用吗?
ISO20000呢?针对哪一种类型的公司,运维的做IT运维你是服务提供者,不是服务提供者不适合做吗?我有一个客户他不是服务提供者,德国所有汽车厂都是我们客户,他们不是他们也做,并且现在已经通过ISO20000认证了。我们讲这个目的,是跟各位求证,现在我们知道这些SCADA标准了,他们没有针对性是中立,尤其270001,这个标准是写给各式各样的行业用,不管是大还是小,是政府还是私人都可以用。而且是给企业的,从组织面来看。
ISO20000也是一样,当然你有用IT服务,可是稍微大一点企业比如说西门子在中国有50个据点他自己需要一个数据中心,自己IT部门需要服务一大堆人。IBM公司在中国需要服务20000个IBM员工他们要不要做要,他们对内服务也需要,这样问题就出来了。并没有针对我们企业哪一个部门,我们拿这个标准套用到我们数据中心会使用吗?这个有点类似,你认为你做很多标准,你对标准很了解,ISO9000,各位都是IT部门的,ISO9000大部分企业都有通过,9000跟IT部门有什么关系,你们通过ISO9000IT部门审计的时候就检过吗?正常是没有了,理论不太会,ISO9000谈质量管理,把IT纳进来也有可能。但是一般工厂讲,质量管理指是什么?我的产品制造的质量,跟IT没有关系,所以每一个标准有它的针对性,所以我想用这个具体展开。就是说今天各位不要心里说完了又了一个新的标准,因为有需求,你现在马上将有三个跟IT有关系的标准,他们都不是针对你的数据中心设计,有针对数据中心标准,我不相信他那些标准拿过来你会说不好,你现在才要建数据中心。
不久前我接到一个电话,他说他现在要设计一个数据中心请问有哪些规范?我说你不是有27001,但是不是针对数据中心,你们今天要亲人家帮你们设计一个数据中心你要拿什么要拿什么标准给他,到底有没有标准是针对数据中心,我们从设计的时候有哪些安全回应。
任何一个体系牵扯到安全的时候,我们谈这个部分,从最早说大CII回到数据中心会从这边开始。有三大部分,我们认为,第一物理安全或者实体安全,第二IT的物理安全,数据中心当然要放IT的设备。当然我刚才所说的很多标准比较多是在IT中,另外还有你怎么管理一个数据中心。所以我们会从三个部分谈,任何一个标准只要它能够包含这三个,我们认为它有可能使用数据中心。
原文出自【比特网】,转载请保留原文链接:213/8834213.shtml
学习,谢谢
页:
[1]