专家谈如何打造合格数据中心的标准

随着互联网的飞速发展，随着云计算的兴起，越来越多的数据中心拔地而起。任何一个成熟的产业都有着严谨的安全策略，数据中心走到了今天，受到层出不穷发生的信息安全事件影响，其安全问题更是重中之重，建造一个合格的数据中心标准是什么？这个如何检测？这里面有多少难点需要解决？这就是我们今天要谈的话题。

就上述话题，我们51CTO专访了TUViT亚太区业务总监的邓永基先生。作为技术监督领域的专业人士，邓永基有着自己的独到见解。

互联网是个开放的舞台，但并不是数据中心中的每个数据都是可以和他人分享的，其实是根本不能分享的。如何保管好自己的数据，除了安全软件方面的考虑外，也有很多物理因素要考虑在内。

高调与低调

常关注数据中心的朋友一定看过类似的新闻，“XXX大型数据中心于我国某地落成，用以解决当地的互联网问题，大幅度推动某地互联网产业的发展”。相比起国内数据中心、IDC机房的高调媒体姿态，许多国外数据中心都放在了我们普通人认为鸟不生蛋的地方（51CTO推荐阅读：潜入维基解密机房 更新中文视频+高清图）。为什么放在那？这并不利于新闻媒体的正面报道，也许人家对安全的需求要大于媒体的褒奖。相信如果维基解密把数据中心里的“机密”放在了一个世人皆知的地方，哪些问题就不会再敏感了，真正的敏感问题早就被官方和谐的无影无踪了。

就数据中心隐蔽的重要性，邓永基认为：“数据中心里的数据不属于管理者，not owner，它属于数据本身的拥有者——公司、组织或个人。真正优秀的数据中心外界很难知晓其具体信息，Google的主数据中心在哪？相信没人能说得清。只有这样的数据中心才能真正保障所存储数据的安全。”

是啊，究竟Google的主数据中心在哪，这几乎是每个IT媒体想知晓的问题。虽然51CTO之前也报道过不少Google数据中心的新闻，但大多数都是管中窥豹，具体细节并不为人所知。看来，如何将重要的数据中心隐藏好是个重要的问题，但仅仅光藏还是好是不够的，这需要有个标准来约束，有太多的问题需要注意。数据中心该不该像我国媒体报道的那样大张旗鼓，也需要有个规章制度来管管了。

说到规章制度，还得从当下关注比较高的ISO 27001说起，目前在中国，很多数据中心都以ISO27001信息安全管理体系为认证标准并通过，可是ISO 27001对于数据中心的安全要求有那些，它是如果解决实际问题的呢？

“条理分明”的ISO 27001

从最简单的Physical Security物理安全来看，ISO 27001的标准要求中关于物理安全的要求主要是在A.9 － 物理与环境安全，其中包括A.9.1安全区域和A.9.2设备安全两大项，然后细分为和安全区域有关的 A.9.1.1物理安全边界，A.9.1.2物理进入控制，A.9.1.3办公室，房间和设施的安全， A.9.1.4防范外部和环境威胁，A.9.1.5在安全区域工作，A.9.1.6公共访问和装卸区域；和设备安全有关的A.9.2.1设备安置与保护，A.9.2.2支持设施，A.9.2.3电缆安全，A.9.2.4设备维护，A.9.2.5管辖区域外设备安全，A.9.2.6设备报废或重用，A.9.2.7财产转移。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友