華南理工大學數據中心管理之道

文/艾飛 黃建波 蘇宣瑞 劉志權

高校信息化普遍存在安全管理制度不完善、隊伍建設缺乏編制、師生網絡安全意識薄弱等現象，這給高校網絡安全管理造成了較大威脅。因此，制定科學完備的數據中心管理制度是高校數據中心的重要任務。

本文根據當前高校數據中心的運維體系，分析《信息安全技術網絡安全等級保護測評要求》中的測評對象及相應測評指標，明確管理對象的安全要求。在此基礎上，探索數據中心的管理制度，并完善數據中心管理域，從制度上保障高校數據中心的安全運轉。

高校數據中心運維體系

運維體系的核心思想是技術和管理規范并重。運維團隊在標準規范和管理制度的指導和約束下，采用適當的運維工具，實現數據中心的四個運維目標，即安全、穩定、高效和低成本。運維體系結構如圖1所示。

圖1 高校數據中心運維體系

1.運維對象

高校數據中心提供的服務有以下幾個方面：數據中心基礎設施的建設和運維；全校性信息系統的運維，比如校園門戶、統一認證、一卡通系統、郵件服務、云服務、高性能計算等；為學校二級單位提供IT設備的托管服務。因此，運維對象包括數據中心的基礎設施、IT設備、運維工具和運維人員等。

華南理工大學

2.運維工作

高校數據中心的常規運維分為巡檢和維護，巡檢對象主要是智能系統所無法監控到的對象，結合人工巡檢和智能監控，及時發現故障或潛在的隱患，并實施相應的故障維護。此外，高校作為一個開放性的研究場所，網絡信息系統比較容易受到黑客或者非法組織的入侵和攻擊。因此，持續完善應急預案和演習，協助處理應急事件，并在國家重保期間協助護網行動也是數據中心運維的重點工作。

3.運維組織

高校數據中心大多采用混合管理模式，將專業性強、難度大的運維外包給第三方專業技術運維單位。學校運維人員負責數據中心的建設和管理以及核心業務的運維，在保證數據中心專業性維護需求的同時，兼顧節省高校的人力和財力。

信息系統安全等級保護測評要求

信息系統等級保護系列標準為國家推行信息系統安全建設、安全檢查、安全整改提供了技術標準。其中，2019年正式實施的《信息安全技術網絡安全等級保護測評要求》針對IT技術和應用將安全控制點劃分為安全通用要求、云計算安全擴展要求、移動計算安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求；按照不同的安全等級要求，從安全技術和安全管理兩個方面定義安全控制點的安全項。其中，每一項的安全項由四部分內容組成，分別是測評對象、測評指標、測評實施和單元判定。

1.安全物理環境

物理環境指數據中心的基礎設施，包括數據中心機房、相關輔助用房、電氣系統、通風空調系統、消防系統、智能化系統等，為IT設備和信息系統的運行提供保障服務。其中，安全測評的內容包括物理訪問控制、防雷（火、水、潮）、防盜竊、防破壞、溫濕度控制、電力供應等方面。

2.安全計算環境

計算環境包括計算設備、計算系統以及數據，安全測評內容包括身份鑒別、訪問控制、惡意代碼防范、入侵防范、數據備份、數據完整性、數據保密性以及個人信息保護等。

3.安全管理

安全管理測評對象是人員和文檔，人員包括系統管理員、安全審計員、安全管理員、機房管理員，文檔包括管理文檔（策略、制度、規程）、記錄類文檔等。

數據中心管理制度架構

海恩法則指出，每一起嚴重事故的背后，必然有29次輕微事故和300起未遂先兆以及1000起事故隱患，事故發生是由量積累的結果。數據中心安全穩定運行的前提是及時發現系統故障、及時解決系統故障以及規避人為錯誤。因此，數據中心運維的首要工作是通過建立科學規范的管理制度，提高預防性維護和預測性維護能力，以制度治理替代人治，厘清工作職責與邊界，明確運維工作流程以及規范系統操作。

結合上述的高校數據中心運維體系和信息系統安全等級保護測評要求，數據中心管理制度可分為管理規范類和技術實體類（如圖2所示）。

圖2 高校數據中心管理制度架構

1.管理規范類

機房是數據中心的重點場所，水、電、火、人為破壞是影響機房安全的關鍵因素，從安防、消防、人員三個方面規范機房的環境要求、機房的出入和巡檢要求、值班要求、人員職責、應急預案及處理流程，從而規范機房的安全管理。

2.技術實體類

提供安全、穩定的校園服務是數據中心的運維目標。其中，硬件故障、設備誤操作以及人為破壞是IT設備的安全影響因素；權限控制和網絡配置漏洞、軟件程序的非法性、系統誤操作、IT設備故障、人為破壞是信息系統安全的影響因素。因此，從訪問控制、軟件驗證、系統操作、系統配置、數據備份與恢復等方面制定具體的規程。

數據中心管理制度的探索與實施

華南理工大學是國內最早開始信息化建設的高校之一，其中信息網絡工程研究中心負責中國教育和科研計算機網華南地區骨干網、廣東省教育和科研計算機網(GDERNET)骨干網絡、學校校園網、學校云、一卡通系統、以及信息系統的規劃、建設、運維和服務。

數據中心管理制度需求探索

1.新管理模式的需求

隨著學校校區的擴建以及信息化高速發展的需求，華南理工大學分別在三個校區建設并運行數據中心，有限的運維人員已無法支撐數據中心的運維需求。因此，在人員編制有限的條件下，信息網絡工程研究中心積極探索數據中心管理模式，將電力、消防、空調等基礎設施的運維工作外包給第三方專業公司負責。同時，在混合管理模式下，數據中心管理制度需要在值班制度、機房管理、操作規程、信息保密等方面制定相應的管理制度，統籌管理數據中心本校運維人員和第三方運維人員，實現數據中心的高效安全運維。

2.網絡信息安全的要求

按照教育部對教育行業信息系統安全等級保護的要求，華南理工大學的學校主頁和一卡通系統的信息安全等級保護定級為第三級。其中，測評項安全管理制度要求針對各類管理內容和人員制定由安全策略、管理制度、操作規程、記錄表單等構成的全面的安全管理制度體系。

數據中心管理制度研究

2015年，華南理工大學數據中心依據當時的運營需求對管理制度進行了修訂，涉及值班制度、機房安全、消防安全、信息系統聯網安全保密、網絡中心安全應急預案等制度。隨著數據中心建設和網絡安全要求，舊制度所涉及的管理對象和安全要求已無法滿足當前學校數據中心高效安全運營的需求。此外，從2018年開始，華南理工大學的學校主頁、一卡通系統每年進行信息安全第三級等保測評，每年出具的測評報告結果都有提及管理制度完善的問題。

基于以上需求，華南理工大學數據中心研究高校數據中心管理制度的通用框架，以國家法律法規及上級相關部門的文件精神為基礎，結合等保測評報告建議和學校實際情況，從安全角度全面完善數據中心的管理制度。

管理規范類制度

數據中心的安全是全校信息化的基本保障，其中威脅數據中心安全的最不可控因素是人為因素，人員和操作規范是制度的核心。

1.托管服務制度。明確托管服務范疇和托管設備的規格要求，數據中心負責托管設備的物理安全，托管單位負責設備的運維工作。

2.機房管理制度

機房管理制度的目標對象是出入機房的人員和設備。從機房環境、機房出入、機房的工作范疇、機房運維終端以及授權的一卡通和賬號的使用等方面進行規定，避免人為造成的安全事件。

3.機房值班管理制度

明確值班人員的值班時間、專業要求、工作內容、工作要求，為全校提供良好的托管服務。

4.機房消防管理制度

明確數據中心人員的消防責任，增強人員的消防安全意識。制度主體內容包括消防設施日常巡檢內容、安全用電用火條例以及突發火災應急預案和處理流程等。

技術實體類

IT設備、應用系統以及數據構成數字校園服務的生態體系，因此需要加強對設備、系統、數據的管理。

1.設備安全管理制度

明確設備管理員的管理職責，從巡檢、操作和維護三個方面規范對設備的管理，及時發現故障或隱患，排除設備故障，實現設備生命周期的延長。

2.系統安全管理制度

明確信息系統上線前的系統要求，上線后的系統管理員職責、系統運維的操作規程、系統的訪問控制以及安全事件預案和處置流程，下線后的系統銷毀要求。

3.密碼管理制度

針對數據中心、設備、系統三類管理員所掌握的機房出入、運維終端、設備管理、系統管理的密碼，明確密碼設置要求、密碼使用規范，防止密碼被猜破、被泄露。

4.備份與恢復管理制度

對系統、配置文件、數據制訂備份恢復方案和操作規程，并規定驗證和預演要求，以保證備份數據的正確性和可用性。

5.存儲介質安全管理制度

從存放、使用、銷毀等方面制訂存儲介質的管理條例，保護介質內的數據，避免數據被泄露。

6.數據安全管理制度

依據“誰經手、誰使用、誰管理、誰負責”的管理原則，明確數據管理者和使用者的責任，規范數據存儲、數據訪問、數據的巡檢、失效數據的銷毀規范，同時制訂突發數據事件預案和處理流程以降低事故影響程度。

華南理工大學在廣州國際校區的建設中，按照A級標準在國際校區建設了大型數據中心，并升級改造五山校區和大學城校區的數據中心，為學校信息化發展打下了堅實基礎。與此同時，如何科學有效地運維三地校區的數據中心是學校必須解決的問題。文章從運維體系、網絡信息安全兩個方面分析并厘清數據中心的管理對象和網絡信息安全要求，結合學校的實際情況，全面探索數據中心的管理規范類和技術實體類制度。目前，該制度已經在三個校區實施，在滿足信息安全第三級等保測評要求的同時，通過制度對人員、IT設備、系統等對象進行規范管理，實現了高效、安全的運維目標。