内容简介
ICS 35.240 54 CCS L 78
西
藏 自 治 区 地 方 标 准
DB54/T 0420—2024
大数据中心 安全管理规范
2024-11-18 发布
2024-12-18 实施
西藏自治区市场监督管理局 发 布
DB54/T 0420—2024
目 次
前言...................................................................................II
1 范围.................................................................................1
2 规范性引用文件.......................................................................1
3 术语、定义和缩略语...................................................................1
4 总体要求.............................................................................2
4.1 目标...........................................................................2
4.2 原则...........................................................................2
4.3 职责...........................................................................2
5 物理安全.............................................................................2
5.1 物理安全管理...................................................................2
5.2 物理区域安全...................................................................3
5.3 物理设备安全...................................................................3
6 信息安全.............................................................................4
6.1 信息系统安全...................................................................4
6.2 网络安全.......................................................................4
7 消防安全.............................................................................4
8 安全风险与应急.......................................................................4
9 监督与改进...........................................................................5
9.1 安全工作监督...................................................................5
9.2 安全工作改进...................................................................5
参考文献................................................................................6
I
DB54/T 0420—2024
前 言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起
草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由西藏自治区经济和信息化厅(自治区数据管理局)提出并归口。
本文件起草单位:西藏自治区经济和信息化厅(自治区数据管理局)、西藏高驰信息技术服务有限
责任公司、国家工业信息安全发展研究中心。
本文件主要起草人:郭翔、旺堆、扎西尼玛、刘勇、宋雪述、兰劭晖、罗宇舟、周文华、曹亮、赵
青、贺赟、李云志、蔡长亮、杜洪涛、栾燕、陶炜。
II
DB54/T 0420—2024
大数据中心 安全管理规范
1 范围
本文件规定了西藏自治区大数据中心稳定运行所需的综合安全管理要求,包括总体要求、物理安全、
信息安全、消防安全、安全风险与应急等重点领域安全管控要求,以及安全工作监督评估与改进要求,
形成系统性的大数据中心安全运行管理机制。
本文件适用于西藏自治区大数据中心的日常安全管理。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
GB/T 22080 信息技术 安全技术 信息安全管理体系 要求
GB/T 22239 信息安全技术 网络安全等级保护基本要求
GB/T 25058 信息安全技术 网络安全等级保护实施指南
GB/T 25069 信息安全技术 术语
GB/T 31496 信息技术 安全技术 信息安全管理体系实施指南
YD_T_2949 电信互联网数据中心(IDC)安全生产管理要求
3 术语、定义和缩略语
3.1 术语和定义
GB/T 25069 界定的以及下列术语和定义适用于本文件。
安全 security
对于某一系统,据以获得保密性、可用性、可核查性、真实性以及可靠性的性质。
[来源:GB/T 25069-2022, 3.1]
安全机制 security mechanism
实现安全功能,提供安全服务的基本方法。
[来源:GB/T 25069-2022, 3.11]
3.2 缩略语
3
DB54/T 0420—2024
下列缩略语适用于本文件。
UPS:不间断电源(Uninterrupted Power Supply)
4 总体要求
4.1 目标
通过建立安全机制,制定安全管理制度,实施技防、人防等措施,确保公共数据中心稳定、有序、
安全运行,保障大数据中心在数据采集、存储、处理、传输、服务过程中的安全。
4.2 原则
在开展大数据中心安全管理工作中,应遵循以下原则:
a) 职责明确
安全管理制度中应明确安全管理活动中的有关责任主体及其职责。
b) 合法合规
安全管理制度中要求采取的安全防护策略,应符合国家、西藏自治区信息安全法规。同时,满足计
算机信息系统安全等级保护要求。
c) 确保安全
管理制度要求采取的措施应能够有效保障数据中心的物理安全、数据安全、网络安全。
d) 可追溯可审计
应记录安全管理活动中各项操作的相关信息,并保证记录不可篡改、可追溯。
4.3 职责
大数据中心在建立安全机制、制定安全管理制度时,可参考 GB/T 31496-2015 和 GB/T 22080-2016
相关规定要求,明确以下活动的责任主体并明确应采取的措施:
a) 物理安全防护
保护数据中心设备设施防火、防盗、防损毁、防电磁干扰等。
b) 数据安全防护
保护数据中心拥有的数据防丢失、防泄密、防篡改、防非授权访问等。
c) 网络安全防护
保护数据中心在数据传输中防窃取、防篡改,以及信息系统防入侵等。
d) 安全机制运行
统筹安全管理活动,制定安全管理制度,实施相关防护措施。
e) 更新优化
定期组织大数据中心安全机制和管理制度实施成效评价,识别存在的风险,有针对性地完善改进,
4
DB54/T 0420—2024
不断提升安全管理水平。
5 物理安全
5.1 物理安全管理
为保障大数据中心运行安全可靠,面向物理设施和环境安全,应制定和完善以下物理防护及安全保
卫管理制度,并监督实施:
a) b) c) d) e) f) g) 功能区域安全等级划分、边界划分; 人员出入授权审批和门禁管理; 外来人员访问陪同策略; 防火防盗设施管理; 易燃易爆品防控管理; 周边社会环境信息收集与安全防控制度; 周边自然环境灾害信息收集与安全防控制度等。
5.2 物理区域安全
应防止对环境区域的非授权物理访问、损坏和干扰,采取包括但不限于以下措施:
a) 物理安全边界
定义和使用安全边界来保护关键、敏感设施。
b) 物理入口控制
通过保卫管理和门禁管理保障人员出入权限受控。
c) 办公及机房设施
办公及机房设施的安全保护措施。
d) 外界和环境威胁的安全防护措施
应设计和应用物理保护以防自然灾害、恶意攻击和意外。
e) 机房区域工作规程
宜建立机房区域工作规程。
f) 交接区域的控制措施
交接区域的控制措施以防止物理设备设施和安全区域的未授权物理访问、损坏和干扰。
5.3 物理设备安全
应防止大数据中心资产(包括设备、设施、布缆、存储介质等)的丢失、损坏、失窃或危及资产安
全及业务的中断,采取包括但不限于以下措施:
a) 设备安置和保护
5
DB54/T 0420—2024
控制应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。
b) 支持性设施
应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。
c) 布缆安全
应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听、干扰或损坏。
d) 设备维护
应予以正确地维护,以确保其持续的可用性和完整性。
e) 资产的移动
设备、信息或软件在授权之前不应带出中心区域。
f) 组织场所外的设备与资产安全
应对组织场所外的资产采取安全措施,要考虑工作在组织场所外的不同风险。
g) 设备的安全处置或再利用
包含储存存储介质的设备的所有部分应进行核查,以确保在处置或再利用之前,任何敏感信息和注
册软件已被删除或安全地重写。
h) 无人值守的用户设备
用户应确保无人值守的用户设备有适当的保护。
i) 清理桌面和屏幕策略
应针对纸质和可移动存储介质,采取清理桌面策略;应针对信息处理设施,采用清理屏幕策略。
6 信息安全
6.1 信息系统安全
大数据中心的业务系统、门禁系统、设施监控系统、环控系统、访客系统等各类弱电系统,应制定
并采取必要的信息安全控制措施,包括但不限于以下措施:
a) b) c) d) e) f) g) h) i) 时钟同步控制措施; 恶意软件控制措施(计算机病毒防护); 各类各层次系统的用户访问控制措施; 口令管理控制措施; 网络访问控制措施; 网络隔离控制措施; 信息备份与恢复策略; 日志保护控制措施; 运行软件控制措施。
6
DB54/T 0420—2024
重点针对大数据中心管辖的IT设备、机房、重要主机系统、网络、重要供应链等,建立安全管理策
略和维护流程制度,按要求实施并定期记录、定期检查。
6.2 网络安全
应根据网络安全防护需求,防范网络攻击,并依据GB/T 22239-2019和GB/T 25058-2019相应等级有
关要求和GB/T 39786-2021、GB/T 43207-2023等密码应用要求,采取相关措施,确保大数据中心网络安
全。
7 消防安全
应参考YD/T 2949-2015规定,制定消防等安全生产制度规范并实施,确保大数据中心场地符合国家
的消防法规和安全生产法规要求:
a)
机房环境和设施设备安全管理
围绕基础动力设施设备、发电机组、UPS设备、蓄电池、空调设备、防雷接地系统、动力及环境监
控系统,制定安全作业细则并实施。
b)
消防系统安全管理
围绕消防系统安全和用电安全,制定安全管理规范和安全作业细则并实施。
c)
安全管理制度及流程齐套
围绕机房安全管理、值班和交接班、维护作业计划、设备巡检、技术档案和原始记录资料管理,以
及备品备件、仪器仪表及工器具管理,制定制度清单和管理流程规范,并监督实施。
8 安全风险与应急
面向大数据中心日常运行,应制定安全风险管理与应急措施,并按要求实施:
a)
风险管理
宜充分识别数据中心运行中的风险,以及对中心运营的影响,并制定预案,以便采取有效措施,消
除或控制风险的影响。
b)
温度热点管理
宜关注各类设施的发热情况,了解发热特征,制定持续观测、记录、分析和预警的制度。
c)
建立应急预案
——应建立、实施和保持有效的业务影响分析与风险评估流程;
——对场地、设施及服务存在的可能影响运维目标和持续提供服务能力的风险,进行识别、分析和
评价;
——进行业务影响分析,对评估发现的风险进行处置,并按照风险发生的可能性以及发生后果的严
重性,制定应急预案和快速恢复机制。
7
DB54/T 0420—2024
d)
应急演练
应定期进行应急演练。当运营环境出现重大变化时,演练和测试其应急预案和恢复程序,并形成演
练报告,内容包括输出结果、建议和实施改进的措施。
9 监督与改进
9.1 安全工作监督
应对大数据中心的物理安全、网络安全、消防安全措施的实施情况、实施成效进行定期评估,评价
相关措施的有效性,并识别可能存在的安全风险。评估内容包括但不限于以下:
a)
根据中心内外部环境变化,识别存在的安全风险;
b)
对安全防护相关的日志进行审计,评估相关防护措施的有效性;
c)
对上一次评估以来安全机制运行情况进行评估,评价运行有效性;
d)
对上一次评估以来出现的安全事故及原因进行分析,评价采取的整改措施是否有效。
9.2 安全工作改进
根据定期的监督评估结果,针对发现的安全问题和潜在的安全风险,由责任部门制定改进措施,对
已有的问题进行纠正,对潜在风险进行预防或规避。
应通过培训、学习、考试、比赛等多种方式,向有关人员宣贯安全管理制度,建立全面持续提升的
安全文化理念。 A
8
DB54/T 0420—2024
参 考 文 献
[1] GB 17859-1999 计算机信息系统 安全保护等级划分准则
[2] GB/T 9361-2011 计算机场地安全要求
[3] GB/T 25069-2022 信息安全技术 术语
[4] DB43/T 2422.8-2022 政务服务中心管理规范 第8部分:政务服务平台建设与管理
[5] DB23/T 2844-2021 电子政务云平台安全管理规范
[6] YDN 2248-2011 互联网数据中心(IDC)信息安全管理系统技术要求
[7] T/CIE 052-2018 中国电子学会团体标准 数据中心设施运维管理指南
[8] 西藏自治区一体化在线政务服务平台建设的实施方案(藏政发〔2019〕7号)
[9] 关于全面推进政务公开工作的实施意见(藏党办发〔2016〕37号)
9