数据中心运维信息安全管理体系标准和认证ISO27001

信息安全管理体系标准和认证ISO27001ISO27001是什么随着全球范围内，信息化的高速发展，信息安全已成为各种组织（包括政府部门）以及普通民众关注的焦点，在全球范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。从本质上说，信息安全威胁是全球化的。一般来说，它将毫无差别地辐射到每一个拥有、使用电子信息的机构和个人。这种威胁在互联网的环境中自动生成并释放。更严重的问题是，其他各种形式的危险也在整日威胁数据安全，包括从外部攻击行为到内部破坏、偷盗等一系列危险。ISO/IEC27000系列标准（又名ISO/IEC27000标准系列，及“信息安全管理系统标准族”）是由国际标准化组织（ISO）及国际电工委员会（IEC）联合定制。该标准系列由最佳实践所得并提出对于信息安全管理的建议，并在信息安全管理系统领域中的风险及相关管控。ISO27001目前已经被普遍应用于软件、银行、电信、印刷、政府等行业。实施好处增强顾客信心和满意改善对安全方针及要求的符合性提供竞争优势对组织内部：改善总体安全管理并减少安全事件的影响便利持续改进提高员工动力与参与提高盈利能力标准特点ISO/IEC27000信息安全管理体系是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系;体系一旦建立，组织应按体系的规定要求进行运作，保持体系运行的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。ISO/IEC27001:2013作为企业建立信息安全管理体系的最新要求，体系包括14个控制域、35个控制目标、114项控制措施。信息安全信息安全管理体系可以系统化管理信息安全，信息安全主要包括保持信息的保密性(信息不能被未授权的个人、实体或者过程利用或知悉的特性)、完整性(准确和完备的特性)和可用性(根据授权实体的要求可访问和使用的特性)。管理体系主要内容组织环境。组织需要建立组织环境管理的基本方法并识别组织的基本环境信息，其实所谓的组织环境也就是我们常说的组织的基本情况，例如组织业务及业务特点、来自外部的限制条件和约束、内部的限制条件和约束、相关方及其特点等，这些都会影响体系的设计效果，就像设计一个建筑要了解地质条件和人文环境一样重要。领导力。没有管理层的支持就没有资源，因此要明确管理层的责任。管理体系要实现的组织管理目的其实就是管理层的管理目的，管理层在管理体系里面一个重要的责任就是要明确提出管理目的，也就是我们常说的确定方针，如果缺少这个环节，设计出的管理体系就不会得到管理层的支持。除此之外，为了实现管理目的，还需要管理层提供资源，分配职责和赋予权力。规划。有了方针，自然要去实现它，管理体系的方针实现过程就是通过建立与方针保持一致的目标来实现，因此在规划阶段要建立逐级分解的目标，一般目标分为上层目标和下层目标，上层目标为下层目标提供方向，下层目标对上层目标进行支撑，分解为多少层与组织的组织架构和管理结构有直接关系，重点是要分解到可以通过活动来实现的层级。并不是每一个目标分解的层级都是一样的，需要根据实际情况来确定。在规划的环节，还应充分考虑组织的风险管理，在目标实现过程中，总是会有各种因素影响目标的实现，这些因素需要进行识别并得到有效控制。但这些因素的识别不要盲目采用那些所谓放之四海而皆准的列表，而是要结合组织自己的情况来针对性识别，也就是要充分利用识别的组织环境信息。基于上述活动，组织就可以建立起贴合实际的目标实现计划。支持。从体系建设之初，对资源的需求就开始了，这一章正式提出了建立、运行、维护和持续改进管理体系所需要的支持，因此可以看出，标准的章节并不是按体系建设执行顺序来写的，不是要等规划完成后再考虑支持资源的提供和支持活动的建立。管理体系的支持主要从资源管理、人员能力管理、意识管理、沟通管理和文档管理等5个方面提出要求。这些方面，组织根据实际情况或者根据现有的管理情况确定管理过程即可。主要内容运行。由于资源和能力限制，运行不一定要把规划好的活动和管理过程全部进行实施和投入运行。实际情况是，管理体系的建立和运行在不同规模的组织内需要1年到3年的时间才能够相对完善。因此建设运行计划很重要，组织需要根据组织的管理现状、资源限制情况、相关方要求的影响程度等多个方面，建立可行的建设运行计划。对于那些必须满足的要求、急需解决的问题、对组织有重大影响的风险，需要集中资源重点进行实施和运行；对于那些对业务影响比较大，需要反复论证和测试的，可以单独作为项目进行管理和实施；对于自我实现成本过高的可以通过外包的形式进行实现；对于时间要求不紧迫的方面，可以在时间表上缓一缓。一个好的建设运行计划，可以保证体系有条不紊地运行。性能评价也是绩效评价的一种方式，管理评审方式比较直接，由管理层直接作出评价。当然，管理层需要内部审核的结果和体系运行的其他信息来进行综合评价。管理层的评价很重要，直接决定接下来他是否会更好地支持管理体系的运行工作。持续改进。绩效评价是持续改进的一个重要输入，对于存在的问题和无法实现预期目标的方面都要进行改进。信息安全标准ISO/IEC27001-2013对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。其包括14个章节：信息安全策略。信息安全的组织。人力资源安全。资产管理。访问控制。密码学。物理和环境安全。操作管理。通讯安全。系统采集、开发和维护。供应商关系。信息安全事故管理。业务连续性管理。符合性。绩效评价绩效评价。绩效评价设计的好坏，直接影响着管理体系在管理层心目中的形象。这个环节是否能够很好地进行设计和实施取决于规划环节目标对方针的支持程度和目标层级的设计是否合理，因为管理体系是否实现管理层的管理目的要看方针和目标是否得到实现。当然这只是一个方面，有了好的目标框架设计，还需要好的绩效评价方法和评估实施过程。很多组织会建立单独的绩效评价方法和过程，但实际上内部审核是非常好的绩效评价手段。所谓内部审核，就是组织对自己体系运行情况的评价活动，主要用来区别于第三方审核。组织可以任意设计内部审核的方式和频率，不需要每年一次，更不需要由几个人员来完成整个组织的内部审核工作。组织可以为每一个影响管理目标的管理过程和管理措施，甚至是活动和岗位，设计评价指标、评价方法、评价频率并指定评价人员。将管理体系的内部审核工作分散到各个部门、各个团队，定期或不定期地由相关人员提供信息和数据，然后由专门的部门或岗位对信息和数据进行汇总分析，从而实现绩效的评价。但需要注意的是，评价方法、抽样方式和频率、绩效计算公式等方面要进行详细、科学、合理的设计才会实现预期的目的。认证流程策划准备阶段策划与准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研，以及人力资源的配置与管理。同时需明确信息安全管理体系适用的范围，即需要重点管理的安全边界。组织应根据内部实际管理情况，考虑对整体或个别部门进行实施。在定义范围时应全面评估人员、资产以及环境。现状调查与风险评估依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调研和评价，以及评估信息资产面临的威胁以及导致安全事件发生的可能性，并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响。建立信息安全管理框架建立信息安全管理体系要规划和建立一个合理的信息安全管理框架，要从整体和全局的视角，从信息系统的所有层面进行整体安全建设，从信息系统本身出发，根据业务性质、组织特征、信息资产状况和技术条件，建立信息资产清单，进行风险分析、需求分析和选择安全控制，准备适用性声明等步骤，从而建立安全体系并提出安全解决方案。体系文件资料编制建立并保持一个文件化的信息安全管理体系是ISO/IEC27001:2005标准的总体要求，编写信息安全管理体系文件是建立信息安全管理体系的基础工作，也是一个组织实现风险控制、评价和改进信息安全管理体系、实现持续改进不可少的依据。在信息安全管理体系建立的文件中应该包含有：安全方针文档、适用范围文档、风险评估文档、实施与控制文档、适用性声明文档。认证流程体系运行与改进信息安全管理体系文件编制完成以后，组织应按照文件的控制要求进行审核与批准并发布实施，至此，信息安全管理体系将进入运行阶段。在此期间，组织应加强运作力度，充分发挥体系本身的各项功能，及时发现体系策划中存在的问题，找出问题根源，采取纠正措施，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。体系认证审核体系审核是为获得审核证据，对体系进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的检查过程。体系审核包括内部审核和外部审核(第三方审核)。内部审核一般以组织名义进行，可作为组织自我合格检查的基础;外部审核由外部独立的组织进行，可以提供符合要求的认证或注册。至于应采取哪些控制方式则需要周密计划，并注意控制细节。信息安全管理需要组织中的所有雇员的参与，比如为了防止组织外的第三方人员非法进入组织的办公区域获取组织的技术机密，除物理控制外，还需要组织全体人员参与，加强控制。此外还需要供应商，顾客或股东的参与，需要组织以外的专家建议。信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。ISO27001实施意义识别信息安全风险、增强安全防范意识；明确安全管理职责，强化风险控制责任；明确安全管理要求，规范从业人员行为；保护关键信息资产，保持业务稳定运营；防止外来病毒侵袭，减小最低损失程度；树立公司对外形象，增加客户合作信心。任务1.1部署Hive本地模式【任务场景】经理：Hive目前是Hadoop生态圈中最常用的数据仓库工具，大部分互联网公司使用Hive进行日志分析，包括百度、淘宝等。咱们的日志系统数据分析可以基于Hive来做。小张：好的，我马上开始研究Hive数据仓库。经理：Hive是一种建立在Hadoop文件系统上的数据仓库架构，并对存储在HDFS中的数据进行分析和管理；它可以将结构化的数据文件映射为一张数据库表，并提供完整的SQL查询功能，所以你熟悉SQL语言，Hive分析上手应该非常快。小张：好的，我先基于咱们现有的Hadoop平台把Hive安装部署好。经理：好。任务1.1部署Hive本地模式【任务布置】根据使用场景不同，Hive的安装部署模式分为三种，分别是内嵌模式、本地模式和远程模式。Hive内嵌模式由于只支持单会话连接，所以很少使用。Hive本地安装模式和远程模式都是常见的安装和部署方法。此任务要求完成Hive本地模式的安装部署，安装完成后通过命令格式化Hive元数据库，然后运行和访问Hive。任务1.1部署Hive本地模式8.1.1Hive介绍Hive是建立在Hadoop之上的数据仓库，可对存储在HDFS上的文件中的数据集进行数据整理、特殊查询和分析处理。Hive最初是应Facebook每天产生的海量新兴社会网络数据进行管理和机器学习的需求而产生和发展的。Hive定义了一种类似SQL的查询语言，被称为HQL，对于熟悉SQL的用户可以直接利用Hive来查询数据，但HiveQL不完全支持SQL标准，如不支持更新操作、索引和事务，其子查询和连接操作也存在很多限制。同时，这个语言也允许熟悉MapReduce开发者们开发自定义的mappers和reducers来处理内建的mappers和reducers无法完成的复杂的分析工作。(1)用途代号按表4-3规定。(2)用途代号后的数字是通风机压力系数乘5后取整数得来的。(3)比转数采用两位整数，若采用单叶轮双吸入结构或二叶轮并联结构，则用2乘比转数表示。(4)若通风机型式中有派生型时，则在比转数后加注罗马数字Ⅰ、Ⅱ等表示。(5)设计序号用数字1、2等表示，供对该型产品有重大修改时用。(6)机号用叶轮直径的分米(Pm)数表示。2.离心通风机的全称对离心通风机，平时只用压力系数、比转数和机号来表示，如4-73No8，这是一种简略的型号，但在订货时必须写出全称。离心通风机的全称除名称、型号、机号外，还包括传动方式，旋转方向和风口位置，共由6个部分组成。(1)传动方式有6种，其代号及简图如图4-21所示。图4-21离心通风机的传动方式简图(a)直联传动;(b)、(c)悬臂支承带传动;(d)悬臂支承联轴器传动;(e)双支承带传动;(f)双支承联轴器传动(2)旋转方向的规定为从电动机的位置看风机叶轮的旋转方向，顺时针旋转的称为右旋，用“右”表示;逆时针旋转的称为左旋，用“左”表示。(3)风口位置是指出风口的位置，结合旋转方向用右或左若干角度表示，如图4-22所示。例如有一风机，其全称为4-72No10C右900，它表示的内容是:该风机是一般通风的离心通风机;压力系数为0.8;比转数为72;机号为10号，指风机叶轮直径为1m(10Pm);传动方式为C型，说明风机为悬臂支承，带轮在轴承外侧;叶轮旋转方向指从电动机一端看去为顺时针方向，即右旋;出风口位置在900处。二、离心通风机的选型通风机的流量和全压通常是由专业人员进行实测或理论计算求得的。但考虑到测试和计算的误差及运行时工况的变化等。所以选型的计算流量、计算全压比最大所需流量、全压还应大些，以留有一定的储备。一般取

式中，qv、P分别为计算流量、计算全压qmax,

Pmax分别为最大所需流量、全压。流量的单位为m3/s，全压的单位为Pa。(4-13)

通风机产品样本上的参数是指标准状态即干净空气在T=293K(20℃)，大气压Pa=101325N/m2，相对湿度为50%，空气密度ρ=1.2kg/m3时的值。引风机(工业锅炉抽引烟气用)的参数指的是烟气在T=473K(200℃)，大气压力Pa=101325N/m2，相对湿度为50%和烟气密度ρ=0.745kg/m3时的值。式(4-15)、式(4-16)中 q1、p1、P1a为样本中标准状态下的流量(单位为m3/s)、风压(单位为Pa)和轴功率(单位为kW);q2、p2、P2a为风机在使用条件下(通风、引风)的风量(单位为m3/s)、风压(单位为Pa)和轴功率(单位为kW))。Pb为当地大气压(单位为Pa);t为使用条件下风机进口处气温(单位为℃)。在引风机选型时，烟气密度的计算可用下式(单位为kg/m3)

式中，1.339为温度在273K(℃)时烟气的平均密度，单位为kg/m3;T为烟气温度，单位为K。离心通风机的选型可用如下几种方法:(4-16)②叶轮外径D2。当转速、流量及全压都相同时，前弯叶片叶轮的外径尺寸为最小，后弯的为最大。③效率。前弯叶片叶轮的风机效率较低，后弯叶片叶轮的效率较高，径向叶轮效率居中。3种叶片形式的叶轮，现在都有应用，但老式产品中，前弯叶片用得很多，如8-18,9-27,9-35,9-57型风机，其特点是尺寸小、价格便宜。但近年对通风机的效率、节能要求提高，故后弯叶片用得较多，如4-72,4-73,5-47,5-48型通风机，特别在大功率的通风机上，几乎都采用后弯叶片叶轮。任务1.1部署Hive本地模式Hive是Hadoop生态系统的一个组成部分，Hive在Hadoop生态系统的位置如下图所示：任务1.1部署Hive本地模式Hive与HDFS、HBase的关系：Hive可以直接操作HDFS中的文件作为它的表的数据，也可以使用Hbase数据库作为它的表。Hive和HBase的数据流描述如下图所示。数据源经过ETL工具被抽取到HDFS存储；再由Hive对原始数据进行清洗、处理和计算；Hive清洗处理后的结果，如果是面向海量数据随机查询场景的可存入Hbase，进而展开具体的数据应用。Hive和HBase数据流关系如下图所示：任务1.1部署Hive本地模式Hive与HBase的区别：(1)Hive中的表是纯逻辑表，就只是表的定义等，即表的元数据。Hive本身不存储数据，它完全依赖HDFS和MapReduce。

(2)Hive是基于MapReduce来处理数据；

HBase处理数据是基于列的而不是基于行的模式，适合海量数据的随机访问。(3)HBase的表是疏松的存储的，因此用户可以给行定义各种不同的列；而Hive表是稠密型，即定义多少列，每一行有存储固定列数的数据。(4)Hive使用Hadoop来分析处理数据，而Hadoop系统是批处理系统，因此不能保证处理的低迟延问题；而HBase是近实时系统，支持实时查询。(5)Hive不提供行级别的更新，它适用于大量append-only数据集（如日志）的批任务处理。而基于HBase的查询，支持行级别的更新。(6)Hive提供完整的SQL实现，通常被用来做一些基于历史数据的挖掘、分析。而HBase是一个NoSQL，不适用与有join，多级索引，表关系复杂的应用场景。任务1.1部署Hive本地模式8.1.2Hive安装方式

Hive中有两类数据：表数据和元数据。和关系型数据库一样，元数据可以看做是描述数据的数据，包括Hive表的数据库名、表名、字段名称与类型、分区字段与类型、表及分区的属性、存放位置等都属于元数据。在项目一中我们知道Hive常用的元数据库有Hive自带的Derby数据库和独立安装的MySQL数据库。元数据存储路径分为本地和远程，可通过hive-site.xml文件设置。根据Hive不同的应用场景，以及元数据库的使用方式不同，可以将Hive的安