數(shù)據(jù)中心運維信息安全管理體系標準和認證ISO27001

信息安全管理體系標準和認證ISO27001ISO27001是什么隨著全球范圍內(nèi)，信息化的高速發(fā)展，信息安全已成為各種組織（包括政府部門）以及普通民眾關注的焦點，在全球范圍內(nèi)的各個機構、組織、個人都在探尋如何保障信息安全的問題。從本質(zhì)上說，信息安全威脅是全球化的。一般來說，它將毫無差別地輻射到每一個擁有、使用電子信息的機構和個人。這種威脅在互聯(lián)網(wǎng)的環(huán)境中自動生成并釋放。更嚴重的問題是，其他各種形式的危險也在整日威脅數(shù)據(jù)安全，包括從外部攻擊行為到內(nèi)部破壞、偷盜等一系列危險。ISO/IEC27000系列標準（又名ISO/IEC27000標準系列，及“信息安全管理系統(tǒng)標準族”）是由國際標準化組織（ISO）及國際電工委員會（IEC）聯(lián)合定制。該標準系列由最佳實踐所得并提出對于信息安全管理的建議，并在信息安全管理系統(tǒng)領域中的風險及相關管控。ISO27001目前已經(jīng)被普遍應用于軟件、銀行、電信、印刷、政府等行業(yè)。實施好處增強顧客信心和滿意改善對安全方針及要求的符合性提供競爭優(yōu)勢對組織內(nèi)部：改善總體安全管理并減少安全事件的影響便利持續(xù)改進提高員工動力與參與提高盈利能力標準特點ISO/IEC27000信息安全管理體系是建立和維持信息安全管理體系的標準，標準要求組織通過確定信息安全管理體系范圍，制定信息安全方針，明確管理職責，以風險評估為基礎選擇控制目標與控制措施等一系列活動來建立信息安全管理體系;體系一旦建立，組織應按體系的規(guī)定要求進行運作，保持體系運行的有效性；信息安全管理體系應形成一定的文件，即組織應建立并保持一個文件化的信息安全管理體系，其中應闡述被保護的資產(chǎn)、組織風險管理方法、控制目標與控制措施、信息資產(chǎn)需要保護的程度等內(nèi)容。ISO/IEC27001:2013作為企業(yè)建立信息安全管理體系的最新要求，體系包括14個控制域、35個控制目標、114項控制措施。信息安全信息安全管理體系可以系統(tǒng)化管理信息安全，信息安全主要包括保持信息的保密性(信息不能被未授權的個人、實體或者過程利用或知悉的特性)、完整性(準確和完備的特性)和可用性(根據(jù)授權實體的要求可訪問和使用的特性)。管理體系主要內(nèi)容組織環(huán)境。組織需要建立組織環(huán)境管理的基本方法并識別組織的基本環(huán)境信息，其實所謂的組織環(huán)境也就是我們常說的組織的基本情況，例如組織業(yè)務及業(yè)務特點、來自外部的限制條件和約束、內(nèi)部的限制條件和約束、相關方及其特點等，這些都會影響體系的設計效果，就像設計一個建筑要了解地質(zhì)條件和人文環(huán)境一樣重要。領導力。沒有管理層的支持就沒有資源，因此要明確管理層的責任。管理體系要實現(xiàn)的組織管理目的其實就是管理層的管理目的，管理層在管理體系里面一個重要的責任就是要明確提出管理目的，也就是我們常說的確定方針，如果缺少這個環(huán)節(jié)，設計出的管理體系就不會得到管理層的支持。除此之外，為了實現(xiàn)管理目的，還需要管理層提供資源，分配職責和賦予權力。規(guī)劃。有了方針，自然要去實現(xiàn)它，管理體系的方針實現(xiàn)過程就是通過建立與方針保持一致的目標來實現(xiàn)，因此在規(guī)劃階段要建立逐級分解的目標，一般目標分為上層目標和下層目標，上層目標為下層目標提供方向，下層目標對上層目標進行支撐，分解為多少層與組織的組織架構和管理結構有直接關系，重點是要分解到可以通過活動來實現(xiàn)的層級。并不是每一個目標分解的層級都是一樣的，需要根據(jù)實際情況來確定。在規(guī)劃的環(huán)節(jié)，還應充分考慮組織的風險管理，在目標實現(xiàn)過程中，總是會有各種因素影響目標的實現(xiàn)，這些因素需要進行識別并得到有效控制。但這些因素的識別不要盲目采用那些所謂放之四海而皆準的列表，而是要結合組織自己的情況來針對性識別，也就是要充分利用識別的組織環(huán)境信息。基于上述活動，組織就可以建立起貼合實際的目標實現(xiàn)計劃。支持。從體系建設之初，對資源的需求就開始了，這一章正式提出了建立、運行、維護和持續(xù)改進管理體系所需要的支持，因此可以看出，標準的章節(jié)并不是按體系建設執(zhí)行順序來寫的，不是要等規(guī)劃完成后再考慮支持資源的提供和支持活動的建立。管理體系的支持主要從資源管理、人員能力管理、意識管理、溝通管理和文檔管理等5個方面提出要求。這些方面，組織根據(jù)實際情況或者根據(jù)現(xiàn)有的管理情況確定管理過程即可。主要內(nèi)容運行。由于資源和能力限制，運行不一定要把規(guī)劃好的活動和管理過程全部進行實施和投入運行。實際情況是，管理體系的建立和運行在不同規(guī)模的組織內(nèi)需要1年到3年的時間才能夠相對完善。因此建設運行計劃很重要，組織需要根據(jù)組織的管理現(xiàn)狀、資源限制情況、相關方要求的影響程度等多個方面，建立可行的建設運行計劃。對于那些必須滿足的要求、急需解決的問題、對組織有重大影響的風險，需要集中資源重點進行實施和運行；對于那些對業(yè)務影響比較大，需要反復論證和測試的，可以單獨作為項目進行管理和實施；對于自我實現(xiàn)成本過高的可以通過外包的形式進行實現(xiàn)；對于時間要求不緊迫的方面，可以在時間表上緩一緩。一個好的建設運行計劃，可以保證體系有條不紊地運行。性能評價也是績效評價的一種方式，管理評審方式比較直接，由管理層直接作出評價。當然，管理層需要內(nèi)部審核的結果和體系運行的其他信息來進行綜合評價。管理層的評價很重要，直接決定接下來他是否會更好地支持管理體系的運行工作。持續(xù)改進?？冃гu價是持續(xù)改進的一個重要輸入，對于存在的問題和無法實現(xiàn)預期目標的方面都要進行改進。信息安全標準ISO/IEC27001-2013對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發(fā)組織的安全標準和有效的安全管理做法提供公共基礎，并為組織之間的交往提供信任。其包括14個章節(jié)：信息安全策略。信息安全的組織。人力資源安全。資產(chǎn)管理。訪問控制。密碼學。物理和環(huán)境安全。操作管理。通訊安全。系統(tǒng)采集、開發(fā)和維護。供應商關系。信息安全事故管理。業(yè)務連續(xù)性管理。符合性。績效評價績效評價?？冃гu價設計的好壞，直接影響著管理體系在管理層心目中的形象。這個環(huán)節(jié)是否能夠很好地進行設計和實施取決于規(guī)劃環(huán)節(jié)目標對方針的支持程度和目標層級的設計是否合理，因為管理體系是否實現(xiàn)管理層的管理目的要看方針和目標是否得到實現(xiàn)。當然這只是一個方面，有了好的目標框架設計，還需要好的績效評價方法和評估實施過程。很多組織會建立單獨的績效評價方法和過程，但實際上內(nèi)部審核是非常好的績效評價手段。所謂內(nèi)部審核，就是組織對自己體系運行情況的評價活動，主要用來區(qū)別于第三方審核。組織可以任意設計內(nèi)部審核的方式和頻率，不需要每年一次，更不需要由幾個人員來完成整個組織的內(nèi)部審核工作。組織可以為每一個影響管理目標的管理過程和管理措施，甚至是活動和崗位，設計評價指標、評價方法、評價頻率并指定評價人員。將管理體系的內(nèi)部審核工作分散到各個部門、各個團隊，定期或不定期地由相關人員提供信息和數(shù)據(jù)，然后由專門的部門或崗位對信息和數(shù)據(jù)進行匯總分析，從而實現(xiàn)績效的評價。但需要注意的是，評價方法、抽樣方式和頻率、績效計算公式等方面要進行詳細、科學、合理的設計才會實現(xiàn)預期的目的。認證流程策劃準備階段策劃與準備階段主要是做好建立信息安全管理體系的各種前期工作。內(nèi)容包括教育培訓、擬定計劃、安全管理發(fā)展情況調(diào)研，以及人力資源的配置與管理。同時需明確信息安全管理體系適用的范圍，即需要重點管理的安全邊界。組織應根據(jù)內(nèi)部實際管理情況，考慮對整體或個別部門進行實施。在定義范圍時應全面評估人員、資產(chǎn)以及環(huán)境?，F(xiàn)狀調(diào)查與風險評估依據(jù)有關信息安全技術與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行調(diào)研和評價，以及評估信息資產(chǎn)面臨的威脅以及導致安全事件發(fā)生的可能性，并結合安全事件所涉及的信息資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。建立信息安全管理框架建立信息安全管理體系要規(guī)劃和建立一個合理的信息安全管理框架，要從整體和全局的視角，從信息系統(tǒng)的所有層面進行整體安全建設，從信息系統(tǒng)本身出發(fā)，根據(jù)業(yè)務性質(zhì)、組織特征、信息資產(chǎn)狀況和技術條件，建立信息資產(chǎn)清單，進行風險分析、需求分析和選擇安全控制，準備適用性聲明等步驟，從而建立安全體系并提出安全解決方案。體系文件資料編制建立并保持一個文件化的信息安全管理體系是ISO/IEC27001:2005標準的總體要求，編寫信息安全管理體系文件是建立信息安全管理體系的基礎工作，也是一個組織實現(xiàn)風險控制、評價和改進信息安全管理體系、實現(xiàn)持續(xù)改進不可少的依據(jù)。在信息安全管理體系建立的文件中應該包含有：安全方針文檔、適用范圍文檔、風險評估文檔、實施與控制文檔、適用性聲明文檔。認證流程體系運行與改進信息安全管理體系文件編制完成以后，組織應按照文件的控制要求進行審核與批準并發(fā)布實施，至此，信息安全管理體系將進入運行階段。在此期間，組織應加強運作力度，充分發(fā)揮體系本身的各項功能，及時發(fā)現(xiàn)體系策劃中存在的問題，找出問題根源，采取糾正措施，并按照更改控制程序要求對體系予以更改，以達到進一步完善信息安全管理體系的目的。體系認證審核體系審核是為獲得審核證據(jù)，對體系進行客觀的評價，以確定滿足審核準則的程度所進行的系統(tǒng)的、獨立的并形成文件的檢查過程。體系審核包括內(nèi)部審核和外部審核(第三方審核)。內(nèi)部審核一般以組織名義進行，可作為組織自我合格檢查的基礎;外部審核由外部獨立的組織進行，可以提供符合要求的認證或注冊。至于應采取哪些控制方式則需要周密計劃，并注意控制細節(jié)。信息安全管理需要組織中的所有雇員的參與，比如為了防止組織外的第三方人員非法進入組織的辦公區(qū)域獲取組織的技術機密，除物理控制外，還需要組織全體人員參與，加強控制。此外還需要供應商，顧客或股東的參與，需要組織以外的專家建議。信息、信息處理過程及對信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡都是重要的商務資產(chǎn)。信息的保密性、完整性和可用性對保持競爭優(yōu)勢、資金流動、效益、法律符合性和商業(yè)形象都是至關重要的。ISO27001實施意義識別信息安全風險、增強安全防范意識；明確安全管理職責，強化風險控制責任；明確安全管理要求，規(guī)范從業(yè)人員行為；保護關鍵信息資產(chǎn)，保持業(yè)務穩(wěn)定運營；防止外來病毒侵襲，減小最低損失程度；樹立公司對外形象，增加客戶合作信心。任務1.1部署Hive本地模式【任務場景】經(jīng)理：Hive目前是Hadoop生態(tài)圈中最常用的數(shù)據(jù)倉庫工具，大部分互聯(lián)網(wǎng)公司使用Hive進行日志分析，包括百度、淘寶等。咱們的日志系統(tǒng)數(shù)據(jù)分析可以基于Hive來做。小張：好的，我馬上開始研究Hive數(shù)據(jù)倉庫。經(jīng)理：Hive是一種建立在Hadoop文件系統(tǒng)上的數(shù)據(jù)倉庫架構，并對存儲在HDFS中的數(shù)據(jù)進行分析和管理；它可以將結構化的數(shù)據(jù)文件映射為一張數(shù)據(jù)庫表，并提供完整的SQL查詢功能，所以你熟悉SQL語言，Hive分析上手應該非?？?。小張：好的，我先基于咱們現(xiàn)有的Hadoop平臺把Hive安裝部署好。經(jīng)理：好。任務1.1部署Hive本地模式【任務布置】根據(jù)使用場景不同，Hive的安裝部署模式分為三種，分別是內(nèi)嵌模式、本地模式和遠程模式。Hive內(nèi)嵌模式由于只支持單會話連接，所以很少使用。Hive本地安裝模式和遠程模式都是常見的安裝和部署方法。此任務要求完成Hive本地模式的安裝部署，安裝完成后通過命令格式化Hive元數(shù)據(jù)庫，然后運行和訪問Hive。任務1.1部署Hive本地模式8.1.1Hive介紹Hive是建立在Hadoop之上的數(shù)據(jù)倉庫，可對存儲在HDFS上的文件中的數(shù)據(jù)集進行數(shù)據(jù)整理、特殊查詢和分析處理。Hive最初是應Facebook每天產(chǎn)生的海量新興社會網(wǎng)絡數(shù)據(jù)進行管理和機器學習的需求而產(chǎn)生和發(fā)展的。Hive定義了一種類似SQL的查詢語言，被稱為HQL，對于熟悉SQL的用戶可以直接利用Hive來查詢數(shù)據(jù)，但HiveQL不完全支持SQL標準，如不支持更新操作、索引和事務，其子查詢和連接操作也存在很多限制。同時，這個語言也允許熟悉MapReduce開發(fā)者們開發(fā)自定義的mappers和reducers來處理內(nèi)建的mappers和reducers無法完成的復雜的分析工作。(1)用途代號按表4-3規(guī)定。(2)用途代號后的數(shù)字是通風機壓力系數(shù)乘5后取整數(shù)得來的。(3)比轉(zhuǎn)數(shù)采用兩位整數(shù)，若采用單葉輪雙吸入結構或二葉輪并聯(lián)結構，則用2乘比轉(zhuǎn)數(shù)表示。(4)若通風機型式中有派生型時，則在比轉(zhuǎn)數(shù)后加注羅馬數(shù)字Ⅰ、Ⅱ等表示。(5)設計序號用數(shù)字1、2等表示，供對該型產(chǎn)品有重大修改時用。(6)機號用葉輪直徑的分米(Pm)數(shù)表示。2.離心通風機的全稱對離心通風機，平時只用壓力系數(shù)、比轉(zhuǎn)數(shù)和機號來表示，如4-73No8，這是一種簡略的型號，但在訂貨時必須寫出全稱。離心通風機的全稱除名稱、型號、機號外，還包括傳動方式，旋轉(zhuǎn)方向和風口位置，共由6個部分組成。(1)傳動方式有6種，其代號及簡圖如圖4-21所示。圖4-21離心通風機的傳動方式簡圖(a)直聯(lián)傳動;(b)、(c)懸臂支承帶傳動;(d)懸臂支承聯(lián)軸器傳動;(e)雙支承帶傳動;(f)雙支承聯(lián)軸器傳動(2)旋轉(zhuǎn)方向的規(guī)定為從電動機的位置看風機葉輪的旋轉(zhuǎn)方向，順時針旋轉(zhuǎn)的稱為右旋，用“右”表示;逆時針旋轉(zhuǎn)的稱為左旋，用“左”表示。(3)風口位置是指出風口的位置，結合旋轉(zhuǎn)方向用右或左若干角度表示，如圖4-22所示。例如有一風機，其全稱為4-72No10C右900，它表示的內(nèi)容是:該風機是一般通風的離心通風機;壓力系數(shù)為0.8;比轉(zhuǎn)數(shù)為72;機號為10號，指風機葉輪直徑為1m(10Pm);傳動方式為C型，說明風機為懸臂支承，帶輪在軸承外側;葉輪旋轉(zhuǎn)方向指從電動機一端看去為順時針方向，即右旋;出風口位置在900處。二、離心通風機的選型通風機的流量和全壓通常是由專業(yè)人員進行實測或理論計算求得的。但考慮到測試和計算的誤差及運行時工況的變化等。所以選型的計算流量、計算全壓比最大所需流量、全壓還應大些，以留有一定的儲備。一般取

式中，qv、P分別為計算流量、計算全壓qmax,

Pmax分別為最大所需流量、全壓。流量的單位為m3/s，全壓的單位為Pa。(4-13)

通風機產(chǎn)品樣本上的參數(shù)是指標準狀態(tài)即干凈空氣在T=293K(20℃)，大氣壓Pa=101325N/m2，相對濕度為50%，空氣密度ρ=1.2kg/m3時的值。引風機(工業(yè)鍋爐抽引煙氣用)的參數(shù)指的是煙氣在T=473K(200℃)，大氣壓力Pa=101325N/m2，相對濕度為50%和煙氣密度ρ=0.745kg/m3時的值。式(4-15)、式(4-16)中 q1、p1、P1a為樣本中標準狀態(tài)下的流量(單位為m3/s)、風壓(單位為Pa)和軸功率(單位為kW);q2、p2、P2a為風機在使用條件下(通風、引風)的風量(單位為m3/s)、風壓(單位為Pa)和軸功率(單位為kW))。Pb為當?shù)卮髿鈮?單位為Pa);t為使用條件下風機進口處氣溫(單位為℃)。在引風機選型時，煙氣密度的計算可用下式(單位為kg/m3)

式中，1.339為溫度在273K(℃)時煙氣的平均密度，單位為kg/m3;T為煙氣溫度，單位為K。離心通風機的選型可用如下幾種方法:(4-16)②葉輪外徑D2。當轉(zhuǎn)速、流量及全壓都相同時，前彎葉片葉輪的外徑尺寸為最小，后彎的為最大。③效率。前彎葉片葉輪的風機效率較低，后彎葉片葉輪的效率較高，徑向葉輪效率居中。3種葉片形式的葉輪，現(xiàn)在都有應用，但老式產(chǎn)品中，前彎葉片用得很多，如8-18,9-27,9-35,9-57型風機，其特點是尺寸小、價格便宜。但近年對通風機的效率、節(jié)能要求提高，故后彎葉片用得較多，如4-72,4-73,5-47,5-48型通風機，特別在大功率的通風機上，幾乎都采用后彎葉片葉輪。任務1.1部署Hive本地模式Hive是Hadoop生態(tài)系統(tǒng)的一個組成部分，Hive在Hadoop生態(tài)系統(tǒng)的位置如下圖所示：任務1.1部署Hive本地模式Hive與HDFS、HBase的關系：Hive可以直接操作HDFS中的文件作為它的表的數(shù)據(jù)，也可以使用Hbase數(shù)據(jù)庫作為它的表。Hive和HBase的數(shù)據(jù)流描述如下圖所示。數(shù)據(jù)源經(jīng)過ETL工具被抽取到HDFS存儲；再由Hive對原始數(shù)據(jù)進行清洗、處理和計算；Hive清洗處理后的結果，如果是面向海量數(shù)據(jù)隨機查詢場景的可存入Hbase，進而展開具體的數(shù)據(jù)應用。Hive和HBase數(shù)據(jù)流關系如下圖所示：任務1.1部署Hive本地模式Hive與HBase的區(qū)別：(1)Hive中的表是純邏輯表，就只是表的定義等，即表的元數(shù)據(jù)。Hive本身不存儲數(shù)據(jù)，它完全依賴HDFS和MapReduce。

(2)Hive是基于MapReduce來處理數(shù)據(jù)；

HBase處理數(shù)據(jù)是基于列的而不是基于行的模式，適合海量數(shù)據(jù)的隨機訪問。(3)HBase的表是疏松的存儲的，因此用戶可以給行定義各種不同的列；而Hive表是稠密型，即定義多少列，每一行有存儲固定列數(shù)的數(shù)據(jù)。(4)Hive使用Hadoop來分析處理數(shù)據(jù)，而Hadoop系統(tǒng)是批處理系統(tǒng)，因此不能保證處理的低遲延問題；而HBase是近實時系統(tǒng)，支持實時查詢。(5)Hive不提供行級別的更新，它適用于大量append-only數(shù)據(jù)集（如日志）的批任務處理。而基于HBase的查詢，支持行級別的更新。(6)Hive提供完整的SQL實現(xiàn)，通常被用來做一些基于歷史數(shù)據(jù)的挖掘、分析。而HBase是一個NoSQL，不適用與有join，多級索引，表關系復雜的應用場景。任務1.1部署Hive本地模式8.1.2Hive安裝方式

Hive中有兩類數(shù)據(jù)：表數(shù)據(jù)和元數(shù)據(jù)。和關系型數(shù)據(jù)庫一樣，元數(shù)據(jù)可以看做是描述數(shù)據(jù)的數(shù)據(jù)，包括Hive表的數(shù)據(jù)庫名、表名、字段名稱與類型、分區(qū)字段與類型、表及分區(qū)的屬性、存放位置等都屬于元數(shù)據(jù)。在項目一中我們知道Hive常用的元數(shù)據(jù)庫有Hive自帶的Derby數(shù)據(jù)庫和獨立安裝的MySQL數(shù)據(jù)庫。元數(shù)據(jù)存儲路徑分為本地和遠程，可通過hive-site.xml文件設置。根據(jù)Hive不同的應用場景，以及元數(shù)據(jù)庫的使用方式不同，可以將Hive的安