--PAGE1-附件互聯(lián)網(wǎng)數(shù)據(jù)中心客戶數(shù)據(jù)安全保護(hù)實(shí)施指引一、互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)基本情況及數(shù)據(jù)安全風(fēng)險(xiǎn)挑戰(zhàn)（一）互聯(lián)網(wǎng)數(shù)據(jù)中心基本情況及分類互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)（以下簡(jiǎn)稱IDC業(yè)務(wù)，見(jiàn)《電信業(yè)）主要包括傳統(tǒng)數(shù)據(jù)中心業(yè)務(wù)和互聯(lián)網(wǎng)資源協(xié)一是服務(wù)器托管業(yè)務(wù)場(chǎng)景，指IDC業(yè)務(wù)經(jīng)營(yíng)者為客戶提供機(jī)房、機(jī)數(shù)據(jù)三是數(shù)據(jù)計(jì)算業(yè)務(wù)場(chǎng)景，指IDC業(yè)務(wù)經(jīng)營(yíng)者為客戶提供數(shù)據(jù)清洗、（二）IDC業(yè)務(wù)面臨的客戶數(shù)據(jù)安全風(fēng)險(xiǎn)挑戰(zhàn)1.通用安全風(fēng)險(xiǎn)。一方面，IDC業(yè)務(wù)經(jīng)營(yíng)者、客戶甚至第三方供應(yīng)商等可能接觸、處理客戶數(shù)據(jù)的各方主體未明確劃分?jǐn)?shù)據(jù)安全責(zé)任邊界，導(dǎo)致各方數(shù)據(jù)安全保護(hù)權(quán)責(zé)不清、責(zé)任義務(wù)落實(shí)不到位。另一方面，IDC業(yè)務(wù)經(jīng)營(yíng)者針對(duì)客戶數(shù)據(jù)安全管理制度機(jī)制不健全、安全防護(hù)措施配備不完善，增加客戶數(shù)據(jù)被竊取、泄露等的安全風(fēng)險(xiǎn)。2.典型業(yè)務(wù)場(chǎng)景安全風(fēng)險(xiǎn)。一是服務(wù)器托管類業(yè)務(wù)場(chǎng)景下，IDC業(yè)務(wù)經(jīng)營(yíng)者主要負(fù)責(zé)保障機(jī)房基礎(chǔ)設(shè)施安全，可能（地震、洪水、物理設(shè)施故障（如斷電、溫濕度失調(diào)等）等引二是數(shù)據(jù)存儲(chǔ)和計(jì)算類業(yè)務(wù)場(chǎng)景下，IDC業(yè)務(wù)經(jīng)營(yíng)者主要通過(guò)提供二、提升客戶數(shù)據(jù)安全保障能力（三）通用保障能力IDC（關(guān)行業(yè)標(biāo)準(zhǔn)，根據(jù)業(yè)務(wù)模式和服務(wù)內(nèi)容，明確雙方數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)。涉及通過(guò)采購(gòu)第三方服務(wù)商設(shè)備、服務(wù)等，處理客戶數(shù)據(jù)的，需明確各方數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)。點(diǎn)客戶的數(shù)據(jù)安全風(fēng)險(xiǎn)提示，依據(jù)客戶類別和數(shù)據(jù)保護(hù)需求，提供差異化安全防護(hù)能力，并配合采取相應(yīng)保護(hù)措施，提升IDC承載信息系統(tǒng)和數(shù)據(jù)的安全保護(hù)能力。賬號(hào)動(dòng)態(tài)核驗(yàn)等機(jī)制。經(jīng)客戶授權(quán)，開展客戶數(shù)據(jù)處理活動(dòng)的，按照最小必要原則合理分配操作權(quán)限，做好權(quán)限監(jiān)控，留存權(quán)限申請(qǐng)、審批、數(shù)據(jù)操作等相關(guān)日志記錄，及時(shí)回收到期權(quán)限；開展數(shù)據(jù)批量下載、批量訪問(wèn)或客戶重要數(shù)據(jù)、個(gè)人信息操作處理的，單獨(dú)履行內(nèi)部審批程序。邏輯等數(shù)據(jù)隔離方式，保障客戶數(shù)據(jù)在各環(huán)節(jié)處理的獨(dú)立性。高危操作安全。建立覆蓋網(wǎng)絡(luò)與設(shè)備更換、運(yùn)維、數(shù)據(jù)對(duì)外提供。涉及對(duì)外提供客戶數(shù)據(jù)的，提前告知客戶提供數(shù)據(jù)的目的、方式、范圍、保障措施等，并取得客戶授權(quán)。業(yè)務(wù)可用性保障。根據(jù)業(yè)務(wù)實(shí)際情況，通過(guò)冗余設(shè)計(jì)等，提高業(yè)務(wù)連續(xù)性和穩(wěn)定性。安全事件應(yīng)急處置。建立客戶數(shù)據(jù)安全事件應(yīng)急預(yù)IDC業(yè)務(wù)經(jīng)營(yíng)者原因引安全防護(hù)能力提供。根據(jù)業(yè)務(wù)實(shí)際情況，提供數(shù)據(jù)加密、脫敏、訪問(wèn)控制、鑒權(quán)與校驗(yàn)、日志記錄與審計(jì)、數(shù)據(jù)備份與恢復(fù)等數(shù)據(jù)安全技術(shù)能力，以及防火墻、堡壘機(jī)、非法入侵檢測(cè)、防篡改、漏洞掃描、病毒防范、安全升級(jí)等網(wǎng)絡(luò)安全防護(hù)產(chǎn)品或服務(wù)供客戶選擇。（四）服務(wù)器托管業(yè)務(wù)場(chǎng)景保障能力區(qū)域?qū)嵤?*24小時(shí)監(jiān)控，具備對(duì)異常進(jìn)出行為的識(shí)別、報(bào)警、攔截、處置等能力。圍、有效期及審批人等信息。對(duì)清單外人員機(jī)房進(jìn)出實(shí)施嚴(yán)格審批，經(jīng)客戶授權(quán)進(jìn)入機(jī)房開展設(shè)備、數(shù)據(jù)運(yùn)維管理的，配備相應(yīng)的管理和技術(shù)措施，留存機(jī)房進(jìn)出記錄，嚴(yán)格限制非授權(quán)人員進(jìn)入。機(jī)房值守管理。小時(shí)人員值守，建立基礎(chǔ)IDC業(yè)務(wù)經(jīng)營(yíng)者使用自主可（五）數(shù)據(jù)存儲(chǔ)與計(jì)算業(yè)務(wù)場(chǎng)景保障能力理掌握流量節(jié)點(diǎn)，配備流量分析、過(guò)濾等技術(shù)手段，具備發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)能力，及時(shí)排查、整改數(shù)據(jù)安全問(wèn)題隱患。資源負(fù)載情況實(shí)時(shí)動(dòng)態(tài)調(diào)整資源分配，保障資源的安全可用。輸客戶數(shù)據(jù)級(jí)別和應(yīng)用場(chǎng)景，配合客戶制定安全傳輸策略，并提供數(shù)據(jù)加密、接口鑒權(quán)、安全審計(jì)等保護(hù)措施。滿足客戶數(shù)據(jù)傳輸安全需求和定期接口安全審計(jì)需要，及時(shí)調(diào)整接口狀態(tài)，回收、關(guān)閉廢棄接口。集管理功能的，需提供保障客戶自有訓(xùn)練數(shù)據(jù)集安全的能力，避免客戶自有訓(xùn)練數(shù)據(jù)集被泄露、污染?？煽康乃懔φ{(diào)度策略，做好策略配置管理