今日頭條
官方微信
官方抖音
資訊頻道物理和環境安全的風險主要來源于自然環境災害,人員訪問控制失效,機房基礎設施缺失導致的火災、漏水、雷擊和靜電對設備電路的破壞,溫濕度失調、設備失竊等安全事件,會影響網絡、主機和業務的連續性,甚至導致業務數據丟失等。
物理和環境安全的目標是為機房選擇一個合理的物理位置,最大程度上避開雷擊多發區,爆炸、火災、水災隱患地點;在此基礎上,為機房配置完善的基礎設施,包括通過電子門禁控制人員的出入、配置自動告警和滅火的消防系統來確保火情可以及時地被發現和消除;機房環境控制要具備溫濕度檢測、漏水檢測以及告警功能來保證運維人員可以及時發現機房溫濕度失衡和空調漏水,配置雙路冗余電路、UPS電源以及柴油發電機等備用電力輸出系統來保證機房電力供應的持續性,使機房內的設備可以在穩定的環境中運行,降低設備故障的概率,保障信息系統的業務連續性。
1、物理和環境安全要求
(1)物理位置選擇要求
1)機房場地應選擇在具有防震、防風和防雨等能力的建筑內;
2)機房場地應避免設在建筑物的頂層或地下室,否則應加強防水和防潮措施。
(2)物理訪問控制要求
機房出入口應配置電子門禁系統,控制、鑒別和記錄進入的人員。
(3)防盜竊和防破壞
1)應對機房設備或主要部件進行固定,并設置明顯的不易除去的標志;
2)應將通信線纜鋪設在隱蔽處,可鋪設在地下或管道中;
3)應設置機房防盜報警系統或設置有專人值守的視頻監控系統。
(4)防雷擊要求
1)應將各類機柜、設施和設備等通過接地系統安全接地;
2)應采取措施防止感應雷,例如設置防雷保安器或過壓保護裝置等。
(5)防火要求
1)應設置火災自動消防系統,能夠自動檢測火情、自動報警,并自動滅火;
2)機房及相關的工作房間和輔助房間應采用具有耐火等級的建筑材料;
3)應對機房進行劃分區域管理,區域和區域之間設置隔離防火措施。
(6)防水和防潮要求
1)應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透;
2)應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透;
3)應安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警。
(7)防靜電要求
1)應安裝防靜電地板并采用必要的接地防靜電措施;
2)應采用措施防止靜電的產生,例如采用靜電消除器、佩戴防靜電手環等。
(8)溫、濕度控制要求
機房應設置溫、濕度自動調節設施,使機房溫、濕度的變化在設備運行所允許的范圍之內。
(9)電力供應要求
1)應在機房供電線路上配置穩壓器和過電壓防護設備;
2)應提供短期的備用電力供應,至少滿足設備在斷電情況下的正常運行要求;
3)應設置冗余或并行的電力電纜線路為計算機系統供電。
(10)電磁防護要求
1)電源線和通信線纜應隔離鋪設,避免互相干擾;
2)應對關鍵設備實施電磁屏蔽。
(11)云計算的物理和環境安全要求
1)確保云計算服務器、承載云租戶賬戶信息、鑒別信息、系統信息及運行關鍵業務和數據的物理設備均位于中國境內;
2)IDC應具有國家相關部門頒發的IDC運營資質。
(12)移動互聯的物理和環境安全要求
應為無線接入設備的安裝選擇合理位置,避免過度覆蓋。
2、物理和環境安全措施
(1)物理位置安全措施
存儲在機房的重要信息系統的設備應避免嚴重震動(特別是磁盤陣列),需要在一個相對密閉的環境中運行。因此,機房應該選擇建設在具備防震、防風和防雨能力的建筑內,應避免將機房部署在建筑物的頂層或地下室,以防頂層漏水、地下室雨水倒灌或地下水滲透。如果不得已將機房部署在以上位置的,應當加強防水和防潮措施:部署在頂層的應特別加強房頂的防水處理,部署在地下室的在加強防水處理的同時應在機房出入口處設置1~2層防水擋板并常備應急防水沙袋。
(2)物理訪問控制安全措施
機房出入口是進行物理訪問控制的第一道屏障,也是最重要的一道屏障。機房出入口應配置電子門禁系統,控制、鑒別和記錄進入的人員。電子門禁系統另一個重要的用途是對進入的人員進行記錄,一旦發生網絡安全事件,可以進行事件追溯,其日志記錄應保存6個月以上。
(3)防盜和防破壞安全措施
機房的設備或主要部件應當固定在機架上,并且在顯著位置張貼不易除去的資產標志或標簽,防止外來人員將機房內的設備帶出機房;通信線纜應鋪設在隱僻處或難以觸及的位置,可鋪設在地下或管道中;應設置機房防盜報警系統或設置有專人值守的視頻監控系統,并在非工作時段啟用自動報警,實時展示報警區域的視頻監控圖像。視頻監控文件保存6個月以上。
(4)防雷擊安全措施
應當在機房內設置接地系統,并將各類機柜、設施和設備等通過接地系統安全接地;由于高強度雷擊會使放電范圍內1千米的閉環電路產生感應雷,因此應在電路中部署防止感應雷電破壞計算機信息系統的保安裝置,以防止由電源線侵入的感應雷電破壞計算機設備。
(5)防火安全措施
機房內應設置火災自動消防系統,通過煙感或紅外檢測自動發現火情,自動報警并啟動滅火程序。機房及相關的工作房間等應采用防火地板、防火天花板、防火墻板和防火涂層,避免木質結構等易燃物質裸露;另外,應對機房劃分區域進行管理,區域和區域之間設置隔離防火措施。
(6)防水和防潮安全措施
機房應當做好防水處理,防止雨水通過窗戶、屋頂和墻壁滲透;應通過溫、濕度控制和冷熱風道設計等措施防止機房內水蒸氣結露,并合理處理地下積水;應安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警。
(7)防靜電安全措施
應鋪設防靜電地板,將機柜和重要設備連接至接地系統,采用防靜電措施;另外,還應采用措施防止靜電的產生,使用靜電消除器消除靜電或佩戴防靜電手環。
(8)溫、濕度控制安全措施
機房應設置溫度、濕度自動調節設施,使機房溫、濕度的變化在設備運行所允許的范圍之內。對于使用設置精密空調控制機房內的溫濕度的,按照GB 50174—2017《數據中心設計規范》執行,詳見表1。
(9)電力供應安全措施
通常,設備開關機、線路短路、電源切換等情況下可能會引起浪涌,即產生超出正常工作電壓的瞬間過電壓,因此需要在供電線路上配置穩壓器和過電防壓護設備,一般機房PDU電源都具備防浪涌的功能;應設置至少兩路電力電纜線路提供電力供應,并根據機房設備功率和實際情況配置 UPS或柴油發電機等短期的備用電力供應,以滿足設備在斷電情況下的正常運行要求。
(10)電磁防護安全措施
機房內的電源線和通信線纜應隔離鋪設,避免互相干擾;應對關鍵設備實施電磁屏蔽。比如:電源線(強電)可鋪設在防靜電地板下的線槽內,通信線纜(弱電)可鋪設在上橋架內。
此外,計算機、通信機等電子設備在正常工作時會產生一定強度的電磁波,該電磁波可能會被專用設備所接收,以竊取其內容,因此關鍵設備需要進行電磁屏蔽,使用專門的電磁屏蔽機柜和屏蔽網線。
(11)云計算的物理和環境安全
云計算平臺是指采用了云計算技術的信息系統,一般由設施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應用軟件等組成,如圖1所示。一般來說,基礎設施及服務(IaaS)、平臺及服務(PaaS)和軟件及服務(SaaS)是三種基本的云計算服務模式。
在基礎設施及服務模式下,云計算平臺由設施、硬件、資源抽象控制層組成;在平臺及服務模式下,云計算平臺包括設施、硬件、資源抽象控制層、虛擬化計算資源和軟件平臺;在軟件及服務模式下,云計算平臺包括設施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應用軟件。
這三種基本的云計算服務模式都有共同的三個組件:設施、硬件和資源抽象控制。物理和環境安全保護即是對設施和硬件的安全保護,三種不同的服務模式對物理和環境安全的要求是一致的。云計算的物理與環境安全要求是確保云計算基礎設施和硬件位于中國境內。
(12)移動互聯的物理和環境安全措施
采用移動互聯技術的等級保護對象由移動端、移動應用和無線網絡三部分組成。移動端(通常指移動通用終端和專用終端)通過無線信道連接無線接入設備并訪問服務器,并通過移動終端管理系統的服務端軟件向客戶端軟件發送移動設備管理、移動應用管理和移動內容管理策略對移動端進行安全管理。涉及的物理與環境安全事項是,應為無線接入設備的安裝選擇合理位置,避免過度覆蓋和電磁干擾。
來源:計算機與網絡安全
北京市公安局海淀分局備案號:11010802023656號