今日頭條
官方微信
官方抖音
資訊頻道物理和環(huán)境安全的風(fēng)險(xiǎn)主要來源于自然環(huán)境災(zāi)害,人員訪問控制失效,機(jī)房基礎(chǔ)設(shè)施缺失導(dǎo)致的火災(zāi)、漏水、雷擊和靜電對(duì)設(shè)備電路的破壞,溫濕度失調(diào)、設(shè)備失竊等安全事件,會(huì)影響網(wǎng)絡(luò)、主機(jī)和業(yè)務(wù)的連續(xù)性,甚至導(dǎo)致業(yè)務(wù)數(shù)據(jù)丟失等。
物理和環(huán)境安全的目標(biāo)是為機(jī)房選擇一個(gè)合理的物理位置,最大程度上避開雷擊多發(fā)區(qū),爆炸、火災(zāi)、水災(zāi)隱患地點(diǎn);在此基礎(chǔ)上,為機(jī)房配置完善的基礎(chǔ)設(shè)施,包括通過電子門禁控制人員的出入、配置自動(dòng)告警和滅火的消防系統(tǒng)來確保火情可以及時(shí)地被發(fā)現(xiàn)和消除;機(jī)房環(huán)境控制要具備溫濕度檢測(cè)、漏水檢測(cè)以及告警功能來保證運(yùn)維人員可以及時(shí)發(fā)現(xiàn)機(jī)房溫濕度失衡和空調(diào)漏水,配置雙路冗余電路、UPS電源以及柴油發(fā)電機(jī)等備用電力輸出系統(tǒng)來保證機(jī)房電力供應(yīng)的持續(xù)性,使機(jī)房?jī)?nèi)的設(shè)備可以在穩(wěn)定的環(huán)境中運(yùn)行,降低設(shè)備故障的概率,保障信息系統(tǒng)的業(yè)務(wù)連續(xù)性。
1、物理和環(huán)境安全要求
(1)物理位置選擇要求
1)機(jī)房場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi);
2)機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的頂層或地下室,否則應(yīng)加強(qiáng)防水和防潮措施。
(2)物理訪問控制要求
機(jī)房出入口應(yīng)配置電子門禁系統(tǒng),控制、鑒別和記錄進(jìn)入的人員。
(3)防盜竊和防破壞
1)應(yīng)對(duì)機(jī)房設(shè)備或主要部件進(jìn)行固定,并設(shè)置明顯的不易除去的標(biāo)志;
2)應(yīng)將通信線纜鋪設(shè)在隱蔽處,可鋪設(shè)在地下或管道中;
3)應(yīng)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)。
(4)防雷擊要求
1)應(yīng)將各類機(jī)柜、設(shè)施和設(shè)備等通過接地系統(tǒng)安全接地;
2)應(yīng)采取措施防止感應(yīng)雷,例如設(shè)置防雷保安器或過壓保護(hù)裝置等。
(5)防火要求
1)應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng),能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警,并自動(dòng)滅火;
2)機(jī)房及相關(guān)的工作房間和輔助房間應(yīng)采用具有耐火等級(jí)的建筑材料;
3)應(yīng)對(duì)機(jī)房進(jìn)行劃分區(qū)域管理,區(qū)域和區(qū)域之間設(shè)置隔離防火措施。
(6)防水和防潮要求
1)應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透;
2)應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透;
3)應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件,對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警。
(7)防靜電要求
1)應(yīng)安裝防靜電地板并采用必要的接地防靜電措施;
2)應(yīng)采用措施防止靜電的產(chǎn)生,例如采用靜電消除器、佩戴防靜電手環(huán)等。
(8)溫、濕度控制要求
機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施,使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。
(9)電力供應(yīng)要求
1)應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備;
2)應(yīng)提供短期的備用電力供應(yīng),至少滿足設(shè)備在斷電情況下的正常運(yùn)行要求;
3)應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電。
(10)電磁防護(hù)要求
1)電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾;
2)應(yīng)對(duì)關(guān)鍵設(shè)備實(shí)施電磁屏蔽。
(11)云計(jì)算的物理和環(huán)境安全要求
1)確保云計(jì)算服務(wù)器、承載云租戶賬戶信息、鑒別信息、系統(tǒng)信息及運(yùn)行關(guān)鍵業(yè)務(wù)和數(shù)據(jù)的物理設(shè)備均位于中國(guó)境內(nèi);
2)IDC應(yīng)具有國(guó)家相關(guān)部門頒發(fā)的IDC運(yùn)營(yíng)資質(zhì)。
(12)移動(dòng)互聯(lián)的物理和環(huán)境安全要求
應(yīng)為無線接入設(shè)備的安裝選擇合理位置,避免過度覆蓋。
2、物理和環(huán)境安全措施
(1)物理位置安全措施
存儲(chǔ)在機(jī)房的重要信息系統(tǒng)的設(shè)備應(yīng)避免嚴(yán)重震動(dòng)(特別是磁盤陣列),需要在一個(gè)相對(duì)密閉的環(huán)境中運(yùn)行。因此,機(jī)房應(yīng)該選擇建設(shè)在具備防震、防風(fēng)和防雨能力的建筑內(nèi),應(yīng)避免將機(jī)房部署在建筑物的頂層或地下室,以防頂層漏水、地下室雨水倒灌或地下水滲透。如果不得已將機(jī)房部署在以上位置的,應(yīng)當(dāng)加強(qiáng)防水和防潮措施:部署在頂層的應(yīng)特別加強(qiáng)房頂?shù)姆浪幚恚渴鹪诘叵率业脑诩訌?qiáng)防水處理的同時(shí)應(yīng)在機(jī)房出入口處設(shè)置1~2層防水擋板并常備應(yīng)急防水沙袋。
(2)物理訪問控制安全措施
機(jī)房出入口是進(jìn)行物理訪問控制的第一道屏障,也是最重要的一道屏障。機(jī)房出入口應(yīng)配置電子門禁系統(tǒng),控制、鑒別和記錄進(jìn)入的人員。電子門禁系統(tǒng)另一個(gè)重要的用途是對(duì)進(jìn)入的人員進(jìn)行記錄,一旦發(fā)生網(wǎng)絡(luò)安全事件,可以進(jìn)行事件追溯,其日志記錄應(yīng)保存6個(gè)月以上。
(3)防盜和防破壞安全措施
機(jī)房的設(shè)備或主要部件應(yīng)當(dāng)固定在機(jī)架上,并且在顯著位置張貼不易除去的資產(chǎn)標(biāo)志或標(biāo)簽,防止外來人員將機(jī)房?jī)?nèi)的設(shè)備帶出機(jī)房;通信線纜應(yīng)鋪設(shè)在隱僻處或難以觸及的位置,可鋪設(shè)在地下或管道中;應(yīng)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng),并在非工作時(shí)段啟用自動(dòng)報(bào)警,實(shí)時(shí)展示報(bào)警區(qū)域的視頻監(jiān)控圖像。視頻監(jiān)控文件保存6個(gè)月以上。
(4)防雷擊安全措施
應(yīng)當(dāng)在機(jī)房?jī)?nèi)設(shè)置接地系統(tǒng),并將各類機(jī)柜、設(shè)施和設(shè)備等通過接地系統(tǒng)安全接地;由于高強(qiáng)度雷擊會(huì)使放電范圍內(nèi)1千米的閉環(huán)電路產(chǎn)生感應(yīng)雷,因此應(yīng)在電路中部署防止感應(yīng)雷電破壞計(jì)算機(jī)信息系統(tǒng)的保安裝置,以防止由電源線侵入的感應(yīng)雷電破壞計(jì)算機(jī)設(shè)備。
(5)防火安全措施
機(jī)房?jī)?nèi)應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng),通過煙感或紅外檢測(cè)自動(dòng)發(fā)現(xiàn)火情,自動(dòng)報(bào)警并啟動(dòng)滅火程序。機(jī)房及相關(guān)的工作房間等應(yīng)采用防火地板、防火天花板、防火墻板和防火涂層,避免木質(zhì)結(jié)構(gòu)等易燃物質(zhì)裸露;另外,應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理,區(qū)域和區(qū)域之間設(shè)置隔離防火措施。
(6)防水和防潮安全措施
機(jī)房應(yīng)當(dāng)做好防水處理,防止雨水通過窗戶、屋頂和墻壁滲透;應(yīng)通過溫、濕度控制和冷熱風(fēng)道設(shè)計(jì)等措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露,并合理處理地下積水;應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件,對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警。
(7)防靜電安全措施
應(yīng)鋪設(shè)防靜電地板,將機(jī)柜和重要設(shè)備連接至接地系統(tǒng),采用防靜電措施;另外,還應(yīng)采用措施防止靜電的產(chǎn)生,使用靜電消除器消除靜電或佩戴防靜電手環(huán)。
(8)溫、濕度控制安全措施
機(jī)房應(yīng)設(shè)置溫度、濕度自動(dòng)調(diào)節(jié)設(shè)施,使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。對(duì)于使用設(shè)置精密空調(diào)控制機(jī)房?jī)?nèi)的溫濕度的,按照GB 50174—2017《數(shù)據(jù)中心設(shè)計(jì)規(guī)范》執(zhí)行,詳見表1。
(9)電力供應(yīng)安全措施
通常,設(shè)備開關(guān)機(jī)、線路短路、電源切換等情況下可能會(huì)引起浪涌,即產(chǎn)生超出正常工作電壓的瞬間過電壓,因此需要在供電線路上配置穩(wěn)壓器和過電防壓護(hù)設(shè)備,一般機(jī)房PDU電源都具備防浪涌的功能;應(yīng)設(shè)置至少兩路電力電纜線路提供電力供應(yīng),并根據(jù)機(jī)房設(shè)備功率和實(shí)際情況配置 UPS或柴油發(fā)電機(jī)等短期的備用電力供應(yīng),以滿足設(shè)備在斷電情況下的正常運(yùn)行要求。
(10)電磁防護(hù)安全措施
機(jī)房?jī)?nèi)的電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾;應(yīng)對(duì)關(guān)鍵設(shè)備實(shí)施電磁屏蔽。比如:電源線(強(qiáng)電)可鋪設(shè)在防靜電地板下的線槽內(nèi),通信線纜(弱電)可鋪設(shè)在上橋架內(nèi)。
此外,計(jì)算機(jī)、通信機(jī)等電子設(shè)備在正常工作時(shí)會(huì)產(chǎn)生一定強(qiáng)度的電磁波,該電磁波可能會(huì)被專用設(shè)備所接收,以竊取其內(nèi)容,因此關(guān)鍵設(shè)備需要進(jìn)行電磁屏蔽,使用專門的電磁屏蔽機(jī)柜和屏蔽網(wǎng)線。
(11)云計(jì)算的物理和環(huán)境安全
云計(jì)算平臺(tái)是指采用了云計(jì)算技術(shù)的信息系統(tǒng),一般由設(shè)施、硬件、資源抽象控制層、虛擬化計(jì)算資源、軟件平臺(tái)和應(yīng)用軟件等組成,如圖1所示。一般來說,基礎(chǔ)設(shè)施及服務(wù)(IaaS)、平臺(tái)及服務(wù)(PaaS)和軟件及服務(wù)(SaaS)是三種基本的云計(jì)算服務(wù)模式。
在基礎(chǔ)設(shè)施及服務(wù)模式下,云計(jì)算平臺(tái)由設(shè)施、硬件、資源抽象控制層組成;在平臺(tái)及服務(wù)模式下,云計(jì)算平臺(tái)包括設(shè)施、硬件、資源抽象控制層、虛擬化計(jì)算資源和軟件平臺(tái);在軟件及服務(wù)模式下,云計(jì)算平臺(tái)包括設(shè)施、硬件、資源抽象控制層、虛擬化計(jì)算資源、軟件平臺(tái)和應(yīng)用軟件。
這三種基本的云計(jì)算服務(wù)模式都有共同的三個(gè)組件:設(shè)施、硬件和資源抽象控制。物理和環(huán)境安全保護(hù)即是對(duì)設(shè)施和硬件的安全保護(hù),三種不同的服務(wù)模式對(duì)物理和環(huán)境安全的要求是一致的。云計(jì)算的物理與環(huán)境安全要求是確保云計(jì)算基礎(chǔ)設(shè)施和硬件位于中國(guó)境內(nèi)。
(12)移動(dòng)互聯(lián)的物理和環(huán)境安全措施
采用移動(dòng)互聯(lián)技術(shù)的等級(jí)保護(hù)對(duì)象由移動(dòng)端、移動(dòng)應(yīng)用和無線網(wǎng)絡(luò)三部分組成。移動(dòng)端(通常指移動(dòng)通用終端和專用終端)通過無線信道連接無線接入設(shè)備并訪問服務(wù)器,并通過移動(dòng)終端管理系統(tǒng)的服務(wù)端軟件向客戶端軟件發(fā)送移動(dòng)設(shè)備管理、移動(dòng)應(yīng)用管理和移動(dòng)內(nèi)容管理策略對(duì)移動(dòng)端進(jìn)行安全管理。涉及的物理與環(huán)境安全事項(xiàng)是,應(yīng)為無線接入設(shè)備的安裝選擇合理位置,避免過度覆蓋和電磁干擾。
來源:計(jì)算機(jī)與網(wǎng)絡(luò)安全
北京市公安局海淀分局備案號(hào):11010802023656號(hào)