亚洲第一色欲AV|丰满无码人妻热妇无码喷水区|日韩成人一区二区|情五月亚洲天堂网

安全資訊

等級保護測評:物理安全

自從接觸安全類工作后就開始聽到等保這個詞,最初接觸是在剛進入省測評中心的時候,剛剛進入安全這個圈子,經(jīng)過各種項目和領(lǐng)導(dǎo)的折磨后,終于知道什么叫等保,要求些什么,要怎么做等等等。后來還研究過信息系統(tǒng)風(fēng)險評估,ISO 27001,COBIT 5之類的標(biāo)準(zhǔn)和體系。寫這篇文章沒別的目的,就是談?wù)勛约簩Φ缺5睦斫猓M麑Ω魑挥杏?。本文是技術(shù)要求的物理安全部分,如果有機會后續(xù)會把10個部分都更新出來。

等保到底是什么

這里就不說太多沒用的了,什么五個級別,網(wǎng)安法,公安備案之類的,直接參照三級標(biāo)準(zhǔn)逐條討論。

物理安全部分其實不只是22239中描述的那么簡單,實際還參考了額外的物理安全標(biāo)準(zhǔn)(GB 50174和GB/T 2887),所以沒表面上看的那么簡單。

7.1.1 物理安全

7.1.1.1 物理位置的選擇(G3)

a)房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi);

b)機房場地應(yīng)避免設(shè)在建筑物的高層或地下室,以及用水設(shè)備的下層或隔壁。

這里講的是機房的防震、防風(fēng)和防雨,其實就是對建筑物的要求,對于B、C級機房要求抗震設(shè)防標(biāo)準(zhǔn)要符合當(dāng)?shù)乜拐鹪O(shè)防標(biāo)準(zhǔn),A級機房要高于當(dāng)?shù)乜拐鹪O(shè)防標(biāo)準(zhǔn),下表為場地樓板荷重標(biāo)準(zhǔn)   

A級機房抗震不能低于乙類,B級不能低于丙類,C級不宜低于丙類抗震設(shè)防。 至于機房的選擇,要求不能是地下室,不能是頂層,不能靠邊,建議設(shè)置在建筑的中心和近中心位置。 對于建筑物的選擇,可參考下表(補充一點,不能處于地震帶):

7.1.1.2 物理訪問控制(G3)

a)機房出入口應(yīng)安排專人值守,控制、鑒別和記錄進入的人員;

b)需進入機房的來訪人員應(yīng)經(jīng)過申請和審批流程,并限制和監(jiān)控其活動范圍;

c)應(yīng)對機房劃分區(qū)域進行管理,區(qū)域和區(qū)域之間設(shè)置物理隔離裝置,在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域;

d)重要區(qū)域應(yīng)配置電子門禁系統(tǒng), 控制、 鑒別和記錄進入的人員。

訪問控制的理解就容易得多了,而且大多數(shù)企業(yè)也都做到了,沒有特殊的需要說明的部分。這里擴展一下機房區(qū)域劃分的要求細節(jié)。

首先是機房面積的設(shè)置,國標(biāo)是有計算公式的,如下:

當(dāng)電子信息設(shè)備已確定規(guī)格時,可按下式計算:

A= K∑S

A― 電子信息系統(tǒng)主機房使用面積(㎡) ;

K― 系數(shù),取值為 5~7 ;

S― 電子設(shè)備的投影面積(㎡)。

當(dāng)電子信息設(shè)備尚未確定規(guī)格時,可按下式計算:

A= KN

K― 單臺設(shè)備占用面積,可取 3.5-5.5(㎡/臺);

N—計算機主機房內(nèi)所有設(shè)備的總臺數(shù)。

輔助區(qū)的面積宜為主機房面積的0.2~1 倍;用戶工作室可按每人 3.5-4 ㎡計算。硬件及軟件人員辦公室等有人長期工作的房間,可按每人 5~7 ㎡計算。

此外對于工作區(qū)、主機房、輔助區(qū)、支持區(qū)和行政管理區(qū)(如有,此外還有的機房會有保密設(shè)備區(qū)域)要進行彼此隔離,重要區(qū)域要有單獨的門禁系統(tǒng)。 

7.1.1.3 防盜竊和防破壞(G3)

a)應(yīng)將主要設(shè)備放置在機房內(nèi);

b)應(yīng)將設(shè)備或主要部件進行固定,并設(shè)置明顯的不易除去的標(biāo)記;

c)應(yīng)將通信線纜鋪設(shè)在隱蔽處,可鋪設(shè)在地下或管道中;

d)應(yīng)對介質(zhì)分類標(biāo)識,存儲在介質(zhì)庫或檔案室中;

e)應(yīng)利用光、電等技術(shù)設(shè)置機房防盜報警系統(tǒng);

f)應(yīng)對機房設(shè)置監(jiān)控報警系統(tǒng)。

這部分的內(nèi)容也比較容易理解,就是防盜措施。這里說的不易去除標(biāo)記其實就是那種一次性貼紙標(biāo)簽,因為機房的設(shè)備一般輕易不會有人去偷,所以這里的不易去除是指通常機房設(shè)備運維管理中,不要抬杠說什么有人會特殊處理去掉標(biāo)簽這種情況。

通信線纜一般都是在防靜電地板下放或走頂棚線槽,現(xiàn)在已經(jīng)很少有人會直接走明顯了,所以不用特意說明。

介質(zhì)就是磁盤陣列、硬盤、磁帶、U盤之類的存儲,目前這部分工作大多公司做的一般,沒有分類,沒有標(biāo)簽,或者個別介質(zhì)會貼一些簡單的標(biāo)簽,這些對于后期管理都是隱患,最常見的就是,人員離職,交接不明確,沒有說明文檔,后來的人接管工作一臉懵逼,問誰都不知道,最后無奈要一個個的自己去查看,或者干脆就混日子,索性不出問題就好。

防盜報警現(xiàn)在基本是個B類機房就都有安裝,而且有完善的報警系統(tǒng)或平臺;最后關(guān)于監(jiān)控,這里說一點,不是說門口和機房里有監(jiān)控就OK,按照標(biāo)準(zhǔn)要縱向橫向交叉監(jiān)控,無死角才算合規(guī)。 

7.1.1.4 防雷擊(G3)

a)機房建筑應(yīng)設(shè)置避雷裝置;

b)應(yīng)設(shè)置防雷保安器,防止感應(yīng)雷;

c)機房應(yīng)設(shè)置交流電源地線。

這部分更多是對大樓建筑的防雷要求,具體會參照GB/T 50343(建筑作為獨立機房時),一般能作為機房的大樓,應(yīng)該都會有符合規(guī)定的防雷措施。所以重點要關(guān)心的就是強電和弱電的接地。

強電沒有搞過,所以就不在這里胡說了;弱電后續(xù)會在防靜電部分說明。

7.1.1.5 防火(G3)

a)機房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng),能夠自動檢測火情、自動報警,并自動滅火;

b)機房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級的建筑材料;

c)機房應(yīng)采取區(qū)域隔離防火措施,將重要設(shè)備與其他設(shè)備隔離開。

這里防火有3點要求,其一就是自動消防系統(tǒng),可以自動檢測,自動預(yù)警,自動滅火,一般都是泡沫和干粉,檢測到火災(zāi)時會先預(yù)警,疏散人員,而后進行滅火(想詳細了解的可以去看GB 50116和GB 50016)。此外這還要求機房設(shè)置消火栓,就是手提那種干粉的或者泡沫的,并且定期要有人進行巡檢,檢查滅火設(shè)備是否過期,壓力值是否在綠色范圍,并填寫巡檢記錄,這些都是檢查時會看的。

第二點是對耐火材料的要求,這塊純屬國標(biāo)要求,真正能做到的其實不多,按照要求機房的耐火等級不應(yīng)低于二級。當(dāng) A 級或 B 級機房位于其它建筑物內(nèi)時,在主機房和其他部位之間應(yīng)設(shè)置耐火極限不低于 2h 的隔墻,隔墻上的門應(yīng)采用甲級防火門(解釋下2H的意思,耐火極限就是在一般100度燃點時的破壞時間,H代表小時,也就是說墻體的耐火極限要再100度高溫情況下能夠承受2小時以上)。主機房的頂棚、壁板(包括夾芯材料)和隔斷應(yīng)為不燃燒體,且不得采用有機復(fù)合材料。

第三點,就是之前要進行區(qū)域劃分和隔離的要求,在發(fā)生火災(zāi)時,可優(yōu)先確保重要設(shè)備安全。

這里再多說一點,關(guān)于疏散的,面積大于 100 ㎡ 的主機房,安全出口應(yīng)不少于兩個,且應(yīng)分散布置。面積不大于 100 ㎡的主機房,可設(shè)置一個安全出口,并可通過其他相臨房間的門進行疏散。門應(yīng)向疏散方向開啟,且應(yīng)自動關(guān)閉,并應(yīng)保證在任何情況下都能從機房內(nèi)開啟 。走廊、樓梯間應(yīng)暢通,并應(yīng)有明顯的疏散指示標(biāo)志。

7.1.1.6 防水和防潮(G3)

a)水管安裝,不得穿過機房屋頂和活動地板下;

b)應(yīng)采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透;

c)應(yīng)采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透;

d)應(yīng)安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警。

第一條要求就是機房內(nèi)無論何處不可以有走水的管道,包括機房周邊墻體。

第二條一般來說基本不太會遇到,但是我就碰到過一家企業(yè),機房樓上漏水,頂棚沒有做防水,機房里幾個大盆和大桶放在機柜上邊接水,定期有值班人員去倒,這場面真的無法言表。所以說,機房位置選擇時,周邊最好不要有用水間是最好的。

第三條應(yīng)該是指以前的機房(或者是一些小公司的機房),但是一般機房能這么偷工減料的其實也不會關(guān)心這種問題。現(xiàn)在大多機房會配備精密空調(diào),控制機房內(nèi)的溫濕度,所以此類情況越來越少(畢竟都上云了,托管的云數(shù)據(jù)中心機房怎么可能連溫濕度控制都做不到)。

第四條和第三條差不多,目前都會由系統(tǒng)統(tǒng)一控制。不過這里也說一下,標(biāo)準(zhǔn)的要求:

首先不能采用暖氣,空調(diào)不能漏水;

與機房無關(guān)的水管不宜從機房內(nèi)穿過;

機房應(yīng)防止結(jié)構(gòu)滲水、前面凝水、外部漫水;

重要機房應(yīng)設(shè)置漏水報警系統(tǒng)。

7.1.1.7 防靜電(G3)

a)主要設(shè)備應(yīng)采用必要的接地防靜電措施;

b)機房應(yīng)采用防靜電地板。

這里標(biāo)準(zhǔn)中說了一堆術(shù)語和要求參數(shù),其實簡單總結(jié)一下,重點關(guān)注的就是首先機柜要做好接地防雷和防靜電,重要設(shè)備都會有防雷模塊,用線接到機柜;在機柜配置防靜電手環(huán),操作時記得先戴上。這樣基本就可以保證大多數(shù)情況下的靜電防護工作。

這里給你們展示一點標(biāo)準(zhǔn)里要求的玩意。

1.主機房和輔助區(qū)的地板或地面應(yīng)有靜電泄放措施和接地構(gòu)造,防靜電地板或地面的表面電阻或體積電阻應(yīng)為 2.5 x 104~1.0×10 9 Ω。且應(yīng)具有防火、環(huán)保、耐污耐磨性能。

2.電子信息系統(tǒng)機房內(nèi)所有設(shè)備可導(dǎo)電金屬外殼、各類金屬管道、金屬線槽、建筑物金屬結(jié)構(gòu)等必須進行等電位連接并接地。

3.靜電接地的連接線應(yīng)有足夠的機械強度和化學(xué)穩(wěn)定性,宜采用焊接或壓接,當(dāng)采用導(dǎo)電膠與接地導(dǎo)體粘接時,其接觸面積不宜小于 20cm 2。 

PS:這里再補充一點,關(guān)于綜合布線的,等保部分重點要求就是強電與弱電線纜要分別鋪設(shè),且距離不得小于0.5m,且每條線纜要有標(biāo)簽說明。

7.1.1.8 溫濕度控制(G3)

機房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施,使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。

這部分沒說的,都是由系統(tǒng)來控制,這里貼一下對機房溫濕度的要求,開機和關(guān)機都有相應(yīng)要求。

7.1.1.9 電力供應(yīng)(A3)

a)應(yīng)在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備;

b)應(yīng)提供短期的備用電力供應(yīng),至少滿足主要設(shè)備在斷電情況下的正常運行要求;

c)應(yīng)設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電;

d)應(yīng)建立備用供電系統(tǒng)。

這塊按照國標(biāo)要求也是繁瑣的一B,簡單總結(jié)一下(從安全角度來考慮,不涉及建筑和強電)。

首先最基本的要有UPS,UPS要有過載保護和防雷模塊;

其次UPS至少要由2路供電,能夠維持機房重要設(shè)備至少2小時以上供電;

最后就是機房提供多路冗余供電,不能只有一條電纜供電;要為機房準(zhǔn)備發(fā)電機,以備特殊情況長期斷電時的應(yīng)急,如果條件允許,準(zhǔn)備2臺發(fā)電機,以防發(fā)電機出現(xiàn)意外故障。詳細要求參考GB 50052。

PS:補充一點,等保中還要求機房中要使用機柜專用電源插排,就是機柜上那個黑色的。

7.1.1.10 電磁防護(S3)

a) 應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾;

b) 電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾;

c)  應(yīng)對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。

這塊的內(nèi)容涉及的有點廣,但是作為等保的要求和日常機房安全防護,涉及不會那么深,所以不用過度去研究。這里把我研究的資料分享一下,簡單做下總結(jié)。

電磁屏蔽含義

電磁兼容性(ElectromagneticCompatibility)縮寫EMC,就是指某電子設(shè)備既不干擾其它設(shè)備,同時也不受其它設(shè)備的影響。電磁兼容性和我們所熟悉的安全性一樣,是產(chǎn)品質(zhì)量最重要的指標(biāo)之一。安全性涉及人身和財產(chǎn),而電磁兼容性則涉及人身和環(huán)境保護。

電子元件對外界的干擾,稱為EMI(ElectromagneticInterference);電磁波會與電子元件作用,產(chǎn)生被干擾現(xiàn)象,稱為EMS(ElectromagneticSusceptibility)。例如,TV熒光屏上常見的“雪花”,便表示接受到的訊號被干擾。

因為屏蔽體對來自導(dǎo)線、電纜、元部件、電路或系統(tǒng)等外部的干擾電磁波和內(nèi)部電磁波均起著吸收能量(渦流損耗)、反射能量(電磁波在屏蔽體上的界面反射)和抵消能量(電磁感應(yīng)在屏蔽層上產(chǎn)生反向電磁場,可抵消部分干擾電磁波)的作用,所以屏蔽體具有減弱干擾的功能。⑴當(dāng)干擾電磁場的頻率較高時,利用低電阻率的金屬材料中產(chǎn)生的渦流,形成對外來電磁波的抵消作用,從而達到屏蔽的效果。⑵當(dāng)干擾電磁波的頻率較低時,要采用高導(dǎo)磁率的材料,從而使磁力線限制在屏蔽體內(nèi)部,防止擴散到屏蔽的空間去。⑶在某些場合下,如果要求對高頻和低頻電磁場都具有良好的屏蔽效果時,往往采用不同的金屬材料組成多層屏蔽體。

原理

許多人不了解電磁屏蔽的原理,認為只要用金屬做一個箱子,然后將箱子接地,就能夠起到電磁屏蔽的作用。在這種概念指導(dǎo)下結(jié)果是失敗。因為,電磁屏蔽與屏蔽體接地與否并沒有關(guān)系。真正影響屏蔽體屏蔽效能的只有兩個因素:一個是整個屏蔽體表面必須是導(dǎo)電連續(xù)的,另一個是不能有直接穿透屏蔽體的導(dǎo)體。屏蔽體上有很多導(dǎo)電不連續(xù)點,最主要的一類是屏蔽體不同部分結(jié)合處形成的不導(dǎo)電縫隙。這些不導(dǎo)電的縫隙就產(chǎn)生了電磁泄漏,如同流體會從容器上的縫隙上泄漏一樣。解決這種泄漏的一個方法是在縫隙處填充導(dǎo)電彈性材料,消除不導(dǎo)電點。這就像在流體容器的縫隙處填充橡膠的道理一樣。這種彈性導(dǎo)電填充材料就是電磁密封襯墊。在許多文獻中將電磁屏蔽體比喻成液體密封容器,似乎只有當(dāng)用導(dǎo)電彈性材料將縫隙密封到滴水不漏的程度才能夠防止電磁波泄漏。實際上這是不確切的。因為縫隙或孔洞是否會泄漏電磁波,取決于縫隙或孔洞相對于電磁波波長的尺寸。當(dāng)波長遠大于開口尺寸時,并不會產(chǎn)生明顯的泄漏。

機理

a.當(dāng)電磁波到達屏蔽體表面時,由于空氣與金屬的交界面上阻抗的不連續(xù),對入射波產(chǎn)生的反射。這種反射不要求屏蔽材料必須有一定的厚度,只要求交界面上的不連續(xù);

b.未被表面反射掉而進入屏蔽體的能量,在體內(nèi)向前傳播的過程中,被屏蔽材料所衰減。也就是所謂的吸收;

c.在屏蔽體內(nèi)尚未衰減掉的剩余能量,傳到材料的另一表面時,遇到金屬-空氣阻抗不連續(xù)的交界面,會形成再次反射,并重新返回屏蔽體內(nèi)。這種反射在兩個金屬的交界面上可能有多次的反射??傊?,電磁屏蔽體對電磁的衰減主要是基于電磁波的反射和電磁波的吸收。

從等保的角度來看,這3條的要求簡單可以概括為:

a)機柜和設(shè)備接地,做好防靜電;(通常我們機房購買的機柜,設(shè)計時都已經(jīng)考慮電磁屏蔽的問題,所以一般只要把機柜門關(guān)上,本身就起到屏蔽的作用)

b)之前提到的強弱電線纜分離鋪設(shè),距離大于0.5m;

c)將設(shè)備放入專業(yè)機柜中,并固定在指定插槽位置。

結(jié)尾

以上就是對等級保護中物理安全的一些總結(jié)和個人理解。希望能對各位有所用處。其實真正的物理安全不只這些內(nèi)容,以上只是從等保三級角度出發(fā),如果擴展其本身就是一門學(xué)科,還會涉及到照明、粉塵、氣流、通道等各方面的要求。后續(xù)有時間的話,會繼續(xù)更新下個部分,技術(shù)要求的網(wǎng)絡(luò)安全部分。


等級保護測評系列介紹

等級保護測評(一):物理安全

等級保護測評(二):網(wǎng)絡(luò)安全

等級保護測評(三):主機安全

等級保護測評(四):應(yīng)用與數(shù)據(jù)安全

等級保護測評(五):制度與人員安全

等級保護測評(六):系統(tǒng)建設(shè)管理

等級保護測評(七):系統(tǒng)運維管理


服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號

微信公眾號