目前計算機信息技術的迅猛發展,我國信息化建設逐漸走入成熟,各行業對信息系統的依賴越來越強,因而信息安全問題日益突出和嚴重。目前國家已經頒布了相關的信息安全等級保護的標準。等級保護基本技術要求涉及物理安全、網絡安全、主機安全、應用和數據安全等幾個重要的方面,本文以機房建設為例來探討一下等級保護中物理安全建設問題。
下面按照《GB/T 22239-2008 信息安全技術信息系統安全等級保護基本要求》三級要求出發,從物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水防潮、防靜電、溫濕度控制、電力供應等幾個方面分別闡述機房安全建設的實施建議和實施難點。
??1 物理位置的選擇
??1.1 實施建議。(1)應避免設在建筑物的頂層或地下室,一般選擇在建筑物2-3層;(2)機房內樓板承重量應滿足需求;(3)機房應避免設在用水設備旁邊;(4)機房周圍環境要遠離強電磁場、強噪聲源和污染源;(5)機房外窗應為雙層密封窗,盡量避免東西向外窗;(6)對于重要行業單位極其重要的主機房和災備機房,一般要選擇自然災害較少的地區,目標主要集中在北京、上海、深圳、西安、成都等地區。
??1.2 實施難點。(1)經常看到有些客戶的機房設置在頂層或地下,也曾發現機房防水做的較差,有空調漏水的現象。還有一些與單位食堂等鄰近,也應盡量避免;(2)一般單位由于場地與環境的限制,機房選擇不由IT部門決定。領導層由于不了解機房位置方面的隱患,需要技術人員及時告訴領導機房物理安全威脅。
??2 物理訪問控制
??2.1 實施建議。(1)機房出人口設置門禁系統,配置雙向刷卡通行;(2)機房的內和外部臨近入口區域要安裝攝像頭保證全部范圍覆蓋;(3)外來人員進入機房應當由專人全程陪同;(4)對于系統較多、機房面積較大的有能力單位應將機房按系統和設備的重要程度劃分不同區域進行管理;(5)區域和區域之間設置物理隔離裝置;(6)采用雙向電子門禁系統控制,聯通各區域間的通道空間便形成機房的過渡緩沖區。
??2.2 實施難點。增加機房物理訪問控制的措施需要較大的資金投入,加之領導對機房安全的重視程度不夠,對于眾多小企業,對有限的機房空間實施完整的安全訪問控制較難實現。
??3 防盜竊和防破壞
??3.1 實施建議。(1)首先需要明確所有信息資產都應根據其重要程度實施物理上的保護措施;(2)制定完整、統一、唯一、詳細的資產分類和標識規定;(3)應在資產的明顯出進行標記;(4)在實施物理保護措施的同時增加監控、報警系統對資產的安全進行輔助管理,如在重要資產存放區域和附近增加紅外或感應報警系統;(5)所有強弱電電線都采用橋架地下敷設;(6)機房內設置環境監控系統發現異常情況及時報警。
??3.2 實施難點。(1)雖然多數單位能夠做到對重要資產采取基本的安全保護措施,但對線纜一類的資產則可能忽略采取保護手段,而且大都缺少很好資產分類和標識規定,尤其是經過多次易手的組織資產,經常是沒有對資產進行標記,有的甚至出現多種不同的標簽;(2)對于信息資產的分類和標記方法應當盡量做到與財務或行政部門對固定資產的要求相一致。
??4 防雷擊
??4.1 實施建議。(1)對于有條件和要求較高的機房應當安裝避雷裝置,并做好相應的接地設施;(2)實施計劃應在機房建設初期進行規劃;(3)建議機房采用三級防雷設計,如:電源防雷系統、信號防雷系統和等電位接地。
??4.2 實施難點。(1)多數小企業的機房沒有足夠的資金投入建立足夠的防雷措施;(2)由于建立一整套防雷設施需要較高的資金投入,同時需要在機房建設初期就做好規劃,后期改建將增加成本的投入。
??5 防火
??5.1 實施建議。(1)機房消防報替系統配置獨立感應裝置(感煙、感溫)和獨立的報警主機(按照分區選擇),系統可自動切斷機房電源;(2)機房消防采用惰性氣體自動滅火系統;(3)采用的滅火方式盡量選擇氣體滅火系統,如CO2、FM-200、氣溶膠和煙烙盡等;(4)對于重要的核心設備區域應建立防火隔離區域;(5)機房地面采用保溫棉和防靜電地板,墻面采用彩鋼板,門窗采用防火門窗及玻璃;(6)機房內設置應急燈。
??5.2 實施難點。(1)多數小企業沒有足夠能力在機房中安裝氣體滅火系統,通常機房都是在寫字樓房間的基礎上改建的,火警檢測裝置也大都是寫字樓原來的,無法實現自行監控;(2)機房建筑材料上也不能使用耐火材料;(3)由于氣體滅火系統、火警檢測系統和耐火建筑材料的使用需要大量的資金投入,對于能力有限的企業難以實現,應盡量采取其他替代方法。
??6 防水防潮要求
??6.1 實施建議。(1)在設計機房前應當規定水管安裝,不得穿過機房屋頂和活動地板下;(2)機房頂棚、地面和四周應做好防水處理,并加裝防水檢測和報警設施連接到機房環境監控系統中;(3)機房內頂面要作保溫處理,防止產生冷凝水;(4)有能力的機房可在機房頂部安裝防漏水設施;(5)在機房地面修建地漏、泄水槽和配置排水設備;(6)機房內應使用可調節濕度的空調,空調應依據機房面積和設備數量安裝,盡量保證設備工作在濕度45-60%之間。
??6.2 實施難點。(1)多數企業沒有機房建設要求;(2)只使用了普通的溫度控制空調;(3)沒有安裝防水檢測系統;(4)完整的防水系統需要的資金投入較大,因此在建設機房初期就應當盡可能選擇沒有水6.3.5管經過的房間和盡量不靠近建筑物外側墻壁的地方。
??7 防靜電要求
??7.1 實施建議。(1)機房設備應盡量做防靜電處理,使用防靜電地板,有能力的企業可使用靜電消除設備,減少機房內靜電發生的可能;(2)機房設置獨立接地系統;(3)機房內所有電氣設備外殼,金屬管道、金屬接線盒、區域隔斷及吊頂龍骨的金屬部分均牢固接安全保護接地。
??7.2 實施難點。(1)一般機房缺少對靜電控制方面的要求,也沒有嚴格的實施;(2)增加防靜電手段會增加機房建設的成本。
??8 溫濕度控制要求
??8.1 實施建議。(1)機房內應使用可調節溫濕度的空調,盡量保證相對濕度控制在45%-65%,夏季溫度控制在23 ±2 ℃,冬季溫度控制在20±2℃,溫度變化率不超過5℃/h,并且不得結露;(2)機房應選擇機房精密空調和機房新風系統,并配備普通空調備用。并應連接到機房環境控制系統中統一管理。
??8.2 實施難點。(1)多數單位的機房沒有使用能夠控制濕度的空調系統;(2)帶濕度控制的空調價格比較昂貴,且需要對水管的布置進行考慮。可以使用其他方法增加機房內的濕度,使用濕度表進行監控。
??9 電力供應
??9.1 實施建議。(1)在電線路上配置穩壓器和過電壓防護設備以保證在電壓突然變化時不影響到設備的正常運行;(2)設置并建立備用供電系統,設置兩路進線、并配備足夠的UPS保證在段時間內斷電的運行或至少保證服務器有足夠的關機時間;(3)機房電源應采取冗余形式,一般至少有2家不同的供電公司供電;(4)有條件的企業可以配備發電機保證較長時間的應急供電。
??9.2 實施難點。(1)有些公司機房雖然配備了UPS設備,但對UPS沒有定期進行可用性測試;(2)多數公司由于受國家供電系統或樓宇供電的限制,只有一路供電;(3)對于供電系統承載的負荷缺少明確要求。
??10 結論
機房建設是信息系統的物理安全的重要部分,需要在實際建設過程中加以重點關注,決不能因為初期所需要的較大的投資而有所偏廢,從長期效果來看,機房安全建設將對信息系統安全產生深遠影響。
