关于等级保护的物理安全建设问题

2016-09-22 16:31:00　来源：本站　浏览：1646

目前计算机信息技术的迅猛发展，我国信息化建设逐渐走入成熟，各行业对信息系统的依赖越来越强，因而信息安全问题日益突出和严重。目前国家已经颁布了相关的信息安全等级保护的标准。等级保护基本技术要求涉及物理安全、网络安全、主机安全、应用和数据安全等几个重要的方面，本文以机房建设为例来探讨一下等级保护中物理安全建设问题。
下面按照《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》三级要求出发，从物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水防潮、防静电、温湿度控制、电力供应等几个方面分别阐述机房安全建设的实施建议和实施难点。
1 物理位置的选择
1.1 实施建议。（1）应避免设在建筑物的顶层或地下室，一般选择在建筑物2-3层；（2）机房内楼板承重量应满足需求；（3）机房应避免设在用水设备旁边；（4）机房周围环境要远离强电磁场、强噪声源和污染源；（5）机房外窗应为双层密封窗，尽量避免东西向外窗；（6）对于重要行业单位极其重要的主机房和灾备机房，一般要选择自然灾害较少的地区，目标主要集中在北京、上海、深圳、西安、成都等地区。
1.2 实施难点。（1）经常看到有些客户的机房设置在顶层或地下，也曾发现机房防水做的较差，有空调漏水的现象。还有一些与单位食堂等邻近，也应尽量避免；（2）一般单位由于场地与环境的限制，机房选择不由IT部门决定。领导层由于不了解机房位置方面的隐患，需要技术人员及时告诉领导机房物理安全威胁。
2 物理访问控制
2.1 实施建议。（1）机房出人口设置门禁系统，配置双向刷卡通行；（2）机房的内和外部临近入口区域要安装摄像头保证全部范围覆盖；（3）外来人员进入机房应当由专人全程陪同；（4）对于系统较多、机房面积较大的有能力单位应将机房按系统和设备的重要程度划分不同区域进行管理；（5）区域和区域之间设置物理隔离装置；（6）采用双向电子门禁系统控制，联通各区域间的通道空间便形成机房的过渡缓冲区。
2.2 实施难点。增加机房物理访问控制的措施需要较大的资金投入，加之领导对机房安全的重视程度不够，对于众多小企业，对有限的机房空间实施完整的安全访问控制较难实现。
3 防盗窃和防破坏
3.1 实施建议。（1）首先需要明确所有信息资产都应根据其重要程度实施物理上的保护措施；（2）制定完整、统一、唯一、详细的资产分类和标识规定；（3）应在资产的明显出进行标记；（4）在实施物理保护措施的同时增加监控、报警系统对资产的安全进行辅助管理，如在重要资产存放区域和附近增加红外或感应报警系统；（5）所有强弱电电线都采用桥架地下敷设；（6）机房内设置环境监控系统发现异常情况及时报警。
3.2 实施难点。（1）虽然多数单位能够做到对重要资产采取基本的安全保护措施，但对线缆一类的资产则可能忽略采取保护手段，而且大都缺少很好资产分类和标识规定，尤其是经过多次易手的组织资产，经常是没有对资产进行标记，有的甚至出现多种不同的标签；（2）对于信息资产的分类和标记方法应当尽量做到与财务或行政部门对固定资产的要求相一致。
4 防雷击
4.1 实施建议。（1）对于有条件和要求较高的机房应当安装避雷装置，并做好相应的接地设施；（2）实施计划应在机房建设初期进行规划；（3）建议机房采用三级防雷设计，如：电源防雷系统、信号防雷系统和等电位接地。
4.2 实施难点。（1）多数小企业的机房没有足够的资金投入建立足够的防雷措施；（2）由于建立一整套防雷设施需要较高的资金投入，同时需要在机房建设初期就做好规划，后期改建将增加成本的投入。
5 防火
5.1 实施建议。（1）机房消防报替系统配置独立感应装置（感烟、感温）和独立的报警主机（按照分区选择），系统可自动切断机房电源；（2）机房消防采用惰性气体自动灭火系统；（3）采用的灭火方式尽量选择气体灭火系统，如CO2、FM-200、气溶胶和烟烙尽等；（4）对于重要的核心设备区域应建立防火隔离区域；（5）机房地面采用保温棉和防静电地板，墙面采用彩钢板，门窗采用防火门窗及玻璃；（6）机房内设置应急灯。
5.2 实施难点。（1）多数小企业没有足够能力在机房中安装气体灭火系统，通常机房都是在写字楼房间的基础上改建的，火警检测装置也大都是写字楼原来的，无法实现自行监控；（2）机房建筑材料上也不能使用耐火材料；（3）由于气体灭火系统、火警检测系统和耐火建筑材料的使用需要大量的资金投入，对于能力有限的企业难以实现，应尽量采取其他替代方法。
6 防水防潮要求
6.1 实施建议。（1）在设计机房前应当规定水管安装，不得穿过机房屋顶和活动地板下；（2）机房顶棚、地面和四周应做好防水处理，并加装防水检测和报警设施连接到机房环境监控系统中；（3）机房内顶面要作保温处理，防止产生冷凝水；（4）有能力的机房可在机房顶部安装防漏水设施；（5）在机房地面修建地漏、泄水槽和配置排水设备；（6）机房内应使用可调节湿度的空调，空调应依据机房面积和设备数量安装，尽量保证设备工作在湿度45-60%之间。
6.2 实施难点。（1）多数企业没有机房建设要求；（2）只使用了普通的温度控制空调；（3）没有安装防水检测系统；（4）完整的防水系统需要的资金投入较大，因此在建设机房初期就应当尽可能选择没有水6.3.5管经过的房间和尽量不靠近建筑物外侧墙壁的地方。
7 防静电要求
7.1 实施建议。（1）机房设备应尽量做防静电处理，使用防静电地板，有能力的企业可使用静电消除设备，减少机房内静电发生的可能；（2）机房设置独立接地系统；（3）机房内所有电气设备外壳，金属管道、金属接线盒、区域隔断及吊顶龙骨的金属部分均牢固接安全保护接地。
7.2 实施难点。（1）一般机房缺少对静电控制方面的要求，也没有严格的实施；（2）增加防静电手段会增加机房建设的成本。
8 温湿度控制要求
8.1 实施建议。（1）机房内应使用可调节温湿度的空调，尽量保证相对湿度控制在45%-65%，夏季温度控制在23 ±2 ℃，冬季温度控制在20±2℃，温度变化率不超过5℃/h，并且不得结露；（2）机房应选择机房精密空调和机房新风系统，并配备普通空调备用。并应连接到机房环境控制系统中统一管理。
8.2 实施难点。（1）多数单位的机房没有使用能够控制湿度的空调系统；（2）带湿度控制的空调价格比较昂贵，且需要对水管的布置进行考虑。可以使用其他方法增加机房内的湿度，使用湿度表进行监控。
9 电力供应
9.1 实施建议。（1）在电线路上配置稳压器和过电压防护设备以保证在电压突然变化时不影响到设备的正常运行；（2）设置并建立备用供电系统，设置两路进线、并配备足够的UPS保证在段时间内断电的运行或至少保证服务器有足够的关机时间；（3）机房电源应采取冗余形式，一般至少有2家不同的供电公司供电；（4）有条件的企业可以配备发电机保证较长时间的应急供电。
9.2 实施难点。（1）有些公司机房虽然配备了UPS设备，但对UPS没有定期进行可用性测试；（2）多数公司由于受国家供电系统或楼宇供电的限制，只有一路供电；（3）对于供电系统承载的负荷缺少明确要求。
10 结论