信息系统安全等级保护物理安全方案

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第七章物理安全技术实施7.1概述物理安全由称为实体安全,是整个计算机信息系统安全的基石,其目标是保护计算机设备、通信链路和其它媒体免遭自然灾害、环境事故、人为失误及各种计算机犯罪行为导致的破坏。从机房建设的角度划分,物理安全建设可分为环境物理安全建设、基本物理设备安全建设和只能设备物理安全建设三个部分。环境物理安全建设是整个信息系统安全建设不可忽视的重要组成部分,旨在加强对地震、水灾和雷电等自然灾害的预防;基本物理设备安全建设指配电柜、UPS电源、机房专用空调和网络设备等机房必须设备的安全建设,保障基本物理设备的安全,已成为信息系统建设的第一道防线;智能设备物理安全建设包括门禁系统、防盗报警系统、机房监控系统、消防报警系统等,随着信息社会的高速发展,智能设备在机房建设中越来越重要,其效果比之前的人工管理也有了很大的提供,故实现机房的智能化管理,已成为现代机房建设的必备元素。7.2安全风险信息系统物理安全风险可分为非人为安全风险和人为安全风险两部分。非人为安全风险指自然灾害、环境影响和设备故障等造成的风险,人为安全风险是指由人员失误或恶意攻击等造成的风险。对物理安全风险的简单描述如表7-1所示。表7-1物理安全风险分类表种类描述非人为安全风险自然灾害鼠蚁虫害、水火灾害、地震、雷击等环境影响温度、湿度、灰尘、有害气体、电磁干扰,静电、断电等设备故障系统软硬件故障、通信链路中断等人为安全风险恶意攻击物理攻击:设备被盗窃、故意破坏等;非法使用:采取各种措施,非法访问非授权资源;服务干扰:恶意占用系统资源,达到降低系统可用性的目的。人员失误操作失误:操作人员执行错误操作对系统造成的破坏;管理失误:因管理不规范而造成信息系统不能正常运行。7.3安全目标物理安全建设是整个信息系统安全建设的第一步,故其完成度和安全性对信息系统安全建设影响很大。为了实现信息系统的可靠运行,物理安全建设应达到以下目标:(一)根据不同的安全等级,选择机房建设位置和建筑建设基本要求;(二)实现不同安全等级的访问控制功能,保护机房的设备及数据安全;(三)实现不同安全等级的防雷击和防火要求,根据系统级别配置相应的避雷设备和灭火设备;(四)保护机房设备,防止其被盗窃或者被破坏;(五)采取相应的措施防止机房进水或者设备漏水,同时加强机房的温湿度控制,加强机房环境管理。(六)保障机房电力正常供应,并对主要设备进行防静电和电磁防护措施。物理安全建设技术要求从物理环境建设技术和人员控制技术两方面来实现,其对各级系统的概括要求如表7-2所示。表7-2物理安全控制点控制点控制点描述一级二级三级四级物理访问控制从物理安全的角度来对人员的访问进行控制√√√√防盗窃和防破坏对机房实施保护,防止其遭受破坏或被盗窃√√√√防雷击保护机房设备免受雷电等自然灾害的影响√√√√防火保护机房免受火灾的影响√√√√防水和防潮机房大部分都是电器产品,故应该进行严格的防水设置√√√√温湿度控制机房正常运行需要一定的温湿度环境,所以进行相应的控制√√√√电力供应为了防止机房供电不稳定的情况下,应进行相应的电力供应√√√√物理位置的选择机房选择要参照一般建筑物选址规范来进行√√√防静电静电会对机房造成不良影响,为了保障机房设备的正常运行,应进行相应的静电防护措施√√√电磁防护重要设备和重要区域进行电磁防护√√√等级保护中各级系统在建设中对控制点的物理技术要求如表7-3所示控制点第一级第二级第三级第四级物理访问控制机房出入应安排专人负责,控制,鉴别和记录进入的人员除安排专门人员负责机房的管理和记录外,还应建立一个进入机房的审批流程,建立访问备案记录,并限制其活动范围。增加区域管理和电子门禁系统增加区域管理并增加电子门禁系统,并且在重要区域增加第二层电子门禁系统防盗窃和防破坏主要设备应房子机房内,并且固定,且要设置明显不易去除的标记增加标识,在主要的设备上安装防盗报警系统,将通信线缆敷设在隐蔽处增加机房防盗报警系统和机房监控系统同第三级防雷击机房建筑物应有防雷接地设置避雷装置和交流电源接地增加防雷保护器,防止感应雷同第三级防火机房应设置灭火装置设置灭火设备和火灾报警控制器增加火灾自动报警和灭火装置,以及区域隔离防火同第三级防水和防潮应对机房内的水管增加必要的防水措施,还应采取措施防止雨水通过窗户,屋顶和墙壁渗漏水管不得穿过机房屋顶和地板下面,应敷设保温层,防止结露增加水敏感的检测仪器或原件,进行防水和报警同第三级电力供应应在机房供电线路上加稳压器和过压保护装置,以满足机房在断电情况下正常供电增加短期的备用电力供应,以满足设备在断电的情况下正常运行增加关键设备的备用供电系统和冗余电路电线线路增加备用的供电系统和冗余的供电系统温湿度控制机房应设置必要的温湿度控制设施机房应设置温、湿度自动调节设施同第二级同第三级物理位置的选择无要求机房建筑物应具有防雷、防震、防水、防风等能力在防震功能外,机房建筑应避免在建筑物的高层或者地同第三级下室,以及用水设备的下层或隔壁防静电无要求关键设备应采用防静电接地措施除必要的防静电接地外,还应该使用防静电地板增加静电消除器,减少静电的产生7.4目标措施对应表表7-4物理安全目标与对应措施安全目标措施环境物理安全措施机房环境安全措施物理位置选择符合一般建筑物规范防火划分不同区域并进行防火隔离防雷击增加避雷设备,交流电源接地防水和防潮避免进水、漏水,还应该有漏水监测系统防静电接地与屏蔽,应该使用防静电地板,使用经典消除剂电磁防护接地、隔离与屏蔽布线系统安装地下、线路冗余并打上标识机房运行安全措施机房人员日常行为准则机房日常巡视制度机房安全保密制度机房硬件设备维护制度机房资料管理基本设备物理安全措施配电柜应正确部署及维护UPS电源应正确部署及维护机房专用空调应正确部署及维护网络设备的采购、编号、定期检查、借用、报废和日常维护等职能设备物理安全措施安装门禁系统安装防盗报警系统安装机房监控报警系统安装消防报警系统7.5安全措施机房建设可分为环境物理安全建设、基本设备物理安全建设、智能设备物理安全建设。其中,环境物理安全建设可分为物理位置的选择、温湿度控制和电磁防护等方面的建设;基本设备物理安全建设即网络设备、电气设备等的基本部署及安全建设;智能设备物理安全建设包括温湿度控制系统、报警系统、监控系统和消防系统等的建设7.5.1环境物理安全措施环境物理安全措施包括机房环境安全措施和机房运行安全措施,这两方面的实施要点如下:1.机房环境安全措施1)机房物理位置的选择(一)机房和办公场所应选择在防震、防水、防风、防雨等能了的建筑内;(二)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。2)防火(一)机房应设置自动灭火装置,能够自动检测火情、自动报警、并自动灭火;(二)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;(三)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。从防火的角度出发,可将机房分为脆弱区、危险区和一般要求区3个区域,脆弱区一旦发生火灾,将造成全局性的业务中断,使重要信息遭受严重破坏,极大的威胁机房安全,故这一区域应严格重点进行消防报警管理,出现火灾时应首先对这一区域进行灭火等操作;危险区多存放易燃物质,由于其存放的物质的特殊性,故在进行机房管理时应多加注意,防止出现火情,若出现火情应及时进行扑灭,以免蔓延至脆弱区,造成更大的损失;一般要求区即上述区域外的地方,其消费措施没有特殊的要求,保障安全正常的灭火报警系统即可。3)防雷击(一)机房建筑应设置避雷装置;(二)应设置防雷保护器,防止感应雷;(三)机房应设置交流电源地线。4)防水和防潮1)水管安装不得穿过机房屋顶和活动地板下;2)除空调设备外,机房内其设备一般不得安装水源;3)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗漏;4)应采取措施防止机房内水蒸气结露和地下积水的转移和渗透;5)应安装对水敏感的检测仪或元件,对机房进行漏水监测和报警。6)防静电(一)主要设备采用必要的接地防静电措施;(二)机房采用防静电地板;(三)工作人员的衣服和鞋子尽量用不产生静电的衣料制作;(四)维修人员进行硬件设备的维护特别是电路板的更换时候,最好戴接地手套;(五)控制机房的湿度,使得机房的相对湿度维持在正常的要求的范围内,不宜偏低;(六)在静电发生频繁的地方使用静电消除剂。7)电磁防护(一)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;(二)电源线和通信线缆应隔离敷设,避免相互干扰;(三)应对关键设备和磁介质实施电磁屏蔽。8)机房布线措施(一)安装地线;(二)安装备份线路;(三)应找专业的电工人员或者综合布线人员来布线,且要做好机房布线的档案工作,以便日后维护。2.机房运行安全措施1)机房人员日常行为准则(一)注意机房的环境卫生,不得在机房内吃零食、吸烟等;(二)应对值班人员的责任细化,将责任落实到个人;(三)机房工作人员必须按操作规程使用各种设备,以免出现误操作缩短设备的使用寿命;(四)严禁在机房大声喧哗、聊天、看视频等影响他人正常工作的行为。2)机房日常巡视制度(一)检查机房的环境卫生、温湿度、安全等情况,并认真做好记录;(二)检查机房网络设备、空调系统、配电柜和UPS等基本物理设备的工作情况,并做好记录;(三)检查机房的消防系统、防盗报警系统等职能设备的运行情况,并做好记录。3)机房安全保密制度(一)机房出入口安排专人值守,重要区域应配置电子门禁系统,对出入人员进行鉴别和记录;(二)对非本机房工作人员不得随意进出机房,遇特殊情况时,必须登记方可进入,且对其活动范围进行限制和监控;(三)值班人员需确定机房门、窗关闭,防盗装置正常开启后,方可离岗;(四)工作人员有保护机房信息安全的义务,其工作区域内的重要文件、资料和设备等的安全应得到保障;(五)禁止将机房要素、门禁卡等物品外借他人,遇到遗失钥匙的情况要及时上报,积极主动保护机房安全;4)机房硬件设备维护制度(一)工作人员应该熟识各设备的操作规程和养护方法,尽可能延长设备的使用寿命;(二)定期检查配电柜、UPS、机房专用空调、风机、消防设备、防雷设备和报警系统等硬件的运行状态,查阅各设备的日志报告,了解设备的运行情况,并做好记录;(三)不得随意搬动、更改设备,遇特殊情况时,需要专业人员等的指导下进行;5)机房资料管理(一)应建立机房资料管理制度,根据资料用途、设备类别等进行分类,并由专人进行管理;(二)机房资料应随着设备更新、维护等情况予以相应的变更,及时记录记录的更新情况;(三)工作人员有保护机房资料和数据安全的业务,不得随意泄露机房秘密;(四)进行权限划分,只有拥有相应权限权限的人才可以查阅相关资料,未经授权不得进行查阅;(五)重要资料和数据等应进行加密备份。7.5.2基本设备物理安全在机房建设过程中,计算机电器系统设备是保证机房运行必不可少的设备,如网络交换机、配电柜、不断电系统、机房专用空调、风机和空气净化器等,这些设备的正常运行与否直接影响了机房的建设,故应做好这类设备的安全保护,从而进一步维护机房的安全运行。1.配电柜计算机机房的供电系统一般由机损及网络设备供电系统、机房设备敷设的供电系统和备用供电系统组成,而机房专用配电柜在这三个系统中都起着至关重要的作用,所以为了保证机房设备的正常供电,机房专用配电柜设计必须正确合理。在设计配电柜时,既要思考各个供电系统之间的相互关系,也要考虑用电设备的负荷,采取合理的方案来布置配电柜,是的配电柜使用维修方便,各配电柜之间的控制关系良好。大型机房电器原理如图7-2所示。机房专用配电柜在使用时需从标示、线路和组件等方面综合考虑,具体包含要求如下。(一)标示:机房配电柜的编号应包括配电柜号及其用途两项,如2号动力配电柜;配电柜内的各种开关、手柄和操作按钮应标记清楚,以防止使用中出现误操作;配电柜内的各线路应按国家规定的颜色标记并编号。(二)线路:配电柜内应根据计算机设备及其辅助设备的不同要求,设置中线和接地线的连接装置,中线(N)、接地线(PE)和配电柜外壳要绝缘;配电柜内采用的母线、接线排及各种电缆、导线、

1 / 17
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功