安全資訊

自從接觸安全類(lèi)工作后就開(kāi)始聽(tīng)到等保這個(gè)詞，最初接觸是在剛進(jìn)入省測評中心的時(shí)候，剛剛進(jìn)入安全這個(gè)圈子，經(jīng)過(guò)各種項目和領(lǐng)導的折磨后，終于知道什么叫等保，要求些什么，要怎么做等等等。后來(lái)還研究過(guò)信息系統風(fēng)險評估，ISO 27001，COBIT 5之類(lèi)的標準和體系。寫(xiě)這篇文章沒(méi)別的目的，就是談?wù)勛约簩Φ缺５睦斫?，希望對各位有用。本文是技術(shù)要求的物理安全部分，如果有機會(huì )后續會(huì )把10個(gè)部分都更新出來(lái)。

等保到底是什么

這里就不說(shuō)太多沒(méi)用的了，什么五個(gè)級別，網(wǎng)安法，公安備案之類(lèi)的，直接參照三級標準逐條討論。

物理安全部分其實(shí)不只是22239中描述的那么簡(jiǎn)單，實(shí)際還參考了額外的物理安全標準（GB 50174和GB/T 2887），所以沒(méi)表面上看的那么簡(jiǎn)單。

7.1.1 物理安全

7.1.1.1 物理位置的選擇（G3）

a)房和辦公場(chǎng)地應選擇在具有防震、防風(fēng)和防雨等能力的建筑內；

b)機房場(chǎng)地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。

這里講的是機房的防震、防風(fēng)和防雨，其實(shí)就是對建筑物的要求，對于B、C級機房要求抗震設防標準要符合當地抗震設防標準，A級機房要高于當地抗震設防標準，下表為場(chǎng)地樓板荷重標準   

A級機房抗震不能低于乙類(lèi)，B級不能低于丙類(lèi)，C級不宜低于丙類(lèi)抗震設防。 至于機房的選擇，要求不能是地下室，不能是頂層，不能靠邊，建議設置在建筑的中心和近中心位置。 對于建筑物的選擇，可參考下表（補充一點(diǎn)，不能處于地震帶）：

a)機房出入口應安排專(zhuān)人值守，控制、鑒別和記錄進(jìn)入的人員；

b)需進(jìn)入機房的來(lái)訪(fǎng)人員應經(jīng)過(guò)申請和審批流程，并限制和監控其活動(dòng)范圍；

c)應對機房劃分區域進(jìn)行管理，區域和區域之間設置物理隔離裝置，在重要區域前設置交付或安裝等過(guò)渡區域；

d)重要區域應配置電子門(mén)禁系統， 控制、 鑒別和記錄進(jìn)入的人員。

訪(fǎng)問(wèn)控制的理解就容易得多了，而且大多數企業(yè)也都做到了，沒(méi)有特殊的需要說(shuō)明的部分。這里擴展一下機房區域劃分的要求細節。

首先是機房面積的設置，國標是有計算公式的，如下：

當電子信息設備已確定規格時(shí)，可按下式計算：

A= K∑S

A― 電子信息系統主機房使用面積（㎡） ;

K― 系數，取值為 5～7 ;

S― 電子設備的投影面積（㎡）。

當電子信息設備尚未確定規格時(shí)，可按下式計算：

A= KN

K― 單臺設備占用面積，可取 3.5－5.5(㎡/臺）;

N—計算機主機房?jì)人性O備的總臺數。

輔助區的面積宜為主機房面積的0.2~1 倍；用戶(hù)工作室可按每人 3.5－4 ㎡計算。硬件及軟件人員辦公室等有人長(cháng)期工作的房間，可按每人 5~7 ㎡計算。

此外對于工作區、主機房、輔助區、支持區和行政管理區（如有，此外還有的機房會(huì )有保密設備區域）要進(jìn)行彼此隔離，重要區域要有單獨的門(mén)禁系統。 

7.1.1.3 防盜竊和防破壞（G3）

a)應將主要設備放置在機房?jì)龋?

b)應將設備或主要部件進(jìn)行固定，并設置明顯的不易除去的標記；

c)應將通信線(xiàn)纜鋪設在隱蔽處，可鋪設在地下或管道中；

d)應對介質(zhì)分類(lèi)標識，存儲在介質(zhì)庫或檔案室中；

e)應利用光、電等技術(shù)設置機房防盜報警系統；

f)應對機房設置監控報警系統。

這部分的內容也比較容易理解，就是防盜措施。這里說(shuō)的不易去除標記其實(shí)就是那種一次性貼紙標簽，因為機房的設備一般輕易不會(huì )有人去偷，所以這里的不易去除是指通常機房設備運維管理中，不要抬杠說(shuō)什么有人會(huì )特殊處理去掉標簽這種情況。

通信線(xiàn)纜一般都是在防靜電地板下放或走頂棚線(xiàn)槽，現在已經(jīng)很少有人會(huì )直接走明顯了，所以不用特意說(shuō)明。

介質(zhì)就是磁盤(pán)陣列、硬盤(pán)、磁帶、U盤(pán)之類(lèi)的存儲，目前這部分工作大多公司做的一般，沒(méi)有分類(lèi)，沒(méi)有標簽，或者個(gè)別介質(zhì)會(huì )貼一些簡(jiǎn)單的標簽，這些對于后期管理都是隱患，最常見(jiàn)的就是，人員離職，交接不明確，沒(méi)有說(shuō)明文檔，后來(lái)的人接管工作一臉懵逼，問(wèn)誰(shuí)都不知道，最后無(wú)奈要一個(gè)個(gè)的自己去查看，或者干脆就混日子，索性不出問(wèn)題就好。

防盜報警現在基本是個(gè)B類(lèi)機房就都有安裝，而且有完善的報警系統或平臺；最后關(guān)于監控，這里說(shuō)一點(diǎn)，不是說(shuō)門(mén)口和機房里有監控就OK，按照標準要縱向橫向交叉監控，無(wú)死角才算合規。 

7.1.1.4 防雷擊（G3）

a)機房建筑應設置避雷裝置；

b)應設置防雷保安器，防止感應雷；

c)機房應設置交流電源地線(xiàn)。

這部分更多是對大樓建筑的防雷要求，具體會(huì )參照GB/T 50343（建筑作為獨立機房時(shí)），一般能作為機房的大樓，應該都會(huì )有符合規定的防雷措施。所以重點(diǎn)要關(guān)心的就是強電和弱電的接地。

強電沒(méi)有搞過(guò)，所以就不在這里胡說(shuō)了；弱電后續會(huì )在防靜電部分說(shuō)明。

7.1.1.5 防火（G3）

a)機房應設置火災自動(dòng)消防系統，能夠自動(dòng)檢測火情、自動(dòng)報警，并自動(dòng)滅火；

b)機房及相關(guān)的工作房間和輔助房應采用具有耐火等級的建筑材料；

c)機房應采取區域隔離防火措施，將重要設備與其他設備隔離開(kāi)。

這里防火有3點(diǎn)要求，其一就是自動(dòng)消防系統，可以自動(dòng)檢測，自動(dòng)預警，自動(dòng)滅火，一般都是泡沫和干粉，檢測到火災時(shí)會(huì )先預警，疏散人員，而后進(jìn)行滅火（想詳細了解的可以去看GB 50116和GB 50016）。此外這還要求機房設置消火栓，就是手提那種干粉的或者泡沫的，并且定期要有人進(jìn)行巡檢，檢查滅火設備是否過(guò)期，壓力值是否在綠色范圍，并填寫(xiě)巡檢記錄，這些都是檢查時(shí)會(huì )看的。

第二點(diǎn)是對耐火材料的要求，這塊純屬?lài)鴺艘?，真正能做到的其?shí)不多，按照要求機房的耐火等級不應低于二級。當 A 級或 B 級機房位于其它建筑物內時(shí)，在主機房和其他部位之間應設置耐火極限不低于 2h 的隔墻，隔墻上的門(mén)應采用甲級防火門(mén)（解釋下2H的意思，耐火極限就是在一般100度燃點(diǎn)時(shí)的破壞時(shí)間，H代表小時(shí)，也就是說(shuō)墻體的耐火極限要再100度高溫情況下能夠承受2小時(shí)以上）。主機房的頂棚、壁板（包括夾芯材料）和隔斷應為不燃燒體，且不得采用有機復合材料。

第三點(diǎn)，就是之前要進(jìn)行區域劃分和隔離的要求，在發(fā)生火災時(shí)，可優(yōu)先確保重要設備安全。

這里再多說(shuō)一點(diǎn)，關(guān)于疏散的，面積大于 100 ㎡ 的主機房，安全出口應不少于兩個(gè)，且應分散布置。面積不大于 100 ㎡的主機房，可設置一個(gè)安全出口，并可通過(guò)其他相臨房間的門(mén)進(jìn)行疏散。門(mén)應向疏散方向開(kāi)啟，且應自動(dòng)關(guān)閉，并應保證在任何情況下都能從機房?jì)乳_(kāi)啟 。走廊、樓梯間應暢通，并應有明顯的疏散指示標志。

7.1.1.6 防水和防潮（G3）

a)水管安裝，不得穿過(guò)機房屋頂和活動(dòng)地板下；

b)應采取措施防止雨水通過(guò)機房窗戶(hù)、屋頂和墻壁滲透；

c)應采取措施防止機房?jì)人魵饨Y露和地下積水的轉移與滲透；

d)應安裝對水敏感的檢測儀表或元件，對機房進(jìn)行防水檢測和報警。

第一條要求就是機房?jì)葻o(wú)論何處不可以有走水的管道，包括機房周邊墻體。

第二條一般來(lái)說(shuō)基本不太會(huì )遇到，但是我就碰到過(guò)一家企業(yè)，機房樓上漏水，頂棚沒(méi)有做防水，機房里幾個(gè)大盆和大桶放在機柜上邊接水，定期有值班人員去倒，這場(chǎng)面真的無(wú)法言表。所以說(shuō)，機房位置選擇時(shí)，周邊最好不要有用水間是最好的。

第三條應該是指以前的機房（或者是一些小公司的機房），但是一般機房能這么偷工減料的其實(shí)也不會(huì )關(guān)心這種問(wèn)題?，F在大多機房會(huì )配備精密空調，控制機房?jì)鹊臏貪穸?，所以此?lèi)情況越來(lái)越少（畢竟都上云了，托管的云數據中心機房怎么可能連溫濕度控制都做不到）。

第四條和第三條差不多，目前都會(huì )由系統統一控制。不過(guò)這里也說(shuō)一下，標準的要求：

首先不能采用暖氣，空調不能漏水；

與機房無(wú)關(guān)的水管不宜從機房?jì)却┻^(guò)；

機房應防止結構滲水、前面凝水、外部漫水；

重要機房應設置漏水報警系統。

7.1.1.7 防靜電（G3）

a)主要設備應采用必要的接地防靜電措施；

b)機房應采用防靜電地板。

這里標準中說(shuō)了一堆術(shù)語(yǔ)和要求參數，其實(shí)簡(jiǎn)單總結一下，重點(diǎn)關(guān)注的就是首先機柜要做好接地防雷和防靜電，重要設備都會(huì )有防雷模塊，用線(xiàn)接到機柜；在機柜配置防靜電手環(huán)，操作時(shí)記得先戴上。這樣基本就可以保證大多數情況下的靜電防護工作。

這里給你們展示一點(diǎn)標準里要求的玩意。

1.主機房和輔助區的地板或地面應有靜電泄放措施和接地構造，防靜電地板或地面的表面電阻或體積電阻應為 2.5 x 104～1.0×10 9 Ω。且應具有防火、環(huán)保、耐污耐磨性能。

2.電子信息系統機房?jì)人性O備可導電金屬外殼、各類(lèi)金屬管道、金屬線(xiàn)槽、建筑物金屬結構等必須進(jìn)行等電位連接并接地。

3.靜電接地的連接線(xiàn)應有足夠的機械強度和化學(xué)穩定性，宜采用焊接或壓接，當采用導電膠與接地導體粘接時(shí)，其接觸面積不宜小于 20cm 2。 

PS：這里再補充一點(diǎn)，關(guān)于綜合布線(xiàn)的，等保部分重點(diǎn)要求就是強電與弱電線(xiàn)纜要分別鋪設，且距離不得小于0.5m，且每條線(xiàn)纜要有標簽說(shuō)明。

7.1.1.8 溫濕度控制（G3）

機房應設置溫、濕度自動(dòng)調節設施，使機房溫、濕度的變化在設備運行所允許的范圍之內。

這部分沒(méi)說(shuō)的，都是由系統來(lái)控制，這里貼一下對機房溫濕度的要求，開(kāi)機和關(guān)機都有相應要求。

7.1.1.9 電力供應（A3）

a)應在機房供電線(xiàn)路上配置穩壓器和過(guò)電壓防護設備；

b)應提供短期的備用電力供應，至少滿(mǎn)足主要設備在斷電情況下的正常運行要求；

c)應設置冗余或并行的電力電纜線(xiàn)路為計算機系統供電；

d)應建立備用供電系統。

這塊按照國標要求也是繁瑣的一B，簡(jiǎn)單總結一下（從安全角度來(lái)考慮，不涉及建筑和強電）。

首先最基本的要有UPS，UPS要有過(guò)載保護和防雷模塊；

其次UPS至少要由2路供電，能夠維持機房重要設備至少2小時(shí)以上供電；

最后就是機房提供多路冗余供電，不能只有一條電纜供電；要為機房準備發(fā)電機，以備特殊情況長(cháng)期斷電時(shí)的應急，如果條件允許，準備2臺發(fā)電機，以防發(fā)電機出現意外故障。詳細要求參考GB 50052。

PS：補充一點(diǎn)，等保中還要求機房中要使用機柜專(zhuān)用電源插排，就是機柜上那個(gè)黑色的。

7.1.1.10 電磁防護（S3）

a) 應采用接地方式防止外界電磁干擾和設備寄生耦合干擾；

b) 電源線(xiàn)和通信線(xiàn)纜應隔離鋪設，避免互相干擾；

c)  應對關(guān)鍵設備和磁介質(zhì)實(shí)施電磁屏蔽。

這塊的內容涉及的有點(diǎn)廣，但是作為等保的要求和日常機房安全防護，涉及不會(huì )那么深，所以不用過(guò)度去研究。這里把我研究的資料分享一下，簡(jiǎn)單做下總結。

電磁屏蔽含義

電磁兼容性（ElectromagneticCompatibility）縮寫(xiě)EMC，就是指某電子設備既不干擾其它設備，同時(shí)也不受其它設備的影響。電磁兼容性和我們所熟悉的安全性一樣，是產(chǎn)品質(zhì)量最重要的指標之一。安全性涉及人身和財產(chǎn)，而電磁兼容性則涉及人身和環(huán)境保護。

電子元件對外界的干擾，稱(chēng)為EMI(ElectromagneticInterference)；電磁波會(huì )與電子元件作用，產(chǎn)生被干擾現象，稱(chēng)為EMS（ElectromagneticSusceptibility）。例如，TV熒光屏上常見(jiàn)的“雪花”，便表示接受到的訊號被干擾。

因為屏蔽體對來(lái)自導線(xiàn)、電纜、元部件、電路或系統等外部的干擾電磁波和內部電磁波均起著(zhù)吸收能量（渦流損耗）、反射能量（電磁波在屏蔽體上的界面反射）和抵消能量（電磁感應在屏蔽層上產(chǎn)生反向電磁場(chǎng)，可抵消部分干擾電磁波）的作用，所以屏蔽體具有減弱干擾的功能。⑴當干擾電磁場(chǎng)的頻率較高時(shí)，利用低電阻率的金屬材料中產(chǎn)生的渦流，形成對外來(lái)電磁波的抵消作用，從而達到屏蔽的效果。⑵當干擾電磁波的頻率較低時(shí)，要采用高導磁率的材料，從而使磁力線(xiàn)限制在屏蔽體內部，防止擴散到屏蔽的空間去。⑶在某些場(chǎng)合下，如果要求對高頻和低頻電磁場(chǎng)都具有良好的屏蔽效果時(shí)，往往采用不同的金屬材料組成多層屏蔽體。

原理

許多人不了解電磁屏蔽的原理，認為只要用金屬做一個(gè)箱子，然后將箱子接地，就能夠起到電磁屏蔽的作用。在這種概念指導下結果是失敗。因為，電磁屏蔽與屏蔽體接地與否并沒(méi)有關(guān)系。真正影響屏蔽體屏蔽效能的只有兩個(gè)因素：一個(gè)是整個(gè)屏蔽體表面必須是導電連續的，另一個(gè)是不能有直接穿透屏蔽體的導體。屏蔽體上有很多導電不連續點(diǎn)，最主要的一類(lèi)是屏蔽體不同部分結合處形成的不導電縫隙。這些不導電的縫隙就產(chǎn)生了電磁泄漏，如同流體會(huì )從容器上的縫隙上泄漏一樣。解決這種泄漏的一個(gè)方法是在縫隙處填充導電彈性材料，消除不導電點(diǎn)。這就像在流體容器的縫隙處填充橡膠的道理一樣。這種彈性導電填充材料就是電磁密封襯墊。在許多文獻中將電磁屏蔽體比喻成液體密封容器，似乎只有當用導電彈性材料將縫隙密封到滴水不漏的程度才能夠防止電磁波泄漏。實(shí)際上這是不確切的。因為縫隙或孔洞是否會(huì )泄漏電磁波，取決于縫隙或孔洞相對于電磁波波長(cháng)的尺寸。當波長(cháng)遠大于開(kāi)口尺寸時(shí)，并不會(huì )產(chǎn)生明顯的泄漏。

機理

a.當電磁波到達屏蔽體表面時(shí)，由于空氣與金屬的交界面上阻抗的不連續，對入射波產(chǎn)生的反射。這種反射不要求屏蔽材料必須有一定的厚度，只要求交界面上的不連續；

b.未被表面反射掉而進(jìn)入屏蔽體的能量，在體內向前傳播的過(guò)程中，被屏蔽材料所衰減。也就是所謂的吸收；

c.在屏蔽體內尚未衰減掉的剩余能量，傳到材料的另一表面時(shí)，遇到金屬－空氣阻抗不連續的交界面，會(huì )形成再次反射，并重新返回屏蔽體內。這種反射在兩個(gè)金屬的交界面上可能有多次的反射?？傊?，電磁屏蔽體對電磁的衰減主要是基于電磁波的反射和電磁波的吸收。

從等保的角度來(lái)看，這3條的要求簡(jiǎn)單可以概括為：

a)機柜和設備接地，做好防靜電；（通常我們機房購買(mǎi)的機柜，設計時(shí)都已經(jīng)考慮電磁屏蔽的問(wèn)題，所以一般只要把機柜門(mén)關(guān)上，本身就起到屏蔽的作用）

b)之前提到的強弱電線(xiàn)纜分離鋪設，距離大于0.5m；

c)將設備放入專(zhuān)業(yè)機柜中，并固定在指定插槽位置。

結尾

以上就是對等級保護中物理安全的一些總結和個(gè)人理解。希望能對各位有所用處。其實(shí)真正的物理安全不只這些內容，以上只是從等保三級角度出發(fā)，如果擴展其本身就是一門(mén)學(xué)科，還會(huì )涉及到照明、粉塵、氣流、通道等各方面的要求。后續有時(shí)間的話(huà)，會(huì )繼續更新下個(gè)部分，技術(shù)要求的網(wǎng)絡(luò )安全部分。

等級保護測評系列介紹

等級保護測評（一）：物理安全

等級保護測評（二）：網(wǎng)絡(luò )安全

等級保護測評（三）：主機安全

等級保護測評（四）：應用與數據安全

等級保護測評（五）：制度與人員安全

等級保護測評（六）：系統建設管理

等級保護測評（七）：系統運維管理