實行計算機信息安全等級保護是為了進一步加強和規(guī)范計算機信息系統(tǒng)安全����,保護我國信息化發(fā)展'維護國家信息安全、提高信息安全保障能力和水平���。是維護國家安全、社會穩(wěn)定和公共利益的保障制度����。信息安全等級保護是對信息系統(tǒng)分等級實行安全保護����,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應���、處置���,對設備設施、運行環(huán)境���、系統(tǒng)軟件以及網(wǎng)絡系統(tǒng)按等級管理。信息網(wǎng)絡安全管理工作要堅持從實際出發(fā)����、保障重點的原則,區(qū)分不同情況���,分級���、分類,分階段進行信息網(wǎng)絡安全建設和管理���。按照《計算機信息系統(tǒng)安全保護等級劃分準則》的規(guī)定����,我國實行五級信息安全等級保護:第一級:用戶自主保護級;第二級:系統(tǒng)審計保護級���;第三級:安全標記保護級����;第四級:結構化保護級���;第五級:訪問驗證保護級���。
在信息安全等級保護中定為三級以下的系統(tǒng)占較大比例。所以下文的機房是以存放信息安全等級第二級及以下的系統(tǒng)為設計標準���,對如何建設和管理機房展開簡單談論����。
1 機房的物理位置要求
機房的環(huán)境要求滿足信息系統(tǒng)業(yè)務和安全管理需求���。例如機房樓層具有足夠承受能力���、具有基本的防震����、防風和防雨等能力����。對存放信息安全等級保護鼉級系統(tǒng)的機房要求更嚴格,值得存放二級系統(tǒng)的機房借鑒����。例如要求機房避免設在強電場、強磁場����,強震動源、強噪聲源����、重度環(huán)境污染����、易發(fā)生火災、水災���、易遭受雷擊的地區(qū)���,要求機房內的顯示器����、打印機等有敏感信息輸出的設備應避免無關人員看到����。除信息安全等級保護所要求的這些外,本人認為在機房設計時還應考慮對周圍環(huán)境的影響���。例如機房排風口吹出來的廢氣����、空調室外機的噪音和散熱����、機房隔音,施工等都可能給機房周圍其他人帶來困擾����,在設計初期都應納入考慮范圍。
2 機房的訪問控制
首先在管理上應先制訂機房出入的管理制度等����,指定專人在機房所有出入口值守����,對進入的人員登記在案并進行身份鑒別����,對來訪人員須經(jīng)批準、登記���、限制和監(jiān)控其活動范圍����。在一些條件較差的機房要求做到專人值守出入口較為困難����,可以加強出入口防盜設施,增加視頻監(jiān)控并由保安監(jiān)控室負責監(jiān)控非法出入���。
對存放信息安全等級保護三級系統(tǒng)的機房要求更嚴格����。包括但不僅于下面:首先機房內進行身份鑒別電子門禁系統(tǒng)要有驗收文檔和安全資質���,經(jīng)常對電子門禁系統(tǒng)檢查系統(tǒng)運行����、維護記錄���。按管理需要對機房進行區(qū)域劃分管理���,如可分為主機區(qū)、通信區(qū)����,監(jiān)擰區(qū)、安裝區(qū)���、交付區(qū)等���。每個區(qū)域應設置有效的隔離裝置,考慮防止敏感信息漏露����,應采用非透明、隔音的隔墻���。重要區(qū)域的設備建議在交付或安裝等過渡區(qū)完成驗收���、安裝����、配置優(yōu)化后再進入����。
3 做好機房防盜竊和防破壞
·首先,制定相美機房設備管理制度等����,留存相關通信線路布線文檔,介質管理制度文檔����,介質清單和使用記錄,機房防盜報警設施的安裝測試/驗收報告等文檔����。
·機房關鍵設備放置做到安全可控,主要設備放置在機房內或其它不易被盜竊和破壞的地方���,設備或主要部件進行了固定和標記���,并確保固定情況和標記不可除去。
·介質進行分類標識管理���,介質須存放在介質庫或檔案室中����,攜帶出工作環(huán)境必須按規(guī)定進行審批����、內容加密、專人檢查等安全保護的措施���。
·通信線纜必須鋪設在隱蔽處���。存放第三級系統(tǒng)的機房還要求設置冗余或并行的通信線路。
最后���,對機房安裝的防盜報警設施應定期進行維護檢查����。例如檢查機房的攝像����、傳感等監(jiān)控報警系統(tǒng)是否正常運行���,并查看運行記錄、監(jiān)控記錄和報警記錄���。
4 機房的防雷擊
機房建筑必須設置有避雷裝置����,至少應符合GB 50057--1994(建筑物防雷設計規(guī)范)(GBl57《建筑防雷設計規(guī)范》)中的計算機機房防雷要求���,且通過驗收或國家有關部門的技術檢測����。機房計算機系統(tǒng)接地(交流工作接地���、安全保護接地���、防雷接地)應符合GB50174--93(電子計算機機房設計規(guī)范》的要求。機房計算機系統(tǒng)接地應設置專用地線����,在電源和信號線增加有資質的避雷裝置���,以避免感應雷擊,同時留存建筑防霄設計����,驗收文檔����,機房接地設計,驗收文檔���,在機房驗收時查看是否有地線連接要求的描述���,與實際情況是否一致。
5 機房的防火
機房防火首先從管理上應制定有關機房消防的管理制度和消防預案���,機房工作人員必須參加過機房滅火設備的使用和消防相關培訓���,能夠正確使用滅火設備和火災自動報警系統(tǒng),保證機房工作人員在出現(xiàn)消防安全隱患時能夠進行正確的處理����。
機房應配置火災自動報警系統(tǒng)����,機房內配置滅火設備����,擺放位置要合理,安排專人負責維護該系統(tǒng)的運行����,經(jīng)常查看運行記錄、報警記錄����、定期檢查和維護記錄。
留存機房消防的管理制度文檔���。機房防火設計����,驗收文檔���,火災自動報警系統(tǒng)的設計/驗收文檔等����。
6 機房的防水防潮
很多人對機房內防水防潮較為疏忽。通常www.huisheliren.com機房內布設的水管或經(jīng)過機房的墻內水管���、機房的屋頂����、窗戶���、進出風口等容易出現(xiàn)爆水管隱患、漏水����、滲透和返潮等,必須采取可靠的保護措施保征防水防潮���。一旦漏水很容易發(fā)生漏電���,觸電、短路等情況甚至嚴重還會發(fā)生火災等安全事件����。還有宅凋除濕時會產生冷凝水,正常情況下可通過排水管解決���,但排水管時間久后易生銹阻塞正常排水����,此時很容易發(fā)生漏水事件,所以必須經(jīng)常檢查機房這類設備的日常運行情況���。建議配置漏水自動報警系統(tǒng)保障機房安全����。
7 機房防靜電
為了防止靜電���,機房須采用獨立的接地系統(tǒng)���,采用防靜電地板,防靜電工作臺以及靜電消除劑和靜電消除器等措施����。春秋天氣十燥時節(jié)易產生靜電,機房里要保持相對濕度���。機房內所有電氣設備外殼����、金屬管道、金屬接線盒等均牢固安全接地����。
8 機房的溫濕度控制
機房安裝溫濕度自動調節(jié)的機房精密空調,設置的機房溫���、濕度自動調節(jié)能夠滿足GB 2887-89(計算站場地技術條件》����,保障計算機設備運行的要求����。
9 機房的電力供應
機房建議采用冗余或并行的電力電纜線路(如雙路供電方式)���,并且能夠進行雙路供電切換���。為了避免干擾計算機系統(tǒng)供電線路應與其他供電分開,在供電線路上設置穩(wěn)壓器和過電壓防護等設備���,配置UPS系統(tǒng)并保證供電時間滿足系統(tǒng)最低電力供應需求����。
10 機房的電磁防護
采用整個機房屏蔽方式和接地方式防止外界電磁干擾和設備寄生耦合干擾,所有電源線和通信線纜應隔離并分別濾波����,保證良好的接地且交流接地、直流接地����、防雷接地、電磁接地等設計合理���,避免互相干擾���。另外還可以采用距離防護,遠離強電磁輻射源方法����。
總之,信息安全等級保護是指導信息系統(tǒng)安全防護工作的基礎管理原則����。實施信息安全等級保護更加規(guī)范化管理機房。保證信息系統(tǒng)的物理安全���,提高信息安全保障能力和水平����。
