信息安全等級保護中的機房整改實踐

應欽

摘要信息安全等級保護是2004年公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室四部門聯合發文實施的強制性非涉密信息化建設要求，以避免在信息化建設過程中，重裝備、輕基礎；重建設、輕安全；重應用、輕防范的現象。等級保護把國內所有非涉密計算機信息系統劃分為用戶自主保護級、指導保護級、監督保護級、強制保護級、專控保護級等五個等級，從物理安全、網絡安全、主機安全、應用及數據安全、制度管理等方面第一次系統介紹了各等級信息化建設的技術標準，涉及面較廣，按照等級保護標準衡量，有很多單位明顯不能達標，需要整改，本文結合作者在工作實踐中的體會，從物理安全的重要部分—機房的角度分析等級保護的整改工作要求。

關鍵詞信息安全；等級保護；訪問控制；電磁防護

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）11-0187-02

1為何進行信息安全等級保護

一提到信息安全等級保護有人很自然聯想到涉密信息系統的分級保護，是的，估計對此不少人都有疑問，既然涉密信息系統已經進行了分級保護，為什么還要進行信息安全等級保護呢？

1）涉密信息系統分級保護的概念是2004年中央保密委員會《關于加強信息安全保障工作中保密管理若干意見》提出的，2005年國家保密局頒發了《涉及國家秘密的信息系統分級保護管理辦法》，進一步從物理安全、信息安全、運行安全和安全保密管理等方面，對不同級別的涉密信息系統有細化了分級保護要求；而信息安全等級保護的主要保護對象是非涉密但又重要的信息系統，是從物理安全、網絡安全、主機安全、應用及數據安全、制度管理等方面進行保護的一種標準。

2）涉密信息系統分級保護將涉密信息系統劃分為秘密級、機密級、絕密級三個級別，主管單位為國家保密局；而信息安全等級保護將非涉密信息系統劃分為用戶自主保護級、指導保護級、監督保護級、強制保護級、專控保護級等五個等級，主管單位為公安部。主管單位不同也說明保護的關注點不同，分級保護與等級保護之間是相互補充的關系，都對信息安全的保密起著至關重要的作用。

2機房整改在信息安全等級保護中的重要性

在信息安全等級保護的物理安全方面，最重要的地方要算計算機房的建設和整改了。當前，非涉密信息系統在我們工作當中廣泛存在，例如，各政府新聞部門網站、各種網購系統、各企業內部信息系統等，這些系統雖然并沒有涉及國家秘密信息，但如果出現災難性問題也會給社會和企業帶來嚴重后果或巨大影響，例如國家級新聞網站一旦被黑客修改，會造成國家公信力的下降；各種網購服務系統一旦出現漏洞，會造成企業和個人隱私泄露，會引起社會和公眾的恐慌；國有企業的內部主要信息網出現癱瘓，會使企業工作停擺，給企業造成巨大的損失。而計算機房是各類服務器、安全設備、機柜等集中安放的重要場地，是信息的集散地，所以機房的物理安全是信息安全等級保護的基礎。

3信息安全等級保護中機房整改的主要關注點

機房的等保建設和整改應注意防水、防火、溫濕度控制、電力保障、電磁防護、靜電與雷電防護、物理訪問控制與防破壞等幾方面的因素。

3.1 防水

水是機房需要特別注意防范的事項，因為水是導體，一旦機房發生跑水、冒水、滴水、滲水或長期潮濕等環境損害，則會直接影響設備的安全運行，因此，機房不能建設在衛生間、地下室、食堂、洗衣房等上下水相對集中的地方，同時，也盡量不要建在建筑物頂層等容易漏水的地方。如果只能建在這樣的地方，則首先要做好防水工程。當然，除防水外，機房還應注意抗震、防風等其它自然災害因素。

3.2 防火

火災對于計算機房是非常嚴重的災害，機房起火的原因不外乎是用電設備發熱、配電或電源發熱、電力線路超載發熱、靜電打火等，但因為機房大多采取無人值守的自動運行方式，既使有視頻監控或煙霧報警器等監控設備，也還存在不小的死角，如果機房再存有易燃物或可燃物，將會變得非常危險。因此，機房建設要充分考慮用電設備、線纜的容量，使用符合機房安全要求的、經過國家認證的建筑裝飾裝修材料，還要在機房的關鍵部位安裝防火門，如配電室等，以隔離火源，防止火災蔓延；在消防方面，機房應配備火情自動檢測、自動報警系統和自動滅火系統。

3.3 溫濕度控制

一般機房的溫濕度自動調節設施主要是空調，空調是機房中的不可或缺的設備，空調的種類很多，但計算機房一定要使用機房專用空調，同時必須考慮有足夠的功率和數量的冗余，這不僅是因為機房專用空調可以同時控制溫度和濕度，還因為大多數機房往往因為設備長期運行，以及通風不暢，造成熱負荷變化幅度較大（通常有10%-20%的波動幅度），故機房空調是需要24小時、一年四季運行的，所以，機房專用空調即使在冬季，也能夠可靠運行。這里需要特別指出的是，空調的下水管路接口要處理牢固，并定期檢查，以免造成地板下跑水，不容易被發現。機房空調應每年檢修，包括清洗內外機、檢查制冷劑壓力、檢查管路接口等。另外，機房太濕或太干都不利于設備運行，機房還應相應準備加濕器和抽濕機。

3.4 電力保障

機房的電力供應是必不可少的一項，也是最容易出現問題的一項，為此，機房的電力線要有足夠的截面容量，線槽架設盡量不交叉，供電線路應上配置穩壓器及過壓保護裝置。為防止可能的電磁干擾，要使用金屬線槽，并做好線槽的接地。機房應具備提供短期的電力供應能力，機房UPS應能最低滿足1-2小時的備用電力供應。在電力負荷方面，應盡量使A、B、C三項電力負荷平衡，因為三相負荷不平衡會造成變壓器和供電線路損耗和故障。

3.5 電磁防護

機房的電磁干擾主要來自機房內部強電設備、電力電纜，以及機房外部的電磁干擾，如雷電感應、大功率電臺等，因此，應盡量采取使機房配電室、UPS電源、主干電力線纜遠離服務器、計算機網絡線纜和網絡設備；服務器機房避免臨街，同時，網絡主干線纜實現光纖化，并使用大樓的網絡專用豎井，以及紅黑電源隔離插座；有條件的企業，應把部分網絡的主要關鍵設備放置在屏蔽機柜中，主要磁介質要進行屏蔽保護。

3.6 靜電與雷電防護

機房的靜電防護與雷電防護是非常必要的，靜電或雷電感應可能會造成部件之間產生感應脈沖，甚至出現電火花，從而損害設備。機房所在建筑應有避雷裝置，機房要安裝防雷器，鋪設防靜電地板等。

在實踐中，一般大樓都安裝有接地端子，可以使用這些接地端子，但事先要測量接地端子的電阻值（安全工作接地，接地電阻不大于4 Ω，防雷保護接地電阻不大于10 Ω，如果采用聯合接地時，接地電阻不應大于1 Ω）。通過在機房布設網狀接地銅排，把機房地板、機柜、電源等全部連接在接地端子上，等電位聯結帶、接地線和等電位聯結導體的材料和最小截面積應符合國標。

3.7 物理訪問控制

機房的物理訪問控制主要指計算機房應按照功能、用途和重要性劃分不同的使用區域，各入口應加裝指紋、磁卡或密碼等電子門禁系統，及視頻監控，并在一定時期內保存相應的記錄，目的是要記錄相關人員進入指定區域，阻止其他人員進入機房區域，限制并監控來訪人員的活動區域。

3.8 防物理破壞

機房可能出現的物理破壞主要形式有盜竊、腐蝕、鼠咬等，防止物理破壞的主要設施包括在機房出入口安裝防盜門，機房內部安裝24小時視頻監控設備；重點區域安裝水、電、溫度、服務器等監測報警系統；機房地板下的管線要做防腐處理；為防止鼠類等嗑咬，主要網絡干線應使用金屬線槽或帶有金屬護皮的鎧裝線纜。

總之，做好信息安全等級保護，一定要把機房整改放在重中之重的位置。只有在機房整改中做好上述八項工作，才能使得信息安全等級保護在機房安全中得到切實的落地。

參考文獻

[1]公安部.關于信息安全等級保護工作的實施意見.2004.

[2]公安部.信息安全等級保護管理辦法（試行）.2007.

[3]國家保密局.涉及國家秘密的信息系統分級保護技術要求.BMB17-2006.

[4]國家保密局.涉及國家秘密的信息系統分級保護管理規范.BMB20-2007.

[5]計算機信息系統安全保護等級劃分標準.GB17859-1999.

[6]信息系統安全等級保護基本要求.GB/T 22239-2008.

[7]信息系統安全等級保護定級指南.GB/T 22240-2008.

[8]信息系統安全管理要求.GB/T 20269-2006.

[9]信息系統安全通用技術要求.GB/T 20271-2006.

[10]信息系統安全工程管理要求.GB/T 20282-2006.

[11]信息系統安全分析評估規范.GB/T 20984-2007.

[12]建筑物防雷設計規范.GB 50057-2010.

[13]建筑物電子信息系統防雷技術規范.GB 50343-2004.

[14]電子信息系統機房設計規范.GB 50174-2008.

endprint