關于提高企業計算機機房數據安全性研究

鐘遠紅

【摘要】 隨著信息化的不斷深入發展，加之近年來“互聯網+”的新起，掀起了一股“大數據”、“云”的浪潮，將信息化的發展推向了一個新的高度。筆者根據自身工作崗位，結合工作環境，就如何保障機房內信息設備處于良好工作環境，使信息系統穩定可靠地運行，降低不容忽視的信息安全問題進行了研究。

【關鍵詞】 機房 物理安全 安全性措施

一、前言

企業常有“通訊”和“數據”兩套重要設備機房，通訊機房主要是保障企業網絡的正常運作，包含有交換機、UPS、下級交換機的光纖鏈路設備、外延供應商網絡數據信號接入等設備；數據機房主要有服務器和存儲設備，包含有企業消費系統、生產執行系統、視頻監控系統、門禁系統、考勤系統、IPX語音通信系統、虛擬機等服務器，保障企業的業務流、生產流數據的正常運作與安全存儲。筆者所在企業是化工企業，有不少涉及保密的技術及數據，而這些數據都是保存在機房內，因此，提高機房數據的安全性成為了一項重中之重的項目工作。

二、機房設計規劃說明

1、物理位置的選擇。計算機機房應遠離強電磁場、強震源、強噪聲源和強污染源，設在具有防震、防風和防雨等能力的建筑內，且避免在高層或地下室以及用水設備旁邊。外窗應為雙層密封窗，盡量避免東西向外窗。機房內樓板承重量應滿足要求。故，中心機房最佳選址為整座辦公大樓的中間樓層北門。

2、機房區域劃分與物理訪問控制。1）面積要足夠，并考慮擴展的需求。為便于空調控制、灰塵控制、噪音控制和機房管理，專用空調機區域的空間劃分不宜過多，與下送風空調區相對應的下一層頂板要進行隔熱處理。機房內往往采用既輕又薄，還能隔音、隔熱的隔斷墻，區域間是物理隔離裝置。分三個區域最佳：主機房、監控操作室和電源空調室。2）外門窗多采用防火防盜門窗，一般采用無框大玻璃門，既保證機房的安全，又保證機房內有通透、明亮的效果。主機房出入口設置門禁系統，配置雙向刷卡通行，實現主機房授權人員進入有時間記錄。開門方式采用IC卡，確保系統的安全性。

3、網絡布線。企業主干線及各樓層、各部門（裝置）樓層之間應采用多摸光纖，并留有適當冗余。光纖到機器端使用屏蔽雙絞線，線路之間避免交叉纏繞，并與強電保持30CM以上距離，以減少相互干擾，新增網點到交換機的距離盡可能短，以減少信號衰減；平時做好光纖跳線備份，以備急用。

4、網絡設備。做好機房安全設施的同時，中心交換機要采用集群技術，做好應急措施。（隨著計算機硬件設備的可靠性和容錯能力的提高，因為硬件故障導致系統癱瘓、數據丟失的概率也在下降，但并非為零。服務器硬件出現故障，網絡交換設備遭雷擊的情況也時有發生。）

5、服務器。采用雙機熱備份的方式實現系統集群，提高系統可用性。服務器以主從或互備方式工作，通過心跳線偵查另一臺服務器的工作情況，一旦某臺機器發生故障，另外一臺立即自動接替工作，變成工作主機，平時某臺機器需要重啟時，管理員可以在節點間任意切換，整個過程只需要幾秒鐘，將系統中斷的影響降到最低。此外，還可以采用第三臺服務器做集群的備份服務器。在制度上，建立服務器管理制度及防護措施，如：安全審計、入侵檢測（IDS）、放病毒、定期檢查運行情況、定期重啟等。

6、數據存儲設備。采用本地磁盤冗余陣列（RAID 5 方式）、異地備份、磁帶盒磁盤等多備份策略，一旦某一設備出現故障立即發出警告，并停止對其他設備的使用

7、邊界安全。采用內外網物理斷開的方式，徹底消滅外網黑客及病毒的入侵。內外網需要交換信息時，用U盤或移動硬盤作為中介，連接內外前先對移動存儲設備進行病毒查殺。對于內網的新軟件，先在單獨組建的測試子網絡內運行，時機成熟后再用于整個內網。

8、操作系統。操作系統的主要風險在于系統漏洞和文件病毒等。我們需要對賬號、用戶權限、網絡訪問及文件訪問等實行控制和管理，定期做好監視、審計和時間日志記錄和分析，一方面減少各類違規訪問，另一方面通過系統日志記下來的警告和報錯信息，很容易發現相關問題如系統瓶頸等的癥結所在。通過修改注冊表，屏蔽掉客戶端操作系統上桌面無關內容，并限制訪問相關資源。及時下載和打好系統補丁，盡可能關閉不需要的端口，以彌補系統漏洞帶來的各類隱患，如各類蠕蟲病毒的入侵。對各類工作站和服務器的CMOS設置密碼，取消不必要的光驅，屏蔽USB接口，以防止外來光盤和U盤的使用可能帶來的外來病毒。

9、數據庫。數據庫安全包括用戶安全、數據保密和數據安全、事物管理和故障恢復、審計和追蹤、入侵檢測和防范等方面。為數據庫選擇合適的鑒別方式、口令交換周期和鑒別次數，加強角色、權限管理；歸于關鍵數據，使用適當算法進行加密存儲并分布于多臺計算機。通過作業管理實現本地備份和異地備份、日備份和周備份、全量備份和增量備份，并轉入磁帶存儲；對用戶操作進行審計并記錄日志。

10、數據存儲安全。數據存儲安全指在數據保存上確保完整、可靠和有效調用，一是存儲設備自身的可靠性和可用性（設備安全），二是保存在存儲設備上數據的邏輯安全（應用安全）。在設備安全方面，應采用RAID5磁盤冗余陣列存儲，保證部分存儲介質壞時數據不丟失。在應用安全方面，通過嚴格的備份策略和流程對數據歷史進行周期性保存。備份作業時間一般選擇在夜間或休息日，為確保備份的安全可靠，先備份出一份最新數據，確定備份成功后再刪除上次備份數據，否則，不刪除上次備份，從而將損失降到最低。平時，利用異地備份的數據在單機上進行災難恢復模擬試驗，增強對突發事件處置能力。

三、提高機房數據安全性措施

1、內部出入口處要設置應急照明及安全出口指示。

2、在兩個防火分區之間的各線纜要做防火泥防火封堵，將線纜穿孔間隙用防火泥包起來，避免一個分區內的線纜著火時，火勢延管線竄走到另一個分區。

3、設置環境監控系統，主要實現對主機房空調、新風、溫濕度、防水、配電系統、UPS、圖像、門禁等系統實現統一監控，并實現異常情況報警，為機房高效的管理和安全運營提供有力的保證。另外，要防止老鼠等小動物進入機房，對機房的門窗要安裝防盜設施。溫度：冬季為20+2℃，夏季為23+2℃，溫度變化率≤5℃/h。濕度范圍為35—80%，其中最佳濕度范圍為45—60%。

4、設置獨立的閉路監控系統監控主設備運行區及機房出入口；主機房內所有設備都必須與機柜固定；所有強弱電電纜都采用橋架地下敷設；對介質分類標識，存儲在介質庫或檔案室中。

5、防雷工作主要是防感應雷引起的雷電浪涌和其他原因引起的過電壓。計算機機房要求采用三級防雷設計，包括機房電源防雷系統，弱電信息防雷系統和等電位接地。

6、設置火災自動消防系統，配置獨立感應裝置（感煙、感溫）和獨立的報警主機（按照分區選擇），能夠自動檢測火情、自動報警，并自動滅火，滅火系統應采用惰性氣體自動滅火系統，常用氣體為七氟丙烷和SDE兩種氣體，并設置防誤操作啟停按鈕和指示燈，系統可自動切斷機房電源。

7、采取區域隔離防火措施，將重要設備與其他設備隔離開。機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料。

8、計算機機房的建筑外墻要作防水處理，機房內頂面要作保溫處理，防止產生冷凝水。精密空調下要設置防水堤，窗戶要做好密封、防水。水管安裝，不得穿過機房屋頂和活動地板下，加緊機房設置防漏水檢測系統，重點監測空調下、排水管旁的防漏情況，設置自動報警系統，并入環境場地監控系統。（水患影響機房設備的正常運行甚至造成機房運行癱瘓。）

9、地板應采用具有可拆卸特點的防靜電活動地板，為方便所有設備的導線電纜的連接、管道的連接及檢修更換。

10、設置并建立備用供電系統。設置兩路進線，并設置UPS系統。此外，機房內的電器應選擇優質電纜、線槽和插座。插座應分為市電、UPS及主要設備專用的防水插座，并注明醒目、易區別的標識。機房供配電系統是機房安全運行動力保證，機房往往采用機房專用配電柜來規范機房供配電系統，保證機房供電系統的安全、合理。

11、采用接地方式.磁場對存儲設備的影響較大，它可能使磁盤驅動器的動作失靈、引起內存信息丟失、數據處理和顯示混亂，甚至會毀掉磁盤上存儲的數據。另外，較強的磁場也會是使顯示器被磁化，引起顯示器顏色不正常。

參 考 文 獻

[1]gb9361，計算機場地安全要求[s]；

[2] 黃虹 基于等級保護的網絡物理安全建設 數字化企業網；

[3] 項益君 基于等級保護要求的機房安全 （《電腦知識與技術》2011年17期）；