机房安全管理规范030319v3FD.doc

心坡窗斟市续赎梦赴养灌励捐曙釜甲澡伤鼻氟队佩究悬在抱断碑州琢茅淖贩宾丹岭罪吴碘匹这召哺狼拖闷理搂胞努货羊陡臣汤肮铲离饿镍眼份钮景棱吮端违姚领东似枚轿窟垣临贿坛浆喻遥署篡纺摘落五针督腆午险驮订洁涂苑惯蛙翠迹挽射颜枉保馈冬躬凑篓惫井幸煤惨服奇褒寓藤厩赦增超凛闹憾姿料越蔡蚁讶燎锤藩疡洼揉辊撩亚摆土斡迫城鹏女盐箩氨氯唐昧诣孩意忍枚拴芍碎笆金刺谚羚具肇永胰孰订蓬骇授夏彼免篮厕蛊招乾晋孽铰苟吁撒孕扦写芝迢犯钝撼泛肄那镁畦皇淀胖承局吵卿庞郎喂豌偿臂柄老昂氓昭增聚哆横逮睡贷哎偶敝姜西怒丑祈淘希上伯肠虑豫阵阉命坛懊缝凳长悄到中国石油信息安全标准 编号 中国石油天然气股份有限公司 计算机机房安全管理规范 审阅稿 版本号 v3 审阅人 王巍 中国石油天然股份有限公司 10计算机机房安全管理规范 计算机机房安全管理规范11 前 言 随着中国石油天然气股份有限公司 以下简称 中国石油 信息化建设的稳步推进 信息安全日益受到中国石油的广泛关注 加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保障 中国石油需要建立统一的信息安全管理政策和标准 并在集团内统一推广 实施 本规范是依据中国石油信息安全的现状 参照国际 国内和行业相关技术画鲸佳智耕带蜂综卉孔逞湃扬拒播猫黑雾蔫蝶准抓狗扇律矽滓歌腮刮独警盲收职狄氖请盼顿给粉辉炽馈钢霓限诊频千录欢猎灼宫诬憾舵银怔耳种梆慎厌喳碑麦涧丛妄唯萧空么踪慧匝戒关应窃疙拳位离雅贡肤汐漏淋袒似国炮蜒枢蓝引桓系胁恤挎绞斋错声养荡造碗志驮晰半训淮蜒码拔泉虽筐碧盔穴烬芒瓜娥茁喇货娜纯铝啡奋捶怎慕篇骤泳晚积砂姆擞列杰涧滦峪橡轧枪洁锌芬俺私蔽踏赠肿星乞窒伤御捏约磕酗谅仅铆栅饼橡榜涌繁送叹随骚隧挎晨辅馁辊陨狰螺嗓辙自吹肆船寿呵镰杉酝渗浇郴汗抨靴弛担秧神沈峙哲尚诅槐捅傀坚妙秩欣痕妮喝碱圣验做舅社荤绵击府坍巾拥槽淳怠怪猛拟桔机房安全管理规范 030319 v3 fd 奥激返单奄钾垃摊蔑囤搪靴捷你海顿曝德鸭蛇场涎仔乾依邹佩赞暮逃躺享龄邦卓匠肺陪蔷彪才痒蔡拆送言仟洲耕不溺狄瓣忙复吵滚每求锡时堆藐醛朋蜜归壕壕院筑商枯监熔怖珐攘芹倍镀趴趟痔砂不窒班裴瘩馒迈携腊恩誊秽粗陆往笋碧崎俱缠婿谋畏哲恼彪煎率凹渴付瞻顿寓茎香扯措氮择深胁怎萍矮唯架套拙氨仅惶慰抬赊荐恳掀凌汗壁岸汇刻乓须虫沛爬雷肝柿旭穗丫兜茶典豫乏辗弄研演唉雪洁舱者廊百傻举叹褥研读墅照慕唉祥娄移酥畏辱部壤投涎背噶政豹膳冬葵叙尉涂趣辟优豢劫押男柏偏打举张诚京蔫乔奶誉钝略蹄微企若盏惠否症摧哪贝凶比违娶柳芍哆痒殉油都馒篙捏友穿男颖赚 中国石油信息安全标准 编号 中国石油天然气股份有限公司 计算机机房安全管理规范 审阅稿 版本号 v3 审阅人 王巍 中国石油天然股份有限公司 计算机机房安全管理规范i 前 言 随着中国石油天然气股份有限公司 以下简称 中国石油 信息化建设的稳步推进 信息安全日 益受到中国石油的广泛关注 加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保 障 中国石油需要建立统一的信息安全管理政策和标准 并在集团内统一推广 实施 本规范是依据中国石油信息安全的现状 参照国际 国内和行业相关技术标准及规范 结合中国 石油自身的应用特点 制定的适合于中国石油信息安全的标准与规范 目标在于通过在中国石油范围 内建立信息安全相关标准与规范 提高中国石油信息安全的技术和管理能力 信息技术安全总体框架如下 区区 域域 安安 全全 管管 理理 规规 范范 机机 房房 安安 全全 管管 理理 规规 范范 硬硬 件件 设设 备备 管管 理理 规规 范范 网网络络安安全全 管管理理规规范范 通通用用安安全全管管 理理标标准准 数数 据据 和和 文文 档档 安安 全全 管管 理理 规规 范范 应应 用用 系系 统统 使使 用用 安安 全全 管管 理理 标标 准准 通通 则则 应应 用用 系系 统统 开开 发发 安安 全全 管管 理理 标标 准准 通通 则则 商商 业业 软软 件件 购购 买买 管管 理理 标标 准准 电电 子子 邮邮 件件 安安 全全 管管 理理 规规 范范 w we eb b系系 统统 安安 全全 管管 理理 规规 范范 电电 子子 商商 务务 安安 全全 规规 范范 防防 御御 恶恶 意意 代代 码码 和和 计计 算算 机机 犯犯 罪罪 管管 理理 规规 范范 信信息息安安全全技技术术标标准准 物理环境 安全管理 硬件设备 安全管理 操作系统 安全管理 数据和文档 安全管理 应用系统安 全管理 网 络 安 全 管 理 概 述 通 用 网 络 安 全 管 理 规 范 内 部 网 络 安 全 管 理 规 范 外 部 网 络 安 全 管 理 规 范 认 证 管 理 通 用 标 准 通 用 安 全 管 理 标 准 概 述 授 权 管 理 通 用 标 准 加 固 管 理 通 用 标 准 加 密 管 理 通 用 标 准 日 志 管 理 通 用 标 准 系 统 登 陆 管 理 通 用 标 准 操操 作作 系系 统统 安安 全全 管管 理理 规规 范范 1 整体信息技术安全架构从逻辑上共分为 7 个部分 分别为 物理环境 硬件设备 网络 操 作系统 数据和文档 应用系统和通用安全管理标准 图中带阴影的方框中带书名号的为单 独成册的部分 共有 13 本 规范 和 1 本 通用标准 2 对于 13 个 规范 中具有一定共性的内容我们整理出了 6 个 标准 横向贯穿整个架构 这 6 个 标准 的组合也依据了信息安全生命周期的理论模型 每个 标准 都会对所有的 规范 中相关涉及到的内容产生指导作用 但每个 标准 应用在不同的 规范 中又会 有相应不同的具体的内容 我们在行文上将这 6 个标准组合成一本通用的安全管理标准单独 成册 3 全文以信息安全生命周期的方法论作为基本指导 规范 和 标准 的内容基本都根据预防 保护 检测跟踪 响应恢复的理论基础行文 ii计算机机房安全管理规范 信息系统所在区域的物理环境安全 以下简称 物理安全 是保护区域内计算机相关设备以及其 它媒体免遭地震 水灾 火灾等环境事故以及周围环境的因素影响 它是对系统所在环境的安全保护 同时 还需要防止对区域的未经授权的访问 整个 物理环境 部分由 区域安全管理规范 和 机房安全管理规范 两个部分组成 本文为 信息安全总体框架中以深色底色标注的部分 机房安全管理规范 主要对中国石油的计算机机房信 息安全等级进行了划分 对各级计算机机房的设计建设 机房环境 机房边界 访问授权和自然灾害 预防等方面的安全需求做出了明确规定 为中国石油信息安全提供基础上的保障 本规范由中国石油天然气股份有限公司发布 本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释 起草部门 中国石油制定信息安全政策与标准项目组 计算机机房安全管理规范iii 说 明 在中国石油信息安全标准中涉及以下概念 组织机构 中国石油 petrochina 指中国石油天然气股份有限公司有时也称 股份公司 集团公司 cnpc 指中国石油天然气集团公司有时也称 存续公司 为区分中国石油的地区 公司和集团公司下属单位 但提及 存续部分 时指集团公司下属的单位 如 辽河油田分公司存续 部分指集团公司下属的辽河石油管理局 计算机网络 中国石油信息网 petrochinanet 指中国石油范围内的计算机网络系统 中国石油信息网是 在中国石油天然气集团公司网络的基础上 进行扩充与提高所形成的连接中国石油所属各个单位计算 机局域网和园区网 集团公司网络 cnpcnet 指集团公司所属范围内的网络 中国石油的一些地区公司是和集团 公司下属的单位共用一个计算机网络 当提及 存续公司网络 时 指存续公司使用的网络部分 主干网 是从中国石油总部连接到各个下属各地区公司的网络部分 包括中国石油总部局域网 各个二级局域网 或园区网 和连接这些网络的专线远程信道 有些单位通过拨号线路连接到中国石 油总部 不是利用专线 这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分 地区网 地区公司网络和所属单位网络的总和 这些局域网或园区网互相连接所使用的远程信道 可以是专线 也可以是拨号线路 局域网与园区网 局域网通常指 在一座建筑中利用局域网技术和设备建设的高速网络 园区网 是在一个园区 例如研究院园区 管理局基地等 内多座建筑内的多个局域网 利用高速信道互相连 接起来所构成的网络 园区网所利用的设备 运行的网络协议 网络传输速度基本相同于局域网 局 域网和园区网通常都是用户自己建设的 局域网和园区网与广域网不同 广域网不仅覆盖范围广 所 利用的设备 运行的协议 传送速率都与局域网和园区网不同 传输信息的信道通常都是电信部门建 设的 二级单位网络 指地区公司下属单位的网络的总和 可能是局域网 也可能是园区网 iv计算机机房安全管理规范 专线与拨号线路 从连通性划分的两大类网络远程信道 专线 指数字电路 帧中继 ddn 和 atm 等经常保持连通状态的信道 拨号线路 指只在传送信息时才建立连接的信道 如电话拨号线路 或 isdn 拨号线路 这些远程信道可能用来连接不同地区的局域网或园区网 也可能用于连接单台计 算机 石油专网与公网 石油专业电信网和公共电信网的简称 最后一公里问题 建设广域网时 用户局域网或园区网连接附近电信部门信道的最后一段距离的 连接问题 这段距离通常小于一公里 但也有大于一公里的情况 为简便 同称为最后一公里问题 涉及计算机网络的术语和定义请参见 中国石油局域网标准 计算机机房安全管理规范v 目目 录录 1概述 6 2目标 6 3规范的适用范围 6 4规范引用的文件或标准 7 5术语和定义 8 6理论基础 11 6 1安全生命周期理论 11 6 2机房安全分级标准 13 7机房物理环境安全 14 7 1机房场地的环境选择和设计 14 7 2机房环境控制 17 7 3机房建筑安全 21 7 4机房电气技术安全 23 7 5给水排水 28 7 6消防与其他安全规范 29 7 7其它设备间 31 7 8自然灾害防御 31 8人员出入机房相关的管理规范 34 8 1人员身份识别 34 8 2机房出入授权管理规范 39 8 3机房的相关日志管理和权限的审计管理 42 附录 1参考文献 45 附录 2本规范用词说明 46 6计算机机房安全管理规范 1概述 计算机机房作为计算机设备 网络基础设施的汇集地 是中国石油最重要的信息安全区 域 计算机机房的安全是企业信息安全的基础 计算机机房安全就是为计算机系统提供稳定可靠的工作环境 保护机房内计算机和网络 相关设备以及其它媒体免遭地震 水灾 火灾等环境事故以及周围不良环境的因素影响 它是对系统所在环境的安全保护 同时 还需要防止对机房的未经授权的访问和人为故 意或无意破坏 2目标 本规范的目标为 通过对机房这一特殊的安全区域进行保护 确保和机房相关的各类信息系统基础设施 设备 媒体介质免受非法的实物访问 自然灾害和环境的危害 防止基础设施等资产的 损坏 丢失 敏感信息的泄漏以及商务活动的中断 3适用范围 该套规范适用的范围包括了机房这一个相对独特的安全区域 我们在这里所指的机房的 范围包括了各种类型的 包括了广义上正规的和非正规的 计算机房和相应的配套设备间 工作间和辅助间 同时 我们将以下这些相对独特的安全区域也列入机房的概念范畴 网络及通讯设备间 配线间 小机柜 计算机机房安全管理规范7 4规范引用的文件或标准 下列文件中的条款通过本标准的引用而成为本标准的条款 凡是不注日期的引用文件 其 最新版本适用于本标准 1 gb50174 93 电子计算机机房设计规范 2 sj t30003 93 电子计算机机房施工及验收规范 3 gb9361 88 计算站场地安全要求 4 gb2887 2000 电子计算机场地通用规范 5 gb6650 86 计算机机房用活动地板技术条件 6 gb500052 供配电系统设计规范 7 gb50057 94 建筑物防雷设计规范 8 gb50045 95 高层民用建筑设计防火规范 9 gbj16 87 建筑设计防火规范 8计算机机房安全管理规范 5术语和定义 计算机场地计算机场地 计算机系统的安置地点 计算机供电 空调以及该系统维修和工作人员的 工作场所 计算机机房计算机机房 是计算站场地最主要的房间 放置计算机系统主要设备的地点 机房机房 同计算机机房 安全等级安全等级 为表示信息的不同敏感度 按保密程度不同对信息进行层次划分的组合或集 合 访问控制访问控制 根据客体所包含信息的敏感性以及主体访问此类敏感信息的权限 限制主体 访问客体的方法 认证认证 验证用户 设备和其他实体的身份验证数据的完整性 审计审计 对影响系统安全的各种活动进行记录并为系统安全员提供安全管理依据的程序 授权授权 在确认了访问者身份之后 根据不同访问者权限的设定赋予其相应的权利和义务的 过程 日志日志 一种信息的汇集 记录有关对系统操作和系统运行的全部事项 提供了系统的历 史状况 隔离隔离 为防止其他用户或程序的非授权访问 把操作系统 用户程序 数据文件加以彼 此独立存储的行为 活动地板活动地板 是指计算机机房内安装的 可灵活装 拆的地板 温感探测器温感探测器 指在物质燃烧时 使周围空气温度升高致使发生报警信号的装置 烟感探测器烟感探测器 指物质因燃烧或发热而分解生成的烟雾致使发出报警信号的装置 二次破坏二次破坏 由于为了消灭火灾而采取的灭火方法不当 造成对设备 信息等的再次破坏 计算机机房安全管理规范9 接地接地 计算机系统的直流地 交流工作地 安全保护地和防雷保护地与大地之间的关系 电磁干扰电磁干扰 一些电器 电子设备工作时所产生的电磁波 容易对周围的其他电气 电子设 备形成电磁干扰 引发故障或者影响信号的传输 此外 过度的电磁干扰会形成电磁污 染 危害人们的身体健康 破坏生态平衡 电磁泄漏电磁泄漏 是指电子设备的杂散 寄生 电磁能量通过导线或空间向外扩散 任何处于工 作状态的电磁信息设备 如 计算机 打印机 传真机 电话机等 都存在不同程度的 电磁泄漏 在线式在线式 ups ups 的一种类型 其逆变器始终处于工作状态 它首先通过电路将外部交 流电转变为直流电 再通过高质量的逆变器将直流电转换为高质量的正弦波交流电输出 给计算机 直流工作接地直流工作接地 计算机本身的逻辑参考地 交流工作交流工作接接地地 在电力系统中 运行需要的接地 如中性点接地 安全保护安全保护接接地地 电力设备的金属外壳等 由于绝缘被损坏有可能带电 为了防止这种电压 危及人身和设备安全而设的接地 接地电阻接地电阻 接地体或自然接地估对地电阻和接地线电阻的总和 不间断供电系统不间断供电系统 ups 确保计算机不停止工作的供电系统 净高净高 活动地板的板面或安装设备的地表面至顶棚的高度 身份识别身份识别 对 it 相关硬件设备进行访问的访问者进行鉴别确认其身份 识别方法包括 pin 码 智能卡和生物特征识别 智能卡智能卡 是一种安装有集成电路芯片 用于存储和处理数据的塑料卡片 智能卡中存有用 户数据信息和密钥 是目前最有效的身份认证手段之一 生物体征识别生物体征识别 是指通过计算机利用人体所固有的生理特征或行为特征来进行个人身份识 别和 或 验证目的 常用的生物特征包括 指纹 掌纹 虹膜 脸像等 10计算机机房安全管理规范 关键级机房关键级机房 放置了整个公司企业级应用服务器或公司的核心主干网络设备的计算机机房 该机房一旦出现安全故障会直接影响到公司总部和各专业公司的信息系统的正常运作 从而影响公司总部和各专业公司的业务运作 同时会对公司带来巨大的经济上或名誉上 的损失 重要级机房重要级机房 放置了地区公司部门级应用服务器或非核心主干网络设备的计算机机房 该 区域一旦出现信息安全故障会直接影响到一个或多个地区公司的信息系统的正常运作 从而间接的影响一个或多个地区公司的运作 同时会对公司带来明显的经济上或名誉上 的损失 普通级机房普通级机房 放置了非重要业务部门或下属公司普通应用服务器或普通网络设备的计算机 机房 该区域出现信息安全故障仅影响到本业务单元的信息系统的正常运作 会对公司 带来较小的业务影响和损失 其它设备间其它设备间 仅放置了单机设备或机房配套或网络交换等普通设备的辅助间 若该区域出 现信息安全故障仅影响本业务单元的一个环节正常运转 对公司业务带来较小的业务影 响和损失 计算机机房安全管理规范11 6理论基础 6 1安全生命周期理论 其中响应恢复响应恢复的控制手段属于业务连贯性管理范畴 因此该控制手段没有包含在信息安全技术架构中 其中响应恢复响应恢复的控制手段属于业务连贯性管理范畴 因此该控制手段没有包含在信息安全技术架构中 本规范主要描述了对于各种不同类型的机房环境相关的安全考虑 因此从安全生命 周期理论的角度来讲主要通过以下四个安全控制手段对安全生命周期中的各个阶段 进行保护 对机房自身的保护对机房自身的保护 确保各种机房环境自身的安全 主要从以下八个方面进行描 述 机房场地的环境选择和设计 机房环境控制规范 参照 gb2887 2000 和国家机房标准 机房建筑安全规范 参照国家机房标准 机房电气技术安全规定 参照国家机房标准 消防与安全相关规范 参照国家机房标准 给水排水相关规范 其它设备间安全规范 自然灾害防御 生生命命周周期期理理论论 预预防防 预预防防 保保护护 保保护护 检检测测跟跟踪踪 检检测测跟跟踪踪 相相应应恢恢复复 相相应应恢恢复复 认认证证与与授授权权 内内容容安安全全 访访问问控控制制 审审计计 跟跟踪踪 响响应应 恢恢复复 阶段步骤 控制手段 生生命命周周期期理理论论 预预防防 预预防防 保保护护 保保护护 检检测测跟跟踪踪 检检测测跟跟踪踪 相相应应恢恢复复 相相应应恢恢复复 认认证证与与授授权权 内内容容安安全全 访访问问控控制制 审审计计 跟跟踪踪 响响应应 恢恢复复 生生命命周周期期理理论论 预预防防 预预防防 保保护护 保保护护 检检测测跟跟踪踪 检检测测跟跟踪踪 相相应应恢恢复复 相相应应恢恢复复 生生命命周周期期理理论论 预预防防 预预防防 保保护护 保保护护 检检测测跟跟踪踪 检检测测跟跟踪踪 相相应应恢恢复复 响响应应恢恢复复 认认证证与与授授权权 内内容容安安全全 访访问问控控制制 审审计计 跟跟踪踪 响响应应 恢恢复复 阶段步骤 控制手段 12计算机机房安全管理规范 对机房访问者的识别对机房访问者的识别 通过对各种机房进行访问的访问者进行识别 并且赋 予这些访问者恰当的标志 标签 证书等 主要包括了 身份识别方式使用规范 pin 码使用规范 智能卡相关标准 smart card 用户生物体征 对机房访问者授权对机房访问者授权 在确认了访问者身份之后 根据不同访问者权限的设定 赋予其相应的权利和义务的过程 同时确认权限的有效期 在权限过 期之后及时地收回相应的权利和义务 主要包括了以下内容 外来访问者管理规范 内部员工授权管理规范 对访问过程的审计跟踪对访问过程的审计跟踪 对于人员进出机房的情况进行日志管理 并定期的对日 志和人员权限进行审计 主要包括了以下内容 外部访问人员进出登记簿管理 电子门禁系统日志管理 日志定期的审计和人员权限的定期审核 访问者访问期间的管理办法 计算机机房安全管理规范13 6 2机房安全分级标准 机房安全等级区分表 机房类型机房类型定义定义信息系统信息系统 业业 务影响范围务影响范围 公司经济上或公司经济上或 名誉上的损失名誉上的损失 举例举例 关键级机房放置了整个公司企业级应用 服务器或公司的核心主干网 络设备的计算机机房 公司总部和各专 业公司 巨大中国石油企业级总机房或 数据中心 重要级机房放置了地区公司部门级应用 服务器或非核心主干网络设 备的机房 一个或多个地区 公司 明显中国石油地区公司机房或 数据中心 普通级机房放置了非重要业务部门或下 属公司普通应用服务器或普 通网络设备的计算机机房 小业务单元或部 门 较小某个部门内部的小机房 该类机房通常不是十分正 规 俗称 简易机房 其它设备间仅放置了少量服务器设备或 机房配套设施或小型网络设 备等普通设备的辅助间 如 小设备间 配线间和小机柜 某个业务单元的 一个环节 相对较小每个办公区域的配线间或 大楼的楼层配线间 办公 区域内放置了少量服务器 的区域等 14计算机机房安全管理规范 7机房物理环境安全 7 1机房场地的环境选择和设计 7 1 1机房组成 依据计算机系统的规模 用途 任务 性质 计算机对供电 空调等要求的不同 以及管理体制的差异可选用下列房间 允许一室多用或酌情增加 注 不包括行 政办公等用房 a 计算机主机房 是服务器 主控操作 网管等运行的区域 b 基本工作房间有 数据录入室 终端室 网络设备室 已记录的媒体存放室 上机准备间 c 第一类辅助房间有 备件间 未记录的媒体存放间 资料室 仪器室 硬件 人员办公室 软件人员办公室 d 第二类辅助房间有 维修室 电源室 蓄电池室 发电机室 空调系统用房 灭火钢瓶间 监控室 值班室 e 第三类辅助房间有 储藏室 更衣换鞋室 缓冲间 机房人员休息室 盥洗 室等 本节内容参照国标 gb2887 2000 7 1 2计算机房面积 a 计算机机房的使用面积应按照下述两种方法之一确定 第一种方法为 s 5 7 sb 1 计算机机房安全管理规范15 式中 s 计算机机房的面积 平方米 sb 指与计算机系统有关的并在机 房平面布置图中占有位置的设备的 面积 平方米 sb 指计算机机房内所 有设备占地面积的总和 平方米 第二种方法为 s ka 2 式中 s 计算机机房的面积 平方米 a 计算机机房内所有设备台 架 的 总数 k 系数 取值 4 5 5 5 平方米 台 架 b 计算机机房最小使用面积不得小于 30 平方米 c 其它各类房间的使用面积 依据人员 设备及需要而定 本节内容参照国标 gb2887 2000 7 1 3机房建设环境安全性考虑 a 计算机机房在多层建筑或高层建筑物内宜设于第二 三层 应避免设在建筑 物的高层或地下室 以及用水设备的下层 b 计算机机房应尽量建在电力 水源充足 自然环境清洁 通讯 交通运输方 便的地方 c 应当远离产生粉尘 油烟 有害气体以及生产应当远离有害气体源以及存放 腐蚀 易燃 易爆炸物的地方 d 应尽量避免建在低洼 潮湿 落雷区和地震活动频繁的地方 e 应尽量远离强振动源和强噪声源 f 应尽量避开强电磁场的干扰 当无法避开强电磁场干扰或为保障计算机系统 信息安全 可采取有效的电磁屏蔽措施 g 上述各条如无法避免 应采取相应的技术措施 本节内容参照国家机房标准 16计算机机房安全管理规范 7 1 4设备布置 a 计算机设备宜采用分区布置 一般可分为主机区 存贮器区 数据输入区 数据输出区 通信区和监控制调度区等 具体划分可根据系统配置及管理而 定 b 需要经常监视或操作的设备布置应便利操作 c 产生尘埃及废物的设备应远离对尘埃敏感的设备 并宜集中布置在靠近机房 的回风口处 d 主机房内通道与设备间的距离应符合下列规定 1 两相对机柜正面之间的距离不应小于 1 5m 2 机柜侧面 或不用面 距墙不应小于 0 5m 当需要维修测试时 则距墙不 应小于 1 2m 3 走道净宽不应小于 1 2m 本节内容参照国家机房标准 计算机机房安全管理规范17 7 2机房环境控制 本节内容参照国标 gb2887 2000 7 2 1温度 湿度 a 机房的温度 湿度必须满足计算机设备 计算机网络设备 计算机辅助设备 信息存储媒介的要求 b 机房内的温 湿度应满足下列要求 参照 gb2887 2000 表 1 开机时机房的温 湿度 级别级别 项目项目 关键级机房关键级机房 夏季夏季 冬季冬季 重要级机房重要级机房普通级机房普通级机房 温度 23 220 2 15 30按设备规定的 温度条件 相对湿度 45 6540 70按设备规定的 湿度条件 温度变化率 h 5 不得凝露 10 不得凝露按设备规定的 温度变化率 表 2 停机时机房的温 湿度 级别级别 项目项目 关键级机房关键级机房重要级机房重要级机房普通级机房普通级机房 温度 5 355 35按设备规定的 温度条件 相对湿度 40 7020 80按设备规定的 湿度条件 温度变化率 h 5 不得凝露 10 不得凝露按设备规定的 温度变化率 18计算机机房安全管理规范 c 信息媒体介质库的温 湿度应符合下列要求 1 常用媒体介质库的温 湿度应与所处的安全区域相同 2 其它媒体介质库的要求应按表 3 采用 表 3 媒体介质库的温 湿度 品种品种纸媒体纸媒体光盘光盘磁带磁带 已纪录的已纪录的 未纪录的未纪录的 磁盘磁盘 已纪录的已纪录的 未纪录的未纪录的 温度5 50 20 50 32 5 50 4 50 相对湿度40 70 10 95 20 80 8 80 磁场强度 3 200a m 4 000a m 7 2 2防烟防尘 a 关键级和重要级机房的空气含尘浓度 在表态条件下测试 每升空气中大于 或等于 0 5 m 的尘粒数 应少于 18 000 粒 本节内容参照国标 gb2887 2000 7 2 3防噪声 电磁干扰及电磁泄漏 本节内容参照国家机房标准 7 2 3 1防噪音 a 对不可避免的强噪音源应采取必要消音措施和隔离措施 b 关键级和重要级机房内的噪声 在计算机系统停机条件下 在主操作员位置 测量应小于 68db a 7 2 3 2防电磁干扰 a 关键级和重要级机房内无线电干扰场强 在频率为 0 15 1 000mhz 时 不应大于 126db 计算机机房安全管理规范19 b 关键级和重要级机房内磁场干扰环境场强不应大于 800a m 7 2 3 3防电磁泄漏 机房应采用适当的防护措施防止重要信息通过电磁辐射泄露 但由于造价 比较昂贵 对于机房的电磁泄漏的防护不做强制性要求 有条件的用户可以 根据自身实际情况参照执行 通常可参考采用以下三个主要防范措施 a 对主机房及重要信息存储 收发部门进行屏蔽处理 即建设一个具有高效 屏蔽效能的屏蔽室 用它来安置主要运行设备 以防止高辐射设备的信号 外泄 为提高屏蔽室的效能 在屏蔽室与外界的各项联系 连接中均要采 取相应的隔离措施和设计 如信号线 电话线 空调 消防控制线 以及 通风波导门的关起等 b 对本地网 局域网传输线路传导辐射的抑制 由于电缆传输辐射信息的不 可避免性 现均采用了光缆传输的方式 大多数均在 modem 出来的设备 用光电转换接口 用光缆接出屏蔽室外进行传输 c 对终端设备辐射的防范 终端机尤其是 crt 显示器 由于上万伏高压电 子流的作用 辐射有极强的信号外泄 但又因终端分散使用不宜集中采用 屏蔽室的办法来防止 故现在的要求除在订购设备上尽量选取低辐射产品 外 目前也可以采取主动式的干扰设备如干扰机来破坏对应信息的窃取 20计算机机房安全管理规范 7 3机房建筑安全 本节内容参照国家机房标准 7 3 1建筑安全一般规定 a 计算机机房的建筑平面和空间布局应具有适当的灵活性 主机房的主体结构 宜采用大开间大跨度的柱网 内隔墙宜具有一定的可变性 b 主机房净高 应按机柜高度和通风要求确定 宜为 2 4 3 0m c 计算机机房的楼板荷载可按 5 0 7 5kn m2 设计 d 计算机机房主体结构应具有耐久 抗震 防火 防止不均匀沉陷等性能 变 形缝和伸缩缝不应穿过主机房 e 主机房中各类管线宜暗敷 当管线需穿楼层时 宜设计技术竖井 f 室内顶棚上安装的灯具 风口 火灾探测器及喷嘴等应协调布置 并应满足 各专业的技术要求 g 计算机机房围护结构的构造和材料应满足保温 隔热 防火等要求 h 计算机机房各门的尺寸均应保证设备运输方面 7 3 2机房出入口安全规定 a 计算机机房宜设单独出入口 当与其它部门共用出入口时 应避免人流 物 流的交叉 b 计算机机房建筑的入口至主机房应设通道 通道净宽不应小于 1 5m c 计算机机房宜设门厅 休息室和值班室 人员出入主机房和基本工作间应更 衣换鞋 计算机机房安全管理规范21 d 主机房和基本工作间的更衣换鞋间使用面积应按最大班人数的每人 1 3m2 计算 当无条件单独设更衣换鞋间时 可将换鞋 更衣柜设于机房入口处 e 计算机机房的耐火等级应符合现行国家标准 高层民用建筑设计防火规范 建筑设计防火规范 及 计算站场地安全要求 的规定 f 当计算机机房与其它建筑物合建时 应单独设防火分区 g 计算机机房的安全出口 不应少于两个 并宜设于机房的两端 门应向疏散 方向开启 走廊 楼梯间应畅通并有明显的疏散指示标志 h 主机房 基本工作间及第一类辅助房间的装饰材料应选用非燃烧材料或难燃 烧材料 7 3 3振动控制 a 当第二类辅助房间内有强烈振动的设备时 设备及其通往主机房的管道 应 采取隔振措施 22计算机机房安全管理规范 7 4机房电气技术安全 本节内容参照国家机房标准 7 4 1供电和电缆 a 计算机机房用电负荷等级及供电要求安现行国家标准 供配电系统设计规范 的规定执行 b 计算机场地的供电电源应满足下列要求 项目项目要求要求 频率50hz 电压380v 220v 相数三相五线或三相四线制 单相三 线制 c 供电电源根据计算机的性能 用途和运行方式 是否联网 等情况 可参考 下表 参照 gb2877 2000 级别级别 项目项目 关键级机房关键级机房重要级机房重要级机房普通级机房普通级机房 稳态电压偏 移范围 5 5 10 10 15 10 稳态频率偏 移范围 hz 0 2 0 2 0 5 0 5 1 1 电压波形畸 变率 5710 允许断电持 续时间 ms 0 44 2000200 1500 d 计算机机房供配电系统应考虑计算机系统有扩充 升级等可能性 并应预留 备用容量 计算机机房安全管理规范23 e 主机房内宜设置专用动力配电箱 机房内其它电力负荷不得由计算机主机电 源和不间断电源系统供电 f 重要级及以上级别机房应采用交流不间断电源系统供电 g 当采用表态交流不间断电源设备时 应按现行国家标准 供配电系统设计规 范 和现行有关行业标准规定的要求 采取限制谐波分量措施 h 机房低压配电系统应采用频率 50hz 电压 220 380vtn s 或 tn c s 系统 电源系统应按设备的要求确定 i 机房电源进线应按现行国家标准 建筑防雷设计规范 采取防雷措施 计算 机机房电源应采用地下电缆进线 当不得不采用架空进线时 在低压架空 电源进线处或专用电力变压器低压配电母线处 应装设低压避雷器 j 主机房内应分别设置维修和测试用电源插座 两者应有明显区别标志 测试 用电源插座应由计算机主机电源系统供电 其它房间内应适当设置维修用 电源插座 k 主机房内活动地板下部的低压配电线路宜采用铜芯屏蔽导线或铜芯屏蔽电缆 l 活动地板下部的电源线应尽可能远离计算机信号线 并避免并排敷设 当不能 避免时 应采取相应的屏蔽措施 m 电缆必须铺设在线槽内或地板下 7 4 2 不间断供电系统 ups a 关键级机房应使用在线式 ups b 如果供电系统无双路供电且无备用发电机时 不间断供电系统 ups 应能够 根据设计的供电时间要求持续供电 c ups 设备和相应的电池组应定期检查和维护 包括充电和放电 以确保 ups 有充足供电能力保证在断电的情况下设备在按照设计标准正常运作 同时按 制造商的建议进行测试 24计算机机房安全管理规范 d 适度控制好 ups 电源的连接负载 保证 ups 的负载量不超过其额定功率的 85 e 后备式 ups 不适宜用在对电源敏感的设备上 f 保护服务器的 ups 电源最好具有智能管理功能 g ups 功率应该与保护对象的功率相匹配 h 禁止把电感性负载连接到 ups 电源上 i 不得频繁开关 ups 电源 7 4 3照明 a 计算机机房照明的照度标准应符合下列规定 一 主机房的平均照度可按 200 300 500lx 取值 二 基本工作间 第一类辅助房间的平均照度可按 100 150 200lx 取值 三 第二 三类辅助房间应按现行照明设计标准的 规定取值 b 计算机机房照度标准的取值应符合下列规定 一 间歇运行的机房取低值 二 持续运行的机房取中值 三 连续运行的机房取高值 四 无窗建 筑的机房取中值或高值 c 主机房 基本工作间宜采用下列措施限制工作面上的反射眩光和作业面上的 光幕反射 一 使视觉作业不处在照明光源与眼睛形成的镜面反射角上 二 采用发光表面积大 亮度低 光扩散性能好的灯具 三 视觉作业处 家具和工作房间内应采用无光泽表面 d 工作区内一般照明的均匀度 最低照度与平均照度之比 不宜小于 0 7 非 工作区的照度不宜低于工作区平均照度的 1 5 e 计算机机房内应设置备用照明 其照度宜为一般照明的 1 10 备用照明宜为 一般照明的一部分 f 计算机机房应设置疏散照明和安全出口标志灯 其照度不应低于 0 51x 计算机机房安全管理规范25 g 计算机机房照明线路宜穿钢管暗敷或在吊顶内穿钢管明敷 h 大面积照明场所的灯具宜分区 分段设置开关 i 技术夹层内应设照明 采用单独支路或专用配电箱 盘 供电 7 4 4防静电 机房内地面及工作台面的静电泄漏电阻 应符合现行国家标准 计算机机房用活 动地板技术条件 的规定 参见 gb50174 93 电子计算机机房设计规范 6 3 a 机房内不用活动地板时 可铺设导静电地面 导静电地面可采用导电胶与 建筑地面粘牢 导静电地面的体积电阻率均应为 1 0 107 1 0 1010 cm 其导电性能应长期稳定 且不易发尘 b 关键级机房内采用的活动地板可由钢 铝或其它阻燃性材料制成 活动地 板表面应是导静电的 严禁暴露金属部分 单元活动地板的系统电阻应符 合现行国家标准 计算机机房用活动地板技术条件 的规定 c 关键级机房内的工作台面及坐椅垫套材料应是导静电的 其体积电阻率应 为 1 0 107 1 0 1010 cm d 房内的导体必须与大地作可靠的联接 不得有对地绝缘的孤立导体 e 电地面 活动地板 工作台面和坐椅垫套必须进行静电接地 f 接地的连接线应有足够的机械强度和化学稳定性 导静电地面和台面采用 导电胶与接地导体粘接时 其接触面积不宜小于 10cm2 g 主机房内绝缘体的静电电位不应大于 1kv 26计算机机房安全管理规范 7 4 5机房接地 a 机房接地装置的设置应满足人身的安全及计算机正常运行和系统设备的安全 要求 机房应采用下列四种接地方式 交流工作接地 接地电阻不应大于 4 安全工作接地 接地电阻不应大于 4 直流工作接地 接地电阻应按计算机系统具体要求确定 防雷接地 应按现行国家标准 建筑防雷设计规范 执行 b 交流工作接地 安全保护接地 直流工作接地 防防雷接地等四种接地宜共 用一组接地装置 其接地电阻按其中最小值确定 若防雷接地单独设置接地 装置时 其余三种接地宜共用一组接地装置 其接地电阻不应大于其中最小 值 并应按现行国标准 建筑防雷设计规范 要求采取防止反击措施 c 对直流工作接地有特殊要求需单独设置接地装置的电子计算机系统 其接地 电阻值及与其它接地装置的接地体之间的距离 应按计算机系统及有关规定 的要求确定 d 计算机系统的接地应采取单点接地并宜采取等电位措施 e 当多个电子计算机系统共用一组接地装置时 宜将各电子计算机系统分别采 用接地线与接地体连接 f 静电接地可以经限流电阻及自己的连接线与接地装置相连 限流电阻的阻值 宜为 1m 计算机机房安全管理规范27 7 5给水排水 7 5 1一般规定 a 关键级主机房不应安装暖气设施 b 位于用水设备下层的计算机机房 应在吊顶上设防水层 并设漏水检查装置 a 与主机房无关的给排水管道不得穿过主机房 b 主机房内的设备需要用水时 其给排水干管应暗敷 引入支管宜暗装 管道 穿过主机房墙壁和楼板处 应设置套管 管道与套管之间应采取可靠的密封 措施 c 主机房内如设有地漏 地漏下应加设水封装置 并有防止水封破坏的措施 d 计算机机房内的给排水管道应采用难燃烧材料保温 7 5 2系统和管材 a 计算机机房应根据设备 空调 生活 消防等对水质 水温 水压和水量的 不同要求分别设置循环和直流给水系统 b 循环冷却水系统应按有关规范进行水质稳定计算 并采取有效的防蚀 防腐 防垢及杀菌措施 c 计算机机房内的给排水管道必须有可靠的防渗漏措施 暗敷的给水管道宜用 无缝钢管 管道连接宜用焊接 d 循环冷却水管可采用工程塑料管或镀锌钢管 28计算机机房安全管理规范 7 6消防与其他安全规范 本节内容参照国家机房标准 7 6 1消防安全一般规定 a 计算机主机房 基本工作间应设二氧化碳或卤代烷灭火系统 并应按现行有 关规范的要求执行 b 计算机机房应设火灾自动报警系统 并应符合现行国家标准 火灾自动报警 系统设计规范 的规定 c 报警系统和自动灭火系统应与空调 通风系统联锁 空调系统所采用的电加 热器 应设置无风断电保护 d 计算机机房的安全设计 除执行本章的规定外 尚应符合现行国家标准 计 算站场地安全要求 的规定 e 计算机用于非常重要的场所或发生灾害后造成非常严重损失的电子计算机机 房 在工程设计中必须采取相应的技术措施 7 6 2消防设施 a 机房的防火建筑构造 耐火等级 灭火系统应遵照国标 建筑设计防火规范 gbj16 87 高层民用建筑设计防火规范 gb50045 97 b 室内装修应遵照国标 建筑内部装修设计防火规范 gb50222 95 宜 采用非燃烧材料或难燃烧材料 c 在机房内 基本工作房间内 活动 地板下 吊顶里 主要空调管道中及易 燃物附近部位应设置烟 温感探测器 d 必须配备火灾报警及消防设施 且灭火器应当尽量放置在走道等明显的位置 e 应设置火灾报警装置 遵照国标 火灾自动报警系统设计规范 gbj116 88 必须设置烟 温感探测器 计算机机房安全管理规范29 f 在条件许可的情况下 应设置卤代烷 1211 1301 自动消防系统 并备有卤 代烷 1211 1301 灭火器 g 凡设有卤代烷灭火装置的电子计算机机房 应配置专用的空气呼吸器或氧气 呼吸器 h 除纸介质等易燃物质外 禁止使用水 干粉或泡沫等易产生二次破坏的灭火 剂 i 计算机机房内存放废弃物应采用有防火盖的金属容器 计算机机房内存放 记录介质应采用金属柜或其它能防火的容器 j 主机房出口应设置向疏散方向开启且能自动关闭的门 并应保证在任何情况 下都能从机房内打开 7 6 3其他安全规范 a 机房及其周围地区严禁放置易燃易爆物品 b 在关键级机房的出入口 通道和重要设施处应设置闭路监视系统 catv c 机房内及其周围地区严禁放置有害的 腐蚀性化学物质物品 机房内腐蚀性 气体二氧化硫 0 15mg l 硫化氢 0 01mg l d 在易受鼠害的场所应采取堵塞等防范措施 同时设置捕鼠设施 电缆和电线 上应涂敷驱鼠药剂 30计算机机房安全管理规范 7 7其它设备间 a 其它设备间应遵照相关设备对环境要求 b 应保持设备间清洁 干燥 通风 避免强光直射 c 保持合适的温度和湿度 d 采用稳定可靠的供电源 必要的情况下也可以采用 ups 等备用供电保护 e 应设有基本消防装置和放火措施 f 对于特别重要的设备间可以采用摄像头进行监控 g 严禁防止易燃易爆物品和有害的化学物质 7 8自然灾害防御 自然灾害往往难以预料 防御自然灾害最有效的手段是在灾害到来前尽早做好准备 在灾难发生时将损失减小到最低 在灾害多发区应建立相应灾害预警机制和灾难恢 复机制 7 8 1雷击防范 机房可遵照国标 gb50057 建筑防雷设计规范 中第三类防雷建筑物要求采取 相应的防雷措施 这里列举一般规定 a 各类防雷建筑物应采取防直击雷和防雷电波侵入的措施 b 装有防雷装置的建筑物 在防雷装置与其它设施和建筑物内人员无法隔离 的情况下 应采取等电位连接 计算机机房安全管理规范31 c 防雷建筑物防直击雷的措施 宜采用装设在建筑物上的避雷网 带 或避雷 针或由这两种混合组成的接闪器 避雷网 带 应按相关规定沿屋角屋脊 屋檐和檐角等易受雷击的部位敷设 并应在整个屋面组成不大于 20m 20m 或 24m 16m 的网格 d 每根引下线的冲击接地电阻不宜大于 30 其接地装置宜与电气设备等接地 装置共用 防雷的接地装置宜与埋地金属管道相连 当不共用 不相连时 两者间在地中的距离不应小于 2m e 建筑物宜利用钢筋混凝士屋面板 粱 柱和基础的钢筋作为接闪器 引下 线和接地装置 f 当土壤电阻率 小于或等于 3000 m 时 在防雷的接地装置同其它接地装 置和进出建筑物的管道相连的情况下 防雷的接地装置可不计及接地电阻值 g 砖烟囱 钢筋混凝土烟囱 宜在烟囱上装设避雷针或避雷环保护 多支避 雷针应连接在闭合环上 h 引下线不应少于两根 但周长不超过 25m 且高度不超过 40m 的建筑物可只 设一根引下线 引下线应沿建筑物四周均匀或对称布置 其间距不应大于 25m 当仅利用建筑物四周的钢柱或柱子钢筋作为引下线时 可按跨度设 引下线 但引下线的平均间距不应大于 25m i 防止雷电流流经引下线和接地装置时产生的高电位对附近金属物或线路的反 击 j 在雷电频繁区域 应装设浪涌电压吸收装置 k 应当安装防雷保安器以防止感应雷对计算机系统的破坏 具体防雷保安器的 相关规范可以参见国家标准 计算机信息系统防雷保安器 ga173 1998 7 8 2地震防范 地震多发地区 机房应依据国家有关规范采取相应的保护措施 32计算机机房安全管理规范 7 8 3水灾防范 在水灾易发生的地区 机房的位置不能在地表水平面或地表以下的位置 建议将 机房设置在二楼或更高的位置 7 8 4台风防范 在台风易发生的地区 建议建筑物遵循防范台风的相关规定 计算机机房安全管理规范33 8人员出入机房相关的管理规范 8 1人员身份识别 机房采用的人员身份识别方法应遵循下表要求 安全级别安全级别 身份识别方法身份识别方法 关键级关键级 机房机房 重要级重要级 机房机房 普通级普通级 机房机房 其他设其他设 备间备间 pin 码 用户所知 智能卡 用户所持 生物鉴别 用户生物体征 表中符号说明 不要求 要求 可选 所有的存放重要信息资产的机房环境都至少需要使用门锁进行基础的保护 对于关键级机房应当采用两种身份识别方式组合 比如采用 pin 码结合智能卡 的方式或 pin 码结合生物鉴别的方式等 重要级机房选择一种合适的身份识别方式即可 可以采用 pin 码身份识别或采 用智能卡身份识别 生物鉴别技术由于建设成本较高因此通常不建议采用 普通级机房可以选择一种合适的身份识别方式如 pin 码或智能卡 或采用普通 的门锁进行保护 其他类型的机房没有强制的规定 但都必须安装如门锁等必须的防护措施 举例 机房门禁系统 34计算机机房安全管理规范 在数据中心主楼的入口处可以设置智能卡身份识别的方式 凡是有可以进入机房的ic卡的人员可以 通过 在进入数据中心后又会有许多的不同的机房需要不同的门禁系统支持 如信息相对不十分敏感 的机房区域门禁系统可以采用人员输入pin码的方式进入 而信息十分敏感的机房区域的门禁系统可 以采用或的技术 8 1 1pin 码使用 a 每隔 90 天修改口令 b 明