|
精密剖析|三级系统等保密评之物理环境要求对比物理环境安全主要针对物理机房提出安全要求,本篇文章主要以等保三级系统为例,对比等保测评与密评要求的区别。 等保要求 一、物理位置选择 为机房选择安全的物理位置是等级保护安全物理环境要求的前提和基础。我们需要按照一般建筑物的要求进行机房场地选择,要求防污染避尘埃、有毒气体、腐蚀性气体、盐雾腐蚀等环境污染的区域,避开地震、水灾危害的区域,避免在建筑物的高层以及用水设备的下层或隔壁等。 安全要求 a)机房场地应选择在具有防震、防风和防雨等能力的建筑内; b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 要求解读 a)机房场地所在的建筑物要具有防震、防风和防雨等的能力; b)机房场地要避免设置在建筑物的顶层或地下室。如果因为某些原因无法避免时,设置在建筑物顶层或地下室的机房需要加强防水和防潮措施。 采取措施 1)建筑物设计时具备抗震设防功能; 2)机房采取防水和防潮措施,防治雨水渗漏; 3)如有可灵活开启的窗户做封闭、上锁等防护措施; 4)确保屋顶、墙体、门窗和地面等没有破损开裂的情况; 5)机房楼层选择时虑避免顶层或地下室。 二、物理访问控制 为防止非授权人员擅自进入机房,需要安装电子门禁系统控制人员进出机房的行为,保证机房内设备、存储,介质和线缆的安全。 安全要求 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 要求解读 为防止非授权人员进入机房,需要安装电子门禁系统对机房及机房内区域的出入人员实施访问控制,避免由于非授权人员的擅自进入,造成系统运行中断、设备丢失或损坏、数据被窃取或篡改,并可利用系统实现对人员进入情况的记录。 采取措施 1)机房出入口部署电子门禁系统; 2)保证电子门禁系统开启且正常运行; 3)电子门禁系统具备鉴别、记录进入的人员信息的能力。 三、防盗窃和防破坏 为防止盗窃、故意破坏等行为,需要对机房采取设备固定、安装防盗报警系统等有效措施,保证机房内设备、存储介质和线缆的安全。 安全要求 a)应将设备或主要部件进行固定,并设置明显的不易除去的标识; b)应将通信线缆铺设在隐蔽安全处; c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。 要求解读 a)对于安放在机房内用于保障系统正常运行的设备或主要部件需要进行固定,并设置明显的不易除去的标记用于识别; b)机房内通信线缆需要铺设在隐蔽安全处,防止线缆受损; c)机房需要安装防盗报警系统,或在安装视频监控系统的同时安排专人进行值守,防止盗窃和恶意破坏行为的发生。 采取措施 1)机房内设备或主要部件进行固定并粘贴明显且不易除去的标识; 2)机房内通信线缆铺设在隐蔽安全处; 3)配置防盗报警系统或专人值守的视频监控系统并保障系统开启且正常运行。 四、防雷击 为防止雷击产生的损害,需要对机房所在建筑物及其房内设施和设备采取接地、安装防雷装置等有效措施,保证机房的设备、存储介质和线缆的安全。 安全要求 a)应将各类机柜、设施和设备等通过接地系统安全接地; b)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。 要求解读 a)在机房内对机柜各类设施和设备采取接地措施,防止雷击对电子设备产生损害; b)在机房内安装防雷保安器或过压保护等装置,防止感应雷对电子设备产生损害。 采取措施 1)机房内机柜、设施和设备等进行接地处理; 2)机房内设置防感应雷措施且防雷装置通过验收或国家有关部门的技术检测。 五、防火 为防止火灾产生的损害,需要机房使用防火建筑材料,进行合理分区,并采取安装自动消防系统等有效措施,保证机房的设备,存储介质和线缆的安全。 安全要求 a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。 要求解读 a)机房内需要设置火灾自动消防系统,可在发生火灾时进行自动检测、报警和灭火, 如采用自动气体消防系统、自动喷淋消防系统等; b)机房内需要采用具有耐火等级的建筑材料,防止火灾的发生和火势蔓延; c)机房内需要进行区域划分并设置隔离防火措施,防止火灾发生后火势蔓延。 采取措施 1)机房内设置火灾自动消防系统,自动检测火情、自动报警并自动灭火,且火灾自动消防系统通过验收或国家有关部门的技术检测; 2)机房验收文档明确所用建筑材料的耐火等级; 3)机房进行区域划分,各区域间采取防火隔离措施。 六、防水和防潮 为防止渗水、漏水、水蒸气结露等产生的损害,需要对机房采取防渗漏、防积水、安装水敏感检测报警系统等有效措施,保证机房内设备、存储介质和线缆的安全。 安全要求 a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 要求解读 a)机房内需要采取防渗漏措施,防止窗户、屋顶和墙壁存在水渗透情况; b)机房内需要采取防结露和排水措施,防止水蒸气结露和地面产生积水; c)机房内需要布设对水敏感的检测装置,对渗水、漏水情况进行检测和报警。 采取措施 1)窗户、屋顶和墙壁采取防渗漏的措施; 2)机房采取防止水蒸气结露和排水的措施; 3)安装水敏感检测装置,核查防水检测和报警装置是否开启并正常运行。 七、防静电 为防止静电产生的损害,需要对机房采取安装防静电地板、配置防静电装置等有效措施,保证机房内设备、存储介质和线缆的安全。 安全要求 a)应采用防静电地板或地面并采用必要的接地防静电措施; b)应采取措施防上静电的产生,例如采用静电消除器、佩戴防静电手环等。 要求解读 a)机房内需要安装防静电地板或在地面采取必要的接地措施,防止静电的产生; b)机房内需要配备静电消除器、佩戴防静电手环等消除静电的设备。 采取措施 1)采用防静电接地措施,如安装防静电地板; 2)机房内配备静电消除设备。 八、湿温度控制 为防止温湿度变化产生的损害,需要安装温、湿度自动调节装置,保证机房内设备、存储介质和线缆的安全。 安全要求 应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 要求解读 机房内需要安装温、湿度自动调节装置,如空调、除湿机、通风机等,使机房内温、湿度的变化在适宜设备运行所允许的范围之内。通常机房内适宜的温度范围是18~27℃, 空气湿度范围是35~75%。 采取措施 机房内配备专用空调,保证温湿度在设备运行所允许的范围之内。 九、电力供应 为防止电力中断或电流变化产生的损害,需要采用铺设冗余或并行的电力电缆线路、安装稳压装置、防过载装置和备用供电装置等有效措施,保证机房内设备、存储介质和线缆的安全。 安全要求 a)应在机房供电线路上配置稳压器和过电压防护设备; b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求; c)应设置冗余或并行的电力电缆线路为计算机系统供电。 要求解读 a)机房供电线路上需要安装电流稳压器和电压过载保护装置,防止电力波动对电子设备造成损害; b)机房供电需要配备不间断电源(UPS)或备用供电系统,如备用发电机或使用第三方提供的备用供电服务,防止电力中断对设备运转和系统运行造成损害; c)机房供电需要使用冗余或并行的电力电缆线路,防止电力中断对设备运转和系统运行造成损害。 采取措施 1)供电线路上配置稳压器和过电压防护设备; 2)配备不间断电源(UPS)等备用供电系统; 3)设置冗余或并行的电力电缆线路为计算机系统供电 十、电磁防护 为防止电磁辐射和干扰产生的损害,需要采取电源线和通信线缆隔离铺设、安装电磁屏蔽装置等有效措施,保证机房内设备、存储介质和线缆的安全。 安全要求 a)电源线和通信线缆应隔离铺设,避免互相干扰; b)应对关键设备实施电磁屏蔽。 要求解读 a)机房内电源线和通信线缆需要隔离铺设在不同的管道或桥架内,防止电磁辐射和干扰对设备运转和系统运行产生的影响; b)机房内关键设备需要安放在电磁屏蔽机柜内或电磁屏蔽区域内,防止电磁辐射和干扰对设备运转和系统运行产生的影响。 采取措施 1)机房内电源线缆和通信线缆隔离铺设。 2)机房内为关键设备配备电磁屏蔽装置,如屏蔽机房或屏蔽机柜。 密评要求 一、身份鉴别 安全要求 宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性。 要求解读 对于机房电子门禁系统,使用密码技术的真实性功能来保护物理访问控制身份鉴别信息,保证重要区域进入人员身份的真实性。 采取措施 采用符合国密标准并取得商用密码产品型号证书的门禁系统,并启用核准的密码算法进行门禁身份鉴别。 二、电子门禁记录数据存储完整性 安全要求 宜采用密码技术保证电子门禁系统进出记录数据的存储完整性。 要求解读 使用密码技术的完整性功能来保证电子门禁系统进出记录的完整性。 采取措施 使用符合国家和行业标准的密码技术保证电子门禁系统进出记录的完整性,如使用智能密码钥匙或服务器密码机采用签名或MAC技术保证记录信息的完整性;或者直接启用具有相关功能且通过国家密码部门核准的电子门禁系统。 三、视频监控记录数据存储完整性 安全要求 宜采用密码技术保证视频监控音像记录数据的存储完整性。 要求解读 使用密码技术的完整性功能来保证视频监控音像记录的完整性。 采取措施 与服务器密码机对接开发保证视频监控音像记录的完整性或部署国密视频监控启用具有相关功能。 四、密码服务与密码产品 安全要求 a)以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证,应经商用密码认证机构认证合格; b)以上采用的密码产品,应达到GB/T 37092二级及以上要求。 总结 在物理环境要求中,等级保护的要求是为了建一个安全的房子,而密评则是给这个安全的房子加上一个安全的密码锁。等级保护是对机房整体的安全要求,对机房的选址、进出控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、湿温度控制、电力供应、电磁防护等方面提出了相关的安全要求;而密评是对电子门禁系统和视频监控系统的密码保护提出了要求,要求采用合规密码技术保护身份鉴别信息、电子门禁记录数据、视频监控记录数据等。 |