等保2.0
安全物理环境
本公众号发表的原创文章,作为技术分享使用,均基于作者的主观判断,代表个人理解,并不保证一定正确,仅供大家参考。
物理位置选择
机房场地应选择在具有防震、防风和防雨等能力的建筑内
检查项:
1、应核查建筑物是否具有防震防风审批文档;
2、应核查是否存在雨水渗透;
3、应核查门窗是否存在因风导致的尘土严重;
4、应核查屋顶、墙体、门窗和地面是否存在破损开裂。
首先确认机房是独立一栋建筑,还是在某个建筑里。检查该建筑的设计或验收文档,确认是否有防震、防雨、防风的能力。若可以,则第一小条符合。一般来说我们常见的建筑均是可以满足要求的。对于某些特别的机房,如预制舱做的临时机房,则需认真检查或询问管理员机房的建造情况。
普通建筑物内的机房
预制舱机房
判断条件:
不论是标准的建筑还是预制舱型的机房都需要再进行2、3、4条的检查,若机房不存在雨水渗透、门窗无因风导致的尘土问题、屋顶地面等无破损情况则该项符合;
若存在其中一种或两种不符合要求,则该项部分符合;
若均不符合情况或机房不具有防震防风防雨的能力,则该项不符合。
机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施
这项检查就如字面意思,核查机房是否位于顶层或地下室。若未在,则该项符合;若在地下室或顶层,则需访谈管理员或检查机房是否有防水防潮措施。
常见的防水措施,比如在空调周围做挡水围堰、在房顶或地面做一层防水卷材、地下室的防潮则需在墙体地面屋顶做专业的防潮处理,该点则需详细询问管理员如何进行防潮的,最好可以查看相关文件。
判断条件:
若位于地下室或顶层,但做了合理的防水防潮措施,则该项符合;
若未做防水防潮措施,则该项不符合。
物理访问控制
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员
检查项:
1、应核查机房出入口是否配置电子门禁系统;
2、应核查电子门禁系统是否可以鉴别、记录出入人员的信息。
对于三级的要求来说,机房的访问控制必须具备电子门禁系统。
首先要查看机房有几个出入口,每个出入口均需要配置电子门禁系统。常见的电子门禁系统如下图:
接着再看检查项中提到的三个点:控制、鉴别和记录。
①鉴别,就是可以识别出入机房人员的身份,形式有很多种,如账号密码、指纹、人脸识别等等,需要具有可以识别人身份的能力。
②控制,即是可以阻止未知身份的人进入机房,可以由机房管理员来控制哪些身份可以进入机房,常见的如录入可以进入机房人员的指纹、人脸等。
③记录,对于出入机房的人员身份信息进行记录,并应保存记录信息,保存一月或一季度记录为合理。为了便于机房发生安全事件时,进行溯源查证。检查时,最好可以查看记录信息,或通过访谈机房管理员了解相关信息。
判断是否符合:
若机房的出入口均安装了电子门禁系统并具有鉴别、控制和记录的功能,则该项符合;
若机房出入口安装了电子门禁系统但功能不全面,不具备记录的功能或记录信息未保存,则该项部分符合;
若机房存在出入口未安装电子门禁系统,则该项不符合。(部分符合情况可根据现场情况自行判断。)
防盗窃和防破坏
应将设备或主要部件进行固定,并设置明显的不易除去的标识
检查项:
1、是否有将设备或主要部件进行固定,这里的设备或主要部件就是服务器、安全设备等,一般来说,这些设备都会固定于机柜中。若设备或主要部件均在机柜中固定,未发现机房内有散落杂乱的设备,则这部分符合。
2、需要对设备设置明显且不容易除去的标识,也是标记设备的信息,主要用于区分查找等,对于设备的管理很重要。若设备或主要部件有做明显且不易除去的标签,则该部分符合。
判断条件:
若这两点都符合要求,则该项符合;
若不符合要求,则该项不符合。
部分符合情况根据实际情况自行评估。
应将通信线缆铺设在隐蔽安全处
机房的设备较多,所以机房内的线缆必然是复杂繁多的,机房的走线应是有序的,且应设在隐蔽安全处,如桥架中。
不符合要求的走线情况
机房线缆过于杂乱不便于管理,线缆暴露在外也有一定的安全隐患,因此这种情况不符合此项检查。
符合要求的走线方式
判断条件:
若机房内线缆铺设在隐蔽安全处,则该项符合要求;若机房内线缆铺设不合理,则该项不符合。
应设置机房防盗报警系统或设置有专人值守的视频监控系统
防盗报警系统种类很多,但其原理基本相同,通过红外探头等设备感知到安全事件发生后,通过短信等方式进行报警,也可发生警铃。以此达成防盗的功能。
在检查时,首先要询问机房管理员使用了什么防盗报警系统(避免小众的报警系统未发现的情况),接着检查是否有开启该防盗报警系统,是否在于正常工作。若处于正常工作,可以达到防盗报警的功能,则该项符合。
防盗报警系统
对于视频监控系统要求则较多一些。主要有以下几点
1、监控系统应开启,处于正常工作状态;
2、需有专人值守;
3、监控范围应覆盖到机房所有重要位置;
4、监控视频需保存一定时间(一月左右)。
摄像头比较常见,就不展示了。在机房中可先初步观察摄像头的数量及其监控的范围,接着需要去监控室查看是否有专人值守,并调取视频查看监控视频的信息是否可以覆盖到机房的主要位置。此外再检查监控视频的保存时间。若以上均符合要求,则该项符合。
判断条件:
机房防盗报警系统与视频监控系统满足其一,则该项符合。
防雷击
应将各类机柜、设施和设备等通过接地系统安全接地
检查项:机柜、设施和设备是否做了接地处理。
机柜和设备等接地主要是为了防止设备漏电对机房内的人员产生安全隐患以及防止感应电压对设备造成危害保护设备。
一般来说机柜都会做接地处理确保安全,若线缆太复杂未找到接地线,可以询问管理员协助寻找。
判断条件:
所有的机柜设备有做接地处理的话,则该项符合;
若未做接地处理,则该项不符合。
应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等
检查项:
1、核查机房内是否有设置防感应雷措施
2、防雷装置是否通过验收或国家有关部门的技术检测
由于电子设备具有高密度、高速度、低电压、和低功耗等特性,这就使其对各种诸如雷电过电压、电力系统操作过电压、静电放电、电磁辐射等电磁干扰非常敏感。如果防护措施不力,随时随地可能遭受重大损失。
首先是防直击雷,机房所在建筑需有避雷器。
避雷器
对于机房内产生的感应雷,可以安装防雷器等设备。
防雷器
防雷在线检测系统
防雷措施通过详细询问管理员后进行核实检查,并确认防雷设备是否有通过国家有关部门的技术检测。可以请管理员提供相关材料。
判断条件:
若机房内有做合理的防雷措施,并且防雷设备符合要求,则该项符合;
若未做防雷措施或防雷设备不符合要求,则该项不符合。
参考文献:《GBT22239-2019信息安全技术网络安全等级保护基本要求》
声明:Forest Team拥有该文章的修改和解释权。如欲引用、转载或传播此文章,必须包括版权声明等全部内容。未经Forest Team允许,不得任意修改或删减文章内容,不得以任何方式将其用于商业目的。
微信号 : ForestTeam
原文始发于微信公众号(Th0r安全):等保2.0安全物理环境差距分析(一)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论