等保2.0
安全物理环境
本公众号发表的原创文章,作为技术分享使用,均基于作者的主观判断,代表个人理解,并不保证一定正确,仅供大家参考。
电力供应
应在机房供电线路上配置稳压器和过电压防护设备
检查机房供电线路上是否有稳压器和电压防护设备。
稳压器是使输出电压稳定的设备。稳压器由调压电路、控制电路、及伺服电机等组成。当输入电压或负载变化时,控制电路进行取样、比较、放大,然后驱动伺服电机转动,使调压器碳刷的位置改变,通过自动调整线圈匝数比,从而保持输出电压的稳定。
过电压指峰值大于正常运行下最大稳态电压的相应峰值的任何电压。在工程上,它指一切可能对设备造成损害的危险电压。因此在工程中,一些虽然大于设备正常运行电压峰值但不足以危及设备正常工作的过电压被排除在外。
稳压器
过电压保护器
要检查上述设备的维护和维修记录,确保设备处于正常工作状态。
判断条件:
若机房内有配备稳压器和过电压防护设备,且处于正常工作状态,则该项符合;若机房内未配备稳压器和过电压防护设备,则该项不符合。
应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求
检查项:
1、应核查机房是否配备UPS等后备电源系统;
2、应核查UPS等后备电源系统是否能满足设备在断电情况下的正常运行要求。
UPS(Uninterrupted Power Supply),即不间断电源,是将蓄电池与主机相连接,通过主机逆变器等模块电路将直流电转换成市电的系统设备。主要用于给单台计算机、计算机网络系统或其它电力电子设备如电磁阀、压力变送器等提供稳定、不间断的电力供应。
当市电输入正常时,UPS将市电稳压后供应给负载使用,此时的UPS就是一台交流式电稳压器,同时它还向机内电池充电;当市电中断(事故停电)时, UPS 立即将电池的直流电能,通过逆变器切换转换的方法向负载继续供应220V交流电,使负载维持正常工作并保护负载软、硬件不受损坏。
UPS 设备通常对电压过高或电压过低都能提供保护。
UPS至少要由2路供电,能够维持机房重要设备至少2小时以上供电。
检查过程中查看是否有UPS,并查看其运行状态,询问管理员其供电能力,是否可以满足机房在断电情况下正常运行需求。
此外还要检查备用供电系统的运行记录。
判断条件:
若机房有配备UPS等备用电源系统,且其能力可以满足设备在断电情况下的正常运行,则该项满足;否则,该项不满足。
应设置冗余或并行的电力电缆线路为计算机系统供电
检查项:
1、访谈管理员机房供电是否来自于两个不同的变电站;
2、机房内是否设置了冗余或并行的电力电缆线路为计算机系统供电。
第一点访谈管理员即可,机房供电应来自于两个不同的变电站;
第二点简单来说就是机房不能只有一条线缆供电,要提供多路冗余供电。检查时可让机房管理员介绍一下机房的供电线路,最好可以提供线路图,观察是否有做到多路冗余供电。
此外机房还需要配备发电机,以备特殊情况长期断电时的应急,如果条件允许,准备两台发电机,以防发电机出现意外故障。计算机系统的供电要与其他供电分开。
发电机
判断条件:
若机房供电是由两个不同的发电厂,且机房电力线缆由多路冗余供电,则该项符合;否则,该项不符合。
电磁防护
电源线和通信线缆应隔离铺设,避免互相干扰
检查电源线和通信线缆是否隔离铺设
电源电缆输送的是交流电,电流比较大,会产生比较强的磁场,布线时如果将通信电缆跟电源电缆一起走线,会对通信电缆造成影响。
找到机房内的电源所在位置,观察周围是否有通信线缆。
电源强电缆,通信电缆属于弱电缆,强弱电缆要分离铺设。
通信电缆
电源与通信电缆分离铺设
电源
判断条件:
若机房内电源线与通信线缆分离铺设,则该项符合;
若机房内电源线与通信线缆未分离铺设,则该项不符合。
应对关键设备实施电磁屏蔽
检查是否对机房关键设备实施了电磁屏蔽。
如屏蔽机房、机柜等。
电磁波是电磁能量传播的主要方式,高频电路工作时,会向外辐射电磁波,对邻近的其它设备产生干扰。另一方面,空间的各种电磁波也会感应到电路中,对电路造成干扰。
电磁屏蔽是指某电子设备既不干扰其它设备,同时也不受其它设备的影响。电磁屏蔽在空间某个区域内,用以减弱由某些源引起的场强的措施。
电磁屏蔽的作用是切断电磁波的传播途径,从而消除干扰。在解决电磁干扰问题的诸多手段中,电磁屏蔽是最基本和有效的。
在检查的同时访谈管理员,机房内都有哪些关键设备,检查是否都做了电磁屏蔽。
判断条件:
若机房内关键设备均做了电磁屏蔽,则该项符合;若机房内设备未做电磁屏蔽,则该项不符合。
工控拓展要求
室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固,箱体或装置具有通风、散热、防盗、防雨和防火能力等
检查项:
1、通过访谈管理员了解有哪些室外控制设备,检查室外控制设备是否放置于防火材料制作的箱体(防火材料上述防火章节有介绍)并紧固。
2、检查箱体的通风、散热、防盗、防雨和防火能力。
判断条件:
以上要求均符合,则该项符合;若以上要求不符合,则该项不符合。
室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急处置和检修,保证设备正常运行
判断条件:
室外控制设备周围的环境若符合要求,则该项符合;
若无法避免,应检查设备是否有应急处理和检修记录,若均有则该项符合;否则该项不符合。
云计算拓展要求
应保证云计算基础设施位于中国境内
检查项:
1、访谈管理员确认云计算服务器、存储设备、网络设备、云管理平台、信息系统等运行业务和承载数据的软硬件是否位于中国境内;
2、核查云计算服务器、存储设备、网络设备、云管理平台、信息系统等运行业务和承载数据的软硬件是否位于中国境内。
判断条件:
确认这些设备是否位于中国境内,若位于中国境内,则该项符合;否则该项不符合。
移动互联网拓展要求
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰
移动互联网,就是将移动通信和互联网二者结合起来,成为一体。是指互联网的技术、平台、商业模式和应用与移动通信技术结合并实践的活动的总称。
无线接入是指从交换节点到用户终端之间,部分或全部采用了无线手段。典型的无线接入系统主要由控制器、操作维护中心、基站、固定用户单元和移动终端等几个部分组成。
检查项:
1、核查物理位置与无线信号的覆盖范围是否合理;
2、核查无线信号是否可以避免电磁干扰。
判断条件:
若符合以上要求,则该项符合;否则该项不符合。
大数据安全拓展要求
应保证承载大数据存储、处理和分析的设备机房位于中国境内
检查项:
访谈并核查大数据平台的存储节点、处理节点、分析节点和大数据管理平台等承载大数据业务和数据的软硬件是否位于中国境内。
大数据,是指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。
判断条件:
若该设备在中国境内,则该项符合;否则该项不符合。
物联网拓展要求
a)感知节点设备所处的物理环境应不对感知节点设备造成物理破坏,如挤压、强振动;
b) 感知节点设备在工作状态所处物理环境应能正确反映环境状态,如温湿度传感器不能安装在阳光直射区域;
c) 感知节点设备在工作状态所处物理环境应不对感知节点设备的正常工作造成影响,如强干扰、阻挡屏蔽等;
检查项:
核查感知节点设备所处物理环境的设计或验收文档,是否满足上述要求。
d)关键感知节点设备应具有可供长时间工作的电力供应(关键网关节点设备应具有持久稳定的电力供应能力);
检查项:
1、核查关键感知节点设备(关键网关节点设备)电力供应设计或验收问答是否标明电力供应要求,其中是否明确保障关键感知节点设备长时间工作的电力供应措施。
2、核查是否具有相关电力供应措施的运行维护记录,是否与电力供应设计一致。
参考文献:《GBT22239-2019信息安全技术网络安全等级保护基本要求》
声明:Forest Team拥有该文章的修改和解释权。如欲引用、转载或传播此文章,必须包括版权声明等全部内容。未经Forest Team允许,不得任意修改或删减文章内容,不得以任何方式将其用于商业目的。
微信号 : ForestTeam
原文始发于微信公众号(Th0r安全):等保2.0安全物理环境差距分析(三)
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论