说明
该测评指导书结合我国等级保护现行法律法规及对应标准进行整理编制,可以用于测评机构开展等级测评、网络安全责任主体单位网络安全等级保护工作自查、公安网安部门及网信等部门监督检查用。
使用该系列指导书,需要需要具备网络安全理论基础和网络安全相关工作经验,熟悉TCP/IP网络协议,了解标识与鉴别、访问控制等安全技术及原理,熟悉主流服务器操作系统、路由器、交换机、防火墙等设备的操作与配置。
具体到本指导书,需要对机房选址、安防监控、物理学(供电、地磁防护、防静电、温湿度)、化学(防火)等基础知识有所了解。
安全通用要求的安全物理环境部分针对物理机房提出安全控制要求,如表所示,10个控制点,22个要求项。主要对象为物理环境、物理设备、物理设施等,涉及的安全控制点包括物理位置的选择、物理访问控制防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
|
序号 |
控制点 |
一级 |
二级 |
三级 |
四级 |
|
1 |
物理位置的选择 |
0 |
2 |
2 |
2 |
|
2 |
物理访问控制 |
1 |
1 |
1 |
2 |
|
3 |
防盗窃和防破坏 |
1 |
2 |
3 |
3 |
|
4 |
防雷击 |
1 |
1 |
2 |
2 |
|
5 |
防火 |
1 |
2 |
3 |
3 |
|
6 |
防水和防潮 |
1 |
2 |
3 |
3 |
|
7 |
防静电 |
0 |
1 |
2 |
2 |
|
8 |
温湿度控制 |
1 |
1 |
1 |
1 |
|
9 |
电力供应 |
1 |
2 |
3 |
4 |
|
10 |
电磁防护 |
0 |
1 |
2 |
2 |
编制参考依据
中华人民共和国网络安全法
网络安全等级保护基本要求(GB/T 22239-2019)
网络安全等级保护测评要求(GB/T 28448-2019)
网络安全等级保护基本要求-安全物理环境对应项
|
第三级等级保护基本要求 |
|
安全通用要求 |
|
安全物理环境 |
|
物理位置选择 |
|
本项要求包括: |
|
a)机房场地应选择在具有防震、防风和防雨等能力的建筑内; |
|
b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 |
|
物理访问控制 |
|
本项要求包括: |
|
a)机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 |
|
防盗窃和防破坏 |
|
本项要求包括: |
|
a)应将设备或主要部件进行固定,并设置明显的不易除去的标识; |
|
b)应将通信线缆铺设在隐蔽安全处; |
|
c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。 |
|
防雷击 |
|
本项要求包括: |
|
a)应将各类机柜、设施和设备等通过接地系统安全接地; |
|
b)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。 |
|
防火 |
|
本项要求包括: |
|
a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; |
|
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; |
|
防水和防潮 |
|
本项要求包括: |
|
a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; |
|
b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; |
|
c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 |
|
防静电 |
|
本项要求包括: |
|
a)应采用防静电地板或地面并采用必要的接地防静电措施; |
|
b)应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。 |
|
温湿度控制 |
|
本项要求包括: |
|
应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。 |
|
电力供应 |
|
本项要求包括: |
|
a)应在机房供电线路上配置稳压器和过电压防护设备; |
|
b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求; |
|
c)应设置冗余或并行的电力电缆线路为计算机系统供电。 |
|
电磁防护 |
|
本项要求包括: |
|
a)电源线和通信线缆应隔离铺设,避免互相干扰; |
|
b)应对关键设备实施电磁屏蔽。 |
网络安全等级保护测评要求-安全物理环境对应项
|
测评控制点 |
测评单元 |
测评指标 |
测评对象 |
测评实施 |
单元判定 |
|
物理环境选择 |
L3-PES1-01 |
机房场地应选择在具有防震、防风和防雨等能力的建筑内。 |
记录类文档和机房。 |
1) 应核查所在建筑物是否具有建筑物抗震设防审批文档; 2) 应核查机房是否不存在雨水渗漏; 3) 应核查门窗是否不存在因风导致的尘土严重; 4) 应核查屋顶﹑墙体﹑门窗和地面等是否不存在破损开裂。 |
如果1)~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。 |
|
L3-PES1-02 |
机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 |
机房。 |
应核查机房是否不位于所在建筑物的顶层或地下室,如果否,则核查机房是否采取了防水和防潮措施。 |
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。 |
|
|
物理访问控制 |
L3-PES1-03 |
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 |
机房电子门禁系统。 |
1) 应核查出入口是否配置电子门禁系统; 2) 应核查电子门禁系统是否可以鉴别、记录进入的人员信息。 |
如果 1)和 2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。 |
|
防盗窃和防破坏 |
L3-PES1-04 |
应将设备或主要部件进行固定,并设置明显的不易除去的标识。 |
机房设备或主要部件。 |
1) 应核查机房内设备或主要部件是否固定; 2) 应核查机房内设备或主要部件上是否设置了明显且不易除去的标识。 |
如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。 |
|
L3-PES1-05 |
应将通信线缆铺设在隐蔽安全处。 |
机房通信线缆。 |
应核查机房内通信线缆是否铺设在隐蔽安全处,如桥架中等。 |
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。 |
|
|
L3-PES1-06 |
应设置机房防盗报警系统或设置有专人值守的视频监控系统。 |
机房防盗报警系统或视频监控系统。 |
1) 应核查机房内是否配置防盗报警系统或专人值守的视频监控系统; 2) 应核查防盗报警系统或视频监控系统是否启用。 |
如果 1)和 2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。 |
|
|
防雷击 |
L3-PES1-07 |
应将各类机柜、设施和设备等通过接地系统安全接地。 |
机房。 |
应核查机房内机柜、设施和设备等是否进行接地处理。 |
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。 |
|
L3-PES1-08 |
应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。 |
机房防雷设施。 |
1) 应核查机房内是否设置防感应雷措施; 2) 应核查防雷装置是否通过验收或国家有关部门的技术检测。 |
如果1)和 2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。 |
|
|
防火 |
L3-PES1-09 |
机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。 |
机房防火设施。 |
1) 应核查机房内是否设置火灾自动消防系统; 2) 应核查火灾自动消防系统是否可以自动检测火情、自动报警并自动灭火。 |
如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。 |
|
L3-PES1-10 |
机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。 |
机房验收类文档。 |
应核查机房验收文档是否明确相关建筑材料的耐火等级。 |
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。 |
|
|
L3-PES1-11 |
应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。 |
机房管理员和机房。 |
1) 应访谈机房管理员是否进行了区域划分; 2) 应核查各区域间是否采取了防火措施进行隔离。 |
如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。 |
|
|
防水和防潮 |
L3-PES1-12 |
应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 |
机房。 |
应核查窗户、屋顶和墙壁是否采取了防雨水渗透的措施。 |
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。 |
|
L3-PES1-13 |
应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 |
机房。 |
1) 应核查机房内是否采取了防止水蒸气结露的措施; 2) 应核查机房内是否采取了排泄地下积水,防止地下积水渗透的措施。 |
如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。 |
|
|
L3-PES1-14 |
应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 |
机房防水检测设施。 |
1) 应核查机房内是否安装了对水敏感的检测装置; 2) 应核查防水检测和报警装置是否启用。 |
如果1)和 2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。 |
|
|
防静电 |
L3-PES1-15 |
应采用防静电地板或地面并采用必要的接地防静电措施。 |
机房。 |
1) 应核查机房内是否安装了防静电地板或地面; 2) 应核查机房内是否采用了接地防静电措施。 |
如果1)和 2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。 |
|
L3-PES1-16 |
应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。 |
机房。 |
应核查机房内是否配备了防静电设备。 |
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求。 |
|
|
温湿度控制 |
L3-PES1-17 |
应设置温、湿度自动询节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 |
机房温湿度调节设施。 |
1) 应核查机房内是否配备了专用空调; 2) 应核查机房内温湿度是否在设备运行所允许的范围之内。 |
如果 1)和 2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。 |
|
电力供应 |
L3-PES1-18 |
应在机房供电线路上配置稳压器和过电压防护设备。 |
机房供电设施。 |
应核查供电线路上是否配置了稳压器和过电压防护设备 |
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求 |
|
L3-PES1-19 |
应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。 |
机房备用供电设施。 |
1) 应核查是否配备UPS等后备电源系统; 2) 应核查UPS等后备电源系统是否满足设备在断电情况下的正常运行要求。 |
如果 1)和 2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求 |
|
|
L3-PES1-20 |
应设置冗余或并行的电力电缆线路为计算机系统供电。 |
机房。 |
应核查机房内是否设置了冗余或并行的电力电缆线路为计算机系统供电。 |
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。 |
|
|
电磁防护 |
L3-PES1-21 |
电源线和通信线缆应隔离铺设,避免互相干扰。 |
机房线缆。 |
应核查机房内电源线缆和通信线缆是否隔离铺设 |
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。 |
|
L3-PES1-22 |
应对关键设备实施电磁屏蔽。 |
机房关键设备。 |
应核查机房内是否为关键设备配备了电磁屏蔽装置。 |
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。 |
安全物理环境等级测评指导书(第三级)
|
序号 |
测评指标 |
操作步骤 |
判断标准 |
预期结果 |
|
|
1 |
物理位置选择 |
a)机房场地应选择在具有防震、防风和防雨等能力的建筑内; |
1) 应核查所在建筑物是否具有建筑物抗震设防审批文档; 2) 应核查是否不存在雨水渗漏; 3) 应核查门窗是否不存在因风导致的尘土严重; 4) 应核查屋顶、墙体、门窗和地面等是否不存在破损开裂。 |
如果1)~4)均为肯定,则符合本测评项指标要求;否则不符合或部分符合本测评项要求。 |
1) 有机房的设计/验收文档,包含对机房场地所在建筑具有防震、防风和防雨能力的说明; 2) 未发现机房屋顶、窗户等存在雨水渗漏情况; 3) 未发现门窗存在因风导致的尘土严重; 4) 未发现屋顶、墙体、门窗和地面等存在破损开裂情况。 |
|
b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 |
应核查机房是否不位于所在建筑物的顶层或地下室,如果否,则核查机房是否采取了防水和防潮措施。 |
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。 |
1) 机房出入口配置了电子门禁系统; 2) 电子门禁系统可以鉴别、记录进入的人员信息。 |
||
|
2 |
物理访问控制 |
a)机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 |
1) 应核查出入口是否配置电子门禁系统; 2) 应核查电子门禁系统是否可以鉴别、记录进入的人员信息。 |
如果1)~2)均为肯定,则符合本测评项指标要求;否则不符合或部分符合本测评项要求。 |
1)机房出入口配备电子门禁系统; 2)电子门禁系统工作正常,可对进出人员的进行身份鉴别和保存进出记录。 |
|
3 |
防盗窃和防破坏 |
a)应将设备或主要部件进行固定,并设置明显的不易除去的标识; |
1) 应核查机房内设备或主要部件是否固定; 2) 应核查机房内设备或主要部件上是否设置了明显且不易除去的标识。 |
如果1)~2)均为肯定,则符合本测评项指标要求;否则不符合或部分符合本测评项要求。 |
1) 机房内设备或主要部件都固定; 2) 机房内设备或主要部件上设置了明显且不易除去的标识。 |
|
b)应将通信线缆铺设在隐蔽安全处; |
查看机房内通信线缆是否铺设在隐蔽安全处,如桥架中等。 |
如果以上测评实施内容为肯定,则符合本测评项指标要求;否则不符合本测评项要求。 |
机房内通信线缆铺设在隐蔽安全处,如桥架中等。 |
||
|
c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。 |
1) 应核查机房内是否配置防盗报警系统或有专人值守的视频监控系统; 2) 应核查防盗报警系统或视频监控系统是否启用。 |
如果1)~2)均为肯定,则符合本测评项指标要求;否则不符合或部分符合本测评项要求。 |
1) 机房内配置防盗报警系统或有专人值守的视频监控系统; 2) 启用了防盗报警系统或视频监控系统。 |
||
|
4 |
防雷击 |
a)应将各类机柜、设施和设备等通过接地系统安全接地; |
查看机房内机柜、设施和设备等是否进行接地处理。 |
如果以上测评实施内容为肯定,则符合本测评项指标要求;否则不符合本测评项要求。 |
机房内所有机柜、设施和设备等均已采取了接地的控制措施。 |
|
b)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。 |
1) 应核查机房内是否设置防感应雷措施; 2) 应核查防雷装置是否通过验收或国家有关部门的技术检测。 |
如果1)~2)均为肯定,则符合本测评项指标要求;否则不符合或部分符合本测评项要求。 |
1) 机房内设置防感应雷措施,例如防雷保安器或过压保护装置等; 2) 防雷装置通过验收或国家有关部门的技术检测。 |
||
|
5 |
防火 |
a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; |
1) 应核查机房内是否设置火灾自动消防系统; 2) 应核查火灾自动消防系统是否可以自动检测火情、自动报警并自动灭火。 |
如果1)~2)均为肯定,则符合本测评项指标要求;否则不符合或部分符合本测评项要求。 |
1) 机房内设置了火灾自动消防系统; 2) 火灾自动消防系统有定期检查或保养,确保其在发生火情后可以自动检测火情、自动报警并自动灭火。 |
|
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; |
查看机房验收文档是否明确相关建筑材料的耐火性。 |
如果以上测评实施内容为肯定,则符合本测评项指标要求;否则不符合本测评项要求。 |
机房及相关的工作房间和辅助房采用具有耐火等级的建筑材料。 |
||
|
c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。 |
1) 应访谈机房管理员是否进行了区域划分; 2) 应核查各区域间是否采取了防火措施进行隔离。 |
如果1)~2)均为肯定,则符合本测评项指标要求;否则不符合或部分符合本测评项要求。 |
1) 机房进行了区域划分,如主机区、网络区、监控区等; 2) 各区域间采取了防火措施进行隔离。 |
||
|
6 |
防水和防潮 |
a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; |
应核查机房的窗户、屋顶和墙壁是否采取了防雨水渗透的措施。 |
如果以上测评实施内容为肯定,则符合本测评项指标要求;否则不符合本测评项要求。 |
机房的窗户、屋顶和墙壁是否采取了防雨水渗透的措施,且未出现过漏水、渗透和返潮现象。 |
|
b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; |
1) 应核查机房内是否采取了防止水蒸气结露的措施; 2) 应核查机房内是否采取了排泄地下积水,防止地下积水渗透的措施。 |
如果1)~2)均为肯定,则符合本测评项指标要求;否则不符合或部分符合本测评项要求。 |
1) 机房内采取了防止水蒸气结露的措施,如具有精密控制湿度的空调、除湿器等; 2) 机房内采取了排泄地下积水,防止地下积水渗透的措施,如空调、除湿器等设备周围设置挡水和排水设施。 |
||
|
c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 |
1) 应核查机房内是否安装了对水敏感的检测装置; 2) 应核查防水检测和报警装置是否启用。 |
如果1)~2)均为肯定,则符合本测评项指标要求;否则不符合或部分符合本测评项要求。 |
1) 机房内安装了对水敏感的检测装置,如漏水检测绳等; 2) 启用了防水检测和报警装置。 |
||
|
7 |
防静电 |
a)应采用防静电地板或地面并采用必要的接地防静电措施; |
1) 应核查机房内是否安装了防静电地板或地面; 2) 应核查机房内是否采用了接地防静电措施。 |
如果1)~2)均为肯定,则符合本测评项指标要求;否则不符合或部分符合本测评项要求。 |
1) 机房内安装了防静电地板或地面; 2) 机房内采用了接地防静电措施。 |
|
b)应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。 |
查看机房内是否配备了防静电设备。 |
如果以上测评实施内容为肯定,则符合本测评项指标要求;否则不符合本测评项要求。 |
机房配备了防静电设备。 |
||
|
8 |
温湿度控制 |
a)应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。 |
1) 应核查机房是否配备了专用空调; 2) 应核查机房内温湿度是否在设备运行所允许的范围之内。 |
如果1)~2)均为肯定,则符合本测评项指标要求;否则不符合或部分符合本测评项要求。 |
1) 机房是否配备了专用精密空调; 2) 精密空调设置的温湿度在机房内设备运行所允许的范围之内,比如温度设置在22~24℃,湿度范围是40%~55%。 |
|
9 |
电力供应 |
a)应在机房供电线路上配置稳压器和过电压防护设备; |
应核查机房供电线路上是否配置了稳压器和过电压防护设备。 |
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。 |
机房供电线路上配置了稳压器和过电压防护设备。 |
|
b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求; |
1) 应核查是否配备UPS等后备电源系统; 2) 应核查UPS等后备电源系统是否满足设备在断电情况下的正常运行要求。 |
如果1)~2)均为肯定,则符合本测评项指标要求;否则不符合或部分符合本测评项要求。 |
1) 机房配备了UPS等后备电源系统,且有定期维护记录; 2) UPS等后备电源系统满足设备在断电情况下的正常运行要求,即UPS容量能确保机房设备一段时间的正常运行。 |
||
|
c)应设置冗余或并行的电力电缆线路为计算机系统供电。 |
1) 应访谈机房管理员机房供电是否来自两个不同的变电站; 2) 应核查机房内是否设置了冗余或并行的电力电缆线路为计算机系统供电。 |
如果 1) ~ 2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。 |
1) 机房供电来自两个不同的变电站; 2) 机房内设置了冗余或并行的电力电缆线路为计算机系统供电。 |
||
|
10 |
电磁防护 |
a)电源线和通信线缆应隔离铺设,避免互相干扰; |
查看机房内电源线缆和通信线缆是否隔离铺设。 |
如果以上测评实施内容为肯定,则符合本测评项指标要求;否则不符合本测评项要求。 |
机房内电源线缆和通信线缆隔离铺设,如通过线槽或桥架进行了隔离。 |
|
b)应对关键设备实施电磁屏蔽。 |
查看机房内是否为关键设备配备了电磁屏蔽装置。 |
如果以上测评实施内容为肯定,则符合本测评项指标要求;否则不符合本测评项要求。 |
为关键设备采取了电磁屏蔽措施,如配备了屏蔽机柜或屏蔽机房,关键设备如加密机、重要的存储设备等。 |
网络安全等级保护基本要求(GB/T 22239-2019)
网络安全等级保护测评要求(GB/T 28448-2019)
原文始发于微信公众号(河南等级保护测评):安全物理环境测评指导书(通用安全-第三级)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论