等保2.0标准个人解读(五):安全物理环境 – 作者:宇宸de研究室

等保2.0标准个人解读(一):新坑开放

等保2.0标准个人解读(二):安全通信网络

等保2.0标准个人解读(三):安全区域边界

等保2.0标准个人解读(四):安全计算环境

将物理安全控制项放在最后,主要原因有两个方面。第一,上云已成趋势,而云服务商的机房差不多都是或者接近四级系统的要求,那么对于这部分企业,物理安全不是他们需要考虑的问题。第二,自建云平台,通常这种大型云IDC机房的要求都是A类标准,必须要符合等保标准,而且还要高于其要求。所以说,物理安全的要求对于一般客户会越来越模糊。

从等保2.0标准的要求项来看,和旧标准基本没有区别(只有细微变化),可以完全参照等保1.0来做,这里我会结合等保1.0和等保2.0的要求,对物理安全进行解读,不同于之前章节,还会对等保1.0和等保2.0要求项的变化做一个说明。结构上以控制点为主,分别说明(没特殊说明的即代表没有变化)。

本章内容参考的标准包括:GB/T 2887-2011《计算机场地通用规范》、GB 50174-2008《电子信息系统机房设计规范》、GB 50057-2010《建筑物防雷设计规范》、GB 50343-2012《建筑物电子信息系统防雷技术规范》、GBT 29245-2012 《信息安全技术 政府部门信息安全管理基本要求》。

物理安全

1 物理位置选择

a) 房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;

b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。

这里要求的是机房的防震、防风和防雨,其实是对建筑物的要求,对于B、C级机房要求抗震设防标准要符合当地抗震设防标准,A级机房要高于当地抗震设防标准,下表为场地楼板荷重标准。

image001.png

图1.5-1 场地楼板荷重要求

A级机房抗震不能低于乙类,B级不能低于丙类,C级不宜低于丙类抗震设防。

至于机房的选择,要求不能设于地下室,也不能设在顶层,不能靠近建筑边缘,标准中建议设置在建筑的中心和近中心位置。 对于建筑物的选择,可参考下表(补充一点,机房所在地理位置不能处于地震带)

image002.png

图1.5-2 机房位置选择要求

此外,机房内外,包括隔壁间不能有用水房间(如茶水间、厕所、水房等)。关于距离机场为什么要不小于8公里,有人问到过,经过查询航空相关的要求,原因如下: 中国国内具体高空航路宽度为20公里,左右两侧各10公里;下降到走廊进场落地时的走廊宽度是10公里,左右各5公里;最小航路宽度不低于8公里。

2 物理访问控制

等保2.0:(4条简化为1条)

机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。

等保1.0:

a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;

b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;

c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;

d) 重要区域应配置电子门禁系统, 控制、 鉴别和记录进入的人员。

访问控制的理解就比较容易,而且大多数企业也都做到了,这里不再做过多说明。这里扩展解释一下机房区域划分的要求细节。

首先是机房面积的设置,国标是有计算公式的,如下

当电子信息设备已确定规格时,可按下式计算:

A = K∑S

A ― 电子信息系统主机房使用面积(㎡);

K ― 系数,取值为 5~7;

S ― 电子设备的投影面积(㎡)。

当电子信息设备尚未确定规格时,可按下式计算: 

A = KN

K ― 单台设备占用面积,可取 3.5-5.5(㎡/台);

N—计算机主机房内所有设备的总台数。

辅助区的面积宜为主机房面积的0.2~1倍;用户工作室可按每人3.5-4㎡计算。硬件及软件人员办公室等有人长期工作的房间,可按每人 5~7 ㎡计算。

此外对于工作区、主机房、辅助区、支持区和行政管理区(如有,此外还有的机房会有保密设备区域)要进行彼此隔离,重要区域要有单独的门禁系统。

3 防盗窃和防破坏

等保2.0:(6条简化为3条)

a) 应将设备或主要部件进行固定,并设置明显的不易除去的标识;

b) 应将通信线缆铺设在隐蔽安全处;

c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统。

等保1.0:

a) 应将主要设备放置在机房内;

b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;

c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;

d) 应对介质分类标识,存储在介质库或档案室中;

e) 应利用光、电等技术设置机房防盗报警系统;

f) 应对机房设置监控报警系统。

这部分的内容也比较容易理解,就是物理防盗措施。这里所说的不易去除标记其实是类似一次性贴纸的标签,因为机房的设备一般轻易不会有人去偷,所以这里的不易去除是指机房设备运维管理中的标签,不要抬杠说什么有人会特殊处理去掉标签一类的情况。(也有企业表示说测评机构现场检查的时候,就是说这种纸质标签不符合要求,要用钢印或者激光刻在设备表面才行,这种测评师感觉就有点在吹毛求疵了,其实等保要求并不是如此苛刻,旨在便于管理和维护)

通信线缆一般都是在防静电地板下放或走顶棚线槽,现在已经很少有人会直接走明线了,在此不再做额外说明。

介质是指磁盘、磁带、U盘之类的存储,目前这部分工作大多数公司做得不太好,没有分类,没有标签,可能个别针对介质会贴一些简单的标签,这些对于后期管理都是隐患,最常见的就是,人员离职,交接不明确,没有说明文档,后来的人接管工作一头雾水,问谁都不知道,最后无奈要一个个的自己去查看,或者干脆就混日子,索性不出问题就好。(比如网线标签不全,出现问题要两个人拿测线器一个个测)

防盗报警现在基本B类及A类机房就都有安装,而且有完善的报警系统或平台;最后关于监控,这里说一点,不是说门口和机房里有监控就OK,按照标准要纵向横向交叉监控,无死角才算合规,而且录像要有留存,具体日期标准中没有要求,但基本的90天应该还要是能够追溯的。

4 防雷击

等保2.0:(3条整合为2条,要求不变)

a) 应将各类机柜、设施和设备等通过接地系统安全接地;

b) 应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。

等保1.0:

a) 机房建筑应设置避雷装置;

b) 应设置防雷保安器,防止感应雷;

c) 机房应设置交流电源地线。

这部分更多是对大楼建筑的防雷要求,具体会参照GB/T 50343(建筑作为独立机房时),一般能作为机房的大楼,应该都会有符合规定的防雷措施。所以重点要关心的就是强电和弱电的接地(如下图)。 

image003.png

图1.5-3 防雷引线示意图

image004.png

图1.5-4 防雷接地保护

image005.png

图1.5-5 防静电地板下的防雷保护

通常核心交换、核心路由器一类的大型设备都会有防雷模块,预留好了接引线的端点,将其与机会的端点连接,机柜防雷引线接到地板下的金属支架,这样能保证基本的防雷要求。至于一些常用设备、二层交换机、普通防火墙、IPS等设备没有防雷模块,可以固定在机柜上,通常也能保证基础的防雷保护。 强电不是标准中重点关注内容,所以就不多做解释;弱电后续会在防静电部分说明。

5 防火

a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;

b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;

c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。

这里防火有3点要求,其一就是自动消防系统,可以自动检测,自动预警,自动灭火,一般都是泡沫和干粉,检测到火灾时会先预警,疏散人员,而后进行灭火(想详细了解的可以去看GB 50116和GB 50016)。此外,还要求机房设置消火栓,就是手提那种干粉的或者泡沫的,并且定期要有人进行巡检,检查灭火设备是否过期,压力值是否在绿色范围,并填写巡检记录,检查时都会现场查看。

第二点是对耐火材料的要求,这块属于国标的要求,真正能做到并不多,按照要求机房的耐火等级不应低于二级。当 A 级或 B 级机房位于其它建筑物内时,在主机房和其他部位之间应设置耐火极限不低于2h的隔墙,隔墙上的门应采用甲级防火门(解释下2H的意思,耐火极限指在标准耐火试验条件下,建筑构件、配件或结构从受到火的作用时起,到失去稳定性、完整性或隔热性时止的时间,用小时表示)。主机房的顶棚、壁板(包括夹芯材料)和隔断应为不燃烧体,且不得采用有机复合材料。

Xnip2019-12-10_15-59-31.jpg

图 1.5-6 建筑耐火等级要求

第三点,就是之前要进行区域划分和隔离的要求,在发生火灾时,可优先确保重要设备安全。

这里再多提一句,关于疏散,面积大于100㎡的主机房,安全出口应不少于两个,且应分散布置。面积不大于 100 ㎡的主机房,可设置一个安全出口,并可通过其他相临房间的门进行疏散。门应向疏散方向开启,且应自动关闭,并应保证在任何情况下都能从机房内开启。走廊、楼梯间应畅通,并应有明显的疏散指示标志。

6 防水和防潮

等保2.0:(4条简化为3条)

a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;

b) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;

c) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。

等保1.0:

a) 水管安装,不得穿过机房屋顶和活动地板下;

b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;

c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;

d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。

等保1.0中第一条要求机房内无论何处不可以有走水的管道,包括机房周边墙体。但是在等保2.0中删除了本项要求。

等保2.0中第一条要求通常发生的几率很小,但是我曾遇到过一家企业,机房楼上漏水,顶棚没有做防水,机房里几个大盆和大桶放在机柜上边接水,定期有值班人员去倒,这场面真的无法言表。所以说,机房位置选择时,周边最好不要有用水间是最好的。

等保2.0中第二条要求指以前的机房(或者是一些小公司的机房)可能会存在的问题,但凡机房建设敢如此偷工减料的其实也不会关心这类问题。现在大多机房会配备精密空调,控制机房内的温湿度,所以此类情况将会越来越少(毕竟都上云了,托管的云数据中心机房怎么可能连温湿度控制都做不到)。

等保2.0中第三条和第二条类似,目前都会由系统统一控制。这里扩展一下,标准的隐含要求:

首先不能采用暖气(液体保温),空调不能漏水;

与机房无关的水管不宜从机房内穿过;

机房应防止结构渗水、墙面凝水、外部漫水;

重要机房应设置漏水报警系统。

7 防静电

a) 主要设备应采用必要的接地防静电措施;

b) 机房应采用防静电地板。

这里标准中说了一堆术语和要求参数,其实简单总结一下,重点关注的就是首先机柜要做好接地防雷和防静电,重要设备都会有防雷模块,用线接到机柜;在机柜配置防静电手环,操作时要先戴好。这样基本就可以保证大多数情况下的静电防护工作。

这里给你们展示一点标准里要求的内容。

1.主机房和辅助区的地板或地面应有静电泄放措施和接地构造,防静电地板或地面的表面电阻或体积电阻应为 2.5 x 104~1.0×10 9 Ω。且应具有防火、环保 、耐污耐磨性能。

2.电子信息系统机房内所有设备可导电金属外壳、各类金属管道、金属线槽、建筑物金属结构等必须进行等电位连接并接地。

3.静电接地的连接线应有足够的机械强度和化学稳定性,宜采用焊接或压接,当采用导电胶与接地导体粘接时,其接触面积不宜小于 20c㎡。 

PS:这里再补充一点内容,关于综合布线,等保物理环境部分重点要求就是强电与弱电线缆要分别铺设,且距离不得小于0.5m,且每条线缆要有标签说明。

8 温湿度控制

机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。

这部分没有特殊要解释的内容,基本都由系统来控制,对机房温湿度的要求如下图所示,开机和关机状态都有相应要求。

image006.pngimage007.pngimage008.png

图1.5-7 机房温湿度要求

9 电力供应

等保2.0:(4条简化为3条)

a) 应在机房供电线路上配置稳压器和过电压防护设备;

b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;

c) 应设置冗余或并行的电力电缆线路为计算机系统供电。

等保1.0:

a) 应在机房供电线路上配置稳压器和过电压防护设备;

b) 应提供短期的备用电力供应,至少满足 主要设备在断电情况下的正常运行要求;

c) 应设置冗余或并行的电力电缆线路为计算机系统供电;

d) 应建立备用供电系统。

本控制点按照国标要求是比较繁琐的,简单总结一下(从安全角度来考虑,不涉及建筑和强电)。

首先最基本的要有UPS,UPS要有过载保护和防雷模块;

其次UPS至少要有2路供电,能够维持机房重要设备断电后至少2小时以上供电;

最后就是机房提供多路冗余供电,不能只有一条电缆供电(同一个电站的两条电缆也不行,要不同电站的供电电缆冗余);要为机房准备发电机,以备特殊情况长期断电时的应急,如果条件允许,准备2台发电机,以防发电机出现意外故障。详细要求参考GB 50052。

PS:补充一点,等保标准中还要求机房中要使用机柜专用电源插排,就是机柜上那个黑色的电源插排。

10 电磁防护

等保2.0:(3条简化为2条)

a) 电源线和通信线缆应隔离铺设,避免互相干扰;

b) 应对关键设备实施电磁屏蔽。

等保1.0:

a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;

b) 电源线和通信线缆应隔离铺设,避免互相干扰;

c) 应对关键设备和磁介质实施电磁屏蔽。

本控制点的内容涉及较广,但是从等保的要求和日常机房安全防护角度来看,涉及不会那很深,所以不用过度研究。这里把我研究的资料分享一下,简单做下总结。

电磁屏蔽含义

电磁兼容性(ElectromagneticCompatibility)缩写EMC,就是指某电子设备既不干扰其它设备,同时也不受其它设备的影响。电磁兼容性和我们所熟悉的安全性一样,是产品质量最重要的指标之一。安全性涉及人身和财产,而电磁兼容性则涉及人身和环境保护。

电子元件对外界的干扰,称为EMI(ElectromagneticInterference);电磁波会与电子元件作用,产生被干扰现象,称为EMS(ElectromagneticSusceptibility)。例如,TV荧光屏上常见的“雪花”,便表示接受到的讯号被干扰。

因为屏蔽体对来自导线、电缆、元部件、电路或系统等外部的干扰电磁波和内部电磁波均起着吸收能量(涡流损耗)、反射能量(电磁波在屏蔽体上的界面反射)和抵消能量(电磁感应在屏蔽层上产生反向电磁场,可抵消部分干扰电磁波)的作用,所以屏蔽体具有减弱干扰的功能。

⑴当干扰电磁场的频率较高时,利用低电阻率的金属材料中产生的涡流,形成对外来电磁波的抵消作用,从而达到屏蔽的效果。

⑵当干扰电磁波的频率较低时,要采用高导磁率的材料,从而使磁力线限制在屏蔽体内部,防止扩散到屏蔽的空间去。

⑶在某些场合下,如果要求对高频和低频电磁场都具有良好的屏蔽效果时,往往采用不同的金属材料组成多层屏蔽体。

原理

许多人不了解电磁屏蔽的原理,认为只要用金属做一个箱子,然后将箱子接地,就能够起到电磁屏蔽的作用。在这种概念指导下结果是失败。因为,电磁屏蔽与屏蔽体接地与否并没有关系。真正影响屏蔽体屏蔽效能的只有两个因素:一个是整个屏蔽体表面必须是导电连续的,另一个是不能有直接穿透屏蔽体的导体。屏蔽体上有很多导电不连续点,最主要的一类是屏蔽体不同部分结合处形成的不导电缝隙。这些不导电的缝隙就产生了电磁泄漏,如同流体会从容器上的缝隙上泄漏一样。解决这种泄漏的一个方法是在缝隙处填充导电弹性材料,消除不导电点。这就像在流体容器的缝隙处填充橡胶的道理一样。这种弹性导电填充材料就是电磁密封衬垫。在许多文献中将电磁屏蔽体比喻成液体密封容器,似乎只有当用导电弹性材料将缝隙密封到滴水不漏的程度才能够防止电磁波泄漏。实际上这是不确切的。因为缝隙或孔洞是否会泄漏电磁波,取决于缝隙或孔洞相对于电磁波波长的尺寸。当波长远大于开口尺寸时,并不会产生明显的泄漏。

机理

a、当电磁波到达屏蔽体表面时,由于空气与金属的交界面上阻抗的不连续,对入射波产生的反射。这种反射不要求屏蔽材料必须有一定的厚度,只要求交界面上的不连续;

b、未被表面反射掉而进入屏蔽体的能量,在体内向前传播的过程中,被屏蔽材料所衰减。也就是所谓的吸收;

c、在屏蔽体内尚未衰减掉的剩余能量,传到材料的另一表面时,遇到金属-空气阻抗不连续的交界面,会形成再次反射,并重新返回屏蔽体内。这种反射在两个金属的交界面上可能有多次的反射。总之,电磁屏蔽体对电磁的衰减主要是基于电磁波的反射和电磁波的吸收。

从等保的角度来看,这3条的要求简单可以概括为:

a)机柜和设备接地,做好防静电;(通常我们机房购买的机柜,设计时都已经考虑电磁屏蔽的问题,所以一般只要把机柜门关上,本身就起到屏蔽的作用)

b)之前提到的强弱电线缆分离铺设,距离大于0.5m;

c)将设备放入专业机柜中,并固定在指定插槽位置。

本控制点内容总体来看是简化了一些要求,放到了四级系统要求中,有些内容进行了合并。不过从当前趋势来看,物理安全会重点针对一些大型云IDC和云服务提供商。对于普通甲方和乙方来说,概念会越来越模糊,而对于大型IDC的运维和管理人员,物理安全依旧重要,是等级保护标准中的重点内容。

*本文作者:宇宸默安,转载请注明来自FreeBuf.COM

来源:freebuf.com 2019-12-12 09:00:36 by: 宇宸de研究室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论