應(yīng)欽
摘要信息安全等級保護(hù)是2004年公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室四部門聯(lián)合發(fā)文實(shí)施的強(qiáng)制性非涉密信息化建設(shè)要求,以避免在信息化建設(shè)過程中,重裝備、輕基礎(chǔ);重建設(shè)、輕安全;重應(yīng)用、輕防范的現(xiàn)象。等級保護(hù)把國內(nèi)所有非涉密計(jì)算機(jī)信息系統(tǒng)劃分為用戶自主保護(hù)級、指導(dǎo)保護(hù)級、監(jiān)督保護(hù)級、強(qiáng)制保護(hù)級、??乇Wo(hù)級等五個(gè)等級,從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用及數(shù)據(jù)安全、制度管理等方面第一次系統(tǒng)介紹了各等級信息化建設(shè)的技術(shù)標(biāo)準(zhǔn),涉及面較廣,按照等級保護(hù)標(biāo)準(zhǔn)衡量,有很多單位明顯不能達(dá)標(biāo),需要整改,本文結(jié)合作者在工作實(shí)踐中的體會,從物理安全的重要部分—機(jī)房的角度分析等級保護(hù)的整改工作要求。
關(guān)鍵詞信息安全;等級保護(hù);訪問控制;電磁防護(hù)
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1671-7597(2014)11-0187-02
1為何進(jìn)行信息安全等級保護(hù)
一提到信息安全等級保護(hù)有人很自然聯(lián)想到涉密信息系統(tǒng)的分級保護(hù),是的,估計(jì)對此不少人都有疑問,既然涉密信息系統(tǒng)已經(jīng)進(jìn)行了分級保護(hù),為什么還要進(jìn)行信息安全等級保護(hù)呢?
1)涉密信息系統(tǒng)分級保護(hù)的概念是2004年中央保密委員會《關(guān)于加強(qiáng)信息安全保障工作中保密管理若干意見》提出的,2005年國家保密局頒發(fā)了《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理辦法》,進(jìn)一步從物理安全、信息安全、運(yùn)行安全和安全保密管理等方面,對不同級別的涉密信息系統(tǒng)有細(xì)化了分級保護(hù)要求;而信息安全等級保護(hù)的主要保護(hù)對象是非涉密但又重要的信息系統(tǒng),是從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用及數(shù)據(jù)安全、制度管理等方面進(jìn)行保護(hù)的一種標(biāo)準(zhǔn)。
2)涉密信息系統(tǒng)分級保護(hù)將涉密信息系統(tǒng)劃分為秘密級、機(jī)密級、絕密級三個(gè)級別,主管單位為國家保密局;而信息安全等級保護(hù)將非涉密信息系統(tǒng)劃分為用戶自主保護(hù)級、指導(dǎo)保護(hù)級、監(jiān)督保護(hù)級、強(qiáng)制保護(hù)級、??乇Wo(hù)級等五個(gè)等級,主管單位為公安部。主管單位不同也說明保護(hù)的關(guān)注點(diǎn)不同,分級保護(hù)與等級保護(hù)之間是相互補(bǔ)充的關(guān)系,都對信息安全的保密起著至關(guān)重要的作用。
2機(jī)房整改在信息安全等級保護(hù)中的重要性
在信息安全等級保護(hù)的物理安全方面,最重要的地方要算計(jì)算機(jī)房的建設(shè)和整改了。當(dāng)前,非涉密信息系統(tǒng)在我們工作當(dāng)中廣泛存在,例如,各政府新聞部門網(wǎng)站、各種網(wǎng)購系統(tǒng)、各企業(yè)內(nèi)部信息系統(tǒng)等,這些系統(tǒng)雖然并沒有涉及國家秘密信息,但如果出現(xiàn)災(zāi)難性問題也會給社會和企業(yè)帶來嚴(yán)重后果或巨大影響,例如國家級新聞網(wǎng)站一旦被黑客修改,會造成國家公信力的下降;各種網(wǎng)購服務(wù)系統(tǒng)一旦出現(xiàn)漏洞,會造成企業(yè)和個(gè)人隱私泄露,會引起社會和公眾的恐慌;國有企業(yè)的內(nèi)部主要信息網(wǎng)出現(xiàn)癱瘓,會使企業(yè)工作停擺,給企業(yè)造成巨大的損失。而計(jì)算機(jī)房是各類服務(wù)器、安全設(shè)備、機(jī)柜等集中安放的重要場地,是信息的集散地,所以機(jī)房的物理安全是信息安全等級保護(hù)的基礎(chǔ)。
3信息安全等級保護(hù)中機(jī)房整改的主要關(guān)注點(diǎn)
機(jī)房的等保建設(shè)和整改應(yīng)注意防水、防火、溫濕度控制、電力保障、電磁防護(hù)、靜電與雷電防護(hù)、物理訪問控制與防破壞等幾方面的因素。
3.1 防水
水是機(jī)房需要特別注意防范的事項(xiàng),因?yàn)樗菍?dǎo)體,一旦機(jī)房發(fā)生跑水、冒水、滴水、滲水或長期潮濕等環(huán)境損害,則會直接影響設(shè)備的安全運(yùn)行,因此,機(jī)房不能建設(shè)在衛(wèi)生間、地下室、食堂、洗衣房等上下水相對集中的地方,同時(shí),也盡量不要建在建筑物頂層等容易漏水的地方。如果只能建在這樣的地方,則首先要做好防水工程。當(dāng)然,除防水外,機(jī)房還應(yīng)注意抗震、防風(fēng)等其它自然災(zāi)害因素。
3.2 防火
火災(zāi)對于計(jì)算機(jī)房是非常嚴(yán)重的災(zāi)害,機(jī)房起火的原因不外乎是用電設(shè)備發(fā)熱、配電或電源發(fā)熱、電力線路超載發(fā)熱、靜電打火等,但因?yàn)闄C(jī)房大多采取無人值守的自動(dòng)運(yùn)行方式,既使有視頻監(jiān)控或煙霧報(bào)警器等監(jiān)控設(shè)備,也還存在不小的死角,如果機(jī)房再存有易燃物或可燃物,將會變得非常危險(xiǎn)。因此,機(jī)房建設(shè)要充分考慮用電設(shè)備、線纜的容量,使用符合機(jī)房安全要求的、經(jīng)過國家認(rèn)證的建筑裝飾裝修材料,還要在機(jī)房的關(guān)鍵部位安裝防火門,如配電室等,以隔離火源,防止火災(zāi)蔓延;在消防方面,機(jī)房應(yīng)配備火情自動(dòng)檢測、自動(dòng)報(bào)警系統(tǒng)和自動(dòng)滅火系統(tǒng)。
3.3 溫濕度控制
一般機(jī)房的溫濕度自動(dòng)調(diào)節(jié)設(shè)施主要是空調(diào),空調(diào)是機(jī)房中的不可或缺的設(shè)備,空調(diào)的種類很多,但計(jì)算機(jī)房一定要使用機(jī)房專用空調(diào),同時(shí)必須考慮有足夠的功率和數(shù)量的冗余,這不僅是因?yàn)闄C(jī)房專用空調(diào)可以同時(shí)控制溫度和濕度,還因?yàn)榇蠖鄶?shù)機(jī)房往往因?yàn)樵O(shè)備長期運(yùn)行,以及通風(fēng)不暢,造成熱負(fù)荷變化幅度較大(通常有10%-20%的波動(dòng)幅度),故機(jī)房空調(diào)是需要24小時(shí)、一年四季運(yùn)行的,所以,機(jī)房專用空調(diào)即使在冬季,也能夠可靠運(yùn)行。這里需要特別指出的是,空調(diào)的下水管路接口要處理牢固,并定期檢查,以免造成地板下跑水,不容易被發(fā)現(xiàn)。機(jī)房空調(diào)應(yīng)每年檢修,包括清洗內(nèi)外機(jī)、檢查制冷劑壓力、檢查管路接口等。另外,機(jī)房太濕或太干都不利于設(shè)備運(yùn)行,機(jī)房還應(yīng)相應(yīng)準(zhǔn)備加濕器和抽濕機(jī)。
3.4 電力保障
機(jī)房的電力供應(yīng)是必不可少的一項(xiàng),也是最容易出現(xiàn)問題的一項(xiàng),為此,機(jī)房的電力線要有足夠的截面容量,線槽架設(shè)盡量不交叉,供電線路應(yīng)上配置穩(wěn)壓器及過壓保護(hù)裝置。為防止可能的電磁干擾,要使用金屬線槽,并做好線槽的接地。機(jī)房應(yīng)具備提供短期的電力供應(yīng)能力,機(jī)房UPS應(yīng)能最低滿足1-2小時(shí)的備用電力供應(yīng)。在電力負(fù)荷方面,應(yīng)盡量使A、B、C三項(xiàng)電力負(fù)荷平衡,因?yàn)槿嘭?fù)荷不平衡會造成變壓器和供電線路損耗和故障。
3.5 電磁防護(hù)
機(jī)房的電磁干擾主要來自機(jī)房內(nèi)部強(qiáng)電設(shè)備、電力電纜,以及機(jī)房外部的電磁干擾,如雷電感應(yīng)、大功率電臺等,因此,應(yīng)盡量采取使機(jī)房配電室、UPS電源、主干電力線纜遠(yuǎn)離服務(wù)器、計(jì)算機(jī)網(wǎng)絡(luò)線纜和網(wǎng)絡(luò)設(shè)備;服務(wù)器機(jī)房避免臨街,同時(shí),網(wǎng)絡(luò)主干線纜實(shí)現(xiàn)光纖化,并使用大樓的網(wǎng)絡(luò)專用豎井,以及紅黑電源隔離插座;有條件的企業(yè),應(yīng)把部分網(wǎng)絡(luò)的主要關(guān)鍵設(shè)備放置在屏蔽機(jī)柜中,主要磁介質(zhì)要進(jìn)行屏蔽保護(hù)。
3.6 靜電與雷電防護(hù)
機(jī)房的靜電防護(hù)與雷電防護(hù)是非常必要的,靜電或雷電感應(yīng)可能會造成部件之間產(chǎn)生感應(yīng)脈沖,甚至出現(xiàn)電火花,從而損害設(shè)備。機(jī)房所在建筑應(yīng)有避雷裝置,機(jī)房要安裝防雷器,鋪設(shè)防靜電地板等。
在實(shí)踐中,一般大樓都安裝有接地端子,可以使用這些接地端子,但事先要測量接地端子的電阻值(安全工作接地,接地電阻不大于4 Ω,防雷保護(hù)接地電阻不大于10 Ω,如果采用聯(lián)合接地時(shí),接地電阻不應(yīng)大于1 Ω)。通過在機(jī)房布設(shè)網(wǎng)狀接地銅排,把機(jī)房地板、機(jī)柜、電源等全部連接在接地端子上,等電位聯(lián)結(jié)帶、接地線和等電位聯(lián)結(jié)導(dǎo)體的材料和最小截面積應(yīng)符合國標(biāo)。
3.7 物理訪問控制
機(jī)房的物理訪問控制主要指計(jì)算機(jī)房應(yīng)按照功能、用途和重要性劃分不同的使用區(qū)域,各入口應(yīng)加裝指紋、磁卡或密碼等電子門禁系統(tǒng),及視頻監(jiān)控,并在一定時(shí)期內(nèi)保存相應(yīng)的記錄,目的是要記錄相關(guān)人員進(jìn)入指定區(qū)域,阻止其他人員進(jìn)入機(jī)房區(qū)域,限制并監(jiān)控來訪人員的活動(dòng)區(qū)域。
3.8 防物理破壞
機(jī)房可能出現(xiàn)的物理破壞主要形式有盜竊、腐蝕、鼠咬等,防止物理破壞的主要設(shè)施包括在機(jī)房出入口安裝防盜門,機(jī)房內(nèi)部安裝24小時(shí)視頻監(jiān)控設(shè)備;重點(diǎn)區(qū)域安裝水、電、溫度、服務(wù)器等監(jiān)測報(bào)警系統(tǒng);機(jī)房地板下的管線要做防腐處理;為防止鼠類等嗑咬,主要網(wǎng)絡(luò)干線應(yīng)使用金屬線槽或帶有金屬護(hù)皮的鎧裝線纜。
總之,做好信息安全等級保護(hù),一定要把機(jī)房整改放在重中之重的位置。只有在機(jī)房整改中做好上述八項(xiàng)工作,才能使得信息安全等級保護(hù)在機(jī)房安全中得到切實(shí)的落地。
參考文獻(xiàn)
[1]公安部.關(guān)于信息安全等級保護(hù)工作的實(shí)施意見.2004.
[2]公安部.信息安全等級保護(hù)管理辦法(試行).2007.
[3]國家保密局.涉及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求.BMB17-2006.
[4]國家保密局.涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范.BMB20-2007.
[5]計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分標(biāo)準(zhǔn).GB17859-1999.
[6]信息系統(tǒng)安全等級保護(hù)基本要求.GB/T 22239-2008.
[7]信息系統(tǒng)安全等級保護(hù)定級指南.GB/T 22240-2008.
[8]信息系統(tǒng)安全管理要求.GB/T 20269-2006.
[9]信息系統(tǒng)安全通用技術(shù)要求.GB/T 20271-2006.
[10]信息系統(tǒng)安全工程管理要求.GB/T 20282-2006.
[11]信息系統(tǒng)安全分析評估規(guī)范.GB/T 20984-2007.
[12]建筑物防雷設(shè)計(jì)規(guī)范.GB 50057-2010.
[13]建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范.GB 50343-2004.
[14]電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范.GB 50174-2008.
endprint