鐘遠紅

【摘要】 隨著信息化的不斷深入發(fā)展，加之近年來“互聯(lián)網(wǎng)+”的新起，掀起了一股“大數(shù)據(jù)”、“云”的浪潮，將信息化的發(fā)展推向了一個新的高度。筆者根據(jù)自身工作崗位，結(jié)合工作環(huán)境，就如何保障機房內(nèi)信息設備處于良好工作環(huán)境，使信息系統(tǒng)穩(wěn)定可靠地運行，降低不容忽視的信息安全問題進行了研究。

【關(guān)鍵詞】 機房 物理安全 安全性措施

一、前言

企業(yè)常有“通訊”和“數(shù)據(jù)”兩套重要設備機房，通訊機房主要是保障企業(yè)網(wǎng)絡的正常運作，包含有交換機、UPS、下級交換機的光纖鏈路設備、外延供應商網(wǎng)絡數(shù)據(jù)信號接入等設備；數(shù)據(jù)機房主要有服務器和存儲設備，包含有企業(yè)消費系統(tǒng)、生產(chǎn)執(zhí)行系統(tǒng)、視頻監(jiān)控系統(tǒng)、門禁系統(tǒng)、考勤系統(tǒng)、IPX語音通信系統(tǒng)、虛擬機等服務器，保障企業(yè)的業(yè)務流、生產(chǎn)流數(shù)據(jù)的正常運作與安全存儲。筆者所在企業(yè)是化工企業(yè)，有不少涉及保密的技術(shù)及數(shù)據(jù)，而這些數(shù)據(jù)都是保存在機房內(nèi)，因此，提高機房數(shù)據(jù)的安全性成為了一項重中之重的項目工作。

二、機房設計規(guī)劃說明

1、物理位置的選擇。計算機機房應遠離強電磁場、強震源、強噪聲源和強污染源，設在具有防震、防風和防雨等能力的建筑內(nèi)，且避免在高層或地下室以及用水設備旁邊。外窗應為雙層密封窗，盡量避免東西向外窗。機房內(nèi)樓板承重量應滿足要求。故，中心機房最佳選址為整座辦公大樓的中間樓層北門。

2、機房區(qū)域劃分與物理訪問控制。1）面積要足夠，并考慮擴展的需求。為便于空調(diào)控制、灰塵控制、噪音控制和機房管理，專用空調(diào)機區(qū)域的空間劃分不宜過多，與下送風空調(diào)區(qū)相對應的下一層頂板要進行隔熱處理。機房內(nèi)往往采用既輕又薄，還能隔音、隔熱的隔斷墻，區(qū)域間是物理隔離裝置。分三個區(qū)域最佳：主機房、監(jiān)控操作室和電源空調(diào)室。2）外門窗多采用防火防盜門窗，一般采用無框大玻璃門，既保證機房的安全，又保證機房內(nèi)有通透、明亮的效果。主機房出入口設置門禁系統(tǒng)，配置雙向刷卡通行，實現(xiàn)主機房授權(quán)人員進入有時間記錄。開門方式采用IC卡，確保系統(tǒng)的安全性。

3、網(wǎng)絡布線。企業(yè)主干線及各樓層、各部門（裝置）樓層之間應采用多摸光纖，并留有適當冗余。光纖到機器端使用屏蔽雙絞線，線路之間避免交叉纏繞，并與強電保持30CM以上距離，以減少相互干擾，新增網(wǎng)點到交換機的距離盡可能短，以減少信號衰減；平時做好光纖跳線備份，以備急用。

4、網(wǎng)絡設備。做好機房安全設施的同時，中心交換機要采用集群技術(shù)，做好應急措施。（隨著計算機硬件設備的可靠性和容錯能力的提高，因為硬件故障導致系統(tǒng)癱瘓、數(shù)據(jù)丟失的概率也在下降，但并非為零。服務器硬件出現(xiàn)故障，網(wǎng)絡交換設備遭雷擊的情況也時有發(fā)生。）

5、服務器。采用雙機熱備份的方式實現(xiàn)系統(tǒng)集群，提高系統(tǒng)可用性。服務器以主從或互備方式工作，通過心跳線偵查另一臺服務器的工作情況，一旦某臺機器發(fā)生故障，另外一臺立即自動接替工作，變成工作主機，平時某臺機器需要重啟時，管理員可以在節(jié)點間任意切換，整個過程只需要幾秒鐘，將系統(tǒng)中斷的影響降到最低。此外，還可以采用第三臺服務器做集群的備份服務器。在制度上，建立服務器管理制度及防護措施，如：安全審計、入侵檢測（IDS）、放病毒、定期檢查運行情況、定期重啟等。

6、數(shù)據(jù)存儲設備。采用本地磁盤冗余陣列（RAID 5 方式）、異地備份、磁帶盒磁盤等多備份策略，一旦某一設備出現(xiàn)故障立即發(fā)出警告，并停止對其他設備的使用

7、邊界安全。采用內(nèi)外網(wǎng)物理斷開的方式，徹底消滅外網(wǎng)黑客及病毒的入侵。內(nèi)外網(wǎng)需要交換信息時，用U盤或移動硬盤作為中介，連接內(nèi)外前先對移動存儲設備進行病毒查殺。對于內(nèi)網(wǎng)的新軟件，先在單獨組建的測試子網(wǎng)絡內(nèi)運行，時機成熟后再用于整個內(nèi)網(wǎng)。

8、操作系統(tǒng)。操作系統(tǒng)的主要風險在于系統(tǒng)漏洞和文件病毒等。我們需要對賬號、用戶權(quán)限、網(wǎng)絡訪問及文件訪問等實行控制和管理，定期做好監(jiān)視、審計和時間日志記錄和分析，一方面減少各類違規(guī)訪問，另一方面通過系統(tǒng)日志記下來的警告和報錯信息，很容易發(fā)現(xiàn)相關(guān)問題如系統(tǒng)瓶頸等的癥結(jié)所在。通過修改注冊表，屏蔽掉客戶端操作系統(tǒng)上桌面無關(guān)內(nèi)容，并限制訪問相關(guān)資源。及時下載和打好系統(tǒng)補丁，盡可能關(guān)閉不需要的端口，以彌補系統(tǒng)漏洞帶來的各類隱患，如各類蠕蟲病毒的入侵。對各類工作站和服務器的CMOS設置密碼，取消不必要的光驅(qū)，屏蔽USB接口，以防止外來光盤和U盤的使用可能帶來的外來病毒。

9、數(shù)據(jù)庫。數(shù)據(jù)庫安全包括用戶安全、數(shù)據(jù)保密和數(shù)據(jù)安全、事物管理和故障恢復、審計和追蹤、入侵檢測和防范等方面。為數(shù)據(jù)庫選擇合適的鑒別方式、口令交換周期和鑒別次數(shù)，加強角色、權(quán)限管理；歸于關(guān)鍵數(shù)據(jù)，使用適當算法進行加密存儲并分布于多臺計算機。通過作業(yè)管理實現(xiàn)本地備份和異地備份、日備份和周備份、全量備份和增量備份，并轉(zhuǎn)入磁帶存儲；對用戶操作進行審計并記錄日志。

10、數(shù)據(jù)存儲安全。數(shù)據(jù)存儲安全指在數(shù)據(jù)保存上確保完整、可靠和有效調(diào)用，一是存儲設備自身的可靠性和可用性（設備安全），二是保存在存儲設備上數(shù)據(jù)的邏輯安全（應用安全）。在設備安全方面，應采用RAID5磁盤冗余陣列存儲，保證部分存儲介質(zhì)壞時數(shù)據(jù)不丟失。在應用安全方面，通過嚴格的備份策略和流程對數(shù)據(jù)歷史進行周期性保存。備份作業(yè)時間一般選擇在夜間或休息日，為確保備份的安全可靠，先備份出一份最新數(shù)據(jù)，確定備份成功后再刪除上次備份數(shù)據(jù)，否則，不刪除上次備份，從而將損失降到最低。平時，利用異地備份的數(shù)據(jù)在單機上進行災難恢復模擬試驗，增強對突發(fā)事件處置能力。

三、提高機房數(shù)據(jù)安全性措施

1、內(nèi)部出入口處要設置應急照明及安全出口指示。

2、在兩個防火分區(qū)之間的各線纜要做防火泥防火封堵，將線纜穿孔間隙用防火泥包起來，避免一個分區(qū)內(nèi)的線纜著火時，火勢延管線竄走到另一個分區(qū)。

3、設置環(huán)境監(jiān)控系統(tǒng)，主要實現(xiàn)對主機房空調(diào)、新風、溫濕度、防水、配電系統(tǒng)、UPS、圖像、門禁等系統(tǒng)實現(xiàn)統(tǒng)一監(jiān)控，并實現(xiàn)異常情況報警，為機房高效的管理和安全運營提供有力的保證。另外，要防止老鼠等小動物進入機房，對機房的門窗要安裝防盜設施。溫度：冬季為20+2℃，夏季為23+2℃，溫度變化率≤5℃/h。濕度范圍為35—80%，其中最佳濕度范圍為45—60%。

4、設置獨立的閉路監(jiān)控系統(tǒng)監(jiān)控主設備運行區(qū)及機房出入口；主機房內(nèi)所有設備都必須與機柜固定；所有強弱電電纜都采用橋架地下敷設；對介質(zhì)分類標識，存儲在介質(zhì)庫或檔案室中。

5、防雷工作主要是防感應雷引起的雷電浪涌和其他原因引起的過電壓。計算機機房要求采用三級防雷設計，包括機房電源防雷系統(tǒng)，弱電信息防雷系統(tǒng)和等電位接地。

6、設置火災自動消防系統(tǒng)，配置獨立感應裝置（感煙、感溫）和獨立的報警主機（按照分區(qū)選擇），能夠自動檢測火情、自動報警，并自動滅火，滅火系統(tǒng)應采用惰性氣體自動滅火系統(tǒng)，常用氣體為七氟丙烷和SDE兩種氣體，并設置防誤操作啟停按鈕和指示燈，系統(tǒng)可自動切斷機房電源。

7、采取區(qū)域隔離防火措施，將重要設備與其他設備隔離開。機房及相關(guān)的工作房間和輔助房應采用具有耐火等級的建筑材料。

8、計算機機房的建筑外墻要作防水處理，機房內(nèi)頂面要作保溫處理，防止產(chǎn)生冷凝水。精密空調(diào)下要設置防水堤，窗戶要做好密封、防水。水管安裝，不得穿過機房屋頂和活動地板下，加緊機房設置防漏水檢測系統(tǒng)，重點監(jiān)測空調(diào)下、排水管旁的防漏情況，設置自動報警系統(tǒng)，并入環(huán)境場地監(jiān)控系統(tǒng)。（水患影響機房設備的正常運行甚至造成機房運行癱瘓。）

9、地板應采用具有可拆卸特點的防靜電活動地板，為方便所有設備的導線電纜的連接、管道的連接及檢修更換。

10、設置并建立備用供電系統(tǒng)。設置兩路進線，并設置UPS系統(tǒng)。此外，機房內(nèi)的電器應選擇優(yōu)質(zhì)電纜、線槽和插座。插座應分為市電、UPS及主要設備專用的防水插座，并注明醒目、易區(qū)別的標識。機房供配電系統(tǒng)是機房安全運行動力保證，機房往往采用機房專用配電柜來規(guī)范機房供配電系統(tǒng)，保證機房供電系統(tǒng)的安全、合理。

11、采用接地方式.磁場對存儲設備的影響較大，它可能使磁盤驅(qū)動器的動作失靈、引起內(nèi)存信息丟失、數(shù)據(jù)處理和顯示混亂，甚至會毀掉磁盤上存儲的數(shù)據(jù)。另外，較強的磁場也會是使顯示器被磁化，引起顯示器顏色不正常。

參 考 文 獻

[1]gb9361，計算機場地安全要求[s]；

[2] 黃虹 基于等級保護的網(wǎng)絡物理安全建設 數(shù)字化企業(yè)網(wǎng)；

[3] 項益君 基于等級保護要求的機房安全 （《電腦知識與技術(shù)》2011年17期）；