物理安全测评说明
物理安全测评共有10步,分别是机房物理位置的选择、机房物理的访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护,如下是步骤详解。
现场检测步骤和预期结果
机房物理位置的选择
a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
1.查看机房是否设置在在具有防风、防雨能力的建筑内,对防震能力,先询问机房建设等级,如可以看建设文档,则请求查看建设文档,但一般机房管理员不知情,机房所在建筑肉眼可见非危楼即可默认符合。
b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层和隔壁。
1.机房不应该设置在顶楼和负一楼,因为顶楼渗水的风险较大,且太阳直射温度较高,负一楼存在雨水倒灌和易受潮的风险。
2.机房左右是否有厕所、厨房设备间,如机房在顶楼,需要注意机房上方是否有蓄水罐。
物理访问控制
a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员。
1.检查一下机房外是否有专人值守或者是否设置了电子门禁系统(满足一个即可),如有专人值守,则应有人员进出机房的记录文件;如设置了电子门禁系统,则电子门禁系统需要有来访人员身份记录,且记录信息需要保持6个月以上。
b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
1.查看进入机房检查是否需要提前申请(口头、电话、电子或纸质申请单均算)进入机房是否有配合人员全程随同。(需要记录机房有几个门,分别做什么用,是否有门禁)。
c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装过度区域。
1.对机房是否划分了不同的区域,如UPS房间、主要设备间、存储设备间或操作间等区,中间是否有墙壁(玻璃或实体墙壁或其他具有防火功能隔离物均符合)隔离开,如下图。机房分为哪几个区,每个区的功能,并画出机房分区草图。
d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.进入主机房或存放网络设备、服务器、存储设备的区域是否需有单独电子门禁?如上图所示。进入机房绿色区域是一个门禁权限,进入红色区域还会有电子门禁权限。
防盗窃和防破坏
a)应将主要设备放置在机房内。
1.主要设备指网络设备(核心、汇聚交换机等)、安全设备(waf、fw、IPS、流控、上网行为管理等)、服务器(虚拟服务器的物理机、普通服务机)、存储设备等。
b)应将设备或主要部件进行固定,并设置明显的不易除去的标记。
1.检查设备是否都固定在机柜上,设备上是否有打标签。
c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。
下图均符合:
d)应对介质分类标识,存储在介质库或档案室中。
介质定义:1.设备的相关文档说明书、光盘;2.备用的或未上架或待维修的网络设备、存储设备;3.机房运维工具;
检查时注意:1.主机房不能堆放杂物;2.最好有存储房间或有存储柜(储物柜需要分类)分类存放上述物品。
e)应利用光、电等技术设置机房防盗报警系统。
1.查看是否有红外探测设置防盗报警系统。红外探测,一般布在机房入口通道,或有其他动设备会自动报警的设备或技术也算。
f)应对机房设置监控报警系统。
1.检查机房是否有监控摄像头(如无不符合),检查机房每排机柜间和各设备间入口是否有摄像头监控(部分符合),检查监控是否可正常查看(如无不符合),检查监控是否可保存3个月以上(部分符合)。
结果记录需要写清楚有几个摄像头,分别对应的位置。
防雷击
a)机房建筑应设置避雷装置。
一般机房所在大楼会安装避雷针,询问即可,正规会有防雷检测报告,如有报告最好,一般符合。
b)应设置防雷保安器,防止感应雷。
一般UPS会提供电流过滤的设置,但也会单独设置防雷箱,一般在市电进入到UPS之前的位置布置。如无防雷箱,不符合,如机柜使用普通接线板,不符合,如两者有一个符合,算部分符合。
c)机房应设置交流电源地线。
1.需要掀开地板查看,下图中防雷接地铜片或铜线算符合,如无不符合。
防火
a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
检查机房是否有自动灭火系统,是否设置有七氟丙烷等自动灭火设备。如果仅有手提式灭火器,不符合。此处需要检查罐体气压,如指针在绿色,气压正常,在红色区域,气压不正常,可算为部分符合。如果条件允许,需要查看巡检记录和方式。
b)机房及相关的工作房间和辅助房应具有耐火等级的建筑材料。
现场检测查看是否有如木板、塑料地毯和纸质挡板等易燃的物品,如果有,算不符合或部分符合,最好是用玻璃或墙体隔离。
c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
1.不同区域隔离要有墙体或其他隔离方式,如仅过道隔离算不符合。
防水和防潮
a)水管安装,不得穿过机房屋顶和活动地板下。
查看机房顶部或地板下是否有水管(空调水管除外)穿过,如有,算不符合。
b)应采取措施防止雨水通过机房窗口、屋顶和墙壁渗透。
此处应检查是否有窗口,如无法打开符合,可打开算部分符合,现场查看墙壁、屋顶和窗户处是否有渗水的痕迹,如有均算不符。此处需要注意空调外接口需要封闭,如未彻底封闭算不符。
c)应采取措施防止机房内水蒸气结露和地下积水的转移和渗透。
查看是否有环控或设有水汽凝结探测仪(也有叫水神、探测头、感应器),如有,算符合,没有询问是否有其他措施,如果没有,不符合。
d)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
参考上述c。
防静电
a)主要设备应采用必要的接地防静电措施。
1.设备需要使用三角插口,如有发现两脚插口或普通接线板(如家用公牛接线板)均算不符。
2.机柜需要接地,任意一项符合算部分符合,两项均符合给5分。
b)机房应采用防静电地板。
1.机房使用静电地板均符合,尚未对静电地板的质量和损坏程度有要求。
温湿度控制
a)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.检查机房是否有具有自动调节温湿度的精密空调,并记录当前温湿度范围,并检查空调厂商巡检维护记录,如使用普通家用空调或无自动调节的吸顶空调或温湿度不在范围内,均算不符合。
符合范围:温度21~25摄氏度之间,湿度45%~65%之间。
空调送风有的是设备自带出风口,有的走地板下出风,有的吸顶空调出风。天花板上出风口需要注意下方是否有机柜,因可能存在出风口结露下滴的情况。
电力供应
a)应在机房供电线缆上配置稳压器和过电压防护设备。
1.机房需要配有UPS设备,如无则算不符合。
b)应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求。
1.参考第一条,如电池可提供临时供电即可,但需要记录一下UPS电池支撑的时间。
c)应设置冗余或并行的电力电缆线路为计算机系统供电。
机房需要有两条市电线路接入到机房,一般此种情况需要两路市电接入,到每个机柜均有两组PDU,设备有双电源可分别接在不同路电源上,如无不符合。
d)应建立备用供电系统。
机房是否有备用发电机房,如柴油发电机等发电设备,如无则不符合。
电磁防护
a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰。
设备和机柜均需要接地。
b)电源线和通信线缆应隔离铺设,避免互相干扰。
强电(电源线)和弱电(通信线)需要隔离铺设,常见隔离方式:强电走地板下,弱电走高架桥,或强弱电均走高架桥,但不同桥架分开,或均走地下,但采用不同线槽走,如强弱电在地板下或高架上均走一起未严格区分,算不符合。
c)应对关键网络设备和磁介质实施电磁屏蔽。
1.机柜的柜门设有防止外界电磁干扰的屏蔽门,即为合格。