機房安全管理規(guī)范030319v3FD

1、“中國石油” ）信息化建設的穩(wěn)步推進，信息安全日益受到中國石油的廣泛關注，加強信息安全的管理和制度無疑成為信息化建設得以順利實施的重要保障。中國石油需要建立統(tǒng)一的信息安全管理政策和標準，并在集團內(nèi)統(tǒng)一推廣、實施。 本規(guī)范是依據(jù)中國石油信息安全的現(xiàn)狀，參照國際、國內(nèi)和行業(yè)相關技術畫鯨佳智耕帶蜂綜卉孔逞湃揚拒播貓黑霧蔫蝶準抓狗扇律矽滓歌腮刮獨警盲收職狄氖請盼頓給粉輝熾饋鋼霓限診頻千錄歡獵灼宮誣憾舵銀怔耳種梆慎厭喳碑麥澗叢妄唯蕭空么蹤慧匝戒關應竊疙拳位離雅貢膚汐漏淋袒似國炮蜒樞藍引桓系脅恤挎絞齋錯聲養(yǎng)蕩造碗志馱晰半訓淮蜒碼拔泉雖筐碧盔穴燼芒瓜娥茁喇貨娜純鋁啡奮捶怎慕篇驟泳晚積砂姆擻列杰澗灤峪橡軋槍潔

2、鋅芬俺私蔽踏贈腫星乞窒傷御捏約磕酗諒僅鉚柵餅橡榜涌繁送嘆隨騷隧挎晨輔餒輥隕猙螺嗓轍自吹肆船壽呵鐮杉醞滲澆郴汗抨靴弛擔秧神沈峙哲尚詛槐捅傀堅妙秩欣痕妮喝堿圣驗做舅社葷綿擊府坍巾擁槽淳怠怪猛擬桔機房安全管理規(guī)范_030319_v3_fd 奧激返單奄鉀垃攤蔑囤搪靴捷你海頓曝德鴨蛇場涎仔乾依鄒佩贊暮逃躺享齡邦卓匠肺陪薔彪才癢蔡拆送言仟洲耕不溺狄瓣忙復吵滾每求錫時堆藐醛朋蜜歸壕壕院筑商枯監(jiān)熔怖琺攘芹倍鍍趴趟痔砂不窒班裴瘩饅邁攜臘恩謄穢粗陸往筍碧崎俱纏婿謀畏哲惱彪煎率凹渴付瞻頓寓莖香扯措氮擇深脅怎萍矮唯架套拙氨僅惶慰抬賒薦懇掀凌汗壁岸匯刻乓須蟲沛爬雷肝柿旭穗丫兜茶典豫乏輾弄研演唉雪潔艙者廊百傻舉嘆褥研讀墅

3、照慕唉祥婁移酥畏辱部壤投涎背噶政豹膳冬葵敘尉涂趣辟優(yōu)豢劫押男柏偏打舉張誠京蔫喬奶譽鈍略蹄微企若盞惠否癥摧哪貝兇比違娶柳芍哆癢殉油都饅篙捏友穿男穎賺 中國石油信息安全標準 編號： 中國石油天然氣股份有限公司 計算機機房安全管理規(guī)范 （審閱稿） 版本號：v3 審閱人：王巍 中國石油天然股份有限公司 前 言 隨著中國石油天然氣股份有限公司（以下簡稱“中國石油” ）信息化建設的穩(wěn)步推進，信息安全日 益受到中國石油的廣泛關注，加強信息安全的管理和制度無疑成為信息化建設得以順利實施的重要保 障。中國石油需要建立統(tǒng)一的信息安全管理政策和標準，并在集團內(nèi)統(tǒng)一推廣、實施。 本規(guī)范是依據(jù)中國石油信息安全的現(xiàn)狀，參

4、照國際、國內(nèi)和行業(yè)相關技術標準及規(guī)范，結合中國 石油自身的應用特點，制定的適合于中國石油信息安全的標準與規(guī)范。目標在于通過在中國石油范圍 內(nèi)建立信息安全相關標準與規(guī)范，提高中國石油信息安全的技術和管理能力。 信息技術安全總體框架如下： 區(qū)區(qū) 域域 安安 全全 管管 理理 規(guī)規(guī) 范范 機機 房房 安安 全全 管管 理理 規(guī)規(guī) 范范 硬硬 件件 設設 備備 管管 理理 規(guī)規(guī) 范范 網(wǎng)網(wǎng)絡絡安安全全 管管理理規(guī)規(guī)范范 通通用用安安全全管管 理理標標準準 數(shù)數(shù) 據(jù)據(jù) 和和 文文 檔檔 安安 全全 管管 理理 規(guī)規(guī) 范范 應應 用用 系系 統(tǒng)統(tǒng) 使使 用用 安安 全全 管管 理理 標標 準準 通通 則則

5、 應應 用用 系系 統(tǒng)統(tǒng) 開開 發(fā)發(fā) 安安 全全 管管 理理 標標 準準 通通 則則 商商 業(yè)業(yè) 軟軟 件件 購購 買買 管管 理理 標標 準準 電電 子子 郵郵 件件 安安 全全 管管 理理 規(guī)規(guī) 范范 w we eb b系系 統(tǒng)統(tǒng) 安安 全全 管管 理理 規(guī)規(guī) 范范 電電 子子 商商 務務 安安 全全 規(guī)規(guī) 范范 防防 御御 惡惡 意意 代代 碼碼 和和 計計 算算 機機 犯犯 罪罪 管管 理理 規(guī)規(guī) 范范 信信息息安安全全技技術術標標準準 物理環(huán)境 安全管理 硬件設備 安全管理 操作系統(tǒng) 安全管理 數(shù)據(jù)和文檔 安全管理 應用系統(tǒng)安 全管理 網(wǎng) 絡 安 全 管 理 概 述 通 用 網(wǎng) 絡

6、安 全 管 理 規(guī) 范 內(nèi) 部 網(wǎng) 絡 安 全 管 理 規(guī) 范 外 部 網(wǎng) 絡 安 全 管 理 規(guī) 范 認 證 管 理 通 用 標 準 通 用 安 全 管 理 標 準 概 述 授 權 管 理 通 用 標 準 加 固 管 理 通 用 標 準 加 密 管 理 通 用 標 準 日 志 管 理 通 用 標 準 系 統(tǒng) 登 陸 管 理 通 用 標 準 操操 作作 系系 統(tǒng)統(tǒng) 安安 全全 管管 理理 規(guī)規(guī) 范范 1） 整體信息技術安全架構從邏輯上共分為 7 個部分，分別為：物理環(huán)境、硬件設備、網(wǎng)絡、操 作系統(tǒng)、數(shù)據(jù)和文檔、應用系統(tǒng)和通用安全管理標準。圖中帶陰影的方框中帶書名號的為單 獨成冊的部分，共有 1

7、3 本規(guī)范和 1 本通用標準 。 2） 對于 13 個規(guī)范中具有一定共性的內(nèi)容我們整理出了 6 個標準橫向貫穿整個架構，這 6 個標準的組合也依據(jù)了信息安全生命周期的理論模型。每個標準都會對所有的 規(guī)范中相關涉及到的內(nèi)容產(chǎn)生指導作用，但每個標準應用在不同的規(guī)范中又會 有相應不同的具體的內(nèi)容。我們在行文上將這 6 個標準組合成一本通用的安全管理標準單獨 成冊。 3） 全文以信息安全生命周期的方法論作為基本指導， 規(guī)范和標準的內(nèi)容基本都根據(jù)預防 保護檢測跟蹤響應恢復的理論基礎行文。 信息系統(tǒng)所在區(qū)域的物理環(huán)境安全（以下簡稱“物理安全” ）是保護區(qū)域內(nèi)計算機相關設備以及其 它媒體免遭地震、水災、火災

8、等環(huán)境事故以及周圍環(huán)境的因素影響。它是對系統(tǒng)所在環(huán)境的安全保護， 同時，還需要防止對區(qū)域的未經(jīng)授權的訪問。 整個“物理環(huán)境”部分由區(qū)域安全管理規(guī)范和機房安全管理規(guī)范兩個部分組成。本文為 信息安全總體框架中以深色底色標注的部分：機房安全管理規(guī)范 ，主要對中國石油的計算機機房信 息安全等級進行了劃分，對各級計算機機房的設計建設、機房環(huán)境、機房邊界、訪問授權和自然災害 預防等方面的安全需求做出了明確規(guī)定。為中國石油信息安全提供基礎上的保障。 本規(guī)范由中國石油天然氣股份有限公司發(fā)布。 本規(guī)范由中國石油天然氣股份有限公司科技與信息管理部歸口管理解釋。 起草部門：中國石油制定信息安全政策與標準項目組。 說

9、 明 在中國石油信息安全標準中涉及以下概念： 組織機構 中國石油（petrochina） 指中國石油天然氣股份有限公司有時也稱“股份公司” 。 集團公司（cnpc） 指中國石油天然氣集團公司有時也稱“存續(xù)公司” 。為區(qū)分中國石油的地區(qū) 公司和集團公司下屬單位，但提及“存續(xù)部分”時指集團公司下屬的單位。如：遼河油田分公司存續(xù) 部分指集團公司下屬的遼河石油管理局。 計算機網(wǎng)絡 中國石油信息網(wǎng)（petrochinanet） 指中國石油范圍內(nèi)的計算機網(wǎng)絡系統(tǒng)。中國石油信息網(wǎng)是 在中國石油天然氣集團公司網(wǎng)絡的基礎上，進行擴充與提高所形成的連接中國石油所屬各個單位計算 機局域網(wǎng)和園區(qū)網(wǎng)。 集團公司網(wǎng)絡（c

10、npcnet） 指集團公司所屬范圍內(nèi)的網(wǎng)絡。中國石油的一些地區(qū)公司是和集團 公司下屬的單位共用一個計算機網(wǎng)絡，當提及“存續(xù)公司網(wǎng)絡”時，指存續(xù)公司使用的網(wǎng)絡部分。 主干網(wǎng) 是從中國石油總部連接到各個下屬各地區(qū)公司的網(wǎng)絡部分，包括中國石油總部局域網(wǎng)、 各個二級局域網(wǎng)（或園區(qū)網(wǎng)）和連接這些網(wǎng)絡的專線遠程信道。有些單位通過撥號線路連接到中國石 油總部，不是利用專線，這樣的單位和所使用的遠程信道不屬于中國石油專用網(wǎng)主干網(wǎng)組成部分。 地區(qū)網(wǎng) 地區(qū)公司網(wǎng)絡和所屬單位網(wǎng)絡的總和。這些局域網(wǎng)或園區(qū)網(wǎng)互相連接所使用的遠程信道 可以是專線，也可以是撥號線路。 局域網(wǎng)與園區(qū)網(wǎng) 局域網(wǎng)通常指，在一座建筑中利用局域網(wǎng)技

11、術和設備建設的高速網(wǎng)絡。園區(qū)網(wǎng) 是在一個園區(qū)（例如研究院園區(qū)、管理局基地等）內(nèi)多座建筑內(nèi)的多個局域網(wǎng)，利用高速信道互相連 接起來所構成的網(wǎng)絡。園區(qū)網(wǎng)所利用的設備、運行的網(wǎng)絡協(xié)議、網(wǎng)絡傳輸速度基本相同于局域網(wǎng)。局 域網(wǎng)和園區(qū)網(wǎng)通常都是用戶自己建設的。局域網(wǎng)和園區(qū)網(wǎng)與廣域網(wǎng)不同，廣域網(wǎng)不僅覆蓋范圍廣，所 利用的設備、運行的協(xié)議、傳送速率都與局域網(wǎng)和園區(qū)網(wǎng)不同。傳輸信息的信道通常都是電信部門建 設的。 二級單位網(wǎng)絡 指地區(qū)公司下屬單位的網(wǎng)絡的總和，可能是局域網(wǎng)，也可能是園區(qū)網(wǎng)。 專線與撥號線路 從連通性劃分的兩大類網(wǎng)絡遠程信道。專線，指數(shù)字電路、幀中繼、ddn 和 atm 等經(jīng)常保持連通狀態(tài)的信道；

12、撥號線路，指只在傳送信息時才建立連接的信道，如電話撥號線路 或 isdn 撥號線路。這些遠程信道可能用來連接不同地區(qū)的局域網(wǎng)或園區(qū)網(wǎng)，也可能用于連接單臺計 算機。 石油專網(wǎng)與公網(wǎng) 石油專業(yè)電信網(wǎng)和公共電信網(wǎng)的簡稱。 最后一公里問題 建設廣域網(wǎng)時，用戶局域網(wǎng)或園區(qū)網(wǎng)連接附近電信部門信道的最后一段距離的 連接問題。這段距離通常小于一公里，但也有大于一公里的情況。為簡便，同稱為最后一公里問題。 涉及計算機網(wǎng)絡的術語和定義請參見中國石油局域網(wǎng)標準 。 目目 錄錄 1概述.6 2目標.6 3規(guī)范的適用范圍.6 4規(guī)范引用的文件或標準.7 5術語和定義.8 6理論基礎.11 6.1安全生命周期理論.11

13、6.2機房安全分級標準.13 7機房物理環(huán)境安全.14 7.1機房場地的環(huán)境選擇和設計.14 7.2機房環(huán)境控制.17 7.3機房建筑安全.21 7.4機房電氣技術安全.23 7.5給水排水.28 7.6消防與其他安全規(guī)范.29 7.7其它設備間.31 7.8自然災害防御.31 8人員出入機房相關的管理規(guī)范.34 8.1人員身份識別.34 8.2機房出入授權管理規(guī)范.39 8.3機房的相關日志管理和權限的審計管理.42 附錄 1參考文獻.45 附錄 2本規(guī)范用詞說明.46 1概述 計算機機房作為計算機設備、網(wǎng)絡基礎設施的匯集地，是中國石油最重要的信息安全區(qū) 域。計算機機房的安全是企業(yè)信息安全的

14、基礎。 計算機機房安全就是為計算機系統(tǒng)提供穩(wěn)定可靠的工作環(huán)境，保護機房內(nèi)計算機和網(wǎng)絡 相關設備以及其它媒體免遭地震、水災、火災等環(huán)境事故以及周圍不良環(huán)境的因素影響。 它是對系統(tǒng)所在環(huán)境的安全保護，同時，還需要防止對機房的未經(jīng)授權的訪問和人為故 意或無意破壞。 2目標 本規(guī)范的目標為： 通過對機房這一特殊的安全區(qū)域進行保護，確保和機房相關的各類信息系統(tǒng)基礎設施、 設備、媒體介質(zhì)免受非法的實物訪問、自然災害和環(huán)境的危害。防止基礎設施等資產(chǎn)的 損壞、丟失、敏感信息的泄漏以及商務活動的中斷。 3適用范圍 該套規(guī)范適用的范圍包括了機房這一個相對獨特的安全區(qū)域。我們在這里所指的機房的 范圍包括了各種類型的

15、(包括了廣義上正規(guī)的和非正規(guī)的)計算機房和相應的配套設備間、 工作間和輔助間。同時，我們將以下這些相對獨特的安全區(qū)域也列入機房的概念范疇。 網(wǎng)絡及通訊設備間 配線間 小機柜 4規(guī)范引用的文件或標準 下列文件中的條款通過本標準的引用而成為本標準的條款。凡是不注日期的引用文件，其 最新版本適用于本標準。 1. gb50174-93 電子計算機機房設計規(guī)范 2. sj/t30003-93 電子計算機機房施工及驗收規(guī)范 3. gb9361-88 計算站場地安全要求 4. gb2887-2000 電子計算機場地通用規(guī)范 5. gb6650-86 計算機機房用活動地板技術條件 6. gb500052供配電

16、系統(tǒng)設計規(guī)范 7. gb50057-94 建筑物防雷設計規(guī)范 8. gb50045-95 高層民用建筑設計防火規(guī)范 9. gbj16-87 建筑設計防火規(guī)范 5術語和定義 計算機場地計算機場地 計算機系統(tǒng)的安置地點，計算機供電、空調(diào)以及該系統(tǒng)維修和工作人員的 工作場所。 計算機機房計算機機房 是計算站場地最主要的房間，放置計算機系統(tǒng)主要設備的地點。 機房機房 同計算機機房。 安全等級安全等級 為表示信息的不同敏感度, 按保密程度不同對信息進行層次劃分的組合或集 合。 訪問控制訪問控制 根據(jù)客體所包含信息的敏感性以及主體訪問此類敏感信息的權限,限制主體 訪問客體的方法。 認證認證 驗證用戶、設備

17、和其他實體的身份驗證數(shù)據(jù)的完整性。 審計審計 對影響系統(tǒng)安全的各種活動進行記錄并為系統(tǒng)安全員提供安全管理依據(jù)的程序。 授權授權 在確認了訪問者身份之后，根據(jù)不同訪問者權限的設定賦予其相應的權利和義務的 過程。 日志日志 一種信息的匯集, 記錄有關對系統(tǒng)操作和系統(tǒng)運行的全部事項，提供了系統(tǒng)的歷 史狀況。 隔離隔離 為防止其他用戶或程序的非授權訪問, 把操作系統(tǒng)、用戶程序、數(shù)據(jù)文件加以彼 此獨立存儲的行為。 活動地板活動地板 是指計算機機房內(nèi)安裝的、可靈活裝、拆的地板。 溫感探測器溫感探測器 指在物質(zhì)燃燒時，使周圍空氣溫度升高致使發(fā)生報警信號的裝置。 煙感探測器煙感探測器 指物質(zhì)因燃燒或發(fā)熱而分解

18、生成的煙霧致使發(fā)出報警信號的裝置。 二次破壞二次破壞 由于為了消滅火災而采取的滅火方法不當，造成對設備、信息等的再次破壞。 接地接地 計算機系統(tǒng)的直流地、交流工作地、安全保護地和防雷保護地與大地之間的關系。 電磁干擾電磁干擾 一些電器、電子設備工作時所產(chǎn)生的電磁波，容易對周圍的其他電氣、電子設 備形成電磁干擾，引發(fā)故障或者影響信號的傳輸。此外，過度的電磁干擾會形成電磁污 染，危害人們的身體健康，破壞生態(tài)平衡。 電磁泄漏電磁泄漏 是指電子設備的雜散（寄生）電磁能量通過導線或空間向外擴散。任何處于工 作狀態(tài)的電磁信息設備，如：計算機、打印機、傳真機、電話機等，都存在不同程度的 電磁泄漏。 在線式在

19、線式 ups ups 的一種類型，其逆變器始終處于工作狀態(tài)，它首先通過電路將外部交 流電轉變?yōu)橹绷麟?，再通過高質(zhì)量的逆變器將直流電轉換為高質(zhì)量的正弦波交流電輸出 給計算機。 直流工作接地直流工作接地 計算機本身的邏輯參考地。 交流工作交流工作接接地地 在電力系統(tǒng)中，運行需要的接地(如中性點接地)。 安全保護安全保護接接地地 電力設備的金屬外殼等，由于絕緣被損壞有可能帶電，為了防止這種電壓 危及人身和設備安全而設的接地。 接地電阻接地電阻 接地體或自然接地估對地電阻和接地線電阻的總和。 不間斷供電系統(tǒng)不間斷供電系統(tǒng) ups 確保計算機不停止工作的供電系統(tǒng)。 凈高凈高 活動地板的板面或安裝設備的地

20、表面至頂棚的高度。 身份識別身份識別 對 it 相關硬件設備進行訪問的訪問者進行鑒別確認其身份，識別方法包括： pin 碼、智能卡和生物特征識別。 智能卡智能卡 是一種安裝有集成電路芯片，用于存儲和處理數(shù)據(jù)的塑料卡片。智能卡中存有用 戶數(shù)據(jù)信息和密鑰，是目前最有效的身份認證手段之一。 生物體征識別生物體征識別 是指通過計算機利用人體所固有的生理特征或行為特征來進行個人身份識 別和（或）驗證目的。常用的生物特征包括：指紋、掌紋、虹膜、臉像等 關鍵級機房關鍵級機房 放置了整個公司企業(yè)級應用服務器或公司的核心主干網(wǎng)絡設備的計算機機房。 該機房一旦出現(xiàn)安全故障會直接影響到公司總部和各專業(yè)公司的信息系統(tǒng)

21、的正常運作， 從而影響公司總部和各專業(yè)公司的業(yè)務運作，同時會對公司帶來巨大的經(jīng)濟上或名譽上 的損失。 重要級機房重要級機房 放置了地區(qū)公司部門級應用服務器或非核心主干網(wǎng)絡設備的計算機機房。該 區(qū)域一旦出現(xiàn)信息安全故障會直接影響到一個或多個地區(qū)公司的信息系統(tǒng)的正常運作， 從而間接的影響一個或多個地區(qū)公司的運作，同時會對公司帶來明顯的經(jīng)濟上或名譽上 的損失。 普通級機房普通級機房 放置了非重要業(yè)務部門或下屬公司普通應用服務器或普通網(wǎng)絡設備的計算機 機房。該區(qū)域出現(xiàn)信息安全故障僅影響到本業(yè)務單元的信息系統(tǒng)的正常運作，會對公司 帶來較小的業(yè)務影響和損失。 其它設備間其它設備間 僅放置了單機設備或機房配

22、套或網(wǎng)絡交換等普通設備的輔助間。若該區(qū)域出 現(xiàn)信息安全故障僅影響本業(yè)務單元的一個環(huán)節(jié)正常運轉，對公司業(yè)務帶來較小的業(yè)務影 響和損失。 6理論基礎 6.1安全生命周期理論 其中響應恢復響應恢復的控制手段屬于業(yè)務連貫性管理范疇，因此該控制手段沒有包含在信息安全技術架構中。其中響應恢復響應恢復的控制手段屬于業(yè)務連貫性管理范疇，因此該控制手段沒有包含在信息安全技術架構中。 本規(guī)范主要描述了對于各種不同類型的機房環(huán)境相關的安全考慮，因此從安全生命 周期理論的角度來講主要通過以下四個安全控制手段對安全生命周期中的各個階段 進行保護： 對機房自身的保護對機房自身的保護確保各種機房環(huán)境自身的安全。主要從以下八

23、個方面進行描 述： 機房場地的環(huán)境選擇和設計 機房環(huán)境控制規(guī)范（參照 gb2887-2000 和國家機房標準） 機房建筑安全規(guī)范（參照國家機房標準 機房電氣技術安全規(guī)定（參照國家機房標準） 消防與安全相關規(guī)范 （參照國家機房標準 給水排水相關規(guī)范 其它設備間安全規(guī)范 自然災害防御 生生命命周周期期理理論論 預預防防 預預防防 保保護護 保保護護 檢檢測測跟跟蹤蹤 檢檢測測跟跟蹤蹤 相相應應恢恢復復 相相應應恢恢復復 認認證證與與授授權權 內(nèi)內(nèi)容容安安全全 訪訪問問控控制制 審審計計 & 跟跟蹤蹤 響響應應 & 恢恢復復 階段步驟 控制手段 生生命命周周期期理理論論 預預防防 預預防防 保保護護

24、 保保護護 檢檢測測跟跟蹤蹤 檢檢測測跟跟蹤蹤 相相應應恢恢復復 相相應應恢恢復復 認認證證與與授授權權 內(nèi)內(nèi)容容安安全全 訪訪問問控控制制 審審計計 & 跟跟蹤蹤 響響應應 & 恢恢復復 生生命命周周期期理理論論 預預防防 預預防防 保保護護 保保護護 檢檢測測跟跟蹤蹤 檢檢測測跟跟蹤蹤 相相應應恢恢復復 相相應應恢恢復復 生生命命周周期期理理論論 預預防防 預預防防 保保護護 保保護護 檢檢測測跟跟蹤蹤 檢檢測測跟跟蹤蹤 相相應應恢恢復復 響響應應恢恢復復 認認證證與與授授權權 內(nèi)內(nèi)容容安安全全 訪訪問問控控制制 審審計計 & 跟跟蹤蹤 響響應應 & 恢恢復復 階段步驟 控制手段 對機房訪

25、問者的識別對機房訪問者的識別通過對各種機房進行訪問的訪問者進行識別，并且賦 予這些訪問者恰當?shù)臉酥尽撕?、證書等。主要包括了： 身份識別方式使用規(guī)范 pin 碼使用規(guī)范 智能卡相關標準 (smart card) 用戶生物體征 對機房訪問者授權對機房訪問者授權在確認了訪問者身份之后，根據(jù)不同訪問者權限的設定 賦予其相應的權利和義務的過程。同時確認權限的有效期，在權限過 期之后及時地收回相應的權利和義務。主要包括了以下內(nèi)容： 外來訪問者管理規(guī)范 內(nèi)部員工授權管理規(guī)范 對訪問過程的審計跟蹤對訪問過程的審計跟蹤對于人員進出機房的情況進行日志管理，并定期的對日 志和人員權限進行審計。主要包括了以下內(nèi)容：

26、 外部訪問人員進出登記簿管理 電子門禁系統(tǒng)日志管理 日志定期的審計和人員權限的定期審核 訪問者訪問期間的管理辦法 6.2機房安全分級標準 機房安全等級區(qū)分表 機房類型機房類型定義定義信息系統(tǒng)信息系統(tǒng)/業(yè)業(yè) 務影響范圍務影響范圍 公司經(jīng)濟上或公司經(jīng)濟上或 名譽上的損失名譽上的損失 舉例舉例 關鍵級機房放置了整個公司企業(yè)級應用 服務器或公司的核心主干網(wǎng) 絡設備的計算機機房 公司總部和各專 業(yè)公司 巨大中國石油企業(yè)級總機房或 數(shù)據(jù)中心 重要級機房放置了地區(qū)公司部門級應用 服務器或非核心主干網(wǎng)絡設 備的機房 一個或多個地區(qū) 公司 明顯中國石油地區(qū)公司機房或 數(shù)據(jù)中心 普通級機房放置了非重要業(yè)務部門或下

27、 屬公司普通應用服務器或普 通網(wǎng)絡設備的計算機機房 小業(yè)務單元或部 門 較小某個部門內(nèi)部的小機房， 該類機房通常不是十分正 規(guī)，俗稱“簡易機房” 其它設備間僅放置了少量服務器設備或 機房配套設施或小型網(wǎng)絡設 備等普通設備的輔助間，如 小設備間、配線間和小機柜。 某個業(yè)務單元的 一個環(huán)節(jié) 相對較小每個辦公區(qū)域的配線間或 大樓的樓層配線間，辦公 區(qū)域內(nèi)放置了少量服務器 的區(qū)域等。 7機房物理環(huán)境安全 7.1機房場地的環(huán)境選擇和設計 7.1.1機房組成 依據(jù)計算機系統(tǒng)的規(guī)模、用途、任務、性質(zhì)、計算機對供電、空調(diào)等要求的不同 以及管理體制的差異可選用下列房間 (允許一室多用或酌情增加)。 注：不包括行

28、 政辦公等用房。 a)計算機主機房，是服務器，主控操作，網(wǎng)管等運行的區(qū)域。 b)基本工作房間有：數(shù)據(jù)錄入室、終端室、網(wǎng)絡設備室、已記錄的媒體存放室、 上機準備間。 c)第一類輔助房間有：備件間、未記錄的媒體存放間、資料室、儀器室、硬件 人員辦公室、軟件人員辦公室。 d)第二類輔助房間有：維修室、電源室、蓄電池室、發(fā)電機室、空調(diào)系統(tǒng)用房、 滅火鋼瓶間、監(jiān)控室、值班室。 e)第三類輔助房間有：儲藏室、更衣?lián)Q鞋室、緩沖間、機房人員休息室、盥洗 室等。 （本節(jié)內(nèi)容參照國標 gb2887-2000） 7.1.2計算機房面積 a)計算機機房的使用面積應按照下述兩種方法之一確定。 第一種方法為： s（57）

29、sb (1) 式中：s-計算機機房的面積，平方米； sb-指與計算機系統(tǒng)有關的并在機 房平面布置圖中占有位置的設備的 面積，平方米； sb-指計算機機房內(nèi)所 有設備占地面積的總和，平方米。 第二種方法為： ska (2) 式中：s-計算機機房的面積，平方米； a-計算機機房內(nèi)所有設備臺(架)的 總數(shù)； k-系數(shù)，取值(4.55.5)平方米/臺(架)。 b)計算機機房最小使用面積不得小于 30 平方米。 c)其它各類房間的使用面積，依據(jù)人員、設備及需要而定。 （本節(jié)內(nèi)容參照國標 gb2887-2000） 7.1.3機房建設環(huán)境安全性考慮 a)計算機機房在多層建筑或高層建筑物內(nèi)宜設于第二、三層。應

30、避免設在建筑 物的高層或地下室，以及用水設備的下層。 b)計算機機房應盡量建在電力、水源充足、自然環(huán)境清潔、通訊、交通運輸方 便的地方。 c)應當遠離產(chǎn)生粉塵、油煙、有害氣體以及生產(chǎn)應當遠離有害氣體源以及存放 腐蝕、易燃、易爆炸物的地方。 d)應盡量避免建在低洼、潮濕、落雷區(qū)和地震活動頻繁的地方。 e)應盡量遠離強振動源和強噪聲源。 f)應盡量避開強電磁場的干擾。當無法避開強電磁場干擾或為保障計算機系統(tǒng) 信息安全，可采取有效的電磁屏蔽措施。 g)上述各條如無法避免，應采取相應的技術措施。 （本節(jié)內(nèi)容參照國家機房標準） 7.1.4設備布置 a)計算機設備宜采用分區(qū)布置，一般可分為主機區(qū)、存貯器區(qū)

31、、數(shù)據(jù)輸入?yún)^(qū)、 數(shù)據(jù)輸出區(qū)、通信區(qū)和監(jiān)控制調(diào)度區(qū)等。具體劃分可根據(jù)系統(tǒng)配置及管理而 定。 b)需要經(jīng)常監(jiān)視或操作的設備布置應便利操作。 c)產(chǎn)生塵埃及廢物的設備應遠離對塵埃敏感的設備，并宜集中布置在靠近機房 的回風口處。 d)主機房內(nèi)通道與設備間的距離應符合下列規(guī)定： 1) 兩相對機柜正面之間的距離不應小于 1.5m； 2) 機柜側面（或不用面）距墻不應小于 0.5m，當需要維修測試時，則距墻不 應小于 1.2m； 3) 走道凈寬不應小于 1.2m。 （本節(jié)內(nèi)容參照國家機房標準） 7.2機房環(huán)境控制 （本節(jié)內(nèi)容參照國標 gb2887-2000） 7.2.1溫度、濕度 a)機房的溫度、濕度必須滿

32、足計算機設備、計算機網(wǎng)絡設備、計算機輔助設備、 信息存儲媒介的要求。 b)機房內(nèi)的溫、濕度應滿足下列要求：(參照 gb2887-2000) 表 1 開機時機房的溫、濕度 級別級別 項目項目 關鍵級機房關鍵級機房 夏季夏季 冬季冬季 重要級機房重要級機房普通級機房普通級機房 溫度() 232202 1530按設備規(guī)定的 溫度條件 相對濕度(%)45654070按設備規(guī)定的 濕度條件 溫度變化率(/h) 5 不得凝露10 不得凝露按設備規(guī)定的 溫度變化率 表 2 停機時機房的溫、濕度 級別級別 項目項目 關鍵級機房關鍵級機房重要級機房重要級機房普通級機房普通級機房 溫度()535535按設備規(guī)定的

33、 溫度條件 相對濕度(%)40702080按設備規(guī)定的 濕度條件 溫度變化率(/h) 5 不得凝露10 不得凝露按設備規(guī)定的 溫度變化率 c)信息媒體介質(zhì)庫的溫、濕度應符合下列要求： 1）常用媒體介質(zhì)庫的溫、濕度應與所處的安全區(qū)域相同； 2）其它媒體介質(zhì)庫的要求應按表 3 采用。 表 3 媒體介質(zhì)庫的溫、濕度 品種品種紙媒體紙媒體光盤光盤磁帶磁帶 已紀錄的已紀錄的 未紀錄的未紀錄的 磁盤磁盤 已紀錄的已紀錄的 未紀錄的未紀錄的 溫度550-205032550450 相對濕度40%-70%10%-95%20%-80%8%-80% 磁場強度3,200a/m4,000a/m 7.2.2防煙防塵 a)

34、 關鍵級和重要級機房的空氣含塵濃度，在表態(tài)條件下測試，每升空氣中大于 或等于 0.5m 的塵粒數(shù)，應少于 18,000 粒。 （本節(jié)內(nèi)容參照國標 gb2887-2000） 7.2.3防噪聲、電磁干擾及電磁泄漏 （本節(jié)內(nèi)容參照國家機房標準） 7.2.3.1防噪音 a)對不可避免的強噪音源應采取必要消音措施和隔離措施； b)關鍵級和重要級機房內(nèi)的噪聲，在計算機系統(tǒng)停機條件下，在主操作員位置 測量應小于 68db（a）。 7.2.3.2防電磁干擾 a)關鍵級和重要級機房內(nèi)無線電干擾場強，在頻率為 0.151,000mhz 時， 不應大于 126db。 b)關鍵級和重要級機房內(nèi)磁場干擾環(huán)境場強不應大于

35、 800a/m。 7.2.3.3防電磁泄漏 機房應采用適當?shù)姆雷o措施防止重要信息通過電磁輻射泄露。（但由于造價 比較昂貴，對于機房的電磁泄漏的防護不做強制性要求，有條件的用戶可以 根據(jù)自身實際情況參照執(zhí)行。） 通?？蓞⒖疾捎靡韵氯齻€主要防范措施： a)對主機房及重要信息存儲、收發(fā)部門進行屏蔽處理，即建設一個具有高效 屏蔽效能的屏蔽室，用它來安置主要運行設備，以防止高輻射設備的信號 外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項聯(lián)系、連接中均要采 取相應的隔離措施和設計，如信號線、電話線、空調(diào)、消防控制線，以及 通風波導門的關起等。 b)對本地網(wǎng)、局域網(wǎng)傳輸線路傳導輻射的抑制，由于電纜傳輸輻射信

36、息的不 可避免性，現(xiàn)均采用了光纜傳輸?shù)姆绞剑蠖鄶?shù)均在 modem 出來的設備 用光電轉換接口，用光纜接出屏蔽室外進行傳輸。 c)對終端設備輻射的防范。終端機尤其是 crt 顯示器，由于上萬伏高壓電 子流的作用，輻射有極強的信號外泄，但又因終端分散使用不宜集中采用 屏蔽室的辦法來防止，故現(xiàn)在的要求除在訂購設備上盡量選取低輻射產(chǎn)品 外，目前也可以采取主動式的干擾設備如干擾機來破壞對應信息的竊取。 7.3機房建筑安全 （本節(jié)內(nèi)容參照國家機房標準） 7.3.1建筑安全一般規(guī)定 a)計算機機房的建筑平面和空間布局應具有適當?shù)撵`活性，主機房的主體結構 宜采用大開間大跨度的柱網(wǎng)，內(nèi)隔墻宜具有一定的可變性。

37、 b)主機房凈高，應按機柜高度和通風要求確定。宜為 2.43.0m。 c)計算機機房的樓板荷載可按 5.07.5kn m2 設計。 d)計算機機房主體結構應具有耐久、抗震、防火、防止不均勻沉陷等性能。變 形縫和伸縮縫不應穿過主機房。 e)主機房中各類管線宜暗敷，當管線需穿樓層時，宜設計技術豎井。 f)室內(nèi)頂棚上安裝的燈具、風口、火災探測器及噴嘴等應協(xié)調(diào)布置, 并應滿足 各專業(yè)的技術要求。 g)計算機機房圍護結構的構造和材料應滿足保溫、隔熱、防火等要求。 h)計算機機房各門的尺寸均應保證設備運輸方面。 7.3.2機房出入口安全規(guī)定 a)計算機機房宜設單獨出入口，當與其它部門共用出入口時，應避免人

38、流、物 流的交叉。 b)計算機機房建筑的入口至主機房應設通道，通道凈寬不應小于 1.5m。 c)計算機機房宜設門廳、休息室和值班室。人員出入主機房和基本工作間應更 衣?lián)Q鞋。 d)主機房和基本工作間的更衣?lián)Q鞋間使用面積應按最大班人數(shù)的每人 13m2 計算。 當無條件單獨設更衣?lián)Q鞋間時，可將換鞋、更衣柜設于機房入口處。 e)計算機機房的耐火等級應符合現(xiàn)行國家標準高層民用建筑設計防火規(guī)范、 建筑設計防火規(guī)范及計算站場地安全要求的規(guī)定。 f)當計算機機房與其它建筑物合建時，應單獨設防火分區(qū)。 g)計算機機房的安全出口，不應少于兩個，并宜設于機房的兩端。門應向疏散 方向開啟，走廊、樓梯間應暢通并有明顯的

39、疏散指示標志。 h)主機房、基本工作間及第一類輔助房間的裝飾材料應選用非燃燒材料或難燃 燒材料。 7.3.3振動控制 a)當?shù)诙愝o助房間內(nèi)有強烈振動的設備時，設備及其通往主機房的管道，應 采取隔振措施。 7.4機房電氣技術安全 （本節(jié)內(nèi)容參照國家機房標準） 7.4.1供電和電纜 a)計算機機房用電負荷等級及供電要求安現(xiàn)行國家標準供配電系統(tǒng)設計規(guī)范 的規(guī)定執(zhí)行。 b)計算機場地的供電電源應滿足下列要求： 項目項目要求要求 頻率50hz 電壓380v/220v 相數(shù)三相五線或三相四線制/單相三 線制 c)供電電源根據(jù)計算機的性能、用途和運行方式（是否聯(lián)網(wǎng)）等情況，可參考 下表：（參照 gb287

40、7-2000） 級別級別 項目項目 關鍵級機房關鍵級機房重要級機房重要級機房普通級機房普通級機房 穩(wěn)態(tài)電壓偏 移范圍，% -5+5-10+10-15+10 穩(wěn)態(tài)頻率偏 移范圍，hz -0.2+0.2-0.5+0.5-1+1 電壓波形畸 變率，% 5710 允許斷電持 續(xù)時間，ms 04420002001500 d)計算機機房供配電系統(tǒng)應考慮計算機系統(tǒng)有擴充、升級等可能性，并應預留 備用容量。 e)主機房內(nèi)宜設置專用動力配電箱，機房內(nèi)其它電力負荷不得由計算機主機電 源和不間斷電源系統(tǒng)供電。 f)重要級及以上級別機房應采用交流不間斷電源系統(tǒng)供電。 g)當采用表態(tài)交流不間斷電源設備時，應按現(xiàn)行國家標

41、準供配電系統(tǒng)設計規(guī) 范和現(xiàn)行有關行業(yè)標準規(guī)定的要求，采取限制諧波分量措施。 h)機房低壓配電系統(tǒng)應采用頻率 50hz、電壓 220/380vtn-s 或 tn-c-s 系統(tǒng)。 電源系統(tǒng)應按設備的要求確定。 i)機房電源進線應按現(xiàn)行國家標準建筑防雷設計規(guī)范采取防雷措施。計算 機機房電源應采用地下電纜進線。當不得不采用架空進線時，在低壓架空 電源進線處或專用電力變壓器低壓配電母線處，應裝設低壓避雷器。 j)主機房內(nèi)應分別設置維修和測試用電源插座，兩者應有明顯區(qū)別標志。測試 用電源插座應由計算機主機電源系統(tǒng)供電。其它房間內(nèi)應適當設置維修用 電源插座。 k)主機房內(nèi)活動地板下部的低壓配電線路宜采用銅芯

42、屏蔽導線或銅芯屏蔽電纜。 l)活動地板下部的電源線應盡可能遠離計算機信號線,并避免并排敷設.當不能 避免時，應采取相應的屏蔽措施。 m) 電纜必須鋪設在線槽內(nèi)或地板下。 7.4.2 不間斷供電系統(tǒng)(ups) a)關鍵級機房應使用在線式 ups； b)如果供電系統(tǒng)無雙路供電且無備用發(fā)電機時，不間斷供電系統(tǒng)(ups)應能夠 根據(jù)設計的供電時間要求持續(xù)供電。 c)ups 設備和相應的電池組應定期檢查和維護(包括充電和放電)，以確保 ups 有充足供電能力保證在斷電的情況下設備在按照設計標準正常運作，同時按 制造商的建議進行測試。 d)適度控制好 ups 電源的連接負載，保證 ups 的負載量不超過其

43、額定功率的 85%； e)后備式 ups 不適宜用在對電源敏感的設備上； f)保護服務器的 ups 電源最好具有智能管理功能； g)ups 功率應該與保護對象的功率相匹配； h)禁止把電感性負載連接到 ups 電源上； i)不得頻繁開關 ups 電源。 7.4.3照明 a)計算機機房照明的照度標準應符合下列規(guī)定： 一、主機房的平均照度可按 200、300、500lx 取值； 二、基本工作間、第一類輔助房間的平均照度可按 100、150、200lx 取值。 三、第二、三類輔助房間應按現(xiàn)行照明設計標準的 規(guī)定取值。 b)計算機機房照度標準的取值應符合下列規(guī)定： 一、間歇運行的機房取低值； 二、持續(xù)

44、運行的機房取中值； 三、連續(xù)運行的機房取高值； 四、無窗建 筑的機房取中值或高值。 c)主機房、基本工作間宜采用下列措施限制工作面上的反射眩光和作業(yè)面上的 光幕反射。 一、使視覺作業(yè)不處在照明光源與眼睛形成的鏡面反射角上； 二、采用發(fā)光表面積大、亮度低、光擴散性能好的燈具； 三、視覺作業(yè)處 家具和工作房間內(nèi)應采用無光澤表面。 d)工作區(qū)內(nèi)一般照明的均勻度（最低照度與平均照度之比）不宜小于 0.7。非 工作區(qū)的照度不宜低于工作區(qū)平均照度的 1/5。 e)計算機機房內(nèi)應設置備用照明，其照度宜為一般照明的 1/10。備用照明宜為 一般照明的一部分。 f)計算機機房應設置疏散照明和安全出口標志燈，其照

45、度不應低于 0.51x。 g)計算機機房照明線路宜穿鋼管暗敷或在吊頂內(nèi)穿鋼管明敷。 h)大面積照明場所的燈具宜分區(qū)、分段設置開關。 i)技術夾層內(nèi)應設照明，采用單獨支路或專用配電箱（盤）供電。 7.4.4防靜電 機房內(nèi)地面及工作臺面的靜電泄漏電阻，應符合現(xiàn)行國家標準計算機機房用活 動地板技術條件的規(guī)定。（參見 gb50174-93 電子計算機機房設計規(guī)范 6.3） a)機房內(nèi)不用活動地板時，可鋪設導靜電地面，導靜電地面可采用導電膠與 建筑地面粘牢，導靜電地面的體積電阻率均應為 1.0107 1.01010cm，其導電性能應長期穩(wěn)定，且不易發(fā)塵。 b)關鍵級機房內(nèi)采用的活動地板可由鋼、鋁或其它阻

46、燃性材料制成。活動地 板表面應是導靜電的，嚴禁暴露金屬部分。單元活動地板的系統(tǒng)電阻應符 合現(xiàn)行國家標準計算機機房用活動地板技術條件的規(guī)定。 c)關鍵級機房內(nèi)的工作臺面及坐椅墊套材料應是導靜電的，其體積電阻率應 為 1.0107 1.01010cm。 d)房內(nèi)的導體必須與大地作可靠的聯(lián)接，不得有對地絕緣的孤立導體。 e)電地面、活動地板、工作臺面和坐椅墊套必須進行靜電接地。 f)接地的連接線應有足夠的機械強度和化學穩(wěn)定性.導靜電地面和臺面采用 導電膠與接地導體粘接時,其接觸面積不宜小于 10cm2。 g)主機房內(nèi)絕緣體的靜電電位不應大于 1kv。 7.4.5機房接地 a)機房接地裝置的設置應滿足

47、人身的安全及計算機正常運行和系統(tǒng)設備的安全 要求，機房應采用下列四種接地方式： 交流工作接地，接地電阻不應大于 4； 安全工作接地，接地電阻不應大于 4； 直流工作接地，接地電阻應按計算機系統(tǒng)具體要求確定； 防雷接地，應按現(xiàn)行國家標準建筑防雷設計規(guī)范執(zhí)行。 b)交流工作接地、安全保護接地、直流工作接地、防防雷接地等四種接地宜共 用一組接地裝置，其接地電阻按其中最小值確定；若防雷接地單獨設置接地 裝置時，其余三種接地宜共用一組接地裝置，其接地電阻不應大于其中最小 值，并應按現(xiàn)行國標準建筑防雷設計規(guī)范要求采取防止反擊措施。 c)對直流工作接地有特殊要求需單獨設置接地裝置的電子計算機系統(tǒng)，其接地 電

48、阻值及與其它接地裝置的接地體之間的距離，應按計算機系統(tǒng)及有關規(guī)定 的要求確定。 d)計算機系統(tǒng)的接地應采取單點接地并宜采取等電位措施。 e)當多個電子計算機系統(tǒng)共用一組接地裝置時，宜將各電子計算機系統(tǒng)分別采 用接地線與接地體連接。 f)靜電接地可以經(jīng)限流電阻及自己的連接線與接地裝置相連，限流電阻的阻值 宜為 1m。 7.5給水排水 7.5.1一般規(guī)定 a)關鍵級主機房不應安裝暖氣設施。 b)位于用水設備下層的計算機機房，應在吊頂上設防水層，并設漏水檢查裝置。 a)與主機房無關的給排水管道不得穿過主機房。 b)主機房內(nèi)的設備需要用水時，其給排水干管應暗敷，引入支管宜暗裝。管道 穿過主機房墻壁和樓

49、板處，應設置套管，管道與套管之間應采取可靠的密封 措施。 c)主機房內(nèi)如設有地漏，地漏下應加設水封裝置，并有防止水封破壞的措施。 d)計算機機房內(nèi)的給排水管道應采用難燃燒材料保溫。 7.5.2系統(tǒng)和管材 a)計算機機房應根據(jù)設備、空調(diào)、生活、消防等對水質(zhì)、水溫、水壓和水量的 不同要求分別設置循環(huán)和直流給水系統(tǒng)。 b)循環(huán)冷卻水系統(tǒng)應按有關規(guī)范進行水質(zhì)穩(wěn)定計算，并采取有效的防蝕、防腐、 防垢及殺菌措施。 c)計算機機房內(nèi)的給排水管道必須有可靠的防滲漏措施，暗敷的給水管道宜用 無縫鋼管，管道連接宜用焊接。 d)循環(huán)冷卻水管可采用工程塑料管或鍍鋅鋼管。 7.6消防與其他安全規(guī)范 （本節(jié)內(nèi)容參照國家機

50、房標準） 7.6.1消防安全一般規(guī)定 a)計算機主機房、基本工作間應設二氧化碳或鹵代烷滅火系統(tǒng)，并應按現(xiàn)行有 關規(guī)范的要求執(zhí)行。 b)計算機機房應設火災自動報警系統(tǒng)，并應符合現(xiàn)行國家標準火災自動報警 系統(tǒng)設計規(guī)范的規(guī)定。 c)報警系統(tǒng)和自動滅火系統(tǒng)應與空調(diào)、通風系統(tǒng)聯(lián)鎖?？照{(diào)系統(tǒng)所采用的電加 熱器，應設置無風斷電保護。 d)計算機機房的安全設計，除執(zhí)行本章的規(guī)定外，尚應符合現(xiàn)行國家標準計 算站場地安全要求的規(guī)定。 e)計算機用于非常重要的場所或發(fā)生災害后造成非常嚴重損失的電子計算機機 房，在工程設計中必須采取相應的技術措施。 7.6.2消防設施 a)機房的防火建筑構造、耐火等級、滅火系統(tǒng)應遵照

51、國標建筑設計防火規(guī)范 （gbj16-87）、高層民用建筑設計防火規(guī)范（gb50045-97）。 b)室內(nèi)裝修應遵照國標建筑內(nèi)部裝修設計防火規(guī)范（gb50222_95），宜 采用非燃燒材料或難燃燒材料。 c)在機房內(nèi)、基本工作房間內(nèi)、活動 地板下、吊頂里、主要空調(diào)管道中及易 燃物附近部位應設置煙、溫感探測器。 d)必須配備火災報警及消防設施。且滅火器應當盡量放置在走道等明顯的位置。 e)應設置火災報警裝置（遵照國標火災自動報警系統(tǒng)設計規(guī)范 gbj116_88） 。必須設置煙、溫感探測器。 f)在條件許可的情況下，應設置鹵代烷 1211、1301 自動消防系統(tǒng)，并備有鹵 代烷 1211、1301

52、滅火器。 g)凡設有鹵代烷滅火裝置的電子計算機機房，應配置專用的空氣呼吸器或氧氣 呼吸器。 h)除紙介質(zhì)等易燃物質(zhì)外，禁止使用水、干粉或泡沫等易產(chǎn)生二次破壞的滅火 劑。 i)計算機機房內(nèi)存放廢棄物應采用有防火蓋的金屬容器。 計算機機房內(nèi)存放 記錄介質(zhì)應采用金屬柜或其它能防火的容器。 j)主機房出口應設置向疏散方向開啟且能自動關閉的門。并應保證在任何情況 下都能從機房內(nèi)打開。 7.6.3其他安全規(guī)范 a)機房及其周圍地區(qū)嚴禁放置易燃易爆物品。 b)在關鍵級機房的出入口、通道和重要設施處應設置閉路監(jiān)視系統(tǒng)（catv）。 c)機房內(nèi)及其周圍地區(qū)嚴禁放置有害的、腐蝕性化學物質(zhì)物品。機房內(nèi)腐蝕性 氣體二

53、氧化硫 = 0.15mg/l，硫化氫 = 0.01mg/l。 d)在易受鼠害的場所應采取堵塞等防范措施，同時設置捕鼠設施，電纜和電線 上應涂敷驅鼠藥劑。 7.7其它設備間 a)其它設備間應遵照相關設備對環(huán)境要求； b)應保持設備間清潔、干燥、通風、避免強光直射； c)保持合適的溫度和濕度； d)采用穩(wěn)定可靠的供電源，必要的情況下也可以采用 ups 等備用供電保護； e)應設有基本消防裝置和放火措施。 f)對于特別重要的設備間可以采用攝像頭進行監(jiān)控。 g)嚴禁防止易燃易爆物品和有害的化學物質(zhì)。 7.8自然災害防御 自然災害往往難以預料，防御自然災害最有效的手段是在災害到來前盡早做好準備， 在災難

54、發(fā)生時將損失減小到最低。在災害多發(fā)區(qū)應建立相應災害預警機制和災難恢 復機制。 7.8.1雷擊防范 機房可遵照國標 gb50057建筑防雷設計規(guī)范中第三類防雷建筑物要求采取 相應的防雷措施。這里列舉一般規(guī)定： a)各類防雷建筑物應采取防直擊雷和防雷電波侵入的措施。 b)裝有防雷裝置的建筑物， 在防雷裝置與其它設施和建筑物內(nèi)人員無法隔離 的情況下，應采取等電位連接。 c)防雷建筑物防直擊雷的措施，宜采用裝設在建筑物上的避雷網(wǎng)（帶）或避雷 針或由這兩種混合組成的接閃器。避雷網(wǎng)（帶）應按相關規(guī)定沿屋角屋脊、 屋檐和檐角等易受雷擊的部位敷設。并應在整個屋面組成不大于 20m20m 或 24m16m 的網(wǎng)

55、格。 d)每根引下線的沖擊接地電阻不宜大于 30，其接地裝置宜與電氣設備等接地 裝置共用。防雷的接地裝置宜與埋地金屬管道相連。當不共用、不相連時， 兩者間在地中的距離不應小于 2m。 e)建筑物宜利用鋼筋混凝士屋面板、粱、 柱和基礎的鋼筋作為接閃器、引下 線和接地裝置。 f)當土壤電阻率 小于或等于 3000m 時，在防雷的接地裝置同其它接地裝 置和進出建筑物的管道相連的情況下，防雷的接地裝置可不計及接地電阻值。 g)磚煙囪、鋼筋混凝土煙囪， 宜在煙囪上裝設避雷針或避雷環(huán)保護。多支避 雷針應連接在閉合環(huán)上。 h)引下線不應少于兩根，但周長不超過 25m 且高度不超過 40m 的建筑物可只 設一

56、根引下線。引下線應沿建筑物四周均勻或對稱布置，其間距不應大于 25m。當僅利用建筑物四周的鋼柱或柱子鋼筋作為引下線時， 可按跨度設 引下線，但引下線的平均間距不應大于 25m。 i)防止雷電流流經(jīng)引下線和接地裝置時產(chǎn)生的高電位對附近金屬物或線路的反 擊。 j)在雷電頻繁區(qū)域，應裝設浪涌電壓吸收裝置。 k)應當安裝防雷保安器以防止感應雷對計算機系統(tǒng)的破壞。具體防雷保安器的 相關規(guī)范可以參見國家標準計算機信息系統(tǒng)防雷保安器ga173-1998。 7.8.2地震防范 地震多發(fā)地區(qū)，機房應依據(jù)國家有關規(guī)范采取相應的保護措施。 7.8.3水災防范 在水災易發(fā)生的地區(qū)，機房的位置不能在地表水平面或地表以下

57、的位置。建議將 機房設置在二樓或更高的位置。 7.8.4臺風防范 在臺風易發(fā)生的地區(qū)，建議建筑物遵循防范臺風的相關規(guī)定。 8人員出入機房相關的管理規(guī)范 8.1人員身份識別 機房采用的人員身份識別方法應遵循下表要求 安全級別安全級別 身份識別方法身份識別方法 關鍵級關鍵級 機房機房 重要級重要級 機房機房 普通級普通級 機房機房 其他設其他設 備間備間 pin 碼(用戶所知)+ 智能卡(用戶所持)+ - 生物鑒別(用戶生物體征) - 表中符號說明：-：不要求； ：要求；：可選 所有的存放重要信息資產(chǎn)的機房環(huán)境都至少需要使用門鎖進行基礎的保護。 對于關鍵級機房應當采用兩種身份識別方式組合，比如采用

58、 pin 碼結合智能卡 的方式或 pin 碼結合生物鑒別的方式等。 重要級機房選擇一種合適的身份識別方式即可。可以采用 pin 碼身份識別或采 用智能卡身份識別。生物鑒別技術由于建設成本較高因此通常不建議采用。 普通級機房可以選擇一種合適的身份識別方式如 pin 碼或智能卡，或采用普通 的門鎖進行保護。 其他類型的機房沒有強制的規(guī)定，但都必須安裝如門鎖等必須的防護措施。 舉例：機房門禁系統(tǒng) 在數(shù)據(jù)中心主樓的入口處可以設置智能卡身份識別的方式，凡是有可以進入機房的ic卡的人員可以 通過。在進入數(shù)據(jù)中心后又會有許多的不同的機房需要不同的門禁系統(tǒng)支持，如信息相對不十分敏感 的機房區(qū)域門禁系統(tǒng)可以采用

59、人員輸入pin碼的方式進入，而信息十分敏感的機房區(qū)域的門禁系統(tǒng)可 以采用或的技術。 8.1.1pin 碼使用 a)每隔 90 天修改口令。 b)明確每個用戶使用 pin 碼的責任。 c)用戶需要保守 pin 碼的秘密性，不要將密碼告訴任何不相關的人。 d)用戶需要避免保留 pin 碼的字面紀錄或電子紀錄。 e)用戶需要避免將 pin 碼通過 email、電話等任何電子的或紙質(zhì)的方式傳播出 去。 f)pin 碼的最短長度不得低于 6 位。 g)避免使用與個人有關數(shù)據(jù)（如生日、身份證字號、單位簡稱、電話號碼、同 事名字等）當做 pin 碼。 h)避免在不同的應用情況下使用同樣的 pin 碼。 i)

60、任何時候有跡象表明 pin 碼可能已經(jīng)泄漏或受損害時要立即更換。 8.1.2智能卡相關標準 (smart card) 智能卡是一種安裝有集成電路芯片，用于存儲和處理數(shù)據(jù)的塑料卡片。智 能卡中存有用戶數(shù)據(jù)信息和密鑰，是目前最有效的身份認證手段之一。智 能卡具有安全性高、防偽性好、可靠性高、信息存儲量大及使用簡便的特 點。 目前對于智能卡的物理特性和技術特性和通訊協(xié)議有嚴格的相關標準，但 用作身份認證時沒有具體的使用管理規(guī)范。以下列舉了一些國際上關于智 能卡的物理特性、技術特性和通訊協(xié)議相關的標準，僅供參考： a)iso7816采用最廣泛的智能卡標準。我國已采用其第一、二、三部分為 中國標準 。此