计算机机房安全风险现场检查指南.docx

计算机机房安全风险现场检查指南h计算机机房建设计算机机房检查重点主要有：商业银行的计算机机房及机房所在建筑物的选址、基础设施、功能分区、管理、维护、应急体系和外包服务等内容。通过现场检查督促商业银行规范计算机机房建设、维护、监控和应急晌应等相关操作，加强计算机机房管理，规避业务中断风险，从物理环境/计算机机房层面确保商业根行的业务连续运行。计算机机房检查采取调阅资料、实地勘测和询问谈话的形式。检查项1：计算机机房选址基本要求：(I)物理建筑应避开危险程度高的地区，如洎库和其它易燃、易爆物附近的区域：避开尘埃、有毒气体、腐蚀性气体等环境污染的区域；避开低洼、潮湿及多雷区域；避开强震动源和强噪声源区域；避开强电场和强檄场区域；避开有地震和水灾危害的区域;(2)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；(3)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁，一般在建筑物的二到三层。应根据设备的外形尺寸、所需工作场地的大小确定主机房面积。主机房净高应为2.5米到3.2米。检查方法、步I1.h(I)实地勘察建筑物和计算机机房周围的环境;(2)调阅建筑物和机房的检测、险收报告，了解相关情况。检杳项2：机房功能分区基本要求：（1）计算机机房的组成应按计算机设备运行的特点及具体要求确定，一般分为主机房、基本工作间、第一辅助房间、第二辅助房间等：主机房又分为核心设备区，操作区，供电区（UPS间、电池间、油机间、高压间、变压器间、低压间），钢瓶间和监控间等。2、机房内主要走道宽度NI.5m,次要走道宽度不小于08m,机架列间间距21.Om,两相对机柜正面距离21.5m,机柜侧面距墙/O.5m,当需要维修测试时距墙N1.2m。检查方法、步寰：（1）实地查看机房的功能分区，判断其划分是否合理，是否满足机构实际业务需要；（2）实地测量相关距离。检查项3：计算机机房基础设施建设基本要求：（I）供电系统及其负载的冗余情况。机房供电应与其它市电供电分开；供电设备的容量应留有余量；应在机房供电线路上配置稳压器和过电压防护设备；提供短期的备用电力供应（如UPS设备、UPS设备是否双回路互备），至少满足设备在断电情况下的正常运行要求（至少2小时）；应设置冗余或并行的电力电缆线路为机房设备供电（来自不同变电站的双回路市电供电）；应建立备用供电系统（如备用发电机、备用发电机燃料应充足），备用供电系统应能够自动启动；（2）空调系统的有效性和冗余情况。计算机机房应采用专用精密空调设备，空调系统的主要设备应有备份，空调设备在能量上应有一定的余量；应尽量采用风冷式空调设备，空调设备的室外部分应安装在便于维修和安全的地方；采用水冷式空调设备时，应设置漏水报警装置，井设置防水小堤，还应注意冷却塔、泵、水箱等供水设备的防冻、防火措施；（3）安装在活动地板及吊顶上的送、回风口应采用难燃材料或非燃材料；新风系统应安装空气过滤器，新风设备主体部分应采用难燃材料或非燃材料；机房及相关的工作房间和辅助房应采用具有适当耐火等级的建筑材料；（4）消防系统的有效性。机房应设置火灾报警装置，在机房内、基本工作房间内、活动地板下、吊顶里、主要空调管道中及易燃物附近部位应设置烟、温感探测器，自动检测火情，自动报警，并自动灭火；设置卤代烷1211、1301自动消防系统，并备有卤代烧1211、1301灭火器；除纸介质等易燃物质引发的火灾外，禁止使用水、干粉或泡沫等易产生二次破坏的灭火剂；机房应采取区域隔离防火措施，将重要设备与其他设备隔离；定期检测消防系统，确保灭火器和灭火剂有效；严禁挤占消防通道；（5）通信及布线系统的情况。定期维护检修建筑物及机房内的通讯设备，保持通信系统的畅通；机房内值班电话保持畅通；机房线缆应有序部署，线缆标签完整、清晰，标签编码规则应便于保密与内部维护；所有的配线电缆、连接硬件、跳线、连接线等类别必须相一致；机房内所有线缆预先布放至机架内配线架，并在配线架端口上标明对应机架编号;布缆裁剪整齐、美观，所有线缆应标明型号及连接方向；严禁悬空或飞线；（6）防盗窃系统有效性。应将主要设备放置在机房内；应将设备或主要部件进行固定，并设置明显的不易除去的标记；应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；应对介质分类标识，存储在介质库或档案室中；应利用光、电等技术设置机房防盗报警系统、监控报警系统；（7）防雷系统的有效性。机房建筑应设置避雷装置：应设置防雷保护器，防止感应雷；应设置交流电源地线；（8）防水、防潮系统的有效性。水管安装不得穿过机房屋顶和活动地板下；应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警；（9）防静电的有效性。设备应采用必要的接地防静电措施；机房应采用防静电地板；采用静电消除器等装置，减少静电的产生；（10）温湿度控制的有效性。机房应设置温湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。机房温度变化范围为18-28C,湿度变化范围为40%-70%o（I1.）电磁防护系统的有效性。应采用接地方式防止外界电磁干扰和设备寄生耦合干扰，交流工作接地、安全保护接地，接地电阻不应大于4欧姆；电源线和通信线缆应隔离铺设，避免互相干扰。电磁场干扰环境场强应满足GB2887中的有关要求；（12）在易受鼠害的场所，机房内的电缆和电线上应涂敷驱鼠药剂或设置捕鼠或驱鼠装置；（13）机房防尘，窗户应封闭处理。检交方法、步聚：（1）调阅建筑物和机房的检测、险收报告，判断相关指标是否符合国家标准的规定；（2）实地勘察计算机机房各项设施的设置、维护和管理是否达标，检查其维护日志中温湿度控制情况（以上所列指标为A类机房级别设定，指标详细设定和测量方法请参照电子计算机场地通用规范（GB/T2887-2000）,计算站场地安全要求GB9361-88,B类、C类机房请参照相关标准）。检查项4:计算机机房的环境要求基本要求：（1）建筑物应设置外部边界的保护系统或入侵检测系统；（2）包含建筑物和计算机机房的周边在物理上应是安全的（即在周边区域内不应存在易于闯入的任何缺口）；场地的外墙应是坚固结构，所有外部门应有适当保护以防止未授权进入，例如，控制机制、门闩、报警器和锁等；（3）控制场地、建筑物物理访问的手段应到位，进入场地或建筑物应仅限于已授权人员；（4）安全边界的所有防护门应可发出报警信号、应被监视并经过检验，应紧闭。防护门和墙都应达到相关标准所规定的抵抗强度；（5）如果需要，物理屏障应从计算机机房真正的地板（包括地板和地板下的空间）扩展到真正的天花板（包括天花板和天花板上的空间），以防止未授权进入和由诸如火灾和水灾所引起的环境污染；（6）应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理；（7）应指定专门部门负责机房安全，并配备机房安全管理人员，对机房的出入、服务器的开机或关机等工作进行管理；（8）应建立机房安全管理制度，对有关机房物理访问、物品带进、带出机房和机房环境安全等方面的管理作出规定；（9）应加强对办公环境的保密管理，规范办公人员行为，包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸质文件等；（10）应对机房和办公环境实行统一策略的安全管理，对出入人员进行相应级别的授权，对进入重要安全区域的活动行为实时监视和记录；（ID应采用清理桌面和清空屏幕策略；（12）标识敏感信息处理设施位置的目录和内部电话簿不要轻易被公众获取。检查方法、步U:（1）实地检查建筑物的保安情况、保安设施和保安措施是否到位，是否符合标准。检查人员访问授权情况；（2）实地检查建筑物和机房的周边安全是否符合标准要求。查看安全周边系统定期维护记录和检修记录；（3）通过实地查看、面谈和调阅相关资料（日志记录等），检查计算机机房、相关设施、存储介质和相关数感信息的安全维护和管理是否到位。检查项5：计算机机房日常维护基本要求：（1）应对机房的供电系统、空调系统、消防系统、通信系统、防雷系统、环境检测系统、电磁防护系统等定期检测，实时监控相关设备的运行状况，及时处理设备运行中出现的问题：（2）应规范机房存储介质管理，存储介质应存放在上锁的柜子或其他形式的安全器具中；磁介质应采取电磁保护；（3）应确保机房技术文档、操作档案、操作手册与日志规范、完备和有效；定期对维护日志、系统监控日志进行分析；机房维护变更后，应及时更新技术文档、操作档案、操作手册，并及时通知和培训相关人员；负责人和运行维护人员通讯录（包括服务商和外部协作单位）应该放置在明显位置；确保关键人员有两种以上有效联系方式，并定期更新。检查方法、步豪：（I）检查计算机机房的日常维护日志、系统监控日志、值班日志、检测报告、技术文档和操作档案，判断其是否真实、完备和有效；（2）实地查看各系统的运行状况，存储介质、日志、文档的保管和使用情况。2计算机机房管理计算机机房安全管理应该有详细的应急预案，并定期演练，确保机房的正常安全运行。检查项1:计算机机房安全管理基本要求：（I）应制定机房安全工作的思体方针和安全策略，说明安全工作的总体目标、范围、原则和框架等；应建立机房安全管理制度；应建立机房操作规程；应指定或授权专门的部门或人员负责安全管理制度的制定；安全管理制度应具有统一的格式，并进行版本控制；应组织相关人员对制定的安全管理制度进行论证和审定；安全管理制度应通过正式、有效的方式发布并定期评估、更新；安全管理制度应注明发布范围，并对收发文进行登记；有密级的安全管理制度，应注明安全管理制度密级，并按密级管理；（2）应设立负责机房安全管理工作的职能部门，设立安全主管、安全管理等各方面的岗位，并定义各岗位的职责；（3）应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训；应对安全责任和惩戒措施进行书面规定并告知相关人员，对违反安全策略和规定的人员进行惩戒：应对定期安全教育和培训进行书面规定；应对安全教育和培训的情况和结果进行记录并归档保存。检查方法、步骤：（I）通过座谈和调阅相关资料，了解机房安全工作的总体方针、安全策略、安全组织架构、操作规程、人员职责以及安全管理制度的相关情况；（2）约谈相关人员了解其职责履行、教育培训、安全意识和制度执行情况，判断相关安全工作落实情况;（3）检查安全教育和培训情况的记录。检查项2:计算机机房集中监控系统基本要求：（1）应通过值班等制度，确保通信线路、环境监控系统、防盗监控系统等7*24小时有效运行，形成记录并妥善保存。实时监控所获取的内容至少保存3个月，非定时监控所获取的内容至少保存3年；有实时交易服务的数据中心应实行24小时值班，值班人员至少应有2名，并在数据工作区做到双进双出；（2）应组织相关人员定期对监测和报警记录进行分析和评审，审定有无可疑行为，形成分析报告，并采取必要的应对措施；（3）应制定监控系统报警事件处理流程，并对相关人员进行培训。检查方法、步豪：（1）查看计算机机房监控和值班的记录和日志，检查计算机机房监控和值班的相关制度落实情况；（2）就监测和报警记录分析情况约谈相关人员，判断其做法是否有效；（3）查看监控系统报警事件处理流程是否合理有效，并检查相关人员的执行情况。检杳项3:计算机机房安全区域访问控制基本要求：（1）关键和敏感的业务信息处理设施应放置在安全区域内，并受到已定义的安全周边、适合的安全屏障和入口控制的保护。这些设施应在物理上避免未授权访问、损坏和干扰；（2）安全区域访问用户和权限的管理应由专门部门执行。对安全区域的访问者应办理进入手续，记录他们进入和离开的时间，并予以监督。只能允许他们访问特定的、已授权的目标，并要向他们宣布关于该区域安全要求和必要的应急规程的说明。访问敏感信息和信息处理设施应受