計算機機房安全風險現(xiàn)場檢查指南_第1頁
計算機機房安全風險現(xiàn)場檢查指南_第2頁
計算機機房安全風險現(xiàn)場檢查指南_第3頁
計算機機房安全風險現(xiàn)場檢查指南_第4頁
計算機機房安全風險現(xiàn)場檢查指南_第5頁
已閱讀5頁,還剩6頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

計算機機房安全風險現(xiàn)場檢查指南1、計算機機房建設計算機機房檢查重點主要有:商業(yè)銀行的計算機機房及機房所在建筑物的選址、基礎設施、功能分區(qū)、管理、維護、應急體系和外包服務等內容。通過現(xiàn)場檢查督促商業(yè)銀行規(guī)范計算機機房建設、維護、監(jiān)控和應急響應等相關操作,加強計算機機房管理,規(guī)避業(yè)務中斷風險,從物理環(huán)境/計算機機房層面確保商業(yè)銀行的業(yè)務連續(xù)運行。計算機機房檢查采取調閱資料、實地勘測和詢問談話的形式。檢查項1:計算機機房選址基本要求:(1)物理建筑應避開危險程度高的地區(qū),如油庫和其它易燃、易爆物附近的區(qū)域;避開塵埃、有毒氣體、腐蝕性氣體等環(huán)境污染的區(qū)域;避開低洼、潮濕及多雷區(qū)域;避開強震動源和強噪聲源區(qū)域;避開強電場和強磁場區(qū)域;避開有地震和水災危害的區(qū)域;(2)機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內;(3)機房場地應避免設在建筑物的高層或地下室,以及用水設備的下層或隔壁,一般在建筑物的二到三層。應根據設備的外形尺寸、所需工作場地的大小確定主機房面積。主機房凈高應為2.5米到3.2米。檢查方法、步驟:(1)實地勘察建筑物和計算機機房周圍的環(huán)境;(2)調閱建筑物和機房的檢測、驗收報告,了解相關情況。檢查項2:機房功能分區(qū)基本要求:(1)計算機機房的組成應按計算機設備運行的特點及具體要求確定,一般分為主機房、基本工作間、第一輔助房間、第二輔助房間等;主機房又分為核心設備區(qū),操作區(qū),供電區(qū)(UPS間、電池間、油機間、高壓間、變壓器間、低壓間),鋼瓶間和監(jiān)控間等。2、機房內主要走道寬度≥1.5m,次要走道寬度不小于0.8m,機架列間間距≥1.0m,兩相對機柜正面距離≥1.5m,機柜側面距墻≥0.5m,當需要維修測試時距墻≥1.2m。檢查方法、步驟:(1)實地查看機房的功能分區(qū),判斷其劃分是否合理,是否滿足機構實際業(yè)務需要;(2)實地測量相關距離。檢查項3:計算機機房基礎設施建設基本要求:(1)供電系統(tǒng)及其負載的冗余情況。機房供電應與其它市電供電分開;供電設備的容量應留有余量;應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備;提供短期的備用電力供應(如UPS設備、UPS設備是否雙回路互備),至少滿足設備在斷電情況下的正常運行要求(至少2小時);應設置冗余或并行的電力電纜線路為機房設備供電(來自不同變電站的雙回路市電供電);應建立備用供電系統(tǒng)(如備用發(fā)電機、備用發(fā)電機燃料應充足),備用供電系統(tǒng)應能夠自動啟動;(2)空調系統(tǒng)的有效性和冗余情況。計算機機房應采用專用精密空調設備,空調系統(tǒng)的主要設備應有備份,空調設備在能量上應有一定的余量;應盡量采用風冷式空調設備,空調設備的室外部分應安裝在便于維修和安全的地方;采用水冷式空調設備時,應設置漏水報警裝置,并設置防水小堤,還應注意冷卻塔、泵、水箱等供水設備的防凍、防火措施;(3)安裝在活動地板及吊頂上的送、回風口應采用難燃材料或非燃材料;新風系統(tǒng)應安裝空氣過濾器,新風設備主體部分應采用難燃材料或非燃材料;機房及相關的工作房間和輔助房應采用具有適當耐火等級的建筑材料;(4)消防系統(tǒng)的有效性。機房應設置火災報警裝置,在機房內、基本工作房間內、活動地板下、吊頂里、主要空調管道中及易燃物附近部位應設置煙、溫感探測器,自動檢測火情,自動報警,并自動滅火;設置鹵代烷1211、1301自動消防系統(tǒng),并備有鹵代烷1211、1301滅火器;除紙介質等易燃物質引發(fā)的火災外,禁止使用水、干粉或泡沫等易產生二次破壞的滅火劑;機房應采取區(qū)域隔離防火措施,將重要設備與其他設備隔離;定期檢測消防系統(tǒng),確保滅火器和滅火劑有效;嚴禁擠占消防通道;(5)通信及布線系統(tǒng)的情況。定期維護檢修建筑物及機房內的通訊設備,保持通信系統(tǒng)的暢通;機房內值班電話保持暢通;機房線纜應有序部署,線纜標簽完整、清晰,標簽編碼規(guī)則應便于保密與內部維護;所有的配線電纜、連接硬件、跳線、連接線等類別必須相一致;機房內所有線纜預先布放至機架內配線架,并在配線架端口上標明對應機架編號;布纜裁剪整齊、美觀,所有線纜應標明型號及連接方向;嚴禁懸空或飛線;(6)防盜竊系統(tǒng)有效性。應將主要設備放置在機房內;應將設備或主要部件進行固定,并設置明顯的不易除去的標記;應將通信線纜鋪設在隱蔽處,可鋪設在地下或管道中;應對介質分類標識,存儲在介質庫或檔案室中;應利用光、電等技術設置機房防盜報警系統(tǒng)、監(jiān)控報警系統(tǒng);(7)防雷系統(tǒng)的有效性。機房建筑應設置避雷裝置;應設置防雷保護器,防止感應雷;應設置交流電源地線;(8)防水、防潮系統(tǒng)的有效性。水管安裝不得穿過機房屋頂和活動地板下;應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透;應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透;應安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警;(9)防靜電的有效性。設備應采用必要的接地防靜電措施;機房應采用防靜電地板;采用靜電消除器等裝置,減少靜電的產生;(10)溫濕度控制的有效性。機房應設置溫濕度自動調節(jié)設施,使機房溫、濕度的變化在設備運行所允許的范圍之內。機房溫度變化范圍為18-28℃,濕度變化范圍為40%-70%。(11)電磁防護系統(tǒng)的有效性。應采用接地方式防止外界電磁干擾和設備寄生耦合干擾,交流工作接地、安全保護接地,接地電阻不應大于4歐姆;電源線和通信線纜應隔離鋪設,避免互相干擾。電磁場干擾環(huán)境場強應滿足GB2887中的有關要求;(12)在易受鼠害的場所,機房內的電纜和電線上應涂敷驅鼠藥劑或設置捕鼠或驅鼠裝置;(13)機房防塵,窗戶應封閉處理。檢查方法、步驟:(1)調閱建筑物和機房的檢測、驗收報告,判斷相關指標是否符合國家標準的規(guī)定;(2)實地勘察計算機機房各項設施的設置、維護和管理是否達標,檢查其維護日志中溫濕度控制情況(以上所列指標為A類機房級別設定,指標詳細設定和測量方法請參照《電子計算機場地通用規(guī)范》(GB/T2887-2000),《計算站場地安全要求》GB9361-88,B類、C類機房請參照相關標準)。檢查項4:計算機機房的環(huán)境要求基本要求:(1)建筑物應設置外部邊界的保護系統(tǒng)或入侵檢測系統(tǒng);(2)包含建筑物和計算機機房的周邊在物理上應是安全的(即在周邊區(qū)域內不應存在易于闖入的任何缺口);場地的外墻應是堅固結構,所有外部門應有適當保護以防止未授權進入,例如,控制機制、門閂、報警器和鎖等;(3)控制場地、建筑物物理訪問的手段應到位,進入場地或建筑物應僅限于已授權人員;(4)安全邊界的所有防護門應可發(fā)出報警信號、應被監(jiān)視并經過檢驗,應緊閉。防護門和墻都應達到相關標準所規(guī)定的抵抗強度;(5)如果需要,物理屏障應從計算機機房真正的地板(包括地板和地板下的空間)擴展到真正的天花板(包括天花板和天花板上的空間),以防止未授權進入和由諸如火災和水災所引起的環(huán)境污染;(6)應指定專門的部門或人員定期對機房供配電、空調、溫濕度控制等設施進行維護管理;(7)應指定專門部門負責機房安全,并配備機房安全管理人員,對機房的出入、服務器的開機或關機等工作進行管理;(8)應建立機房安全管理制度,對有關機房物理訪問、物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定;(9)應加強對辦公環(huán)境的保密管理,規(guī)范辦公人員行為,包括工作人員調離辦公室應立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、工作人員離開座位確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙質文件等;(10)應對機房和辦公環(huán)境實行統(tǒng)一策略的安全管理,對出入人員進行相應級別的授權,對進入重要安全區(qū)域的活動行為實時監(jiān)視和記錄;(11)應采用清理桌面和清空屏幕策略;(12)標識敏感信息處理設施位置的目錄和內部電話簿不要輕易被公眾獲取。檢查方法、步驟:(1)實地檢查建筑物的保安情況、保安設施和保安措施是否到位,是否符合標準。檢查人員訪問授權情況;(2)實地檢查建筑物和機房的周邊安全是否符合標準要求。查看安全周邊系統(tǒng)定期維護記錄和檢修記錄;(3)通過實地查看、面談和調閱相關資料(日志記錄等),檢查計算機機房、相關設施、存儲介質和相關敏感信息的安全維護和管理是否到位。檢查項5:計算機機房日常維護基本要求:(1)應對機房的供電系統(tǒng)、空調系統(tǒng)、消防系統(tǒng)、通信系統(tǒng)、防雷系統(tǒng)、環(huán)境檢測系統(tǒng)、電磁防護系統(tǒng)等定期檢測,實時監(jiān)控相關設備的運行狀況,及時處理設備運行中出現(xiàn)的問題;(2)應規(guī)范機房存儲介質管理,存儲介質應存放在上鎖的柜子或其他形式的安全器具中;磁介質應采取電磁保護;(3)應確保機房技術文檔、操作檔案、操作手冊與日志規(guī)范、完備和有效;定期對維護日志、系統(tǒng)監(jiān)控日志進行分析;機房維護變更后,應及時更新技術文檔、操作檔案、操作手冊,并及時通知和培訓相關人員;負責人和運行維護人員通訊錄(包括服務商和外部協(xié)作單位)應該放置在明顯位置;確保關鍵人員有兩種以上有效聯(lián)系方式,并定期更新。檢查方法、步驟:(1)檢查計算機機房的日常維護日志、系統(tǒng)監(jiān)控日志、值班日志、檢測報告、技術文檔和操作檔案,判斷其是否真實、完備和有效;(2)實地查看各系統(tǒng)的運行狀況,存儲介質、日志、文檔的保管和使用情況。2計算機機房管理計算機機房安全管理應該有詳細的應急預案,并定期演練,確保機房的正常安全運行。檢查項1:計算機機房安全管理基本要求:(1)應制定機房安全工作的總體方針和安全策略,說明安全工作的總體目標、范圍、原則和框架等;應建立機房安全管理制度;應建立機房操作規(guī)程;應指定或授權專門的部門或人員負責安全管理制度的制定;安全管理制度應具有統(tǒng)一的格式,并進行版本控制;應組織相關人員對制定的安全管理制度進行論證和審定;安全管理制度應通過正式、有效的方式發(fā)布并定期評估、更新;安全管理制度應注明發(fā)布范圍,并對收發(fā)文進行登記;有密級的安全管理制度,應注明安全管理制度密級,并按密級管理;(2)應設立負責機房安全管理工作的職能部門,設立安全主管、安全管理等各方面的崗位,并定義各崗位的職責;(3)應對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓;應對安全責任和懲戒措施進行書面規(guī)定并告知相關人員,對違反安全策略和規(guī)定的人員進行懲戒;應對定期安全教育和培訓進行書面規(guī)定;應對安全教育和培訓的情況和結果進行記錄并歸檔保存。檢查方法、步驟:(1)通過座談和調閱相關資料,了解機房安全工作的總體方針、安全策略、安全組織架構、操作規(guī)程、人員職責以及安全管理制度的相關情況;(2)約談相關人員了解其職責履行、教育培訓、安全意識和制度執(zhí)行情況,判斷相關安全工作落實情況;(3)檢查安全教育和培訓情況的記錄。檢查項2:計算機機房集中監(jiān)控系統(tǒng)基本要求:(1)應通過值班等制度,確保通信線路、環(huán)境監(jiān)控系統(tǒng)、防盜監(jiān)控系統(tǒng)等7*24小時有效運行,形成記錄并妥善保存。實時監(jiān)控所獲取的內容至少保存3個月,非定時監(jiān)控所獲取的內容至少保存3年;有實時交易服務的數據中心應實行24小時值班,值班人員至少應有2名,并在數據工作區(qū)做到雙進雙出;(2)應組織相關人員定期對監(jiān)測和報警記錄進行分析和評審,審定有無可疑行為,形成分析報告,并采取必要的應對措施;(3)應制定監(jiān)控系統(tǒng)報警事件處理流程,并對相關人員進行培訓。檢查方法、步驟:(1)查看計算機機房監(jiān)控和值班的記錄和日志,檢查計算機機房監(jiān)控和值班的相關制度落實情況;(2)就監(jiān)測和報警記錄分析情況約談相關人員,判斷其做法是否有效;(3)查看監(jiān)控系統(tǒng)報警事件處理流程是否合理有效,并檢查相關人員的執(zhí)行情況。檢查項3:計算機機房安全區(qū)域訪問控制基本要求:(1)關鍵和敏感的業(yè)務信息處理設施應放置在安全區(qū)域內,并受到已定義的安全周邊、適合的安全屏障和入口控制的保護。這些設施應在物理上避免未授權訪問、損壞和干擾;(2)安全區(qū)域訪問用戶和權限的管理應由專門部門執(zhí)行。對安全區(qū)域的訪問者應辦理進入手續(xù),記錄他們進入和離開的時間,并予以監(jiān)督。只能允許他們訪問特定的、已授權的目標,并要向他們宣布關于該區(qū)域安全要求和必要的應急規(guī)程的說明。訪問敏感信息和信息處理設施應受到控制,并且僅限于已授權的人員。鑒別控制(插卡加個人識別號)應當用于授權和確認所有訪問。所有訪問的審核蹤跡應安全地加以維護。要求所有人員佩帶某種形式的可視標識,并且要求他們詢問無人護送的陌生人和未佩帶可視標識的任何人員。對安全區(qū)域的訪問權限應定期地予以評審和更新;(3)機房應具有獨立的出入口。機房出入口應安排專人值守并配置電子門禁系統(tǒng),控制、鑒別和記錄進入的人員;需進入機房的來訪人員應經過申請和審批流程,并限制和監(jiān)控其活動范圍;應對機房劃分區(qū)域進行管理,區(qū)域和區(qū)域之間設置物理隔離裝置,在重要區(qū)域前設置交付或安裝等過渡區(qū)域;重要區(qū)域應配置第二道電子門禁系統(tǒng),控制、鑒別和記錄進入的人員;(4)交付或安裝等過渡區(qū)域應設計成:在無需交貨人員獲得進入本建筑物其他部分的情況下就能卸下物資。當內部的門打開時,交接區(qū)域的外部門應緊閉。在交付物資從交接區(qū)域運到使用地點之前,應檢查該物資是否有潛在危險。交付物資應在場地的入口處進行登記。由建筑物外進入交接區(qū)僅限于已標識的物資和已授權的人員。檢查方法、步驟:(1)判斷計算機機房安全區(qū)域的劃分、交付或安裝等過渡區(qū)域設置是否合理,各區(qū)域是否有效運作;(2)了解計算機機房訪問人員授權的情況,檢查有無過期和無效的授權;(3)通過實地檢查和查看日志記錄,檢查安全區(qū)域的物理防護和訪問控制是否能有效防范非授權物理訪問、破壞和干擾;(4)是否根據所運行業(yè)務重要性將機柜分類管理;(5)外來設備(如電信設備)與內部設備是否分區(qū)放置,以確保安全。檢查項4:計算機機房運行管理基本要求:(1)運行管理體系架構合理。物理環(huán)境/計算機機房管理崗位的設置應科學、規(guī)范、合理、全面,與實際

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論