鐘遠(yuǎn)紅

【摘要】 隨著信息化的不斷深入發(fā)展，加之近年來(lái)“互聯(lián)網(wǎng)+”的新起，掀起了一股“大數(shù)據(jù)”、“云”的浪潮，將信息化的發(fā)展推向了一個(gè)新的高度。筆者根據(jù)自身工作崗位，結(jié)合工作環(huán)境，就如何保障機(jī)房?jī)?nèi)信息設(shè)備處于良好工作環(huán)境，使信息系統(tǒng)穩(wěn)定可靠地運(yùn)行，降低不容忽視的信息安全問(wèn)題進(jìn)行了研究。

【關(guān)鍵詞】 機(jī)房 物理安全 安全性措施

一、前言

企業(yè)常有“通訊”和“數(shù)據(jù)”兩套重要設(shè)備機(jī)房，通訊機(jī)房主要是保障企業(yè)網(wǎng)絡(luò)的正常運(yùn)作，包含有交換機(jī)、UPS、下級(jí)交換機(jī)的光纖鏈路設(shè)備、外延供應(yīng)商網(wǎng)絡(luò)數(shù)據(jù)信號(hào)接入等設(shè)備；數(shù)據(jù)機(jī)房主要有服務(wù)器和存儲(chǔ)設(shè)備，包含有企業(yè)消費(fèi)系統(tǒng)、生產(chǎn)執(zhí)行系統(tǒng)、視頻監(jiān)控系統(tǒng)、門(mén)禁系統(tǒng)、考勤系統(tǒng)、IPX語(yǔ)音通信系統(tǒng)、虛擬機(jī)等服務(wù)器，保障企業(yè)的業(yè)務(wù)流、生產(chǎn)流數(shù)據(jù)的正常運(yùn)作與安全存儲(chǔ)。筆者所在企業(yè)是化工企業(yè)，有不少涉及保密的技術(shù)及數(shù)據(jù)，而這些數(shù)據(jù)都是保存在機(jī)房?jī)?nèi)，因此，提高機(jī)房數(shù)據(jù)的安全性成為了一項(xiàng)重中之重的項(xiàng)目工作。

二、機(jī)房設(shè)計(jì)規(guī)劃說(shuō)明

1、物理位置的選擇。計(jì)算機(jī)機(jī)房應(yīng)遠(yuǎn)離強(qiáng)電磁場(chǎng)、強(qiáng)震源、強(qiáng)噪聲源和強(qiáng)污染源，設(shè)在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)，且避免在高層或地下室以及用水設(shè)備旁邊。外窗應(yīng)為雙層密封窗，盡量避免東西向外窗。機(jī)房?jī)?nèi)樓板承重量應(yīng)滿(mǎn)足要求。故，中心機(jī)房最佳選址為整座辦公大樓的中間樓層北門(mén)。

2、機(jī)房區(qū)域劃分與物理訪(fǎng)問(wèn)控制。1）面積要足夠，并考慮擴(kuò)展的需求。為便于空調(diào)控制、灰塵控制、噪音控制和機(jī)房管理，專(zhuān)用空調(diào)機(jī)區(qū)域的空間劃分不宜過(guò)多，與下送風(fēng)空調(diào)區(qū)相對(duì)應(yīng)的下一層頂板要進(jìn)行隔熱處理。機(jī)房?jī)?nèi)往往采用既輕又薄，還能隔音、隔熱的隔斷墻，區(qū)域間是物理隔離裝置。分三個(gè)區(qū)域最佳：主機(jī)房、監(jiān)控操作室和電源空調(diào)室。2）外門(mén)窗多采用防火防盜門(mén)窗，一般采用無(wú)框大玻璃門(mén)，既保證機(jī)房的安全，又保證機(jī)房?jī)?nèi)有通透、明亮的效果。主機(jī)房出入口設(shè)置門(mén)禁系統(tǒng)，配置雙向刷卡通行，實(shí)現(xiàn)主機(jī)房授權(quán)人員進(jìn)入有時(shí)間記錄。開(kāi)門(mén)方式采用IC卡，確保系統(tǒng)的安全性。

3、網(wǎng)絡(luò)布線(xiàn)。企業(yè)主干線(xiàn)及各樓層、各部門(mén)（裝置）樓層之間應(yīng)采用多摸光纖，并留有適當(dāng)冗余。光纖到機(jī)器端使用屏蔽雙絞線(xiàn)，線(xiàn)路之間避免交叉纏繞，并與強(qiáng)電保持30CM以上距離，以減少相互干擾，新增網(wǎng)點(diǎn)到交換機(jī)的距離盡可能短，以減少信號(hào)衰減；平時(shí)做好光纖跳線(xiàn)備份，以備急用。

4、網(wǎng)絡(luò)設(shè)備。做好機(jī)房安全設(shè)施的同時(shí)，中心交換機(jī)要采用集群技術(shù)，做好應(yīng)急措施。（隨著計(jì)算機(jī)硬件設(shè)備的可靠性和容錯(cuò)能力的提高，因?yàn)橛布收蠈?dǎo)致系統(tǒng)癱瘓、數(shù)據(jù)丟失的概率也在下降，但并非為零。服務(wù)器硬件出現(xiàn)故障，網(wǎng)絡(luò)交換設(shè)備遭雷擊的情況也時(shí)有發(fā)生。）

5、服務(wù)器。采用雙機(jī)熱備份的方式實(shí)現(xiàn)系統(tǒng)集群，提高系統(tǒng)可用性。服務(wù)器以主從或互備方式工作，通過(guò)心跳線(xiàn)偵查另一臺(tái)服務(wù)器的工作情況，一旦某臺(tái)機(jī)器發(fā)生故障，另外一臺(tái)立即自動(dòng)接替工作，變成工作主機(jī)，平時(shí)某臺(tái)機(jī)器需要重啟時(shí)，管理員可以在節(jié)點(diǎn)間任意切換，整個(gè)過(guò)程只需要幾秒鐘，將系統(tǒng)中斷的影響降到最低。此外，還可以采用第三臺(tái)服務(wù)器做集群的備份服務(wù)器。在制度上，建立服務(wù)器管理制度及防護(hù)措施，如：安全審計(jì)、入侵檢測(cè)（IDS）、放病毒、定期檢查運(yùn)行情況、定期重啟等。

6、數(shù)據(jù)存儲(chǔ)設(shè)備。采用本地磁盤(pán)冗余陣列（RAID 5 方式）、異地備份、磁帶盒磁盤(pán)等多備份策略，一旦某一設(shè)備出現(xiàn)故障立即發(fā)出警告，并停止對(duì)其他設(shè)備的使用

7、邊界安全。采用內(nèi)外網(wǎng)物理斷開(kāi)的方式，徹底消滅外網(wǎng)黑客及病毒的入侵。內(nèi)外網(wǎng)需要交換信息時(shí)，用U盤(pán)或移動(dòng)硬盤(pán)作為中介，連接內(nèi)外前先對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行病毒查殺。對(duì)于內(nèi)網(wǎng)的新軟件，先在單獨(dú)組建的測(cè)試子網(wǎng)絡(luò)內(nèi)運(yùn)行，時(shí)機(jī)成熟后再用于整個(gè)內(nèi)網(wǎng)。

8、操作系統(tǒng)。操作系統(tǒng)的主要風(fēng)險(xiǎn)在于系統(tǒng)漏洞和文件病毒等。我們需要對(duì)賬號(hào)、用戶(hù)權(quán)限、網(wǎng)絡(luò)訪(fǎng)問(wèn)及文件訪(fǎng)問(wèn)等實(shí)行控制和管理，定期做好監(jiān)視、審計(jì)和時(shí)間日志記錄和分析，一方面減少各類(lèi)違規(guī)訪(fǎng)問(wèn)，另一方面通過(guò)系統(tǒng)日志記下來(lái)的警告和報(bào)錯(cuò)信息，很容易發(fā)現(xiàn)相關(guān)問(wèn)題如系統(tǒng)瓶頸等的癥結(jié)所在。通過(guò)修改注冊(cè)表，屏蔽掉客戶(hù)端操作系統(tǒng)上桌面無(wú)關(guān)內(nèi)容，并限制訪(fǎng)問(wèn)相關(guān)資源。及時(shí)下載和打好系統(tǒng)補(bǔ)丁，盡可能關(guān)閉不需要的端口，以彌補(bǔ)系統(tǒng)漏洞帶來(lái)的各類(lèi)隱患，如各類(lèi)蠕蟲(chóng)病毒的入侵。對(duì)各類(lèi)工作站和服務(wù)器的CMOS設(shè)置密碼，取消不必要的光驅(qū)，屏蔽USB接口，以防止外來(lái)光盤(pán)和U盤(pán)的使用可能帶來(lái)的外來(lái)病毒。

9、數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)安全包括用戶(hù)安全、數(shù)據(jù)保密和數(shù)據(jù)安全、事物管理和故障恢復(fù)、審計(jì)和追蹤、入侵檢測(cè)和防范等方面。為數(shù)據(jù)庫(kù)選擇合適的鑒別方式、口令交換周期和鑒別次數(shù)，加強(qiáng)角色、權(quán)限管理；歸于關(guān)鍵數(shù)據(jù)，使用適當(dāng)算法進(jìn)行加密存儲(chǔ)并分布于多臺(tái)計(jì)算機(jī)。通過(guò)作業(yè)管理實(shí)現(xiàn)本地備份和異地備份、日備份和周備份、全量備份和增量備份，并轉(zhuǎn)入磁帶存儲(chǔ)；對(duì)用戶(hù)操作進(jìn)行審計(jì)并記錄日志。

10、數(shù)據(jù)存儲(chǔ)安全。數(shù)據(jù)存儲(chǔ)安全指在數(shù)據(jù)保存上確保完整、可靠和有效調(diào)用，一是存儲(chǔ)設(shè)備自身的可靠性和可用性（設(shè)備安全），二是保存在存儲(chǔ)設(shè)備上數(shù)據(jù)的邏輯安全（應(yīng)用安全）。在設(shè)備安全方面，應(yīng)采用RAID5磁盤(pán)冗余陣列存儲(chǔ)，保證部分存儲(chǔ)介質(zhì)壞時(shí)數(shù)據(jù)不丟失。在應(yīng)用安全方面，通過(guò)嚴(yán)格的備份策略和流程對(duì)數(shù)據(jù)歷史進(jìn)行周期性保存。備份作業(yè)時(shí)間一般選擇在夜間或休息日，為確保備份的安全可靠，先備份出一份最新數(shù)據(jù)，確定備份成功后再刪除上次備份數(shù)據(jù)，否則，不刪除上次備份，從而將損失降到最低。平時(shí)，利用異地備份的數(shù)據(jù)在單機(jī)上進(jìn)行災(zāi)難恢復(fù)模擬試驗(yàn)，增強(qiáng)對(duì)突發(fā)事件處置能力。

三、提高機(jī)房數(shù)據(jù)安全性措施

1、內(nèi)部出入口處要設(shè)置應(yīng)急照明及安全出口指示。

2、在兩個(gè)防火分區(qū)之間的各線(xiàn)纜要做防火泥防火封堵，將線(xiàn)纜穿孔間隙用防火泥包起來(lái)，避免一個(gè)分區(qū)內(nèi)的線(xiàn)纜著火時(shí)，火勢(shì)延管線(xiàn)竄走到另一個(gè)分區(qū)。

3、設(shè)置環(huán)境監(jiān)控系統(tǒng)，主要實(shí)現(xiàn)對(duì)主機(jī)房空調(diào)、新風(fēng)、溫濕度、防水、配電系統(tǒng)、UPS、圖像、門(mén)禁等系統(tǒng)實(shí)現(xiàn)統(tǒng)一監(jiān)控，并實(shí)現(xiàn)異常情況報(bào)警，為機(jī)房高效的管理和安全運(yùn)營(yíng)提供有力的保證。另外，要防止老鼠等小動(dòng)物進(jìn)入機(jī)房，對(duì)機(jī)房的門(mén)窗要安裝防盜設(shè)施。溫度：冬季為20+2℃，夏季為23+2℃，溫度變化率≤5℃/h。濕度范圍為35—80%，其中最佳濕度范圍為45—60%。

4、設(shè)置獨(dú)立的閉路監(jiān)控系統(tǒng)監(jiān)控主設(shè)備運(yùn)行區(qū)及機(jī)房出入口；主機(jī)房?jī)?nèi)所有設(shè)備都必須與機(jī)柜固定；所有強(qiáng)弱電電纜都采用橋架地下敷設(shè)；對(duì)介質(zhì)分類(lèi)標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中。

5、防雷工作主要是防感應(yīng)雷引起的雷電浪涌和其他原因引起的過(guò)電壓。計(jì)算機(jī)機(jī)房要求采用三級(jí)防雷設(shè)計(jì)，包括機(jī)房電源防雷系統(tǒng)，弱電信息防雷系統(tǒng)和等電位接地。

6、設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，配置獨(dú)立感應(yīng)裝置（感煙、感溫）和獨(dú)立的報(bào)警主機(jī)（按照分區(qū)選擇），能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火，滅火系統(tǒng)應(yīng)采用惰性氣體自動(dòng)滅火系統(tǒng)，常用氣體為七氟丙烷和SDE兩種氣體，并設(shè)置防誤操作啟停按鈕和指示燈，系統(tǒng)可自動(dòng)切斷機(jī)房電源。

7、采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開(kāi)。機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料。

8、計(jì)算機(jī)機(jī)房的建筑外墻要作防水處理，機(jī)房?jī)?nèi)頂面要作保溫處理，防止產(chǎn)生冷凝水。精密空調(diào)下要設(shè)置防水堤，窗戶(hù)要做好密封、防水。水管安裝，不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下，加緊機(jī)房設(shè)置防漏水檢測(cè)系統(tǒng)，重點(diǎn)監(jiān)測(cè)空調(diào)下、排水管旁的防漏情況，設(shè)置自動(dòng)報(bào)警系統(tǒng)，并入環(huán)境場(chǎng)地監(jiān)控系統(tǒng)。（水患影響機(jī)房設(shè)備的正常運(yùn)行甚至造成機(jī)房運(yùn)行癱瘓。）

9、地板應(yīng)采用具有可拆卸特點(diǎn)的防靜電活動(dòng)地板，為方便所有設(shè)備的導(dǎo)線(xiàn)電纜的連接、管道的連接及檢修更換。

10、設(shè)置并建立備用供電系統(tǒng)。設(shè)置兩路進(jìn)線(xiàn)，并設(shè)置UPS系統(tǒng)。此外，機(jī)房?jī)?nèi)的電器應(yīng)選擇優(yōu)質(zhì)電纜、線(xiàn)槽和插座。插座應(yīng)分為市電、UPS及主要設(shè)備專(zhuān)用的防水插座，并注明醒目、易區(qū)別的標(biāo)識(shí)。機(jī)房供配電系統(tǒng)是機(jī)房安全運(yùn)行動(dòng)力保證，機(jī)房往往采用機(jī)房專(zhuān)用配電柜來(lái)規(guī)范機(jī)房供配電系統(tǒng)，保證機(jī)房供電系統(tǒng)的安全、合理。

11、采用接地方式.磁場(chǎng)對(duì)存儲(chǔ)設(shè)備的影響較大，它可能使磁盤(pán)驅(qū)動(dòng)器的動(dòng)作失靈、引起內(nèi)存信息丟失、數(shù)據(jù)處理和顯示混亂，甚至?xí)У舸疟P(pán)上存儲(chǔ)的數(shù)據(jù)。另外，較強(qiáng)的磁場(chǎng)也會(huì)是使顯示器被磁化，引起顯示器顏色不正常。

參 考 文 獻(xiàn)

[1]gb9361，計(jì)算機(jī)場(chǎng)地安全要求[s]；

[2] 黃虹 基于等級(jí)保護(hù)的網(wǎng)絡(luò)物理安全建設(shè) 數(shù)字化企業(yè)網(wǎng)；

[3] 項(xiàng)益君 基于等級(jí)保護(hù)要求的機(jī)房安全 （《電腦知識(shí)與技術(shù)》2011年17期）；