网络安全等级保护:浅谈物理位置选择测评项

在《信息安全技术 网络安全等级保护基本要求》(以下简称“基本要求”)中,对安全物理环境之物理位置选择有两个测评项,其内容及描述如下:物理位置选择a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。然而,这只是《基本要求》中的要求,如果只是知道这两项,是否可以真实理解要求项的内容呢?

我一再强调,等级保护工作是全生命周期的,选址是一件大事情,建设完成用这两条来框一下,看看是否满足这两条要求,然后打分是没问题的。

但是,如果作为一个机房建设者,也这么考虑问题,就太过儿戏了。首先,机房位置的选择是机房安全最基本的要求。其要求是要按照一般建筑物的要求进行机房场地选择,要求防污染避尘埃、有毒气体、腐蚀性气体、盐雾腐蚀等环境污染的区域,避开地震、水灾危害的区域,避免在建筑物的高层以及用水设备的下层或隔壁等。

其次,考虑一般建筑物如何选址,这个自然不难。绝大部分建筑物,默认都取得了住建部门相关审批,也就是这些建筑物自然是按照国家建筑有关标准进行建设,但是也要考虑到一些建筑物可能存在某种特殊性,或者验收不合格的可能性。在建设机房时,可以参考《电子信息系统机房设计规范》,通过4.1电子信息系统机房位置选择,我们看到有如下要求:4.1.1 电子信息系统机房位置选择应符合下列要求:1 电力供给应稳定可靠,交通通信应便捷,自然环境应清洁;2 应远离产生粉尘、油烟、有害气体以及生产或贮存具有腐蚀性、易燃、易爆物品的场所;3 远离水灾火灾隐患区域;4 远离强振源和强噪声源;5 避开强电磁场干扰。4.1.2 对于多层或高层建筑物内的电子信息系统机房,在确定主机房的位置时,应对设备运输、管线敷设、雷电感应和结构荷载等问题进行综合考虑和经济比较;采用机房专用空调的主机房,应具备安装室外机的建筑条件。

作为一个网络安全从业人员,要弄清楚《基本要求》有关机房物理位置选择这两项要求,并不只是仅仅这两句话字面意思这么多,而是根据实际生产经验,网络运营者(机房建设者)遵循国家建筑、电子机房等相关国家标准,最终形成机房的选址结果,而要想真的合规,则建设也必然要满足对应的国家标准。作为《基本要求》不可能在让测评师在测评过程中,把所有的国家标准走一步,一方面是各个行业主管部门各司其职,各负其责,不可越权,各管各的。所以,等级保护测评机构在测评时,只需要关注这两点即可。那么是否作为测评师,只需要知道这两点即可,就能把工作做好?其实不然,在我们测评报告中,有写整改建议这一项,不同的测评师给客户提供的整改建议,可能是千差万别的,原则上一个优秀的测评师可以给客户真正指明方向,首先要求他知道方向在哪!而不是只会写:“建议机房场地选择在具有防震、防风和防雨等能力的建筑内;”这种整改建议,就是对机房建设缺乏认知,对着测评项看机房,只能是外行看热闹罢了。我没有给出一个理想的整改建议,留给方家讨论,你感觉整改建议应该是什么样子的?当然,这只是我一家之言,浅谈之,乱谈之,贻笑大方之一孔之见罢了。网络安全等级保护:理解最小特权管理基本思想网络安全等级保护:什么是关键信息基础设施网络安全等级保护:是网络安全工作的基本方法信息技术服务:监理之运行维护监理规范思维导图网络安全等级保护:政务计算机终端核心配置规范思维导图

(0)

相关推荐