標準解讀

GB/T 21052-2007《信息安全技術 信息系統物理安全技術要求》是中國制定的一項國家標準,旨在為信息系統的物理安全提供一套全面的技術規范和要求。該標準詳細規定了信息系統在物理環境、設備安全、介質安全、防雷與接地、防火、防水防潮、電磁防護、入侵防范等多個方面的安全技術和管理要求,確保信息資產免受自然災害、人為破壞、意外事故等物理威脅。以下是該標準幾個核心方面的概述:

  1. 物理環境安全:強調了對信息系統所在場所的選址、結構設計、出入控制、監控與報警系統的需求。要求確保數據中心或機房遠離自然災害頻發區域,具有堅固的結構和適當的訪問控制措施,如門禁系統、視頻監控和入侵報警系統。

  2. 設備安全:涵蓋了對計算機硬件、網絡設備、存儲設備等IT設施的安全配置和維護要求。包括設備的抗干擾性、穩定供電、散熱與環境控制,以及定期維護檢查,以保證設備的正常運行和數據的安全。

  3. 介質安全:涉及信息存儲介質(如硬盤、光盤、USB閃存盤)的使用、保管、銷毀過程中的安全控制。要求對存儲敏感信息的介質進行加密處理,限制非授權訪問,并對廢棄介質實施安全銷毀措施,防止信息泄露。

  4. 防雷與接地:規定了信息系統應具備有效的防雷擊保護措施,包括建立合理的防雷系統和良好的接地系統,以減少雷電對設備和數據的損害。

  5. 防火與防水防潮:強調了機房和重要設備區域應配備自動滅火系統和適當的防水防潮措施,以防止火災和潮濕環境對設備造成損害。

  6. 電磁防護:要求采取措施減少電磁輻射和電磁干擾,保護信息系統不受外部電磁環境的影響,同時也防止敏感信息通過電磁泄漏。

  7. 入侵防范:包括實體入侵和信息入侵兩方面,要求通過實體屏障、入侵檢測系統和安全審計等手段,阻止未經授權的人員接近或訪問信息系統及其組件。

該標準通過上述要求,旨在為組織機構建立一個全面而堅固的物理安全防線,確保信息系統的穩定運行和信息資產的安全。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 現行
  • 正在執行有效
  • 2007-08-23 頒布
  • 2008-01-01 實施
?正版授權
《信息系統物理安全技術要求》GB21052-2007_第1頁
《信息系統物理安全技術要求》GB21052-2007_第2頁
《信息系統物理安全技術要求》GB21052-2007_第3頁
《信息系統物理安全技術要求》GB21052-2007_第4頁
《信息系統物理安全技術要求》GB21052-2007_第5頁
已閱讀5頁,還剩39頁未讀 繼續免費閱讀

下載本文檔

《信息系統物理安全技術要求》GB21052-2007-免費下載試讀頁

文檔簡介

?信息安全技術信息系統物理安全技術要求

引言

信息系統的物理安全涉及到整個系統的配套部件、設備和設施的安全性能、所處的環境安全以及整個系統可靠運行等方面,是信息系統安全運行的基本保障。本標準提出的技術要求包括三方面:

1)信息系統的配套部件、設備安全技術要求;

2)信息系統所處物理環境的安全技術要求;

3)保障信息系統可靠運行的物理安全技術要求。設備物理安全、環境物理安全及系統物理安全的安全等級技術要求,確定了為保護信息系統安全運行所必須滿足的基本的物理技術要求。

本標準以GB17859-1999對于五個安全等級的劃分為基礎,依據GB/T20271-2006五個安全等級中對于物理安全技術的不同要求,結合當前我國計算機、網絡和信息安全技術發展的具體情況,根據適度保護的原則,將物理安全技術等級分為五個不同級別,并對信息系統安全提出了物理安全技術方面的要求。不同安全等級的物理安全平臺為相對應安全等級的信息系統提供應有的物理安全保護能力。第一級物理安全平臺為第一級用戶自主保護級提供基本的物理安全保護,第二級物理安全平臺為第二級系統審計保護級提供適當的物理安全保護,第三級物理安全平臺為第三級安全標記保護級提供較高程度的物理安全保護,第四級物理安全平臺為第四級結構化保護級提供更高程度的物理安全保護,第五級物理安全平臺為第五級訪問驗證保護級提供最高程度的物理安全保護。隨著物理安全等級的依次提高,信息系統物理安全的可信度也隨之增加,信息系統所面對的物理安全風險也逐漸減少。

本標準按照GB17859-1999的五個安全等級的劃分,對每一級物理安全技術要求做詳細的描述。因第五級物理安全技術要求涉及最高程度物理安全技術,本標準略去相關內容。附錄A對物理安全相關概念進行了描述,并對物理安全技術等級劃分進行了說明。為清晰表示每一個安全等級比較低一級安全等級的物理安全技術要求的增加和增強,每一級的新增部分用“宋體加粗字”表示。

信息安全技術

信息系統物理安全技術要求

1范圍

本標準規定了信息系統物理安全的分等級技術要求。

本標準適用于按GB17859-1999的安全保護等級要求所進行的等級化的信息系統物理安全的設計和實現,對按GB17859-1999的安全保護等級的要求對信息系統物理安全進行的測試、管理可參照使用。

2規范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件,其隨后所有的修改單不包括勘誤的內容)或修訂版均不適用于本標準,然而,鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標準。

GB/T2887-2000電子計算機場地通用規范

GB/T4365-1995電磁兼容術語(idtIEC50(161):1990)

GB4943-2001信息技術設備的安全(idtIEC60950:1999)

GB8702-1988電磁輻射防護規定

GB9175-1988環境電磁衛生標準

GB9254-1998信息技術設備的無線電騷擾限值和測量方法(idtCISPR22:1997)

GB/T9361-1988計算機場地安全要求

GB/T9813-2000微型計算機通用規范

GB/T17626.2-1998電磁兼容試驗和測量技術靜電放電抗擾度試驗(idtIEC61000-4-2:1995)

GB/T17626.3-1998電磁兼容試驗和測量技術射頻電磁場輻射抗擾度試驗(idtIEC61000-4-3:1995)

GB/T17626.4-1998電磁兼容試驗和測量技術電快速瞬變脈沖群抗擾度試驗(idtIEC61000-4-4:1995)

GB/T17626.5-1998電磁兼容試驗和測量技術浪涌(沖擊)抗擾度試驗(idtIEC61000-4-5:1995)

GB/T17626.6-1998電磁兼容試驗和測量技術射頻場感應的傳導騷擾抗擾度(idtIEC61000-4-6:1995)

GB/T17626.8-1998電磁兼容試驗和測量技術工頻磁場抗擾度試驗(idtIEC61000-4-8:1995)

GB/T17626.9-1998電磁兼容試驗和測量技術脈沖磁場抗擾度試驗(idtIEC61000-4-9:1995)

GB/T17626.11-1998電磁兼容試驗和測量技術電壓暫降、短時中斷和電壓變化的抗擾度試驗(idtIEC61000-4-11:1995)

GB17859-1999計算機信息系統安全保護等級劃分準則

GB/T20271-2006信息安全技術信息系統安全通用技術要求

GB50057-1994建筑物防雷設計規范(2000年版)

GB50174-1993電子計算機機房設計規范

GB50311-2000建筑與建筑群綜合布線系統工程設計規范

GBJ16-1987建筑設計防火規范(2001年版)

3術語和定義

下列術語和標準適用于本標準。

3.1

信息系統informationsystem

信息系統由計算機及其相關的配套部件、設備和設施構成,按照一定的應用目的和規則對信息進行采集、加工、存儲、傳輸、檢索等的人機系統。

3.2

信息系統物理安全physicalsecurityforinformationsystem

為了保證信息系統安全可靠運行,確保信息系統在對信息進行采集、處理、傳輸、存儲過程中,不致受到人為或自然因素的危害,而使信息丟失、泄露或破壞,對計算機設備、設施(包括機房建筑、供電、空調)、環境人員、系統等采取適當的安全措施。

3.3

設備物理安全facilityphysicalsecurity

為保證信息系統的安全可靠運行,降低或阻止人為或自然因素對硬件設備安全可靠運行帶來的安全風險,對硬件設備及部件所采取的適當安全措施。

3.4

環境物理安全environmentphysicalsecurity

為保證信息系統的安全可靠運行所提供的安全運行環境,使信息系統得到物理上的嚴密保護,從而降低或避免各種安全風險。

3.5

系統物理安全systemphysicalsecurity

為保證信息系統的安全可靠運行,降低或阻止人為或自然因素從物理層面對信息系統保密性、完整性、可用性帶來的安全威脅,從系統的角度采取的適當安全措施。

3.6

完整性Integrity

保證信息與信息系統不會被有意地或無意地更改或破壞的特性。

3.7

可用性Availability

保證信息與信息系統可被授權者所正常使用。

3.8

保密性Confidentiality

保證信息與信息系統的不可被非授權者利用。

3.9

浪涌保護器(SPD)surgeprotectivedevices

用于對雷電電流、操作過電壓等進行保護的器件。

3.10

電磁騷擾electromagneticdisturbance

任何可能引起裝置、設備或系統性能降低或對有生命或無生命物質產生損害作用的電磁現象。

3.11

電磁干擾electromagneticinterference

電磁騷擾引起的設備、傳輸通道或系統性能的下降。

3.12

抗擾度immunity

裝置、設備或系統面臨電磁騷擾不降低運行性能的能力。

3.13

不間斷供電系統(UPS)uninterruptiblepowersupply

確保計算機不停止工作的供電系統。

3.14

安全隔離設備securityisolationcomponents

包括安全隔離計算機、安全隔離卡和安全隔離線路選擇器等設備。

3.15

抗擾度限值immunitylimit

規定的最小抗擾度電平。

3.16

非燃材料no-burningmaterial

材料在受燃燒或高溫作用時,不起火、不微燃、難炭化的材料

3.17

難燃材料hard-burningmaterial

材料在受到燃燒或高溫作用時,難起火、難微燃、難炭化的材料。

3.18

標志sign

用來表明設備或部件的生產信息。

3.19

標記marker

用來識別、區分設備、部件或人員等級的表示符號。

4第一級物理安全技術要求

4.1設備物理安全技術要求

4.1.1標志

組成此保護級的系統設備和部件應有明顯清晰的標志,應包括:型號或規定的代號、制造廠商的名稱或商標,或國家規定的3C認證標志。

4.1.2標記和外觀

系統設備和部件應有明顯的無法擦去的標記。

4.1.3靜電放電抗擾度

系統中所應用的設備和部件對來自靜電放電的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T7626.2—1998中給出的試驗方法,試驗等級采用2級,試驗評判結果至少應滿足GB/T17626.2—1998中

的性能判據分類C的要求。

4.1.4電磁輻射抗擾度

系統中所應用的設備和部件對來自電磁輻射的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.3—1998中給出的試驗方法,試驗等級采用1級,試驗評判結果至少應滿足GB/T17626.2—1998中

的性能判據分類C的要求。

4.1.5電快速瞬變脈沖群抗擾度

系統中所應用的設備和部件對來自電源端口的電快速瞬變脈沖群的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.4—1998中給出的試驗方法,試驗等級采用2級,試驗評判結果至少應滿足GB/T17626.2—1998中的性能判據分類C的要求。

4.1.6抗電強度

系統設備的電源插頭或電源引入端與設備外殼裸露金屬部件之間應能承受幅度1.5kV、頻率45~65Hz的抗電強度試驗,歷時1分鐘應無擊穿和飛弧現象。

4.1.7泄漏電流

系統設備工作時對保護接地端的漏泄電流值不應超過5mA。

4.1.8絕緣電阻

系統設備的電源插頭或電源引入端與設備外殼裸露金屬部件之間的絕緣電阻應不小于5MΩ。

4.2環境物理安全技術要求

4.2.1場地選擇

應按照能夠保障本級信息系統正常運行的條件選擇場地。

4.2.2防火要求

4.2.2.1設置必備的滅火設備,并對滅火設備的效率、毒性、用量和損害性有一定的要求。

4.2.2.2房間內的裝修材料應符合GB9361-1988中規定的難燃材料和非燃材料的要求。

4.2.3防雷電

4.2.3.1設置必備的雷電保護器,所用的信息設備應在雷電保護器的保護范圍之內。

4.2.3.2其余的防雷技術應符合GB50057-2000中“第三類防雷建筑物的防雷措施”要求。

4.3系統物理安全技術要求

4.3.1災難備份與恢復

4.3.1.1備份介質

將業務應用所需要的所有相關數據進行完整的備份,并將備份介質存放在中心機房以外的專門場所。

4.3.1.2系統手工恢復

在災難故障發生時,針對故障發生原因,利用備份介質中的業務相關數據,采取各種措施恢復應用系統運行。

4.3.2設備管理

4.3.2.1配置管理

4.3.2.1.1資源管理

應對信息系統網絡環境中的下列資源信息進行管理:

——設備信息:包括終端、服務器、交換機、路由器等;

——軟件信息:系統軟件和應用軟件。

5第二級物理安全技術要求

5.1設備物理安全技術要求

5.1.1標志

組成此保護級的系統設備和部件應有明顯清晰的標志,應包括:產品名稱、型號或規定的代號、制造廠商的名稱或商標,或國家規定的3C認證標志。

5.1.2標記和外觀

5.1.2.1系統設備和部件應有明顯的無法擦去的標記。

5.1.2.2系統設備表面不應有明顯的凹痕、裂縫、變形和污染等。表面涂度層應均勻、不應起泡、龜裂、脫落和磨損。金屬部件不應有銹蝕及其他機械損傷。

5.1.2.3系統設備的各部件應緊固無松動,安裝可抽換部件的接插件應能可靠連接,鍵盤、開關按鈕和其它控制部件的控制應靈活可靠,布局應方便使用。

5.1.3靜電放電

系統中應用的設備和部件對來自靜電放電的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.2—1998中給出的試驗方法,試驗等級采用3級,試驗評判結果至少應滿足GB/T17626.2—1998中的性能判據分類C的要求。

5.1.4電磁輻射騷擾

對系統中應用的設備和部件產生的電磁輻射騷擾應有一定的限制。試驗方法應按照GB9254—1998中給出的試驗方法,試驗評判結果至少應滿足GB9254—1998中ITE分級的A級騷擾限值要求。

5.1.5電磁輻射抗擾度

系統中所應用的設備和部件對來自射電磁輻射的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.3—1998中給出的試驗方法,試驗等級采用2級,試驗評判結果至少應滿足GB/T17626.3—1998

中的性能判據分類C的要求。

5.1.6浪涌(沖擊)抗擾度

系統中所應用的設備和部件對來自電源端口的浪涌(沖擊)的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.5—1998中給出的試驗方法,試驗等級采用2級,試驗評判結果至少應滿足GB/T

17626.5—1998中的性能判據分類C的要求。

5.1.7電快速瞬變脈沖群抗擾度

系統中所應用的設備和部件對來自電源端口的電快速瞬變脈沖群的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.4—1998中給出的試驗方法,試驗等級采用2級,試驗評判結果至少應滿足GB/T17626.2—1998中的性能判據分類C的要求。

5.1.8電源適應能力

5.1.8.1對于交流供電的系統設備,應能在額定電壓.10%的范圍內正常工作。

5.1.8.2對于直流供電的系統設備,應能在直流電壓標稱值.10%的范圍內正常工作。標稱值在產品標準中規定。對電源有特殊要求的單元,應在產品標準中加以說明。

5.1.9抗電強度

應符合GB4943-2001中5.2的要求。

5.1.10泄漏電流

系統設備工作時對保護接地端的漏泄電流值不應超過5mA。

5.1.11電源線

對于交流供電的系統設備的電源線,應使用三芯電源線,其中地線應于設備的保護接地端連接牢固。

5.1.12絕緣電阻

系統設備的電源插頭或電源引入端與設備外殼裸露金屬部件之間的絕緣電阻應不小于5MΩ。

5.2環境物理安全技術要求

5.2.1場地選擇

按一般建筑物要求進行機房場地選址。應避開強電場、強磁場、易發生火災、潮濕、易遭受雷擊和重度環境污染的地區。

5.2.2機房防火

5.2.2.1機房和記錄介質存放間,其建筑材料的耐火等級,應符合GBJ16-1987(2001年版)中規定的二級耐火等級;機房相關的其余基本工作房間和輔助房,其建筑材料的耐火等級應不低于GBJ16-1987

(2001年版)中規定的三級耐火等級。

5.2.2.2要求配備適宜的滅火設備,除紙介質等易燃物質外,禁止使用水、干粉或泡沫等容易產生二次破壞的滅火劑。

5.2.3供電系統

5.2.3.1機房供電電源設備的容量應具有一定的余量。

5.2.3.2機房供電系統應將信息系統設備供電線路與其它供電線路分開,應配備應急照明裝置。

5.2.3.3應配置線路穩壓濾波裝置,保證機房供電電源質量符合GB50174-1993中規定的C級要求。

5.2.3.4應配置電源保護裝置,加裝浪涌保護器。

5.2.3.5應配置抵抗供電電壓不足的設備。當供電電壓不足或中斷時,應保證系統至少正常工作30分鐘。

5.2.3.6機房內活動地板下部的低壓配電線路宜采用銅芯屏蔽導線或銅芯屏蔽電纜。

5.2.3.7活動地板下部的電源線應盡可能遠離系統信號線路,并避免并排敷設。當不能避免時,應采取相應的屏蔽措施。

5.2.3.8機房電源系統的所有接點均應鍍錫處理,并且冷壓連接。

5.2.4靜電防護

防靜電地線不得接在電源零線上,應單獨接在地線匯集點。

5.2.5防雷電

5.2.5.1系統電源線應設置電源浪涌保護器(SPD),其沖擊通流容量及限制電壓應按GA267—2000中表5選取。

5.2.5.2不得在建筑物屋頂上敷設電源或信號線路。必須敷設時,應穿金屬管進行屏蔽防護,金屬管應進行等電位連接。

5.2.6接地

5.2.6.1機房應設等電位連接網絡。機房內設備的金屬外殼、機柜、機架、金屬管、槽、屏蔽線纜外層、防靜電接地、安全保護接地、浪涌保護器接地端等勻應以最短的距離與等電位連接網絡的接地端子連接,連接線應采用多股銅質金屬線,其截面積不小于16mm2。

5.2.6.2等電位連接網絡宜采用銅排或銅帶,其截面積不應小于35mm2。

5.2.6.3接地電阻不應大于4Ω。當土壤電阻率大于2000Ω.M時,系統接地電阻不得大于20Ω。直流工作接地,接地電阻應按計算機系統具體要求確定。

5.2.7溫濕度控制

應有必要的空調設備,使機房溫度達到所需的要求。

5.2.8防水

5.2.8.1.1水管安裝不得穿過屋頂和活動地板,穿過墻壁和樓板的水管應使用套管,并采取可靠的密封措施。

5.2.8.1.2應有有效的防止給水、排水、雨水通過屋頂和墻壁漫溢和滲漏的措施。

5.2.9防蟲鼠害

5.2.9.1在易受蟲鼠害的場所,機房內的線纜上應涂敷驅蟲、鼠藥劑。

5.2.9.2在易受鼠害的場所,機房內應設置捕鼠和驅鼠裝置。

5.2.10防盜防毀

5.2.10.1機房應裝防護窗、防盜門或有人24小時職守,以防物品被盜被毀。

5.2.11出入口控制

5.2.11.1機房應設單獨出入口,另設多個緊急疏散出口,標明疏散線路和方向,應設置疏散照明和安全出口標志燈。機房出入口應有專人負責,未經允許的人員不準進入機房,

5.2.11.2危險物品及可燃物品不準帶入機房。

5.2.12記錄介質安全

5.2.12.1對有用數據的記錄介質應采取一定措施防止被盜、被毀和受損,對于磁性介質應該有防止介質被磁化措施。

5.2.12.2對于應該刪除和銷毀的有用數據,在沒有被刪除和銷毀之前應該有一定的防止被非法拷貝的措施。

5.2.13人員要求

應建立正式的安全管理組織機構,委任并授權安全管理機構負責人負責安全管理的權力,負責安全管理工作的組織和實施。

5.2.14機房綜合布線要求

機房內部綜合布線的配置應滿足實際的需要。綜合布線區內的電磁干擾場強值大于3V/m時,應采取防護措施。若采用屏蔽線纜時,布線電纜的屏蔽層應保持連續性,并且與地進行可靠的連接。綜合布線電纜與附近可能產生電磁泄漏設備(包括電纜線路)的最小平行距離應大于1m以上。電氣防護與防火應符合GB50311-2000中的要求。

5.2.15通信線路安全

通信線路應遠離強電磁場輻射源。

5.3系統物理安全技術要求

5.3.1災難備份與恢復

5.3.1.1備份介質

將業務應用所需要的所有相關數據進行完整的備份,并將備份介質按照5.2.12的要求存放在中心機房以外符合介質存放要求的專門場所。

5.3.1.2設備備份

對于災難故障發生時易受到損壞的計算機和網絡設備應有一定的備份,確保發生災難性故障時,能在規定的時間間隔內,通過替換計算機和網絡設備恢復系統運行。

5.3.1.3系統手工恢復

在災難故障發生時,通過備用設備及備用介質,在規定的時間范圍內根據預先定義的流程,恢復業務應用系統運行。

5.3.2設備管理

5.3.2.1配置管理

5.3.2.1.1資源管理

應對信息系統網絡環境中的下列資源信息進行管理:

——設備信息:包括終端、服務器、交換機、路由器等;

——網絡信息:包括局域網、城域網、廣域網等;

——軟件信息:系統軟件和應用軟件;

——地址信息:設備所在地址信息。

5.3.2.2性能管理

5.3.2.2.1網絡性能監測

應提供對接收字節數、發送字節數等網絡性能數據的連續采集,實現吞吐率、利用率等面向網絡效率的指標的網絡性能監測功能。

5.3.2.2.2設備運行狀態監視

應提供設備管理接口,通過該接口及相關協議收集設備的運行狀態,如CPU利用率、內存利用率等,支持設備運行狀態的遠程監視,當所監測數值超過預先設定的故障閾值時,提供報警。

5.3.2.3故障管理

5.3.2.3.1告警監測功能

應設置告警策略,定義告警事件指標,并收集設備、網絡運行過程中的告警信息,生成告警日志。

5.3.2.4管理信息保護

應采取措施保障管理信息的存儲、傳輸安全。對于遠程管理,應通過加密來保護遠程管理對話。

6第三級物理安全技術要求

6.1設備物理安全技術要求

6.1.1標志

組成此保護級的系統設備和部件應有明顯清晰的標志,應包括:產品名稱、型號或規定的代號、制造廠商的名稱或商標、安全符號,或國家規定的3C認證標志。

6.1.2標記和外觀

6.1.2.1系統設備和部件應有明顯的無法擦去的標記。

6.1.2.2系統設備表面不應有明顯的凹痕、裂縫、變形和污染等。表面涂度層應均勻、不應起泡、龜裂、脫落和磨損。金屬部件不應有銹蝕及其他機械損傷。

6.1.2.3系統設備的各部件應緊固無松動,安裝可抽換部件的接插件應能可靠連接,鍵盤、開關按鈕和其它控制部件的控制應靈活可靠,布局應方便使用。

6.1.3靜電放電

系統中應用的設備和部件對來自靜電放電的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.2—1998中給出的試驗方法,試驗等級采用4級,試驗評判結果至少應滿足GB/T17626.2—1998中的性能判據分類B的要求。

6.1.4電磁輻射騷擾

對系統中應用的設備和部件產生的電磁輻射騷擾應有一定的限制,系統中應盡可能的應用低電磁輻射發射的設備和部件。試驗方法應按照GB9254—1998中給出的試驗方法,試驗評判結果至少應滿足GB9254—1998中ITE分級的B級騷擾限值要求。

6.1.5電磁傳導騷擾

6.1.5.1對系統中應用的設備和部件在電源端口產生的電磁傳導騷擾應有一定的限制,系統中應盡可的應用低電磁傳導發射的設備和部件。試驗方法應按照GB9254—1998中給出的試驗方法,試驗評判結果至少應滿足GB9254—1998中ITE分級的B級騷擾限值要求。

6.1.5.2對系統中應用的設備和部件在信號端口產生的電磁傳導騷擾應有一定的限制,系統中應盡可的應用低電磁傳導發射的設備和部件。試驗方法應按照GB9254—1998中給出的試驗方法,試驗評判結果至少應滿足GB9254—1998中ITE分級的B級騷擾限值要求。

6.1.6電磁輻射抗擾

系統中所應用的設備和部件對來自射電磁輻射的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.3—1998中給出的試驗方法,試驗等級采用3級,試驗評判結果至少應滿足GB/T17626.3—1998

中的性能判據分類B的要求。

6.1.7電磁傳導抗擾

6.1.7.1系統中所應用的設備和部件對來自電源端口的感應傳導的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.6—1998中給出的試驗方法,試驗等級采用2級,試驗評判結果至少應滿足GB/T

17626.3—1998中的性能判據分類B的要求。

6.1.7.2系統中所應用的設備和部件之間的互連信號線超過1.5m時,對來自感應傳導的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.6—1998中給出的試驗方法,試驗等級采用2級,試驗評判結果至少應滿足GB/T17626.3—1998中的性能判據分類B的要求。

6.1.8浪涌(沖擊)抗擾

6.1.8.1系統中所應用的設備和部件對來自電源端口的浪涌(沖擊)的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.5—1998中給出的試驗方法,試驗等級采用3級,試驗評判結果至少應滿足GB/T17626.5—1998中的性能判據分類B的要求。

6.1.8.2系統中所應用的設備和部件之間的互連信號線超過1.5m時,對來自浪涌(沖擊)的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.5—1998中給出的試驗方法,試驗等級采用3級,試驗評判結果至少應滿足GB/T17626.5—1998中的性能判據分類B的要求。

6.1.9電源電快速瞬變脈沖群抗擾

6.1.9.1系統中所應用的設備和部件對來自電源端口的電快速瞬變脈沖群的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.4—1998中給出的試驗方法,試驗等級采用3級,試驗評判結果至少應滿足GB/T17626.2—1998中的性能判據分類B的要求。

6.1.9.2系統中所應用的設備和部件之間的互連信號線超過1.5m時,對來自電快速瞬變脈沖群的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.4—1998中給出的試驗方法,試驗等級采用3級,試驗評判結果至少應滿足GB/T17626.2—1998中的性能判據分類B的要求。

6.1.10電壓暫降、短時中斷、電壓變化抗擾

6.1.10.1系統中所使用的設備和部件對來自電源端口的電源電壓暫降和短時中斷產生的干擾應有一定的抗擾度。試驗方法應按照GB/T17626.11—1998中給出的試驗方法,試驗等級采用70%UT,試驗評判結果至少應滿足GB/T17626.11—1998中的性能判據分類B的要求。

6.1.10.2系統中所使用的設備和部件對來自電源端口的電源電壓變化產生的干擾應有一定的抗擾度,試驗方法應按照GB/T17626.11—1998中給出的試驗方法,試驗等級采用60%UT,試驗評判結果至少應滿足GB/T17626.11—1998中的性能判據分類B的要求。

6.1.11電源適應能力

6.1.11.1對于交流供電的系統設備,應能在220+10%

-15%條件下正常工作。

6.1.11.2對于直流供電的系統設備,應能在直流電壓標稱值變化.10%的條件下正常工作。標稱值在產品標準中規定。對電源有特殊要求的單元,應在產品標準中加以說明。

6.1.12抗電強度

應符合GB4943-2001中5.2的要求。

6.1.13泄漏電流

系統設備工作時對保護接地端的漏泄電流值不應超過5mA。

6.1.14電源線

對于交流供電的系統設備的電源線,應使用三芯電源線,其中地線應于設備的保護接地端連接牢固。

6.1.15絕緣電阻

系統設備的電源插頭或電源引入端與設備外殼裸露金屬部件之間的絕緣電阻應不小于5MΩ。

6.1.16防過熱

操作人員接觸區的零部件應符合GB4943-2001中4.5.1條表4A溫升限值第2部分的要求。

6.1.17溫度、濕度適應性

對于工作中的系統設備,應能在溫度10℃~+35℃、濕度35%~80%(40℃)的條件下正常工作。對于結構一體化產品中裝入的某些設備,當其環境適應性達不到本標準要求時,應在產品標準中作特殊說明。

6.1.18振動適應性

系統設備振動適應性,應符合表1的要求。對于結構一體化產品中裝入的某些設備,當其環境適應性達不到本標準要求時,應在產品標準中作特殊說明。

6.1.19沖擊適應性

系統設備沖擊適應性,應符合表2的要求。對于結構一體化產品中裝入的某些設備,當其環境適應性達不到本標準要求時,應在產品標準中作特殊說明。

6.1.20碰撞適應性

系統設備碰撞適應性,應符合表3的要求。對于結構一體化產品中裝入的某些設備,當其環境適應性達不到本標準要求時,應在產品標準中作特殊說明。

6.1.21可靠性

采用平均無故障時間衡量系統設備的可靠性水平。系統中硬件設備的平均無故障時間不得低于4000h。

6.2環境物理安全技術要求

6.2.1場地選擇

6.2.1.1應避開易發生火災危險程度高的區域。

6.2.1.2應避開有害氣體來源以及存放腐蝕、易燃、易爆物品的地方。

6.2.1.3應避開強振動源和強噪聲源。

6.2.1.4應避開強電磁場的干擾。

6.2.1.5當上面各條款無法滿足時,應采取相應措施。

6.2.1.6機房所在的建筑物防雷措施應符合GB50057—2000中的“第二類防雷建筑物的防雷措施”的技術要求。

6.2.2機房防火

6.2.2.1機房和重要的記錄介質存放間,其建筑材料的耐火等級,應符合GBJ16-1987(2001年版)中規定的二級耐火等級;機房相關的其余基本工作房間和輔助房,其建筑材料的耐火等級應不低于GBJ16

-1987(2001年版)中規定的二級耐火等級。

6.2.2.2設置火災自動報警系統,包括火災自動探測器、區域報警器、集中報警器和控制器等,能對火災發生的部位以聲、光或電的形式發出報警信號,并啟動自動滅火設備,切斷電源、關閉空調設備等

6.2.2.3要求機房布局要將脆弱區和危險區進行隔離,防止外部火災進入機房,特別是重要設備地區,安裝防火門、使用阻燃材料裝修等。

6.2.2.4機房裝修材料應符合GB9361—1988中規定的難燃材料和非燃材料,應能防潮、吸音、不起塵、抗靜電等。

6.2.2.5機房的活動地板應是難燃材料或非燃材料,活動地板應有穩定的抗靜電性能和承載能力,同時耐油、耐腐蝕、柔光、不起塵等。具體要求應符合SJ/T16796-2001《靜電活動地板通用規范》。

6.2.3電磁輻射衛生防護

機房內的電磁輻射防護限值應達到GB8702—1988和GB9175-1988中的要求。在工作期間,機房內工作人員經常出入的部位(工作室、值班室、休息室),電磁輻射電場強度在任意連續6分鐘內的平均值不應超出表4的給出的參考值。

6.2.4機房屏蔽

6.2.4.1機房采取屏蔽措施,防止外部電磁場對計算機及設備的干擾,同時也抑制電磁信息的泄漏。

6.2.4.2應采用屏蔽效能良好屏蔽電纜作為機房的引入線(包括電源線、信號線)。屏蔽電纜應經過質量確認后方可使用。

6.2.4.3機房的信號電纜線(輸入/輸出)端口和電源線的進、出端口應適當加裝濾波器。電纜連接處應采取屏蔽措施,抑制電磁噪聲干擾與電磁信息泄漏。

6.2.4.4機房內無線電干擾場強,應滿足GB/T2887-2000中4.3.5.1的要求。

6.2.4.5機房內磁場干擾場強,應滿足GB/T2887-2000中4.3.5.2的要求。

6.2.5供電系統

6.2.5.1機房供電電源設備的容量應具有一定的余量。

6.2.5.2機房供電系統應將信息系統設備供電線路與其它供電線路分開,應配備應急照明裝置。

6.2.5.3應配置線路穩壓濾波裝置,保證機房供電電源質量符合GB50174-1993中規定的B級要求。

6.2.5.4應配置電源保護裝置,加裝浪涌保護器。

6.2.5.5機房應建立交流不間斷供電系統,保證機房內信息系統設備24小時運行。

6.2.5.6機房內活動地板下部的低壓配電線路宜采用銅芯屏蔽導線或銅芯屏蔽電纜。

6.2.5.7活動地板下部的電源線應盡可能遠離系統信號線路,并避免并排敷設。當不能避免時,應采取相應的屏蔽措施。

6.2.5.8機房電源系統的所有接點均應鍍錫處理,并且冷壓連接。

6.2.6靜電防護

6.2.6.1主機房內絕緣體的靜電電位不應大于1kV。

6.2.6.2主機房內的導體應與大地作可靠的連接,不應有對地絕緣的孤立導體。

6.2.6.3當鋪設防靜電地面時,防靜電地面可用導電橡膠與建筑物地面粘牢,防靜電地面的體積電阻率均勻,應為1.0×107—1.0×1010Ω.cm,其導電性能應長期穩定,且不易發塵。

6.2.6.4主機房內的工作臺面及座椅墊套材料應是防靜電的,其體積電阻率應為1.0×107—1.0×1010Ω.cm。

6.2.7防雷電

6.2.7.1系統所在建筑物的防雷技術要求應符合GB50057—2000中“第二類防雷建筑物的防雷措施”要求。

6.2.7.2系統中所有的設備和部件應安裝在有防雷保護的范圍內。

6.2.7.3系統電源線應設置電源浪涌保護器(SPD),其沖擊通流容量及限制電壓應按GA267—2000中表3選取。

6.2.7.4系統信號輸入/輸出線應設置信號浪涌保護器(SPD),其沖擊通流容量和限制電壓應按GA267—2000中表4選取。

6.2.7.5不得在建筑物屋頂上敷設電源或信號線路。必須敷設時,應穿金屬管進行屏蔽防護,金屬管應進行等電位連接。

6.2.7.6系統電源及系統輸入/輸出信號線,應分不同層次,采用多級雷電防護措施,涉及的內容包括:系統電源線和信號線引入處、前端供電設備和信號線分線箱、計算機電源接口和信號線接口。

6.2.8接地

6.2.8.1機房應采用四種接地方式:

a)交流工作接地,接地電阻不應大于4Ω;

b)安全保護接地,接地電阻不應大于4Ω;

c)直流工作接地,接地電阻應按計算機系統具體要求確定。

d)防雷接地,應按GB50057—2000執行。

6.2.8.2交流工作接地、安全保護接地、直流工作接地和防雷接地四種接地宜共用一組接地裝置,其接地電阻按其中最小值確定。若防雷接地單獨設置接地裝置時,其余三種接地應共用一組接地裝置,其

接地電阻不應大于其中最小值,并應按GB50057—2000的要求采取防止反擊措施。

6.2.8.3機防內設備的金屬外殼、機柜、機架、金屬管、槽、屏蔽線纜外層、防靜電接地、浪涌保護器接地端等勻應以最短的距離與等電位連接網絡的接地端子連接,連接線應采用多股銅質金屬線,其

截面積不小于16mm2。

6.2.8.4等電位連接網絡宜采用銅排或銅帶,其截面積不應小于50mm2。

6.2.8.5對直流工作接地有特殊要求需單獨設置接地裝置的系統,接地電阻值及其它接地體之間的距離,應按照技術機系統及有關規范的要求確定。

6.2.9溫濕度控制

6.2.9.1應有較完備的空調系統,保證機房溫度的變化在計算機運行所允許的范圍。

6.2.9.2對設備布置密度大、設備發熱量大的主機房宜采用活動地板下送上回方式。

6.2.9.3當機房應采用專用空調設備并與其它系統共享時,應保證空調效果和采取防火措施。

6.2.9.4機房空氣調節控制裝置應滿足計算機系統對溫度、濕度以及防塵的要求。

6.2.9.5空調系統應向安全防范中心提供接口,反映系統工作狀況。

6.2.10防水

6.2.10.1水管安裝不得穿過屋頂和活動地板,穿過墻壁和樓板的水管應使用套管,并采取可靠的密封措施;

6.2.10.2應有有效的防止給水、排水、雨水通過屋頂和墻壁漫溢和滲漏的措施;

6.2.10.3機房應安裝漏水檢測系統,并有報警裝置。

6.2.11防蟲鼠害

6.2.11.1在易受蟲鼠害的場所,機房內的線纜上應涂敷驅蟲、鼠藥劑。

6.2.11.2在易受鼠害的場所,機房內應設置捕鼠和驅鼠裝置。

6.2.12防盜防毀

6.2.12.1機房應裝防護窗、防盜門,門窗及重要部位應裝防盜報警裝置,進行本地和異地報警。

6.2.12.2機房應裝設視頻監控系統或有人24小時職守,對通道等重要部位進行監視。

6.2.12.3報警設備應能與視頻監控系統及出入口控制設備聯動,實現對監控點進行有效的監視。

6.2.13出入口控制

6.2.13.1機房應設單獨出入口,另設多個緊急疏散出口,標明疏散線路和方向,應設置疏散照明和安全出口標志燈。機房出入口應有專人負責,未經允許的人員不準進入機房。

6.2.13.2攜帶物品進出機房時,應持有攜物證。對可疑人員應檢查其攜帶物品的內容,危險物品及可燃物品不準帶入機房。

6.2.13.3應對出入口通道進行視頻監控。

6.2.13.4機房出入口配置電子門禁系統,鑒別進入的人員身份并登記在案。

6.2.14安全防范中心

6.2.14.1應設置安全防范中心,建立安全防范管理系統。通過安全防范管理系統實現監控中心對視頻監控系統、出入口控制系統等各子系統的聯動管理與控制。

6.2.14.2應能對視頻監控系統、出入口控制系統等各子系統的運行狀態進行監測,應能對系統運行狀況和報警信息數據等進行記錄和顯示。

6.2.14.3安全防范管理系統的故障應不影響各子系統的運行;某一子系統的故障應不影響其他子系統的運行。

6.2.15記錄介質安全

6.2.15.1設置記錄介質庫,對出入介質庫的人員實施登記。

6.2.15.2對有用數據、重要數據、使用價值高的數據和秘密程度很高的數據以及對系統運行和應用起關鍵作用的數據記錄介質實施分類標記、登記并保存。

6.2.15.3記錄介質庫應具備措施防盜、防火功能,對于磁性介質應該有防止介質被磁化措施。

6.2.15.4記錄介質的借用應規定審批權限,對于系統中有很高使用價值或很高秘密程度的數據,應采用加密等方法進行保護。

6.2.15.5對于應該刪除和銷毀的重要數據,要有嚴格的管理和審批手續,并采取有效措施,防止被非法拷貝。

6.2.16人員與職責要求

在滿足第二級要求的基礎上,要求對信息系統物理安全風險控制、管理過程的安全事務明確分工責任。對系統物理安全風險分析與評估、安全策略的制定、安全技術和管理的實施、安全意識培養與教育、

安全事件和事故響應等工作應制定管理負責人,制定明確的職責和權力范圍。編制工作崗位和職責的正式文件,明確各個崗位的職責和技能要求。對不同崗位制定和實施不同的安全培訓計劃,并對安全培訓計劃進行定期修改。

對信息系統的工作人員、資源實施等級標記管理制度。對安全區域實施分級標記管理,對出入安全區域的工作人員應驗證標記,安全標記不相符的人員不得入內。對安全區域內的活動進行監視和記錄,所有物理設施應設置安全標記。

6.2.17機房綜合布線要求

機房內部綜合布線的配置應滿足實際的需要,若采用屏蔽線纜時,布線電纜的屏蔽層應保持連續性,并且與地進行可靠的連接。綜合布線區內的電磁干擾場強值大于3V/m時,建筑物內、建筑物群之間或機房對外界的信息傳輸信道應采用光纖信道。機房內綜合布線電纜與附近可能產生電磁泄漏設備(包括電纜線路)的最小平行距離應大于1.5m以上,若不能滿足最小平行距離要求時,宜采用金屬管線進行屏蔽。電氣防護與防火應符合GB50311-2000中的要求。

6.2.18通信線路安全

6.2.18.1通信線路應遠離強電磁場輻射源。

6.2.18.2系統應具有防止通信線路被截獲及外界對系統通信線路的干擾功能,至少應提供以下一種功能。

a)預防線路截獲,使線路截獲設備無法正常工作;

b)探測線路截獲,發現線路截獲并報警;

c)定位線路截獲,發現線路截獲設備工作的位置;

d)對抗線路截獲,阻止線路截獲設備的有效使用。

6.2.19信息傳輸、交換與共享范圍要求

6.2.19.1計算機信息系統聯網應當采取系統訪問控制、數據保護和系統安全保密監控管理等技術措施。

6.2.19.2計算機信息系統的訪問應當按照權限控制,不得進行越權操作。未采取技術安全保密措施的系統不得聯網。

6.2.19.3信息傳輸、信息交換與信息共享僅應在采取保護措施的系統內網進行,系統若與外網留有接口,需使用安全隔離設備。

6.3系統物理安全技術要求

6.3.1災難備份與恢復

6.3.1.1災難備份中心

在獨立的建筑物內建立數據處理系統的備份中心,以便在災難故障發生時能在規定的時間范圍內通過將數據處理系統轉移到備份中心,使業務系統繼續運行。

6.3.1.2網絡設備備份

對于災難故障發生時易受到損壞的網絡設備應有充分的備份,確保網絡的某些部位發生災難性故障時,能在規定的時間間隔內,通過替換網絡設備恢復網絡的通信功能。

6.3.1.3完全數據備份

將業務應用所需要的所有相關數據進行完整的備份,并將備份數據通過專用網絡傳送到備份中心保存;備份數據的間隔時間確定,應確保在系統恢復后,在允許的數據丟失范圍內,支持業務應用系統繼續運行。

6.3.1.4系統手工轉移

在災難故障發生時,在規定的時間范圍內根據預先定義的流程,將業務應用系統手工轉移至備份中心。

6.3.2物理設備訪問

6.3.2.1設備標識與鑒別

6.3.2.1.1設備標識

應按GB/T20271-2006中4.3.1.4.1接入前標識和標識信息管理的要求,設計和實現設備標識功能。一般以設備名和設備標識符來標識一個設備。

6.3.2.1.2設備鑒別

應按GB/T20271-2006中4.3.1.4.2接入前鑒別、不可偽造鑒別和鑒別信息管理的要求,設計和實現標識設備的鑒別功能,并按GB/T20271-2006中4.3.1.4.3的要求進行鑒別失敗的處理。鑒別應確保設備身份的真實性。本安全保護等級要求在設備接入時,采用由密碼系統支持的鑒別信息,對接入設備身份的真實性進行鑒別。鑒別信息應是不可見的,并在存儲和傳輸時按GB/T20271-2006中4.3.10密碼支持的要求進行保護。

6.3.2.2訪問控制策略

物理設備訪問控制范圍,包括策略控制下的主體、客體,及有策略覆蓋的被控制的主體與客體間的操作。客體應包括物理設備。應控制的操作包括:物理設備的配置、啟動、關機、故障恢復(重啟、冗余切換)等。

6.3.3邊界保護

6.3.3.1防止非法設備接入

6.3.3.1.1非法接入探測

設備接入網絡前應按6.3.2.1的要求,對物理設備進行鑒別。發現非法接入事件應進行報警。

6.3.3.2防止設備非法外聯

6.3.3.2.1非法外聯探測

應對設備聯網狀態進行探測,發現非法外聯事件應進行報警。

6.3.4設備管理

6.3.4.1配置管理

6.3.4.1.1資源管理

應對信息系統網絡環境中的下列資源信息進行管理:

——設備信息:包括終端、服務器、交換機、路由器、邊界設備、安全設備等;

——器材信息:設備之間的直達物理連接線路,包括中繼線、用戶線等;

——電路信息:端點設備之間的邏輯連接線路,可能包含多條物理線路;

——網絡信息:包括局域網、城域網、廣域網等;

——軟件信息:系統軟件和應用軟件;

——地址信息:設備所在地址信息。

6.3.4.1.2網絡拓撲服務管理

應支持網絡拓撲發現技術,提供網絡拓撲結構顯示功能,實現網絡的物理布局、邏輯布局及電氣布局的網絡布局顯示。

6.3.4.2性能管理

6.3.4.2.1網絡性能監測

應提供對接收字節數、發送字節數等網絡性能數據的連續采集,實現對有效性、響應時間、差錯率等面向服務質量的指標和吞吐率、利用率等面向網絡效率的指標的網絡性能監測功能。

6.3.4.2.2設備運行狀態監視

應提供設備管理接口,通過該接口及相關協議收集設備的運行狀態,如CPU利用率、內存利用率等,支持設備運行狀態的遠程監視,當所監測數值超過預先設定的故障閾值時,提供報警。

6.3.4.2.3設備部件狀態監視

核心設備的關鍵硬件,包括電源、風扇、機箱、磁盤控制等應具備可管理接口,通過該接口及相關協議收集硬件的運行狀態,如處理器工作溫度、風扇轉速、系統核心電壓等,并對其進行實時監控,當所監測數值超過預先設定的故障閾值時,提供報警。

6.3.4.3故障管理

6.3.4.3.1告警監測功能

應設置告警策略,定義告警事件指標,并收集設備、部件及網絡運行過程中的告警信息,生成告警日志,定期產生告警報告。

6.3.4.3.2故障定位功能

應設置故障定位策略,明確故障定位范圍,并結合來自性能監控、告警監控等各方面產生的相關故障信息,對線路故障、設備故障進行自動定位。

6.3.4.4管理信息保護

應采取措施保障管理信息的存儲、傳輸安全。對于遠程管理,應通過加密來保護遠程管理對話。

6.3.4.5安全管理角色

通過設置安全管理角色減少因用戶超越職責濫用授權而導致破壞的可能性。

應只允許授權管理員和可信主機承擔安全管理職責。應能把授權執行管理功能的授權管理員和可信主機與使用物理設備的所有其他個人或系統分開。

6.3.4.6設備監控中心

結合安全監控中心的建設,設置設備監控中心,對收集到的各類配置數據、性能數據、故障告警數據,根據安全策略進行分析,并做報告、事件記錄和報警等處理。設備監控中心應具備必要的遠程管理能力,如配置參數遠程設置、遠程軟件升級、遠程啟動等。

6.3.5設備保護

6.3.5.1設備物理保護

6.3.5.1.1物理攻擊的被動檢測

應按GB/T20271-2006中5.1.1.1中物理攻擊被動檢測的要求,實現對信息系統的物理安全保護。

6.3.5.2可信時間戳

應按GB/T20271-2006中5.1.2.7的要求,提供可靠的時間戳支持。

6.3.5.3設備自檢

應提供對物理設備正確操作的自測試能力。這些測試可在啟動時進行,或周期性地進行,或在授權用戶要求時進行,或當某種條件滿足時進行。

6.3.6資源利用

6.3.6.1故障容錯

應通過一定措施防止由于物理設備失效引起的資源能力的不可用,確保即使出現故障情況,系統也能正常運行。故障容錯機制有主動和被動兩種。主動機制下,特定的功能在故障發生時將會被激活;

在被動機制下,物理設備被設計為能自動處理故障。

本級采用降級故障容錯,要求在確定的故障情況下,設備能繼續正確運行指定的功能。這是一種強制性的安全功能策略,要求在出錯情況下設備能繼續規定的正確操作,因而要求信息系統必須在故障發生后通過降低能力保持一個安全的狀態。

6.3.6.2服務優先級

應通過控制用戶和主體對控制范圍內資源的使用,使得高優先級任務的完成總是不受低優先級任務的干擾和影響,這些資源包括處理類資源和通信類資源。

本級應實現有限服務優先級,將服務優先級的控制范圍限定在控制范圍內的某個資源子集,要求設備安全功能對與該資源子集有關的主體定義優先級,并指出對何種資源使用該優先級。

6.3.6.3資源分配

應通過控制用戶和客體對資源的占用,使得不因不恰當地占有資源而出現拒絕服務情況。資源分配規則允許通過建立配額或其他方式,來定義代表某個特定用戶或主體進行分配的資源空間大小或時間長短的限制。本級資源分配采用最大限額的控制方法,應確保用戶和主體不會超過某一數量或獨占某種受控資源。

7第四級物理安全技術要求

7.1設備物理安全技術要求

7.1.1標志

組成此保護級的系統設備和部件應有明顯清晰的標志,應包括:產品名稱、型號或規定的代號、制造廠商的名稱或商標、安全符號,或國家規定的3C認證標志。

7.1.2標記和外觀

7.1.2.1系統設備和部件應有明顯的無法擦去的標記。

7.1.2.2系統設備表面不應有明顯的凹痕、裂縫、變形和污染等。表面涂度層應均勻、不應起泡、龜裂、脫落和磨損。金屬部件不應有銹蝕及其他機械損傷。

7.1.2.3系統設備的各部件應緊固無松動,安裝可抽換部件的接插件應能可靠連接,鍵盤、開關按鈕和其它控制部件的控制應靈活可靠,布局應方便使用。

7.1.3靜電放電

系統中應用的設備和部件對來自靜電放電的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.2—1998中給出的試驗方法,試驗等級采用4級,試驗評判結果至少應滿足GB/T17626.2—1998

中的性能判據分類A的要求。

7.1.4電磁輻射騷擾

對系統中應用的設備和部件產生的電磁輻射騷擾應有一定的限制,系統中應盡可能的應用低電磁輻射發射的設備和部件。試驗方法應按照GB9254—1998中給出的試驗方法,試驗評判結果至少應滿足GB9254—1998中ITE分級的B級騷擾限值要求。

7.1.5電磁傳導騷擾

7.1.5.1對系統中應用的設備和部件在電源端口產生的電磁傳導騷擾應有一定的限制,系統中應盡可能的應用低電磁傳導發射的設備和部件。試驗方法應按照GB9254—1998中給出的試驗方法,試驗評判

結果至少應滿足GB9254—1998中ITE分級的B級騷擾限值要求。

7.1.5.2對系統中應用的設備和部件在信號端口產生的電磁傳導騷擾應有一定的限制,系統中應盡可的應用低電磁傳導發射的設備和部件。試驗方法應按照GB9254—1998中給出的試驗方法,試驗評判結

果至少應滿足GB9254—1998中ITE分級的B級騷擾限值要求。

7.1.6電磁輻射抗擾

系統中所應用的設備和部件對來自射電磁輻射的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.3—1998中給出的試驗方法,試驗等級采用3級,試驗評判結果至少應滿足GB/T17626.3—1998中的性能判據分類A的要求。

7.1.7電磁傳導抗擾

7.1.7.1系統中所應用的設備和部件對來自電源端口的感應傳導的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.6—1998中給出的試驗方法,試驗等級采用3級,試驗評判結果至少應滿足GB/T17626.3—1998中的性能判據分類A的要求。

7.1.7.2系統中所應用的設備和部件之間的互連信號線超過1.5m時,對來自感應傳導的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.6—1998中給出的試驗方法,試驗等級采用3級,試驗評判結果至少應滿足GB/T17626.3—1998中的性能判據分類A的要求。

7.1.8浪涌(沖擊)抗擾

7.1.8.1系統中所應用的設備和部件對來自電源端口的浪涌(沖擊)的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.5—1998中給出的試驗方法,試驗等級采用4級,試驗評判結果至少應滿足

GB/T17626.5—1998中的性能判據分類A的要求。

7.1.8.2系統中所應用的設備和部件之間的互連信號線超過1.5m時,對來自浪涌(沖擊)的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.5—1998中給出的試驗方法,試驗等級采用4級,試驗評判結果至少應滿足GB/T17626.5—1998中的性能判據分類A的要求。

7.1.9電源電快速瞬變脈沖群抗擾

7.1.9.1系統中所應用的設備和部件對來自電源端口的電快速瞬變脈沖群的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.4—1998中給出的試驗方法,試驗等級采用4級,試驗評判結果至少應滿足GB/T17626.2—1998中的性能判據分類A的要求。

7.1.9.2系統中所應用的設備和部件之間的互連信號線超過1.5m時,對來自電快速瞬變脈沖群的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.4—1998中給出的試驗方法,試驗等級采用4級,試驗評判結果至少應滿足GB/T17626.2—1998中的性能判據分類A的要求。

7.1.10電壓暫降、短時中斷、電壓變化抗擾

7.1.10.1系統中所使用的設備和部件對來自電源端口的電源電壓暫降和短時中斷產生的干擾應有一定的抗擾度。試驗方法應按照GB/T17626.11—1998中給出的試驗方法,試驗等級采用70%UT,試驗評判結果至少應滿足GB/T17626.11—1998中的性能判據分類A的要求。

7.1.10.2系統中所使用的設備和部件對來自電源端口的電源電壓變化產生的干擾應有一定的抗擾度,試驗方法應按照GB/T17626.11—1998中給出的試驗方法,試驗等級采用60%UT,試驗評判結果至少應滿足GB/T17626.11—1998中的性能判據分類A的要求。

7.1.11工頻磁場抗擾

系統中所使用的設備和部件(電子射束敏感裝置)對來自工頻磁場的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.8—1998中給出的試驗方法,試驗等級采用2級,試驗評判結果至少應滿足GB/T17626.2—1998中的性能判據分類A的要求。

7.1.12脈沖磁場抗擾

系統中所使用的設備和部件(電子射束敏感裝置)對來自脈沖磁場的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.9—1998中給出的試驗方法,試驗等級采用3級,試驗評判結果至少應滿足GB/T17626.2—1998中的性能判據分類A的要求。

7.1.13電源適應能力

7.1.13.1.1對于交流供電的系統設備,應能在220+10%

-15%條件下正常工作。

7.1.13.1.2對于直流供電的系統設備,應能在直流電壓標稱值變化.10%的條件下正常工作。標稱值在產品標準中規定。

7.1.14抗電強度

應符合GB4943-2001中5.2條款的要求。

7.1.15泄漏電流

系統設備工作時對保護接地端的漏泄電流值不應超過5mA。

7.1.16電源線

對于交流供電的系統設備的電源線,應使用三芯電源線,其中地線應于設備的保護接地端連接牢固。

7.1.17絕緣電阻

系統設備的電源插頭或電源引入端與設備外殼裸露金屬部件之間的絕緣電阻應不小于5MΩ。

7.1.18防過熱

操作人員接觸區的零部件應符合GB4943-2001中4.5.1條表4A溫升限值第2部分的要求。

7.1.19防火

應符合GB4943-2001中4.7條的要求。

7.1.20防爆裂

因過熱或過負荷容易引起內爆或爆裂的部件(如監視器等),本身應有防止內爆和抗機械沖擊的安全措施。

7.1.21溫度、濕度適應性

對于工作中的系統設備,應能在溫度0℃~40℃、濕度30%~90%(40℃)的條件下正常工作。對于結構一體化產品中裝入的某些設備,當其環境適應性達不到本標準要求時,應在產品標準中作特殊說明。

7.1.22振動適應性

系統設備振動適應性,應符合表6的要求。

7.1.23沖擊適應性

系統設備沖擊適應性,應符合表7的要求。

7.1.24碰撞適應性

系統設備碰撞適應性,應符合表8的要求。

7.1.25可靠性

采用平均無故障時間衡量系統設備的可靠性水平。系統中硬件設備的平均無故障時間不得低于4000h。

7.2環境物理安全技術要求

7.2.1場地選擇

7.2.1.1避開易發生火災危險程度高的區域。

7.2.1.2應避開有害氣體來源以及存放腐蝕、易燃、易爆物品的地方。

7.2.1.3應避開低洼、潮濕、落雷區域和地震頻繁的地方。

7.2.1.4應避開強振動源和強噪聲源。

7.2.1.5應避開強電磁場的干擾。

7.2.1.6應避免設在建筑物的高層或地下室,以及用水設備的下層或隔壁。

7.2.1.7機房所在的建筑物防雷措施應符合GB50057—2000中的“第二類防雷建筑物的防雷措施”的技術要求。

7.2.2機房防火

7.2.2.1機房和重要的記錄介質存放間,其建筑材料的耐火等級,應符合GBJ16-1987(2001年版)中規定的一級耐火等級;機房相關的其余基本工作房間和輔助房,其建筑材料的耐火等級應不低于GBJ16-1987(2001年版)中規定的二級耐火等級。

7.2.2.2設置火災自動消防系統,能自動檢測火情、自動報警,并自動切斷電源和其他應急開關,自動啟動事先固定安裝好的滅火設備進行自動滅火。

7.2.2.3機房布局要將脆弱區和危險區進行隔離,防止外部火災進入機房,特別是重要設備地區,安裝防火門、使用阻燃材料裝修等。

7.2.2.4機房裝修材料應符合GB9361—1988中規定的難燃材料和非燃材料,應能防潮、吸音、不起塵、抗靜電等。

7.2.2.5機房的活動地板應是難燃材料或非燃材料,活動地板應有穩定的抗靜電性能和承載能力,同時耐油、耐腐蝕、柔光、不起塵等。具體要求應符合SJ/T16796-2001《靜電活動地板通用規范》。

7.2.3電磁輻射衛生防護

機房內的電磁輻射防護限值應達到GB8702—1988和GB9175-1988中的要求。在工作期間,機房內工作人員經常出入的部位(工作室、值班室、休息室),電磁輻射電場強度和磁場強度,在任意連續6分鐘內的平均值不應超出表9的給出的限值。

7.2.4機房屏蔽

7.2.4.1機房采取屏蔽措施,防止外部電磁場對計算機及設備的干擾,同時也抑制電磁信息的泄漏。

7.2.4.2應采用屏蔽效能良好屏蔽電纜作為機房的引入線(包括電源線、信號線)。屏蔽電纜應經過質量確認后方可使用。

7.2.4.3機房的信號電纜線(輸入/輸出)端口和電源線的進、出端口應加裝濾波器。電纜連接處應采取屏蔽措施,抑制電磁噪聲干擾與電磁信息泄漏。

7.2.4.4機房內無線電干擾場強,應滿足GB/T2887-2000中4.3.5.1的要求。

7.2.4.5機房內磁場干擾場強,應滿足GB/T2887-2000中4.3.5.2的要求

7.2.5供電系統

7.2.5.1機房供電電源設備的容量應具有一定的余量。

7.2.5.2機房供電系統應將信息系統設備供電線路與其它供電線路分開,應配備應急照明裝置。

7.2.5.3應配置線路穩壓濾波裝置,保證機房供電電源質量符合GB50174-1993中規定的A級要求。

7.2.5.4應配置電源保護裝置,加裝浪涌保護器。

7.2.5.5機房應建立交流不間斷供電系統,保證機房內信息系統設備24小時運行。

7.2.5.6機房內活動地板下部的低壓配電線路宜采用銅芯屏蔽導線或銅芯屏蔽電纜。

7.2.5.7活動地板下部的電源線應盡可能遠離系統信號線路,并避免并排敷設。當不能避免時,應采取相應的屏蔽措施。

7.2.5.8機房電源系統的所有接點均應鍍錫處理,并且冷壓連接。

7.2.6靜電防護

7.2.6.1電接地的連接線應有足夠的機械強度和化學穩定性。防靜電地面應采用導電橡膠與接地導體粘接,接觸面積不應小于10cm2。

7.2.6.2防靜電地線不得接在電源零線上,應單獨接在地線匯集點。

7.2.6.3防靜電工作區的環境相對濕度應控制在于40%-70%范圍內為宜。

7.2.6.4人員服裝采用不易產生靜電的衣料,工作鞋選用低阻值材料制作。

7.2.6.5靜電接地的連接線應有足夠的機械強度和化學穩定性。接地母線截面積應不小于25mm2;支線截面積應不小于16mm2;設備和工作臺的接地線應采用截面積不小于10mm2的多股銅質導線。

7.2.6.6主機房內絕緣體的靜電電位不應大于1kV。

7.2.6.7主機房內的導體應與大地作可靠的連接,不應有對地絕緣的孤立導體。

7.2.6.8當鋪設防靜電地面時,防靜電地面可用導電橡膠與建筑物地面粘牢,防靜電地面的體積電阻率均勻,應為1.0×107~1.0×1010Ω.cm,其導電性能應長期穩定,且不易發塵。

7.2.6.9主機房內的工作臺面及座椅墊套材料應是防靜電的,其體積電阻率應為1.0×107~1.0×1010Ω.cm。

7.2.6.10機房內的防靜電地面、活動地板、工作臺面合座椅墊套應進行靜電接地。

7.2.7防雷電

7.2.7.1系統所在建筑物的防雷技術要求應符合GB50057—2000中“第二類防雷建筑物的防雷措施”要求。

7.2.7.2系統中所有的設備和部件應安裝在有防雷保護的范圍內。

7.2.7.3系統電源線應設置電源浪涌保護器(SPD),其沖擊通流容量及限制電壓應按GA267-2000中表1選取。

7.2.7.4系統信號輸入/輸出線應設置信號浪涌保護器(SPD),其沖擊通流容量和限制電壓應按GA267-2000中表2選取。

7.2.7.5防雷保護地的接地電阻不應大于1.5Ω。當土壤電阻率大于2000Ω.M時,系統接地電阻不得大于8Ω。

7.2.7.6不得在建筑物屋頂上敷設電源或信號線路。必須敷設時,應穿金屬管進行屏蔽防護,金屬管應進行等電位連接。

7.2.7.7系統電源及系統輸入/輸出信號線,應分不同層次,采用多級雷電防護措施,涉及的內容包括:系統電源線和信號線引入處、前端供電設備和信號線分線箱、計算機電源接口和信號線接口。

7.2.7.8機房內應裝設等電位匯集環,室內的金屬裝置(包括金屬門窗、機柜箱金屬外殼等)就近進行等電位連接。

7.2.8接地

7.2.8.1主機房應采用四種接地方式:

a)交流工作接地,接地電阻不應大于4Ω;

b)安全保護接地,接地電阻不應大于4Ω;

c)直流工作接地,接地電阻應按計算機系統具體要求確定;

d)防雷接地,應按GB50057—2000執行。

7.2.8.2交流工作接地、安全保護接地、直流工作接地和防雷接地四種接地應共用一組接地裝置,其接地電阻按其中最小值確定。若防雷接地單獨設置接地裝置時,其余三種接地應共用一組接地裝置,其

接地電阻不應大于其中最小值,并應按GB50057—2000《建筑物防雷設計規范》要求采取防止反擊措施。

7.2.8.3機防內設備的金屬外殼、機柜、機架、金屬管、槽、屏蔽線纜外層、防靜電接地、浪涌保護器接地端等勻應以最短的距離與等電位連接網絡的接地端子連接,連接線應采用多股銅質金屬線,其截

面積不小于16mm2。

7.2.8.4等電位連接網絡宜采用銅排或銅帶,其截面積不應小于50mm2。

7.2.8.5對直流工作接地有特殊要求需單獨設置接地裝置的系統,接地電阻值及其它接地體之間的距離,應按照技術機系統及有關規范的要求確定。

7.2.9溫濕度控制

7.2.9.1應有完備的中央空調系統,保證機房各個區域的溫度變化能滿足計算機運行、人員活動和其它輔助設備的要求。

7.2.9.2對設備布置密度大、設備發熱量大的主機房宜采用活動地板下送上回方式。

7.2.9.3機房空氣調節控制裝置應滿足計算機系統對溫度、濕度以及防塵的要求。

7.2.9.4空調系統的制冷能力,應留有15%~20%的余量。

7.2.9.5空調系統應向安全防范中心提供接口,反映系統工作狀況,并支持遠程控制。

7.2.10防水

7.2.10.1水管安裝不得穿過屋頂和活動地板,穿過墻壁和樓板的水管應使用套管,并采取可靠的密封措施。

7.2.10.2應有有效的防止給水、排水、雨水通過屋頂和墻壁漫溢和滲漏的措施。

7.2.10.3機房應安裝漏水檢測裝置,并有報警裝置。

7.2.10.4漏水檢測系統應向安全防范中心提供接口,反映系統工作、報警狀況。

7.2.11防蟲鼠害

7.2.11.1在易受蟲鼠害的場所,機房內的線纜上應涂敷驅蟲、鼠藥劑。

7.2.11.2在易受鼠害的場所,機房內應設置捕鼠和驅鼠裝置。

7.2.12防盜防毀

7.2.12.1機房應裝防護窗、防盜門,門窗及重要部位應裝防盜報警裝置,進行本地和異地報警。

7.2.12.2機房應裝設視頻監控系統,對通道、核心設備等重要部位進行監視。

7.2.12.3報警設備應能與視頻監控系統及出入口控制設備聯動,實現對機房出入人員、重要部位進行有效的監視并記錄。

7.2.13出入口控制

7.2.13.1機房應設單獨出入口,另設多個緊急疏散出口,標明疏散線路和方向,應設置疏散照明和安全出口標志燈。機房出入口應有專人負責,未經允許的人員不準進入機房。

7.2.13.2攜帶物品進出機房時,應持有攜物證。對可疑人員應檢查其攜帶物品的內容,危險物品及可燃物品不準帶入機房。

7.2.13.3應對出入口通道進行視頻監控。

7.2.13.4機房出入口配置電子門禁系統,鑒別進入的人員身份并登記在案。

7.2.13.5應對重要區域配置第二道電子門禁系統,控制、鑒別和記錄進入的人員身份并監控其活動。

7.2.14安全防范中心

7.2.14.1應設置安全防范中心,建立完善的安全防范管理系統。通過安全防范管理系統實現監控中心對視頻監控系統、出入口控制系統等各子系統的自動化管理與監控。

7.2.14.2應能對視頻監控系統、出入口控制系統等各子系統的運行狀態進行監測和控制,應能對系統運行狀況和報警信息數據等進行記錄和顯示。

7.2.14.3安全管理系統的故障應不影響各子系統的運行;某一子系統的故障應不影響其他子系統的運行。

7.2.15記錄介質安全

7.2.15.1設置記錄介質庫,對出入介質庫的人員實施記錄,無關人員不得入內。

7.2.15.2對有用數據、重要數據、使用價值高的數據和秘密程度很高的數據以及對系統運行和應用起關鍵作用的數據記錄介質實施分類標記、登記并保存。

7.2.15.3記錄介質庫應具備措施防盜、防火功能,對于磁性介質應該有防止介質被磁化措施。

7.2.15.4記錄介質的借用應規定審批權限,對于系統中有很高使用價值或很高秘密程度的數據,應采用加密等方法進行保護。

7.2.15.5對于應該刪除和銷毀的重要數據,要有嚴格的管理和審批手續,并采取有效措施,防止被非法拷貝。

7.2.16人員與職責要求

在滿足第三級要求的基礎上,要求安全管理滲透到計算機信息系統各級應用部門,對物理安全管理活動實施質量控制,建立質量管理體系文件。要求獨立的評估機構對使用的安全管理職責體系、計算機信

息系統物理安全風險控制、管理過程的有效性進行評審,保證安全管理工作的有效性。

對不同安全區域實施隔離,建立出入審查、登記管理制度,保證出入的得到明確受權。對標記安全區域內的活動進行不間斷實時監視記錄。建立出入安全檢查制度,保證出入人

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

最新文檔

評論

0/150

提交評論