第七章物理安全技術實行

7.1概述

物理安全由稱為實體安全，是整個計算機信息系統安全H勺基石，其日的是保

護計算機設備、通信鏈路和其他媒體免遭自然災害、環境事故、人為失誤及多種

計算機犯罪行為導致的破壞。

從機房建設的角度劃分，物理安全建設可分為環境物理安全建設、基本物理

設備安全建設和只能設備物埋安全建設二個部分。環境物埋安全建設是整個信息

系統安全建設不可忽視日勺重要構成部分，意在加強對地震、水災和雷電等自然災

害的防止；基本物理設備安全建設指配電柜、UPS電源、機房專用空調和網絡設

備等機房必須設備的安全建設，保障基本物理設備歐I安全，已成為信息系統建設

H勺第一道防線：智能設備物理安全建設包括門禁系統、防盜報警系統、機房監捽

系統、消防報警系統等，伴隨信息社會的高速發展，智能設備在機房建設中越來

越重要，其效果比之前口勺人工管理也有了很大的提供，故實現機房日勺智能化管理,

已成為現代機房建設的必備元素。

7.2安全風險

信息系統物理安全風險可分為非人為安全風險和人為安全風險兩部分。非人

為安全風險指自然災害、環境影響和設備故障等導致的風險，人為安全風險是指

由人員失誤或惡意襲擊等導致的風險。對物理安全風險的簡樸描述如表7-1所示。

表7-1物理安全風險分類表

種類描述

非人為安全風險自然災害鼠蟻蟲害、水火災害、地震、雷擊等

環境膨響溫度、濕度、灰塵、有害氣體、電磁干擾，靜電、

斷電等

設備故障系統軟硬件故障、通信鏈路中斷等

人為安全風險惡意襲擊物理襲擊：設備被盜竊、故意破壞等：

非法使用：采用多種措施，非法訪問非授權資源：

服務干擾：惡意占用系統資源，到達減少系統可

用性的目H勺。

人員失誤操作失誤：操作人員執行錯誤操作對系統導致的

破壞；

管理失誤：因管理不規范而導致信息系統不能正

常運行，

7.3安全目日勺

物理安全建設是整個信息系統安全建設H勺第?步，故其完畢度和安全性對信

息系統安全建設影響很大。為了實現信息系統的I可靠運行，物理安全建設應到達

如下目日勺：

（一）根據不一樣日勺安全等級，選擇機房建設位置和建筑建設基本規定；

（二）實現不一樣安全等級日勺訪問控制功能，保護機房日勺設備及數據安全;

（三）實現不一樣安全等級日勺防雷擊和防火規定，根據系統級別配置對應

的I避雷設備和滅火設備；

（四）保護機房設備，防止其被盜竊或者被破壞；

（五）采用對應的措施防止機房進水或者設備漏水，同步加強機房的溫濕

度控制，加強機房環境管理。

（六）保障機房電力正常供應，并對重要設備進行防靜電和電磁防護措施。

物理安全建設技術規定從物理環境建設技術和人員控制技術兩方面來實現,

其對各級系統歐I概括規定如表7-2所示。

表7-2物理安全控制點

控制點控制點描述一級二級三級四級

物理訪問

從物理安全的角度來對人員的訪問進行控制J

控制

防盜竊和

對機房實行保護，防止其遭受破壞或被盜竊

防破壞

防雷擊保護機房設備免受雷電等自然災害的影響J

防火保護機房免受火災的影響JV

防水和防

機房大部分都是電器產品，故應當進行嚴格的防水設置JVV

潮

溫濕度控機房正常運行需要一定H勺溫濕度環境，因此進行對應的

JV

制控制

為了防止機房供電不穩定的狀況下，應進行對應的電力

電力供應VJ

供應

物理位置

機房選擇要參照一般建筑物選址規范來進行V

的選擇

靜電會對機房導致不良影響，為了保障機房設備的正常

防靜電V

運行，應進行對應的靜電防護措施

電磁防護重要設備和重要區域進行電磁防護

等級保護中各級系統在建設中對控制點的物理技術規定如表7-3所示

控制點第一級第二級第二級第四級

除安排專門人員負責機房的

機房出入應安排專人負責，管理和記錄外，還應愛立一增長區域管理并增長電子門

增長區域管理和電子門禁系

物理訪問控制控制，鑒別和記錄進入的人種進入機房的審批流程，建禁系統.并且在至要區域增

統

員立訪問立案記錄，并限制其長第二層電子門禁系統

活動范圍。

重要設備應房子機房內,并增長標識,在型要的設備上

增長機房防送報警系統和機

防盜竊和防破壞且固定，且要設置明顯不易安裝防空報警系統，將通信同笫三級

房監控系統

清除的標識線纜敷設在傀蔽處

設置避雷裝置和交流電源接增長防雷保護器,防止感應

防雷擊機房攏筑物應有防雷接柩同笫三圾

坨窗

設置滅火設備和火災報警控增長火災自動報警和滅火裝

防火機房應設矍滅火束置向第二蛟

制器置，以及區域隔離防火

應對機房內的水管增長必要

水管不得穿過機房屋頂和地

的防水措施，還應采用措被增長水敏感的檢測儀器或原

防水和防潮坂下面，應敷設保溫層，防同笫三圾

防止雨水通過窗戶，屋頂和件,進行防水和報警

止結露

墻經滲漏

應在機房供電段珞上加穩壓縉長短期的備用電力供應，

增長關鋪設各的各用供電系增長備用的供電系統和冗余

電力供應器和過壓保護裝置，以滿足以滿足設備在斷電的狀況下

統和冗余電路電線線路的供電系統

機房在斷電狀況下正常供電正常運行

機房應設置必要眄溫濕度控機房應設置溫、濕度自動調

溫濕度控制同第二級同笫三圾

制設施整設施

機房建筑物應具有防宙、防在防震功能外,機房建筑應

物理位強的選擇無規定同第三級

震、防水、防風等能力防止在建筑物的高層或者地

下室，以及用水設備的下層

或隔壁

關鍵設備應采用防靜電接地除必要的防靜電接地外,還地長伸電消除器，減少靜電

防靜電無規定

措施應當使用防憚電地板的產生

7.4目日勺措施對應表

表7-4物理安全目的與對應措施

安全目的措施

物理位置選擇符合一般建筑物規范

防火劃分不一樣區域并進行防火隔離

防雷擊增長避雷設備，交流電源接地

環防止進水、漏水，還應當有漏水監測

機房環境安全防水和防潮

境系統

措施

物接地與屏蔽，應當使用防靜電地板，

防靜電

理使用經典消除劑

安電磁防護接地、隔離與屏蔽

全布線系統安裝地下、線路冗余并打上標識

措機房人員平常行為準則

施機房平常巡視制度

機房安全保密制度

機房運行安全措施

機房硬件設備維護制度

機房資料管理

配電柜應對的布署及維護

UPS電源應對的布署及維護

基本設備物理安仝措施機房專用空調應對的布署及維護

網絡設備的采購、編號、定期檢查、

借用、報廢和平常維護等

安裝門禁系統

安裝防盜報警系統

職能設備物理安全措施

安裝機房監控報警系統

安裝消防報警系統

7.5安全措施

機房建設可分為環境物理安全建設、基本設備物理安全建設、智能設備物理

安全建設。其中，環境物理安全建設可分為物理位置H勺選擇、溫濕度控制和電磁

防護等方面n勺建設；基本設備物理安全建設即網絡設備、電氣設備等的基本布署

及安全建設；智能設備物理安全建設包括溫濕度控制系統、報警系統、監控系統

和消防系統等的建設

7.5.1環境物理安全措施

環境物理安全措施包括機房環境安全措施和機房運行安全措施，這兩方面的

實行要點如下：

1.機房環境安全措施

1）機房物理位置的選擇

（一）機房和辦公場所應選擇在防震、防水、防風、防雨等能了歐J建筑內；

（二）機房場地應防上設在建筑物的高層或地下室，以及用水設備的下層或隔

壁。

2）防火

（一）機房應設置自動滅火裝置，可以自動檢測火情、自動報警、并自動滅火；

（二）機房及有關的工作房間和輔助房應采用品有耐火等級的建筑材料；

（三）機房應采用區域隔離防火措施，將重要設備與其他設備隔離開。

從防火H勺角度出發，可將機房分為脆弱區、危險區和一般規定區3個區域,

脆弱區一旦發生火災，將導致全局性的業務中斷，使重要信息遭受嚴重破壞，極

大的威脅機房安全，故這一區域應嚴格重點進行消防報警管理，出現火災時應首

先對這一區域進行滅火等操作；危險區多寄存易燃物質，由于其寄存的物質日勺特

殊性，故在進行機房管理時應多加注意，防止出現火情，若出現火情應及時進行

撲滅，以免蔓延至脆弱區，導致更大的損失；一般規定區即上述區域外日勺地方,

其消費措施沒有特殊的規定，保障安全正常口勺滅火報警系統即可。

3）防雷擊

（一）機房建筑應設置避雷裝置；

（二）應設置防雷保折器，防止感應雷；

（三）機房應設置交流電源地線。

4）防水和防潮

1）水管安裝不得穿過機房屋頂和活動地板下；

2）除空調設備外，機房內其設備一般不得安裝水源；

3）應采用措施防止雨水通過機房窗戶、屋頂和墻壁滲漏；

4）應采用措施防止機房內水蒸氣結露和地下積水歐I轉移和滲透；

5）應安裝對水敏感的檢測儀或元件，對機房進行漏水監測和報警。

6）防靜電

（一）重要設備采用必要日勺接地防靜電措施；

（二）機房采用防靜電地板；

（三）工作人員的衣服和鞋子盡量用不產生靜電的衣料制作；

（四）維修人員進行硬件設備的維護尤其是電路板的更換時候，最佳戴接地手

套；

（五）控制機房日勺濕度，使得機房時相對濕度維持在正常日勺規定的范圍內，不

適宜偏低;

（六）在靜電發生頻繁的地方使用靜電消除劑。

7）電磁防護

（一）應采用接地方式防止外界電磁干擾和設備寄生耦合干擾；

（二）電源線和通信線纜應隔離敷設，防止互相干擾；

（三）應對關鍵設備和磁介質實行電磁屏蔽。

8）機房布線措施

（一）安裝地線；

（二）安裝備份線路；

（三）應找專業日勺電工人員或者綜合布線人員來布線，且要做好機房布線H勺檔

案工作，以便后來維護。

2.機房運行安全措施

1）機房人員平常行為準則

（一）注意機房口勺環境衛生，不得在機房內吃零食、吸煙等；

（二）應對值班人員口勺責任細化，將責任貫徹到個人；

（三）機房工作人員必須按操作規程使用多種設備，以免出現誤操作縮短沒備

的使用壽命；

（四］嚴禁在機房大聲喧嘩、聊天、看視頻等影響他人正常工作的行為。

2）機房平常巡視制度

（一）檢查機房日勺環境衛生、溫濕度、安全等狀況，并認真做好記錄；

（二）檢查機房網絡設備、空調系統、配電柜和UPS等基本物理設備日勺工作狀

況，并做好記錄；

（三）檢查機房日勺消防系統、防盜報警系統等職能設備的運行狀況，并做好記

錄。

3）機房安全保密制度

（一）機房出入口安排專人值守，重要區域應配置電子門禁系統，對出入人員

進行鑒別和記錄；

（二）對非本機房工作人員不得隨意進出機房，遇特殊狀況時，必須登記方可

進入，且對其活動范I韋I進行限制和監控；

（三）值班人員需確定機房門、窗關閉，防盜裝置正常啟動后，方可離鹵；

（四］工作人員有保抵機房信息安全的義務，其工作區域內的重要文獻、資料

和設備等日勺安全應得到保障；

（五）嚴禁將機房要素、門禁卡等物品外借他人，碰到遺失鑰匙的狀況要及時

上報，積極積極保護機房安全；

4）機房硬件設備維護制度

（一）工作人員應當熟識各設備H勺操作規程和養護措施，盡量延長設備的使用

壽命；

（二）定期檢查配電柜、UPS、機房專用空調、風機、消防設備、防雷設備和

報警系統等硬件的運行狀態，查閱各設備的日志匯報，理解設備的I運行狀況,

并做好記錄;

（三）不得隨意搬動、更改設備，遇特殊狀況時，需要專業人員等的指導下進

行；

5）機房資料管理

（一）應建立機房資料管理制度，根據資料用途、設備類別等進行分類，并由

專人進行管理；

（二）機房資料應伴隨設備更新、維護等狀況予以對應的變更，及時記錄記錄

的更新狀況；

（三）工作人員有保尹機房資料和數據安全的業務，不得隨意泄露機房秘密；

（四）進行權限劃分，只有擁有對應權限權限的人才可以查閱有關資料，未經

授權不得進行查閱；

（五）重要資料和數據等應進行加密備份。

7.5.2基本設備物理安全

在機房建設過程中，計算機電器系統設備是保證機房運行必不可少口勺設備,

如網絡互換機、配電柜、不停電系統、機房專用空調、風機和空氣凈化器等，這

些設備的正常運行與否直接影響了機房日勺建設，故應做好此類設備的安全保護,

從而深入維護機房的安全運行。

1.配電柜

計算機機房的供電系統一般由機損及網絡設備供電系統、機房設備敷設日勺供

電系統和備用供電系統構成，而機房專用配電柜在這三個系統中都起著至關重要

的作用，所認為了保證機房設備的正常供電，機房專用配電柜設計必須對歐I合理。

在設計配電柜時，既要思索各個供電系統之間的互相關系，也要考慮用電設備的

負荷，采用合理歐J方案來布置配電柜，是的配電柜使用維修以便，各配電柜之間

的控制關系良好。大型機房電器原理如圖7?2所示。

輸出配電柜.

機房專用配電柜在使用時需從標示、線路和組件等方面綜合考慮，詳細包括

規定如下。

(-)標示：機房配電柜的編號應包括配電柜號及其用途兩項，如2號動

力配電柜；配電柜內的I多種開關、手柄和操作按鈕應標識清晰，以防止

使用中出現誤操作；配電柜內日勺各線路應按國家規定的顏色標識并編號。

（二）線路：配電柜內應根據計算機設備及其輔助設備的不一樣規定，設

置中線和接地線的連接裝置，中線（N）、接地線（PE）和配電柜外殼

要絕緣；配電柜內采用的）母線、接線排及多種電纜、導線、中性線、接

地線等，都應符合國標；配電柜誤要留有備用電路，作為機房擴充使用。

（三）組件：配電柜內重要電氣組件應質量穩定、性能可靠口勺產品；應當

設置電流表、電壓表，用于檢測配電柜面板電流、電源電壓和三相旬平

衡關系；配電柜內應配有應急開關；消防報警系統與動力配電柜聯動,

當消防報警信號被確認后，由消防控制系統將動力配電柜口勺電壓切斷。

（四）其他：配電柜內鋁排與銅排相接時，要采用鋁銅過度材料，如采用

過度材料有困難，則銅件上一定要上錫。

2.不間斷電源系統

不間斷電源系統（UninterruptiblePowerSystem）意在建立一種不停電系統,

在市電中斷的狀況下，后備電源幾乎可以在無端點的狀況下，實現對負載的正常

供電，使負載可以正常工作并保護負載軟、硬件不受損害，此外，部分UPS還

可以在市電正常供電時，通過自身的穩頻功能，將市電穩壓后供應給負載使用。

UPS布署圖如圖7-3所示。

UPS對的使用和維護可以延長壽命至23年，若維護不妥，則其也許在幾年

或者更短的時間內就會報廢，故需要在其使用過程中注意一下幾種方面。

（一）專人管理：值班人員應做好UPS每日工作日勺狀況記錄，以以便后來日勺維

護；UPS電源口勺維修和管理應由專業技術人員進行處理，機房工作人員不得

隨便開關UPS；機房工作人員應定期測試UPS日勺工作性能參數，如發現異常

應及時進行處理。

（二）工作環境：UPS口勺工作環境要保持清潔、無污染，工作間應控制一定的

溫濕度，詳細參數應查看目前UPS闡明書。

（三）線路：UPS輸入線不得在接其他供電設備，電源輸入錢最佳接穩壓器，

保證輸入電源的質量；電源輸出電路不得接電動機、電吹風等一般用電設備,

保證電源職工給計算機設備的用電。

（四）電池：值班人員應定期給UPS蓄電池充放電，以恢復電池H勺容量。

3.機房專用空調

機房專用空調為恒溫恒濕空調，是專供機房使用的高精度空調，由控制監測

系統、通風系統、制冷循環系統、加濕系統、加熱系統及水冷機組水循環等六部

分構成。圖7-4和圖7-5分別為機房專用空調工作圖和機房專用空調構成圖。

圖7-4機房專用空調工作圖

機房專用空調的使用維護和操作應根據空調廠家日勺詳細闡明書進行，且在空

調開機調試時，廠家技術人員應對顧客進行簡樸的技術培訓I，使顧客可以對空調

進行簡樸的操作。

精彩空謠

|預例制冷分配

m冷透水供、回焉

I送風好壓箱900mm

4.網絡設備

網絡設備即連接網絡歐I物理實體，重要用來運行和存儲多種信息、資源和數

量，基本的網絡設備有計算機、防火墻、互換機和路由器等，而這些網絡設備也

是機房物理安全建設中必須保護口勺網絡設備。網絡設備布署如圖7-6所示。

路由器工作在信息安全體系構造的網絡層，可以在邏輯上分開網絡上互奧機

和路由器數據包，具有路由選擇功能和網絡流量控制功能；網絡設備的防火墻即

硬件防火墻，他通過將防火墻程序嵌入到芯片中，由硬件執行防火墻功能，使得

路由更穩定；互換機工作在數據鏈路層，根據內存的地址表確定日的MAC地址

所在端口,從而將數據包傳送到目的端口：計算機包括個人計算機和服務器設備,

重要負責存儲和運行各類數據和服務。

設備的使用和維護應從如下幾方面進行。

（一）設備采購。

（二）設備登記。登記日期、設備名稱、設備型號及配置、設備管理單位、管

理員簽字和備注等。

（三）設備管理。設備管理編號、設備名稱、型號、登記時間、設備供應方、

保修時間和客服聯絡方式等。

（四）設備狀態檢查。檢查設備編號、產品口期、檢查日期、使用狀態和備注

等。

（五）設備使用登記。登記借用設備名、借用機構、借用經手人、借用日期、

欲借用時間和估計償還時間等。

（六）設備報廢。

（七）硬件的平常維于。維護日期、設備編號、處理事項、維護人員和備注等。

維護人員重要負責設備的清潔保養和定期檢測等，維護工作應嚴格按照

廠家闡明書進行操作，對于電路板等復雜器件日勺修理，應在廠家的協助

下進行，以防止毀壞設備。

（八）軟件維護。機房管理人員應當維護好各系統軟件、驅動程序、應用軟件

和重要程序文獻等。在進行新軟件安裝時，需要上級主管部門日勺書而同

意，只有在緊急狀況下，方可通過上級口頭許可進行安裝，但事后需要

向上級管理人員補交書面申請。

7.5.3智能設備物理安全措施

伴隨信息社會的迅速發展，計算機系統已成為各行各業必不可少的工具之一,

而存儲在計算機系統中歐I文獻和數據，由于會牽涉商業機密、技術資料和情報等，

需要受到保護。故在機房建設過程中，不僅要對機房環境和基本設備進行管理，

也需要智能設備來實現對機房多層次、立體化保

機房的智能設備不分為門禁系統、防盜報警系統、監控報警系統和消防報警

系統，其設置的目的都是為了實現機房的智能化管理，更好的維護機房的正常運

行。

1.門禁系統

機房門禁系統日勺處理過程可分為兩個部分：首先的是用讀卡器等信息接受設

備接受人員輸入H勺信息，并將其轉換成電信號送到控制器中；然后控制器將收到

的信息和已存儲的信息進行比較，從而做出詳細的處理命令。

門禁系統作為機房安全建設的第一道防線，應當布署在樓宇日勺進出口，實現

授權人員在規定的時間內方可進出部分或所有地區。門禁系統的功能如下：

（一）設備管理中心。管理卡或設備日勺發放、補助和注銷等，在人員變動時要

對其持有的卡片進行對應的管理。

（二）權限管理。對己發放的J卡片進行權限和出入時間的設置，規定每個人可

進出的房間以及能自由出入H勺時間范圍等。

（三）事件記錄。實時顯示、記錄所有人員的出入時間、異常時間及處理方式

和持有卡人個人信息，若碰到異常事件時還應提供報警功能，同步，系統應

保護事件記錄的完整性，為查詢非法人員的進入提供根據。

（四）應急管理。緊急狀況下或電鎖出現故障時應有應急鑰匙可以將門打開，

且全套系統最佳有備用電源，以保證斷電的狀況卜?系統能繼續使用。

（五）報警管理。可以采集防盜和防火探測器等報警信息，并實時上傳至監控

管理中心。

2.防盜報警系統

防盜報警系統負責整個機房內外所有非法事件的偵測，一般由前端探測器和

報警控制器構成，其工作過程可分為兩個部分，首先，前端探測器將探測到的異

常時間向報警控制器傳送，然后，報警控制器判斷收到的報警信號，并按預先設

定日勺報警方式報警。防盜報警系統如圖7-7所示,

■體代當不火災傳3dRIP影包觸授解密度控制曷空調

機房防盜建設是機房安全建設的重要構成部分，應具有即時報警和恐嚇非法

入侵者H勺功能。為了實現該功能，防盜報警系統可以采用多層次、立體的觸發進

行告警觸發。詳細來講，即在機房內外各部位均設置探測器，安裝門磁、機房內

安裝煙感探測器，機房地面、空調和窗戶等處安裝漏水探測器。

3.機房監控系統

智能監控系統的設置意在監控和管理重要部門（如軍事、金融機構等）日勺機

房設備及環境，其監控的對象包括機房環境、基本設備和智能設備等。智能監控

系統實時監控各系統設備的運行狀態和工作參數，發現異常事件立即報警，同步

對監控日勺歷史數據和報警事件進行保留，以備來查詢。機房監控系統構成如圖

7-8所示。

空調控制器溫濕度傳感器電力監泅儀雙鑒探測器煙霧探滑器漏水探測器聲光報警器攝像機