官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
网络安全等级保护小学堂- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
等保三级系统-安全物理环境-测评指导书
网络安全等级保护小学堂
2025年3月
- 物理位置选择
- 【L3-PES1-01】
- 测评指标:
机房场地应选择在具有防震、防风和防雨等能力的建筑内。
- 测评对象:
记录类文档和机房。
- 测评实施:
1)应核查所在建筑物是否具有建筑物抗震设防审批文档;
2)应核查机房是否不存在雨水渗漏;
3)应核查门窗是否不存在因风导致的尘土严重;
4)应核查屋顶、墙体、门窗和地面等是否不存在破损开裂。
- 单元判定:
如果1)~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
- 测评方法:
【L3-PES1-01】 | 机房场地应选择在具有防震、防风和防雨等能力的建筑内 |
属性标识 | G(其他安全保护类要求) |
测评方法 | 现场核查机房验收文档及机房环境。 |
预期结果 | 1)机房所在建筑物具有建筑物抗震设防审批文档; 2)机房天花板、窗台、地面无雨水渗透痕迹,机房天花板、墙壁等无发霉、起泡、水渍等。 3)机房内无窗户或有窗户做了相应防护,机房内无明显尘土现象; 4)屋顶、墙体、门窗和地面无破损开裂情况。 |
符合性判定 | 机房具备抗震审批相关文档,机房无雨水渗透痕迹、无明显尘土痕迹,机房屋顶、墙体、门窗和地面无破损开裂。机房场地所在建筑具有防震、防风和防雨等能力。判定结果为符合。 |
整改建议 | 建议对有门窗的机房进行防尘密封处理,对门窗、天花板等做防水处理。 |
高风险适用范围 | 不涉及 |
高风险判例场景 | 不涉及 |
高风险补偿因素 | 不涉及 |
备注 | 机房建设标准可参考GB50174-2017《数据中心设计规范》,其中对于各级数据中心有明确的技术要求,举例如下: 1)抗震设防分类:A级不应低于乙类、B级不应低于丙类、C级不宜低于丙类; 2)屋面的防水等级:A级Ⅰ、B级Ⅰ、CⅡ; 3)冷通道或机柜进风区域的温度:A、B、C级机房均为18℃~27℃; |
- 【L3-PES1-02】
- 测评指标:
机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
- 测评对象:
机房。
- 测评实施:
应核查机房是否不位于所在建筑物的顶层或地下室,如果否,则核查机房是否采取了防水和防潮措施。
- 单元判定:
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
- 测评方法:
【L3-PES1-02】 | 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施 |
属性标识 | G(其他安全保护类要求) |
测评方法 | 现场核查机房所在楼层及机房防水、防潮措施 |
预期结果 | 1)机房所在楼层非建筑物顶层或地下室; 2)机房位于建筑物的顶层或地下室,机房设置了严格的防水防潮措施。 |
符合性判定 | 1)机房所在楼层不位于建筑物的顶层或地下室,判定为符合。 2)机房位于建筑物的顶层或地下室,但设置了防水防潮措施,判定为符合。 |
整改建议 | 1)机房位于建筑物顶层,建议加强机房棚顶、墙壁的防水措施,如使用防水涂料等。 2)机房位于地下室,建议加强机房棚顶、墙壁的防水措施,如使用防水涂料等;配备防水坝、防水卷材、防水砂浆、抽水泵等防水措施。 |
高风险判例场景 | 不涉及 |
高风险适用范围 | 不涉及 |
高风险补偿因素 | 不涉及 |
备注 |
- 物理访问控制
- 【L3-PES1-03】【高风险】
- 测评指标:
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
- 测评对象:
机房电子门禁系统。
- 测评实施:
1)应核查出入口是否配置电子门禁系统;
2)应核查电子门禁系统是否可以鉴别、记录进入的人员信息。
- 单元判定:
如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
- 测评方法:
【L3-PES1-03】 | 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 |
属性标识 | G(其他安全保护类要求) |
测评方法 | 1)现场核查机房出入口是否配置了电子门禁系统; 2)现场核查电子门禁系统是否可以鉴别、记录进入的人员信息。 |
预期结果 | 1)机房出入口配置了电子门禁系统。 2)电子门禁系统可以鉴别、记录进入的人员信息。 |
符合性判定 | 机房出入口配置了电子门禁系统,电子门禁系统能够控制、鉴别和记录进入的人员信息,判定结果为符合。 |
整改建议 | 建议在机房出入口处安装电子门禁系统控制、鉴别和记录进入的人员信息。 |
高风险适用范围 | 二级及以上系统。 |
高风险判例场景 | 机房出入口无任何访问控制措施,例如未安装电子或机械门锁(包括机房大门处于未上锁状态)、无专人值守等。 |
高风险补偿因素 | 机房所在位置处于受控区域,非授权人员无法随意进出机房,可根据实际措施效果,酌情判定风险等级。 |
备注 | 可结合高风险判例中提到的机房出入口“无专人值守”,综合判断在未配置电子门禁系统的情况下,机房是否有专人值守,是否对进出机房人员进行记录(如出入登记表等),酌情判定风险等级。 |
- 防盗窃和防破坏
- 【L3-PES1-04】
- 测评指标:
应将设备或主要部件进行固定,并设置明显的不易除去的标识。
- 测评对象:
机房设备或主要部件。
- 测评实施:
1)应核查机房内设备或主要部件是否固定;
2)应核查机房内设备或主要部件上是否设置了明显且不易除去的标识。
- 单元判定:
如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
- 测评方法:
【L3-PES1-04】 | 应将设备或主要部件进行固定,并设置明显的不易除去的标识。 |
属性标识 | G(其他安全保护类要求) |
测评方法 | 1)现场核查机房内设备或主要部件是否固定; 2)现场核查机房内设备或主要部件上是否设置了明显且不易除去的标识。 |
预期结果 | 1)机房内设备均放置在机柜内并进行固定。 2)机房内设备(服务器、网络设备、安全设备等)或主要部件(机柜、电源线、网线)均设置了明显的且不易除去的标识,设备标签、线缆标签等粘贴完好、四角未翘起。 |
符合性判定 | 机房内设备均放置在机柜内,通过机柜托盘、设备滑道、螺丝、扎带等方式固定;机柜、电源线、网线等通过标签机机打标签进行标识,标签字体完整不易擦除,标签纸粘贴完好未翘起。判定结果为符合。 |
整改建议 | 机房内设备安装在机柜内并进行固定,使用标签机机打设备、线缆标签,标签粘贴完好。 |
高风险适用范围 | 不涉及 |
高风险判例场景 | 不涉及 |
高风险补偿因素 | 不涉及 |
备注 | 机柜内设备应根据设备类型使用机柜托盘或设备滑道等方式进行固定,设备电源线、光纤、网线等线缆使用扎带进行固定,机柜、设备、线缆等使用标签机机打标签进行标识,标识格式应统一,标识信息应清楚、明确的体现出设备基本信息、网络接口信息、对端设备信息等。 |
- 【L3-PES1-05】
- 测评指标:
应将通信线缆铺设在隐蔽安全处。
- 测评对象:
机房通信线缆。
- 测评实施:
应核查机房内通信线缆是否铺设在隐蔽安全处,如桥架中等。
- 单元判定:
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
- 测评方法:
【L3-PES1-05】 | 应将通信线缆铺设在隐蔽安全处。 |
属性标识 | G(其他安全保护类要求) |
测评方法 | 现场核查机房通信线缆是否铺设在隐蔽安全处,如桥架中等。 |
预期结果 | 机房通信线缆是否铺设在隐蔽安全处。 |
符合性判定 | 机房通信线缆铺设在走线槽、桥架中,未见明显横跨机柜甩线、飞线、走线混乱等情况。判定结果为符合。 |
整改建议 | 应将机房通信线缆铺设在隐蔽安全处,如走线架、桥架中,横跨机柜走线应使用理线架、理线钳等进行固定。 |
高风险适用范围 | 不涉及 |
高风险判例场景 | 不涉及 |
高风险补偿因素 | 不涉及 |
备注 | 应将机房通信线缆铺设在隐蔽安全处,网线、光纤、电源线等可采用不同桥架进行隔离、区分。 |
- 【L3-PES1-06】【高风险】
- 测评指标:
应设置机房防盗报警系统或设置有专人值守的视频监控系统。
- 测评对象:
机房防盗报警系统或视频监控系统。
- 测评实施:
1)应核查机房内是否配置防盗报警系统或专人值守的视频监控系统;
2)应核查防盗报警系统或视频监控系统是否启用。
- 单元判定:
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
- 测评方法:
【L3-PES1-06】 | 应设置机房防盗报警系统或设置有专人值守的视频监控系统。 |
属性标识 | G(其他安全保护类要求) |
测评方法 | 1)现场核查机房是否配置了防盗报警系统或配置了由专人值守的视频监控系统。 2)现场核查防盗报警系统或视频监控系统是否启用。 |
预期结果 | 1)机房配置了防盗报警系统或配置了由专人值守的视频监控系统。 2)防盗报警系统或视频监控系统已启用并正常工作。 |
符合性判定 | 机房内已设置防盗报警系统或由专人值守的视频监控系统,防盗报警系统或视频监控系统已启用并正常工作。判定结果为符合。 |
整改建议 | 机房内已设置防盗报警系统,如红外报警、声光报警、门磁窗磁装置等;或由专人值守的视频监控系统,保证机房所处楼层出入口、机房出入口、机房所有区域监控全部覆盖、无死角,并配置视频监控室由专人进行7*24小时值守监视。确保防盗报警系统或视频监控系统已启用并正常工作。 |
高风险适用范围 | 三级及以上系统。 |
高风险判例场景 (所有) | 1)机房或机房所在区域无防盗报警系统,无法对盗窃事件进行告警、追溯; 2)未设置有专人值守的视频监控系统。 |
高风险补偿因素 | 机房出入口或机房所在区域有其他控制措施,例如机房出入口设有专人值守,机房所在位置处于受控区域等,非授权人员无法进入该区域,可根据实际措施效果,酌情判定风险等级。 |
备注 | 此项测评内容归属于“防盗窃和防破坏”,重点在于利用防盗报警措施或由人值守的视频监控系统,及时发现盗窃或破坏行为并及时进行告警、遏制。“防盗报警系统”和“专人值守”是测评检查的重点,视频监控需要由专人值守,并不是配置了一个监控摄像头就能解决的。 |
- 防雷击
- 【L3-PES1-07】
- 测评指标:
应将各类机柜、设施和设备等通过接地系统安全接地。
- 测评对象:
机房。
- 测评实施:
应核查机房内机柜、设施和设备等是否进行接地处理。
- 单元判定:
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
- 测评方法:
【L3-PES1-07】 | 应将各类机柜、设施和设备等通过接地系统安全接地。 |
属性标识 | G(其他安全保护类要求) |
测评方法 | 现场核查机房内机柜、设施(UPS电池柜、配电柜、空调)和设备等是否进行接地处理,如铜制地排、地线等。 |
预期结果 | 机房内各类机柜、设施和设备等通过接地系统安全接地。 |
符合性判定 | 机房内各类机柜、设施和设备等通过接地系统安全接地。判定结果为符合。 |
整改建议 | 应将机房内机柜、设施(UPS电池柜、配电柜、空调)和设备等是否进行接地处理,如铜制地排、地线等。 |
高风险适用范围 | 不涉及 |
高风险判例场景 | 不涉及 |
高风险补偿因素 | 不涉及 |
备注 | 机柜、设施、设备均需要进行接地处置,在检查机柜、设备的同时,容易忽视机房内的各项设施(UPS电池柜、配电柜、空调)等,也应进行接地设施检查。 |
- 【L3-PES1-08】
- 测评指标:
应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。
- 测评对象:
机房防雷设施。
- 测评实施:
1)应核查机房内是否设置防感应雷措施;
2)应核查防雷装置是否通过验收或国家有关部门的技术检测。
- 单元判定:
如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
- 测评方法:
【L3-PES1-08】 | 应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。 |
属性标识 | G(其他安全保护类要求) |
测评方法 | 1)现场核查机房内是否设置防感应雷措施; 2)现场核查防雷装置是否通过验收或国家有关部门的技术检测。 |
预期结果 | 机房内设置了防感应雷措施,如设置了防雷感应器、防浪涌保护器等;防雷装置通过验收或国家有关部门的技术检测。 |
符合性判定 | 机房内设置了防感应雷措施,如设置了防雷感应器、防浪涌保护器等,防雷装置通过验收或国家有关部门的技术检测。判定结果为符合。 |
整改建议 | 建议机房内设置防感应雷措施,如设置了防雷感应器、防浪涌保护器等,机房所处大楼安装避雷针。防雷装置通过验收或国家有关部门的技术检测,并定期进行设备检查及有效性检测。 |
高风险适用范围 | 不涉及 |
高风险判例场景 |
畅读付费文章
已在FreeBuf发表 3 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 3 文章数
- 4 关注者