等保2.0標準個人解讀(五):安全物理環境

等保2.0標準個人解讀（一）：新坑開放

等保2.0標準個人解讀（二）：安全通信網絡

等保2.0標準個人解讀（三）：安全區域邊界

將物理安全控制項放在最後，主要原因有兩個方面。第一，上雲已成趨勢，而雲服務商的機房差不多都是或者接近四級系統的要求，那麼對於這部分企業，物理安全不是他們需要考慮的問題。第二，自建雲平臺，通常這種大型雲IDC機房的要求都是A類標準，必須要符合等保標準，而且還要高於其要求。所以說，物理安全的要求對於一般客戶會越來越模糊。

從等保2.0標準的要求項來看，和舊標準基本沒有區別（只有細微變化），可以完全參照等保1.0來做，這裡我會結合等保1.0和等保2.0的要求，對物理安全進行解讀，不同於之前章節，還會對等保1.0和等保2.0要求項的變化做一個說明。結構上以控制點為主，分別說明（沒特殊說明的即代表沒有變化）。

本章內容參考的標準包括：GB/T 2887-2011《計算機場地通用規範》、GB 50174-2008《電子信息系統機房設計規範》、GB 50057-2010《建築物防雷設計規範》、GB 50343-2012《建築物電子信息系統防雷技術規範》、GBT 29245-2012 《信息安全技術 政府部門信息安全管理基本要求》。

物理安全1 物理位置選擇

a) 房和辦公場地應選擇在具有防震、防風和防雨等能力的建築內；

b) 機房場地應避免設在建築物的高層或地下室，以及用水設備的下層或隔壁。

這裡要求的是機房的防震、防風和防雨，其實是對建築物的要求，對於B、C級機房要求抗震設防標準要符合當地抗震設防標準，A級機房要高於當地抗震設防標準，下表為場地樓板荷重標準。

圖1.5-1 場地樓板荷重要求

A級機房抗震不能低於乙類，B級不能低於丙類，C級不宜低於丙類抗震設防。

至於機房的選擇，要求不能設於地下室，也不能設在頂層，不能靠近建築邊緣，標準中建議設置在建築的中心和近中心位置。對於建築物的選擇，可參考下表（補充一點，機房所在地理位置不能處於地震帶）

圖1.5-2 機房位置選擇要求

此外，機房內外，包括隔壁間不能有用水房間（如茶水間、廁所、水房等）。關於距離機場為什麼要不小於8公裡，有人問到過，經過查詢航空相關的要求，原因如下：中國國內具體高空航路寬度為20公裡，左右兩側各10公裡；下降到走廊進場落地時的走廊寬度是10公裡，左右各5公裡；最小航路寬度不低於8公裡。

2 物理訪問控制

等保2.0：（4條簡化為1條）

機房出入口應配置電子門禁系統，控制、鑑別和記錄進入的人員。

等保1.0：

a) 機房出入口應安排專人值守，控制、鑑別和記錄進入的人員；

b) 需進入機房的來訪人員應經過申請和審批流程，並限制和監控其活動範圍；

c) 應對機房劃分區域進行管理，區域和區域之間設置物理隔離裝置，在重要區域前設置交付或安裝等過渡區域；

d) 重要區域應配置電子門禁系統， 控制、 鑑別和記錄進入的人員。

訪問控制的理解就比較容易，而且大多數企業也都做到了，這裡不再做過多說明。這裡擴展解釋一下機房區域劃分的要求細節。

首先是機房面積的設置，國標是有計算公式的，如下

當電子信息設備已確定規格時，可按下式計算：

A = K∑S

A ― 電子信息系統主機房使用面積（㎡）；

K ― 係數，取值為 5～7；

S ― 電子設備的投影面積（㎡）。

當電子信息設備尚未確定規格時，可按下式計算：

A = KN

K ― 單臺設備佔用面積，可取 3.5－5.5(㎡/臺）；

N—計算機主機房內所有設備的總臺數。

輔助區的面積宜為主機房面積的0.2~1倍；用戶工作室可按每人3.5－4㎡計算。硬體及軟體人員辦公室等有人長期工作的房間，可按每人 5~7 ㎡計算。

此外對於工作區、主機房、輔助區、支持區和行政管理區（如有，此外還有的機房會有保密設備區域）要進行彼此隔離，重要區域要有單獨的門禁系統。

3 防盜竊和防破壞

等保2.0：（6條簡化為3條）

a) 應將設備或主要部件進行固定，並設置明顯的不易除去的標識；

b) 應將通信線纜鋪設在隱蔽安全處；

c) 應設置機房防盜報警系統或設置有專人值守的視頻監控系統。

等保1.0：

a) 應將主要設備放置在機房內；

b) 應將設備或主要部件進行固定，並設置明顯的不易除去的標記；

c) 應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；

d) 應對介質分類標識，存儲在介質庫或檔案室中；

e) 應利用光、電等技術設置機房防盜報警系統；

f) 應對機房設置監控報警系統。

這部分的內容也比較容易理解，就是物理防盜措施。這裡所說的不易去除標記其實是類似一次性貼紙的標籤，因為機房的設備一般輕易不會有人去偷，所以這裡的不易去除是指機房設備運維管理中的標籤，不要抬槓說什麼有人會特殊處理去掉標籤一類的情況。（也有企業表示說測評機構現場檢查的時候，就是說這種紙質標籤不符合要求，要用鋼印或者雷射刻在設備表面才行，這種測評師感覺就有點在吹毛求疵了，其實等保要求並不是如此苛刻，旨在便於管理和維護）

通信線纜一般都是在防靜電地板下放或走頂棚線槽，現在已經很少有人會直接走明線了，在此不再做額外說明。

介質是指磁碟、磁帶、U盤之類的存儲，目前這部分工作大多數公司做得不太好，沒有分類，沒有標籤，可能個別針對介質會貼一些簡單的標籤，這些對於後期管理都是隱患，最常見的就是，人員離職，交接不明確，沒有說明文檔，後來的人接管工作一頭霧水，問誰都不知道，最後無奈要一個個的自己去查看，或者乾脆就混日子，索性不出問題就好。（比如網線標籤不全，出現問題要兩個人拿測線器一個個測）

防盜報警現在基本B類及A類機房就都有安裝，而且有完善的報警系統或平臺；最後關於監控，這裡說一點，不是說門口和機房裡有監控就OK，按照標準要縱向橫向交叉監控，無死角才算合規，而且錄像要有留存，具體日期標準中沒有要求，但基本的90天應該還要是能夠追溯的。

4 防雷擊

等保2.0：（3條整合為2條，要求不變）

a) 應將各類機櫃、設施和設備等通過接地系統安全接地；

b) 應採取措施防止感應雷，例如設置防雷保安器或過壓保護裝置等。

等保1.0：

a) 機房建築應設置避雷裝置；

b) 應設置防雷保安器，防止感應雷；

c) 機房應設置交流電源地線。

這部分更多是對大樓建築的防雷要求，具體會參照GB/T 50343（建築作為獨立機房時），一般能作為機房的大樓，應該都會有符合規定的防雷措施。所以重點要關心的就是強電和弱電的接地（如下圖）。

圖1.5-3 防雷引線示意圖

圖1.5-4 防雷接地保護

圖1.5-5 防靜電地板下的防雷保護

通常核心交換、核心路由器一類的大型設備都會有防雷模塊，預留好了接引線的端點，將其與機會的端點連接，機櫃防雷引線接到地板下的金屬支架，這樣能保證基本的防雷要求。至於一些常用設備、二層交換機、普通防火牆、IPS等設備沒有防雷模塊，可以固定在機柜上，通常也能保證基礎的防雷保護。強電不是標準中重點關注內容，所以就不多做解釋；弱電後續會在防靜電部分說明。

5 防火

a) 機房應設置火災自動消防系統，能夠自動檢測火情、自動報警，並自動滅火；

b) 機房及相關的工作房間和輔助房應採用具有耐火等級的建築材料；

c) 機房應採取區域隔離防火措施，將重要設備與其他設備隔離開。

這裡防火有3點要求，其一就是自動消防系統，可以自動檢測，自動預警，自動滅火，一般都是泡沫和乾粉，檢測到火災時會先預警，疏散人員，而後進行滅火（想詳細了解的可以去看GB 50116和GB 50016）。此外，還要求機房設置消火栓，就是手提那種乾粉的或者泡沫的，並且定期要有人進行巡檢，檢查滅火設備是否過期，壓力值是否在綠色範圍，並填寫巡檢記錄，檢查時都會現場查看。

第二點是對耐火材料的要求，這塊屬於國標的要求，真正能做到並不多，按照要求機房的耐火等級不應低於二級。當 A 級或 B 級機房位於其它建築物內時，在主機房和其他部位之間應設置耐火極限不低於2h的隔牆，隔牆上的門應採用甲級防火門（解釋下2H的意思，耐火極限指在標準耐火試驗條件下，建築構件、配件或結構從受到火的作用時起，到失去穩定性、完整性或隔熱性時止的時間，用小時表示）。主機房的頂棚、壁板（包括夾芯材料）和隔斷應為不燃燒體，且不得採用有機複合材料。

圖 1.5-6 建築耐火等級要求

第三點，就是之前要進行區域劃分和隔離的要求，在發生火災時，可優先確保重要設備安全。

這裡再多提一句，關於疏散，面積大於100㎡的主機房，安全出口應不少於兩個，且應分散布置。面積不大於 100 ㎡的主機房，可設置一個安全出口，並可通過其他相臨房間的門進行疏散。門應向疏散方向開啟，且應自動關閉，並應保證在任何情況下都能從機房內開啟。走廊、樓梯間應暢通，並應有明顯的疏散指示標誌。

6 防水和防潮

等保2.0：（4條簡化為3條）

a) 應採取措施防止雨水通過機房窗戶、屋頂和牆壁滲透；

b) 應採取措施防止機房內水蒸氣結露和地下積水的轉移與滲透；

c) 應安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警。

等保1.0：

a) 水管安裝，不得穿過機房屋頂和活動地板下；

b) 應採取措施防止雨水通過機房窗戶、屋頂和牆壁滲透；

c) 應採取措施防止機房內水蒸氣結露和地下積水的轉移與滲透；

d) 應安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警。

等保1.0中第一條要求機房內無論何處不可以有走水的管道，包括機房周邊牆體。但是在等保2.0中刪除了本項要求。

等保2.0中第一條要求通常發生的機率很小，但是我曾遇到過一家企業，機房樓上漏水，頂棚沒有做防水，機房裡幾個大盆和大桶放在機柜上邊接水，定期有值班人員去倒，這場面真的無法言表。所以說，機房位置選擇時，周邊最好不要有用水間是最好的。

等保2.0中第二條要求指以前的機房（或者是一些小公司的機房）可能會存在的問題，但凡機房建設敢如此偷工減料的其實也不會關心這類問題。現在大多機房會配備精密空調，控制機房內的溫溼度，所以此類情況將會越來越少（畢竟都上雲了，託管的雲數據中心機房怎麼可能連溫溼度控制都做不到）。

等保2.0中第三條和第二條類似，目前都會由系統統一控制。這裡擴展一下，標準的隱含要求：

首先不能採用暖氣（液體保溫），空調不能漏水；

與機房無關的水管不宜從機房內穿過；

機房應防止結構滲水、牆面凝水、外部漫水；

重要機房應設置漏水報警系統。

7 防靜電

a) 主要設備應採用必要的接地防靜電措施；

b) 機房應採用防靜電地板。

這裡標準中說了一堆術語和要求參數，其實簡單總結一下，重點關注的就是首先機櫃要做好接地防雷和防靜電，重要設備都會有防雷模塊，用線接到機櫃；在機櫃配置防靜電手環，操作時要先戴好。這樣基本就可以保證大多數情況下的靜電防護工作。

這裡給你們展示一點標準裡要求的內容。

1.主機房和輔助區的地板或地面應有靜電洩放措施和接地構造，防靜電地板或地面的表面電阻或體積電阻應為 2.5 x 104～1.0×10 9 Ω。且應具有防火、環保 、耐汙耐磨性能。

2.電子信息系統機房內所有設備可導電金屬外殼、各類金屬管道、金屬線槽、建築物金屬結構等必須進行等電位連接並接地。

3.靜電接地的連接線應有足夠的機械強度和化學穩定性，宜採用焊接或壓接，當採用導電膠與接地導體粘接時，其接觸面積不宜小於 20c㎡。

PS：這裡再補充一點內容，關於綜合布線，等保物理環境部分重點要求就是強電與弱電線纜要分別鋪設，且距離不得小於0.5m，且每條線纜要有標籤說明。

8 溫溼度控制

機房應設置溫、溼度自動調節設施，使機房溫、溼度的變化在設備運行所允許的範圍之內。

這部分沒有特殊要解釋的內容，基本都由系統來控制，對機房溫溼度的要求如下圖所示，開機和關機狀態都有相應要求。

圖1.5-7 機房溫溼度要求

9 電力供應

等保2.0：（4條簡化為3條）

a) 應在機房供電線路上配置穩壓器和過電壓防護設備；

b) 應提供短期的備用電力供應，至少滿足設備在斷電情況下的正常運行要求；

c) 應設置冗餘或並行的電力電纜線路為計算機系統供電。

等保1.0：

a) 應在機房供電線路上配置穩壓器和過電壓防護設備；

b) 應提供短期的備用電力供應，至少滿足 主要設備在斷電情況下的正常運行要求；

c) 應設置冗餘或並行的電力電纜線路為計算機系統供電；

d) 應建立備用供電系統。

本控制點按照國標要求是比較繁瑣的，簡單總結一下（從安全角度來考慮，不涉及建築和強電）。

首先最基本的要有UPS，UPS要有過載保護和防雷模塊；

其次UPS至少要有2路供電，能夠維持機房重要設備斷電後至少2小時以上供電；

最後就是機房提供多路冗餘供電，不能只有一條電纜供電（同一個電站的兩條電纜也不行，要不同電站的供電電纜冗餘）；要為機房準備發電機，以備特殊情況長期斷電時的應急，如果條件允許，準備2臺發電機，以防發電機出現意外故障。詳細要求參考GB 50052。

PS：補充一點，等保標準中還要求機房中要使用機櫃專用電源插排，就是機柜上那個黑色的電源插排。

10 電磁防護

等保2.0：（3條簡化為2條）

a) 電源線和通信線纜應隔離鋪設，避免互相干擾；

b) 應對關鍵設備實施電磁屏蔽。

等保1.0：

a) 應採用接地方式防止外界電磁幹擾和設備寄生耦合幹擾；

b) 電源線和通信線纜應隔離鋪設，避免互相干擾；

c) 應對關鍵設備和磁介質實施電磁屏蔽。

本控制點的內容涉及較廣，但是從等保的要求和日常機房安全防護角度來看，涉及不會那很深，所以不用過度研究。這裡把我研究的資料分享一下，簡單做下總結。

電磁屏蔽含義

電磁兼容性（ElectromagneticCompatibility）縮寫EMC，就是指某電子設備既不幹擾其它設備，同時也不受其它設備的影響。電磁兼容性和我們所熟悉的安全性一樣，是產品質量最重要的指標之一。安全性涉及人身和財產，而電磁兼容性則涉及人身和環境保護。

電子元件對外界的幹擾，稱為EMI(ElectromagneticInterference)；電磁波會與電子元件作用，產生被幹擾現象，稱為EMS（ElectromagneticSusceptibility）。例如，TV螢光屏上常見的「雪花」，便表示接受到的訊號被幹擾。

因為屏蔽體對來自導線、電纜、元部件、電路或系統等外部的幹擾電磁波和內部電磁波均起著吸收能量（渦流損耗）、反射能量（電磁波在屏蔽體上的界面反射）和抵消能量（電磁感應在屏蔽層上產生反向電磁場，可抵消部分幹擾電磁波）的作用，所以屏蔽體具有減弱幹擾的功能。

⑴當幹擾電磁場的頻率較高時，利用低電阻率的金屬材料中產生的渦流，形成對外來電磁波的抵消作用，從而達到屏蔽的效果。

⑵當幹擾電磁波的頻率較低時，要採用高導磁率的材料，從而使磁力線限制在屏蔽體內部，防止擴散到屏蔽的空間去。

⑶在某些場合下，如果要求對高頻和低頻電磁場都具有良好的屏蔽效果時，往往採用不同的金屬材料組成多層屏蔽體。

原理

許多人不了解電磁屏蔽的原理，認為只要用金屬做一個箱子，然後將箱子接地，就能夠起到電磁屏蔽的作用。在這種概念指導下結果是失敗。因為，電磁屏蔽與屏蔽體接地與否並沒有關係。真正影響屏蔽體屏蔽效能的只有兩個因素：一個是整個屏蔽體表面必須是導電連續的，另一個是不能有直接穿透屏蔽體的導體。屏蔽體上有很多導電不連續點，最主要的一類是屏蔽體不同部分結合處形成的不導電縫隙。這些不導電的縫隙就產生了電磁洩漏，如同流體會從容器上的縫隙上洩漏一樣。解決這種洩漏的一個方法是在縫隙處填充導電彈性材料，消除不導電點。這就像在流體容器的縫隙處填充橡膠的道理一樣。這種彈性導電填充材料就是電磁密封襯墊。在許多文獻中將電磁屏蔽體比喻成液體密封容器，似乎只有當用導電彈性材料將縫隙密封到滴水不漏的程度才能夠防止電磁波洩漏。實際上這是不確切的。因為縫隙或孔洞是否會洩漏電磁波，取決於縫隙或孔洞相對於電磁波波長的尺寸。當波長遠大於開口尺寸時，並不會產生明顯的洩漏。

機理

a、當電磁波到達屏蔽體表面時，由於空氣與金屬的交界面上阻抗的不連續，對入射波產生的反射。這種反射不要求屏蔽材料必須有一定的厚度，只要求交界面上的不連續；

b、未被表面反射掉而進入屏蔽體的能量，在體內向前傳播的過程中，被屏蔽材料所衰減。也就是所謂的吸收；

c、在屏蔽體內尚未衰減掉的剩餘能量，傳到材料的另一表面時，遇到金屬－空氣阻抗不連續的交界面，會形成再次反射，並重新返回屏蔽體內。這種反射在兩個金屬的交界面上可能有多次的反射。總之，電磁屏蔽體對電磁的衰減主要是基於電磁波的反射和電磁波的吸收。

從等保的角度來看，這3條的要求簡單可以概括為：

a)機櫃和設備接地，做好防靜電；（通常我們機房購買的機櫃，設計時都已經考慮電磁屏蔽的問題，所以一般只要把機櫃門關上，本身就起到屏蔽的作用）

b)之前提到的強弱電線纜分離鋪設，距離大於0.5m；

c)將設備放入專業機櫃中，並固定在指定插槽位置。

本控制點內容總體來看是簡化了一些要求，放到了四級系統要求中，有些內容進行了合併。不過從當前趨勢來看，物理安全會重點針對一些大型雲IDC和雲服務提供商。對於普通甲方和乙方來說，概念會越來越模糊，而對於大型IDC的運維和管理人員，物理安全依舊重要，是等級保護標準中的重點內容。

*本文作者：宇宸默安，轉載請註明來自FreeBuf.COM