《(安全管理)机房安全管理规范__v_fd》由会员分享,可在线阅读,更多相关《(安全管理)机房安全管理规范__v_fd(46页珍藏版)》请在金锄头文库上搜索。
1、中国石油信息安全标准 编号 中国石油天然气股份有限公司 计算机机房安全管理规范 审阅稿 版本号 V3 审阅人 王巍 中国石油天然股份有限公司 计算机机房安全管理规范I 前 言 随着中国石油天然气股份有限公司 以下简称 中国石油 信息化建设的稳步推进 信息安全日 益受到中国石油的广泛关注 加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保 障 中国石油需要建立统一的信息安全管理政策和标准 并在集团内统一推广 实施 本规范是依据中国石油信息安全的现状 参照国际 国内和行业相关技术标准及规范 结合中国 石油自身的应用特点 制定的适合于中国石油信息安全的标准与规范 目标在于通过在中国石油范
2、围 内建立信息安全相关标准与规范 提高中国石油信息安全的技术和管理能力 信息技术安全总体框架如下 区区 域域 安安 全全 管管 理理 规规 范范 机机 房房 安安 全全 管管 理理 规规 范范 硬硬 件件 设设 备备 管管 理理 规规 范范 网网络络安安全全 管管理理规规范范 通通用用安安全全管管 理理标标准准 数数 据据 和和 文文 档档 安安 全全 管管 理理 规规 范范 应应 用用 系系 统统 使使 用用 安安 全全 管管 理理 标标 准准 通通 则则 应应 用用 系系 统统 开开 发发 安安 全全 管管 理理 标标 准准 通通 则则 商商 业业 软软 件件 购购 买买 管管 理理 标标
3、 准准 电电 子子 邮邮 件件 安安 全全 管管 理理 规规 范范 W We eb b系系 统统 安安 全全 管管 理理 规规 范范 电电 子子 商商 务务 安安 全全 规规 范范 防防 御御 恶恶 意意 代代 码码 和和 计计 算算 机机 犯犯 罪罪 管管 理理 规规 范范 信信息息安安全全技技术术标标准准 物理环境 安全管理 硬件设备 安全管理 操作系统 安全管理 数据和文档 安全管理 应用系统安 全管理 网 络 安 全 管 理 概 述 通 用 网 络 安 全 管 理 规 范 内 部 网 络 安 全 管 理 规 范 外 部 网 络 安 全 管 理 规 范 认 证 管 理 通 用 标 准 通
4、 用 安 全 管 理 标 准 概 述 授 权 管 理 通 用 标 准 加 固 管 理 通 用 标 准 加 密 管 理 通 用 标 准 日 志 管 理 通 用 标 准 系 统 登 陆 管 理 通 用 标 准 操操 作作 系系 统统 安安 全全 管管 理理 规规 范范 1 整体信息技术安全架构从逻辑上共分为 7 个部分 分别为 物理环境 硬件设备 网络 操 作系统 数据和文档 应用系统和通用安全管理标准 图中带阴影的方框中带书名号的为单 独成册的部分 共有 13 本 规范 和 1 本 通用标准 2 对于 13 个 规范 中具有一定共性的内容我们整理出了 6 个 标准 横向贯穿整个架构 这 6 个
5、标准 的组合也依据了信息安全生命周期的理论模型 每个 标准 都会对所有的 规范 中相关涉及到的内容产生指导作用 但每个 标准 应用在不同的 规范 中又会 有相应不同的具体的内容 我们在行文上将这 6 个标准组合成一本通用的安全管理标准单独 成册 3 全文以信息安全生命周期的方法论作为基本指导 规范 和 标准 的内容基本都根据预防 保护 检测跟踪 响应恢复的理论基础行文 II计算机机房安全管理规范 信息系统所在区域的物理环境安全 以下简称 物理安全 是保护区域内计算机相关设备以及其 它媒体免遭地震 水灾 火灾等环境事故以及周围环境的因素影响 它是对系统所在环境的安全保护 同时 还需要防止对区域的
6、未经授权的访问 整个 物理环境 部分由 区域安全管理规范 和 机房安全管理规范 两个部分组成 本文为 信息安全总体框架中以深色底色标注的部分 机房安全管理规范 主要对中国石油的计算机机房信 息安全等级进行了划分 对各级计算机机房的设计建设 机房环境 机房边界 访问授权和自然灾害 预防等方面的安全需求做出了明确规定 为中国石油信息安全提供基础上的保障 本规范由中国石油天然气股份有限公司发布 本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释 起草部门 中国石油制定信息安全政策与标准项目组 计算机机房安全管理规范III 说 明 在中国石油信息安全标准中涉及以下概念 组织机构 中国石油
7、PetroChina 指中国石油天然气股份有限公司有时也称 股份公司 集团公司 CNPC 指中国石油天然气集团公司有时也称 存续公司 为区分中国石油的地区 公司和集团公司下属单位 但提及 存续部分 时指集团公司下属的单位 如 辽河油田分公司存续 部分指集团公司下属的辽河石油管理局 计算机网络 中国石油信息网 PetroChinaNet 指中国石油范围内的计算机网络系统 中国石油信息网是 在中国石油天然气集团公司网络的基础上 进行扩充与提高所形成的连接中国石油所属各个单位计算 机局域网和园区网 集团公司网络 CNPCNet 指集团公司所属范围内的网络 中国石油的一些地区公司是和集团 公司下属的单
8、位共用一个计算机网络 当提及 存续公司网络 时 指存续公司使用的网络部分 主干网 是从中国石油总部连接到各个下属各地区公司的网络部分 包括中国石油总部局域网 各个二级局域网 或园区网 和连接这些网络的专线远程信道 有些单位通过拨号线路连接到中国石 油总部 不是利用专线 这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分 地区网 地区公司网络和所属单位网络的总和 这些局域网或园区网互相连接所使用的远程信道 可以是专线 也可以是拨号线路 局域网与园区网 局域网通常指 在一座建筑中利用局域网技术和设备建设的高速网络 园区网 是在一个园区 例如研究院园区 管理局基地等 内多座建筑内的多个局
9、域网 利用高速信道互相连 接起来所构成的网络 园区网所利用的设备 运行的网络协议 网络传输速度基本相同于局域网 局 域网和园区网通常都是用户自己建设的 局域网和园区网与广域网不同 广域网不仅覆盖范围广 所 利用的设备 运行的协议 传送速率都与局域网和园区网不同 传输信息的信道通常都是电信部门建 设的 二级单位网络 指地区公司下属单位的网络的总和 可能是局域网 也可能是园区网 IV计算机机房安全管理规范 专线与拨号线路 从连通性划分的两大类网络远程信道 专线 指数字电路 帧中继 DDN 和 ATM 等经常保持连通状态的信道 拨号线路 指只在传送信息时才建立连接的信道 如电话拨号线路 或 ISDN
10、 拨号线路 这些远程信道可能用来连接不同地区的局域网或园区网 也可能用于连接单台计 算机 石油专网与公网 石油专业电信网和公共电信网的简称 最后一公里问题 建设广域网时 用户局域网或园区网连接附近电信部门信道的最后一段距离的 连接问题 这段距离通常小于一公里 但也有大于一公里的情况 为简便 同称为最后一公里问题 涉及计算机网络的术语和定义请参见 中国石油局域网标准 计算机机房安全管理规范V 目目 录录 1概述 6 2目标 6 3规范的适用范围 6 4规范引用的文件或标准 7 5术语和定义 8 6理论基础 11 6 1安全生命周期理论 11 6 2机房安全分级标准 13 7机房物理环境安全 14
11、 7 1机房场地的环境选择和设计 14 7 2机房环境控制 17 7 3机房建筑安全 21 7 4机房电气技术安全 23 7 5给水排水 28 7 6消防与其他安全规范 29 7 7其它设备间 31 7 8自然灾害防御 31 8人员出入机房相关的管理规范 34 8 1人员身份识别 34 8 2机房出入授权管理规范 39 8 3机房的相关日志管理和权限的审计管理 42 附录 1参考文献 45 附录 2本规范用词说明 46 6计算机机房安全管理规范 1概述 计算机机房作为计算机设备 网络基础设施的汇集地 是中国石油最重要的信息安全区 域 计算机机房的安全是企业信息安全的基础 计算机机房安全就是为计
12、算机系统提供稳定可靠的工作环境 保护机房内计算机和网络 相关设备以及其它媒体免遭地震 水灾 火灾等环境事故以及周围不良环境的因素影响 它是对系统所在环境的安全保护 同时 还需要防止对机房的未经授权的访问和人为故 意或无意破坏 2目标 本规范的目标为 通过对机房这一特殊的安全区域进行保护 确保和机房相关的各类信息系统基础设施 设备 媒体介质免受非法的实物访问 自然灾害和环境的危害 防止基础设施等资产的 损坏 丢失 敏感信息的泄漏以及商务活动的中断 3适用范围 该套规范适用的范围包括了机房这一个相对独特的安全区域 我们在这里所指的机房的 范围包括了各种类型的 包括了广义上正规的和非正规的 计算机房
13、和相应的配套设备间 工作间和辅助间 同时 我们将以下这些相对独特的安全区域也列入机房的概念范畴 网络及通讯设备间 配线间 小机柜 计算机机房安全管理规范7 4规范引用的文件或标准 下列文件中的条款通过本标准的引用而成为本标准的条款 凡是不注日期的引用文件 其 最新版本适用于本标准 1 GB50174 93 电子计算机机房设计规范 2 SJ T30003 93 电子计算机机房施工及验收规范 3 GB9361 88 计算站场地安全要求 4 GB2887 2000 电子计算机场地通用规范 5 GB6650 86 计算机机房用活动地板技术条件 6 GB500052 供配电系统设计规范 7 GB5005
14、7 94 建筑物防雷设计规范 8 GB50045 95 高层民用建筑设计防火规范 9 GBJ16 87 建筑设计防火规范 8计算机机房安全管理规范 5术语和定义 计算机场地计算机场地 计算机系统的安置地点 计算机供电 空调以及该系统维修和工作人员的 工作场所 计算机机房计算机机房 是计算站场地最主要的房间 放置计算机系统主要设备的地点 机房机房 同计算机机房 安全等级安全等级 为表示信息的不同敏感度 按保密程度不同对信息进行层次划分的组合或集 合 访问控制访问控制 根据客体所包含信息的敏感性以及主体访问此类敏感信息的权限 限制主体 访问客体的方法 认证认证 验证用户 设备和其他实体的身份验证数
15、据的完整性 审计审计 对影响系统安全的各种活动进行记录并为系统安全员提供安全管理依据的程序 授权授权 在确认了访问者身份之后 根据不同访问者权限的设定赋予其相应的权利和义务的 过程 日志日志 一种信息的汇集 记录有关对系统操作和系统运行的全部事项 提供了系统的历 史状况 隔离隔离 为防止其他用户或程序的非授权访问 把操作系统 用户程序 数据文件加以彼 此独立存储的行为 活动地板活动地板 是指计算机机房内安装的 可灵活装 拆的地板 温感探测器温感探测器 指在物质燃烧时 使周围空气温度升高致使发生报警信号的装置 烟感探测器烟感探测器 指物质因燃烧或发热而分解生成的烟雾致使发出报警信号的装置 二次破
16、坏二次破坏 由于为了消灭火灾而采取的灭火方法不当 造成对设备 信息等的再次破坏 计算机机房安全管理规范9 接地接地 计算机系统的直流地 交流工作地 安全保护地和防雷保护地与大地之间的关系 电磁干扰电磁干扰 一些电器 电子设备工作时所产生的电磁波 容易对周围的其他电气 电子设 备形成电磁干扰 引发故障或者影响信号的传输 此外 过度的电磁干扰会形成电磁污 染 危害人们的身体健康 破坏生态平衡 电磁泄漏电磁泄漏 是指电子设备的杂散 寄生 电磁能量通过导线或空间向外扩散 任何处于工 作状态的电磁信息设备 如 计算机 打印机 传真机 电话机等 都存在不同程度的 电磁泄漏 在线式在线式 UPS UPS 的一种类型 其逆变器始终处于工作状态 它首先通过电路将外部交 流电转变为直流电 再通过高质量的逆变器将直流电转换为高质量的正弦波交流电输出 给计算机 直流工作接地直流工作接地 计算机本身的逻辑参考地 交流工作交流工作接接地地 在电力系统中 运行需要的接地 如中性点接地 安全保护安全保护接接地地 电力设备的金属外壳等 由于绝缘被损坏有可能带电 为了防止这种电压 危及人身和设备安全而设的接地 接地电阻接
