(华夏竣诚(北京)智能建筑工程有限公司北京西城100083)
摘要:随着信息化的不断深入发展,加之近年来“互联网+”的新起,掀起了一股“大数据”、“云”的浪潮,将信息化的发展推向了一个新的高度。笔者根据自身工作岗位,结合工作环境,就如何保障机房内信息设备处于良好工作环境,使信息系统稳定可靠地运行,降低不容忽视的信息安全问题进行了研究。
一、前言
企业常有“通讯”和“数据”两套重要设备机房,通讯机房主要是保障企业网络的正常运作,包含有交换机、UPS、下级交换机的光纤链路设备、外延供应商网络数据信号接入等设备;数据机房主要有服务器和存储设备,包含有企业消费系统、生产执行系统、视频监控系统、门禁系统、考勤系统、IPX语音通信系统、虚拟机等服务器,保障企业的业务流、生产流数据的正常运作与安全存储。每个企业都有不少涉及保密的技术及数据,而这些数据都是保存在机房内,因此,提高机房数据的安全性成为了一项重中之重的项目工作。
二、机房设计规划说明
1、物理位置的选择。
计算机机房应远离强电磁场、强震源、强噪声源和强污染源,设在具有防震、防风和防雨等能力的建筑内,且避免在高层或地下室以及用水设备旁边。外窗应为双层密封窗,尽量避免东西向外窗。机房内楼板承重量应满足要求。故,中心机房最佳选址为整座办公大楼的中间楼层北门。
2、机房区域划分与物理访问控制。
1)面积要足够,并考虑扩展的需求。为便于空调控制、灰尘控制、噪音控制和机房管理,专用空调机区域的空间划分不宜过多,与下送风空调区相对应的下一层顶板要进行隔热处理。机房内往往采用既轻又薄,还能隔音、隔热的隔断墙,区域间是物理隔离装置。分三个区域最佳:主机房、监控操作室和电源空调室。
2)外门窗多采用防火防盗门窗,一般采用无框大玻璃门,既保证机房的安全,又保证机房内有通透、明亮的效果。主机房出入口设置门禁系统,配置双向刷卡通行,实现主机房授权人员进入有时间记录。开门方式采用IC卡,确保系统的安全性。
3、网络布线。
企业主干线及各楼层、各部门(装置)楼层之间应采用多摸光纤,并留有适当冗余。光纤到机器端使用屏蔽双绞线,线路之间避免交叉缠绕,并与强电保持30CM以上距离,以减少相互干扰,新增网点到交换机的距离尽可能短,以减少信号衰减;平时做好光纤跳线备份,以备急用。
4、网络设备。
做好机房安全设施的同时,中心交换机要采用集群技术,做好应急措施。(随着计算机硬件设备的可靠性和容错能力的提高,因为硬件故障导致系统瘫痪、数据丢失的概率也在下降,但并非为零。服务器硬件出现故障,网络交换设备遭雷击的情况也时有发生。)
5、服务器。
采用双机热备份的方式实现系统集群,提高系统可用性。服务器以主从或互备方式工作,通过心跳线侦查另一台服务器的工作情况,一旦某台机器发生故障,另外一台立即自动接替工作,变成工作主机,平时某台机器需要重启时,管理员可以在节点间任意切换,整个过程只需要几秒钟,将系统中断的影响降到最低。此外,还可以采用第三台服务器做集群的备份服务器。在制度上,建立服务器管理制度及防护措施,如:安全审计、入侵检测(IDS)、放病毒、定期检查运行情况、定期重启等。
6、数据存储设备。采用本地磁盘冗余阵列(RAID5方式)、异地备份、磁带盒磁盘等多备份策略,一旦某一设备出现故障立即发出警告,并停止对其他设备的使用
7、边界安全。采用内外网物理断开的方式,彻底消灭外网黑客及病毒的入侵。内外网需要交换信息时,用U盘或移动硬盘作为中介,连接内外前先对移动存储设备进行病毒查杀。对于内网的新软件,先在单独组建的测试子网络内运行,时机成熟后再用于整个内网。
8、操作系统。操作系统的主要风险在于系统漏洞和文件病毒等。我们需要对账号、用户权限、网络访问及文件访问等实行控制和管理,定期做好监视、审计和时间日志记录和分析,一方面减少各类违规访问,另一方面通过系统日志记下来的警告和报错信息,很容易发现相关问题如系统瓶颈等的症结所在。通过修改注册表,屏蔽掉客户端操作系统上桌面无关内容,并限制访问相关资源。及时下载和打好系统补丁,尽可能关闭不需要的端口,以弥补系统漏洞带来的各类隐患,如各类蠕虫病毒的入侵。对各类工作站和服务器的CMOS设置密码,取消不必要的光驱,屏蔽USB接口,以防止外来光盘和U盘的使用可能带来的外来病毒。
9、数据库。数据库安全包括用户安全、数据保密和数据安全、事物管理和故障恢复、审计和追踪、入侵检测和防范等方面。为数据库选择合适的鉴别方式、口令交换周期和鉴别次数,加强角色、权限管理;归于关键数据,使用适当算法进行加密存储并分布于多台计算机。通过作业管理实现本地备份和异地备份、日备份和周备份、全量备份和增量备份,并转入磁带存储;对用户操作进行审计并记录日志。
10、数据存储安全。数据存储安全指在数据保存上确保完整、可靠和有效调用,一是存储设备自身的可靠性和可用性(设备安全),二是保存在存储设备上数据的逻辑安全(应用安全)。在设备安全方面,应采用RAID5磁盘冗余阵列存储,保证部分存储介质坏时数据不丢失。在应用安全方面,通过严格的备份策略和流程对数据历史进行周期性保存。备份作业时间一般选择在夜间或休息日,为确保备份的安全可靠,先备份出一份最新数据,确定备份成功后再删除上次备份数据,否则,不删除上次备份,从而将损失降到最低。平时,利用异地备份的数据在单机上进行灾难恢复模拟试验,增强对突发事件处置能力。
三、提高机房数据安全性措施
1、内部出入口处要设置应急照明及安全出口指示。
2、在两个防火分区之间的各线缆要做防火泥防火封堵,将线缆穿孔间隙用防火泥包起来,避免一个分区内的线缆着火时,火势延管线窜走到另一个分区。
3、设置环境监控系统,主要实现对主机房空调、新风、温湿度、防水、配电系统、UPS、图像、门禁等系统实现统一监控,并实现异常情况报警,为机房高效的管理和安全运营提供有力的保证。另外,要防止老鼠等小动物进入机房,对机房的门窗要安装防盗设施。温度:冬季为20+2℃,夏季为23+2℃,温度变化率≤5℃/h。湿度范围为35—80%,其中最佳湿度范围为45—60%。
4、设置独立的闭路监控系统监控主设备运行区及机房出入口;主机房内所有设备都必须与机柜固定;所有强弱电电缆都采用桥架地下敷设;对介质分类标识,存储在介质库或档案室中。
5、防雷工作主要是防感应雷引起的雷电浪涌和其他原因引起的过电压。计算机机房要求采用三级防雷设计,包括机房电源防雷系统,弱电信息防雷系统和等电位接地。
6、设置火灾自动消防系统,配置独立感应装置(感烟、感温)和独立的报警主机(按照分区选择),能够自动检测火情、自动报警,并自动灭火,灭火系统应采用惰性气体自动灭火系统,常用气体为七氟丙烷和SDE两种气体,并设置防误操作启停按钮和指示灯,系统可自动切断机房电源。
7、采取区域隔离防火措施,将重要设备与其他设备隔离开。机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
8、计算机机房的建筑外墙要作防水处理,机房内顶面要作保温处理,防止产生冷凝水。精密空调下要设置防水堤,窗户要做好密封、防水。水管安装,不得穿过机房屋顶和活动地板下,加紧机房设置防漏水检測系统,重点监测空调下、排水管旁的防漏情况,设置自动报警系统,并入环境场地监控系统。(水患影响机房设备的正常运行甚至造成机房运行瘫痪。)
9、地板应采用具有可拆卸特点的防静电活动地板,为方便所有设备的导线电缆的连接、管道的连接及检修更换。
10、设置并建立备用供电系统。设置两路进线,并设置UPS系统。此外,机房内的电器应选择优质电缆、线槽和插座。插座应分为市电、UPS及主要设备专用的防水插座,并注明醒目、易区别的标识。机房供配电系统是机房安全运行动力保证,机房往往采用机房专用电柜来规范机房供配电系统,保证机房供电系统的安全、合理。
参考文献:
[1]gb9361,计算机场地安全要求[s];
[2]黄虹基于等级保护的网络物理安全建设数字化企业网;
[3]项益君基于等级保护要求的机房安全(《电脑知识与技术》2011年17期);