自從接觸安全類工作后就開始聽到等保這個詞，最初接觸是在剛進入省測評中心的時候，剛剛進入安全這個圈子，經(jīng)過各種項目和領導的折磨后，終于知道什么叫等保，要求些什么，要怎么做等等等。后來還研究過信息系統(tǒng)風險評估，ISO 27001，COBIT 5之類的標準和體系。寫這篇文章沒別的目的，就是談談自己對等保的理解，希望對各位有用。本文是技術(shù)要求的物理安全部分，如果有機會后續(xù)會把10個部分都更新出來。

等保到底是什么

這里就不說太多沒用的了，什么五個級別，網(wǎng)安法，公安備案之類的，直接參照三級標準逐條討論。

物理安全部分其實不只是22239中描述的那么簡單，實際還參考了額外的物理安全標準（GB 50174和GB/T 2887），所以沒表面上看的那么簡單。

7.1.1 物理安全

7.1.1.1 物理位置的選擇（G3）

a)房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內(nèi)；

b)機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。

這里講的是機房的防震、防風和防雨，其實就是對建筑物的要求，對于B、C級機房要求抗震設防標準要符合當?shù)乜拐鹪O防標準，A級機房要高于當?shù)乜拐鹪O防標準，下表為場地樓板荷重標準   

A級機房抗震不能低于乙類，B級不能低于丙類，C級不宜低于丙類抗震設防。 至于機房的選擇，要求不能是地下室，不能是頂層，不能靠邊，建議設置在建筑的中心和近中心位置。 對于建筑物的選擇，可參考下表（補充一點，不能處于地震帶）：

a)機房出入口應安排專人值守，控制、鑒別和記錄進入的人員；

b)需進入機房的來訪人員應經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍；

c)應對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設置物理隔離裝置，在重要區(qū)域前設置交付或安裝等過渡區(qū)域；

d)重要區(qū)域應配置電子門禁系統(tǒng)， 控制、 鑒別和記錄進入的人員。

訪問控制的理解就容易得多了，而且大多數(shù)企業(yè)也都做到了，沒有特殊的需要說明的部分。這里擴展一下機房區(qū)域劃分的要求細節(jié)。

首先是機房面積的設置，國標是有計算公式的，如下：

當電子信息設備已確定規(guī)格時，可按下式計算：

A= K∑S

A― 電子信息系統(tǒng)主機房使用面積（㎡） ;

K― 系數(shù)，取值為 5～7 ;

S― 電子設備的投影面積（㎡）。

當電子信息設備尚未確定規(guī)格時，可按下式計算：

A= KN

K― 單臺設備占用面積，可取 3.5－5.5(㎡/臺）;

N—計算機主機房內(nèi)所有設備的總臺數(shù)。

輔助區(qū)的面積宜為主機房面積的0.2~1 倍；用戶工作室可按每人 3.5－4 ㎡計算。硬件及軟件人員辦公室等有人長期工作的房間，可按每人 5~7 ㎡計算。

此外對于工作區(qū)、主機房、輔助區(qū)、支持區(qū)和行政管理區(qū)（如有，此外還有的機房會有保密設備區(qū)域）要進行彼此隔離，重要區(qū)域要有單獨的門禁系統(tǒng)。 

7.1.1.3 防盜竊和防破壞（G3）

a)應將主要設備放置在機房內(nèi)；

b)應將設備或主要部件進行固定，并設置明顯的不易除去的標記；

c)應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；

d)應對介質(zhì)分類標識，存儲在介質(zhì)庫或檔案室中；

e)應利用光、電等技術(shù)設置機房防盜報警系統(tǒng)；

f)應對機房設置監(jiān)控報警系統(tǒng)。

這部分的內(nèi)容也比較容易理解，就是防盜措施。這里說的不易去除標記其實就是那種一次性貼紙標簽，因為機房的設備一般輕易不會有人去偷，所以這里的不易去除是指通常機房設備運維管理中，不要抬杠說什么有人會特殊處理去掉標簽這種情況。

通信線纜一般都是在防靜電地板下放或走頂棚線槽，現(xiàn)在已經(jīng)很少有人會直接走明顯了，所以不用特意說明。

介質(zhì)就是磁盤陣列、硬盤、磁帶、U盤之類的存儲，目前這部分工作大多公司做的一般，沒有分類，沒有標簽，或者個別介質(zhì)會貼一些簡單的標簽，這些對于后期管理都是隱患，最常見的就是，人員離職，交接不明確，沒有說明文檔，后來的人接管工作一臉懵逼，問誰都不知道，最后無奈要一個個的自己去查看，或者干脆就混日子，索性不出問題就好。

防盜報警現(xiàn)在基本是個B類機房就都有安裝，而且有完善的報警系統(tǒng)或平臺；最后關于監(jiān)控，這里說一點，不是說門口和機房里有監(jiān)控就OK，按照標準要縱向橫向交叉監(jiān)控，無死角才算合規(guī)。 

7.1.1.4 防雷擊（G3）

a)機房建筑應設置避雷裝置；

b)應設置防雷保安器，防止感應雷；

c)機房應設置交流電源地線。

這部分更多是對大樓建筑的防雷要求，具體會參照GB/T 50343（建筑作為獨立機房時），一般能作為機房的大樓，應該都會有符合規(guī)定的防雷措施。所以重點要關心的就是強電和弱電的接地。

強電沒有搞過，所以就不在這里胡說了；弱電后續(xù)會在防靜電部分說明。

7.1.1.5 防火（G3）

a)機房應設置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；

b)機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料；

c)機房應采取區(qū)域隔離防火措施，將重要設備與其他設備隔離開。

這里防火有3點要求，其一就是自動消防系統(tǒng)，可以自動檢測，自動預警，自動滅火，一般都是泡沫和干粉，檢測到火災時會先預警，疏散人員，而后進行滅火（想詳細了解的可以去看GB 50116和GB 50016）。此外這還要求機房設置消火栓，就是手提那種干粉的或者泡沫的，并且定期要有人進行巡檢，檢查滅火設備是否過期，壓力值是否在綠色范圍，并填寫巡檢記錄，這些都是檢查時會看的。

第二點是對耐火材料的要求，這塊純屬國標要求，真正能做到的其實不多，按照要求機房的耐火等級不應低于二級。當 A 級或 B 級機房位于其它建筑物內(nèi)時，在主機房和其他部位之間應設置耐火極限不低于 2h 的隔墻，隔墻上的門應采用甲級防火門（解釋下2H的意思，耐火極限就是在一般100度燃點時的破壞時間，H代表小時，也就是說墻體的耐火極限要再100度高溫情況下能夠承受2小時以上）。主機房的頂棚、壁板（包括夾芯材料）和隔斷應為不燃燒體，且不得采用有機復合材料。

第三點，就是之前要進行區(qū)域劃分和隔離的要求，在發(fā)生火災時，可優(yōu)先確保重要設備安全。

這里再多說一點，關于疏散的，面積大于 100 ㎡ 的主機房，安全出口應不少于兩個，且應分散布置。面積不大于 100 ㎡的主機房，可設置一個安全出口，并可通過其他相臨房間的門進行疏散。門應向疏散方向開啟，且應自動關閉，并應保證在任何情況下都能從機房內(nèi)開啟 。走廊、樓梯間應暢通，并應有明顯的疏散指示標志。

7.1.1.6 防水和防潮（G3）

a)水管安裝，不得穿過機房屋頂和活動地板下；

b)應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；

c)應采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；

d)應安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警。

第一條要求就是機房內(nèi)無論何處不可以有走水的管道，包括機房周邊墻體。

第二條一般來說基本不太會遇到，但是我就碰到過一家企業(yè)，機房樓上漏水，頂棚沒有做防水，機房里幾個大盆和大桶放在機柜上邊接水，定期有值班人員去倒，這場面真的無法言表。所以說，機房位置選擇時，周邊最好不要有用水間是最好的。

第三條應該是指以前的機房（或者是一些小公司的機房），但是一般機房能這么偷工減料的其實也不會關心這種問題?，F(xiàn)在大多機房會配備精密空調(diào)，控制機房內(nèi)的溫濕度，所以此類情況越來越少（畢竟都上云了，托管的云數(shù)據(jù)中心機房怎么可能連溫濕度控制都做不到）。

第四條和第三條差不多，目前都會由系統(tǒng)統(tǒng)一控制。不過這里也說一下，標準的要求：

首先不能采用暖氣，空調(diào)不能漏水；

與機房無關的水管不宜從機房內(nèi)穿過；

機房應防止結(jié)構(gòu)滲水、前面凝水、外部漫水；

重要機房應設置漏水報警系統(tǒng)。

7.1.1.7 防靜電（G3）

a)主要設備應采用必要的接地防靜電措施；

b)機房應采用防靜電地板。

這里標準中說了一堆術(shù)語和要求參數(shù)，其實簡單總結(jié)一下，重點關注的就是首先機柜要做好接地防雷和防靜電，重要設備都會有防雷模塊，用線接到機柜；在機柜配置防靜電手環(huán)，操作時記得先戴上。這樣基本就可以保證大多數(shù)情況下的靜電防護工作。

這里給你們展示一點標準里要求的玩意。

1.主機房和輔助區(qū)的地板或地面應有靜電泄放措施和接地構(gòu)造，防靜電地板或地面的表面電阻或體積電阻應為 2.5 x 104～1.0×10 9 Ω。且應具有防火、環(huán)保、耐污耐磨性能。

2.電子信息系統(tǒng)機房內(nèi)所有設備可導電金屬外殼、各類金屬管道、金屬線槽、建筑物金屬結(jié)構(gòu)等必須進行等電位連接并接地。

3.靜電接地的連接線應有足夠的機械強度和化學穩(wěn)定性，宜采用焊接或壓接，當采用導電膠與接地導體粘接時，其接觸面積不宜小于 20cm 2。 

PS：這里再補充一點，關于綜合布線的，等保部分重點要求就是強電與弱電線纜要分別鋪設，且距離不得小于0.5m，且每條線纜要有標簽說明。

7.1.1.8 溫濕度控制（G3）

機房應設置溫、濕度自動調(diào)節(jié)設施，使機房溫、濕度的變化在設備運行所允許的范圍之內(nèi)。

這部分沒說的，都是由系統(tǒng)來控制，這里貼一下對機房溫濕度的要求，開機和關機都有相應要求。

7.1.1.9 電力供應（A3）

a)應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；

b)應提供短期的備用電力供應，至少滿足主要設備在斷電情況下的正常運行要求；

c)應設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；

d)應建立備用供電系統(tǒng)。

這塊按照國標要求也是繁瑣的一B，簡單總結(jié)一下（從安全角度來考慮，不涉及建筑和強電）。

首先最基本的要有UPS，UPS要有過載保護和防雷模塊；

其次UPS至少要由2路供電，能夠維持機房重要設備至少2小時以上供電；

最后就是機房提供多路冗余供電，不能只有一條電纜供電；要為機房準備發(fā)電機，以備特殊情況長期斷電時的應急，如果條件允許，準備2臺發(fā)電機，以防發(fā)電機出現(xiàn)意外故障。詳細要求參考GB 50052。

PS：補充一點，等保中還要求機房中要使用機柜專用電源插排，就是機柜上那個黑色的。

7.1.1.10 電磁防護（S3）

a) 應采用接地方式防止外界電磁干擾和設備寄生耦合干擾；

b) 電源線和通信線纜應隔離鋪設，避免互相干擾；

c)  應對關鍵設備和磁介質(zhì)實施電磁屏蔽。

這塊的內(nèi)容涉及的有點廣，但是作為等保的要求和日常機房安全防護，涉及不會那么深，所以不用過度去研究。這里把我研究的資料分享一下，簡單做下總結(jié)。

電磁屏蔽含義

電磁兼容性（ElectromagneticCompatibility）縮寫EMC，就是指某電子設備既不干擾其它設備，同時也不受其它設備的影響。電磁兼容性和我們所熟悉的安全性一樣，是產(chǎn)品質(zhì)量最重要的指標之一。安全性涉及人身和財產(chǎn)，而電磁兼容性則涉及人身和環(huán)境保護。

電子元件對外界的干擾，稱為EMI(ElectromagneticInterference)；電磁波會與電子元件作用，產(chǎn)生被干擾現(xiàn)象，稱為EMS（ElectromagneticSusceptibility）。例如，TV熒光屏上常見的“雪花”，便表示接受到的訊號被干擾。

因為屏蔽體對來自導線、電纜、元部件、電路或系統(tǒng)等外部的干擾電磁波和內(nèi)部電磁波均起著吸收能量（渦流損耗）、反射能量（電磁波在屏蔽體上的界面反射）和抵消能量（電磁感應在屏蔽層上產(chǎn)生反向電磁場，可抵消部分干擾電磁波）的作用，所以屏蔽體具有減弱干擾的功能。⑴當干擾電磁場的頻率較高時，利用低電阻率的金屬材料中產(chǎn)生的渦流，形成對外來電磁波的抵消作用，從而達到屏蔽的效果。⑵當干擾電磁波的頻率較低時，要采用高導磁率的材料，從而使磁力線限制在屏蔽體內(nèi)部，防止擴散到屏蔽的空間去。⑶在某些場合下，如果要求對高頻和低頻電磁場都具有良好的屏蔽效果時，往往采用不同的金屬材料組成多層屏蔽體。

原理

許多人不了解電磁屏蔽的原理，認為只要用金屬做一個箱子，然后將箱子接地，就能夠起到電磁屏蔽的作用。在這種概念指導下結(jié)果是失敗。因為，電磁屏蔽與屏蔽體接地與否并沒有關系。真正影響屏蔽體屏蔽效能的只有兩個因素：一個是整個屏蔽體表面必須是導電連續(xù)的，另一個是不能有直接穿透屏蔽體的導體。屏蔽體上有很多導電不連續(xù)點，最主要的一類是屏蔽體不同部分結(jié)合處形成的不導電縫隙。這些不導電的縫隙就產(chǎn)生了電磁泄漏，如同流體會從容器上的縫隙上泄漏一樣。解決這種泄漏的一個方法是在縫隙處填充導電彈性材料，消除不導電點。這就像在流體容器的縫隙處填充橡膠的道理一樣。這種彈性導電填充材料就是電磁密封襯墊。在許多文獻中將電磁屏蔽體比喻成液體密封容器，似乎只有當用導電彈性材料將縫隙密封到滴水不漏的程度才能夠防止電磁波泄漏。實際上這是不確切的。因為縫隙或孔洞是否會泄漏電磁波，取決于縫隙或孔洞相對于電磁波波長的尺寸。當波長遠大于開口尺寸時，并不會產(chǎn)生明顯的泄漏。

機理

a.當電磁波到達屏蔽體表面時，由于空氣與金屬的交界面上阻抗的不連續(xù)，對入射波產(chǎn)生的反射。這種反射不要求屏蔽材料必須有一定的厚度，只要求交界面上的不連續(xù)；

b.未被表面反射掉而進入屏蔽體的能量，在體內(nèi)向前傳播的過程中，被屏蔽材料所衰減。也就是所謂的吸收；

c.在屏蔽體內(nèi)尚未衰減掉的剩余能量，傳到材料的另一表面時，遇到金屬－空氣阻抗不連續(xù)的交界面，會形成再次反射，并重新返回屏蔽體內(nèi)。這種反射在兩個金屬的交界面上可能有多次的反射。總之，電磁屏蔽體對電磁的衰減主要是基于電磁波的反射和電磁波的吸收。

從等保的角度來看，這3條的要求簡單可以概括為：

a)機柜和設備接地，做好防靜電；（通常我們機房購買的機柜，設計時都已經(jīng)考慮電磁屏蔽的問題，所以一般只要把機柜門關上，本身就起到屏蔽的作用）

b)之前提到的強弱電線纜分離鋪設，距離大于0.5m；

c)將設備放入專業(yè)機柜中，并固定在指定插槽位置。

結(jié)尾

以上就是對等級保護中物理安全的一些總結(jié)和個人理解。希望能對各位有所用處。其實真正的物理安全不只這些內(nèi)容，以上只是從等保三級角度出發(fā)，如果擴展其本身就是一門學科，還會涉及到照明、粉塵、氣流、通道等各方面的要求。后續(xù)有時間的話，會繼續(xù)更新下個部分，技術(shù)要求的網(wǎng)絡安全部分。

等級保護測評系列介紹

等級保護測評（一）：物理安全

等級保護測評（二）：網(wǎng)絡安全

等級保護測評（三）：主機安全

等級保護測評（四）：應用與數(shù)據(jù)安全

等級保護測評（五）：制度與人員安全

等級保護測評（六）：系統(tǒng)建設管理

等級保護測評（七）：系統(tǒng)運維管理