机房建设等级保护二级要求

乌鲁瓦提水利枢纽管理局机房系统安全建设解决方案深信服科技有限公司2019年目录1背景概述 (3)1.1建设背景 (3)1.2文件要求 (3)1.3参考依据 (3)2阀门监控系统安全防护意义 (4)3安全防护总体要求 (4)3.1系统性 (4)3.2动态性 (4)3.3安全防护的目标及重点 (5)3.4安全防护总体策略 (5)3.5综合安全防护要求 (6)3.5.1安全区划分原则 (6)3.6综合安全防护基本要求 (7)3.6.1主机与网络设备加固 (7)3.6.2入侵检测 (7)3.6.3安全审计 (7)3.6.4恶意代码、病毒防范 (7)4需求分析 (8)4.1安全风险分析 (8)4.2安全威胁的来源 (9)5设计方案 (10)5.1拓扑示意 (11)5.2安全部署方案 (11)5.2.1下一代防火墙 (11)5.2.2终端安全检测响应系统（杀毒） (12)5.2.3日志审计系统 (14)5.2.4运维审计系统 (17)5.2.5安全态势感知系统 (19)6方案优势与总结 (21)6.1安全可视 (21)6.2融合架构 (21)6.3运维简化 (22)1背景概述1.1 建设背景随着我国信息化的大力发展，信息网络已经由几个孤立的网络发展成一个多连接的信息共享的复杂网络，也正是由于网络的接入共享为不法黑客的入侵系统带来机会，严重影响系统的正常稳定运行和输送。

1.2 文件要求根据《中华人民共和国网络安全法》，水利相关单位是国家关键信息基础设施和网络安全重点保护单位。

监控、数据调度系统网络空间大，涉及单位多，安全隐患分布广，一旦被攻破将直接威胁安全生产。

为进一步提高阀门监控系统及调度数据网的安全性，保障阀门监控系统安全，确保安全稳定运行，需满足以下文件要求及原则。

➢满足调度数据网已投运设备接入的要求；➢满足生产调度各种业务安全防护的需要；➢满足责任到人、分组管理、联合防护的原则；➢提高信息安全管理水平，降低重要网络应用系统所面临的的安全风险威胁，保证信息系统安全、稳定的运行，使信息系统在等级保护测评环节基本符合国家信息安全等级保护相应级别系统的安全要求。

二级等保机房建设标准
二级等保机房是指符合国家信息安全等级保护标准中二级等级要求的机房。

其建设标准主要包括以下方面：
1. 安全区域划分：机房应划分为机房核心区、辅助区和管理区等不同的安全区域，不同区域之间应设置物理隔离措施，保证机房内部的安全性。

2. 安全出入口：机房应设置至少两个安全出入口，并设置门禁控制系统和安全监控系统，确保机房内部的人员和设备进出安全可控。

3. 环境控制：机房应设置恒温恒湿系统，保持机房内部的温度和湿度在合适的范围内，避免机房内部设备受到环境的影响。

4. 供电和电源保护：机房应设置双路电源供电系统，并设置UPS等电源保护设备，确保机房内部设备的稳定供电。

5. 网络安全：机房应设置防火墙、入侵检测系统等网络安全设备，并进行安全策略的制定和实施，保证机房网络的安全性。

6. 数据备份和恢复：机房应设置数据备份和恢复设备，并进行定期备份，以确保机房内部数据的安全性和可靠性。

7. 安全管理：机房应设置专门的安全管理人员，负责机房的安全管理工作，并制定相应的安全管理制度和应急预案，
以应对突发事件。

以上是二级等保机房的建设标准的主要内容，具体实施应根据实际情况进行细化和完善。

网络安全等级保护(等保2.0)3级建设内容设计方案物理环境安全设计旨在保护计算机网络通信的电磁兼容工作环境，防止非法用户进入计算机控制室并防止偷窃和破坏活动发生。

在物理位置选择上，应选择具有防震、防风、防雨等能力的建筑内场地，避免设在建筑物的顶层或地下室以确保机房的防水防潮效果。

在UPS电池放置时，应考虑楼板的承重能力。

对机房划分区域进行管理，并在重要区域前设置交付或安装等过渡区域。

进入机房的人员必须经过申请和审批流程，并受到限制和监控。

机房的各出入口应配置电子门禁系统和视频监控系统来控制、鉴别和记录进入机房的人员相关信息。

设备或主要部件应固定，并设置不易除去的标记以防盗窃和破坏。

为了防止非法用户和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性，必须采用有效的区域监控、防盗报警系统，阻止非法用户的各种临近攻击。

必须制定严格的出入管理制度和环境监控制度，以保障区域监控系统和环境监控系统的有效运行。

在地板方面，应安装防静电地板并采用必要的接地防静电措施，在上架、调试触摸设备时应佩戴防静电手环等措施消除静电避免静电引起设备故障和事故。

合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。

房间装修必需使用阻燃材料，耐火等级符合国家相关标准规定，同时设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。

在机房建设阶段，对机房窗户、屋顶和墙壁进行处理，防止液体渗透。

按照新风系统防止机房内水蒸气结露。

在机房内部按照水浸传感器，实时对机房进行防水检测和报警。

严格按照国家的相关标准将各类机柜、设施和设备等通过接地系统安全接地。

在配电方面设置相应的防雷保安器或过压保护装置等。

网络安全设计为保障通信传输网络的安全性，需要采用多种措施。

首先，对网络传输设备进行加密和认证，确保数据传输的安全性。

其次，采用虚拟专用网络（VPN）技术，对外部网络进行隔离，防止未经授权的访问。

管理大概80，外网大概40，服务器数外网网络边界进行访问控制，基本的终端数量：内网大概80，外网大概40，服务器数量：11网络现况：电信宽带30MB（互联网），电信专网4MB（一门诊）、10MB（城北门诊）,医保电信ADSL，电子远程药品监空系统移动光缆（带宽不详）现有应用系统：HIS、LIS、PACS 、EMR、物资资产财务、CA认证、医保数据备份：没有现有网络安全产品：防火墙1台（网神）在互联网出口处；服务器及内网终端安装Mcafee杀毒软件终端安全管理产品：没有分支机构远程连接：有2个分门诊，使用Radmin 、飞秋、远程桌面等局域网内部远程工具终端使用操作系统：WinXP、win8、win sever 2003、win sever 2008操作系统补丁更新：服务器与内网终端没有更新过终端杀毒软件：服务器、内网终端安装华军软件及功能：1)外网防火墙(对外网网络边界进行访问控制，基本的入侵防护的，可考虑原有网神防火墙利旧，需确认原有网神防火墙是否满足需求)2)内网防火墙(对内部网络边界进行访问控制，基本的入侵防护等)3)终端企业版杀毒软件(服务器及终端主机的防病毒统一管理、可进行终端个体的漏洞扫描及补丁更新)4)终端安全产品(对终端的信息安全进行防护，后期可根据需求增加和调整功能模块) 5)上网行为管理设备(对外网终端的上网行为进行监测，必要时进行管控)后期三级等保可考虑增加设备：1)入侵防御设备(IPS)：网络边界处2)防病毒网关(多功能安全网关)：网络边界处3)入侵检测设备(IDS)：内网核心交换机处4)堡垒主机(运维网关、安全管理平台)：核心交换机处5)网闸(信息交换与隔离系统)：内外网边界处6)数据库审计(综合审计类产品)：新：服务器与内网终端没有更新处5)网闸(信息交换系统运维管理。

浅谈等级保护中机房建设和管理实行计算机信息安全等级保护是为了进一步加强和规范计算机信息系统安全，保护我国信息化发展'维护国家信息安全、提高信息安全保障能力和水平。

是维护国家安全、社会稳定和公共利益的保障制度。

信息安全等级保护是对信息系统分等级实行安全保护，对信息系统中发生的信息安全事件分等级响应、处置，对设备设施、运行环境、系统软件以及网络系统按等级管理。

信息网络安全管理工作要坚持从实际出发、保障重点的原则，区分不同情况，分级、分类，分阶段进行信息网络安全建设和管理。

按照《计算机信息系统安全保护等级划分准则》的规定，我国实行五级信息安全等级保护：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。

在信息安全等级保护中定为三级以下的系统占较大比例。

所以下文的机房是以存放信息安全等级第二级及以下的系统为设计标准，对如何建设和管理机房展开简单谈论。

1 机房的物理位置要求机房的环境要求满足信息系统业务和安全管理需求。

例如机房楼层具有足够承受能力、具有基本的防震、防风和防雨等能力。

对存放信息安全等级保护鼍级系统的机房要求更严格，值得存放二级系统的机房借鉴。

例如要求机房避免设在强电场、强磁场，强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区，要求机房内的显示器、打印机等有敏感信息输出的设备应避免无关人员看到。

除信息安全等级保护所要求的这些外，本人认为在机房设计时还应考虑对周围环境的影响。

例如机房排风口吹出来的废气、空调室外机的噪音和散热、机房隔音，施工等都可能给机房周围其他人带来困扰，在设计初期都应纳入考虑范围。

2 机房的访问控制首先在管理上应先制订机房出入的管理制度等，指定专人在机房所有出入口值守，对进入的人员登记在案并进行身份鉴别，对来访人员须经批准、登记、限制和监控其活动范围。

在一些条件较差的机房要求做到专人值守出入口较为困难，可以加强出入口防盗设施，增加视频监控并由保安监控室负责监控非法出入。

全国信息安全标准化技术委员会关于印发《信息安全技术信息系统安全等级保护基本要求》国家标准报批稿的通知文章属性•【制定机关】全国信息安全标准化技术委员会•【公布日期】2007.06.27•【文号】信安字[2007]12号•【施行日期】2007.06.27•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】标准化正文全国信息安全标准化技术委员会关于印发《信息安全技术信息系统安全等级保护基本要求》国家标准报批稿的通知（信安字〔2007〕12号）各有关单位：《信息安全技术信息系统安全等级保护基本要求》国家标准基本成熟，通过了全国信息安全标准化技术委员会的审查，已形成国家标准报批稿，正在报批过程中。

为推动正在进行的全国信息系统安全等级保护工作，经信安标委主任办公会议同意，现将该国家标准报批稿先印发给你们，供在工作中参考。

特此通知。

全国信息安全标准化技术委员会二00七年六月二十七日附件：《信息安全技术信息系统安全等级保护基本要求》信息安全技术信息系统安全等级保护基本要求GB/T 0000-0000Information security technology-Baseline for classified protection of information system前言本标准的附录A和附录B是规范性附录。

本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位：公安部信息安全等级保护评估中心。

本标准主要起草人：马力、任卫红、李明、袁静、谢朝海、曲洁、李升、陈雪秀、朱建平、黄洪、刘静、罗峥、毕马宁。

引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

d） 应与从事关键岗位的人员签署保密协议。

（G2）员负责人员录用；
b） 应规范人员录用过程,对被录
试验收结果，形成测试验收报告；
c） 应组织相关部门和相关人员Array商提供技术支持和服务承诺,必要
的与其签订服务合同。

商 选择(G2)合国家的有关规定;
b） 应与选定的安全服务商签订
使用的行为。

（G2）产清单，包括资产责任部门、重
要程度、所处位置等内容；
型、采购、发放和领用等过程进
行规范化管理；
c） 应对终端计算机、工作站、
便携机、系统和网络等设备的操
（G2）备(包括备份和冗余设备）、线路
等指定专门的部门或人员定期进
均得到授权和批准。

份；
d） 应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏Array f） 应定期对运行数据和审计日志进行分析,以便及时发现异常行为。

志管理和日常操作流程等方面作出规定；
e） 应依据操作手册对系统进行
急预案培训，应急预案的培训至少每年举办一次。