DB21∕T 1937—2012 物理安全测评方法.docVIP

目 次 前 言 III 引 言 IV 信息系统物理安全测评方法 1 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 一般要求 1 4.1 分级 1 4.2 第一级物理安全测评要求 1 4.2.1 物理位置的选择 1 4.2.2 物理访问控制 2 4.2.3 防盗窃和防破坏 2 4.2.4 防雷击 3 4.2.5 防火 4 4.2.6 防水和防潮 4 4.2.7 防静电 5 4.2.8 温湿度控制 5 4.2.9 电力供应 6 4.2.10 电磁防护 6 4.3 第二级物理安全测评要求 7 4.3.1 物理位置的选择 7 4.3.2 物理访问控制 7 4.3.3 防盗窃和防破坏 8 4.3.4 防雷击 8 4.3.5 防火 9 4.3.6 防水和防潮 10 4.3.7 防静电 10 4.3.8 温湿度控制 11 4.3.9 电力供应 11 4.3.10 电磁防护 12 4.4 第三级物理安全测评要求 12 4.4.1 物理位置的选择 12 4.4.2 物理访问控制 13 4.4.3 防盗窃和防破坏 13 4.4.4 防雷击 14 4.4.5 防火 14 4.4.6 防水和防潮 14 4.4.7 防静电 15 4.4.8 温湿度控制 15 4.4.9 电力供应 15 4.4.10 电磁防护 16 前 言 本标准的编制依据GB/T1.1-2000《标准化工作导则　第一部分：标准的结构和编写规则》的要求进行。 本标准由辽宁省经济和信息化委员会提出。 本标准由辽宁省质量技术监督局归口。 本标准起草单位：辽宁北方实验室有限公司，辽宁省信息安全与软件测评认证中心。 本标准主要起草人：于春刚、郭剑锋、吕天昊、郝玉军、赵英科。 本标准发布日期：属首次发布。 引 言 物理安全作为基本的信息系统安全防护措施，在保障信息系统安全的整体防护体系中起到了至关重要的作用，同时，在信息系统的设计和建设过程中，物理安全也往往被忽视，成为信息系统整体安全保障体系中的薄弱部分，信息安全是系统工程，信息系统安全同时存在短板效应，目前我国发布了针对物理安全的标准，包括GB/T 2887-2000《电子计算机场地通用规范》和GB 9361-88《计算站场地安全要求》等，但在具体的测评方法方面却是空白，还没有一个针对性、规范化的操作标准，因此特制定本标准尤其显得紧迫和重要。 随着信息产业的快速发展，大量的标准化机房建设是保障信息系统正常运行的基本条件，而随着信息技术的发展，大量集中的信息处理中心应运而生，因此制定本规范来约束和规定信息系统物理安全的测评方法，为信息系统的物理安全测评提供标准的测评方法和规程。 信息系统物理安全测评方法 范围 本标准适用于进行信息系统物理安全测评的机构和个人，为规范其具体的信息系统物理安全测评工作而制定。 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本适用于本标准。 GB/T 2887-2000 电子计算机场地通用规范 GB 50174-2008 电子信息系统机房设计规范 GB 9361-88 计算站场地安全要求 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求 GB/T 21431-2008 建筑物防雷装置检测技术规范 3.1 访问控制 Access Control 用特定信息对用户身份的真实性进行确认。用于鉴别的信息一般是非公开的、难以仿造的。常用的鉴别信息有：口令（俗称“密码”）信息、生物特征信息、智能IC 卡信息等。用户鉴别是有效实施其它安全策略的基础。 3.2 静电 Static electricity 静电一种处于静止状态的电荷 使用工具对特定指标或参数进行检测的过程。 一般要求 分级 本方法依据GB 9361-88《计算站场地安全要求》的机房安全分类划分三个级别，一级适用于标准C级计算机机房的安全要求，二级适用于标准B级计算机机房的安全要求，三级适用于标准A级计算机机房的安全要求。 第一级物理安全测评要求 物理位置的选择 测评项 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 测评方式 检查。 测评对象 机房，办公场地。 测评实施 检查机房、办公场地的建筑物防雷设计验收文档； 检查机房、办公场地的门窗是否漏风、漏水。 结果判定 有防雷设计验收文档且门窗无漏风、漏水现象，则该项为符合，否则，为不符合。 物理访问控制 测评项 机房出入口应安排专人值守，控制、鉴别和记录进入的人员； 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动