关于提高企业计算机机房数据安全性研究

【摘要】 随着信息化的不断深入发展，加之近年来“互联网+”的新起，掀起了一股“大数据”、“云”的浪潮，将信息化的发展推向了一个新的高度。笔者根据自身工作岗位，结合工作环境，就如何保障机房内信息设备处于良好工作环境，使信息系统稳定可靠地运行，降低不容忽视的信息安全问题进行了研究。

【关键词】 机房 物理安全 安全性措施

一、前言

企业常有“通讯”和“数据”两套重要设备机房，通讯机房主要是保障企业网络的正常运作，包含有交换机、UPS、下级交换机的光纤链路设备、外延供应商网络数据信号接入等设备；数据机房主要有服务器和存储设备，包含有企业消费系统、生产执行系统、视频监控系统、门禁系统、考勤系统、IPX语音通信系统、虚拟机等服务器，保障企业的业务流、生产流数据的正常运作与安全存储。笔者所在企业是化工企业，有不少涉及保密的技术及数据，而这些数据都是保存在机房内，因此，提高机房数据的安全性成为了一项重中之重的项目工作。

二、机房设计规划说明

1、物理位置的选择。计算机机房应远离强电磁场、强震源、强噪声源和强污染源，设在具有防震、防风和防雨等能力的建筑内，且避免在高层或地下室以及用水设备旁边。外窗应为双层密封窗，尽量避免东西向外窗。机房内楼板承重量应满足要求。故，中心机房最佳选址为整座办公大楼的中间楼层北门。

2、机房区域划分与物理访问控制。1）面积要足够，并考虑扩展的需求。为便于空调控制、灰尘控制、噪音控制和机房管理，专用空调机区域的空间划分不宜过多，与下送风空调区相对应的下一层顶板要进行隔热处理。机房内往往采用既轻又薄，还能隔音、隔热的隔断墙，区域间是物理隔离装置。分三个区域最佳：主机房、监控操作室和电源空调室。2）外门窗多采用防火防盗门窗，一般采用无框大玻璃门，既保证机房的安全，又保证机房内有通透、明亮的效果。主机房出入口设置门禁系统，配置双向刷卡通行，实现主机房授权人员进入有时间记录。开门方式采用IC卡，确保系统的安全性。

3、网络布线。企业主干线及各楼层、各部门（装置）楼层之间应采用多摸光纤，并留有适当冗余。光纤到机器端使用屏蔽双绞线，线路之间避免交叉缠绕，并与强电保持30CM以上距离，以减少相互干扰，新增网点到交换机的距离尽可能短，以减少信号衰减；平时做好光纤跳线备份，以备急用。

4、网络设备。做好机房安全设施的同时，中心交换机要采用集群技术，做好应急措施。（随着计算机硬件设备的可靠性和容错能力的提高，因为硬件故障导致系统瘫痪、数据丢失的概率也在下降，但并非为零。服务器硬件出现故障，网络交换设备遭雷击的情况也时有发生。）

5、服务器。采用双机热备份的方式实现系统集群，提高系统可用性。服务器以主从或互备方式工作，通过心跳线侦查另一台服务器的工作情况，一旦某台机器发生故障，另外一台立即自动接替工作，变成工作主机，平时某台机器需要重启时，管理员可以在节点间任意切换，整个过程只需要几秒钟，将系统中断的影响降到最低。此外，还可以采用第三台服务器做集群的备份服务器。在制度上，建立服务器管理制度及防护措施，如：安全审计、入侵检测（IDS）、放病毒、定期检查运行情况、定期重启等。

6、数据存储设备。采用本地磁盘冗余阵列（RAID 5 方式）、异地备份、磁带盒磁盘等多备份策略，一旦某一设备出现故障立即发出警告，并停止对其他设备的使用

7、边界安全。采用内外网物理断开的方式，彻底消灭外网黑客及病毒的入侵。内外网需要交换信息时，用U盘或移动硬盘作为中介，连接内外前先对移动存储设备进行病毒查杀。对于内网的新软件，先在单独组建的测试子网络内运行，时机成熟后再用于整个内网。

8、操作系统。操作系统的主要风险在于系统漏洞和文件病毒等。我们需要对账号、用户权限、网络访问及文件访问等实行控制和管理，定期做好监视、审计和时间日志记录和分析，一方面减少各类违规访问，另一方面通过系统日志记下来的警告和报错信息，很容易发现相关问题如系统瓶颈等的症结所在。通过修改注册表，屏蔽掉客户端操作系统上桌面无关内容，并限制访问相关资源。及时下载和打好系统补丁，尽可能关闭不需要的端口，以弥补系统漏洞带来的各类隐患，如各类蠕虫病毒的入侵。对各类工作站和服务器的CMOS设置密码，取消不必要的光驱，屏蔽USB接口，以防止外来光盘和U盘的使用可能带来的外来病毒。

9、数据库。数据库安全包括用户安全、数据保密和数据安全、事物管理和故障恢复、审计和追踪、入侵检测和防范等方面。为数据库选择合适的鉴别方式、口令交换周期和鉴别次数，加强角色、权限管理；归于关键数据，使用适当算法进行加密存储并分布于多台计算机。通过作业管理实现本地备份和异地备份、日备份和周备份、全量备份和增量备份，并转入磁带存储；对用户操作进行审计并记录日志。

10、数据存储安全。数据存储安全指在数据保存上确保完整、可靠和有效调用，一是存储设备自身的可靠性和可用性（设备安全），二是保存在存储设备上数据的逻辑安全（应用安全）。在设备安全方面，应采用RAID5磁盘冗余阵列存储，保证部分存储介质坏时数据不丢失。在应用安全方面，通过严格的备份策略和流程对数据历史进行周期性保存。备份作业时间一般选择在夜间或休息日，为确保备份的安全可靠，先备份出一份最新数据，确定备份成功后再删除上次备份数据，否则，不删除上次备份，从而将损失降到最低。平时，利用异地备份的数据在单机上进行灾难恢复模拟试验，增强对突发事件处置能力。

三、提高机房数据安全性措施

1、内部出入口处要设置应急照明及安全出口指示。

2、在两个防火分区之间的各线缆要做防火泥防火封堵，将线缆穿孔间隙用防火泥包起来，避免一个分区内的线缆着火时，火势延管线窜走到另一个分区。

3、设置环境监控系统，主要实现对主机房空调、新风、温湿度、防水、配电系统、UPS、图像、门禁等系统实现统一监控，并实现异常情况报警，为机房高效的管理和安全运营提供有力的保证。另外，要防止老鼠等小动物进入机房，对机房的门窗要安装防盗设施。温度：冬季为20+2℃，夏季为23+2℃，温度变化率≤5℃/h。湿度范围为35—80%，其中最佳湿度范围为45—60%。

4、设置独立的闭路监控系统监控主设备运行区及机房出入口；主机房内所有设备都必须与机柜固定；所有强弱电电缆都采用桥架地下敷设；对介质分类标识，存储在介质库或档案室中。

5、防雷工作主要是防感应雷引起的雷电浪涌和其他原因引起的过电压。计算机机房要求采用三级防雷设计，包括机房电源防雷系统，弱电信息防雷系统和等电位接地。

6、设置火灾自动消防系统，配置独立感应装置（感烟、感温）和独立的报警主机（按照分区选择），能够自动检测火情、自动报警，并自动灭火，灭火系统应采用惰性气体自动灭火系统，常用气体为七氟丙烷和SDE两种气体，并设置防误操作启停按钮和指示灯，系统可自动切断机房电源。

7、采取区域隔离防火措施，将重要设备与其他设备隔离开。机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。

8、计算机机房的建筑外墙要作防水处理，机房内顶面要作保温处理，防止产生冷凝水。精密空调下要设置防水堤，窗户要做好密封、防水。水管安装，不得穿过机房屋顶和活动地板下，加紧机房设置防漏水检測系统，重点监测空调下、排水管旁的防漏情况，设置自动报警系统，并入环境场地监控系统。（水患影响机房设备的正常运行甚至造成机房运行瘫痪。）

9、地板应采用具有可拆卸特点的防静电活动地板，为方便所有设备的导线电缆的连接、管道的连接及检修更换。

10、设置并建立备用供电系统。设置两路进线，并设置UPS系统。此外，机房内的电器应选择优质电缆、线槽和插座。插座应分为市电、UPS及主要设备专用的防水插座，并注明醒目、易区别的标识。机房供配电系统是机房安全运行动力保证，机房往往采用机房专用配电柜来规范机房供配电系统，保证机房供电系统的安全、合理。

11、采用接地方式.磁场对存储设备的影响较大，它可能使磁盘驱动器的动作失灵、引起内存信息丢失、数据处理和显示混乱，甚至会毁掉磁盘上存储的数据。另外，较强的磁场也会是使显示器被磁化，引起显示器颜色不正常。

参 考 文 献

[1]gb9361，计算机场地安全要求[s]；

[2] 黄虹 基于等级保护的网络物理安全建设 数字化企业网；

[3] 项益君 基于等级保护要求的机房安全 （《电脑知识与技术》2011年17期）；