机房安全管理规范

1、.：.；中国石油信息平安规范编号：中国石油天然气股份计算机机房平安管理规范审阅稿版本号：V3审阅人：王巍中国石油天然股份 计算机机房平安管理规范 PAGE 43前 言随着中国石油天然气股份以下简称“中国石油信息化建立的稳步推进，信息平安日益遭到中国石油的广泛关注，加强信息平安的管理和制度无疑成为信息化建立得以顺利实施的重要保证。中国石油需求建立一致的信息平安管理政策和规范，并在集团内一致推行、实施。本规范是根据中国石油信息平安的现状，参照国际、国内和行业相关技术规范及规范，结合中国石油本身的运用特点，制定的适宜于中国石油信息平安的规范与规范。目的在于经过在中国石油范围内建立信息平安相关规范与规

2、范，提高中国石油信息平安的技术和管理才干。信息技术平安总体框架如下：整体信息技术平安架构从逻辑上共分为7个部分，分别为：物理环境、硬件设备、网络、操作系统、数据和文档、运用系统和通用平安管理规范。图中带阴影的方框中带书名号的为单独成册的部分，共有13本和1本。对于13个中具有一定共性的内容我们整理出了6个横向贯穿整个架构，这6个的组合也根据了信息平安生命周期的实际模型。每个都会对一切的中相关涉及到的内容产生指点作用，但每个运用在不同的中又会有相应不同的详细的内容。我们在行文上将这6个规范组合成一本通用的平安管理规范单独成册。全文以信息平安生命周期的方法论作为根本指点，和的内容根本都根据预防维护

3、检测跟踪呼应恢复的实际根底行文。信息系统所在区域的物理环境平安以下简称“物理平安是维护区域内计算机相关设备以及其它媒体免遭地震、水灾、火灾等环境事故以及周围环境的要素影响。它是对系统所在环境的平安维护，同时，还需求防止对区域的未经授权的访问。整个“物理环境部分由和两个部分组成。本文为信息平安总体框架中以深色底色标注的部分：，主要对中国石油的计算机机房信息平安等级进展了划分，对各级计算机机房的设计建立、机房环境、机房边境、访问授权和自然灾祸预防等方面的平安需求做出了明确规定。为中国石油信息平安提供根底上的保证。本规范由中国石油天然气股份发布。本规范由中国石油天然气股份科技与信息管理部归口管了解释

4、。起草部门：中国石油制定信息平安政策与规范工程组。说 明在中国石油信息平安规范中涉及以下概念：组织机构中国石油PetroChina 指中国石油天然气股份有时也称“股份公司。集团公司CNPC 指中国石油天然气集团公司有时也称“存续公司。为区分中国石油的地域公司和集团公司下属单位，但提及“存续部分时指集团公司下属的单位。如：辽河油田分公司存续部分指集团公司下属的辽河石油管理局。计算机网络中国石油信息网PetroChinaNet 指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的根底上，进展扩展与提高所构成的衔接中国石油所属各个单位计算机局域网和园区网。集团公司网络CN

5、PCNet 指集团公司所属范围内的网络。中国石油的一些地域公司是和集团公司下属的单位共用一个计算机网络，当提及“存续公司网络时，指存续公司运用的网络部分。主干网 是从中国石油总部衔接到各个下属各地域公司的网络部分，包括中国石油总部局域网、各个二级局域网或园区网和衔接这些网络的专线远程信道。有些单位经过拨号线路衔接到中国石油总部，不是利用专线，这样的单位和所运用的远程信道不属于中国石油公用网主干网组成部分。地域网 地域公司网络和所属单位网络的总和。这些局域网或园区网相互衔接所运用的远程信道可以是专线，也可以是拨号线路。局域网与园区网 局域网通常指，在一座建筑中利用局域网技术和设备建立的高速网络。

6、园区网是在一个园区例如研讨院园区、管理局基地等内多座建筑内的多个局域网，利用高速信道相互衔接起来所构成的网络。园区网所利用的设备、运转的网络协议、网络传输速度根本一样于局域网。局域网和园区网通常都是用户本人建立的。局域网和园区网与广域网不同，广域网不仅覆盖范围广，所利用的设备、运转的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建立的。二级单位网络 指地域公司下属单位的网络的总和，能够是局域网，也能够是园区网。专线与拨号线路 从连通性划分的两大类网络远程信道。专线，指数字电路、帧中继、DDN和ATM等经常坚持连通形状的信道；拨号线路，指只在传送信息时才建立衔接的信道，如拨

7、号线路或ISDN拨号线路。这些远程信道能够用来衔接不同地域的局域网或园区网，也能够用于衔接单台计算机。石油专网与公网 石油专业电信网和公共电信网的简称。最后一公里问题 建立广域网时，用户局域网或园区网衔接附近电信部门信道的最后一段间隔 的衔接问题。这段间隔 通常小于一公里，但也有大于一公里的情况。为简便，同称为最后一公里问题。涉及计算机网络的术语和定义请参见。目 录 TOC o 1-3 h z u HYPERLINK l _Toc36358006 1概述 PAGEREF _Toc36358006 h 6 HYPERLINK l _Toc36358007 2目的 PAGEREF _Toc3635

8、8007 h 6 HYPERLINK l _Toc36358008 3规范的适用范围 PAGEREF _Toc36358008 h 6 HYPERLINK l _Toc36358009 4规范援用的文件或规范 PAGEREF _Toc36358009 h 7 HYPERLINK l _Toc36358010 5术语和定义 PAGEREF _Toc36358010 h 8 HYPERLINK l _Toc36358011 6实际根底 PAGEREF _Toc36358011 h 11 HYPERLINK l _Toc36358012 6.1平安生命周期实际 PAGEREF _Toc3635801

9、2 h 11 HYPERLINK l _Toc36358013 6.2机房平安分级规范 PAGEREF _Toc36358013 h 13 HYPERLINK l _Toc36358014 7机房物理环境平安 PAGEREF _Toc36358014 h 14 HYPERLINK l _Toc36358015 7.1机房场地的环境选择和设计 PAGEREF _Toc36358015 h 14 HYPERLINK l _Toc36358016 7.2机房环境控制 PAGEREF _Toc36358016 h 17 HYPERLINK l _Toc36358017 7.3机房建筑平安 PAGERE

10、F _Toc36358017 h 21 HYPERLINK l _Toc36358018 7.4机房电气技术平安 PAGEREF _Toc36358018 h 23 HYPERLINK l _Toc36358019 7.5给水排水 PAGEREF _Toc36358019 h 28 HYPERLINK l _Toc36358020 7.6消防与其他平安规范 PAGEREF _Toc36358020 h 29 HYPERLINK l _Toc36358021 7.7其它设备间 PAGEREF _Toc36358021 h 31 HYPERLINK l _Toc36358022 7.8自然灾祸防御

11、 PAGEREF _Toc36358022 h 31 HYPERLINK l _Toc36358023 8人员出入机房相关的管理规范 PAGEREF _Toc36358023 h 34 HYPERLINK l _Toc36358024 8.1人员身份识别 PAGEREF _Toc36358024 h 34 HYPERLINK l _Toc36358025 8.2机房出入授权管理规范 PAGEREF _Toc36358025 h 39 HYPERLINK l _Toc36358026 8.3机房的相关日志管理和权限的审计管理 PAGEREF _Toc36358026 h 42 HYPERLINK

12、 l _Toc36358027 附录 1参考文献 PAGEREF _Toc36358027 h 45 HYPERLINK l _Toc36358028 附录 2本规范用词阐明 PAGEREF _Toc36358028 h 46概述计算机机房作为计算机设备、网络根底设备的聚集地，是中国石油最重要的信息平安区域。计算机机房的平安是企业信息平安的根底。计算机机房平安就是为计算机系统提供稳定可靠的任务环境，维护机房内计算机和网络相关设备以及其它媒体免遭地震、水灾、火灾等环境事故以及周围不良环境的要素影响。它是对系统所在环境的平安维护，同时，还需求防止对机房的未经授权的访问和人为故意或无意破坏。目的本规

13、范的目的为：经过对机房这一特殊的平安区域进展维护，确保和机房相关的各类信息系统根底设备、设备、媒体介质免受非法的实物访问、自然灾祸和环境的危害。防止根底设备等资产的损坏、丧失、敏感信息的走漏以及商务活动的中断。适用范围该套规范适用的范围包括了机房这一个相对独特的平安区域。我们在这里所指的机房的范围包括了各种类型的(包括了广义上正规的和非正规的)计算机房和相应的配套设备间、任务间和辅助间。同时，我们将以下这些相对独特的平安区域也列入机房的概念范畴。网络及通讯设备间配线间小机柜规范援用的文件或规范以下文件中的条款经过本规范的援用而成为本规范的条款。凡是不注日期的援用文件，其最新版本适用于本规范。G

14、B50174-93 SJ/T30003-93 GB9361-88 GB2887-2000 GB6650-86 GB500052GB50057-94 GB50045-95 GBJ16-87 术语和定义计算机场地 计算机系统的安顿地点，计算机供电、空调以及该系统维修和任务人员的 任务场所。 计算机机房 是计算站场地最主要的房间，放置计算机系统主要设备的地点。机房 同计算机机房。 平安等级 为表示信息的不同敏感度, 按严密程度不同对信息进展层次划分的组合或集合。访问控制 根据客体所包含信息的敏感性以及主体访问此类敏感信息的权限,限制主体访问客体的方法。认证 验证用户、设备和其他实体的身份验证数据的完

15、好性。审计 对影响系统平安的各种活动进展记录并为系统平安员提供平安管理根据的程序。 授权 在确认了访问者身份之后，根据不同访问者权限的设定赋予其相应的权益和义务的过程。日志 一种信息的聚集, 记录有关对系统操作和系统运转的全部事项，提供了系统的历史情况。隔离 为防止其他用户或程序的非授权访问, 把操作系统、用户程序、数据文件加以彼此独立存储的行为。活动地板 是指计算机机房内安装的、可灵敏装、拆的地板。 温感探测器 指在物质熄灭时，使周围空气温度升高致使发生报警信号的安装。烟感探测器 指物质因熄灭或发热而分解生成的烟雾致使发出报警信号的安装。二次破坏 由于为了消灭火灾而采取的灭火方法不当，呵斥对

16、设备、信息等的再次破坏。接地 计算机系统的直流地、交流任务地、平安维护地和防雷维护地与大地之间的关系。电磁干扰 一些电器、电子设备任务时所产生的电磁波，容易对周围的其他电气、电子设备构成电磁干扰，引发缺点或者影响信号的传输。此外，过度的电磁干扰会构成电磁污染，危害人们的身体安康，破坏生态平衡。电磁走漏 是指电子设备的杂散寄生电磁能量经过导线或空间向外分散。任何处于任务形状的电磁信息设备，如：计算机、打印机、机、机等，都存在不同程度的电磁走漏。在线式UPS UPS的一种类型，其逆变器一直处于任务形状，它首先经过电路将外部交流电转变为直流电，再经过高质量的逆变器将直流电转换为高质量的正弦波交流电输

17、出给计算机。直流任务接地 计算机本身的逻辑参考地。交流任务接地 在电力系统中，运转需求的接地(如中性点接地)。平安维护接地 电力设备的金属外壳等，由于绝缘被损坏有能够带电，为了防止这种电压 危及人身和设备平安而设的接地。 接地电阻 接地体或自然接地估对地电阻和接地线电阻的总和。 不延续供电系统UPS 确保计算机不停顿任务的供电系统。净高 活动地板的板面或安装设备的地外表至顶棚的高度。身份识别 对IT相关硬件设备进展访问的访问者进展鉴别确认其身份，识别方法包括：PIN码、智能卡和生物特征识别。智能卡 是一种安装有集成电路芯片，用于存储和处置数据的塑料卡片。智能卡中存有用户数据信息和密钥，是目前最

18、有效的身份认证手段之一。生物体征识别 是指经过计算机利用人体所固有的生理特征或行为特征来进展个人身份识别和或验证目的。常用的生物特征包括：指纹、掌纹、虹膜、脸像等关键级机房 放置了整个公司企业级运用效力器或公司的中心主干网络设备的计算机机房。该机房一旦出现平安缺点会直接影响到公司总部和各专业公司的信息系统的正常运作，从而影响公司总部和各专业公司的业务运作，同时会对公司带来宏大的经济上或声誉上的损失。重要级机房 放置了地域公司部门级运用效力器或非中心主干网络设备的计算机机房。该区域一旦出现信息平安缺点会直接影响到一个或多个地域公司的信息系统的正常运作，从而间接的影响一个或多个地域公司的运作，同时

19、会对公司带来明显的经济上或声誉上的损失。普通级机房 放置了非重要业务部门或下属公司普通运用效力器或普通网络设备的计算机机房。该区域出现信息平安缺点仅影响到本业务单元的信息系统的正常运作，会对公司带来较小的业务影响和损失。其它设备间 仅放置了单机设备或机房配套或网络交换等普通设备的辅助间。假设该区域出现信息平安缺点仅影响本业务单元的一个环节正常运转，对公司业务带来较小的业务影响和损失。实际根底平安生命周期实际其中呼应恢复呼应恢复的控制手段属于业务衔接性管理范畴，因此该控制手段没有包含在信息平安技术架构中。本规范主要描画了对于各种不同类型的机房环境相关的平安思索，因此从平安生命周期实际的角度来讲主

20、要经过以下四个平安控制手段对平安生命周期中的各个阶段进展维护：对机房本身的维护确保各种机房环境本身的平安。主要从以下八个方面进展描画：机房场地的环境选择和设计机房环境控制规范参照GB2887-2000和国家机房规范机房建筑平安规范参照国家机房规范机房电气技术平安规定参照国家机房规范消防与平安相关规范 参照国家机房规范给水排水相关规范其它设备间平安规范自然灾祸防御对机房访问者的识别经过对各种机房进展访问的访问者进展识别，并且赋予这些访问者恰当的标志、标签、证书等。主要包括了：身份识别方式运用规范PIN码运用规范智能卡相关规范 (Smart Card)用户生物体征对机房访问者授权在确认了访问者身份

21、之后，根据不同访问者权限的设定赋予其相应的权益和义务的过程。同时确认权限的有效期，在权限过期之后及时地收回相应的权益和义务。主要包括了以下内容：外来访问者管理规范内部员工授权管理规范对访问过程的审计跟踪对于人员进出机房的情况进展日志管理，并定期的对日志和人员权限进展审计。主要包括了以下内容：外部访问人员进出登记簿管理电子门禁系统日志管理日志定期的审计和人员权限的定期审核访问者访问期间的管理方法机房平安分级规范机房平安等级区分表机房类型定义信息系统/业务影响范围公司经济上或声誉上的损失举例关键级机房放置了整个公司企业级运用效力器或公司的中心主干网络设备的计算机机房公司总部和各专业公司宏大中国石油

22、企业级总机房或数据中心重要级机房放置了地域公司部门级运用效力器或非中心主干网络设备的机房一个或多个地域公司明显中国石油地域公司机房或数据中心普通级机房放置了非重要业务部门或下属公司普通运用效力器或普通网络设备的计算机机房小业务单元或部门较小某个部门内部的小机房，该类机房通常不是非常正规，俗称“简易机房其它设备间仅放置了少量效力器设备或机房配套设备或小型网络设备等普通设备的辅助间，如小设备间、配线间和小机柜。某个业务单元的一个环节相对较小每个办公区域的配线间或大楼的楼层配线间，办公区域内放置了少量效力器的区域等。机房物理环境平安机房场地的环境选择和设计机房组成根据计算机系统的规模、用途、义务、性

23、质、计算机对供电、空调等要求的不同以及管理体制的差别可选用以下房间 (允许一室多用或酌情添加)。 注：不包括行政办公等用房。 计算机主机房，是效力器，主控操作，网管等运转的区域。 根本任务房间有：数据录入室、终端室、网络设备室、已记录的媒体存放室、上机预备间。第一类辅助房间有：备件间、未记录的媒体存放间、资料室、仪器室、硬件人员办公室、软件人员办公室。 第二类辅助房间有：维修室、电源室、蓄电池室、发电机室、空调系统用房、灭火钢瓶间、监控室、值班室。 第三类辅助房间有：贮藏室、更衣换鞋室、缓冲间、机房人员休憩室、盥洗室等。本节内容参照 HYPERLINK 国家物理规范计算站场地技术条件gb288

24、7-1989 field.doc 国标GB2887-2000计算机房面积计算机机房的运用面积应按照下述两种方法之一确定。 第一种方法为： S57Sb (1) 式中：S计算机机房的面积，平方米； Sb指与计算机系统有关的并在机房平面布置图中占有位置的设备的 面积，平方米； Sb指计算机机房内一切设备占地面积的总和，平方米。 第二种方法为： SKA (2) 式中：S计算机机房的面积，平方米； A计算机机房内一切设备台(架)的总数； K系数，取值(4.55.5)平方米/台(架)。 计算机机房最小运用面积不得小于30平方米。 其它各类房间的运用面积，根据人员、设备及需求而定。 本节内容参照 HYPER

25、LINK 国家物理规范计算站场地技术条件gb2887-1989 field.doc 国标GB2887-2000机房建立环境平安性思索计算机机房在多层建筑或高层建筑物内宜设于第二、三层。应防止设在建筑物的高层或地下室，以及用水设备的下层。计算机机房应尽量建在电力、水源充足、自然环境清洁、通讯、交通运输方便的地方。该当远离产生粉尘、油烟、有害气体以及消费该当远离有害气体源以及存放腐蚀、易燃、易爆炸物的地方。应尽量防止建在低洼、潮湿、落雷区和地震活动频繁的地方。应尽量远离强振动源和强噪声源。 应尽量避开强电磁场的干扰。当无法避开强电磁场干扰或为保证计算机系统信息平安，可采取有效的电磁屏蔽措施。上述各

26、条如无法防止，应采取相应的技术措施。本节内容参照国家机房规范设备布置计算机设备宜采用分区布置，普通可分为主机区、存贮器区、数据输入区、数据输出区、通讯区和监控制调度区等。详细划分可根据系统配置及管理而定。需求经常监视或操作的设备布置应便利操作。产生尘埃及废物的设备应远离对尘埃敏感的设备，并宜集中布置在接近机房的回风口处。主机房内通道与设备间的间隔 应符合以下规定：两相对机柜正面之间的间隔 不应小于1.5m；机柜侧面或不用面距墙不应小于0.5m，当需求维修测试时，那么距墙不应小于1.2m；走道净宽不应小于1.2m。本节内容参照国家机房规范机房环境控制本节内容参照 HYPERLINK 国家物理规范

27、计算站场地技术条件gb2887-1989 field.doc 国标GB2887-2000温度、湿度机房的温度、湿度必需满足计算机设备、计算机网络设备、计算机辅助设备、信息存储媒介的要求。机房内的温、湿度应满足以下要求：(参照GB2887-2000)表1 开机时机房的温、湿度级别工程关键级机房 夏季 冬季重要级机房普通级机房温度()2322021530按设备规定的温度条件相对湿度(%)45654070按设备规定的湿度条件温度变化率(/h) 5不得凝露10不得凝露按设备规定的温度变化率表2 停机时机房的温、湿度级别工程关键级机房重要级机房普通级机房温度()535535按设备规定的温度条件相对湿度(

28、%)40702080按设备规定的湿度条件温度变化率(/h) 5不得凝露10不得凝露按设备规定的温度变化率信息媒体介质库的温、湿度应符合以下要求：1常用媒体介质库的温、湿度应与所处的平安区域一样；2其它媒体介质库的要求应按表3采用。表3 媒体介质库的温、湿度种类纸媒体光盘磁带已纪录的 未纪录的磁盘已纪录的 未纪录的温度550-205032550450相对湿度40%-70%10%-95%20%-80%8%-80%磁场强度3,200A/m4,000A/m防烟防尘关键级和重要级机房的空气含尘浓度，在表态条件下测试，每升空气中大于或等于0.5m的尘粒数，应少于18,000粒。本节内容参照 HYPERLI

29、NK 国家物理规范计算站场地技术条件gb2887-1989 field.doc 国标GB2887-2000防噪声、电磁干扰及电磁走漏本节内容参照国家机房规范防噪音对不可防止的强噪音源应采取必要消音措施和隔离措施；关键级和重要级机房内的噪声，在计算机系统停机条件下，在主操作员位置丈量应小于68dBA。防电磁干扰关键级和重要级机房内无线电干扰场强，在频率为0.151,000MHz时，不应大于126dB。关键级和重要级机房内磁场干扰环境场强不应大于800A/m。防电磁走漏机房应采用适当的防护措施防止重要信息经过电磁辐射泄露。但由于造价比较昂贵，对于机房的电磁走漏的防护不做强迫性要求，有条件的用户可以

30、根据本身实践情况参照执行。通常可参考采用以下三个主要防备措施： 对主机房及重要信息存储、收发部门进展屏蔽处置，即建立一个具有高效屏蔽效能的屏蔽室，用它来安顿主要运转设备，以防止高辐射设备的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联络、衔接中均要采取相应的隔离措施和设计，如信号线、线、空调、消防控制线，以及通风波导门的关起等。 对本地网、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可防止性，现均采用了光缆传输的方式，大多数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进展传输。 对终端设备辐射的防备。终端机尤其是CRT显示器，由于上万伏高压电子流的作用，辐射有极强

31、的信号外泄，但又因终端分散运用不宜集中采用屏蔽室的方法来防止，故如今的要求除在订购设备上尽量选取低辐射产品外，目前也可以采取自动式的干扰设备如干扰机来破坏对应信息的窃取。机房建筑平安本节内容参照国家机房规范建筑平安普通规定 计算机机房的建筑平面和空间规划应具有适当的灵敏性，主机房的主体构造宜采用大开间大跨度的柱网，内隔墙宜具有一定的可变性。 主机房净高，应按机柜高度和通风要求确定。宜为2.43.0m。 计算机机房的楼板荷载可按5.07.5kN m2设计。 计算机机房主体构造应具有耐久、抗震、防火、防止不均匀沉陷等性能。变形缝和伸缩缝不应穿过主机房。 主机房中各类管线宜暗敷，当管线需穿楼层时，宜

32、设计技术竖井。 室内顶棚上安装的灯具、风口、火灾探测器及喷嘴等应协调布置, 并应满足各专业的技术要求。计算机机房围护构造的构造和资料应满足保温、隔热、防火等要求。 计算机机房各门的尺寸均应保证设备运输方面。 机房出入口平安规定计算机机房宜设单独出入口，当与其它部门共用出入口时，应防止人流、物流的交叉。 计算机机房建筑的入口至主机房应设通道，通道净宽不应小于1.5m。 计算机机房宜设门厅、休憩室和值班室。人员出入主机房和根本任务间应更衣换鞋。 主机房和根本任务间的更衣换鞋间运用面积应按最大班人数的每人13m2计算。 当无条件单独设更衣换鞋间时，可将换鞋、更衣柜设于机房入口处。 计算机机房的耐火等

33、级应符合现行国家规范、及的规定。 当计算机机房与其它建筑物合建时，应单独设防火分区。 计算机机房的平安出口，不应少于两个，并宜设于机房的两端。门应向疏散方向开启，走廊、楼梯间应畅通并有明显的疏散指示标志。 主机房、根本任务间及第一类辅助房间的装饰资料应选用非熄灭资料或难熄灭资料。 振动控制 当第二类辅助房间内有剧烈振动的设备时，设备及其通往主机房的管道，应采取隔振措施。 机房电气技术平安本节内容参照国家机房规范供电和电缆计算机机房用电负荷等级及供电要求安现行国家规范的规定执行。计算机场地的供电电源应满足以下要求：工程要求频率50Hz电压380V/220V相数三相五线或三相四线制/单相三线制供电

34、电源根据计算机的性能、用途和运转方式能否联网等情况，可参考下表：参照GB2877-2000级别工程关键级机房重要级机房普通级机房稳态电压偏移范围，%-5+5-10+10-15+10稳态频率偏移范围，Hz-0.2+0.2-0.5+0.5-1+1电压波形畸变率，%5710允许断电继续时间，ms04420002001500计算机机房供配电系统应思索计算机系统有扩展、晋级等能够性，并应预留备用容量。主机房内宜设置公用动力配电箱，机房内其它电力负荷不得由计算机主机电源和不延续电源系统供电。重要级及以上级别机房应采用交流不延续电源系统供电。当采用表态交流不延续电源设备时，应按现行国家规范和现行有关行业规范

35、规定的要求，采取限制谐波分量措施。机房低压配电系统应采用频率50Hz、电压220/380VTN-S或TN-C-S系统。电源系统应按设备的要求确定。机房电源进线应按现行国家规范采取防雷措施。计算机机房电源应采用地下电缆进线。当不得不采用架空进线时，在低压架空电源进线处或公用电力变压器低压配电母线处，应装设低压避雷器。主机房内应分别设置维修和测试用电源插座，两者应有明显区别标志。测试用电源插座应由计算机主机电源系统供电。其它房间内应适当设置维修用电源插座。主机房内活动地板下部的低压配电线路宜采用铜芯屏蔽导线或铜芯屏蔽电缆。活动地板下部的电源线应尽能够远离计算机信号线,并防止并排敷设.当不能防止时，

36、应采取相应的屏蔽措施。电缆必需铺设在线槽内或地板下。 不延续供电系统(UPS)关键级机房应运用在线式UPS；假设供电系统无双路供电且无备用发电机时，不延续供电系统(UPS)应可以根据设计的供电时间要求继续供电。 UPS设备和相应的电池组应定期检查和维护(包括充电和放电)，以确保UPS有充足供电才干保证在断电的情况下设备在按照设计规范正常运作，同时按制造商的建议进展测试。适度控制好UPS电源的衔接负载，保证UPS的负载量不超越其额定功率的85%；后备式UPS不适宜用在对电源敏感的设备上；维护效力器的UPS电源最好具有智能管理功能；UPS功率应该与维护对象的功率相匹配；制止把电感性负载衔接到UPS

37、电源上；不得频繁开关UPS电源。照明计算机机房照明的照度规范应符合以下规定： 一、主机房的平均照度可按200、300、500lx取值； 二、根本任务间、第一类辅助房间的平均照度可按100、150、200lx取值。 三、第二、三类辅助房间应按现行照明设计规范的规定取值。 计算机机房照度规范的取值应符合以下规定： 一、间歇运转的机房取低值； 二、继续运转的机房取中值； 三、延续运转的机房取高值； 四、无窗建筑的机房取中值或高值。 主机房、根本任务间宜采用以下措施限制任务面上的反射眩光和作业面上的光幕反射。 一、使视觉作业不处在照明光源与眼睛构成的镜面反射角上； 二、采用发光外表积大、亮度低、光分散

38、性能好的灯具； 三、视觉作业处家具和任务房间内应采用无光泽外表。 任务区内普通照明的均匀度最低照度与平均照度之比不宜小于0.7。非任务区的照度不宜低于任务区平均照度的1/5。 计算机机房内应设置备用照明，其照度宜为普通照明的1/10。备用照明宜为普通照明的一部分。 计算机机房应设置疏散照明和平安出口标志灯，其照度不应低于0.51X。 计算机机房照明线路宜穿钢管暗敷或在吊顶内穿钢管明敷。 大面积照明场所的灯具宜分区、分段设置开关。 技术夹层内应设照明，采用单独支路或公用配电箱盘供电。 防静电机房内地面及任务台面的静电走漏电阻，应符合现行国家规范的规定。参见 HYPERLINK 国家物理规范电子计

39、算机机房设计规范GB50174-1993.doc GB50174-93电子计算机机房设计规范 6.3机房内不用活动地板时，可铺设导静电地面，导静电地面可采用导电胶与建筑地面粘牢，导静电地面的体积电阻率均应为1.0107 1.01010cm，其导电性能应长期稳定，且不易发尘。关键级机房内采用的活动地板可由钢、铝或其它阻燃性资料制成。活动地板外表应是导静电的，严禁暴露金属部分。单元活动地板的系统电阻应符合现行国家规范的规定。关键级机房内的任务台面及坐椅垫套资料应是导静电的，其体积电阻率应为1.0107 1.01010cm。房内的导体必需与大地作可靠的联接，不得有对地绝缘的孤立导体。电地面、活动地板

40、、任务台面和坐椅垫套必需进展静电接地。接地的衔接线应有足够的机械强度和化学稳定性.导静电地面和台面采用导电胶与接地导体粘接时,其接触面积不宜小于10cm2。 主机房内绝缘体的静电电位不应大于1kV。机房接地机房接地安装的设置应满足人身的平安及计算机正常运转和系统设备的平安要求，机房应采用以下四种接地方式：交流任务接地，接地电阻不应大于4；平安任务接地，接地电阻不应大于4；直流任务接地，接地电阻应按计算机系统详细要求确定；防雷接地，应按现行国家规范执行。交流任务接地、平安维护接地、直流任务接地、防防雷接地等四种接地宜共用一组接地安装，其接地电阻按其中最小值确定；假设防雷接地单独设置接地安装时，其

41、他三种接地宜共用一组接地安装，其接地电阻不应大于其中最小值，并应按现行国规范要求采取防止还击措施。对直流任务接地有特殊要求需单独设置接地安装的电子计算机系统，其接地电阻值及与其它接地安装的接地体之间的间隔 ，应按计算机系统及有关规定的要求确定。计算机系统的接地应采取单点接地并宜采取等电位措施。当多个电子计算机系统共用一组接地安装时，宜将各电子计算机系统分别采用接地线与接地体衔接。静电接地可以经限流电阻及本人的衔接线与接地安装相连，限流电阻的阻值宜为1M。给水排水 普通规定 关键级主机房不应安装暖气设备。位于用水设备下层的计算机机房，应在吊顶上设防水层，并设漏水检查安装。与主机房无关的给排水管道

42、不得穿过主机房。 主机房内的设备需求用水时，其给排水干管应暗敷，引入支管宜暗装。管道穿过主机房墙壁和楼板处，应设置套管，管道与套管之间应采取可靠的密封措施。 主机房内如设有地漏，地漏下应加设水封安装，并有防止水封破坏的措施。 计算机机房内的给排水管道应采用难熄灭资料保温。 系统和管材 计算机机房应根据设备、空调、生活、消防等对水质、水温、水压和水量的不同要求分别设置循环和直流给水系统。 循环冷却水系统应按有关规范进展水质稳定计算，并采取有效的防蚀、防腐、防垢及杀菌措施。 计算机机房内的给排水管道必需有可靠的防渗漏措施，暗敷的给水管道宜用无缝钢管，管道衔接宜用焊接。 循环冷却水管可采用工程塑料管

43、或镀锌钢管。 消防与其他平安规范 本节内容参照国家机房规范消防平安普通规定 计算机主机房、根本任务间应设二氧化碳或卤代烷灭火系统，并应按现行有关规范的要求执行。 计算机机房应设火灾自动报警系统，并应符合现行国家规范的规定。 报警系统和自动灭火系统应与空调、通风系统联锁。空调系统所采用的电加热器，应设置无风断电维护。 计算机机房的平安设计，除执行本章的规定外，尚应符合现行国家规范的规定。 计算机用于非常重要的场所或发生灾祸后呵斥非常严重损失的电子计算机机房，在工程设计中必需采取相应的技术措施。 消防设备 机房的防火建筑构造、耐火等级、灭火系统应遵照国标GBJ16-87、GB50045-97。室内

44、装修应遵照国标GB50222_95，宜采用非熄灭资料或难熄灭资料。在机房内、根本任务房间内、活动 地板下、吊顶里、主要空调管道中及易燃物附近部位应设置烟、温感探测器。必需配备火灾报警及消防设备。且灭火器该当尽量放置在走道等明显的位置。应设置火灾报警安装遵照国标 HYPERLINK 国家物理规范国家防火规范规范火灾自动报警系统设计规范GBJ116_88.doc 。必需设置烟、温感探测器。 在条件答应的情况下，应设置卤代烷1211、1301自动消防系统，并备有卤代烷1211、1301灭火器。 凡设有卤代烷灭火安装的电子计算机机房，应配置公用的空气呼吸器或氧气呼吸器。除纸介质等易燃物质外，制止运用水

45、、干粉或泡沫等易产生二次破坏的灭火剂。计算机机房内存放废弃物应采用有防火盖的金属容器。 计算机机房内存放记录介质应采用金属柜或其它能防火的容器。主机房出口应设置向疏散方向开启且能自动封锁的门。并应保证在任何情况下都能从机房内翻开。其他平安规范机房及其周围地域严禁放置易燃易爆物品。在关键级机房的出入口、通道和重要设备处应设置闭路监视系统CATV。机房内及其周围地域严禁放置有害的、腐蚀性化学物质物品。机房内腐蚀性气体二氧化硫 = 0.15mg/l，硫化氢 = 0.01mg/l。在易受鼠害的场所应采取堵塞等防备措施，同时设置捕鼠设备，电缆和电线上应涂敷驱鼠药剂。 其它设备间其它设备间应遵照相关设备对

46、环境要求；应坚持设备间清洁、枯燥、通风、防止强光直射；坚持适宜的温度和湿度；采用稳定可靠的供电源，必要的情况下也可以采用UPS等备用供电维护；应设有根本消防安装和放火措施。对于特别重要的设备间可以采用摄像头进展监控。严禁防止易燃易爆物品和有害的化学物质。自然灾祸防御自然灾祸往往难以预料，防御自然灾祸最有效的手段是在灾祸到来前尽早做好预备，在灾难发生时将损失减小到最低。在灾祸多发区应建立相应灾祸预警机制和灾难恢复机制。雷击防备机房可遵照国标GB50057 HYPERLINK 国家物理规范国家防火规范规范建筑物防雷设计规范GB50057_94.doc 中第三类防雷建筑物要求采取相应的防雷措施。这里

47、列举普通规定：各类防雷建筑物应采取防直击雷和防雷电波侵入的措施。装有防雷安装的建筑物， 在防雷安装与其它设备和建筑物内人员无法隔离的情况下，应采取等电位衔接。防雷建筑物防直击雷的措施，宜采用装设在建筑物上的避雷网带或避雷针或由这两种混合组成的接闪器。避雷网带应按相关规定沿屋角屋脊、屋檐和檐角等易受雷击的部位敷设。并应在整个屋面组成不大于20m20m或24m16m的网格。每根引下线的冲击接地电阻不宜大于30，其接地安装宜与电气设备等接地安装共用。防雷的接地安装宜与埋地金属管道相连。当不共用、不相连时，两者间在地中的间隔 不应小于2m。建筑物宜利用钢筋混凝士屋面板、粱、 柱和根底的钢筋作为接闪器、

48、引下线和接地安装。当土壤电阻率小于或等于3000m时，在防雷的接地安装同其它接地安装和进出建筑物的管道相连的情况下，防雷的接地安装可不计及接地电阻值。砖烟囱、钢筋混凝土烟囱， 宜在烟囱上装设避雷针或避雷环维护。多支避雷针应衔接在闭合环上。引下线不应少于两根，但周长不超越25m且高度不超越40m 的建筑物可只设一根引下线。引下线应沿建筑物周围均匀或对称布置，其间距不应大于25m。当仅利用建筑物周围的钢柱或柱子钢筋作为引下线时， 可按跨度设引下线，但引下线的平均间距不应大于25m。防止雷电流流经引下线和接地安装时产生的高电位对附近金属物或线路的还击。在雷电频繁区域，应装设浪涌电压吸收安装。该当安装

49、防雷保安器以防止感应雷对计算机系统的破坏。详细防雷保安器的相关规范可以参见国家规范GA173-1998。地震防备地震多发地域，机房应根据国家有关规范采取相应的维护措施。水灾防备在水灾易发生的地域，机房的位置不能在地表程度面或地表以下的位置。建议将机房设置在二楼或更高的位置。台风防备在台风易发生的地域，建议建筑物遵照防备台风的相关规定。人员出入机房相关的管理规范人员身份识别机房采用的人员身份识别方法应遵照下表要求平安级别身份识别方法关键级机房重要级机房普通级机房其他设备间PIN码(用户所知)+智能卡(用户所持)+-生物鉴别(用户生物体征)-表中符号阐明：-：不要求； ：要求；：可选一切的存放重要

50、信息资产的机房环境都至少需求运用门锁进展根底的维护。对于关键级机房该当采用两种身份识别方式组合，比如采用PIN码结合智能卡的方式或PIN码结合生物鉴别的方式等。重要级机房选择一种适宜的身份识别方式即可。可以采用PIN码身份识别或采用智能卡身份识别。生物鉴别技术由于建立本钱较高因此通常不建议采用。普通级机房可以选择一种适宜的身份识别方式如PIN码或智能卡，或采用普通的门锁进展维护。其他类型的机房没有强迫的规定，但都必需安装如门锁等必需的防护措施。举例：机房门禁系统在数据中心主楼的入口处可以设置智能卡身份识别的方式，凡是有可以进入机房的IC卡的人员可以经过。在进入数据中心后又会有许多的不同的机房需

51、求不同的门禁系统支持，如信息相对不非常敏感的机房区域门禁系统可以采用人员输入PIN码的方式进入，而信息非常敏感的机房区域的门禁系统可以采用或的技术。PIN码运用每隔90天修正口令。明确每个用户运用PIN码的责任。用户需求保守PIN码的性，不要将密码通知任何不相关的人。用户需求防止保管PIN码的字面纪录或电子纪录。用户需求防止将PIN码经过Email、等任何电子的或纸质的方式传播出去。PIN码的最短长度不得低于6位。防止运用与个人有关数据如生日、身份证字号、单位简称、号码、同事名字等当做PIN码。防止在不同的运用情况下运用同样的PIN码。任何时候有迹象阐明PIN码能够曾经走漏或受损害时要立刻改换

52、。智能卡相关规范 (Smart Card)智能卡是一种安装有集成电路芯片，用于存储和处置数据的塑料卡片。智能卡中存有用户数据信息和密钥，是目前最有效的身份认证手段之一。智能卡具有平安性高、防伪性好、可靠性高、信息存储量大及运用简便的特点。目前对于智能卡的物理特性和技术特性和通讯协议有严厉的相关规范，但用作身份认证时没有详细的运用管理规范。以以下举了一些国际上关于智能卡的物理特性、技术特性和通讯协议相关的规范，仅供参考：ISO7816采用最广泛的智能卡规范。我国已采用其第一、二、三部分为中国规范 。此规范主要定义了塑料基片的物理和尺寸特性(7816/1)，触点的尺寸和位置(7816/2)，信息交

53、换的底层协议描画(7816/3)。7816/4论述了跨行业的命令集。EMV世界主要信誉卡结合体Visa，Mastercard和Europay于1996年修订终了。定义了CPU卡的协议、数据和指令。提供了除卡内部维护机制之外的附加平安措施。SET用于电子商务的规范，是“平安电子买卖(SecureElectronicTransaction)的缩写。此规范由Visa和Mastercard共同制定。目前运用极为广泛，系统向用户要求卡号和失效日期，然后信息被加密和核实。系统只检查卡的有效性，而不判别运用者的合法性。用户生物体征 用户生物体征识别(BIOMETRICS)是指经过计算机利用人体所固有的生理特

54、征或行为特征来进展个人身份识别和或验证目的。常用的生物特征包括：指纹、掌纹、虹膜、脸像等。生物特征识别是目前正在开展的一门新兴技术，还没有成熟规范可参考。指纹识别计算机系统经过个体指纹生理特征的提取、比对、验证，从而到达身份识别目的。目前，指纹鉴定曾经被各方所广泛接受成为一种有效的身份识别手段。指纹识别技术在一切生物特征识别技术中性能价钱比最好。指纹门禁系统、指纹考勤系统是基于指纹的身份鉴别技术最直接的运用成果，随着网络化的更加普及，指纹识别的运用将更加广泛。虹膜识别一种新兴的生物特征识别技术，经过对个体虹膜图象提取、图像处置、虹膜特征提取、匹配与识别等手段到达身份识别目的。它具有独一性、稳定

55、性、可采集性、非进犯性等优点。虹膜具有更高的准确性。目前，虹膜识别的错误率是各种生物特征识别中最低的。机房出入授权管理规范外来访问者管理对外来访问者的管理各个业务单元可以根据详细的情况对细节进展一些修正定制，但必需遵照以下五个必要的步骤：约定恳求确认访问者身份纪录访问相关信息授予相应访问权限纪录分开相关信息并收回相应的访问权限举例关键级机房访问管理方法对外来访问者应提早3天约定恳求并得到相关主管审批；对于访问人员来说整个机房区域必需只需一个出入口可以进出，且在出入口处需求有专门人员值勤；来访时需求受访者亲身当面确认其身份；对被核准的外来访问者发放暂时访问卡；记录访问者的访问时间、访问地点和事由；如需访问一些机房内的设备还需求相关主管部门进一步书面确认。获得暂时访问卡的外来访问人员在规定时间、规定地点，在被授权的区域内访问，且受访者在访问期间必需时辰陪同访问者直到访问终了；访问终了后应及时访问者需归还回暂时访问卡，并登记分开时间；举例重要级机房访问管理方法：对于访问人员来说整个机房区域必需只需一个出入口可以进出，且在出入口处需求有专门人员值勤；来访时需求受访者确认其身份；对被核准的外来访问者发放暂时访问卡；记录访问者的访问时间、访问地点和事由；如需访问一些机房内的设备还需求相关主管部门进一步书面确认；获得