原创 何威风
在《信息安全技术 网络安全等级保护基本要求》(以下简称“基本要求”)中,对安全物理环境之物理位置选择有两个测评项,其内容及描述如下:
物理位置选择 | a)机房场地应选择在具有防震、防风和防雨等能力的建筑内; |
b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 |
然而,这只是《基本要求》中的要求,如果只是知道这两项,是否可以真实理解要求项的内容呢?
我一再强调,等级保护工作是全生命周期的,选址是一件大事情,建设完成用这两条来框一下,看看是否满足这两条要求,然后打分是没问题的。
但是,如果作为一个机房建设者,也这么考虑问题,就太过儿戏了。
首先,机房位置的选择是机房安全最基本的要求。其要求是要按照一般建筑物的要求进行机房场地选择,要求防污染避尘埃、有毒气体、腐蚀性气体、盐雾腐蚀等环境污染的区域,避开地震、水灾危害的区域,避免在建筑物的高层以及用水设备的下层或隔壁等。
其次,考虑一般建筑物如何选址,这个自然不难。绝大部分建筑物,默认都取得了住建部门相关审批,也就是这些建筑物自然是按照国家建筑有关标准进行建设,但是也要考虑到一些建筑物可能存在某种特殊性,或者验收不合格的可能性。
在建设机房时,可以参考《电子信息系统机房设计规范》,通过4.1电子信息系统机房位置选择,我们看到有如下要求:
作为一个网络安全从业人员,要弄清楚《基本要求》有关机房物理位置选择这两项要求,并不只是仅仅这两句话字面意思这么多,而是根据实际生产经验,网络运营者(机房建设者)遵循国家建筑、电子机房等相关国家标准,最终形成机房的选址结果,而要想真的合规,则建设也必然要满足对应的国家标准。作为《基本要求》不可能在让测评师在测评过程中,把所有的国家标准走一步,一方面是各个行业主管部门各司其职,各负其责,不可越权,各管各的。所以,等级保护测评机构在测评时,只需要关注这两点即可。
那么是否作为测评师,只需要知道这两点即可,就能把工作做好?
其实不然,在我们测评报告中,有写整改建议这一项,不同的测评师给客户提供的整改建议,可能是千差万别的,原则上一个优秀的测评师可以给客户真正指明方向,首先要求他知道方向在哪!
而不是只会写:“建议机房场地选择在具有防震、防风和防雨等能力的建筑内;”
这种整改建议,就是对机房建设缺乏认知,对着测评项看机房,只能是外行看热闹罢了。我没有给出一个理想的整改建议,留给方家讨论,你感觉整改建议应该是什么样子的?
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安