等保測評高風險判定——第一章 物理環境篇
安全物理環境
二級及以上系統高風險判定
1.1機房出入口訪問控制措施缺失
要求項:機房出入口應配置電子門禁系統,控制、鑑別和記錄進入的人員。
解讀:機房出入口 無任何 訪問控制措施;
舉例:
1.例如未安裝電子或機械門鎖(包括機房大門處於未上鎖狀態);
2.機房出入口無專人值守等。
補償措施:機房所在位置處於受控區域,非授權人員無法隨意進出機房,可根據實際措施效果,酌情判定風險等級。
1.2機房防火措施缺失
要求項:機房應設置火災自動消防系統,能夠自動檢測火情、自動報警,並自動滅火。
解讀:
1.機房無任何有效消防措施;
2.機房所採取的滅火系統或設備不符合國家的相關規定。
任意一條滿足即可判定高風險。
舉例:
1.例如無感應、檢測火情等報警設施,滅火器等滅火設施;
2.消防設備未進行年檢、已失效無法正常使用等情況;
補償措施:
1.機房安排專人值守或設置了專人值守的視頻監控系統,並且機房附近有符合國家消防標準的滅火設備,一旦發生火災,能及時進行滅火。
1.3機房短期備用電力供應措施缺失
要求項:應提供短期的備用電力供應,至少滿足設備在斷電情況下的正常運行要求。
解讀:
1.機房無短期備用電力供應設備;
2.機房現有備用電力供應無法滿足定級對象短期正常運行。
任意一條滿足即可判定高風險。
舉例:
1.短期備用電力供應設備:UPS、柴油發電機、應急供電車等
補償措施:
機房配備多路供電,可從供電方同時斷電發生概率等角度進行調整風險。
1.4 雲計算基礎設施物理位置不當
要求項:應保證雲計算基礎設施位於中國境內。
解讀:
1.雲計算基礎設施運行業務和承載數據的軟硬件等不在中國境內。
舉例:
1.雲計算基礎設施:雲計算服務器.存儲設備、網絡設備、雲管理平臺、信息系統等。
補償措施:
無。
三級及以上系統高風險判定
2.1機房防盜措施缺失
要求項:應設置機房防盜報警系統或設置有專人值守的視頻監控系統。
解讀:
1.機房或機房所在區域無防盜報警系統,無法對盜竊事件進行告警、追溯;
2.未設置有專人值守的視頻監控系統。
所有條件滿足纔可判定高風險。
補償措施:
1.機房出人口或機房所在區域有其他控制措施(如機房出入口設有專人值守,機房所在位置處於受控區域等)非授權人員無法進入該區域。
四級及以上系統高風險判定
3.1機房應急供電措施缺失
要求項:應提供應急供電設施。
解讀:
1.機房未配備應急供電設施;
2.應急供電措施不可用或無法滿足定級對象正常運行需求。
任意一條滿足即可判定高風險。
舉例:
1.應急供電設施:柴油發電機、應急供電車等。
補償措施:
1.多路供電,設置雙路市電。
2.採用多數據中心方式部署,且通過技術手段實現應用級災備。
FROM:MZR