《信息系統(tǒng)物理安全技術(shù)要求》GB21052-2007

?信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求

引言

信息系統(tǒng)的物理安全涉及到整個系統(tǒng)的配套部件、設(shè)備和設(shè)施的安全性能、所處的環(huán)境安全以及整個系統(tǒng)可靠運行等方面，是信息系統(tǒng)安全運行的基本保障。本標準提出的技術(shù)要求包括三方面：

1）信息系統(tǒng)的配套部件、設(shè)備安全技術(shù)要求；

2）信息系統(tǒng)所處物理環(huán)境的安全技術(shù)要求；

3）保障信息系統(tǒng)可靠運行的物理安全技術(shù)要求。設(shè)備物理安全、環(huán)境物理安全及系統(tǒng)物理安全的安全等級技術(shù)要求，確定了為保護信息系統(tǒng)安全運行所必須滿足的基本的物理技術(shù)要求。

本標準以GB17859-1999對于五個安全等級的劃分為基礎(chǔ)，依據(jù)GB/T20271-2006五個安全等級中對于物理安全技術(shù)的不同要求，結(jié)合當前我國計算機、網(wǎng)絡和信息安全技術(shù)發(fā)展的具體情況，根據(jù)適度保護的原則，將物理安全技術(shù)等級分為五個不同級別，并對信息系統(tǒng)安全提出了物理安全技術(shù)方面的要求。不同安全等級的物理安全平臺為相對應安全等級的信息系統(tǒng)提供應有的物理安全保護能力。第一級物理安全平臺為第一級用戶自主保護級提供基本的物理安全保護，第二級物理安全平臺為第二級系統(tǒng)審計保護級提供適當?shù)奈锢戆踩Ｗo，第三級物理安全平臺為第三級安全標記保護級提供較高程度的物理安全保護，第四級物理安全平臺為第四級結(jié)構(gòu)化保護級提供更高程度的物理安全保護，第五級物理安全平臺為第五級訪問驗證保護級提供最高程度的物理安全保護。隨著物理安全等級的依次提高，信息系統(tǒng)物理安全的可信度也隨之增加，信息系統(tǒng)所面對的物理安全風險也逐漸減少。

本標準按照GB17859-1999的五個安全等級的劃分，對每一級物理安全技術(shù)要求做詳細的描述。因第五級物理安全技術(shù)要求涉及最高程度物理安全技術(shù)，本標準略去相關(guān)內(nèi)容。附錄A對物理安全相關(guān)概念進行了描述，并對物理安全技術(shù)等級劃分進行了說明。為清晰表示每一個安全等級比較低一級安全等級的物理安全技術(shù)要求的增加和增強，每一級的新增部分用“宋體加粗字”表示。

信息安全技術(shù)

信息系統(tǒng)物理安全技術(shù)要求

1范圍

本標準規(guī)定了信息系統(tǒng)物理安全的分等級技術(shù)要求。

本標準適用于按GB17859-1999的安全保護等級要求所進行的等級化的信息系統(tǒng)物理安全的設(shè)計和實現(xiàn)，對按GB17859-1999的安全保護等級的要求對信息系統(tǒng)物理安全進行的測試、管理可參照使用。

2規(guī)范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。

GB/T2887-2000電子計算機場地通用規(guī)范

GB/T4365－1995電磁兼容術(shù)語（idtIEC50(161):1990）

GB4943－2001信息技術(shù)設(shè)備的安全（idtIEC60950:1999）

GB8702－1988電磁輻射防護規(guī)定

GB9175－1988環(huán)境電磁衛(wèi)生標準

GB9254－1998信息技術(shù)設(shè)備的無線電騷擾限值和測量方法（idtCISPR22:1997）

GB/T9361－1988計算機場地安全要求

GB/T9813－2000微型計算機通用規(guī)范

GB/T17626.2－1998電磁兼容試驗和測量技術(shù)靜電放電抗擾度試驗（idtIEC61000-4-2:1995）

GB/T17626.3－1998電磁兼容試驗和測量技術(shù)射頻電磁場輻射抗擾度試驗（idtIEC61000-4-3:1995）

GB/T17626.4－1998電磁兼容試驗和測量技術(shù)電快速瞬變脈沖群抗擾度試驗（idtIEC61000-4-4:1995）

GB/T17626.5－1998電磁兼容試驗和測量技術(shù)浪涌（沖擊）抗擾度試驗（idtIEC61000-4-5:1995）

GB/T17626.6－1998電磁兼容試驗和測量技術(shù)射頻場感應的傳導騷擾抗擾度（idtIEC61000-4-6:1995）

GB/T17626.8－1998電磁兼容試驗和測量技術(shù)工頻磁場抗擾度試驗（idtIEC61000-4-8:1995）

GB/T17626.9－1998電磁兼容試驗和測量技術(shù)脈沖磁場抗擾度試驗（idtIEC61000-4-9:1995）

GB/T17626.11－1998電磁兼容試驗和測量技術(shù)電壓暫降、短時中斷和電壓變化的抗擾度試驗（idtIEC61000-4-11:1995）

GB17859－1999計算機信息系統(tǒng)安全保護等級劃分準則

GB/T20271-2006信息安全技術(shù)信息系統(tǒng)安全通用技術(shù)要求

GB50057－1994建筑物防雷設(shè)計規(guī)范（2000年版）

GB50174-1993電子計算機機房設(shè)計規(guī)范

GB50311-2000建筑與建筑群綜合布線系統(tǒng)工程設(shè)計規(guī)范

GBJ16-1987建筑設(shè)計防火規(guī)范(2001年版)

3術(shù)語和定義

下列術(shù)語和標準適用于本標準。

3.1

信息系統(tǒng)informationsystem

信息系統(tǒng)由計算機及其相關(guān)的配套部件、設(shè)備和設(shè)施構(gòu)成，按照一定的應用目的和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等的人機系統(tǒng)。

3.2

信息系統(tǒng)物理安全physicalsecurityforinformationsystem

為了保證信息系統(tǒng)安全可靠運行，確保信息系統(tǒng)在對信息進行采集、處理、傳輸、存儲過程中，不致受到人為或自然因素的危害，而使信息丟失、泄露或破壞，對計算機設(shè)備、設(shè)施（包括機房建筑、供電、空調(diào)）、環(huán)境人員、系統(tǒng)等采取適當?shù)陌踩胧?/p>

3.3

設(shè)備物理安全facilityphysicalsecurity

為保證信息系統(tǒng)的安全可靠運行，降低或阻止人為或自然因素對硬件設(shè)備安全可靠運行帶來的安全風險，對硬件設(shè)備及部件所采取的適當安全措施。

3.4

環(huán)境物理安全environmentphysicalsecurity

為保證信息系統(tǒng)的安全可靠運行所提供的安全運行環(huán)境，使信息系統(tǒng)得到物理上的嚴密保護，從而降低或避免各種安全風險。

3.5

系統(tǒng)物理安全systemphysicalsecurity

為保證信息系統(tǒng)的安全可靠運行，降低或阻止人為或自然因素從物理層面對信息系統(tǒng)保密性、完整性、可用性帶來的安全威脅，從系統(tǒng)的角度采取的適當安全措施。

3.6

完整性Integrity

保證信息與信息系統(tǒng)不會被有意地或無意地更改或破壞的特性。

3.7

可用性Availability

保證信息與信息系統(tǒng)可被授權(quán)者所正常使用。

3.8

保密性Confidentiality

保證信息與信息系統(tǒng)的不可被非授權(quán)者利用。

3.9

浪涌保護器（SPD）surgeprotectivedevices

用于對雷電電流、操作過電壓等進行保護的器件。

3.10

電磁騷擾electromagneticdisturbance

任何可能引起裝置、設(shè)備或系統(tǒng)性能降低或?qū)τ猩驘o生命物質(zhì)產(chǎn)生損害作用的電磁現(xiàn)象。

3.11

電磁干擾electromagneticinterference

電磁騷擾引起的設(shè)備、傳輸通道或系統(tǒng)性能的下降。

3.12

抗擾度immunity

裝置、設(shè)備或系統(tǒng)面臨電磁騷擾不降低運行性能的能力。

3.13

不間斷供電系統(tǒng)(UPS)uninterruptiblepowersupply

確保計算機不停止工作的供電系統(tǒng)。

3.14

安全隔離設(shè)備securityisolationcomponents

包括安全隔離計算機、安全隔離卡和安全隔離線路選擇器等設(shè)備。

3.15

抗擾度限值immunitylimit

規(guī)定的最小抗擾度電平。

3.16

非燃材料no-burningmaterial

材料在受燃燒或高溫作用時，不起火、不微燃、難炭化的材料

3.17

難燃材料hard-burningmaterial

材料在受到燃燒或高溫作用時，難起火、難微燃、難炭化的材料。

3.18

標志sign

用來表明設(shè)備或部件的生產(chǎn)信息。

3.19

標記marker

用來識別、區(qū)分設(shè)備、部件或人員等級的表示符號。

4第一級物理安全技術(shù)要求

4.1設(shè)備物理安全技術(shù)要求

4.1.1標志

組成此保護級的系統(tǒng)設(shè)備和部件應有明顯清晰的標志，應包括：型號或規(guī)定的代號、制造廠商的名稱或商標，或國家規(guī)定的3C認證標志。

4.1.2標記和外觀

系統(tǒng)設(shè)備和部件應有明顯的無法擦去的標記。

4.1.3靜電放電抗擾度

系統(tǒng)中所應用的設(shè)備和部件對來自靜電放電的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T7626.2—1998中給出的試驗方法，試驗等級采用2級，試驗評判結(jié)果至少應滿足GB/T17626.2—1998中

的性能判據(jù)分類C的要求。

4.1.4電磁輻射抗擾度

系統(tǒng)中所應用的設(shè)備和部件對來自電磁輻射的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.3—1998中給出的試驗方法，試驗等級采用1級，試驗評判結(jié)果至少應滿足GB/T17626.2—1998中

的性能判據(jù)分類C的要求。

4.1.5電快速瞬變脈沖群抗擾度

系統(tǒng)中所應用的設(shè)備和部件對來自電源端口的電快速瞬變脈沖群的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.4—1998中給出的試驗方法，試驗等級采用2級，試驗評判結(jié)果至少應滿足GB/T17626.2—1998中的性能判據(jù)分類C的要求。

4.1.6抗電強度

系統(tǒng)設(shè)備的電源插頭或電源引入端與設(shè)備外殼裸露金屬部件之間應能承受幅度1.5kV、頻率45~65Hz的抗電強度試驗，歷時1分鐘應無擊穿和飛弧現(xiàn)象。

4.1.7泄漏電流

系統(tǒng)設(shè)備工作時對保護接地端的漏泄電流值不應超過5mA。

4.1.8絕緣電阻

系統(tǒng)設(shè)備的電源插頭或電源引入端與設(shè)備外殼裸露金屬部件之間的絕緣電阻應不小于5MΩ。

4.2環(huán)境物理安全技術(shù)要求

4.2.1場地選擇

應按照能夠保障本級信息系統(tǒng)正常運行的條件選擇場地。

4.2.2防火要求

4.2.2.1設(shè)置必備的滅火設(shè)備，并對滅火設(shè)備的效率、毒性、用量和損害性有一定的要求。

4.2.2.2房間內(nèi)的裝修材料應符合GB9361-1988中規(guī)定的難燃材料和非燃材料的要求。

4.2.3防雷電

4.2.3.1設(shè)置必備的雷電保護器，所用的信息設(shè)備應在雷電保護器的保護范圍之內(nèi)。

4.2.3.2其余的防雷技術(shù)應符合GB50057-2000中“第三類防雷建筑物的防雷措施”要求。

4.3系統(tǒng)物理安全技術(shù)要求

4.3.1災難備份與恢復

4.3.1.1備份介質(zhì)

將業(yè)務應用所需要的所有相關(guān)數(shù)據(jù)進行完整的備份，并將備份介質(zhì)存放在中心機房以外的專門場所。

4.3.1.2系統(tǒng)手工恢復

在災難故障發(fā)生時，針對故障發(fā)生原因，利用備份介質(zhì)中的業(yè)務相關(guān)數(shù)據(jù)，采取各種措施恢復應用系統(tǒng)運行。

4.3.2設(shè)備管理

4.3.2.1配置管理

4.3.2.1.1資源管理

應對信息系統(tǒng)網(wǎng)絡環(huán)境中的下列資源信息進行管理：

——設(shè)備信息：包括終端、服務器、交換機、路由器等；

——軟件信息：系統(tǒng)軟件和應用軟件。

5第二級物理安全技術(shù)要求

5.1設(shè)備物理安全技術(shù)要求

5.1.1標志

組成此保護級的系統(tǒng)設(shè)備和部件應有明顯清晰的標志，應包括：產(chǎn)品名稱、型號或規(guī)定的代號、制造廠商的名稱或商標，或國家規(guī)定的3C認證標志。

5.1.2標記和外觀

5.1.2.1系統(tǒng)設(shè)備和部件應有明顯的無法擦去的標記。

5.1.2.2系統(tǒng)設(shè)備表面不應有明顯的凹痕、裂縫、變形和污染等。表面涂度層應均勻、不應起泡、龜裂、脫落和磨損。金屬部件不應有銹蝕及其他機械損傷。

5.1.2.3系統(tǒng)設(shè)備的各部件應緊固無松動，安裝可抽換部件的接插件應能可靠連接，鍵盤、開關(guān)按鈕和其它控制部件的控制應靈活可靠，布局應方便使用。

5.1.3靜電放電

系統(tǒng)中應用的設(shè)備和部件對來自靜電放電的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.2—1998中給出的試驗方法，試驗等級采用3級，試驗評判結(jié)果至少應滿足GB/T17626.2—1998中的性能判據(jù)分類C的要求。

5.1.4電磁輻射騷擾

對系統(tǒng)中應用的設(shè)備和部件產(chǎn)生的電磁輻射騷擾應有一定的限制。試驗方法應按照GB9254—1998中給出的試驗方法，試驗評判結(jié)果至少應滿足GB9254—1998中ITE分級的A級騷擾限值要求。

5.1.5電磁輻射抗擾度

系統(tǒng)中所應用的設(shè)備和部件對來自射電磁輻射的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.3—1998中給出的試驗方法，試驗等級采用2級，試驗評判結(jié)果至少應滿足GB/T17626.3—1998

中的性能判據(jù)分類C的要求。

5.1.6浪涌（沖擊）抗擾度

系統(tǒng)中所應用的設(shè)備和部件對來自電源端口的浪涌（沖擊）的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.5—1998中給出的試驗方法，試驗等級采用2級，試驗評判結(jié)果至少應滿足GB/T

17626.5—1998中的性能判據(jù)分類C的要求。

5.1.7電快速瞬變脈沖群抗擾度

系統(tǒng)中所應用的設(shè)備和部件對來自電源端口的電快速瞬變脈沖群的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.4—1998中給出的試驗方法，試驗等級采用2級，試驗評判結(jié)果至少應滿足GB/T17626.2—1998中的性能判據(jù)分類C的要求。

5.1.8電源適應能力

5.1.8.1對于交流供電的系統(tǒng)設(shè)備，應能在額定電壓.10%的范圍內(nèi)正常工作。

5.1.8.2對于直流供電的系統(tǒng)設(shè)備，應能在直流電壓標稱值.10%的范圍內(nèi)正常工作。標稱值在產(chǎn)品標準中規(guī)定。對電源有特殊要求的單元，應在產(chǎn)品標準中加以說明。

5.1.9抗電強度

應符合GB4943-2001中5.2的要求。

5.1.10泄漏電流

系統(tǒng)設(shè)備工作時對保護接地端的漏泄電流值不應超過5mA。

5.1.11電源線

對于交流供電的系統(tǒng)設(shè)備的電源線，應使用三芯電源線，其中地線應于設(shè)備的保護接地端連接牢固。

5.1.12絕緣電阻

系統(tǒng)設(shè)備的電源插頭或電源引入端與設(shè)備外殼裸露金屬部件之間的絕緣電阻應不小于5MΩ。

5.2環(huán)境物理安全技術(shù)要求

5.2.1場地選擇

按一般建筑物要求進行機房場地選址。應避開強電場、強磁場、易發(fā)生火災、潮濕、易遭受雷擊和重度環(huán)境污染的地區(qū)。

5.2.2機房防火

5.2.2.1機房和記錄介質(zhì)存放間，其建筑材料的耐火等級，應符合GBJ16-1987(2001年版)中規(guī)定的二級耐火等級；機房相關(guān)的其余基本工作房間和輔助房，其建筑材料的耐火等級應不低于GBJ16-1987

(2001年版)中規(guī)定的三級耐火等級。

5.2.2.2要求配備適宜的滅火設(shè)備，除紙介質(zhì)等易燃物質(zhì)外，禁止使用水、干粉或泡沫等容易產(chǎn)生二次破壞的滅火劑。

5.2.3供電系統(tǒng)

5.2.3.1機房供電電源設(shè)備的容量應具有一定的余量。

5.2.3.2機房供電系統(tǒng)應將信息系統(tǒng)設(shè)備供電線路與其它供電線路分開，應配備應急照明裝置。

5.2.3.3應配置線路穩(wěn)壓濾波裝置，保證機房供電電源質(zhì)量符合GB50174-1993中規(guī)定的C級要求。

5.2.3.4應配置電源保護裝置，加裝浪涌保護器。

5.2.3.5應配置抵抗供電電壓不足的設(shè)備。當供電電壓不足或中斷時，應保證系統(tǒng)至少正常工作30分鐘。

5.2.3.6機房內(nèi)活動地板下部的低壓配電線路宜采用銅芯屏蔽導線或銅芯屏蔽電纜。

5.2.3.7活動地板下部的電源線應盡可能遠離系統(tǒng)信號線路，并避免并排敷設(shè)。當不能避免時，應采取相應的屏蔽措施。

5.2.3.8機房電源系統(tǒng)的所有接點均應鍍錫處理，并且冷壓連接。

5.2.4靜電防護

防靜電地線不得接在電源零線上，應單獨接在地線匯集點。

5.2.5防雷電

5.2.5.1系統(tǒng)電源線應設(shè)置電源浪涌保護器（SPD），其沖擊通流容量及限制電壓應按GA267—2000中表5選取。

5.2.5.2不得在建筑物屋頂上敷設(shè)電源或信號線路。必須敷設(shè)時，應穿金屬管進行屏蔽防護，金屬管應進行等電位連接。

5.2.6接地

5.2.6.1機房應設(shè)等電位連接網(wǎng)絡。機房內(nèi)設(shè)備的金屬外殼、機柜、機架、金屬管、槽、屏蔽線纜外層、防靜電接地、安全保護接地、浪涌保護器接地端等勻應以最短的距離與等電位連接網(wǎng)絡的接地端子連接，連接線應采用多股銅質(zhì)金屬線，其截面積不小于16mm2。

5.2.6.2等電位連接網(wǎng)絡宜采用銅排或銅帶，其截面積不應小于35mm2。

5.2.6.3接地電阻不應大于4Ω。當土壤電阻率大于2000Ω.M時，系統(tǒng)接地電阻不得大于20Ω。直流工作接地，接地電阻應按計算機系統(tǒng)具體要求確定。

5.2.7溫濕度控制

應有必要的空調(diào)設(shè)備，使機房溫度達到所需的要求。

5.2.8防水

5.2.8.1.1水管安裝不得穿過屋頂和活動地板，穿過墻壁和樓板的水管應使用套管，并采取可靠的密封措施。

5.2.8.1.2應有有效的防止給水、排水、雨水通過屋頂和墻壁漫溢和滲漏的措施。

5.2.9防蟲鼠害

5.2.9.1在易受蟲鼠害的場所，機房內(nèi)的線纜上應涂敷驅(qū)蟲、鼠藥劑。

5.2.9.2在易受鼠害的場所，機房內(nèi)應設(shè)置捕鼠和驅(qū)鼠裝置。

5.2.10防盜防毀

5.2.10.1機房應裝防護窗、防盜門或有人24小時職守，以防物品被盜被毀。

5.2.11出入口控制

5.2.11.1機房應設(shè)單獨出入口，另設(shè)多個緊急疏散出口，標明疏散線路和方向，應設(shè)置疏散照明和安全出口標志燈。機房出入口應有專人負責，未經(jīng)允許的人員不準進入機房，

5.2.11.2危險物品及可燃物品不準帶入機房。

5.2.12記錄介質(zhì)安全

5.2.12.1對有用數(shù)據(jù)的記錄介質(zhì)應采取一定措施防止被盜、被毀和受損，對于磁性介質(zhì)應該有防止介質(zhì)被磁化措施。

5.2.12.2對于應該刪除和銷毀的有用數(shù)據(jù)，在沒有被刪除和銷毀之前應該有一定的防止被非法拷貝的措施。

5.2.13人員要求

應建立正式的安全管理組織機構(gòu)，委任并授權(quán)安全管理機構(gòu)負責人負責安全管理的權(quán)力，負責安全管理工作的組織和實施。

5.2.14機房綜合布線要求

機房內(nèi)部綜合布線的配置應滿足實際的需要。綜合布線區(qū)內(nèi)的電磁干擾場強值大于3V/m時，應采取防護措施。若采用屏蔽線纜時，布線電纜的屏蔽層應保持連續(xù)性，并且與地進行可靠的連接。綜合布線電纜與附近可能產(chǎn)生電磁泄漏設(shè)備（包括電纜線路）的最小平行距離應大于1m以上。電氣防護與防火應符合GB50311－2000中的要求。

5.2.15通信線路安全

通信線路應遠離強電磁場輻射源。

5.3系統(tǒng)物理安全技術(shù)要求

5.3.1災難備份與恢復

5.3.1.1備份介質(zhì)

將業(yè)務應用所需要的所有相關(guān)數(shù)據(jù)進行完整的備份，并將備份介質(zhì)按照5.2.12的要求存放在中心機房以外符合介質(zhì)存放要求的專門場所。

5.3.1.2設(shè)備備份

對于災難故障發(fā)生時易受到損壞的計算機和網(wǎng)絡設(shè)備應有一定的備份，確保發(fā)生災難性故障時，能在規(guī)定的時間間隔內(nèi)，通過替換計算機和網(wǎng)絡設(shè)備恢復系統(tǒng)運行。

5.3.1.3系統(tǒng)手工恢復

在災難故障發(fā)生時，通過備用設(shè)備及備用介質(zhì)，在規(guī)定的時間范圍內(nèi)根據(jù)預先定義的流程，恢復業(yè)務應用系統(tǒng)運行。

5.3.2設(shè)備管理

5.3.2.1配置管理

5.3.2.1.1資源管理

應對信息系統(tǒng)網(wǎng)絡環(huán)境中的下列資源信息進行管理：

——設(shè)備信息：包括終端、服務器、交換機、路由器等；

——網(wǎng)絡信息：包括局域網(wǎng)、城域網(wǎng)、廣域網(wǎng)等；

——軟件信息：系統(tǒng)軟件和應用軟件；

——地址信息：設(shè)備所在地址信息。

5.3.2.2性能管理

5.3.2.2.1網(wǎng)絡性能監(jiān)測

應提供對接收字節(jié)數(shù)、發(fā)送字節(jié)數(shù)等網(wǎng)絡性能數(shù)據(jù)的連續(xù)采集，實現(xiàn)吞吐率、利用率等面向網(wǎng)絡效率的指標的網(wǎng)絡性能監(jiān)測功能。

5.3.2.2.2設(shè)備運行狀態(tài)監(jiān)視

應提供設(shè)備管理接口，通過該接口及相關(guān)協(xié)議收集設(shè)備的運行狀態(tài)，如CPU利用率、內(nèi)存利用率等，支持設(shè)備運行狀態(tài)的遠程監(jiān)視，當所監(jiān)測數(shù)值超過預先設(shè)定的故障閾值時，提供報警。

5.3.2.3故障管理

5.3.2.3.1告警監(jiān)測功能

應設(shè)置告警策略，定義告警事件指標，并收集設(shè)備、網(wǎng)絡運行過程中的告警信息，生成告警日志。

5.3.2.4管理信息保護

應采取措施保障管理信息的存儲、傳輸安全。對于遠程管理，應通過加密來保護遠程管理對話。

6第三級物理安全技術(shù)要求

6.1設(shè)備物理安全技術(shù)要求

6.1.1標志

組成此保護級的系統(tǒng)設(shè)備和部件應有明顯清晰的標志，應包括：產(chǎn)品名稱、型號或規(guī)定的代號、制造廠商的名稱或商標、安全符號，或國家規(guī)定的3C認證標志。

6.1.2標記和外觀

6.1.2.1系統(tǒng)設(shè)備和部件應有明顯的無法擦去的標記。

6.1.2.2系統(tǒng)設(shè)備表面不應有明顯的凹痕、裂縫、變形和污染等。表面涂度層應均勻、不應起泡、龜裂、脫落和磨損。金屬部件不應有銹蝕及其他機械損傷。

6.1.2.3系統(tǒng)設(shè)備的各部件應緊固無松動，安裝可抽換部件的接插件應能可靠連接，鍵盤、開關(guān)按鈕和其它控制部件的控制應靈活可靠，布局應方便使用。

6.1.3靜電放電

系統(tǒng)中應用的設(shè)備和部件對來自靜電放電的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.2—1998中給出的試驗方法，試驗等級采用4級，試驗評判結(jié)果至少應滿足GB/T17626.2—1998中的性能判據(jù)分類B的要求。

6.1.4電磁輻射騷擾

對系統(tǒng)中應用的設(shè)備和部件產(chǎn)生的電磁輻射騷擾應有一定的限制，系統(tǒng)中應盡可能的應用低電磁輻射發(fā)射的設(shè)備和部件。試驗方法應按照GB9254—1998中給出的試驗方法，試驗評判結(jié)果至少應滿足GB9254—1998中ITE分級的B級騷擾限值要求。

6.1.5電磁傳導騷擾

6.1.5.1對系統(tǒng)中應用的設(shè)備和部件在電源端口產(chǎn)生的電磁傳導騷擾應有一定的限制，系統(tǒng)中應盡可的應用低電磁傳導發(fā)射的設(shè)備和部件。試驗方法應按照GB9254—1998中給出的試驗方法，試驗評判結(jié)果至少應滿足GB9254—1998中ITE分級的B級騷擾限值要求。

6.1.5.2對系統(tǒng)中應用的設(shè)備和部件在信號端口產(chǎn)生的電磁傳導騷擾應有一定的限制，系統(tǒng)中應盡可的應用低電磁傳導發(fā)射的設(shè)備和部件。試驗方法應按照GB9254—1998中給出的試驗方法，試驗評判結(jié)果至少應滿足GB9254—1998中ITE分級的B級騷擾限值要求。

6.1.6電磁輻射抗擾

系統(tǒng)中所應用的設(shè)備和部件對來自射電磁輻射的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.3—1998中給出的試驗方法，試驗等級采用3級，試驗評判結(jié)果至少應滿足GB/T17626.3—1998

中的性能判據(jù)分類B的要求。

6.1.7電磁傳導抗擾

6.1.7.1系統(tǒng)中所應用的設(shè)備和部件對來自電源端口的感應傳導的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.6—1998中給出的試驗方法，試驗等級采用2級，試驗評判結(jié)果至少應滿足GB/T

17626.3—1998中的性能判據(jù)分類B的要求。

6.1.7.2系統(tǒng)中所應用的設(shè)備和部件之間的互連信號線超過1.5m時，對來自感應傳導的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.6—1998中給出的試驗方法，試驗等級采用2級，試驗評判結(jié)果至少應滿足GB/T17626.3—1998中的性能判據(jù)分類B的要求。

6.1.8浪涌（沖擊）抗擾

6.1.8.1系統(tǒng)中所應用的設(shè)備和部件對來自電源端口的浪涌（沖擊）的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.5—1998中給出的試驗方法，試驗等級采用3級，試驗評判結(jié)果至少應滿足GB/T17626.5—1998中的性能判據(jù)分類B的要求。

6.1.8.2系統(tǒng)中所應用的設(shè)備和部件之間的互連信號線超過1.5m時，對來自浪涌（沖擊）的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.5—1998中給出的試驗方法，試驗等級采用3級，試驗評判結(jié)果至少應滿足GB/T17626.5—1998中的性能判據(jù)分類B的要求。

6.1.9電源電快速瞬變脈沖群抗擾

6.1.9.1系統(tǒng)中所應用的設(shè)備和部件對來自電源端口的電快速瞬變脈沖群的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.4—1998中給出的試驗方法，試驗等級采用3級，試驗評判結(jié)果至少應滿足GB/T17626.2—1998中的性能判據(jù)分類B的要求。

6.1.9.2系統(tǒng)中所應用的設(shè)備和部件之間的互連信號線超過1.5m時，對來自電快速瞬變脈沖群的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.4—1998中給出的試驗方法，試驗等級采用3級，試驗評判結(jié)果至少應滿足GB/T17626.2—1998中的性能判據(jù)分類B的要求。

6.1.10電壓暫降、短時中斷、電壓變化抗擾

6.1.10.1系統(tǒng)中所使用的設(shè)備和部件對來自電源端口的電源電壓暫降和短時中斷產(chǎn)生的干擾應有一定的抗擾度。試驗方法應按照GB/T17626.11—1998中給出的試驗方法，試驗等級采用70%UT，試驗評判結(jié)果至少應滿足GB/T17626.11—1998中的性能判據(jù)分類B的要求。

6.1.10.2系統(tǒng)中所使用的設(shè)備和部件對來自電源端口的電源電壓變化產(chǎn)生的干擾應有一定的抗擾度，試驗方法應按照GB/T17626.11—1998中給出的試驗方法，試驗等級采用60%UT，試驗評判結(jié)果至少應滿足GB/T17626.11—1998中的性能判據(jù)分類B的要求。

6.1.11電源適應能力

6.1.11.1對于交流供電的系統(tǒng)設(shè)備，應能在220+10%

-15%條件下正常工作。

6.1.11.2對于直流供電的系統(tǒng)設(shè)備，應能在直流電壓標稱值變化.10%的條件下正常工作。標稱值在產(chǎn)品標準中規(guī)定。對電源有特殊要求的單元，應在產(chǎn)品標準中加以說明。

6.1.12抗電強度

應符合GB4943-2001中5.2的要求。

6.1.13泄漏電流

系統(tǒng)設(shè)備工作時對保護接地端的漏泄電流值不應超過5mA。

6.1.14電源線

對于交流供電的系統(tǒng)設(shè)備的電源線，應使用三芯電源線，其中地線應于設(shè)備的保護接地端連接牢固。

6.1.15絕緣電阻

系統(tǒng)設(shè)備的電源插頭或電源引入端與設(shè)備外殼裸露金屬部件之間的絕緣電阻應不小于5MΩ。

6.1.16防過熱

操作人員接觸區(qū)的零部件應符合GB4943-2001中4.5.1條表4A溫升限值第2部分的要求。

6.1.17溫度、濕度適應性

對于工作中的系統(tǒng)設(shè)備，應能在溫度10℃～+35℃、濕度35%～80%（40℃）的條件下正常工作。對于結(jié)構(gòu)一體化產(chǎn)品中裝入的某些設(shè)備，當其環(huán)境適應性達不到本標準要求時，應在產(chǎn)品標準中作特殊說明。

6.1.18振動適應性

系統(tǒng)設(shè)備振動適應性，應符合表1的要求。對于結(jié)構(gòu)一體化產(chǎn)品中裝入的某些設(shè)備，當其環(huán)境適應性達不到本標準要求時，應在產(chǎn)品標準中作特殊說明。

6.1.19沖擊適應性

系統(tǒng)設(shè)備沖擊適應性，應符合表2的要求。對于結(jié)構(gòu)一體化產(chǎn)品中裝入的某些設(shè)備，當其環(huán)境適應性達不到本標準要求時，應在產(chǎn)品標準中作特殊說明。

6.1.20碰撞適應性

系統(tǒng)設(shè)備碰撞適應性，應符合表3的要求。對于結(jié)構(gòu)一體化產(chǎn)品中裝入的某些設(shè)備，當其環(huán)境適應性達不到本標準要求時，應在產(chǎn)品標準中作特殊說明。

6.1.21可靠性

采用平均無故障時間衡量系統(tǒng)設(shè)備的可靠性水平。系統(tǒng)中硬件設(shè)備的平均無故障時間不得低于4000h。

6.2環(huán)境物理安全技術(shù)要求

6.2.1場地選擇

6.2.1.1應避開易發(fā)生火災危險程度高的區(qū)域。

6.2.1.2應避開有害氣體來源以及存放腐蝕、易燃、易爆物品的地方。

6.2.1.3應避開強振動源和強噪聲源。

6.2.1.4應避開強電磁場的干擾。

6.2.1.5當上面各條款無法滿足時,應采取相應措施。

6.2.1.6機房所在的建筑物防雷措施應符合GB50057—2000中的“第二類防雷建筑物的防雷措施”的技術(shù)要求。

6.2.2機房防火

6.2.2.1機房和重要的記錄介質(zhì)存放間，其建筑材料的耐火等級，應符合GBJ16-1987(2001年版)中規(guī)定的二級耐火等級；機房相關(guān)的其余基本工作房間和輔助房，其建筑材料的耐火等級應不低于GBJ16

-1987(2001年版)中規(guī)定的二級耐火等級。

6.2.2.2設(shè)置火災自動報警系統(tǒng)，包括火災自動探測器、區(qū)域報警器、集中報警器和控制器等，能對火災發(fā)生的部位以聲、光或電的形式發(fā)出報警信號，并啟動自動滅火設(shè)備，切斷電源、關(guān)閉空調(diào)設(shè)備等

；

6.2.2.3要求機房布局要將脆弱區(qū)和危險區(qū)進行隔離，防止外部火災進入機房，特別是重要設(shè)備地區(qū)，安裝防火門、使用阻燃材料裝修等。

6.2.2.4機房裝修材料應符合GB9361—1988中規(guī)定的難燃材料和非燃材料，應能防潮、吸音、不起塵、抗靜電等。

6.2.2.5機房的活動地板應是難燃材料或非燃材料，活動地板應有穩(wěn)定的抗靜電性能和承載能力，同時耐油、耐腐蝕、柔光、不起塵等。具體要求應符合SJ/T16796-2001《靜電活動地板通用規(guī)范》。

6.2.3電磁輻射衛(wèi)生防護

機房內(nèi)的電磁輻射防護限值應達到GB8702—1988和GB9175-1988中的要求。在工作期間，機房內(nèi)工作人員經(jīng)常出入的部位（工作室、值班室、休息室），電磁輻射電場強度在任意連續(xù)6分鐘內(nèi)的平均值不應超出表4的給出的參考值。

6.2.4機房屏蔽

6.2.4.1機房采取屏蔽措施，防止外部電磁場對計算機及設(shè)備的干擾，同時也抑制電磁信息的泄漏。

6.2.4.2應采用屏蔽效能良好屏蔽電纜作為機房的引入線（包括電源線、信號線）。屏蔽電纜應經(jīng)過質(zhì)量確認后方可使用。

6.2.4.3機房的信號電纜線（輸入／輸出）端口和電源線的進、出端口應適當加裝濾波器。電纜連接處應采取屏蔽措施，抑制電磁噪聲干擾與電磁信息泄漏。

6.2.4.4機房內(nèi)無線電干擾場強，應滿足GB/T2887-2000中4.3.5.1的要求。

6.2.4.5機房內(nèi)磁場干擾場強，應滿足GB/T2887-2000中4.3.5.2的要求。

6.2.5供電系統(tǒng)

6.2.5.1機房供電電源設(shè)備的容量應具有一定的余量。

6.2.5.2機房供電系統(tǒng)應將信息系統(tǒng)設(shè)備供電線路與其它供電線路分開，應配備應急照明裝置。

6.2.5.3應配置線路穩(wěn)壓濾波裝置，保證機房供電電源質(zhì)量符合GB50174-1993中規(guī)定的B級要求。

6.2.5.4應配置電源保護裝置，加裝浪涌保護器。

6.2.5.5機房應建立交流不間斷供電系統(tǒng)，保證機房內(nèi)信息系統(tǒng)設(shè)備24小時運行。

6.2.5.6機房內(nèi)活動地板下部的低壓配電線路宜采用銅芯屏蔽導線或銅芯屏蔽電纜。

6.2.5.7活動地板下部的電源線應盡可能遠離系統(tǒng)信號線路，并避免并排敷設(shè)。當不能避免時，應采取相應的屏蔽措施。

6.2.5.8機房電源系統(tǒng)的所有接點均應鍍錫處理，并且冷壓連接。

6.2.6靜電防護

6.2.6.1主機房內(nèi)絕緣體的靜電電位不應大于1kV。

6.2.6.2主機房內(nèi)的導體應與大地作可靠的連接，不應有對地絕緣的孤立導體。

6.2.6.3當鋪設(shè)防靜電地面時，防靜電地面可用導電橡膠與建筑物地面粘牢，防靜電地面的體積電阻率均勻，應為1.0×107—1.0×1010Ω.cm，其導電性能應長期穩(wěn)定，且不易發(fā)塵。

6.2.6.4主機房內(nèi)的工作臺面及座椅墊套材料應是防靜電的，其體積電阻率應為1.0×107—1.0×1010Ω.cm。

6.2.7防雷電

6.2.7.1系統(tǒng)所在建筑物的防雷技術(shù)要求應符合GB50057—2000中“第二類防雷建筑物的防雷措施”要求。

6.2.7.2系統(tǒng)中所有的設(shè)備和部件應安裝在有防雷保護的范圍內(nèi)。

6.2.7.3系統(tǒng)電源線應設(shè)置電源浪涌保護器（SPD），其沖擊通流容量及限制電壓應按GA267—2000中表3選取。

6.2.7.4系統(tǒng)信號輸入/輸出線應設(shè)置信號浪涌保護器（SPD），其沖擊通流容量和限制電壓應按GA267—2000中表4選取。

6.2.7.5不得在建筑物屋頂上敷設(shè)電源或信號線路。必須敷設(shè)時，應穿金屬管進行屏蔽防護，金屬管應進行等電位連接。

6.2.7.6系統(tǒng)電源及系統(tǒng)輸入/輸出信號線，應分不同層次，采用多級雷電防護措施，涉及的內(nèi)容包括：系統(tǒng)電源線和信號線引入處、前端供電設(shè)備和信號線分線箱、計算機電源接口和信號線接口。

6.2.8接地

6.2.8.1機房應采用四種接地方式：

a)交流工作接地，接地電阻不應大于4Ω；

b)安全保護接地，接地電阻不應大于4Ω；

c)直流工作接地，接地電阻應按計算機系統(tǒng)具體要求確定。

d)防雷接地，應按GB50057—2000執(zhí)行。

6.2.8.2交流工作接地、安全保護接地、直流工作接地和防雷接地四種接地宜共用一組接地裝置，其接地電阻按其中最小值確定。若防雷接地單獨設(shè)置接地裝置時，其余三種接地應共用一組接地裝置，其

接地電阻不應大于其中最小值，并應按GB50057—2000的要求采取防止反擊措施。

6.2.8.3機防內(nèi)設(shè)備的金屬外殼、機柜、機架、金屬管、槽、屏蔽線纜外層、防靜電接地、浪涌保護器接地端等勻應以最短的距離與等電位連接網(wǎng)絡的接地端子連接，連接線應采用多股銅質(zhì)金屬線，其

截面積不小于16mm2。

6.2.8.4等電位連接網(wǎng)絡宜采用銅排或銅帶，其截面積不應小于50mm2。

6.2.8.5對直流工作接地有特殊要求需單獨設(shè)置接地裝置的系統(tǒng)，接地電阻值及其它接地體之間的距離，應按照技術(shù)機系統(tǒng)及有關(guān)規(guī)范的要求確定。

6.2.9溫濕度控制

6.2.9.1應有較完備的空調(diào)系統(tǒng)，保證機房溫度的變化在計算機運行所允許的范圍。

6.2.9.2對設(shè)備布置密度大、設(shè)備發(fā)熱量大的主機房宜采用活動地板下送上回方式。

6.2.9.3當機房應采用專用空調(diào)設(shè)備并與其它系統(tǒng)共享時，應保證空調(diào)效果和采取防火措施。

6.2.9.4機房空氣調(diào)節(jié)控制裝置應滿足計算機系統(tǒng)對溫度、濕度以及防塵的要求。

6.2.9.5空調(diào)系統(tǒng)應向安全防范中心提供接口，反映系統(tǒng)工作狀況。

6.2.10防水

6.2.10.1水管安裝不得穿過屋頂和活動地板，穿過墻壁和樓板的水管應使用套管，并采取可靠的密封措施；

6.2.10.2應有有效的防止給水、排水、雨水通過屋頂和墻壁漫溢和滲漏的措施；

6.2.10.3機房應安裝漏水檢測系統(tǒng)，并有報警裝置。

6.2.11防蟲鼠害

6.2.11.1在易受蟲鼠害的場所，機房內(nèi)的線纜上應涂敷驅(qū)蟲、鼠藥劑。

6.2.11.2在易受鼠害的場所，機房內(nèi)應設(shè)置捕鼠和驅(qū)鼠裝置。

6.2.12防盜防毀

6.2.12.1機房應裝防護窗、防盜門，門窗及重要部位應裝防盜報警裝置，進行本地和異地報警。

6.2.12.2機房應裝設(shè)視頻監(jiān)控系統(tǒng)或有人24小時職守，對通道等重要部位進行監(jiān)視。

6.2.12.3報警設(shè)備應能與視頻監(jiān)控系統(tǒng)及出入口控制設(shè)備聯(lián)動，實現(xiàn)對監(jiān)控點進行有效的監(jiān)視。

6.2.13出入口控制

6.2.13.1機房應設(shè)單獨出入口，另設(shè)多個緊急疏散出口，標明疏散線路和方向，應設(shè)置疏散照明和安全出口標志燈。機房出入口應有專人負責，未經(jīng)允許的人員不準進入機房。

6.2.13.2攜帶物品進出機房時，應持有攜物證。對可疑人員應檢查其攜帶物品的內(nèi)容，危險物品及可燃物品不準帶入機房。

6.2.13.3應對出入口通道進行視頻監(jiān)控。

6.2.13.4機房出入口配置電子門禁系統(tǒng)，鑒別進入的人員身份并登記在案。

6.2.14安全防范中心

6.2.14.1應設(shè)置安全防范中心，建立安全防范管理系統(tǒng)。通過安全防范管理系統(tǒng)實現(xiàn)監(jiān)控中心對視頻監(jiān)控系統(tǒng)、出入口控制系統(tǒng)等各子系統(tǒng)的聯(lián)動管理與控制。

6.2.14.2應能對視頻監(jiān)控系統(tǒng)、出入口控制系統(tǒng)等各子系統(tǒng)的運行狀態(tài)進行監(jiān)測，應能對系統(tǒng)運行狀況和報警信息數(shù)據(jù)等進行記錄和顯示。

6.2.14.3安全防范管理系統(tǒng)的故障應不影響各子系統(tǒng)的運行；某一子系統(tǒng)的故障應不影響其他子系統(tǒng)的運行。

6.2.15記錄介質(zhì)安全

6.2.15.1設(shè)置記錄介質(zhì)庫，對出入介質(zhì)庫的人員實施登記。

6.2.15.2對有用數(shù)據(jù)、重要數(shù)據(jù)、使用價值高的數(shù)據(jù)和秘密程度很高的數(shù)據(jù)以及對系統(tǒng)運行和應用起關(guān)鍵作用的數(shù)據(jù)記錄介質(zhì)實施分類標記、登記并保存。

6.2.15.3記錄介質(zhì)庫應具備措施防盜、防火功能，對于磁性介質(zhì)應該有防止介質(zhì)被磁化措施。

6.2.15.4記錄介質(zhì)的借用應規(guī)定審批權(quán)限，對于系統(tǒng)中有很高使用價值或很高秘密程度的數(shù)據(jù)，應采用加密等方法進行保護。

6.2.15.5對于應該刪除和銷毀的重要數(shù)據(jù)，要有嚴格的管理和審批手續(xù)，并采取有效措施，防止被非法拷貝。

6.2.16人員與職責要求

在滿足第二級要求的基礎(chǔ)上，要求對信息系統(tǒng)物理安全風險控制、管理過程的安全事務明確分工責任。對系統(tǒng)物理安全風險分析與評估、安全策略的制定、安全技術(shù)和管理的實施、安全意識培養(yǎng)與教育、

安全事件和事故響應等工作應制定管理負責人，制定明確的職責和權(quán)力范圍。編制工作崗位和職責的正式文件，明確各個崗位的職責和技能要求。對不同崗位制定和實施不同的安全培訓計劃，并對安全培訓計劃進行定期修改。

對信息系統(tǒng)的工作人員、資源實施等級標記管理制度。對安全區(qū)域?qū)嵤┓旨墭擞浌芾恚瑢Τ鋈氚踩珔^(qū)域的工作人員應驗證標記，安全標記不相符的人員不得入內(nèi)。對安全區(qū)域內(nèi)的活動進行監(jiān)視和記錄，所有物理設(shè)施應設(shè)置安全標記。

6.2.17機房綜合布線要求

機房內(nèi)部綜合布線的配置應滿足實際的需要，若采用屏蔽線纜時，布線電纜的屏蔽層應保持連續(xù)性，并且與地進行可靠的連接。綜合布線區(qū)內(nèi)的電磁干擾場強值大于3V/m時，建筑物內(nèi)、建筑物群之間或機房對外界的信息傳輸信道應采用光纖信道。機房內(nèi)綜合布線電纜與附近可能產(chǎn)生電磁泄漏設(shè)備（包括電纜線路）的最小平行距離應大于1.5m以上，若不能滿足最小平行距離要求時，宜采用金屬管線進行屏蔽。電氣防護與防火應符合GB50311－2000中的要求。

6.2.18通信線路安全

6.2.18.1通信線路應遠離強電磁場輻射源。

6.2.18.2系統(tǒng)應具有防止通信線路被截獲及外界對系統(tǒng)通信線路的干擾功能，至少應提供以下一種功能。

a)預防線路截獲，使線路截獲設(shè)備無法正常工作；

b)探測線路截獲，發(fā)現(xiàn)線路截獲并報警；

c)定位線路截獲，發(fā)現(xiàn)線路截獲設(shè)備工作的位置；

d)對抗線路截獲，阻止線路截獲設(shè)備的有效使用。

6.2.19信息傳輸、交換與共享范圍要求

6.2.19.1計算機信息系統(tǒng)聯(lián)網(wǎng)應當采取系統(tǒng)訪問控制、數(shù)據(jù)保護和系統(tǒng)安全保密監(jiān)控管理等技術(shù)措施。

6.2.19.2計算機信息系統(tǒng)的訪問應當按照權(quán)限控制，不得進行越權(quán)操作。未采取技術(shù)安全保密措施的系統(tǒng)不得聯(lián)網(wǎng)。

6.2.19.3信息傳輸、信息交換與信息共享僅應在采取保護措施的系統(tǒng)內(nèi)網(wǎng)進行，系統(tǒng)若與外網(wǎng)留有接口，需使用安全隔離設(shè)備。

6.3系統(tǒng)物理安全技術(shù)要求

6.3.1災難備份與恢復

6.3.1.1災難備份中心

在獨立的建筑物內(nèi)建立數(shù)據(jù)處理系統(tǒng)的備份中心，以便在災難故障發(fā)生時能在規(guī)定的時間范圍內(nèi)通過將數(shù)據(jù)處理系統(tǒng)轉(zhuǎn)移到備份中心，使業(yè)務系統(tǒng)繼續(xù)運行。

6.3.1.2網(wǎng)絡設(shè)備備份

對于災難故障發(fā)生時易受到損壞的網(wǎng)絡設(shè)備應有充分的備份，確保網(wǎng)絡的某些部位發(fā)生災難性故障時，能在規(guī)定的時間間隔內(nèi)，通過替換網(wǎng)絡設(shè)備恢復網(wǎng)絡的通信功能。

6.3.1.3完全數(shù)據(jù)備份

將業(yè)務應用所需要的所有相關(guān)數(shù)據(jù)進行完整的備份，并將備份數(shù)據(jù)通過專用網(wǎng)絡傳送到備份中心保存；備份數(shù)據(jù)的間隔時間確定，應確保在系統(tǒng)恢復后，在允許的數(shù)據(jù)丟失范圍內(nèi)，支持業(yè)務應用系統(tǒng)繼續(xù)運行。

6.3.1.4系統(tǒng)手工轉(zhuǎn)移

在災難故障發(fā)生時，在規(guī)定的時間范圍內(nèi)根據(jù)預先定義的流程，將業(yè)務應用系統(tǒng)手工轉(zhuǎn)移至備份中心。

6.3.2物理設(shè)備訪問

6.3.2.1設(shè)備標識與鑒別

6.3.2.1.1設(shè)備標識

應按GB/T20271-2006中4.3.1.4.1接入前標識和標識信息管理的要求，設(shè)計和實現(xiàn)設(shè)備標識功能。一般以設(shè)備名和設(shè)備標識符來標識一個設(shè)備。

6.3.2.1.2設(shè)備鑒別

應按GB/T20271-2006中4.3.1.4.2接入前鑒別、不可偽造鑒別和鑒別信息管理的要求，設(shè)計和實現(xiàn)標識設(shè)備的鑒別功能，并按GB/T20271-2006中4.3.1.4.3的要求進行鑒別失敗的處理。鑒別應確保設(shè)備身份的真實性。本安全保護等級要求在設(shè)備接入時，采用由密碼系統(tǒng)支持的鑒別信息，對接入設(shè)備身份的真實性進行鑒別。鑒別信息應是不可見的，并在存儲和傳輸時按GB/T20271-2006中4.3.10密碼支持的要求進行保護。

6.3.2.2訪問控制策略

物理設(shè)備訪問控制范圍，包括策略控制下的主體、客體，及有策略覆蓋的被控制的主體與客體間的操作?？腕w應包括物理設(shè)備。應控制的操作包括：物理設(shè)備的配置、啟動、關(guān)機、故障恢復（重啟、冗余切換）等。

6.3.3邊界保護

6.3.3.1防止非法設(shè)備接入

6.3.3.1.1非法接入探測

設(shè)備接入網(wǎng)絡前應按6.3.2.1的要求，對物理設(shè)備進行鑒別。發(fā)現(xiàn)非法接入事件應進行報警。

6.3.3.2防止設(shè)備非法外聯(lián)

6.3.3.2.1非法外聯(lián)探測

應對設(shè)備聯(lián)網(wǎng)狀態(tài)進行探測，發(fā)現(xiàn)非法外聯(lián)事件應進行報警。

6.3.4設(shè)備管理

6.3.4.1配置管理

6.3.4.1.1資源管理

應對信息系統(tǒng)網(wǎng)絡環(huán)境中的下列資源信息進行管理：

——設(shè)備信息：包括終端、服務器、交換機、路由器、邊界設(shè)備、安全設(shè)備等；

——器材信息：設(shè)備之間的直達物理連接線路，包括中繼線、用戶線等；

——電路信息：端點設(shè)備之間的邏輯連接線路，可能包含多條物理線路；

——網(wǎng)絡信息：包括局域網(wǎng)、城域網(wǎng)、廣域網(wǎng)等；

——軟件信息：系統(tǒng)軟件和應用軟件；

——地址信息：設(shè)備所在地址信息。

6.3.4.1.2網(wǎng)絡拓撲服務管理

應支持網(wǎng)絡拓撲發(fā)現(xiàn)技術(shù)，提供網(wǎng)絡拓撲結(jié)構(gòu)顯示功能，實現(xiàn)網(wǎng)絡的物理布局、邏輯布局及電氣布局的網(wǎng)絡布局顯示。

6.3.4.2性能管理

6.3.4.2.1網(wǎng)絡性能監(jiān)測

應提供對接收字節(jié)數(shù)、發(fā)送字節(jié)數(shù)等網(wǎng)絡性能數(shù)據(jù)的連續(xù)采集，實現(xiàn)對有效性、響應時間、差錯率等面向服務質(zhì)量的指標和吞吐率、利用率等面向網(wǎng)絡效率的指標的網(wǎng)絡性能監(jiān)測功能。

6.3.4.2.2設(shè)備運行狀態(tài)監(jiān)視

應提供設(shè)備管理接口，通過該接口及相關(guān)協(xié)議收集設(shè)備的運行狀態(tài)，如CPU利用率、內(nèi)存利用率等，支持設(shè)備運行狀態(tài)的遠程監(jiān)視，當所監(jiān)測數(shù)值超過預先設(shè)定的故障閾值時，提供報警。

6.3.4.2.3設(shè)備部件狀態(tài)監(jiān)視

核心設(shè)備的關(guān)鍵硬件，包括電源、風扇、機箱、磁盤控制等應具備可管理接口，通過該接口及相關(guān)協(xié)議收集硬件的運行狀態(tài)，如處理器工作溫度、風扇轉(zhuǎn)速、系統(tǒng)核心電壓等，并對其進行實時監(jiān)控，當所監(jiān)測數(shù)值超過預先設(shè)定的故障閾值時，提供報警。

6.3.4.3故障管理

6.3.4.3.1告警監(jiān)測功能

應設(shè)置告警策略，定義告警事件指標，并收集設(shè)備、部件及網(wǎng)絡運行過程中的告警信息，生成告警日志，定期產(chǎn)生告警報告。

6.3.4.3.2故障定位功能

應設(shè)置故障定位策略，明確故障定位范圍，并結(jié)合來自性能監(jiān)控、告警監(jiān)控等各方面產(chǎn)生的相關(guān)故障信息，對線路故障、設(shè)備故障進行自動定位。

6.3.4.4管理信息保護

應采取措施保障管理信息的存儲、傳輸安全。對于遠程管理，應通過加密來保護遠程管理對話。

6.3.4.5安全管理角色

通過設(shè)置安全管理角色減少因用戶超越職責濫用授權(quán)而導致破壞的可能性。

應只允許授權(quán)管理員和可信主機承擔安全管理職責。應能把授權(quán)執(zhí)行管理功能的授權(quán)管理員和可信主機與使用物理設(shè)備的所有其他個人或系統(tǒng)分開。

6.3.4.6設(shè)備監(jiān)控中心

結(jié)合安全監(jiān)控中心的建設(shè)，設(shè)置設(shè)備監(jiān)控中心，對收集到的各類配置數(shù)據(jù)、性能數(shù)據(jù)、故障告警數(shù)據(jù)，根據(jù)安全策略進行分析，并做報告、事件記錄和報警等處理。設(shè)備監(jiān)控中心應具備必要的遠程管理能力，如配置參數(shù)遠程設(shè)置、遠程軟件升級、遠程啟動等。

6.3.5設(shè)備保護

6.3.5.1設(shè)備物理保護

6.3.5.1.1物理攻擊的被動檢測

應按GB/T20271-2006中5.1.1.1中物理攻擊被動檢測的要求，實現(xiàn)對信息系統(tǒng)的物理安全保護。

6.3.5.2可信時間戳

應按GB/T20271-2006中5.1.2.7的要求，提供可靠的時間戳支持。

6.3.5.3設(shè)備自檢

應提供對物理設(shè)備正確操作的自測試能力。這些測試可在啟動時進行，或周期性地進行，或在授權(quán)用戶要求時進行，或當某種條件滿足時進行。

6.3.6資源利用

6.3.6.1故障容錯

應通過一定措施防止由于物理設(shè)備失效引起的資源能力的不可用，確保即使出現(xiàn)故障情況，系統(tǒng)也能正常運行。故障容錯機制有主動和被動兩種。主動機制下，特定的功能在故障發(fā)生時將會被激活；

在被動機制下，物理設(shè)備被設(shè)計為能自動處理故障。

本級采用降級故障容錯，要求在確定的故障情況下，設(shè)備能繼續(xù)正確運行指定的功能。這是一種強制性的安全功能策略，要求在出錯情況下設(shè)備能繼續(xù)規(guī)定的正確操作，因而要求信息系統(tǒng)必須在故障發(fā)生后通過降低能力保持一個安全的狀態(tài)。

6.3.6.2服務優(yōu)先級

應通過控制用戶和主體對控制范圍內(nèi)資源的使用，使得高優(yōu)先級任務的完成總是不受低優(yōu)先級任務的干擾和影響，這些資源包括處理類資源和通信類資源。

本級應實現(xiàn)有限服務優(yōu)先級，將服務優(yōu)先級的控制范圍限定在控制范圍內(nèi)的某個資源子集，要求設(shè)備安全功能對與該資源子集有關(guān)的主體定義優(yōu)先級，并指出對何種資源使用該優(yōu)先級。

6.3.6.3資源分配

應通過控制用戶和客體對資源的占用，使得不因不恰當?shù)卣加匈Y源而出現(xiàn)拒絕服務情況。資源分配規(guī)則允許通過建立配額或其他方式，來定義代表某個特定用戶或主體進行分配的資源空間大小或時間長短的限制。本級資源分配采用最大限額的控制方法，應確保用戶和主體不會超過某一數(shù)量或獨占某種受控資源。

7第四級物理安全技術(shù)要求

7.1設(shè)備物理安全技術(shù)要求

7.1.1標志

組成此保護級的系統(tǒng)設(shè)備和部件應有明顯清晰的標志，應包括：產(chǎn)品名稱、型號或規(guī)定的代號、制造廠商的名稱或商標、安全符號，或國家規(guī)定的3C認證標志。

7.1.2標記和外觀

7.1.2.1系統(tǒng)設(shè)備和部件應有明顯的無法擦去的標記。

7.1.2.2系統(tǒng)設(shè)備表面不應有明顯的凹痕、裂縫、變形和污染等。表面涂度層應均勻、不應起泡、龜裂、脫落和磨損。金屬部件不應有銹蝕及其他機械損傷。

7.1.2.3系統(tǒng)設(shè)備的各部件應緊固無松動，安裝可抽換部件的接插件應能可靠連接，鍵盤、開關(guān)按鈕和其它控制部件的控制應靈活可靠，布局應方便使用。

7.1.3靜電放電

系統(tǒng)中應用的設(shè)備和部件對來自靜電放電的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.2—1998中給出的試驗方法，試驗等級采用4級，試驗評判結(jié)果至少應滿足GB/T17626.2—1998

中的性能判據(jù)分類A的要求。

7.1.4電磁輻射騷擾

對系統(tǒng)中應用的設(shè)備和部件產(chǎn)生的電磁輻射騷擾應有一定的限制，系統(tǒng)中應盡可能的應用低電磁輻射發(fā)射的設(shè)備和部件。試驗方法應按照GB9254—1998中給出的試驗方法，試驗評判結(jié)果至少應滿足GB9254—1998中ITE分級的B級騷擾限值要求。

7.1.5電磁傳導騷擾

7.1.5.1對系統(tǒng)中應用的設(shè)備和部件在電源端口產(chǎn)生的電磁傳導騷擾應有一定的限制，系統(tǒng)中應盡可能的應用低電磁傳導發(fā)射的設(shè)備和部件。試驗方法應按照GB9254—1998中給出的試驗方法，試驗評判

結(jié)果至少應滿足GB9254—1998中ITE分級的B級騷擾限值要求。

7.1.5.2對系統(tǒng)中應用的設(shè)備和部件在信號端口產(chǎn)生的電磁傳導騷擾應有一定的限制，系統(tǒng)中應盡可的應用低電磁傳導發(fā)射的設(shè)備和部件。試驗方法應按照GB9254—1998中給出的試驗方法，試驗評判結(jié)

果至少應滿足GB9254—1998中ITE分級的B級騷擾限值要求。

7.1.6電磁輻射抗擾

系統(tǒng)中所應用的設(shè)備和部件對來自射電磁輻射的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.3—1998中給出的試驗方法，試驗等級采用3級，試驗評判結(jié)果至少應滿足GB/T17626.3—1998中的性能判據(jù)分類A的要求。

7.1.7電磁傳導抗擾

7.1.7.1系統(tǒng)中所應用的設(shè)備和部件對來自電源端口的感應傳導的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.6—1998中給出的試驗方法，試驗等級采用3級，試驗評判結(jié)果至少應滿足GB/T17626.3—1998中的性能判據(jù)分類A的要求。

7.1.7.2系統(tǒng)中所應用的設(shè)備和部件之間的互連信號線超過1.5m時，對來自感應傳導的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.6—1998中給出的試驗方法，試驗等級采用3級，試驗評判結(jié)果至少應滿足GB/T17626.3—1998中的性能判據(jù)分類A的要求。

7.1.8浪涌（沖擊）抗擾

7.1.8.1系統(tǒng)中所應用的設(shè)備和部件對來自電源端口的浪涌（沖擊）的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.5—1998中給出的試驗方法，試驗等級采用4級，試驗評判結(jié)果至少應滿足

GB/T17626.5—1998中的性能判據(jù)分類A的要求。

7.1.8.2系統(tǒng)中所應用的設(shè)備和部件之間的互連信號線超過1.5m時，對來自浪涌（沖擊）的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.5—1998中給出的試驗方法，試驗等級采用4級，試驗評判結(jié)果至少應滿足GB/T17626.5—1998中的性能判據(jù)分類A的要求。

7.1.9電源電快速瞬變脈沖群抗擾

7.1.9.1系統(tǒng)中所應用的設(shè)備和部件對來自電源端口的電快速瞬變脈沖群的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.4—1998中給出的試驗方法，試驗等級采用4級，試驗評判結(jié)果至少應滿足GB/T17626.2—1998中的性能判據(jù)分類A的要求。

7.1.9.2系統(tǒng)中所應用的設(shè)備和部件之間的互連信號線超過1.5m時，對來自電快速瞬變脈沖群的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.4—1998中給出的試驗方法，試驗等級采用4級，試驗評判結(jié)果至少應滿足GB/T17626.2—1998中的性能判據(jù)分類A的要求。

7.1.10電壓暫降、短時中斷、電壓變化抗擾

7.1.10.1系統(tǒng)中所使用的設(shè)備和部件對來自電源端口的電源電壓暫降和短時中斷產(chǎn)生的干擾應有一定的抗擾度。試驗方法應按照GB/T17626.11—1998中給出的試驗方法，試驗等級采用70%UT，試驗評判結(jié)果至少應滿足GB/T17626.11—1998中的性能判據(jù)分類A的要求。

7.1.10.2系統(tǒng)中所使用的設(shè)備和部件對來自電源端口的電源電壓變化產(chǎn)生的干擾應有一定的抗擾度，試驗方法應按照GB/T17626.11—1998中給出的試驗方法，試驗等級采用60%UT，試驗評判結(jié)果至少應滿足GB/T17626.11—1998中的性能判據(jù)分類A的要求。

7.1.11工頻磁場抗擾

系統(tǒng)中所使用的設(shè)備和部件（電子射束敏感裝置）對來自工頻磁場的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.8—1998中給出的試驗方法，試驗等級采用2級，試驗評判結(jié)果至少應滿足GB/T17626.2—1998中的性能判據(jù)分類A的要求。

7.1.12脈沖磁場抗擾

系統(tǒng)中所使用的設(shè)備和部件（電子射束敏感裝置）對來自脈沖磁場的電磁干擾應有一定的抗擾度。試驗方法應按照GB/T17626.9—1998中給出的試驗方法，試驗等級采用3級，試驗評判結(jié)果至少應滿足GB/T17626.2—1998中的性能判據(jù)分類A的要求。

7.1.13電源適應能力

7.1.13.1.1對于交流供電的系統(tǒng)設(shè)備，應能在220+10%

-15%條件下正常工作。

7.1.13.1.2對于直流供電的系統(tǒng)設(shè)備，應能在直流電壓標稱值變化.10%的條件下正常工作。標稱值在產(chǎn)品標準中規(guī)定。

7.1.14抗電強度

應符合GB4943-2001中5.2條款的要求。

7.1.15泄漏電流

系統(tǒng)設(shè)備工作時對保護接地端的漏泄電流值不應超過5mA。

7.1.16電源線

對于交流供電的系統(tǒng)設(shè)備的電源線，應使用三芯電源線，其中地線應于設(shè)備的保護接地端連接牢固。

7.1.17絕緣電阻

系統(tǒng)設(shè)備的電源插頭或電源引入端與設(shè)備外殼裸露金屬部件之間的絕緣電阻應不小于5MΩ。

7.1.18防過熱

操作人員接觸區(qū)的零部件應符合GB4943-2001中4.5.1條表4A溫升限值第2部分的要求。

7.1.19防火

應符合GB4943-2001中4.7條的要求。

7.1.20防爆裂

因過熱或過負荷容易引起內(nèi)爆或爆裂的部件（如監(jiān)視器等），本身應有防止內(nèi)爆和抗機械沖擊的安全措施。

7.1.21溫度、濕度適應性

對于工作中的系統(tǒng)設(shè)備，應能在溫度0℃～40℃、濕度30%～90%（40℃）的條件下正常工作。對于結(jié)構(gòu)一體化產(chǎn)品中裝入的某些設(shè)備，當其環(huán)境適應性達不到本標準要求時，應在產(chǎn)品標準中作特殊說明。

7.1.22振動適應性

系統(tǒng)設(shè)備振動適應性，應符合表6的要求。

7.1.23沖擊適應性

系統(tǒng)設(shè)備沖擊適應性，應符合表7的要求。

7.1.24碰撞適應性

系統(tǒng)設(shè)備碰撞適應性，應符合表8的要求。

7.1.25可靠性

采用平均無故障時間衡量系統(tǒng)設(shè)備的可靠性水平。系統(tǒng)中硬件設(shè)備的平均無故障時間不得低于4000h。

7.2環(huán)境物理安全技術(shù)要求

7.2.1場地選擇

7.2.1.1避開易發(fā)生火災危險程度高的區(qū)域。

7.2.1.2應避開有害氣體來源以及存放腐蝕、易燃、易爆物品的地方。

7.2.1.3應避開低洼、潮濕、落雷區(qū)域和地震頻繁的地方。

7.2.1.4應避開強振動源和強噪聲源。

7.2.1.5應避開強電磁場的干擾。

7.2.1.6應避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。

7.2.1.7機房所在的建筑物防雷措施應符合GB50057—2000中的“第二類防雷建筑物的防雷措施”的技術(shù)要求。

7.2.2機房防火

7.2.2.1機房和重要的記錄介質(zhì)存放間，其建筑材料的耐火等級，應符合GBJ16-1987(2001年版)中規(guī)定的一級耐火等級；機房相關(guān)的其余基本工作房間和輔助房，其建筑材料的耐火等級應不低于GBJ16-1987(2001年版)中規(guī)定的二級耐火等級。

7.2.2.2設(shè)置火災自動消防系統(tǒng)，能自動檢測火情、自動報警，并自動切斷電源和其他應急開關(guān)，自動啟動事先固定安裝好的滅火設(shè)備進行自動滅火。

7.2.2.3機房布局要將脆弱區(qū)和危險區(qū)進行隔離，防止外部火災進入機房，特別是重要設(shè)備地區(qū)，安裝防火門、使用阻燃材料裝修等。

7.2.2.4機房裝修材料應符合GB9361—1988中規(guī)定的難燃材料和非燃材料，應能防潮、吸音、不起塵、抗靜電等。

7.2.2.5機房的活動地板應是難燃材料或非燃材料，活動地板應有穩(wěn)定的抗靜電性能和承載能力，同時耐油、耐腐蝕、柔光、不起塵等。具體要求應符合SJ/T16796-2001《靜電活動地板通用規(guī)范》。

7.2.3電磁輻射衛(wèi)生防護

機房內(nèi)的電磁輻射防護限值應達到GB8702—1988和GB9175-1988中的要求。在工作期間，機房內(nèi)工作人員經(jīng)常出入的部位（工作室、值班室、休息室），電磁輻射電場強度和磁場強度，在任意連續(xù)6分鐘內(nèi)的平均值不應超出表9的給出的限值。

7.2.4機房屏蔽

7.2.4.1機房采取屏蔽措施，防止外部電磁場對計算機及設(shè)備的干擾，同時也抑制電磁信息的泄漏。

7.2.4.2應采用屏蔽效能良好屏蔽電纜作為機房的引入線（包括電源線、信號線）。屏蔽電纜應經(jīng)過質(zhì)量確認后方可使用。

7.2.4.3機房的信號電纜線（輸入／輸出）端口和電源線的進、出端口應加裝濾波器。電纜連接處應采取屏蔽措施，抑制電磁噪聲干擾與電磁信息泄漏。

7.2.4.4機房內(nèi)無線電干擾場強，應滿足GB/T2887-2000中4.3.5.1的要求。

7.2.4.5機房內(nèi)磁場干擾場強，應滿足GB/T2887-2000中4.3.5.2的要求

7.2.5供電系統(tǒng)

7.2.5.1機房供電電源設(shè)備的容量應具有一定的余量。

7.2.5.2機房供電系統(tǒng)應將信息系統(tǒng)設(shè)備供電線路與其它供電線路分開，應配備應急照明裝置。

7.2.5.3應配置線路穩(wěn)壓濾波裝置，保證機房供電電源質(zhì)量符合GB50174-1993中規(guī)定的A級要求。

7.2.5.4應配置電源保護裝置，加裝浪涌保護器。

7.2.5.5機房應建立交流不間斷供電系統(tǒng)，保證機房內(nèi)信息系統(tǒng)設(shè)備24小時運行。

7.2.5.6機房內(nèi)活動地板下部的低壓配電線路宜采用銅芯屏蔽導線或銅芯屏蔽電纜。

7.2.5.7活動地板下部的電源線應盡可能遠離系統(tǒng)信號線路，并避免并排敷設(shè)。當不能避免時，應采取相應的屏蔽措施。

7.2.5.8機房電源系統(tǒng)的所有接點均應鍍錫處理，并且冷壓連接。

7.2.6靜電防護

7.2.6.1電接地的連接線應有足夠的機械強度和化學穩(wěn)定性。防靜電地面應采用導電橡膠與接地導體粘接，接觸面積不應小于10cm2。

7.2.6.2防靜電地線不得接在電源零線上，應單獨接在地線匯集點。

7.2.6.3防靜電工作區(qū)的環(huán)境相對濕度應控制在于40%－70%范圍內(nèi)為宜。

7.2.6.4人員服裝采用不易產(chǎn)生靜電的衣料，工作鞋選用低阻值材料制作。

7.2.6.5靜電接地的連接線應有足夠的機械強度和化學穩(wěn)定性。接地母線截面積應不小于25mm2；支線截面積應不小于16mm2；設(shè)備和工作臺的接地線應采用截面積不小于10mm2的多股銅質(zhì)導線。

7.2.6.6主機房內(nèi)絕緣體的靜電電位不應大于1kV。

7.2.6.7主機房內(nèi)的導體應與大地作可靠的連接，不應有對地絕緣的孤立導體。

7.2.6.8當鋪設(shè)防靜電地面時，防靜電地面可用導電橡膠與建筑物地面粘牢，防靜電地面的體積電阻率均勻，應為1.0×107～1.0×1010Ω.cm，其導電性能應長期穩(wěn)定，且不易發(fā)塵。

7.2.6.9主機房內(nèi)的工作臺面及座椅墊套材料應是防靜電的，其體積電阻率應為1.0×107～1.0×1010Ω.cm。

7.2.6.10機房內(nèi)的防靜電地面、活動地板、工作臺面合座椅墊套應進行靜電接地。

7.2.7防雷電

7.2.7.1系統(tǒng)所在建筑物的防雷技術(shù)要求應符合GB50057—2000中“第二類防雷建筑物的防雷措施”要求。

7.2.7.2系統(tǒng)中所有的設(shè)備和部件應安裝在有防雷保護的范圍內(nèi)。

7.2.7.3系統(tǒng)電源線應設(shè)置電源浪涌保護器（SPD），其沖擊通流容量及限制電壓應按GA267-2000中表1選取。

7.2.7.4系統(tǒng)信號輸入/輸出線應設(shè)置信號浪涌保護器（SPD），其沖擊通流容量和限制電壓應按GA267-2000中表2選取。

7.2.7.5防雷保護地的接地電阻不應大于1.5Ω。當土壤電阻率大于2000Ω.M時，系統(tǒng)接地電阻不得大于8Ω。

7.2.7.6不得在建筑物屋頂上敷設(shè)電源或信號線路。必須敷設(shè)時，應穿金屬管進行屏蔽防護，金屬管應進行等電位連接。

7.2.7.7系統(tǒng)電源及系統(tǒng)輸入/輸出信號線，應分不同層次，采用多級雷電防護措施，涉及的內(nèi)容包括：系統(tǒng)電源線和信號線引入處、前端供電設(shè)備和信號線分線箱、計算機電源接口和信號線接口。

7.2.7.8機房內(nèi)應裝設(shè)等電位匯集環(huán)，室內(nèi)的金屬裝置（包括金屬門窗、機柜箱金屬外殼等）就近進行等電位連接。

7.2.8接地

7.2.8.1主機房應采用四種接地方式：

a)交流工作接地，接地電阻不應大于4Ω；

b)安全保護接地，接地電阻不應大于4Ω；

c)直流工作接地，接地電阻應按計算機系統(tǒng)具體要求確定；

d)防雷接地，應按GB50057—2000執(zhí)行。

7.2.8.2交流工作接地、安全保護接地、直流工作接地和防雷接地四種接地應共用一組接地裝置，其接地電阻按其中最小值確定。若防雷接地單獨設(shè)置接地裝置時，其余三種接地應共用一組接地裝置，其

接地電阻不應大于其中最小值，并應按GB50057—2000《建筑物防雷設(shè)計規(guī)范》要求采取防止反擊措施。

7.2.8.3機防內(nèi)設(shè)備的金屬外殼、機柜、機架、金屬管、槽、屏蔽線纜外層、防靜電接地、浪涌保護器接地端等勻應以最短的距離與等電位連接網(wǎng)絡的接地端子連接，連接線應采用多股銅質(zhì)金屬線，其截

面積不小于16mm2。

7.2.8.4等電位連接網(wǎng)絡宜采用銅排或銅帶，其截面積不應小于50mm2。

7.2.8.5對直流工作接地有特殊要求需單獨設(shè)置接地裝置的系統(tǒng)，接地電阻值及其它接地體之間的距離，應按照技術(shù)機系統(tǒng)及有關(guān)規(guī)范的要求確定。

7.2.9溫濕度控制

7.2.9.1應有完備的中央空調(diào)系統(tǒng)，保證機房各個區(qū)域的溫度變化能滿足計算機運行、人員活動和其它輔助設(shè)備的要求。

7.2.9.2對設(shè)備布置密度大、設(shè)備發(fā)熱量大的主機房宜采用活動地板下送上回方式。

7.2.9.3機房空氣調(diào)節(jié)控制裝置應滿足計算機系統(tǒng)對溫度、濕度以及防塵的要求。

7.2.9.4空調(diào)系統(tǒng)的制冷能力，應留有15%～20%的余量。

7.2.9.5空調(diào)系統(tǒng)應向安全防范中心提供接口，反映系統(tǒng)工作狀況，并支持遠程控制。

7.2.10防水

7.2.10.1水管安裝不得穿過屋頂和活動地板，穿過墻壁和樓板的水管應使用套管，并采取可靠的密封措施。

7.2.10.2應有有效的防止給水、排水、雨水通過屋頂和墻壁漫溢和滲漏的措施。

7.2.10.3機房應安裝漏水檢測裝置，并有報警裝置。

7.2.10.4漏水檢測系統(tǒng)應向安全防范中心提供接口，反映系統(tǒng)工作、報警狀況。

7.2.11防蟲鼠害

7.2.11.1在易受蟲鼠害的場所，機房內(nèi)的線纜上應涂敷驅(qū)蟲、鼠藥劑。

7.2.11.2在易受鼠害的場所，機房內(nèi)應設(shè)置捕鼠和驅(qū)鼠裝置。

7.2.12防盜防毀

7.2.12.1機房應裝防護窗、防盜門，門窗及重要部位應裝防盜報警裝置，進行本地和異地報警。

7.2.12.2機房應裝設(shè)視頻監(jiān)控系統(tǒng)，對通道、核心設(shè)備等重要部位進行監(jiān)視。

7.2.12.3報警設(shè)備應能與視頻監(jiān)控系統(tǒng)及出入口控制設(shè)備聯(lián)動，實現(xiàn)對機房出入人員、重要部位進行有效的監(jiān)視并記錄。

7.2.13出入口控制

7.2.13.1機房應設(shè)單獨出入口，另設(shè)多個緊急疏散出口，標明疏散線路和方向，應設(shè)置疏散照明和安全出口標志燈。機房出入口應有專人負責，未經(jīng)允許的人員不準進入機房。

7.2.13.2攜帶物品進出機房時，應持有攜物證。對可疑人員應檢查其攜帶物品的內(nèi)容，危險物品及可燃物品不準帶入機房。

7.2.13.3應對出入口通道進行視頻監(jiān)控。

7.2.13.4機房出入口配置電子門禁系統(tǒng)，鑒別進入的人員身份并登記在案。

7.2.13.5應對重要區(qū)域配置第二道電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員身份并監(jiān)控其活動。

7.2.14安全防范中心

7.2.14.1應設(shè)置安全防范中心，建立完善的安全防范管理系統(tǒng)。通過安全防范管理系統(tǒng)實現(xiàn)監(jiān)控中心對視頻監(jiān)控系統(tǒng)、出入口控制系統(tǒng)等各子系統(tǒng)的自動化管理與監(jiān)控。

7.2.14.2應能對視頻監(jiān)控系統(tǒng)、出入口控制系統(tǒng)等各子系統(tǒng)的運行狀態(tài)進行監(jiān)測和控制，應能對系統(tǒng)運行狀況和報警信息數(shù)據(jù)等進行記錄和顯示。

7.2.14.3安全管理系統(tǒng)的故障應不影響各子系統(tǒng)的運行；某一子系統(tǒng)的故障應不影響其他子系統(tǒng)的運行。

7.2.15記錄介質(zhì)安全

7.2.15.1設(shè)置記錄介質(zhì)庫，對出入介質(zhì)庫的人員實施記錄，無關(guān)人員不得入內(nèi)。

7.2.15.2對有用數(shù)據(jù)、重要數(shù)據(jù)、使用價值高的數(shù)據(jù)和秘密程度很高的數(shù)據(jù)以及對系統(tǒng)運行和應用起關(guān)鍵作用的數(shù)據(jù)記錄介質(zhì)實施分類標記、登記并保存。

7.2.15.3記錄介質(zhì)庫應具備措施防盜、防火功能，對于磁性介質(zhì)應該有防止介質(zhì)被磁化措施。

7.2.15.4記錄介質(zhì)的借用應規(guī)定審批權(quán)限，對于系統(tǒng)中有很高使用價值或很高秘密程度的數(shù)據(jù)，應采用加密等方法進行保護。

7.2.15.5對于應該刪除和銷毀的重要數(shù)據(jù)，要有嚴格的管理和審批手續(xù)，并采取有效措施，防止被非法拷貝。

7.2.16人員與職責要求

在滿足第三級要求的基礎(chǔ)上，要求安全管理滲透到計算機信息系統(tǒng)各級應用部門，對物理安全管理活動實施質(zhì)量控制，建立質(zhì)量管理體系文件。要求獨立的評估機構(gòu)對使用的安全管理職責體系、計算機信

息系統(tǒng)物理安全風險控制、管理過程的有效性進行評審，保證安全管理工作的有效性。

對不同安全區(qū)域?qū)嵤└綦x，建立出入審查、登記管理制度，保證出入的得到明確受權(quán)。對標記安全區(qū)域內(nèi)的活動進行不間斷實時監(jiān)視記錄。建立出入安全檢查制度，保證出入人