机房安全防护，主要包括

• 机房功能区域组成
• 房安全等级划分
• 机房场地选择要求
• 数据中心建设与设计要求
• 互联网数据中心
• CA 机房物理安全控制。

机房功能区域组成

按照《计算机场地通用规范（GB/T 2887 一 2011）》的规定，计算机机房可选用下列房间（允许一室多用或酌情增减）

• 主要工作房间：主机房、终端室等
• 第一类辅助房间：低压配电间、不间断电源室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室等
• 第二类辅助房间：资料室、维修室、技术人员办公室
• 第三类辅助房间：储藏室、缓冲间、技术人员休息室、盥洗室等

机房安全等级划分

根据《计算机场地安全要求（GB/T 9361-201D》，计算机机房的安全等级分为 A 级、B 级、C 级三个基本级别，下面分别介绍各级的特点：

• A 级：计算机系统运行中断后，会对国家安全、社会秩序、公共利益造成严重损害的；对计算机机房的安全有严格的要求，有完善的计算机机房安全措施。
• B 级：计算机系统运行中断后，会对国家安全、社会秩序、公共利益造成较大损害的：对计算机机房的安全有较严格的要求，有较完善的计算机机房安全措施。
• C 级：不属于 A、B 级的情况；对计算机机房的安全有基本的要求，有基本的计算机机房安全措施。

根据计算机系统的规模、用途，计算机机房安全可按某一级执行，也可按某些级综合执行。综合执行是指计算机机房可按某些级执行，如某计算机机房按照安全要求可选：电磁干扰 A 级，火灾报警及灭火 C 级。

机房场地选择要求

机房场地的选择至关重要，具体要求可从以下几个方面考虑：

环境安全性

• 应避开危险来源区。为了防止计算机机房遭到周围不利环境的意外侵害，应尽量避免将机房建在易燃易爆的场所，如化工库、油料库、液化气站或煤气站等火源附近。
• 应避开环境污染区，如化工污染区和有毒气体、腐蚀性气体污染区及尘埃较多的区域，如石灰厂、水泥厂和矿山等附近。
• 应避开盐雾区，如靠近海的区域或产盐区。
• 应避开落雷区域。

地质可靠性

• 不要建在杂填土、淤泥、流砂层以及地层断裂的地质区域上。
• 建在山区的计算机房，应避开滑坡、泥石流、雪崩和溶洞等地质不牢靠的区域。
• 建在矿区的计算机房，应避开采矿崩落区地段，也应避开有开采价值的矿区。
• 应避开低洼、潮湿区域

场地抗电磁干扰性

• 应避开或远离无线电干扰源和微波线路的强电磁场干扰场所，如广播电视发射台、雷达站。
• 应避开强电流冲击和强电磁干扰的场所，加距离电气化铁路、高压传输线、高频炉、大电机、大功率开关等设 200m 以上。

应避开强振动源和强噪声源

• 应避开振动源，如冲床、锻床、爆炸成形的场所。
• 应避开机场、火车站和车辆往来比较频繁的区域以及建筑工地、影剧院及其他噪声区，
• 应远离主要通道，并避免机房窗户直接临街。

应避免设在建筑物的高层以及用水设备的下层或隔壁

计算机机房应选用专用的建筑物。如果机房是大楼的一部分，应选用二层为宜，一层作为动力、配电、空调间等。同时，应尽量选择电力、水源充足，环境清洁，交通和通信方便的地方。此外，在进行机房场地的选择时，还要同时考虑计算机的功能与要求。对于机要部门信息系统的机房，还应考虑机房中的信息射频不易泄漏和被窃取。

数据中心建设与设计要求

数据中心通常是指为实现对数据信息的集中处理、存储、传输、交换、管理以及为相关电子信息设备运行提供运行环境的建筑场所。

《关于数据中心建设布局的指导意见》

数据中心建设和布局的基本原则

• 市场需求导向原则
• 资源环境优先原则
• 区域统筹协调原则
• 多方要素兼顾原则
• 发展与安全并重原则。

按照规模大小可将数据中心分为三类；

• 超大型数据中心:指规模大于等于 10000 个标准机架的数据中心
• 大型数据中心:指规模大于等于 3000 个标准机架小于 10000 个标准机架的数据中心
• 中小型数据中心:指规模小于 3000 个标准机架的数据中心

• 超大型数据中心的建设导向为重点考虑气候环境、能源供给等要素，特别是以灾备等实时性要求不高的应用为主，优先在气候寒冷、能源充足的一类地区建设，也可在气候适宜，能源充足的二类地区建设。
• 大型数据中心的建设导向为重点考虑气候环境、能源供给等要素，鼓励优先在一类和二类地区建设，也可在气候适宜、靠近能源富集地区的三类地区建设。
• 中小型数据中心的建设导向为重点考虑市场需求、要素，鼓励中小型数据中心，特别是面向当地、以实时应用为主的中小型数据中心，在靠近用户所在地、能源获取便利的地区建设，依市场需求灵活部署。

《数据中心设计规范（GB 50174 一 2017）》

2018 年 1 月 1 日起实施。本《设计规范》共有 13 章和 1 个附录，主要主要技术内容有：

• 总则
• 术语和符号
• 分级与性能要求
• 选址及设备布置
• 环境要求
• 建筑与结构
• 空气调节
• 电气
• 电磁屏蔽网络与布线系统
• 智能化系统
• 给水排水
• 消防与安全。

强制性条文内容如下：

• 8.4.4 数据中心内所有设备的金属外壳、各类金属管道、金属线槽、建筑物金属结构必须进行等电位联结并接地
• 13.2.1 数据中心的耐火等级不应低于二级；
• 13.2.4 当数据中心与其他功能用房在同一个建筑内时，数据中心与建筑内其他功能用房之间应采用耐火极限不低于 2.0h 的防火隔墙和 1.5h 的楼板隔开，隔墙上开门应采用甲级防火门

• 13.3.1 采用管网式气体灭火系统或细水雾灭火系统的主机房，应同时设置两组独立的火灾探测器，火灾报警系统应与灭火系统和视频监控系统联动；
• 13.4.1 设置气体灭火系统的主机房，应配置专用空气呼吸器或氧气呼吸器。

数据中心应划分为 A、B、C 三级，设计时应根据数据中心的使用性质、数据丢失或网络中断在经济或社会上造成的损失或影响程度确定所属级别

互联网数据中心

互联网数据中心（简称 IDC)是一类向用户提供资源出租基本业务和有关附加业务、在线提供 IT 应用平台能力租用服务和应用软件租用服务的数据中心。

互联网数据中心IDC 组成:

• 机房基础设施
• 网络系统
• 资源系统
• 业务系统管理系统
• 安全系统

《互联网数据中心工程程技术规范（GB 51195 一 2016）》规定 IDC 机房分成R1、R2、R3 三个级别。其中各级 IDC 机房要求如下：

• R1 级 IDC 机房的机房基础设施和网络系统的主要部分应具备一定的冗余能力，机房基础设施和网络系统可支撑的 IDC 业务的可用性不应小于 99.5％；
• R2 级 IDC 机房的机房基础设施和网络系统应具备冗余能力，机房基础设施和网络系统可支撑的 IDC 业务的可用性不应小于 99.9％：
• R3 级 IDC 机房的机房基础设施和网络系统应具备容错能力，机房基础设施和网络系统可支撑的 IDC 业务的可用性不应小于 99.99％。

《互联网数据中心工程技术规范（GB 51195 一 2016）》自 2017 年 4 月]日起实施。其中，第 1.0.4、4.2.2 条为强制性条文，必须严格执行。强制性条文内容具体如下：

• 1.0.4 在我国抗震设防烈度 7 度以上（含 7 度）地区 IDC 工程中使用的主要电信设备必须经电信设备抗震性能检测合格。
• 4.2.2 施工开始以前必须对机房的安全条件进行全面检查，应符合下列规定。 1) 机房内必须配备有效的灭火消防器材，机房基础设施中的消防系统工程应施工完毕，并应具备保持性能良好，满足 IT 设备系统安装、调测施工要求的使用条件。 2) 楼板预留孔洞应配置非燃烧材料的安全盖板，己用的电缆走线孔洞应用非燃烧材料封堵。 3) 机房内严禁存放易燃、易爆等危险物品。4) 机房内不同电压的电源设备、电插座应有明显区别标志。

CA 机房物埋安全控制

CA 机房物理安全是认证机构设施安全的重要保障，国家密码管理局发布《电子政务电子认证服务业务规则规范》，对 CA 机房的物理安全提出了规范性要求。

1. 物理环境按照 GM/T 0034 的要求严格实施，具有相关屏蔽、消防、物理访问控制、入侵检测报警等相关措施，至少每五年进行一次屏蔽室检测。
2. CA 机房及办公场地所有人员都应佩戴标识身份的证明。进出 CA 机房人员的物理权限应经安全管理人员根据安全策略予以批准。
3. 所有进出 CA 机房内的人员都应留有记录，并妥善、安全地保存和管理各区域进出记录（如监控系统录像带、门禁记录等）。确认这些记录无安全用途后，才可进行专项销毁。
4. 建立并执行人员访问制度及程序，并对访问人员进行监督和监控。安全人员定期对 CA 设施的访问权限进行内审和更新，并及时跟进违规进出 CA 设施物理区域的事件。
5. 采取有效措施保护设备免于电源故障或网络通信异常影响。
6. 在处理或再利用包含存储介质（如硬盘）的设备之前，检查是否含有敏感数据并对敏感数据应物理销毁或进行安全覆盖。
7. 制定相关安全检查、监督策略，包括且不限于对内部敏感或关键业务信息的保存要求、办公电脑的保护要求、CA 财产的保护要求等。

学习参考资料：

信息安全工程师教程（第二版）

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼