通过等保2.0分析系统的脆弱性：安全物理环境篇

【摘要】等级保护 2.0 不仅仅只是几张纸，实际落地有太多坑点需要一一面对。作者来自医疗行业，通过等级保护 2.0 三级通用要求结合遇到过的案例和所掌握的知识，分享系统建设中的各种经验教训。本篇为安全物理环境篇。

1、 物理位置选择

a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内；

b) 机房场地应避免设在建筑物的顶层或地下室 , 否则应加强防水和防潮措施。

南方地区雨水多，机房放置在地下室或者顶层，每当下雨的时候，特别是台风暴雨，在家时刻都得担心着雨水会不会倒灌，说是有漏水检测，也做了相应的倒灌保护，可能都挡不住南方的暴雨，当水遇到漏水检测的时候其实已经来不及了，很多机房的设计通过下走线，如果雨水碰到了地下的电路、网线、光纤，导致短路、被腐蚀，影响的将是全部的信息系统，长期潮湿或者是非常干燥的环境也影响了基础设施的正常运作。

如果机房是靠建筑物外层墙壁的，需要注意外立面是否做了防水，经常浸水会导致墙面松动，如果墙面靠近了配电柜、 UPS 等设备，仍然有短路的风险。

机房不设置在顶层考虑是承重的要求，信息机房对于承重要求是大于 400 ㎏ / ㎡ ， 而 UPS 机房的承重要求是大于 800 ㎏/ ㎡。

医院信息机房要满足 B 级机房要求， B 级机房还要求不能在停车场 10 米范围内、铁路高速公路 100 米范围内、飞机场 1600 米范围内、化工厂和垃圾填埋场 400 米范围内、军火库 1600 米范围内、核电站 1600 米范围内、地震断层或滑坡危险区域、犯罪高发区域。

2 、 物理访问控制

a) 机房出入口应配置电子门禁系统 , 控制、鉴别和记录进入的人员。

带着一大串钥匙去巡检的经历历历在目，毕竟以前都只用门禁卡，现在想想可能就像一个仓库保管员一样，不仅要关心机房里面的设备是否正常，还得时刻关注这个钥匙在不在，钥匙是否被借用出去了，正规的流程还要带着借钥匙的人去现场，体验过电子门禁系统后那真是方便了不少，特别是指纹生物识别，卡可以外借，可以通过手机 NFC 功能模拟实体卡，指纹一般难以拟造，不让非授权人员进入，直接完美解决了控制、鉴别和记录的要求，也免去了找钥匙的过程。

3 、 防雷击

a）应将各类机柜、设施和设备等通过接地系统安全接地；

b）应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。

在机房正式启用前需要对机房内所有金属载体都要进行接地防雷检测，在市电接入时要添加浪涌防雷保护器。

4 、 防火

a ）机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；

b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；

c ）应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。

B 级机房其实对防火灭火有了专门的要求。机房内建议使用洁净气体灭火装系统，比如像二氧化碳和七氟丙烷，不是说不能用泡沫灭火器或者水雾灭火，而是这类灭火可能会影响到设备；此外我们还要保证灭火系统是自动的，真的出了火灾手动的操作肯定会带来无法挽回的损伤。

使用自动洁净气体灭火，还需要在机房内开泄压口，防止灭火气体喷出后导致机房内压强过大而影响设备，二氧化碳灭火通过不可燃气体致使火源不可燃，而七氟丙烷灭火是通过和空气中的氧气发生化学反应减少氧气含量，不管是哪种灭火方式，当灭火气体喷出时，在机房内部的人一定要及时出机房，以免产生人员伤亡。

5 、 防盗窃和防破坏

a) 应将设备或主要部进行固定，并设置明显的不易除去的标识；

b) 应将通信线缆铺设在隐蔽安全处；

c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统。

之前走进机房虽然我能给大家熟练的介绍出每台设备的功能，但是同事可能出了机房门就已经忘记了，在大家心目中最重要的就是 HIS ， 但是在现在的系统架构下，很多都是我们需要关注的点，大量的模块化系统跑在虚拟化上，部分应用层二层转变成三层架构，虚拟化的重要程度已不亚于 HIS 的数据库，安全设备还有以物理串联的方式接入在核心系统前面的，这些都是重要的关注点，我们其实应该知晓其功能作用和 IP 地址，方便大家平时运维。

对于线缆的铺设我其实更喜欢是凌空桥架，就在第一点“物理环境选择”中说的如果放在地板下不仅是运维不方便可能还会造成其他问题。

我的同事有些真的很负责，值班的时候机房门是否关了都会确认好几次，下班前也会再确认一遍，每当机房门没关紧里面没有人，他（她）们就会问大家是否有人进去过了，有了视频监控就方便多了，而且如果工程师在机房出现了误操作，也能定位到是谁，操作了哪个机柜的设备，其实这也如同日志审计，不让操作无迹可寻，所以我对视频记录的保存要求其实和网安法里对日志的要求一样要 180 天。

6 、 防水和防潮

a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；

b) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；

c) 应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

除了第一点中提到的墙壁渗水，我们除了注意外部的雨水，还要注意楼宇内部和机房内部的水，合理的机房设计上部和内部不应该出现水管等流水管道，在机柜的顶部和机房的地板下部也应该设计导水槽，防止流水进入机房内部后落到设备和线路上。

综上所述合理的机房设计内部就不应该出现精密空调，因为精密空调需要水管进水，但是现在冷池的列式空调一定是在机房内部的，此时我们就要注意提供给精密空调的水是否经过净化和电力，去除杂质，精密空调的加湿也是一个电离的过程，直接用自来水，水中的氯气会和别的物质形成氯化物沉淀在出水口上，沉淀多了堵住出水管，导致进水外溢，就会导致机房浸水。

应当注意保持精密空调的温度、湿度在一个合理的范围内，当我们的新机房没有很多产热量时，精密空调的工作压力小，制冷量保持不变，导致机房内空气一直保持比较低的温度，没办法及时升温，空气中的水分就会凝结在设备、地板、墙面上，如果机房门一直开着，机房外部的水分也会进入，大量的水分凝结在设备及设备内部，就严重影响了设备的运行环境，这时我们可以将空调温度设置高，并且开启空调的制热功能，热量让水分蒸发，所以机房不仅需要制冷，有时候制热也很重要。

7 、 温湿度控制

a) 应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围之内。

B 级机房的温度要控制在 23 ± 1 ℃（ UPS 机房温度可以在 15-25 ℃），变化率小于 5 ℃ / h ，湿度要控制在 45%-55% ，不得结霜，其实要求很高，很多控制不好其实是精密空调的制冷量没有达到，精密空调压缩机停止后要几分钟后才能启动，如果一台空调宕机，另一台也完全可以支撑整个机房的制冷需要。如果精密空调只有一台，此时停机了没办法在几分钟内一直保持 28 ℃以内，很有可能就超过该温度，在空调制冷量选择上，我们应该先把整个机房的机柜按照标准的方式算满，然后在除以 75% 得到单台空调需要配置的制冷量，这样两台空调同时工作每台就有 25% 的制冷量富裕，不让空调压力太大。

还有一种情况就看机房的设计方式，是传统的还是冷池，冷池列式空调送风、下送风、上送风还是自有送风，不同的送风方式、机房内机柜布局、机柜内设备制热量不同都会影响机房内局部或者整体温度，要控制好整体和局部温度就得控制好空调的送风精准度，虽然我们用到了冷池结构，但是对于冷量的高效利用，我更偏向于精准的机柜下送风，减小制冷量的浪费。

8 、 电力供应

a) 应在机房供电线路上配置稳压器和过电压防护设备；

b) 应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求；

c) 应设置冗余或并行的电力电缆线路为计算机系统供电。

不管是信息基础设施还是电力，都应该具备冗余的条件，不仅是提供给设备的供电是要冗余，还有空调、电灯等，如果设备的供电正常，空调没有冗余供电，导致长时间运行机房温度过高，设备依然会宕机，没有起到全面供电保护的效。

双路市电我们要考虑每路市电的电量都能满足机房全部设备的运行，并留出 30% 以上的冗余，我们一般会通过 ATS 设备进行主备市电切换（切换功能一定要设置成自动）， ATS 的切换延时会在几百毫秒，几百毫秒的延时会导致电源断电，此时就需要 UPS 来支撑机房设备的供电，而精密空调可以在 ATS 断电切换后重新来电启动，这点非常重要，如果来电无法自启动的空调将给晚上值班的同事带来很大的压力。

一般出现一路市电断路的情况很正常，但是两路同时断电的情况就比较少，可能两路同时断电全院的其他供电也是中断的，此时就要考虑 UPS 供电能否满足这段时间内的供电时长要求，如果 UPS 的电量用完了，能否在来电的时候快速的恢复设备和系统状态，确保在临床进入医疗工作状态前恢复，这些除了供电、硬件配合，还需要系统、软件上的优化设置。

供电到机房后，我们要考虑关键节点的设备是冗余电源，并且电源插座插在不同的电路上，同时还要保证交流三相电的平衡（三相电之间最好控制在 25% 以内），好的机房会有配电列头柜手动在线控制三相电平衡，如果没有的话就只能手工通过设备的分布去控制了，此时可能还要考虑热量分布等问题，所以难度相对又大了。

如果单电源的设备想实现电源冗余的效果，我们可以在机房内增加 STS 设备，该设备通过多路电源输入，再将电输出给其他设备，类似小型的 ATS ， 但是它的切换速度在几十毫秒，切换过程不会导致设备断电，是一个比较好的解决方式，也能通过 ATS 设备辅助去平衡三相电。

UPS 电池长期不放电其实对电池也有损耗，建议是每个季度能有一次 UPS 放电，顺便可以检测下 UPS 是否正常，电池的电容量是否正常，推断出当前电池能满足机房多久的供电，对于 UPS 电池放置我偏向于电池架，而且尽量让每一节电池都能靠在最外部，这样方便检测每节电池的电压、阻抗和故障，有钱的可以考虑给每节电池上监控点。

9 、 电磁防护

a) 电源线和通信线缆应隔离铺设，避免互相干扰；

b) 应对关键设备实施电磁屏蔽。

标准的设计我们会将强电和弱电线缆通过不同的桥架送入到每个机柜，我们可以看到那些老的机房，电源线和网线缠绕在一起，再加上以前的网线大多质量差没有屏蔽，很有可能因为电源导致网线信号传输时错包的概率增大，而光纤因为是光信号就没有电磁干扰的问题存在。在医院里还有很多放射型设备，开启的时候同样会有很大的电磁干扰，我们要确保这类设备时候的科室不在机房附近，并且机房本身做了严格的电磁屏蔽，隔绝外部的电磁干扰。

作者：沈潇

来源：twt社区