《智慧校园信息安全体系建设方案.doc》由会员分享,可在线阅读,更多相关《智慧校园信息安全体系建设方案.doc(37页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、智慧校园信息安全体系建设方案在信息化校园平台系统的建设过程中,计算机系统安全建设是一个必不可少的环节。该系统不仅是一个涉及多部门、多业务、多应用的信息系统,而且其安全性涉及到每个公民的切身利益。1.1. 安全风险分析通过引用TCP/IP分层结构,逐层分析各层次所面临的风险,基于网络的信息安全风险可划分为五个安全层,即物理层、网络层、系统层、应用层和安全管理层。1.1.1. 物理层安全风险物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。例如:设备被盗、被毁坏;设备老化、意外故障;计算机系统通过无线电辐射泄露秘密信息等。1.1.2. 网络层安全风险网络
2、层的安全风险主要包括数据的泄露与篡改、中间业务网络的安全威胁、互联网出口的安全威胁。数据泄露与篡改的安全威胁:同级局域网和上下级网络数据传输线路之间存在被窃听的威胁,同时局域网内部也存在着内部攻击,敏感信息可能被侵袭者搭线窃取和篡改。关键业务网络的安全威胁:一般来讲,关键的业务网络由于提供服务,网络的一端可能处于一个较为开放的网络环境中,或者很可能与INTERNET网络进行互连,所以业务网络环境的复杂性和开放性成为关键业务网络系统潜在威胁的最大来源。互联网出口的安全威胁:机构或企业的内部办公、业务网络与互联网Internet不可避免地相互联通,这种边界的安全威胁是最大最不可靠的。随着互联网技术
3、的发展,基于网络的黑客攻击技术,入侵技术也在飞快的发展,这些攻击具有方式多种多样,破坏性较大,入侵工具简单易用等特点,这些都使机构或企业网络系统面临巨大的安全风险,严重影响业务的进行。1.1.3. 系统层安全风险系统级的安全风险分析主要针对网络中采用的操作系统、数据库及相关商用产品的安全漏洞和病毒威胁。目前主流的操作系统包括各种商用Unix、Windows、Linux以及各种网络设备或网络安全设备中的专用操作系统。这些操作系统自身也存在许多安全漏洞。随着黑客的技术手段日益高超,新的攻击手段也不断出现。有的是协议自身的问题,有的是系统自身设计不完善造成的,因此,主机系统本身的各种安全隐患,注定将
4、带来各种攻击的可能性。基于这些主机系统之上的业务也将不同程度的受到威胁。1.1.4. 应用层安全风险应用层的安全风险主要表现为身份认证漏洞。主要包括:l 服务系统登录和主机登录使用的静态口令问题,这样非法用户通过网络窃听、非法数据库访问、穷举攻击、重放攻击等手段很容易得到这种静态口令。l 对关键业务服务器的非授权访问:业务服务器是网络系统中提供信息数据服务的关键,许多信息只有相应级别用户才能查阅。l 信息泄漏:如果没有完善的安全措施,可能会有非法用户没有经过允许直接访问网络资源,造成机密信息外泄。1.1.5. 管理层安全风险责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安
5、全风险。建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案。因此,最可行的做法是管理制度和网络安全解决方案相结合。1.2. 系统安全体系信息化校园平台系统的安全体系设计属于系统工程的设计,不是某种单元安全技术能够解决的。安全体系的设计必须以科学的安全体系结构模型为依据,才能保证系统安全体系的完备性、合理性。为了系统、科学地分析安全方案涉及的各种安全问题,通过分析和综合,提出了三维安全体系结构,其结构图如下:三维安全体系结构图1.2.1. 安全服务维安全服务维从安全服务的角度,表示了系统安全的具体内容,包括:l 数据保密性:数据存储和传输时加密,防止数据窃取、窃听。l 数据完整性:防止
6、数据篡改。l 访问控制性:防止非授权使用资源或以非授权的方式使用资源。l 身份认证性:用于确认所声明的身份的有效性。l 安全审计:设置审计记录措施,分析审计记录。l 可用性、可靠性:在系统降级和受到破坏时能使系统继续完成其功能,使得在不利条件下尽可能少地受到侵害者的破坏。1.2.2. 协议层次维协议层次维由ISO/OSI参考模型的七层构成,与TCP/IP层次对应,可以把会话层、表示、应用层统一为“应用层”。从协议层次的角度来表示系统安全体系的分布。总结为物理层、链路层、网络层、传输层、应用层。1.2.3. 系统单元层系统单元层从系统安全的角度表示了系统安全体系各个方面的内容,包括应用系统安全、
7、数据系统安全、网络平台安全、物理安全。贯穿于上述四个方面是安全管理。通过技术手段和行政管理手段,安全管理将涉及到各系统单元在各个协议层次提供的各种安全服务,构成整个系统的安全体系结构。1.3. 网络系统安全1.3.1. 网络安全概述网络为人们提供了极大的便利。但由于构成Internet的TCP/IP协议本身缺乏安全性,网络安全成为必须面对的一个实际问题。网络上存在着各种类型的攻击方式,包括:窃听报文 攻击者使用报文获取设备,从传输的数据流中获取数据并进行分析,以获取用户名/口令或者是敏感的数据信息。通过Internet的数据传输,存在时间上的延迟,更存在地理位置上的跨越,要避免数据不受窃听,基
8、本是不可能的。IP地址欺骗 攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输,或者是伪造一些可接受的路由报文(如发送ICMP的特定报文)来更改路由信息,以窃取信息。源路由攻击 报文发送方通过在IP报文的Option域中指定该报文的路由,使报文有可能被发往一些受保护的网络。端口扫描 通过探测防火墙在侦听的端口,来发现系统的漏洞;或者事先知道路由器软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击,使得路由器整个DOWN掉或无法正常运行。拒绝服务攻击 攻击者的目的是阻止合法用户对资源的访问。比如
9、通过发送大量报文使得网络带宽资源被消耗。Mellisa宏病毒所达到的效果就是拒绝服务攻击。最近拒绝服务攻击又有了新的发展,出现了分布式拒绝服务攻击,Distributed Denial Of Service,简称DDOS。许多大型网站都曾被黑客用DDOS方式攻击而造成很大的损失。应用层攻击 有多种形式,包括探测应用软件的漏洞、“特洛依木马”等。另外,网络本身的可靠性与线路安全也是值得关注的问题。1.3.2. 访问控制安全策略在网络系统设计中我们认为采用L3 MPLS VPN与VLAN、IP Sec组合组网方式,可实现不同部门、不同的应用系统之间进行隔离,实现对跨系统、跨部门的访问控制。其本身已
10、经能够提供的安全机制,可保证访问控制的安全。下面针对标书中提出的具体要求,给出具体的实现方案。单位内部工作人员的安全方案:单位内部工作人员安全要求:1)能访问本系统内部的服务器2)能访问公共系统的服务器3)能访问单位内部公文、业务处理系统的服务器4)不允许被其他单位用户访问单位内部工作人员安全实施方案:单位内部工作人员属于单位的内部网网络VPN,为实现上述功能,需要将本系统内部的服务器VPN,公共系统服务器VPN,电子公文交换系统VPN,业务处理系统VPN的路由注入本单位内部网络VPN中。由于VPN之间的路由表彼此隔离,其他VPN不能访问本VPN。系统内部服务器的安全方案:系统内部服务器安全要
11、求:1)允许和本系统内部其他同一系统单位的服务器通信2)允许本单位和本系统内其他单位的授权用户访问3)不允许其他用户访问系统内部服务器安全实施方案:同一系统内部服务器在同一个VPN中。通过将本单位内部网络VPN及本系统内其他单位内部网络VPN的路由注入本系统内部服务器VPN。由于VPN之间的路由表彼此隔离,其他非本系统单位的用户位于其他单位内部网络的VPN中,因此不能访问本单位内部网络VPN。由于VPN之间的路由表彼此隔离,其他VPN不能访问本VPN。公共服务器网段的安全方案公共服务器网段安全要求:1)允许其他网段访问本网络中的服务器2)允许本网段访问其他网段公共服务器网段安全实施方案:公共服
12、务器本身是开放的,因此将公共服务器VPN的路由与其他所有允许访问本VPN的用户所在的VPN的路由互相进行分发。从安全性的角度考虑,我们建议允许公共服务器网段的访问其他网段,因为这样可能导致个别部门的用户如果攻击公共服务器并获得对该服务器的控制权后,可以从该服务器出发访问到其他所有网络,潜在的安全风险比较大。因此,我们解决办法是用防火墙来隔离公共服务器,或用NAT地址转换来实现。特殊需求人员安全方案: 特殊需求人员安全要求:1)不允许其他用户访问该网段2)允许本网段访问多个系统的系统服务器网段和公共服务器网段3)不允许其它用户的机器非法连接到其物理交换端口特殊需求人员安全实施方案:由于VPN之间
13、的路由表彼此隔离,其他VPN不能访问本VPN。为该类用户单独分配一个IP子网/VLAN/VPN,将该VPN的路由与其他系统服务器网段所在的VPN和公共服务器VPN互相进行分发。我们本次应标选择的交换机均具备端口的MAC地址限制功能,即限制某个端口只允许有某个固定的MAC地址的机器进入网络,因此其他用户即使接到同一个物理端口,也无法正常使用。统一办公网络安全方案统一办公网络安全要求:有多个机关单位在同一个地方办公(中区一楼大厅),每个机关单位都有一个或多个员工在一起办公,需要访问其每个单位系统内部的服务器。统一办公网络实施方案:在中区一楼大厅中办公的每个不同单位的员工分配不同的IP子网/VLAN
14、,并分别加入其单位内部网络VPN中,由于单位内部网络VPN是允许访问系统内部的服务器的,因此可以实现安全要求。临时访问单位内部网的安全方案:临时访问单位内部网的安全要求:在办公网内其他部门办事,临时需要访问本单位内部网络或服务器网段。临时访问单位内部网的实施方案:由于所有单位都能够访问系统的公共服务器VPN,每个单位使用一个公共的IP地址加入公共服务器的VPN中,需要提供此功能的单位需要提供一台有两块网卡的服务器,一块网卡在公共服务器VPN中,根据不同单位安全性的要求,另一块网卡在单位内部网络VPN或系统内部服务器VPN中,在服务器上运行Pptp/IPsec服务器,当用户在办公网中其他部门办事
15、的时候,可以通过Pptp/IPsec拨号到该服务器上,并通过该服务器访问本部门内部网络或服务器网段。该服务器由各单位自己负责维护,管理不同用户的密码及访问权限控制,对安全要求比较高的用户,通过以上方案可实现安全要求。同一单位,分布在不同地方的应用安全方案同一单位,分布在不同地方的应用安全要求:同一单位,办公地点不在同一个地理位置,需要互相访问。同一单位,分布在不同地方的应用安全实施方案:将不同办公地方的IP子网/VLAN都划入单位内部网络 VPN,可实现安全需求。各单位特殊人员安全访问方案各单位特殊人员安全访问安全要求:每个单位有一至几个人员,他们可以访问同时几个系统内部服务器,别人无法访问他
16、们,且除他们之外其他用户无权限同时访问几个系统内部服务器。各单位特殊人员安全访问实施方案:每个单位的这些特殊人员如果想访问非本系统的服务器,可以通过PPTP/IPsec拨号到相应服务器所属单位的访问服务器上(该服务器有一个以太网端口在公共服务器VPN中,是可以访问的),在经过用户名/密码认证和授权后访问相关资源,其他未经授权的用户无法访问相关资源。为了限制其他人同时访问他们,可以将这几个特殊用户单独划在一个VPN中。上述实现方式可以实现安全要求。1.3.3. 虚拟局域网和访问控制(VLAN/ACL)内部虚拟局域网和访问控制技术(VLAN和ACL技术)的安全部署,可以有效的防御来自于系统网络内部
17、破坏分子的攻击和数据篡改等威胁。保证内、外网用户访问的安全性。虚拟局域网(VLAN)是基于三层交换的一种关键应用。它可以不考虑用户的地理位置,而将处于不同地理位置的统一部门员工,根据功能、应用等因素从逻辑上划分为一个个功能相对独立的工作组。如果附加上VLAN间的访问控制技术(ACL)可以使一个个功能相对独立的工作组变成不同的安全区,更加提高局域网的安全性,使重要部门得到充分的保障。采用访问控制技术(ACL),可以通过对数据通讯的源地址、目的地址以及应用类型,控制流入网络的数据流。访问列表是基于将规则和数据源、目的地址或端口进行匹配,来允许或拒绝数据的通讯。用来允许或拒绝数据通讯的标准是基于数据
18、通讯自身所包含的信息。这些信息是OSI参考模型的第三层的网络地址和第四层的应用端口信息。建立安全合理的访问列表,首先需要对这个客户的应用进行深入细致的了解,有哪些应用、使用哪些端口,访问哪些地址等等,使得访问列表的建立,不会影响到企业正常的网络运转。路由器、交换机上的ACL严格限制了网络层、传输层的访问控制。它可以明确限制特定IP范围的访问权限,可以控制什么样的服务谁可以使用、什么样的服务谁不可以使用等,从而提高了网络级别的安全控制。 根据具体应用,确立访问列表的内容、服务。 过滤TCP(Transmission Control Protocol)协议,还有过滤UDP(User Datagra
19、m Protocol)协议, 过滤ICMP(internet Control Message Protocol)协议等。通过与VLAN间的ACL功能配合可以进一步增强了本系统客户内部网络的安全。1.3.4. 防火墙部署防火墙技术,对内外网之间、内网不同安全域之间的访问,按照预先制定的安全策略进行严格的检查,它可以严格地控制对关键主机、端口和服务的访问、替换服务器标识,隐藏内部网络结构、阻止DoS攻击和网络扫描,从而达到阻止入侵的目的。身份认证与授权系统。网络中的用户在通过防火墙对内网进行访问、或内网用户对关键业务主机进行访问时,必须向认证系统证实自己的身份,同时认证系统会检查用户的权限是否可以
20、访问相关的应用,认证系统可以使用防火墙或主机内嵌的用户名口令认证,也可以使用集中的一次性口令认证系统或者基于PKI的证书认证系统。由于信息化校园平台系统系统涉及的部门和单位较多,因此要求系统不但在应用软件、数据库软件和操作系统等相关系统软件级别和防火墙设备策略定制上部署相应的用户/口令认证机制, 还要求建立端对端的一次性口令认证机制,实现信息隧道加密功能来保障与互联网通信的安全。VPN与防火墙集成,实现了加密操作与防火墙上配置的安全策略无关。通过VPN构造虚拟的安全通道,完全是通道的概念,通道间的互通性由路由来保障,路由可以在VPN设备上手工添加。可以这样认为,VPN就是一条点到点的虚拟物理链
21、路,这条链路负责加密数据的传输,原有的防火墙上的所有安全策略都起作用,原来的防火墙结构没有做任何改动,实现了与防火墙的无缝集成。用户可以通过界面创建,设置,管理直观的VPN隧道,实时察看隧道的运行状况。具体的我们建议配置了一台企业NETEYE千兆接口防火墙设备,配置LX单模光纤模块1个,2个AUTO10/100/1000自适应电口模块,联接主干交换机和外网区,保障系统的内外网通讯安全。防火墙具体部署图如下:1.3.5. 入侵检测IDS(入侵检测系统)。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能
22、力之所以重要首先它能够对付来自内部网络的攻击,其次它能够阻止hacker的入侵。当检测到有网络攻击或入侵时,可以实时发出报警,并详细保存相关证据,以便用于追查或系统恢复。保障系统的安全。1.4. 主机系统安全主机采用开放平台,关键业务系统使用容错容灾及负载均衡技术,来提高系统的可靠性与安全性。下面就主机系统的安全性各方面进行分别论述。 操作系统安全操作系统中最根本的安全措施是存取控制,它是对程序执行期间使用资源合法性进行检查。加强操作系统的超级用户的密码管理,防止任意对数据的程序读、写、执行权限的修改;同时,防止对系统文件任意删除来保护操作系统安全。 审计与留痕技术系统日志机制,用来记录系统运
23、行的全过程。系统日志文件是自动生成的,且对用户是透明的,其内容包括:操作日期、时间、操作工作站名、用户名、操作的文件名、操作方式、操作内容等等,它对系统的运行监督、维护分析、故障恢复,都可以起到非常重要的作用。为了避免非法用户从系统外取得系统数据或是合法用户为逃避系统日志的运行监督而从系统外取得数据,对系统中重要数据采取加密的格式存放。例如在系统中,为了防止案件发生或在发生案件后为侦破提供监督数据,在计算机系统里启用系统记账功能,即在系统中设置“黑匣子”,并建立“黑匣子”备份和管理制度。所谓的“黑匣子”是一个记载系统运行的文件,它可将每个用户进入系统的用户注册时间及登录次数,准确地记录,并自动
24、记录操作员号、终端号、开关机时间及次数。系统状态检查每个工作日结束和关机前,除将当日数据、文件进行备份外,还需要将系统中主要的数据文件和程序文件的状态记录下来。这些数据主要包括:文件名、文件长度、最后修改日期、时间等,在每次开机时,对照检查。 网络计算机病毒防范技术的实现计算机网络同样面临如何防护系统能够对付不断出现的新病毒问题,典型的做法是建立计算机病毒防范措施,加强管理,并不断地升级防病毒软件的版本。用户信息在Linux系统中,文件/etc/group包含了关于计算小组成员的信息。一个工作组即那些共享文件或其他系统资源的用户的集合。用户组是提高系统安全性的一个重要工具。文件/etc/pas
25、swd中表项的第4个字段就包含了用户所属组的编号。另外,用户特别需要注意的时不应该有两个用户拥有相同的用户标识,这是至关重要的。考虑到局部安全性,你应该检查的项目主要包括文件/etc/passwd。应检查以下项目: 每个用户拥有一个口令 每个用户拥有唯一的用户标识号 用户都被分配给适当的组n 主机等价性在Linux系统中,TCP/IP协议使你能在每个主机系统上都建立一个文件 /etc/hosts.equiv,它定义了一列特殊的主机,它可以成为节省时间的设备驱动程序,但它同时产生了一些安全性风险。这个文件的目的在于,当一个用户从一个系统登录到另一个系统中时,则目的系统就不再要求他提供口令。这个文
26、件表明对于原来系统上使用相同名字的用户来说,他在目的系统上是等价的。在这里安全性风险显而易见,如果入侵者侵入其中一个系统,那么你就正在授予他全权委托,来访问其他的机器。文件 /etc/hosts.equiv表明了在其他主机上的每个用户都是一个值得信赖的用户,并且可以不用考虑地被允许登录到这个主机。因为主机系统的安全性很重要,所以最好不要使用文件/etc/hosts.equiv。1.5. 数据库安全保障数据库安全和日志服务是两个相互关联的过程。数据库中数据的保护一方面通过应用程程序的完整全面来避免系统维护人员和业务科室人员不直接操作数据库中的表,另一方面就是现在基于B/S/S系统架构下,把数据库
27、的直接操作封闭在应用层,来加强保护,还有一个是就通过日志来保护,通过日志一方面保证操作的可追踪性,另一方面保证操作的可逆性。在此我们说明一下在系统上如何通过日志服务进行数据保护的。示意图TRANSNOBTRANSNOTRANSNOBTRANSNOTRANSNONULLUPDATE操作的存储模型TRANSNOBTRANSNO=DELETE操作的存储模型TRANSNOBTRANSNOTRANSNONULLINSERT操作的存储模型说明所有的需要日志跟踪的表设定为日志,在独立表空间和用户下自动建立该表的对应的日志表,保护对该表的所有插入、修改、删除历史住处,基本信息和原表相同,但加入:USERID
28、操作员编号pkg_a_comm.Fun_A_GetUserID( );TRANSNO 交易发起流水号pkg_a_comm.Fun_A_GetTransID ()交易发起时,对此操作员产生一个流水号,保证在这次交易过程中所有修改的表都使用同一个流水号,便于完整的按操作事务方式的恢复; BTRANSNO 冲正交易流水号(如下图的更新方式)OPTDATE 修改日期OPTTYPE 修改类型通过日志引擎把所有的对该表的操作前结果保存在日志表中,因为整个日志跟踪是基于数据库操作的,所以无论是系统管理员直接的数据库操作还是操作员通过应用程序操作的数据库,都能完整的保存操作痕迹和回退方法。如下图:SYS用户1
29、、安装动态创建对象的程序包2、创建日志表3、创建主用户的触发器4、调用日志用户授权程序日志用户1、 安装自动授权的存储过程,2、 提供日志表的存储用户主用户1、 业务用表存储2、 需要记录日志的表的触发器授权动态创建触发器动态创建存储日志表和县官表的主键和索引1.6. 机房环境安全1.6.1. 机房安全分类1计算机机房的安全分为A类、B类、C类三个基本类别。A类:对计算机机房的安全有严格的要求,有完善的计算机机房安全措施。B类:对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施。C类:对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。2计算机机房的安全要求 机房安全类别指
30、标安 全 项 目C类安全机房B类安全机房A类安全机房场地选择 防火内部装修供配电系统空调系统火灾报警及消防设施防水防静电防雷击防鼠害 电磁波的防护表中符号说明:/:无需要求;:有要求或增加要求;:要求。根据计算机机房安全的要求,机房安全可按某一类执行,也可按某些类综合执行。注:综合执行是指一个机房可按某些类执行,如某机房按照安全要求可选:电磁波防护A类,火灾报警及消防设施C类。1.6.2. 场地的选择1、B类安全机房的选址要求:应避开易发生火灾危险程度高的区域。应避开有害气体来源以及存放腐蚀、易燃、易爆物品的地方。应避开低洼、潮湿、落雷区域和地震频繁的地方。应避开强振动源和强噪音源。应避开强电
31、磁场的干扰。应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。应避开重盐害地区。2、C类安全机房参照B类各条执行。3、A类安全机房应将其置于建筑物安全区内。4、以上各条如无法避免,应采取相应的措施。1.6.3. 结构防火 1、C类安全机房和一般的已记录媒体存放间,其建筑物的耐火等级应符合TJ16建筑设计防火规范中规定的二级耐火等级。2、与C类安全机房相关的其余基本工作房间及辅助房间,其建筑物的耐火等级不应低于TJ16中规定的三级耐火等级。3、B类安全机房和重要的已记录媒体存放间,其建筑物的耐火等级必须符合GBJ45高层民用建筑设计防火规范中规定的二级耐火等级。4、A类安全机房和非常重要
32、的已记录媒体存放间,其建筑物的耐火等级必须符合GB45规定的一级耐火等级。5、与A、B类安全机房相关的其余基本工作房间及辅助房间,其建筑物的耐火等级不应低于TJ16中规定的二级耐火等级。1.6.4. 机房内部装修A、B类安全机房应符合如下要求:1、计算机机房装修材料应符合TJ16中规定的难燃材料和非燃材料,应能防潮、吸音、不起尘、抗静电等。2、活动地板计算机机房的活动地板应是难燃材料或非燃材料。活动地板应有稳定的抗静电性能和承载能力,同时耐油、耐腐蚀、柔光、不起尘等。具体要求应符合GB6650计算机机房用活动地板技术条件。异型活动地板提供的各种规格的电线、电缆、进出口应做得光滑、防止损伤电线、
33、电缆。活动地板下的建筑地面应平整、光洁、防潮、防尘。在安装活动地板时,应采取相应措施,防止地板支脚倾斜、移位、横梁坠落。1.6.5. 火灾报警及消防设施1、A、B类安全机房应设置火灾报警装置。在机房内、基本工作房间内、活动地板下、吊顶里、主要空调管道中及易燃物附近部位应设置烟、温感探测器。2、A类安全机房应设置卤代烷1211、1301自动消防系统,并备有卤代烷1211、1301灭火器。3、B类安全机房在条件许可的情况下,应设置卤代烷1211、1301自动消防系统,并备有卤代烷1211、1301灭火器。4、C类安全机房内应设置卤代烷1211或1301灭火器。5、A、B、C类计算机机房除纸介质等易
34、燃物质外,禁止使用水,干粉或泡沫等易产生二次破坏的灭火剂。1.6.6. 其他防护和安全管理1、防水有暖气装置的计算机机房,沿机房地面周围应设排水沟,应注意对暖气管道定期检查和维修。位于用水设备下层的计算机机房,应在吊顶上设防水层,并设漏水检查装置。2、防静电计算机机房的安全接地应符合GB2887中的规定。注:接地是防静电采取的最基本措施。计算机机房的相对湿度应符合GB2887中的规定。在易产生静电的地方,可采用静电消除剂和静电消除器。3、防雷击计算机机房应符合GB157建筑防雷设计规范中的防雷措施。在雷电频繁区域,应装设浪涌电压吸收装置。4、防鼠害在易受鼠害的场所,机房内的电缆和电线上应涂敷驱鼠药剂。计算机机房内应设置捕鼠或驱鼠装置。5、电磁波的防护A、B类安全机房电磁场干扰环境场强应满足GB2887中的有关要求。对有防辐射要求的计算机机房,在安全区边界由计算机辐射而产生的电磁场强度不应大于有关标准的规定。6、安全管道应建立严格的防范措施和监视规程。