momentss 2025-06-11 08:45 上海
安小圈
第684期
高风险判定
安全物理环境
1
机房出入口访问控制措施缺失
标准要求
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
适用范围:二级及以上系统。
判例场景
机房出入口无任何访问控制措施,例如未安装电子或机械门锁(包括机房大门处于 未上锁状态)、无专人值守等。
补偿因素
机房所在位置处于受控区域,非授权人员无法随意进出机房,可根据实际措施效果, 酌情判定风险等级。
机房防盗窃措施缺失
02
安全物理环境
标准要求
应设置机房防盗报警系统或设置有专人值守的视频监控系统。
适用范围:三级及以上系统。
判例场景(所有)
1) 机房或机房所在区域无防盗报警系统,无法对盗窃事件进行告警、追溯;
2) 未设置有专人值守的视频监控系统。
补偿因素
机房出入口或机房所在区域有其他控制措施,例如机房出入口设有专人值守,机房所在位置处于受控区域等,非授权人员无法进入该区域,可根据实际措施效果,酌情判定风险等级。
机房防火措施缺失
03
安全物理环境
标准要求
机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
适用范围:二级及以上系统。
判例场景(任意)
1) 机房无任何有效消防措施,例如无检测火情、感应报警设施,手提式灭火器等灭火设施,消防设备未进行年检或已失效无法正常使用等情况;
2) 机房所采取的灭火系统或设备不符合国家的相关规定。
补偿因素
机房安排专人值守或设置了专人值守的视频监控系统,并且机房附近有符合国家消防标准的灭火设备,一旦发生火灾,能及时进行灭火,可根据实际措施效果,酌情判定风险 等级。
机房短期备用电力供应措施缺失
04
安全物理环境
标准要求
应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。 适用范围:二级及以上系统。
案例场景
1) 机房无短期备用电力供应设备,例如UPS、柴油发电机、应急供电车等;
2) 机房现有备用电力供应无法满足定级对象短期正常运行。
补偿因素
对于机房配备多路供电的情况,可从供电方同时断电发生概率等角度进行综合风险 分析,根据分析结果,酌情判定风险等级。
机房应急供电措施缺失
05
安全物理环境
标准要求
应提供应急供电设施。
适用范围:高可用性的四级系统。
判例场景(任意)
1) 机房未配备应急供电设施,例如柴油发电机、应急供电车等;
2) 应急供电措施不可用或无法满足定级对象正常运行需求。
补偿因素
1) 对于机房配备多路供电的情况,可从供电方同时断电发生概率等角度进行综合风险分析, 根据分析结果,酌情判定风险等级;
2) 对于采用多数据中心方式部署,且通过技术手段实现应用级灾备,能降低单一机房发生电 力故障所带来的可用性方面影响的情况,可从影响程度、RTO 等角度进行综合风险分析, 根据分析结果,酌情判定风险等级。
云计算基础设施物理位置不当
06
安全物理环境
标准要求
应保证云计算基础设施位于中国境内。
适用范围:二级及以上云计算平台。
判例场景
云计算基础设施,例如云计算服务器、存储设备、网络设备、云管理平台、信息系统等运行业务和承载数据的软硬件等不在中国境内。
补偿因素
无。
END
【内容来源:破晓实验室 】
