首页安全物语信息科技风险管理不审慎 (信息科技风险管理三道防线是什么)

信息科技风险管理不审慎 (信息科技风险管理三道防线是什么)

🏷️ 安全物语 ✍️ 安全物语,专注于信息安全 📅 2026-03-16T03:39:20+00:00

信息科技安全风险管理

2017年7月1日开始实施《网络安全法》,第二十一条"国家实行网络等级保护制度",以法律的手段明确了等级保护制度的地位。2014年人民银行发布了《信息技术审计规范》(Q/PBC 00001-2014,银办发〔2014〕47号),该规范主要涉及信息技术五大领域:

1、 组织与计划

2、 安全技术

3、 开发与采购

4、 运维与外包

5、 应用控制

该规范比较系统的概况了科技建设与管理的方方面面,站在监督者的角度怎么看科技建设与管理,信息技术审计规依据的是等级保护相关制度。

目前安全技术领域的主要风险主要包括了五个方面:

1、 物理环境安全

机房地理位置设置应注重供电、防雷、防水等各方面,机房分区设置不合理,难以保证对信息资产物理访问的合规与安全;如果机房电源、消防、防水、门禁、防雷和监控等设备设施的安全保护措施不充分,难以保证信息资产免受物理环境、自然灾害以及人为因素产生的危害。

2、 网络安全

网络安全管理是安全管理中最主要的方面之一。

3、 主机安全

保障主机的业务连续性和安全性。

4、 应用安全

保障应用系统的业务连续性和安全性。

5、 数据安全

保障数据的CIA属性。

物理环境安全目前主要应着重的风险控制点在以下这些方面:

1、 机房选址与分区

机房选择与分区的风险评估主要目标是检查评价机房是否相对独立安全,是否符合相关安全防护要求,能否免受物理环境、自然灾害和人为因素的危害。在机房选址这一块主要的风险控制点主要应包括:

1)、是否选择在具有防震、防风、防雷和防雨等能力的建筑内;

2)、在建筑物内是否有独立区域;

3)、是否避开火灾危险程度高的区域;

4)、是否避开有害气体来源以及存放腐蚀、易燃、易爆物品的地方;

5)、是否避开强振动源、强噪音源和强电磁场的干扰;

6)、是否避免设在建筑物的高层或潮湿的地下室,以及用水设备的下层或隔壁。

7)、AB类机房是否设置了弱电井。C类机房选址参照B类机房要求,但不要求弱电井和楼层规定。

根据这些风险控制点,机房检查内容主要包括了机房选址与分区检查,机房内部分区是否采用物理隔离方式;除特殊情况外,维修区、开发区、介质室是否避免设在计算机机房内。AB内机房是否划分为核心区、生产区、辅助区;C类机房要求较少,需要结合实际来看待,但是关系到机房安全的硬伤要提出,比如是否划分为生产区和辅助区。

在实际检查中,碰到的问题比较多的有机房选址不符合安全要求,如位于建筑物顶层;机房没有独立的物理区域,与办公区域混用;机房风区不规范,辅助区未隔离,介质室位于机房内部。一个典型的案例是某行中心机房位于办公大楼3层,共9层。但办公楼1-3层面积大于4层以上,即3层办公区域有部分实际属于顶层。人员实地查看发现,机房的整个辅助区、配电室,及核心区的一部分,其上面均无建筑,属于顶层。防水已经年久失修,存在漏水风险。

2、 建筑结构、装修与防水

建筑结构、装修与防水主要工作目标是检查评价机房的建筑结构、防火和防水是否符合安全防护要求。主要的风险控制点包括了:

1) 机房出口和安全通道

2) 强弱电隔离铺设

3) 隔离防火措施

4) 机房承载能力

5) 装修材料

6) 综合布线

7) 设置防水措施和检测报警措施

根据这些风险控制点,主要的检查内容包括了主机房是否设置单独出入口,建筑入口至主机房的通道净宽是否不小于1.5m;是否根据机房面积大小设置安全出口数量;AB类机房是否设置防火救生门;是否将线缆铺设在隐蔽处;电源线和通信线缆是否隔离,AB类机房是否将强弱电隔离铺设并进行标识;检查机房耐火等级是否不低于二级,是否采取区域隔离防火措施,将重要设备与其他设备隔离开;检查主机房顶棚、隔板和隔断是否为不燃烧材质,是否采用有机复合材料;AB两类机房是否在机房与建筑物内其他部位之间设置耐火极限不低于2h的隔墙,隔墙上的门是否采用甲级防火门。

3、 供电

目标是检查评价是否能够提供持续的电力供应,是否符合相关要求,主要的风险控制点有:

按照规定配备供配电设备;

检查AB类机房,是否准备发电力等备用电源设备,机房UPS供电系统是否为双机热备,负荷功率是否合规;

机房UPS供电系统是否为双机热备,负荷功率是否合规;

市电是否来源与不同的变电所,机房所在大楼的配电变压器能否满足机房用电容量?进入机房前的市电/发电切换开关是否冗余?

是否两路独立市电提供UPS输入,机房核心区域、重要设备应由不同的UPS提供双回路供电;

计算机系统电源供应是否从主配电柜单独引入,是否有过流过压保护;

机房辅助设备供配电与计算机系统供电是否严格分离;

计算机系统用的分电盘是否设置在计算机机房内,并采取防触电措施;

是否采用机房专用插座,是否分开设置维修和测试用电源插座;

市电、UPS电源插座是否分开;

计算机系统设备网络布线是否与空调设备、电源设备的无电磁屏蔽的布线平行;交叉时,是否以接近于垂直的角度交叉,并采取防延燃措施;

目前主要的检查内容有重要设备师傅提供UPS单独供电;

典型的问题有:

AB类机房没有备用供电系统;

AB类机房UPS供电负荷功率不合规。

AB类机房未设置两路独立市电提供UPS输入。

C类机房重要区域、重要设备未提供UPS单独供电。

供电系统常见的问题主要有:

某单位机房为B类机房,通过调阅机房电路图,并结合现场检查,发现只有一路市电对机房进行供电。后续应配备的保障措施应包括:发电机和柴油。

4、 消防

检查评价机房设备能否有效控制火灾造成的损害,是否符合相关要求。主要的风险控制点是应按照规定设置消防设施。目前主要的检查内容有:

1) 、实地查看,检查是否使用水、干粉或泡沫等易产生二次破坏的灭火剂;是否将火灾报警系统与灭火系统联动;使用洁净气体灭火系统的机房,是否配置专用空气呼吸器或氧气呼吸器;

2) 、检查AB类机房,是否在易燃物附近部位设置烟感探测器、温感探测器;

3) 、检查C类机房,是否备有不易产生二次破坏的灭火器。

消防工作可能会产生的问题主要有:

1) 、使用产生二次破坏的灭火设备

2) 、AB类机房未设置烟感探测器、温感探测器。

3) 、C类机房未配备灭火器。

5、 门禁

目标:检查机房出入控制是否规范、严格;

风险控制点:设置门禁系统

检查内容:

1) 、实地查看,门禁系统采用集中UPS供电时,是否设置单独回路供电;

2) 、调阅门禁系统资料,实地检查门禁系统;

a、 是否能接受相关系统的联动控制自动释放电子锁;

b、 使用加密卡或非接触CPU卡的,其密码技术是否符合《重要门禁系统密码应用指南》(银密[2009]20号)的要求。

3) 、检查评价门禁系统的使用管理是否规范:

a、 门禁卡申领、发放、回收和区域授权是否有记录,且满足"业务需要、最小权限"的原则;

b、 是否对非授权人员进入门禁内区域进行严格控制,能否对人员进出门禁情况进行记录,门禁系统日志保存是否合规(只少三个月);

c、 是否及时收回离职人员的门禁卡;

碰到的典型问题有:

1) 、门禁系统设置不规范,难以有效控制出入;

2) 、门禁系统日志保存期限过短;

3) 、门禁卡发放范围过大;

4) 、未及时收回离职人员的门禁卡。

6、 监控系统

目标:检查评价机房环境实时监测和报警的有效性,是否合规。

风险控制点:

1) 、总行明确机房环境监控系统基本要求;

2) 、按要求配置环境监控系统;

3) 、各级科技部门制定本行机房监控系统的操作管理规程。

检查内容:

1) 、访谈科技管理人员,调阅相关文档,了解总行对机房环境监控系统的建设和管理要求,是否明确了设备基本技术要求,是否明确了使用该系统对日常巡检的替代要求,是否对系统使用管理提出了基本要求;

2) 、检查AB类机房,是否设置入侵报警、视频监控、烟感温感和漏水检测装置;视频监控范围是否完整,是否存在监控死角,监控录像保存时间是否充分;是否将供电、温湿度、门禁、入侵报警、视频监控、烟感温感和漏水检测纳入到机房环境监控系统中;

3) 、C类机房是否设置入侵报警和视频监控装置,视频监控范围是否完整,监控录像是否至少保存三个月;是否将供电、门禁、入侵报警、视频监控纳入到机房环境监控系统中;

4) 、检查各级科技部门是否针对机房环境监控系统制定管理使用规程,是否明确了系统的监控范围、阀值标准、监控方式、使用方法等;

5) 、检查各级行对机房环境监控系统投资是否符合成本效益原则,例如是否系统采购后长期未使用,是否仅利用系统小部分功能,是否存在系统设置错误等。

7、 其他安全防护

目标:监督检查机房是否有效防控了雷电、火灾、电磁波泄露、鼠害、灰尘等的侵害,是否符合相关要求。

风险控制点:

1) 、设置专用防护设备、采用安全防护措施

检查内容:

1) 、是否采取防虫鼠措施(桥架或管套);

2) 、是否设置交流电源地线、是否采取等电位措施;

3) 、是否设置有应急照明和值班照明;各区域的平均照度是否符合规定;

4) 、关键设备是否采用必要的接地防静电措施;

5) 、机房内所有设备的金属外壳、各类金属管道、金属线槽、建筑物金属结构是否进行等电位联结并接地。磁盘柜、磁带柜、终端点等辅助设备是否为难燃材料和非燃材料;纸张,磁带和胶卷等易燃物品是否放置于金属制的防火柜内;

6) 、A、B类机房是否安装了专用空调设备;是否明确了具体的温湿度范围,进出水管附近是否安装了漏水检测装置;

检查AB类机房:

1) 、无线电干扰场强在频率为0.15~1000MHz时,是否小于26dB;

2) 、磁场干扰环境场强是否小于800A/m;

3) 、是否对机房门窗做防尘密闭处理,对房顶、墙体、柱体、地面等部位的建筑面采取防尘处理措施,新风系统及其他装置的通风管道加装空气过滤器;

4) 、是否设置防雷保安器,防止感应雷;

5) 、主机房和辅助区的地板或地面是否设置有静电泄放措施和接地构造;

6) 、确认磁带、光盘等介质是否存储在金属防火柜中;

7) 、是否设置新风系统;

8) 、空调设备的配件使用的隔热材料是否为难燃材料或非燃材料;

典型问题:

1) 、未采取防虫鼠措施;

2) 、没有应急照明;

3) 、关键设备未采取防静电措施;

4) 、AB类机房未采用专用空调;

5) 、AB类机房未采取防电磁干扰、防尘、防雷措施和新风系统。