8.5 物理安全

8.5.1　物理環境建設

CA的建筑物及機房建設應按照國家密碼管理相關政策要求，并按照下列標準實施：

a) GB/T 2887 計算站場地通用規范；

b) GB/T 6650 計算機機房用活動地板技術條件；

c) GB/T 9361 計算站場地安全要求；

d) GB/T 50174 電子信息系統機房設計規范；

e) BMB 3-1999 處理涉密信息的電磁屏蔽室的技術要求和測試方法。

8.5.2　對CA的分層訪問

8.5.2.1　概述

CA系統按功能分為四個區域，由外到里分別是：公共區、服務區、管理區和核心區，各區的功能及設備配置參見附錄A。

8.5.2.2　公共區

入口之外的區域為公共區。

8.5.2.3　服務區

所有進入此區的人員使用身份識別卡刷卡進入。該區的每扇窗戶都應安裝玻璃破碎報警器。

8.5.2.4　管理區

所有進入此區人員需要同時使用身份識別卡和人體特征鑒別才可以進入，人員進出管理區要有日志記錄。所有的房間不應安裝窗戶，所有的墻體應采用高強度防護墻。

8.5.2.5　核心區

所有進入此區人員需要同時使用身份識別卡和人體特征鑒別才可以進入，人員進出該區要有日志記錄。

核心區應為屏蔽機房，應加裝高強度的鋼制防盜門。所有進出屏蔽室的線路都要采取防電磁泄漏措施。

8.5.2.6　安全監控和配電消防

CA應設置安全監控室、系統監控室、配電室和消防器材室。

安全監控室是安全管理人員值班的地方，可對整個CA的進出人員實行監控，處理日常的安全事件。只有安全管理人員同時使用身份識別卡和人體特征鑒別才可以進入，刷卡離開。

系統監控室是網絡管理人員工作的地方。需要同時使用身份識別卡和人體特征鑒別才可以進入，刷卡離開。

配電室是放置所有供電設備的房間，只有相應的授權人員同時使用身份識別卡和人體特征鑒別才可以進入，刷卡離開。

消防器材室是存放消防設備的房間，建議使用身份識別卡進入消防器材室。

8.5.3　門禁和物理侵入報警系統

CA應設置門禁和物理侵入報警系統。

門禁系統控制各層門的進出。工作人員都需使用身份識別卡或結合人體特征鑒別才能進出，并且進出每一道門都應有時間記錄和相關信息提示。

任何非法的闖入、非正常手段的開門、以及授權人刷卡離開后房內還有非授權的滯留人員，都應觸發報警系統。報警系統應明確地指出報警部位。

門禁和物理侵入報警系統應自備有UPS，并應提供至少8小時的供電。

與門禁和物理侵入報警系統配合使用的還應有錄像監控系統。對監控區域進行24小時不間斷的錄像。所有的錄像資料要根據需要保留至少6個月，以備查詢。