6.3 系統物理安全技術要求

6.3.1　災難備份與恢復

6.3.1.1　災難備份中心

在獨立的建筑物內建立數據處理系統的備份中心，以便在災難故障發生時能在規定的時間范圍內通過將數據處理系統轉移到備份中心，使業務系統繼續運行。

6.3.1.2　網絡設備備份

對于災難故障發生時易受到損壞的網絡設備應有充分的備份，確保網絡的某些部位發生災難性故障時，能在規定的時間間隔內，通過替換網絡設備恢復網絡的通信功能。

6.3.1.3　完全數據備份

將業務應用所需要的所有相關數據進行完整的備份，并將備份數據通過專用網絡傳送到備份中心保存；備份數據的間隔時間確定，應確保在系統恢復后，在允許的數據丟失范圍內，支持業務應用系統繼續運行。

6.3.1.4　系統手工轉移

在災難故障發生時，在規定的時間范圍內根據預先定義的流程，將業務應用系統手工轉移至備份中心。

6.3.2　物理設備訪問

6.3.2.1　設備標識與鑒別

6.3.2.1.1　設備標識

應按GB/T 20271-2006中4.3.1.4.1接入前標識和標識信息管理的要求，設計和實現設備標識功能。一般以設備名和設備標識符來標識一個設備。

6.3.2.1.2　設備鑒別

應按GB/T 20271-2006中4.3.1.4.2接入前鑒別、不可偽造鑒別和鑒別信息管理的要求，設計和實現標識設備的鑒別功能，并按GB/T 20271-2006中4.3.1.4.3的要求進行鑒別失敗的處理。鑒別應確保設備身份的真實性。本安全保護等級要求在設備接入時，采用由密碼系統支持的鑒別信息，對接入設備身份的真實性進行鑒別。鑒別信息應是不可見的，并在存儲和傳輸時按GB/T 20271-2006中4.3.10密碼支持的要求進行保護。

6.3.2.2　訪問控制策略

物理設備訪問控制范圍，包括策略控制下的主體、客體，及有策略覆蓋的被控制的主體與客體間的操作。客體應包括物理設備。應控制的操作包括：物理設備的配置、啟動、關機、故障恢復（重啟、冗余切換）等。

6.3.3　邊界保護

6.3.3.1　防止非法設備接入

6.3.3.1.1　非法接入探測

設備接入網絡前應按6.3.2.1的要求，對物理設備進行鑒別。發現非法接入事件應進行報警。

6.3.3.2　防止設備非法外聯

6.3.3.2.1　非法外聯探測

應對設備聯網狀態進行探測，發現非法外聯事件應進行報警。

6.3.4　設備管理

6.3.4.1　配置管理

6.3.4.1.1　資源管理

應對信息系統網絡環境中的下列資源信息進行管理：
——設備信息：包括終端、服務器、交換機、路由器、邊界設備、安全設備等；
——器材信息：設備之間的直達物理連接線路，包括中繼線、用戶線等；
——電路信息：端點設備之間的邏輯連接線路，可能包含多條物理線路；
——網絡信息：包括局域網、城域網、廣域網等；
——軟件信息：系統軟件和應用軟件；

6.3.4.1.2　網絡拓撲服務管理

應支持網絡拓撲發現技術，提供網絡拓撲結構顯示功能，實現網絡的物理布局、邏輯布局及電氣布局的網絡布局顯示。

6.3.4.2　性能管理

6.3.4.2.1　網絡性能監測

應提供對接收字節數、發送字節數等網絡性能數據的連續采集，實現對有效性、響應時間、差錯率等面向服務質量的指標和吞吐率、利用率等面向網絡效率的指標的網絡性能監測功能。

6.3.4.2.2　設備運行狀態監視

應提供設備管理接口，通過該接口及相關協議收集設備的運行狀態，如CPU利用率、內存利用率等，支持設備運行狀態的遠程監視，當所監測數值超過預先設定的故障閾值時，提供報警。

6.3.4.2.3　設備部件狀態監視

核心設備的關鍵硬件，包括電源、風扇、機箱、磁盤控制等應具備可管理接口，通過該接口及相關協議收集硬件的運行狀態，如處理器工作溫度、風扇轉速、系統核心電壓等，并對其進行實時監控，當所監測數值超過預先設定的故障閾值時，提供報警。

6.3.4.3　故障管理

6.3.4.3.1　告警監測功能

應設置告警策略，定義告警事件指標，并收集設備、部件及網絡運行過程中的告警信息，生成告警日志，定期產生告警報告。

6.3.4.3.2　故障定位功能

應設置故障定位策略，明確故障定位范圍，并結合來自性能監控、告警監控等各方面產生的相關故障信息，對線路故障、設備故障進行自動定位。

6.3.4.4　管理信息保護

應采取措施保障管理信息的存儲、傳輸安全。對于遠程管理，應通過加密來保護遠程管理對話。

6.3.4.5　安全管理角色

通過設置安全管理角色減少因用戶超越職責濫用授權而導致破壞的可能性。

6.3.4.6　設備監控中心

結合安全監控中心的建設，設置設備監控中心，對收集到的各類配置數據、性能數據、故障告警數據，根據安全策略進行分析，并做報告、事件記錄和報警等處理。設備監控中心應具備必要的遠程管理能力，如配置參數遠程設置、遠程軟件升級、遠程啟動等。

6.3.5　設備保護

6.3.5.1　設備物理保護

6.3.5.1.1　物理攻擊的被動檢測

應按GB/T 20271-2006中5.1.1.1中物理攻擊被動檢測的要求，實現對信息系統的物理安全保護。

6.3.5.2　可信時間戳

應按GB/T 20271-2006中5.1.2.7的要求，提供可靠的時間戳支持。

6.3.5.3　設備自檢

應提供對物理設備正確操作的自測試能力。這些測試可在啟動時進行，或周期性地進行，或在授權用戶要求時進行，或當某種條件滿足時進行。

6.3.6　資源利用

6.3.6.1　故障容錯

應通過一定措施防止由于物理設備失效引起的資源能力的不可用，確保即使出現故障情況，系統也能正常運行。故障容錯機制有主動和被動兩種。主動機制下，特定的功能在故障發生時將會被激活；在被動機制下，物理設備被設計為能自動處理故障。
本級采用降級故障容錯，要求在確定的故障情況下，設備能繼續正確運行指定的功能。這是一種強制性的安全功能策略，要求在出錯情況下設備能繼續規定的正確操作，因而要求信息系統必須在故障發生后通過降低能力保持一個安全的狀態。

6.3.6.2　服務優先級

應通過控制用戶和主體對控制范圍內資源的使用，使得高優先級任務的完成總是不受低優先級任務的干擾和影響，這些資源包括處理類資源和通信類資源。
本級應實現有限服務優先級，將服務優先級的控制范圍限定在控制范圍內的某個資源子集，要求設備安全功能對與該資源子集有關的主體定義優先級，并指出對何種資源使用該優先級。

6.3.6.3　資源分配

應通過控制用戶和客體對資源的占用，使得不因不恰當地占有資源而出現拒絕服務情況。資源分配規則允許通過建立配額或其他方式，來定義代表某個特定用戶或主體進行分配的資源空間大小或時間長短的限制。
本級資源分配采用最大限額的控制方法，應確保用戶和主體不會超過某一數量或獨占某種受控資源。