7.3 系統物理安全技術要求

7.3.1　災難備份與恢復

7.3.1.1.1　災難備份中心

建立數據處理系統的異地備份中心，以便在災難故障發生時能在規定的時間范圍內通過將數據處理系統轉移到異地備份中心，使業務系統繼續運行。

7.3.1.1.2　網絡路經備份

通過對網絡路經的備份，確保網絡的某些部位發生災難性故障時，能在規定的時間間隔內，恢復網絡的通信功能。

7.3.1.1.3　完全數據備份

將業務應用所需要的所有相關數據進行完整的備份，并將備份數據通過專用網絡傳送到異地備份中心保存；備份數據的間隔時間確定，應確保在系統恢復后，在允許的數據丟失范圍內，支持業務應用系統繼續運行。

7.3.1.1.4　系統手工轉移

在災難故障發生時，在規定的時間范圍內根據預先定義的流程，將業務應用系統手工轉移至異地備份中心。

7.3.2　物理設備訪問

7.3.2.1　設備標識與鑒別

7.3.2.1.1　設備標識

應按GB/T 20271-2006中4.3.1.4.1接入前標識和標識信息管理的要求，設計和實現設備標識功能。一般以設備名和設備標識符來標識一個設備。

7.3.2.1.2　設備鑒別

應按GB/T 20271-2006中4.3.1.4.2接入前鑒別、不可偽造鑒別和鑒別信息管理的要求，設計和實現標識設備的鑒別功能，并按GB/T 20271-2006中4.3.1.4.3的要求進行鑒別失敗的處理。鑒別應確保設備身份的真實性。本安全保護等級要求在設備接入時，采用由密碼系統支持的鑒別信息，對接入設備身份的真實性進行鑒別。鑒別信息應是不可見的，并在存儲和傳輸時按GB/T 20271-2006中4.3.10密碼支持的要求進行保護。

7.3.2.2　訪問控制策略

物理設備訪問控制范圍，包括策略控制下的主體、客體，及有策略覆蓋的被控制的主體與客體間的操作。客體應包括物理設備及設備物理端口。應控制的操作包括：物理設備的配置、啟動、關機、故障恢復（重啟、冗余切換）等，設備物理端口的配置、讀、寫等。

7.3.3　邊界保護

7.3.3.1　防止非法設備接入

7.3.3.1.1　非法接入探測

設備接入網絡前應按7.3.2.1的要求，對物理設備進行鑒別。發現非法接入事件應進行報警。

7.3.3.1.2　非法接入阻斷

發現非法接入事件后應阻斷非法接入端口，并進行報警。

7.3.3.2　防止設備非法外聯

7.3.3.2.1　非法外聯探測

應對設備聯網狀態進行探測，發現非法外聯事件應進行報警。

7.3.3.2.2　非法外聯阻斷

發現非法外聯事件后應阻斷非法外聯端口，并進行報警。

7.3.4　設備管理

7.3.4.1　配置管理

7.3.4.1.1　資源管理

應對信息系統網絡環境中的下列資源信息進行管理：
——設備信息：包括終端、服務器、交換機、路由器、邊界設備、安全設備等；
——器材信息：設備之間的直達物理連接線路。包括中繼線、用戶線等；
——電路信息：端點設備之間的邏輯連接線路，可能包含多條物理線路；
——網絡信息：包括局域網、城域網、廣域網等；
——軟件信息：系統軟件和應用軟件；

7.3.4.1.2　網絡拓撲服務管理

應支持網絡拓撲發現技術，提供網絡拓撲結構顯示功能，實現網絡的物理布局、邏輯布局及電氣布局的網絡布局顯示。

7.3.4.2　性能管理

7.3.4.2.1　網絡性能監測

應提供對網絡性能數據的連續采集，實現對有效性、響應時間、差錯率等面向服務質量的指標和吞吐率、利用率等面向網絡效率的指標的網絡性能監測功能。

7.3.4.2.2　設備運行狀態監視

應提供設備管理接口，通過該接口及相關協議收集設備的運行狀態，如CPU利用率、內存利用率等，支持設備運行狀態的遠程監視，當所監測數值超過預先設定的故障閾值時，提供報警。

7.3.4.2.3　設備部件狀態監視

核心設備的關鍵硬件，包括電源、風扇、機箱、磁盤控制等應具備可管理接口，通過該接口及相關協議收集硬件的運行狀態，如處理器工作溫度、風扇轉速、系統核心電壓等，并對其進行實時監控，當所監測數值超過預先設定的故障閾值時，提供報警。

7.3.4.2.4　性能分析

應設置性能分析策略，對收集到的性能數據進行分析，形成網絡、設備、部件性能特征報告，系統運行異常報告。

7.3.4.3　故障管理

7.3.4.3.1　告警監測功能

應設置告警策略，定義告警事件指標、優先級，并收集設備、部件及網絡運行過程中的告警信息，生成告警日志，定期產生告警報告。

7.3.4.3.2　故障定位功能

應設置故障定位策略，明確故障定位范圍，并結合來自性能監控、告警監控等各方面產生的相關故障信息，對系統故障進行自動定位。

7.3.4.3.3　故障自動恢復

在故障發生時，按照預先設定的故障恢復方案，用熱備份單元自動替代故障單元，實現故障的自動恢復。

7.3.4.4　管理信息保護

應采取措施保障管理信息的存儲、傳輸安全。對于遠程管理，應通過加密來保護遠程管理對話。

7.3.4.5　安全管理角色

通過設置安全管理角色減少因用戶超越職責濫用授權而導致破壞的可能性。

7.3.4.6　設備監控中心

宜根據實際網絡環境，結合安全監控中心的建設，建立多層次的分級設備監控中心。在網絡中建立集中設備監控中心及多個區域設備監控中心，通過區域監控中心對區域內的設備進行管理，全網性的集中監控中心通過各個區域監控中心對全網實施管理。

7.3.5　設備保護

7.3.5.1　設備物理保護

7.3.5.1.1　物理攻擊的被動檢測

應按GB/T 20271-2006中5.1.1.1中物理攻擊被動檢測的要求，實現對信息系統的物理安全保護。

7.3.5.1.2　物理攻擊的自動報告

應按GB/T 20271-2006中5.1.1.2中物理攻擊自動報告的要求，實現對信息系統的物理安全保護。

7.3.5.2　可信時間戳

按GB/T 20271-2006中5.1.2.7的要求，提供可靠的時間戳支持。

7.3.5.3　設備自檢

應提供對物理設備正確操作的自測試能力。這些測試可在啟動時進行，或周期性地進行，或在授權用戶要求時進行，或當某種條件滿足時進行。

7.3.6　資源利用

7.3.6.1　故障容錯

本級采用受限故障容錯。對標識的故障事件，設備能繼續正確運行原有功能。要求系統采取有效措施來對抗指定的故障。

7.3.6.2　服務優先級

本級應實現全部服務優先級，服務優先級的控制范圍應包括控制范圍內的全部資源，要求控制范圍內的所有資源都服從服務優先機制，并對相關的主體定義優先級。

7.3.6.3　資源分配

本級資源分配采用最小和最大限額的控制方法，應確保用戶和主體不會超過某一數量或獨占某種受控資源，還應確保用戶和主體至少獲得最小規定的資源。