IDC数据机房工程建设方案.docx

《IDC数据机房工程建设方案.docx》由会员分享，可在线阅读，更多相关《IDC数据机房工程建设方案.docx（30页珍藏版）》请在优知文库上搜索。

1、IDC数据机房工程建设方案一、机房建设概述IDC数据中心机房建设工程不仅仅是一个装饰工程，更重要的是一个集电工学、电子学、建筑装饰学、美学、暖通净化专业、计算机专业、弱电控制专业、消防专业等多学科、多领域的综合工程，并涉及到计算机网络工程，PDS工程等专业技术的工程。在设计施工中应对供配电方式、空气净化、安全防范措施以及防静电、防电磁辐射和抗干扰、防水、防雷、防火、防潮、防鼠诸多方面给予高度重视，以确保计算机系统长期正常运行工作。随着计算机系统技术和设备的不断更新换代，安装计算机设备的场地技术，即机房工程也在不断地推陈出新。所采用的新材料、设备、工艺和技术，其目的是为了更好地保证机房的温度、湿

2、度、洁净度、照度、防静电、防干扰、防震动、防雷电、及时监控等，能充分满足计算机设备的安全可靠地运行，延长计算机系统使用寿命的要求，同时又要给系统管理员创造一个舒适、典雅的环境。因此，在设计上要求充分考虑设备布局、功能划分、整体效果、装饰风格，体现现代机房的特点和风貌。二、机房标准化建设必要性计算机机房、通讯机房、互联网数据中心IDCdnternetDataCenter）机房、屏蔽机房等统称为电子设备机房，简称机房。机房中安装了信息技术设备（计算机服务器、数据存储设备、计算机网络设备、交换机等）、低压配电设备、UPS设备、空气调节设备、安防设备、消防设备、动力及环境监控设备等。其环境必须满足设备

3、和人员对温度、湿度、洁净度、电磁场强度、噪音干扰、电气安全、电源安全、防水、抗震、防雷击和接地等要求。天花墙面隔断门窗活动地板综合布线动力环境监控新风机闭路监控测漏保安门禁UPS配电柜联动控制自动报警照明防宙接地电气工程精密空调机房整体消防工程汽体灭火柴油发电机三、机房分级的判定条件电子信息系统机房应根据使用性质、管理要求及其在经济和社会中的重要性划分为A、B、C三级。符合下列情况之一的电子信息系统机房应为A级1、 电子信息系统运行中断将造成重大的经济损失；2、 电子信息系统运行中断将造成公共场所秩序严重混乱。符合下列情况之一的电子信息系统机房应为B级。1、电子信息系统运行中断将造成较大的经济

4、损失；3、 电子信息系统运行中断将造成公共场所秩序混乱。不属于A级或B级的电子信息系统机房为C级。1、在异地建立的备份机房，设计时应与原有机房等级相同。2、同一个机房内的不同部分可以根据实际需求，按照不同的标准进行设计。四、机房环境建设等级保护二级要求依据国家等级保护要求，等级保护二级的机房环境应满足以下要求：1）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。2）具备防盗窃和防破坏能力：a）主要设备放置在机房内，并将设备或主要部件进行固定，设置明显的不易除去的标记；b）通信线缆铺设在隐蔽处，可铺设在地下或管道中；c）主机房应安装必要的防盗报警设施。3）机房建筑应设置避雷装置，并为机

5、房内所有交流电源接地防静电措施。4）机房应设置灭火设备和火灾自动报警系统。5）具备防水和防潮能力：a）机房内水管安装不得穿过机房屋顶和活动地板下;b）窗户、屋顶和墙壁等具有防雨水渗透能力;c）机房应具备防止水蒸气结露和地下积水的转移与渗透。6）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。7）机房供电线路上配置稳压器和过电压防护设备,并提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。8）电源线和通信线缆应隔离铺设，避免互相干扰。五、机房环境建设等级保护三级要求依据国家等级保护要求，机房建设三级保护整体的安全保障体系包括技术和管理两大部分，其

6、中技术部分根据信息系统安全等级保护基本要求分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设；而管理部分根据信息系统安全等级保护基本要求则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。整个安全保障体系各部分既有机结合，又相互支撑。之间的关系可以理解为“构建安全管理机构，制定完善的安全管理制度及安全策略，由相关人员，利用技术工手段及相关工具，进行系统建设和运行维护。”三级等保机房配置：1、物理安全部分序号设备或措施功能都善位置是否必须备注1电子门禁重要出入口(包括机房出入口和重要区域出入口等)1、机房入口2、重要服务器区入口日TE2光电防盗报

7、警视频监控系统防盗报警机房窗户、入口等处是可通过监控弥补3防雷保安器防感应需配电箱是4自动消防系统要求自动检测火情、自动J艮警、自动灭火可以用手动灭火器树艮警器组成5新风换气防水防潮6动力环境监测系统水敏感检测仪表可人工检测7机房专用空调防水防潮、温湿度控制是海洛斯、艾默生等8接地系统防雷接地是9UPS系统不间断电源(UPS)是华为、APC.台达、山特等2、网络安全部分序号设备或措施功能部善位置是否必须各注1应用跟防火墙访问控常：实现成山控制,数据清控制,控制粒度到潴口级；实现应用层访问控制和过渡J控制空闲会话数、最大理各连接数等1、网络边界2、重要服务器区前端是2流量控制设备对网络流量迸行监

8、控，保障重要烫源的优先访问1、网络边界3流置清洗设备防止DDOS攻击1、网络边界2、服务器前端4IT运维管理软件对摩各设备、服务器、数据库、应用等进行监控，包括监视CPU、硬盘、即？、廊各资源的使用情况安全管理区是5日志审计系统对网络设备、安全设备、操作系统的日志进行集中存储、分析安全管理区是6网络审计系统分析网络滂量，排除核心交换区7无线TIFl控制系统支持多元化认证方式,如短信认证、二维码认证、微信认证等核心交换区8终造安全管理系统（含准入硬件终就健康状态检查、终挪隹入控制、外设控制、终端E去外联控制安全菅理区是9IDS系统或IPS系统无线IDS系统网络攻击检测报警：在网络边界处监视各种攻

9、击行为1、核心交换区2、网络边界是10防毒墙网各入口病毒检测、查杀就各边界是11FNVFl等云接入身份认证、道路安全、虚拟服务器间访问S制1、网络入口2、虚拟服务器3、主机安全部分序号设备或措施功能部署位置是否必须备注1主机IPS软件或杀毒软件集成特定进程、入侵行为监控和完整性检测服务器2网络版防病毒软件与防毒墙代码库相异J及时更新；支持统一管理安全管理区量3Web防火墙防SQL注入、跨站攻击等服务器前端是4网页防篁改系统篡改检测模块（数字水印技术和应用防护模块（防注入攻击），实现了对静态和动态网页和脚本的实时检测和恢复，服务器区6漏洞扫描设备通过漏洞扫描发现漏洞，通逮冬满安全分发补丁核心交换

10、区7堡垒机实现对网络设备、安全设备、服务器设备的远程集中管理、运维监控核心交换区8数据库亩计实现对数据库的操作监控，语句回溯服务器区或核心交换去是9操作系统加固软件底层操作系统加固、强制访闻谢剩余信息保护服务器10操作系统加固软件及人工配K控制百要文件权限；禁用或删除不需要的服芬、共享等5限制或禁用默认/匿名用户，班除多余、过期及共享服务器是浪潮SSR或人工配置，不需设备4、数据安全部分序号设备或措施功能部著位置是否必须备注1网络设备、服务器设备备份关键廊各设备、通信线路和数据吐理系统的硬件元余,保证系统的可用性是可冷备2软硬件一体化备份容灾设备应能够对重要信息进行备份和恢复安全管理区是3负载

11、均衡设福要求双线路，负载均衡边界区5、安全服务序号服务名称功能是否必须备注信息安全制度完善完善信息安全管理制度，评亩修订是2安全检查网络安全检查是3安全培训安全意识培训或安全技术培训慧4安全专家应聘请信息安全专家作为常年的安全顾问,征询信息安全相关事宜根据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤进行：1、系统识别与定级：确定保护对象，通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况，包括系统业务流程和功能模块，以及确定系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。2

12、、安全域设计：根据第一步的结果，通过分析系统业务流程、功能模块，根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次，为下一步安全保障体系框架设计提供基础框架。3、确定安全域安全要求：参照国家相关等级保护安全要求，设计不同安全域的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级，明确各安全域所需采用的安全指标。4、评估现状：根据各等级的安全要求确定各等级的评估内容，根据国家相关风险评估方法，对系统各层次安全域进行有针对性的等级风险评估。并找出系统安全现状与等级要求的差距，形成完整准确的按需防御的安全需求。通过等级风险评估，可以明确各层次安全域相应等级的安全差距,为

13、下一步安全技术解决方案设计和安全管理建设提供依据。5、安全保障体系方案设计：根据安全域框架，设计系统各个层次的安全保障体系框架以及具体方案。包括：各层次的安全保障体系框架形成系统整体的安全保障体系框架;详细安全技术设计、安全管理设计。6、安全建设：根据方案设计内容逐步进行安全建设，满足方案设计做要符合的安全需求，满足等级保护相应等级的基本要求，实现按需防御。7、持续安全运维：通过安全预警、安全监控、安全加固、安全审计、应急响应等，从事前、事中、事后三个方面进行安全运行维护，确保系统的持续安全，满足持续性按需防御的安全需求。通过如上步骤，系统可以形成整体的等级化的安全保障体系，同时根据安全术建设

14、和安全管理建设，保障系统整体的安全。而应该特别注意的是：等级保护不是一个项目，它应该是一个不断循环的过程，所以通过整个安全项目、安全服务的实施，来保证用户等级保护的建设能够持续的运行，能够使整个系统随着环境的变化达到持续的安全。三级等保系统安全保护环境的设计目标是：落实GB17859-1999对三级等保系统的安全保护要求，在二级安全保护环境的基础上，通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，使得系统具有在统一安全策略管控下，保护敏感资源的能力。六、机房环境要求及解决措施“四度”指机房中的温度、湿度、洁净度及空气流通度；1、机房对温湿度要求机房的主要热量来自于计算机设备的散热、太阳辐射热、人工照明、人体体热等，其中计算机设备运行中产生的热量非常大，是机房中的主要热源。机房温度过高过低都不利于设备的运行。为保证设备的正常运行，机房内应保持一个适当并相对恒定的室