自建机房安全等级 机房二级等保要求

自建机房需发改备案吗

需要。我国网络安全管理严格，企业都要进行办理网络安全等级保护备案之后才能自建机房。所以自建机房需发改备案。机房建设，即指通过对机房的四个基本要素：结构，系统，服务，管理以及它们之间的相互联系的最优考虑，来提供一个投资合理，同时又高效，便利的环境。

中小企业自建机房要注意的几个方面呢

机房选址：

自建机房规则首先是选址，在办公室地理位置确定之后，机房一般会部署在办公室中心的位置，因为综合来看，这个位置到各个座位的布线能发挥最高效率。位置上最好能靠近大楼的强电和弱电管井，因为如果是多个楼层需要走垂直布线，这种方案也是最有利的。另外，一定要避开大楼的上下水管道，机房最怕的就是漏水。

在确定好位置之后，就是机房的装修工程，这里除了和办公室其它区域一样的一般装修之外，还需要特别安装架空的防静电地板和吊顶的桥架。最佳方案应该是将弱电和强电分开走线，以避免互相干扰，走布线维护来说也比较方便。

供电

机房的电力供应比办公区域要求要高，一般都需要向物业申请足够功率的专用线路，在大楼物业对供电系统进行停电维护的时候，机房的供电也不应该受到影响。当然，如果条件允许，最好在机房内部部署UPS设备，这样在意外断电的情况下，也可以让系统及网络保持正常运行。UPS的具体配置，应该根据服务器和网络设备的数量和功率以及你期望能运行的时间来计算。功率和电量越大，在断电的时候提供的续电时间越长。

布线：

布线也是机房的重要一环，一条条的线路就像一根根血管，将信息系统提供的服务源源不断的输出到用户的电脑终端上。我们见过太多如蜘蛛网一样乱麻一团的机房布线，这对维护和故障排除来说一直是一个头疼的问题。要解决好它，应该从机房部署的一开始就做好合理的规划，使走线合理，标签清楚，在做任何跳线调整的时候都不破坏原有的布局，避免飞线等不合理的做法，这样才有可能保持一个整洁有序的布线环境。另外，要善于利用配线架，理线架，扎带和标签等工具，辅以必要的图纸记录。

机柜：

在机柜方面，尽量选择大厂牌的机柜，虽然它看起来只是一个安装设备的大容器，但是俗话说的好，路遥知马力。一个好的机柜，在长期来看，绝对能发挥重要的作用。建议将网络设备(还可以细分为安全设备，路由和交换设备)，布线系统，语音设备，各个系统的服务器分类部署在不同的机柜中。然后将打开机柜的权限分配给网络工程师，系统工程师等不同的角色，便于安全管理。特别需要注意布线机柜和网络机柜及语音系统机柜的合理布局，因为它们之间可能有许多的网线连接，布局的好，可以让整个系统清晰合理，便于维护管理。

因为机柜中集中部署了许多服务器，要维护它们，除了远程登陆之外，在机柜内部署一套KVM(keyboard,video,mouse)是必须的选择。如果机柜空间富裕，可以在每个机柜中部署一套KVM,反之可以选择带有级联功能的KVM,将所有KVM连接起来，只保留一套显示器和鼠标键盘。

另外，机柜一定要选用按U度量的标准机柜，在安装网罗设备和服务器的时候，结合导轨和机柜螺栓等将设备固定在机柜上。

消防及空调：

根据机房不同的级别和安全要求等级，应该在机房内部部署专业消防装置如FM200等(对机房密封性有一定要求)或者二氧化碳灭火器等。要注意的是，千万不能有喷淋式的灭火器，前面提到了，你们都知道液体对机房意味着什么。

机房是一个大的散热体，各种设备都是时时刻刻向外散发热量，再加上机房是一个封闭的空间，所以必须要部署散热装置，一般来说这里指的就是空调。专业机房一般会采用精密空调，来精确控制整个机房的温度和湿度。当然，也可以选择更经济的普通吸顶式，挂壁式或者立式空调。值得注意的是，吸顶式空调一定要避免安装在机柜上方，因为一旦出现故障漏水，下方的机柜就遭殃了。因为机房空调需要24小时不间断运转，普通空调不一定能很好的胜任，尤其是在酷暑季节，所以建议选配加装多台冗余空调，然后轮流切换工作。

环境监控：

对于整个机房的环境，除了安排日常的巡逻检查之外，如果预算允许，建议再部署额外的环境监控系统来随时监控机房的工作状态。具体需要监控的项目可能包括温度、湿度、水浸检测，烟雾感应，断电感应，UPS状态监控，空调状态监控等等。报警的方式可以选择响铃报警、电话报警、邮件或者短信报警等等方式合理结合，在机房出现问题的第一时间就通知相应的负责人，从而将问题在第一时间得到解决。

安全：

除了环境监控之外，还需要考虑的机房的安全问题。一般需要为机房配备专门的刷卡安全系统，将进出权限分配给有限的IT运维人员。如果人员较多，还需要在入口及内部部署视频监控系统。这样能全方位多角度保护机房安全。

国家安全等级划分方法,定级对象

2018年6月27日，公安部正式发布《网络安全等级保护条例(征求意见稿)》(以下称“《等保条例》”)，标志着《网络安全法》(以下称“《网安法》”)第二十一条所确立的网络安全等级保护制度有了具体的实施依据与有力抓手。《等保条例》共八章七十三条，包括总则、支持与保障、网络的安全保护、涉密网络的安全保护、密码管理、监督管理、法律责任和附则。相较于2007年实施的《信息安全等级保护管理办法》(以下称“《管理办法》”)所确立的等级保护1.0体系，《等保条例》在国家支持、定级备案、密码管理等多个方面进行了更新与完善，适应了现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求，标志着等级保护正式迈入2.0时代。

《等保条例》的具体规定

《管理办法》由公安部、国家保密局、国家密码管理局、国务院信息工作办公室共同发布，作为等保1.0体系的核心规定，其法律效力为部门规范性文件。另根据《管理办法》第一条规定，其制定依据为国务院行政法规《计算机信息系统安全保护条例》。

《等保条例》虽尚在征求意见稿阶段，根据《行政法规制定程序条例》第五条，行政法规的名称一般称“条例”，国务院各部门和地方人民政府制定的规章不得称“条例”，因此，《等保条例》应当属于行政法规范畴。此外，《等保条例》第一条规定了其制定依据为《网安法》与《保守国家秘密法》。

综上可知，《管理办法》为依据行政法规制定的部门规范性文件，而《等保条例》则属于依据国家法律制定的行政法规，显然，无论是自身法律效力亦或法律依据的效力位阶，等保2.0均优于等保1.0。

等级保护的适用范围

对于适用范围，《等保条例》概括性地规定为适用于网络运营者在我国境内建设、运营、维护、使用网络，开展网络安全等级保护以及监督管理工作，而个人及家庭自建自用的网络除外，内容较为简略。2018年1月19日，全国信息安全标准化技术委员会发布了《信息安全技术网络安全等级保护定级指南2.0(征求意见稿)》(以下称“《定级指南2.0》”)，为等保的具体适用提供了指引。

等保1.0体系中，《管理办法》在第十条明确提到信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》(以下称“《定级指南1.0》”)确定信息系统的安全保护等级。因此，《定级指南2.0》的出台很大程度上得益于《定级指南1.0》的已有规定。

相比《定级指南1.0》将等级保护的对象笼统地定义为信息安全等级保护工作直接作用的具体的信息和信息系统，《定级指南2.0》细化了网络安全等级保护制度定级对象的具体范围，主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。另外，作为定级对象的网络还应当满足三个基本特征：第一，具有确定的主要安全责任主体;第二，承载相对独立的业务应用;第三，包含相互关联的多个资源

根据《定级指南2.0》，定级对象在满足上述基本特征后仍需遵循相关要求。对于电信网、广播电视传输网、互联网等基础信息网络，应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象，而跨省业务专网既可以作为一个整体定级，也可根据区域划分为若干对象定级。对于工业控制系统，应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级，而生产管理要素可以单独定级。对于云计算平台，则应区分为服务提供方与租户方，各自分别作为定级对象。对于物联网，虽然其包括感知、网络传输和处理应用等多种特征因素，但仍应将以上要素作为一个整体的定级对象，各要素并不单独定级。采用移动互联技术的网络与物联网类似，应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。对于大数据，除安全责任主体相同的平台和应用可以整体定级外，应单独定级。

网络等级

《等保条例》继受了《管理办法》所确立的五级安全保护等级体系，但进一步强化了对公民、法人和其他组织合法权益的保护。《管理办法》并未在主文中规定当遭受破坏后会对公民、法人和其他组织合法权益产生特别严重损害的信息系统应当如何定级，《定级指南1.0》仅在之后定级要素与安保等级关系的表格中显示上述信息系统应列为第二级，而《等保条例》则进行了相应修改，当等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害时，相应系统应当定为第三级保护对象。具体等级划分请参照以下表格：

网络安全保护义务

《管理办法》第五条规定信息系统的运营、使用单位应当依照该办法及其相关标准规范履行信息安全等级保护的义务和责任，但并未明确对应的义务。作为《网安法》配套法规的《等保条例》则沿袭了《网安法》已有的规定，就网络运营者的一般和特殊安全保护义务、网络产品和服务采购、应急预案制定等进行了详细的规定。

对于安全保护义务，除《网安法》第二十一条已经明确的内容外，一般网络运营者还应：一、建立安全管理和技术保护制度，建立人员管理、教育培训、系统安全建设、系统安全运维等制度;二、落实机房安全管理、设备和介质安全管理、网络安全管理等制度，制定操作规范和工作流程;三、在收集使用和处理个人信息时采取保护措施防止其泄露、损毁、篡改、窃取、丢失和滥用;四、落实违法信息发现、阻断、消除等措施，落实防范违法信息大量传播、违法犯罪证据灭失等措施;五、落实违法信息发现、阻断、消除等措施，防范违法信息大量传播和违法犯罪证据的灭失。第三级以上的网络运营者除上述义务外，还应当着重落实网络安全管理负责人、关键岗位技术人员的安全背景审查和持证上岗制度，同时定期开展等级测评工作。

对于网络产品和服务采购，网络运营者应当采购、使用符合国家法律法规和有关标准规范要求的网络产品和服务，第三级以上网络运营者应当采用与其安全保护等级相适应的网络产品和服务，对重要部位使用的网络产品，还应当委托专业测评机构进行专项测试。2017年6月1日生效的《网络关键设备和网络安全专用产品目录(第一批)》与国家认监委等四部门于2018年3月15日发布的《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)》对网络运营者使用的网络产品的要求进行了详细的规定，因此建议网络运营者在采购网络产品和服务要求供应商提供专业机构出具的安全认证或检测证书，以减少运营法律风险。

对于应急预案的制定，第三级以上网络的运营者应当按照国家有关规定，制定网络安全应急预案，定期开展网络安全应急演练。除及时记录并留存事件数据信息，向公安机关和行业主管部门报告外，网络运营者还应当为重大网络安全事件处置和恢复提供支持和协助。根据工信部《公共互联网网络安全突发事件应急预案》，报告网络安全事件信息时，还应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议等。

网络安全保护要求

近年来，随着人工智能、大数据、物联网、云计算等的快速发展，安全趋势和形势的急速变化，2008年发布的《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》(简称等保1.0)已经不再适用于当前安全要求。从2015年开始，等级保护的安全要求逐步开始制定2.0标准，包括5个部分：安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求。2017年8月，公安部评估中心根据网信办和安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《网络安全等级保护基本要求》一个标准。等保1.0标准更偏重于对于防护的要求，而等保2.0标准更适应当前网络安全形势的发展，结合《网安法》中对于持续监测、威胁情报、快速响应类的要求提出了具体的落地措施。