Физическа безопасност в центровете за данни
За много предприятия ключовите компоненти в тяхната ИТ инфраструктура са също толкова ценни, колкото са скъпоценностите в кралската хазна за кралицата на Великобритания. Разликата е в това, че те не са защитени от кражба, неправомерно използване или унищожаване чрез стените на лондонския Тауър, а чрез средства за безопасност на центровете за обработка на данни. Но дори най-добрата стена се оказва безполезна, ако някой може безпрепятствено и незабележимо да влезе в сървърната стая с камерафон и джобно ножче. Затова за защита на центрове за обработка на данни от шпионаж, природни катастрофи или диверсии на първо място се предприемат физически мерки за сигурност.
Работата по обезпечаване на безопасността в центъра за обработка на данни (ЦОД) започва с избора на участъка, на който той ще се изгражда. На първо място трябва да се избягват територии, заплашени от наводнения или подземни води, както и участъци, в които редовно има земетресения. Не по-малко важен фактор са „правилните съседи“. Разположените в близост складове за взривни вещества заплашват центъра за данни, както и предприятия, изхвърлящи големи количества вредни вещества. Освен това нежелателна е близостта до летища, електростанции, пътища за транспортиране на опасни товари и източници на електромагнитни лъчения. Ако недалече често се провеждат масови мероприятия или конференции по безопасност, то мерките за тяхната защита също може да нанесат вреди на дейността на ЦОД. Уместно е да се избягват каквито и да е табели с указания на самия център за обработка на данни и неговата принадлежност към определена компания, даже ако това накърнява гордостта на шефовете на предприятието.
Когато бъде намерен подходящ участък, се препоръчва да се съблюдават минималните разстояния от сградата на ЦОД до най-близката улица. Защитна зона с ширина не по-малко от 30 м е необходима, за да може с помощта на дървета, храсти или каменни блокове да бъде скрита от любопитни погледи както самата сграда на ЦОД, така и специалните заграждения и камери за наблюдение. В същото време тези ландшафтни мерки не позволяват на различни превозни средства да се приближават опасно близо до сградата.
Строителна субстанция
Тези, които при организирането на ЦОД се налага да се задоволят с вече съществуваща сграда, нямат онази степен на свобода при планирането, както в случай на създаване на нов център на зелено. Въпреки това сградата трябва да отговаря на минимални изисквания за безопасност: в идеалния случай тя е предназначена само за ЦОД, други наематели няма. Ако има и автомобилен паркинг (на покрива или на някой от подземните етажи), то сградата не би трябвало да се ползва в качеството на ЦОД. Местата за паркиране трябва да се разполагат на достатъчно разстояние, за да се минимизира заплахата от аварии или в най-лошия случай, бомба, заложена в автомобила.
За формата и характеристиките на тухлената зидария, на прозорците и вратите съществуват съответните норми и директиви, както и за защита от пожари и дим (вж. Таблица 1). В зависимост от степента на заплахите, външните стени трябва да устоят на екстремни м метеорологични условия и преднамерени увреждания, дори мощен взрив. Тъй като прозорците винаги са слабо място, при създаването на ЦОД трябва да се откажем от тях, доколкото това е възможно. В офисните помещения, ако са предвидени такива по проект, прозорците трябва да гледат само към охранявана територия и по възможност да са направени от бронирано стъкло. Трябва да се откажем също от достъп в ЦОД през офисните помещения. Критично важните зони в изчислителния център се поместват на такива места, в които няма нито прозорци, нито външни стени, висящи лампи или врати, водещи към улица. Най-приемливият вариант е наличието само на два входа: главен за ИТ персонала, а вторият, в задната част на сградата, за обслужващия персонал и разтоварване на оборудване.
Таблица 1
| VdS 2334 | Тухлена стена |
| DIN V ENV 1627 | Прозорци и врати |
| VdS 2007 | Участъци от сградата, подложени на въздействието на вода |
| EN 50147 ч.1 | Електромагнитни и радиочестотни смущения |
| DIN VDE 0185 ч.3 | Външна защита от мълнии |
| DIN 18095 | Защита от запалване и дим |
| DIN 4102 | Пожарни отсеци |
| EN 1047-2 | Поддържане функционалност на ИТ системите при пожар |
| DIN EN54 | Системи за пожарна сигнализация, датчици за ранно откриване на пожар |
| VdS 2095 | Системи за пожарна сигнализация |
| DIN 14675, DIN VDE 833-2, VdS 2380/2093 | Системи за газово потушаване на пожари |
| VdS 2358 | Системи за контрол на достъпа |
| VdS 2311 | Системи за оповестяване на прониквания |
| DIN VDE 0833-3, VdS 2471 | Аварийно електричество |
| DIN VDE 0100 | Електроинсталации |
| VdS 2833 | Защита от пренапрежение |
| DIN EN 50310 | Изравняване на потенциали |
| DIN EN 62020 | Контрол на диференциалния ток |
Препоръчва се особено внимание да се отдели на конструкцията на подовете и таваните, особено в съществуващи постройки: при наличие на двоен под или окачен таван нараства опасността от разпространение на огъня при пожар. Ако вътрешните стени са плътни - от пода до тавана, това предотвратява възможността от несанкционирано проникване. При избора и планирането на сградата трябва да се отчете и допустимото натоварване на покрива. Макар че тук изискванията се определят от индивидуалните нужди, се препоръчва покривната конструкция да издържа минимум тон товар на 1 м2 площ.
Системи за безопасност
За цялата територия на ЦОД трябва да се предвидят различни зони за безопасност по класическия принцип на луковицата (вж. Фигура 1): с придвижване към зоните с по-значими зони изискванията, предявени към системите за безопасност, нарастват. Препоръчва се територията около сградата, а също всички входове и изходи да бъдат следени посредством камери за видеонаблюдение. За контрол на обширни пространства се прилагат въртящи се и куполни камери, чиято текуща зона на видимост потенциалният зложелател не е в състояние да определи. Тези камери добре се съчетават с детектори за движение или скрити в земята сензори. Например, ако нежелан гост преодолее оградата, то такъв сензор незабавно сработва, камерите се насочват в указаната им зона и започват да записват. Едновременно със системата за безопасност за инцидента се сигнализира на дежурния диспечер. Има смисъл постоянно видеонаблюдение да се внедри и вътре в изчислителния център във всички критически важни инфраструктурни помещения, а записите се съхраняват в продължение на 90 дни. При преглеждане на видеоматериала следва да се отчитат изискванията, предявени към защитата на данните и обработката им да става само с разрешение на ръководството на предприятието и/или ръководителя на отдела по експлоатация (Facility Management).
Фигура 1
- Зона 0: Територия около сградата
- Зона 1: Входове и изходи
- Зона 2: Офисна зона
- Зона 3: Технически помещения
- Зона 4: Техническа инфраструктура на ЦОД
- Зона 5: Централна област на ЦОД
Източник: Информационният център IZB
Паралелно с видеонаблюдението всички прозорци и врати могат да се охраняват посредством система за сигнализация с прилагане на сензори. Освен за разбито стъкло, датчиците съобщават за затворени прозорци и врати. Например, ако вратата е отворена за повече от 60 сек., сигналът за тревога се изпраща в диспечерската — това помещение, както и всички останали критически важни компоненти на ЦОД трябва да бъдат снабдени с резервирани ресурси и обслужвани денонощно. При наличие на резервен ЦОД доставчикът на ИТ услуги може да използва диспечерската на единия ЦОД, за да контролира другия център за данни. Но всички съобщения и видеоданни трябва да постъпват веднага в двете диспечерски. Особено важен е постоянният контрол на проникванията в ЦОД, в такъв случай системата за контрол на достъпа отначало идентифицира личността на влизащия (по правило чрез проверка на пропуска), а след това уточнява кога и къде той има право да влиза.
Контрол на достъпа
За да се предотврати използването на загубен или откраднат пропуск, следва поне в ключовите зони на ЦОД да се осъществява двухфакторна автентификация. При нея достъпът се контролира или посредством допълнителен PIN код, или чрез определяне на биометричните характеристики на човека с цел потвърждение на правата на показания пропуск. Биометричните методи като проверка на геометрията на ръката или отпечатъците на палците (вж. Фигура 2), са по-предпочитани, тъй като PIN кодът може да се изчисли или предаде на друго лице. За да се избегнат опасенията на служителите относно съблюдаване на конфиденциалността в случай на централизирано съхранение на биометричните данни, информационният център IZB например използва за идентификация на личността обичайния пропуск. Верификацията на неговия собственик се осъществява с помощта на отчитащо устройство, сравняващо информацията от отпечатъка, съхранявана на пропуска (т.нар. шаблон), с току-що сканирания отпечатък. В този случай не се използва централизирано съхранение на биометрични параметри. Опитите за манипулиране на скенера за отпечатъци се предотвратява инсталирането на допълнителни датчици за движение и видеокамери. Ако някой се задържи при скенера над 30 сек, в диспечерската прозвучава сигнал за тревога. „Безбилетният“ подход съвместно с лица, имащи право на достъп до важни зони, може да се пресече с помощта на т.нар. „шлюзове за единично преминаване“.
Далечни пунктове
При планиране и обезпечаване на безопасността на ЦОД се налага да се обърне внимание на множество други моменти, излизащи извън рамките на тази статия. TV Informationstechnik в своите контролни списъци за сертифициране Trusted Site Infrastructure (TSI) прави разлика между следните сфери: околна среда, строителна конструкция, защита от пожар, система за сигнализации и потушаване, енергоснабдяване, системи за вентилация на помещения, организация и документация. Всеки от тези раздели има многобройни подточки. При планиране и проверка в ЦОД могат да се окажат полезни съществуващите норми и сертификации. Допълнителна информация предлага каталог на базовите мерки за защита на Федералното министерство за ИТ безопасност на Германия, институтът TV Informationstechnik, а също стандартът TIA-942 от Telecommunications Industry Associations (TIA), в който се дават практически и ясни указания относно създаването на надежден ЦОД.
Предприятията, за които поддържането на собствен ЦОД е твърде голямо бреме от финансова гледна точка, могат да прехвърлят всички задължения, от хостинг на отделни ИТ компоненти до управление на цялата инфраструктура, на специализиран външен доставчик на услуги. Ако той поеме не само да поместването и поддръжката на компонентите, а и производствена отговорност за целите процеси, то собственият ИТ отдел на предприятието няма да се занимава с проектиране и експлоатация на ЦОД. При това доставчикът на услугата е длъжен да предостави свидетелства за сигурност на собствения си център за данни във вид на съответните сертификати.
КОМЕНТАРИ
"Физическа безопасност в центровете за данни"
Tech Quiz
Последни новини
- Стартира проектът „ТОП ИКТ Работодател“
- В 29 общини и 24 малки селища ще се изгражда инфраструктура за ШЛ интернет по проект на ЕСМИС
- Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
- D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
- Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ