? 应避开有害气体来源以及存放腐蚀、易燃、易爆物品的地方。 ? 应避开低洼、潮湿、落雷区域。 ? 应避开强震动源和强噪音源。 ? 应避开强电磁场的干扰。

? 应避免设在建筑物的高层或地下室，以及用水设备的下层和隔壁。 （2）门窗

机房所有门窗应密封，以减少尘埃及噪音等外来干扰，门户及走道的大小应足够让系统在安装时运输通过。

（3）地板

机房地板应有防静电涂料或采用防静电活动地板。装修后机房净高应不小于2500mm。 （4）照明

参考《电子计算机机房设计规范》（GB50174-93）要求，主机房照度应≥300 Lx，控制室照度应≥300 Lx，同时设机房疏散照明、安全出口标志灯，其照度应≥0.5Lx。

（5）安全消防

? 采用二氧化碳或卤代烷等灭火系统。 ? 机房内材料、设施应使用防火耐用材料。

? 机房内应设有火灾自动报警系统，吊顶上下及活动地板下均应设置探测器。 ? 机房内应配备手动或自动灭火设备，手动灭火器应放置在机房显眼处，且方便存取。 ? 机房安全出口不少于两个，且要保持畅通，不可放置杂物。 ? 机房应有紧急照明设备。 ? 可以采用防火隔离措施。

? 符合建筑物消防设备规定，如《建筑设计防火规范》等。 （6）天花板

? 不能用易燃及易脱落尘埃或脱落微粒的物质做吊顶。 ? 吊顶宜选用不起尘的吸声材料。 （7）墙壁

? 机房墙壁采用防尘材料。 ? 隔墙可采用玻璃隔断。 （8）环境

机房内常年设置恒温恒湿机房专用空调机。设备开机时主机房的环境要求如下： ? 温度：夏季、23±2℃，冬季、20±2℃。 ? 相对湿度：45%～65%。 ? 温度变化率： 5℃/h，不结露。

? 洁净度：静态条件下测试，空气中≥0.5μm的尘粒数，应少于18000粒/升。 ? 噪音：停机条件下，操作员位置噪音强度≤60dB。 （9）机房承重

机房楼板的承重最小按600Kg/m2考虑(不包括电源部分)。 （10）监控及门禁

建议机房内设置场地监控系统，对设备提供24小时全天候监控，监控内容包括：环境控制系统（空调等）、电力系统（配电设备、UPS、发电机等）、火警、漏水等。

机房可根据需要设置门禁系统。 （11）空调

要求机房空调系统具有供风、加热、加湿、冷却、去湿和空气除尘能力，以满足以上机房环境要求。

41

（12）电源

? 线制：三相五线制/三相四线制、单相三线制。 ? 频率：50Hz±0.2Hz。

? 电压波动范围：220V/380V±5% 。 ? 波形失真率：≤±5% 。 ? 瞬间停电持续时间：≤4ms。 ? 三相不平衡度：≤20% 。

? 电源从UPS接入。机房内配备至少两台UPS，互为热备份。在无外电供应的情况

下能为设备供电不少于30分钟。UPS电源应符合GB7620-87的标准。 （13）接地

? 交流工作接地：接地电阻不大于2欧姆。 ? 安全保护接地：接地电阻不大于2欧姆。

? 直流工作接地：接地电阻按计算机系统具体要求进行。 ? 防雷接地：按现行国家标准《建筑防雷设计规范》执行。 ? 交流工作地、安全保护地、直流地宜分别走线，共同入地；防雷保护地宜单独设置，

且应距交流工作地、安全保护地、直流地的地桩距离≥15m。 （14）其他要求

机器设备的四周应留有足够的散热空间，避免阳光直射。 9 系统安全

在企业门户系统的建设过程中，应该从不同的侧面和层面考虑系统的安全，各子系统的系统安全才能有保障，由于企业门户系统的展现内容涉及到很多企业内部的核心机密，因此，对安全性要求较高。系统的安全管理策略要求从接入层、传输层、应用层和数据层分别进行考虑，以保证系统实施过程中的安全。企业门户系统的整体安全策略包括网络结构、操作系统、信息传输、应用系统及主机系统等多方面的安全保护措施。 9.1 系统的可靠性

9.1.1 系统可靠性、稳定性保障机制

建立系统平台的可靠性、稳定性保障机制的目标是：在系统硬件出现故障、甚至中心机房出现灾害的情况下，保证整个或者部分系统能继续运转。另一方面，通过引入网络管理监控机制，由网络管理人员通过中心的网管终端，查看网上各种资源的状态，分析系统处理速度变慢、通信不稳定的直接原因，并加以调整、优化，使网络系统高效、稳定运转。 9.1.2 硬件可靠性

核心服务器方面：应当使用高可靠性设计的计算机作为系统的主要服务器。服务器全部支持冗余磁盘阵列技术，数据存储服务器支持双机热备交互式运行，应用服务器支持网络负载平衡服务。

容灾备份方面：应采取防火、防水、保安等措施防止机房灾害。一旦中心发生机房灾害，系统可自动或转为人工操作，通过备份主机恢复系统数据和功能，使整个系统继续运转。对于系统的核心数据，应当采用两级备份方案，保证系统数据最大程度的安全。

42

9.1.3 软件可靠性

系统软件方面，应当选用具有高可靠性、健壮性设计的操作系统及数据库管理系统；企业门户系统本身提供的各种业务组件和程序模块，同样应当采用高可靠性、健壮性设计，并在实施中通过严格、科学的测试。 9.1.4 平台稳定性要求

平台软件、系统主机、数据库系统、网络满足稳定工作的要求，保证整个平台有稳定的软硬件工作环境。 9.2 网络接入安全 9.2.1 身份验证

身份验证同时包括认证和授权。认证指用特定的凭证来标识用户的身份，通过采取用户身份鉴别措施，仅当用户身份合法时，才允许进入本系统。另外，要求对用户口令进行加密，同时可考虑采用电子签名、电子身份证等方式来提高用户的安全性。授权是指对通过认证的用户赋予继续访问资源的许可权。必须对所有基础设施的物理访问进行控制，包括两种操作模式：

? 基本操作模式：用户系统的日常维护。 ? 特权操作模式：用于系统配置和故障排除。

管理员可以通过控制台或辅助端口配置设备，配置之前应当通过认证。 9.2.2 拨号访问保护

用户通过拨号访问中国联通企业门户系统的资源，即通过VPN进行拨号连接，同时，应对以下信息进行正确性检测，包括：确认呼叫者的身份、确认呼叫者所处的位置、确认呼叫者的目的地。要求能够追踪所要访问的应用系统和数据、追踪一次连接所持续的时间，以确保私有通信的安全性。 9.3 信息传输的安全 9.3.1 完整性策略

基础设施的完整性要求任何软件映像在设备上的运行必须可靠有效，任何配置未经许可不得被改动。同时，只有经过许可的设备才能连接到网络上。在向网络基础设施下载映像时，要确保映像在传输过程中的完整性。 9.3.2 数据机密性

数据加密的要求：

? 系统提供文件下载等功能时，要进行必要的数据保护措施。 ? SNMP与网络设备之间的事务处理应进行必要的数据保护措施。 ? 设备提供HTTP访问功能时应提供必要的数据保护措施。

43

9.3.3 网络可用性

网络的可用性保证要求对设备进行适当的冗余，以及进行相关配置来阻止多数常见的攻击功能。对于关键设备，必须进行电源的冗余配置。 9.3.4 设备审计

审核用于保证网络基础设施按照管理员预期进行配置，有效地监视网络活动，包括检测网络入侵。 9.3.5 配置确认

确认网络基础设施的配置非常重要，这可以保证配置的正确实现，主要通过一些模拟或仿真工具实现。可以模拟的领域包括：

? ? ? ?

映射当前的网络拓扑。 标识主机上的服务。

执行假设条件，以检测过滤的有效性。 利用模拟工具，以查找漏洞。

9.3.6 监视记录网络的活动

要求监视记录与网络相关的活动。通过保存各种设备产生的系统日志，对系统进行安全审计。

9.3.7 入侵检测

实时监视网络活动和数据，以检测潜在的漏洞和攻击。入侵保护系统应当具有以下特点： ? ? ? ? ? ?

必须能够在无人管理的情况下进行。 必须能够容错。 必须能够抵制破坏。 系统开销最小。

必须能够从常规行为中观察到异常活动，并立即报警。 必须能够升级，以支持新的攻击操作。

9.4 应用系统的安全 9.4.1 主机系统安全

应用服务器主机的操作系统在安全性上应该能够达到C2安全级别，对系统能提供有效的安全保密措施。在系统管理上，对所能够使用的 端口采取有效的控制措施，防止非法人员通过相关端口 非法进入。要求对核心数据分别保存，避免系统用户非法读取和破坏数据。同时，应当配备自动备份设备，对上述数据进行定时自动备份，以确保上述资料及时恢复。并且，在重要关键服务器的网段上设立防火墙。

核心应用系统服务器主机全部采用双机热备方式，磁盘阵列采用RAID方式对数据进行存储。

44