自动化码头网络建设规范（征求意见稿）.docx

ICS0322040CCSR40B45广西壮族自治区地方标准DB45/TXXXXXXXX自动化码头网络建设规范SpecificationfortheconstructionofautomatedterminaInetwork（征求意见稿）（本草案完成时间：202474/18）在提交反慎意见时，请将最知道的相关专利连同支持性文件一并附上.XXXX-XX-XX实施XXXX-XX-XX发布广西壮族自治区市场监督管理局发布目次前才IH1范用42规范性引用文件43术语和定义44缩略语55总体要求55. 1基本要求55.2建设原则56网络规划66. 1基本要求66.2 三网架构66.3 核心层网络76.4 汇聚层网络86.5 接入层网络87生产网87.1 基本要求87.2 网络架构87.3 部署要求98办公网91.1 基本要求91.2 网络架构91.3 部署要求109视频网109. 1基本要求IO9.1 网络架构109.2 部署要求1010信息安全1110. 1基本要求1110.1 DMZ区域建设1110.2 网络安全边界1110.3 通信传输安全1110.4 网络高可用性1110.5 访问拄制1210.6 入侵防范和恶意代码防护1210.7 应用和数据安全1210.8 安全审计13H物理和环境安全1311.1 基本要求1311.2 一般要求1311.3 机房1312综合布线1412.1 夔本要求1412.2 系统设计14参考文献16-2-a-刖百本文件按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则3的规定起草.请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任.本文件由广西壮族自治区交通运输厅提出和宣赏.本文件由广西交通运输标准化技术委员会归口。本文件起草单位：北部湾港股份有限公司、广西钦州保税港区盛港码头有限公司、上海海事大学.本文件主要起草人：宋海清、温富荣、赵令民、黄道方、郑捌、枝秋雨、周文艳、邓明浩、星丛铭、周桂安、杨远标、龙廷斐、黄柱华、罗欣欣、秦国峻、徐英贤、甫清、周洁萍、王纪奇、丁嘉毅、任飞翔、王嘉靖、谢久园、刘宇.自动化码头网络建设规范1葩困本文件界定了全自动化集装箱码头（以卜简称自动化码头）网络建设的术语和定义、缩略语，规定了自动化码头网络建设的具体技术要求.包括自动化码头网络规划、功能区划分、性能要求、面临的常见安全威胁及安全原则、物理和环境安全、网络和迪伯安全、设备和计算安全以及应用和数据安全.本文件适用于广西壮族自治区行政区域内的自动化码头、半自动化码头以及自动化远控改造的网络建设。2规葩性引用文件卜列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中.注日期的引FH文件，仅该日期对应的版本适用于本文件：不注H期的引用文件,其最新版本（包括所有的蟋改单）适用于本文件.GB/T22239信息安全技术一网络安全等级保护班本要求GB50016建筑防火设计规范GB50057建筑物防雨设计规范GB50311综合布线系统工程设计规范GB503-13建筑物电子信息系统防雷技术规范GB50345屋面工程技术规范IS0/IEC27001信息技术安全技术-信息安全管理体系要求IEC62443工业过程测鼠、控制和自动化网络与系统伯息安全3术语和定义下列术语和定义适用于本文件，3. 1三网架构thrcc-nctworkarchitecture自动化码头网络划分为港口生产网、办公OA网、CCTV视版网.三张网简称为生产网、办公网、视短网.3.2生产网productionnetwork用于承我港口生产业务的网络.3.3办公网officenetwork用于承载港口行政办公业务的网络。3.4视频网videonetwork用于承骐港口安防业务，及口岸监管单位对接要求的网络,3.5港机portmachinery自动化码头中负责自动化生产作业的岸桥、轨道吊等装卸设爵.4缩略语下列缩略语适用千本文件.CCTVs闭路电视(C1.osedCircuitTe1.evision)DMZ：隔离区(DemiIitariZedZone)IGV：智慧型引导运输车(In1.e1.1.ixentGUidedVehic1.e)MTBF：平均无故障时间(MeanTiBeBetweenFai1.ures)MTTR：平均修匏时间(MeanTimeToRepair)OA：自动化办公(OfficeAutomation)VPN:虚拟专用网络(Virtua1.PrivateNetwork)WAF:网站应用级入侵防御系统(VebApp1.icationFirewa1.1.)5总体要求5.1 基本要求自动化码头网络应具备安全、稳定、岛速、冗余性而、时延低等特点，应满足稳定性、时延、速率三个方面的要求。5.1.1 网络稳定性要求核心网络区域全年可用性MTBF/(WnwT11R)不低于99.阴%.5.1.2 网络时延要求港机远控CeTVM络平均时延不超过50ms.港机远控网络平均时延不超过2(s.IGV无线网络平均时延不超过200ms,基站漫游切换平均时延不超过50ms.5.1.3 网络速率要求港机CCTV单个视嫉回传速率大于4MBs.单fUGV控制通信传输带宽大干512kbps.单台IGV平均可用传输带宽大于3三bps.5.2 建设原则自动化码头网络建设应遵循安全性、高可用性、可扩展性、灵活性以及易管理性五个方面的原则.5.2.1安全性原则应针对不同网络访问需求及所承载的业务构建网络架构，网络应设置统一的安全策略，通过规范设备安全配S1.部*多种安全防护技术组合等措施,保证网络系统的安全性.5.2.2高可用性原则应根据不I可信息系统的安全运雄:要求规划业务网络区域,减少网络架何中存在的全息故障点分布数畸.降低系统整体运维风险。5.2.3可犷展性原则应遵循模块化和层次化设计思路，使网络架构在功能、容依、留施能力、性能等各方面具有易扩展能力,以适应快速的业务发展对基础架何的要求。5.2.4灵活性原则应制定高施容性的网络架构，确保设备、技术的互通和互操作性，方便快速灵活部署新的产品和技术，以适应快速、灵活的业务发展对基础架构的要求。5.2.5易管理性原则应结合网络运维管理需求，建立独立的运维管理网络，方便进行管理、故障隔离和H常运维，6网络规划61基本要求自动化码头网络规划应哌用区域化设计方式，按照业务需求以及管理需求进行分区设计。不同网络区域负贲各自功能,有加应部署要求.62三网架构6.2.1自动化码头网络按照码头业务划分，可分为自动化生产作业业务、码头办公运甘业务、码头安防及视频业务：以同类型的业务、系统合并放入同一个网络的方式,可分为三个主干网络：生产网、办公网、视购网：按照管理需求分为六个网络区域：核心区、汇聚区、业务接入区、外网接入区、安全管理区、限务器区。整体网络架构示意图见图1,uOEBH-国.,f<mm110>»«"««rNH0IMWfI6.2.2生产网、办公网、视频网应遵循三层网络设计，自上而下分为核心层、汇墩层、接入层，对应网络区域中的核心区、汇聚区、业务接入区.服务零区和安全管理区通过物理电连或间接连接的方式分别与生产网、办公网、视频网相通，服务器区与安全管理区应通过核心层间接连接进行通信.6.2.3网络设备应具备用络物理或逻辑隔离功能，虫要的业务网络应采取物理隔离,服务器区应具备逻辑隔离功能，服务器上运行的各应用系统应与其所在的主干网络内的应用系统或设得互.通，其他通信流量成认隔禹.6.2.4网络应具有良好的可扩展性，应选取集成度高、模域可通用的产品.6.2.5各网络区域应划分单独的带外管理网，带外管理网与码头内所有的网络设荒、安全设任管理口可联，进行管控。6.2.6眄头各应用系统应根据其业务属性和安全防护级别规划部*在生产网、办公网、视频刈中.6.2.7数据中心机房及生产业务关谊网络汇玳节点应就*UPS电源，数据中心机房机柜应采用双路UpS供电，双电源设备应至少有一路电源为UPS供电，IPS和市电为无感切换。根据网络设在数依、设备动率以及断电后生产业务要求持续的最少供电时间，综合考虑UPS电源的规格，供电时长应至少为30分钟.满足切换备用电源、生产业务初停、关犍数据保存等工作所需要的最少时间要求.6.3核心层网络6.3.1核心层应为全网数据交互的中心，包含三个主干网络的核心交换机，与码头内部各个区域网络相连应具有高可靠性、不间断持续转发的能力.6.3.2核心层交换机应具备高可装性和高冗余性，应况徨至少两台同等级别的交换机.果用集群或堆扑技术，保障数据转发不间断。6.3.3核心层应采用速率为万兆及以上的铝口接入，直采用链路聚合等技术保证无阻塞大容量的数据传输.6.3.4核心层交换机应具备双主控、双电源以保障设备运行的可枯性。6.3.5采用了集群或堆叠技术的两台或以上的核心层交换机,宜分别部詈在主备或双活数据中心，来用光纤进行互联.数据中心间的光纤走向应使用完全独立的路III.6. 3.6核心层交换机应具备良好的犷展性，支持灵活旷展主控、接口、带宽和处埋能力，以满足数据接入、转发需求。6.4 汇聚层网络6. 4.1汇聚层应为连接业务接入层与核心层的网络枢纽，包含三个主干网络的汇聚交换机,应具备汇聚各个接入层数据流敬并转发到核心层、转发核心层数据流收到各个业务接入层，以及转发业务接入层流量到其他业务接入层的功能。7. 4.2汇聚层交换机应具备将可旅性和高冗余性,生产刈汇聚层的配置至少两分同等级别的交换机.采用集群或堆穆技术，保障数据转发不间断。8. 4.3汇聚层应采用速率为万兆及以上的端口与核心层、业务接入层相连，宜采用流跖理合等技术保证无阻塞大容量的数据传输。9. 4.4汇泥层交换机应具备双电源以保障设备运行的可探性.生产网汇聚层交换机应具符双主控.6.5 接入层网络6. 5.1接入层应为三个主干网络及各业务终端接入内部网络的区域，应具备R好的Ur扩展性和易部署性.应根据各接入终端需求使用仃品或千兆端口,接入交换机与终端设备连接应至少使用超五类双绞线.7. 5.2接入交换机应考虑放跣的物理环境,在室外环境应选择工业型交换机.且应进行防雷接地.在港机环境应具备良好的抗熊性能或措施，8. 5.3根据接入区域的接入终端密度选择对应的端口数电的设备,接入交换机应支持集中式和分布式管理降低管理成本和更杂度.7生产网8.1 基本要求生产网承我码头自动化生产业务，般用于连接生产业务系统和自动化港机、设备设施，其范围应包括自动化装卸设缶、水平运输设务、闸口、冷箭区、车载终端等所有与自动化生产作业直接相关的网络，对网络的性能、可狒性、安全性有着最高的要求。8.2 网络架构7. 2.1生产网网络架构自上而下应分为服务器区、生产网核心层、生产网汇聚层、生产网接入层.生产网核心层通过边界防火墙,与办公网核心层以及旁挂在办公网核心层的安全管理区相连。服务器区通过负载均衡设备与生产网核心层相连.9. 2.2生产网核心层应至少部署两台核心交换机,交换机采用佻忖或堆袋技术虚拟成逻辑上的通交换机对外提供服务，交换机之间采用然“聚合技术互岷.7.2.3生产网核心层与汇聚层之间的互联城路应使用端口聚合技术保障上下行带宽和冗余性.7.2.4生产刈汇聚房应至少部署两台汇聚交换机,交换机采用堆叠技术虚拟成逻辑上的单一交换机对外提供服务，交换机之间采用端11聚合技术互联.7.2.5生产网汇聚层与接入层之间的互岷线路，点要生产设备如自动化港机、IGV无戏族站的接入交换机，应同时连接汇聚层的所有汇聚交换机。7.2.6生产网络接入层应根据各接入点的网络需求，配置相应数状、规格的交换机，7. 2.7在生产网边界应采用双机串联方式部署边界防火墙，建立起以应用为核心的网络安全策略安全防护体系.7. 2.8应将生产网划分为业务网络区域和运维网络区域，不同安全域间应果川符合码头所在国家和博区安全监管政爱和标准所要求的访问控制手段，包括且不限于AC1.、V1.AN,防火墙、单双向网闸等安全技术抬施7.2.9自动化岸桥和臼动化轨道吊的单机捽制网络应与单机安防刈络、理货系统网络在物理层面上实现完全隔窗，使用独立的网络设备组网，避免网络互相干扰.7.2.10IGV网络应采用单机远端班站连接近前无线携站的方式，近端塞站应通过光纤连接生产网也聚层，远端基站应通过5.xGHz的无级领率接入近端基站。单机远端基站网络应分成A和B两个网络，对应近端基站网络的A和B两个网络.IGV可根据网络实时连接状态进行网络切换、漫游.7.3部箸要求7.3.1生产网网络边界应为封闭状鱼,网络主结构为星型结构,核心侧部罂边界防火墙与其他主干网络相连.开启流加审计.7.3.2生产网接入交换机必须为首埋型交换机.7.3.3生产网内设备及应用端口实行白名单制，相关操作电脑以常态化工作站形式部署，7.3.4IGV通信宜采用£用无线网络，在接入层和汇聚层的连接宜枭用冗余链路,7.3.5自动化港机的工业控制.理货系统网络宜采用有线网络,在接入层和汇聚层的连接在采用冗余链路.7.3.6应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信，并严格限制未经授权的临时性运维、访问等访问请求。7.3.7应对在生产网进行访问的用户进行行为审计和分析7.3.8自动化岸桥和自动化轨道吊的接入层交换机应部*在单机电气房内，通过独立的光纤连接后培汇聚层。7.3.9IGY单H端电站网络应采用双远端基站的方式都潞，两个远端可同时分别连接对应的近端基站.7.3.10自动化岸桥和自动化凯道吊单机控制网络应能根据会话状态信恩为进出数据流提供明确的允许/拒绝访问的能力。7.3.11应保障生产网内各节点的网络设备性健、流谿带宽满足业务高峥期需求。7.3.12生产网应能修对非授权设备私自连接到内部网络的行为进行限制或检查.7. 3.13自动化岸桥和自动化轨道吊日常作业和维护过程中，对于涉及人员辅助操作和远程维护,应采取严格的身份认证、授权访问和操作审计等技术措施。8办公网8,1星本要求办公网承载码头员工日常办公行政业务和码头生产不H接相关的业务系统，其范困应包括OA系统、计费系统等所处的网络,负贲码头公网出1.1.及外网接入业务,也负责单位内部同络互联.8.2网络架构8. 2.1办公网网络架何自上而卜应分为服务器区、办公网核心层、办公网汇聚层、办公网接入层,外网接入区通过防火墙等安全设备隔葩后与核心层相连，安全管理区以旁挂方式连接核心层，服务器区通过负载均衡设备与办公网核心层相连。8. 2.2外网接入区负货码头的公网出口,应双机小联部署出口防火戕.建立网络安全策略安全防护体系.且双机小联部若上网行为管理系统,实现对互联网访问行为的全面管理.8. 2.3办公络核心层应至少部署两台核心交换机，交换机采用集群或堆杵技术虚拟成逻辑上的单交换机对外提供服务，交换机之间采用端口聚合技术互联.8. 2.4办公刈核心层与汇聚层之间的互联线路应使用端I聚合技术保障匕下行带宽和冗余性.8. 2.5办公网汇聚层应根据各汇聚点的网络需求，配置相应数;七规格的交换机.8. 2.6办公网接入层应根据各接入点的网络需求，配置相应数;七规格的交换机，8. 2.7安全管理区应通过核心层接入办公网，全网安全及审计设符应集中放置在安全管理区，应包括统一网管平台、VP，、堡垒机、态势感知、服务擀防病毒系统、终端安全防护系统、H志审计、数楙库审计等.8.3部署要求8.3.1应具备较强的权限管理能力和一定的封闭性,对外服务部分具备功能完笛的DMZ区域进行划离.8.3.2应具备完整的闷络安全管埋中心泡合港”进行网络安全等级建设.8.3.3直采用不同运昔商、多互岷网出口专跷的方式保障港口内网访问互联网的冗余性，8. 3.4访客网络应采用无线网络通信技术(WiFi)形式，应在访客网络和码头内网之间部署访何控制设备.禁止访客网络直接访问码头内惮.9. 3.5宜设置办公人员上网带宽限制，防止非关键流IR占用过多帚宽.9视叛网9.1基本要求觇频网承我码头安防系统网络及上级单位、口岸监管单位的觇频业务，其他国应包括摄像头JJ禁、音柱、道闸及安防软件系统等所处的网络，同时也应承栽自动化港机非远控类CCTY业务.9.2网络架构9. 2.1视频网网络架构自上而下分为服务器区、视频网核心层、视频网汇聚层、视频网接入层.视频网核心层通过边界防火墙，与办公网核心层以及旁挂在办公网核心层的安全管理区相连,服务器区通过负载均衡设备与视侦网核心层相连.9. 2.2视焕网核心层应至少部詈两台核心交换机,交换机采用佻价或堆袋技术虚拟成逻辑上的小一交换机对外提供服务，交换机之间采用战11聚件技术互岷.9. 2.3视网核心层与汇聚层之间的互联战跖应使用端口聚合技术保障上下行带宽和冗余性。9. 2.4视板网汇聚层应根据各汇聚点的网络需求,配置相应数盘、规格的交换机.9. 2.5视软网接入层应根据各接入点的网络需求，配置相应数所、规格的交换机.10. 2.6在视频网边界，双机申联部?边界防火墙，建立起以应用为核心的网络安全策略安全防护体系.9.3部署要求9.3.1视猱网应充分考虑现频实跖预览及保存所需要的最大数据传输要求.部署高.性能、面带宽的网络链路及高性能交换机.9.3.2时外视频服务应通过办公网的RMZ区域的视频服务器进行视软推送，港口内部视频调阅通过安防网内视频服务器i行统管理授权与调阅。9.3.3视频传输应采用加密传输技术，确保视频数据在传输过程中的安全性。同时，应设置相应的访问权限和身份5金证指胞，确保只有授权人员可以查看和操作相关视频.9.3.4应根据视痂业分需求选择合适的视减编科格式，以提高现领传输效率，减少存储空间占用.9 .3.5应到对不同的视频存储需求，考虑使用硬盘阵列、公疗体等方式确保觇频数据的安全存储和备份。10信息安全10 1基本要求自动化码头信息安全应根据自身业务需求和特点构建信息安全体系,信息安全体系中应包含DMZ区域建i殳、网络安全边界、通怙传输安全、访问控制、入侵防范和恶意代码防护、应用和数据安全、安全审计等七个方面，以上内容不低于ISO/IEC27001的规定进行建设。10.2DH区域建设10.2.1DMZ区底部并在港口出门路由器与港口办公同核心交换机之间.102.2DMZ区域应部署对外提供内网接入及安全保护服务如VPN服务器,WAF服务器，防衲毒服务器，堡条机服务器、入侵防御系统(IPS)服务器和上网行为管理等安全设得，10.2.3DMZ区域设备访问内网应制定相应安全策略.10.3网络安全边界103.1生产网络安全边界应进行双机小联郃若边界防火墙.建立起以应用为核心的网络安全策略安全防护体系.生产网网络安全应至少满足GB/T22239中第：级要求。103.2办公网络安全边界应在外网接入区双机小联部詈出口防火墙及上网行为管理系统,实现对互联网访问行为的全面管理.办公网同络安全应至少满足GB/T22239中笫：级要求，1033视频网络安全边界应满足对港11安防系统设备的控制、数据对接要求，及上级单位、11岸监管单位要求的网络资源的安全防护。104通信传揄安全1.1.1 1应提供网络通信线路、关键网络谀备和关迸计算设备的硬件冗余，保证系统的可用性.1.1.2 4.2应采用校骁技术、密码技术、数据安全交换平台等保证通信过程中生产数据的完整性及保密性.1.1.3 3应关闭或阻断一切非必要使用的通信缱口，对于常用威胁端口，宜用其他裁口替代，1.1.4 4应采用多路中链路、得份鞋路、鞋路聚合等方式保障通信传输的稳定性.10.5 网络高可用性105.1核心层、服务器区等核心网络区域全年可用性YTBF/(XTBF-WTTR)不低于99.999%。10.5.2服务零区与核心层相连处应部署负载均衡服务零.负费对自动化核心生产业务系统进行负载.负我均衡服务器官采用现件与软件相结合的模式，并预留设计切换机制，负我规格根据所仇栽的Hi要生产业务系统时于加大并发量、服务响应速度的需求确定，应采用双机热径的方式进行部署，避免单点故障导致负载均衡失效或生产业务系统眼务中断.10.5.3!B11防火墙与核心层之间串联部署的关键安全设备如WAF服务器、上网行为管理服务器.成采取双机热备的方式迸行部?，避免单点故障好致互联网出口链路中断，1054核心层、汇聚层、服务器区的汇聚交换机，应枭用交换机虚拟化技术，将两台或者多台交换机虚拟化成一台逻辑的交换机.避免单台交换机故障导致该区域的网络全部中断.10.5.5汇喔层至核心层之间的网络捱路，应保隙汇聚层同时连接到核心层的每台核心交换机.港机工业控制网络、水平运输设在网络的接入层至汇聚层的网络链路，应保障接入层同时连接到汇聚层的每一台汇聚交换机.10.5.6网络关圾节点板无单点故障.关犍设备商采用多节点冗余设计.关惯设的的电源、主柱板等关裸部件应具备冗余备份用武.关键鞋路应采用冗余备份或者负驶分担，10.5.7为键网络链路应采用链路聚合方式，以及确保其满足自动化生产对于网络连续性、冗余性和可施性的要求。10.6 访问控制106.1生产网、办公网、视领网之间宜采用边界防火墙进行物理隔而，设置访问控制规则，访问控制规则应精确到通信端口，拒葩除被授权通过的流量:之外的所有其他流地。10.6.2定期删除访问控制设符中多余或无效的访问控制规则,优化访问控制列表,保证访问捽制规则数破最小化.10.6.3访问拄制设符应能提供明确的允许/拒绝访问的能力，宜具备始于应用协议和应用内容的访问控制能力，对进出网络的数据流实现访问控制，对流里异常情况记录、报警和限制功能.10.6.4应在现场设存与中心机房设备的坤络区域边界部署具有访问控制功能的设备,通过访问控制与安全防护策略进行访问流量过滤,并果取措脩封闭网络设备的多余网【1、小门、通用申行总线(USB)接口等。1065应在办公电脑与服务器区的网络边界部署具有访问控制功能的设备,通过访问控制与安全防护策略进行访问流址过谑.10.6.6应采取网络认证对内部人员及设备非授权访问互联网、外部人员及谀备非授权接入自动化码头生产网络的行为进行检杳及限制，107入侵防黄和恶意代码防护10.7.1应在:.网架构核心层部署态势感知系统实现对从外部发起、从内部发起的网络攻击行为进行检测、分析，井对恶意代码进行检测和清除，从而维护恶感代码防护机制的升级和更新。1072码头网络态势感知系统应对整体网络行为进行分析，记录攻击海网际互连办议(IP)地址、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报势.10.7.3宜采取基于流量分析的于段对网络中可能存在的高级可持续攻击等进行分析，并能够实现时攻击的处附.行为的统一.1074应在服务器和电脑终端部署防病毒系统，时病由、恶意代码进行检测和清除,并维护精格、恶意代码防护机制的升级和更新.10.8应用和数据安全108.1生产业务系统应符合M信息安全等级保护管理办法第二侬及以上要求，或IEC62443中Security1.eve1.2的规定.108.2应用系统应分岗业务功能与系统管理功能，其更新应仅在设备维护期间或停机状态下掾作.1083应用系统数据的保护应基于访问授权机制，用户只有在经过身份认证后，才有权访问应用系统数据.10.8.4应对应用系统登录的账号进行管理.一般宜分为管理员、审计员、普通用户三种类型的账号.108.5关键生产业务系统账号权限分配应支持对系统各功能模块进行细分权限的配置.1086应通过技术手段时远程运维应用系统的行为进行记录.10.8.7 对于关杨生产业务系统交互的数据,应采用加密算法或数据安全交换平台等方式进行加密保护.10.8.8 应制定生产网络的数据采柒规范，对数据传输安全或略和操作规程的变更进行审核和监控，并定期消弥数据接口，建立数据销毁审批制，消除不符合要求的数据接I1.和账号.10.8.9 89生产业务系统应具符记录用户登录、注销的记录功能，对于关键生产业务系统应具需记录关键操作的日志功能.10.9安全审计1091应在生产网络边界、港口内外网网络边界、办公电脑与限务器区网络边界、生产数据库、关键信息设备系统I1.志进行安全审计。审计攫滥到每个用户,对重要的用户行为和重要安全事件进行审计.10.9. 2应对管埋网远程访问的用户行为、访问互联网的用户行为等尔独进行行为审计和数据分析.109.3应时审计记录迸行保护，定期备份，避免受到未预期的眄除、悔改或救靛等。1094应对审计进程进行保护，防止进程未经授权而中断，11物理和环境安全111基本要求机房的物理和环境安全参照GBxH74进行设计规避各种风险,在此基础上，为机房配备完善的基础设饰.保障自动化码头网络信息系统的安全.112一般要求11.2.1 各区域出入口宜配置电子门禁系统.控制、鉴别和记录出入的人员.11.2.2 应设电防盗报警系统或设置有值守功能的视领监控系统.11.2.3 应采取防雷、防火、防水、防潮和防台等措施，对于核心关键设备宜枭取必要的电毡扉鼠措施。11.2 4部署在室外的设饴及管道设施应枭用防腐蚀，防盐雾设计，防腐蚀性设计参照GB50726,防盐雾性设计参照GB“10125.11.3 机房113.1物理位置的选择应选择在具有抗酸、防风、防台、防宜射阳光和防雨等能力的建筑内，井远离产生粉尘、油烟、有宙气体以及生产或贮存具有耀蚀性、易燃、易爆物品的场所，避免设置在建筑物的顶层或地下室，1132物理访问控制应制定机房物理访问控制相关制度，制定和维护有访问权限的人员名单,保留机房相关的物理访问记录，并保证机房所在建筑物或周边场地的安全。1133防盗窃和防破坏应将设在或主要郃件iS行固定，设置明显的不易去除的标识，并将供电、通信设缆铺设在的献安全处,防止盗窃和破坏.11.3.4 防雷击应采取措施防止感应雷，机房所在建筑物防雷设计应符合GB50057和GB50343的要求，各类机柜、设施和设备等通过按地系统安全接地防止雷击.11.3.5 防火机房所在建筑物防火设计应符合GB50016的要求，对机房不同区域设祝隔离防火措瓶，并设置火灾自动消防系统.11.3.6 防水和防潮机房所在建筑屋面的防水等级应符合GB50345的I级，采取措施防止雨水渗透、水蒸气结需和积水渗透，并安装对水献感的检测仪表或元件，对机房进行防水检测和报警，11.3.7 防静电应采用必要的接地防仰电措施，并防止人体静电对机房设；造成成坏，例如果用静电消除器、W.®防静电手环等.11.3.8 温湿度控制应配置温湿度自动调节设施，机房内设备运行所处环境温度应在18C279之间，湿度应=6Q%,露点温度不应超过15寸.11.3.9 电力供应机房供电应由专用配电变压器或专用回路供电,并配置具有自动和手动旁路装汽的不间断电源系统供电。11.3.10 电递防伊对电源战和通信线缆应隔岗铺设，避免互相干扰，关键设r实施电底价般。12综合布线121基本要求应满足以下要求：a）绘合布线应根据码头场地规划和网络需求,设计要求不低于GB50311的要求：b）综合布线系统为开放式网络拓扑结构,应能支持语音、数据、图像、多媒体等业务信息传递的应用：c）嫁合布线系统直采用模块化设计,易于配线上的扩充和重新配理,在物理结构宜采用星形分布,以利于数据的采集和传怆：d）每个子系统硬件椰由配税架、干线光缆或电缆、配税设备、设备筏缆、信电插座等组成：e）子系统与子系统之间通过配戏架由通信践缆进行连接。12.2.1工作区应为接入层网络设在的接口到前端联网设备设施的网络，由配线子系统的信息插座模块（To）延伸到终茄设备处的连接货线及适配满组成.设计要求不低干GB50311的要求.12.2.2配嫔子系统应为接入层网络设法的接口到设备间的网络，由工作区的信息插座模块、信息插座模块至楼层配线设备（FD）的配线电缆和光烦、设招间内的配线设备及设备跳线和跳线等组成.设计要求不低于GB50311的要求.1223干线子系统应为汇整层到核心层的网络由设备间至数据中心、设备间至设箸间之间的干城电缆和光缠、安装在设备间的隹筑物定线设备（BD）及设备缆线利跳线组成.1224建筑群子系统应为各设备间所在的建筑物之间的网络.由连接多个建筑物之间的主干电缆和光畿、建筑群配线设备（CD）及设备缆线和跳线组成.122.5设备间用于前端网络汇聚及数据交互,自动化港机、闸口、冷箱采集终端、门禁、拱像机等生产、非生产i殳备设脩通过设备间进行网络接入层到汇聚层的数据传箱和交互，再逆过光纤传蝌到数据中心.设备间安装工艺要求应不低于GB50311的要求。12.2.6进线间包括互联网接入、外部或上级单位网络接入口等码头外部通伯和信息管线入门部位，宜设置在数据中心旁边，同时也可以作为网络汇聚层到核心层数据件输的入口场所，进战间安装工艺要求应不低FGB503U的要求。12.2.7布线管理应对工作区、弱电间、设备间、进设间的配戏设在、缆践、信.包插座模块等设施按一定的模式进行标识和记录。12.2.8系统配置综合布线系统工程宜按工作区、配线子系统、干找子系统、建筑群子系统、设备间、进践间及布规管理这七个部分进行设计.12.2.9设备安奘设计综合布戌系统设备安装宜采用标准42U机柜，安装应符合下列规定：机柜、机架、充战箱等设备的安装宜采用蝶棒固定：机柜数附规划应计算各种设施的占用空间；机柜单排安装应湎足净空、列间距和底间距要求.机柜内设备应进行接地.安滨要求应不低干GB50311的要求.参考文献UGB/T10125人造气丸腐蚀试验盐雾试验2 GB/T25069信息安全技术术语3 GB/T30850.3电子政务标准化指南第3部分：网络建设4 GB/T50174数据中心设计规瓶5 GB50726工业设笛及管道防腐蚀工程技术标准