Pénzintézeti számítógépközpontok biztonsági aspektusai

• 
• 

Részletek

2009. július 03. péntek, 00:00

 

Ma a hitelintézetek sikeres működése, üzletmenete, jó hírneve alapvetően függ attól, hogy szolgáltatásaikat megbízhatóan, folyamatosan, zavartalan és nem utolsósorban biztonságos módon legyenek képesek nyújtani.

E képesség ma elválaszthatatlan az adott pénzintézet informatikai rendszerének folyamatos, megbízható működésétől. Ezek az informatikai rendszerek eszközeikben, adataikban rendkívül nagy és védendő értéket képviselnek, megbízható és biztonságos működésük az adott hitelintézet tevékenysége és működése szempontjából kritikus, hiszen e szervezetek funkcionalitásának függése saját informatikai rendszereiktől olyan mértékű, hogy ezen informatikai rendszerek jelentős része nélkül ma már nem képesek alapvető szolgáltatásaikat nyújtani.

A pénzintézeti informatikai rendszereket ma intézményenként jellemzően néhány számítógépközpont szolgálja ki. Ezeknek a központoknak a biztonságos működése kritikus sikertényezője az informatikai rendszereiktől vitálisan függő szervezetek számára, ezért kialakításuk különleges eljárásokat, speciális eszközöket és megoldásokat indokolnak. A következőkben számba veszem mindazon legfontosabb szempontokat, melyeket egy számítógépterem befogadó környezetének kialakításakor célszerű figyelembe venni.

A GÉPTERMEK ELHELYEZKEDÉSE

A kritikus hardware eszközöket befogadó központi számítógéptermek, telekommunikációs központok kiemelt fizikai védelmet igényelnek. Itt fontos szerepe van a gépterem telepítési környezete kiválasztásának, különös tekintettel védett elhelyezésére és arra, hogy a környezet a lehető legkevesebb kockázatot hordozza a működés szempontjából. Fontos a jó, esetleg több útvonalon történő megközelíthetőség (közúti szállítási útvonalak, tűzoltóság), ugyanakkor fizikai védelmet is nyújtó, elegendően távoli elhelyezkedés minden olyan körülménytől, ami a működés során a funkcionalitást negatívan befolyásoló tényezővé válhat.

A fokozottan védendő informatikai rendszerek központi gépeit befogadó számítógéptermek fizikai védelmét már a befogadó épület védelmével kell kezdeni. Itt a megbízható azonosításon alapuló regisztrált beléptető rendszer alkalmazása minimális követelmény.

Szigorúan védendő objektum esetén a fizikai megközelíthetőség korlátozása elmehet egészen a megközelítési útvonalak műszaki zárakkal történő felszereléséig, a zsilipes, teljes körű átvizsgálást biztosító beléptetésig (például robbanóanyagvizsgálat) is.

A gépterem határoló falainak és födémjeinek megfelelően szilárdnak és vízzárónak kell lennie, a falakban – beleértve a födémeket is – nedves vezetékhálózat (víz, csatorna) nem lehet. A gépterem helyiségén ne legyen ablak, mert ez a később tárgyalandó zavarvédelmi megoldások hatékony telepítését megnehezíti, illetve korlátozhatja.

A géptermet álmennyezettel és álpadlóval kell ellátni. Ezek magassági értékeit úgy kell meghatározni, hogy az álpadló alatt, illetve az álmenynyezet felett elhelyezendő gépészeti és egyéb hálózatok könnyen szerelhetők és karbantarthatók legyenek.

BEHATOLÁSVÉDELEM, BELÉPTETÉS

Különös figyelmet kell fordítani a számítógéptermek fizikai behatolásvédelmére és a beléptetés kontrolljára. Célszerű megoldás, ha az illetéktelen számára nem válik nyilvánvalóvá a gépterem épületen belüli elhelyezkedése.

A szigorúan védendő számítógéptermeket védje mindig regisztrálást is végző, valamely fizikai eszköz (például proximity smart kártya) birtoklását és használatát megkövetelő beléptető rendszer. Szigorúan védendő helyiségek esetében a biometrikus azonosítás (ujj-, tenyérnyomat-, írisz alapú azonosítás), illetve a bizottsági típusú – legalább két személy együttes jelenlétét – megkövetelő megoldásokat is mérlegelni kell. Szükség lehet ennél szigorúbb, egyedi beléptetést és fegyver és/vagy robbanóanyag-vizsgálatot is lehetővé tévő zsilipelt beléptetési eljárásra. A géptermek héj- és térvédelmét megfelelően telepített infra mozgásérzékelőkkel, a nyílászárok nyitásérzékelős biztosításával, illetve szükség esetén a határoló falakba telepített testhang-érzékelőkkel is biztosítani szükséges. A behatolásjelző rendszer riasztásait el kell juttatni olyan biztonsági szervezethez (például 24 órás biztonsági szolgálat), amely felügyeleti rendszere révén szükség esetén beavatkozni képes. A térfelügyelet fontos eleme ezen informatikai területeken a zártláncú video-megfigyelő rendszerek alkalmazása.

LÉGKONDICIONÁLÁS

A légkondicionált, pormentes és megfelelően párásított környezet ma már természetes követelmény a kisebb megbízhatóságot, alacsonyabb rendelkezésre állási elvárást támasztó számítógéptermek esetében is. Légkondicionálás természetesen nem csak a stabil 20 °C körüli hőmérséklettartást jelenti, hanem a levegő páratartalmának megfelelő szinten tartását is, mely – az antisztatikus álpadló és álmennyezett, valamint az ilyen tulajdonságokkal rendelkező bútorzat mellett – fontos szerepet kap a számítógépek antisztatikus védelme területén. Különös figyelmet kell fordítani e géptermek tervezésekor az ezeket kiszolgáló klímaberendezések bővíthetőségére, ugyanis a szerverkonszolidációs törekvések ma már olyan technológiai megoldásokkal támogatottak (például blade szerverekkel zsúfolt rack-ek), mely berendezések eddig soha nem látott hőemmissziós tulajdonságokat mutatnak (20–25 kW/m2).

Természetesen gondoskodni kell a légkondicionálást biztosító rendszer tartalék, háttér rendszeréről, melynek szélsőséges időjárási viszonyok mellett is képesnek kell lennie maradéktalanul ellátni az elsődleges rendszerfunkcióit.

TŰZVÉDELEM

A fokozott biztonságú géptermek fontosságuknak megfelelően kiemelt tűzvédelmi megoldásokat igényelnek. Itt első lépésként célszerű a gépterem falai és a födémek tűzállóságának és megfelelő tűzeseti szilárdságának a biztosítása, a 30–90 perces tűzállósági érték biztosítása a szokásos érték. Alapkövetelmény, hogy a gépterem egyedi címzésű, automatikus tűzjelző berendezéssel legyen ellátva.

Célszerű a nagy értékű és kritikus informatikai eszközök belső terét aspirációs elven működő tűzjelző rendszerrel, sőt helyi, automatikus, rendszerint gázalapú automatikus tűzoltórendszerrel is védeni.

Az automatikus tűzoltórendszerek telepítése az ilyen géptermek tekintetében mindenképpen kockázatarányos megoldásnak tekinthető. Számítógéptermi környezetben legelterjedtebbek jelenleg a gázzal oltó berendezések, de egyre terjednek a gépterem légterében már égést nem támogató oxigénkoncentrációt fenntartó megoldások, illetve az úgynevezett vízköddel oltó berendezések.

A vízköddel oltó rendszerek oltási mechanizmusa azon alapszik, hogy oltáskor az oltórendszer nagy nyomású semleges gáz (rendszerint nitrogén) segítségével speciális szórófejeken keresztül (lásd ábrák) rendkívül kis szemcseméretű (<50 mikron) desztillált vízköddel árasztja el az oltandó teret. Ezek a vízcseppek a tűz környezetében rendkívül gyorsan elpárolognak, és a vízgőz – melynek térfogata kb. 50 szerese a vízcseppének – kiszorítja az oxigént az égés környezetéből, így szünteti meg az égés feltételeit. A desztillált vízköd szigetelő tulajdonságú, megköti a levegőben lebegő koromszemcséket, melyeket aztán speciális elszívó rendszer távolít el az oltott térből. Az automatikus tűzjelző és oltórendszerek telepítésekor nagyon gondosan kell eljárni e rendszerek vezérléseinek beállításakor, melyet össze kell hangolni a klimatizálást és szünetmentes áramellátást biztosító épületgépészeti rendszerekkel, valamint a beléptető rendszer zárvezérléseivel.

REZGÉSCSILLAPÍTÁS

A számítógéptermek befogadó környezetének függvényében szükség lehet a központi számítógépek megbízható működésének biztosítása érdekében speciális rezgéscsillapító megoldások alkalmazására. Egyszerűbb esetben ez a probléma speciális csillapítási tulajdonságokkal rendelkező álpadlóval megoldható, de szükség lehet adott esetben olyan nagytömegű, rugózott és hangolható rezonancia-frekvenciájú csillapító megoldások alkalmazására, melyek a viszonylag nagy amplitúdójú és szélesebb frekvenciatartományba eső káros rezgések hatékony csillapítására is képesek.

SUGÁRZOTT ÉS VEZETETT ZAVARVÉDELEM

A nagy megbízhatóságú rendszereket befogadó számítógéptermek biztonságát célszerű sugárzott és vezetett zavarvédelmi megoldásokkal is fokozni. Ezek a műszaki-technikai megoldások azt hivatottak biztosítani, hogy az ily módon védett terekben elhelyezett központi számítógépeket ne érhessék az elektromos hálózat, az adathálózat oldaláról, illetve elektromágneses sugárzás révén olyan külső hatások (hálózati zavarokból, villámcsapás első és másodlagos hatásaiból, rádiófrekvenciás jelforrásokból származó túlfeszültség vagy túláram), melyek működésüket zavarnák és a berendezéseket károsíthatnák. E műszaki megoldás lényege, hogy a gépterem megfelelő rádiófrekvenciás csillapítást biztosító úgynevezett Faraday kalitkába kerül, melyben minden fémes vezetőt alkalmazó hálózat speciális szűrőkön kerül bevezetésre. Ez az árnyékolási rendszer tulajdonképpen fémes vezetőkkel közrefogott zárt tér, ahol a megkövetelt csillapítási érték jellemzően 100 kHz és 3 gHz közötti frekvencia tartományban 40–60 dB.

SZÜNETMENTES ÁRAMELLÁTÁS

Talán a legalapvetőbb fizikai védelmi megoldás a központi géptermek számítógépeinek folyamatos és megbízható áramellátása. E területen a független kettős hálózati betáplálás mellett a fokozott biztonsági követelményekre tekintettel szünetmentes tápegységekkel (UPS – Uninterrupted Power Supply) kell biztosítani a kritikus informatikai rendszerek működését egy esetleges áramkimaradás esetén.

A szünetmentes áramellátási megoldások méretezésekor, tervezésekor figyelembe kell venni, hogy ezen rendszereknek a számítógépek táplálása mellett az adathálózat működéséhez elengedhetetlen aktív hálózati elemeket is el kell látni ugyanúgy, mint a gépterem hűtését biztosító nagyteljesítményű klímaberendezéseket és a biztonsági rendszer elemeit.

Természetesen gondoskodni kell a szünetmentes áramellátást biztosító rendszer tartalék, háttérrendszeréről, melynek képesnek kell lennie maradéktalanul ellátni az elsődleges rendszer funkcióit. Itt is több – más és más rendelkezésre állási rátát és persze más költséget jelentő – megoldást lehet alkalmazni a több elemből álló, terhelés-megosztásos rendszerektől a teljesen duplikált vagy többszörözött háttérmegoldásokig.

Szokásos megoldás, hogy a szünetmentes áramellátás biztosításának első lépcsőjét néhány órás áthidalási időt biztosító on-line üzemű akkumulátoros szünetmentes áramforrásokkal, vagy – ez ritkább megoldás – úgynevezett inercia-generátorokkal biztosítják, az ennél hosszabb idejű áramszüneteket második lépcsőként pedig telepített vagy mobil Dieselvillamos gépcsoportokkal (Diesel aggregátor) oldják meg. A fixen telepített megoldások többnyire automatikus vezérlésűek, az áramkimaradást követően általában 30–60 másodpercen belül elindulnak, és képesek a teljes terhelés átvételére. Az elindulásukhoz szükséges időt az akkumulátoros vagy inercia UPS-ek hidalják át.

KOMPAKT MEGOLDÁSOK

Az eddig tárgyalt védelmi megoldások hallgatólagosan azt feltételezték, hogy valamely építészeti, gépészeti beruházás eredményeképpen állnak elő a védett számítógéptermek. Vannak cégek, akik viszonylag széles skálán mozgó méretekben képesek (egy szerver befogadástól akár a több száz négyzetméteres gépteremig), modulárisan is bővíthető olyan konténerszerű géptermek szállítására, melyek a fentebb tárgyalt védelmi követelményeknek megfelelnek. Ezek a megoldások tanúsított módon, kiváló mechanikai, zavarvédelmi és tűzvédelmi (tűz esetén nincs például agresszív, korrozív gázképződés a falakból) tulajdonságokkal rendelkeznek, bizonyos korlátok mellett szétszerelhetők, és más helyszínen összeszerelhetők, ugyanakkor viszonylag költséges megoldást jelentenek.