الأمان المادي هو مجموعة من الإجراءات الأمنية التي يتم تبنيها لضمان عدم وصول غير المصرح لهم إلى المواد والمعدات الخاصة بمركز البيانات، إذ يمكن أن تتألف إجراءات الأمان المادي من طيف واسع من الطرق لردع وإحباط الدخلاء بما في ذلك اللجوء لطرق تعتمد على التقنية، وسياسة الأمان المادي المطبقة بشكل جيد يمكنها حماية موارد ومعدات مركز البيانات من السرقة والعبث والكوارث الطبيعية والتخريب والهجمات السيبرانية وغيرها من الأفعال المؤذية، على كل الأشخاص أن يكونوا على وعي كامل بمحتويات هذه السياسة الأمنية وأن يتقيدوا بالأجزاء التي تشمل مجال عملهم.

يُعد تعيين وفرض الضوابط المادية والبيئية المطلوبة لحماية الأصول والأنظمة المعلوماتية من الدخول الغير مصرح به وصونها من المخاطر البيئية أمراً لا غنى عنه، وهذه السياسة تحدد متطلبات حماية مراكز البيانات من التهديدات المادية والبيئية لضمان سرية وتكامل وتوافر البيانات التي تحويها هذه المراكز.

تصف هذه السياسة متطلبات الأمان المادي لمراكز البيانات التابع لـ(جهة العمل)، بما في ذلك مكاتب مركز عمليات الشبكة (Network Operations Center, NOC) وكل ما يتواجد بها، والسياسة تغطي العديد من المتطلبات الخاصة بالأشخاص والممتلكات، فهي تشمل كل العاملين والمتعاقدين ومهندسي الخدمات وكل من يمثل (جهة العمل) والذين بدورهم يتوقع أن يمتثلوا ويتقيدوا بهذه المتطلبات.

1. بنذ العقار

• مخاطر الكوارث الطبيعية

  يجب أن يتم اختيار موقع مركز البيانات بحيث تكون احتمالية حدوث الكوارث الطبيعية عند مستويات مقبولة، الكوارث الطبيعية تشمل على سبيل المثال لا الحصر، العواصف الرعدية والأمطار الغزيرة والعواصف الرملية والفيضانات.

• مخاطر الكوارث من صنع الإنسان

  يجب أن يتم اختيار موقع مركز البيانات بحيث تكون احتمالية حدوث الكوارث من صنع الإنسان أقل ما يمكن، الكوارث من صنع الإنسان تشمل على سبيل المثال لا الحصر، تحطم الطائرات وأعمال الشغب والتفجيرات والاشتباكات المسلحة والحرائق، يجب ألا يكون الموقع بجانب المطارات أو السجون أو الثكنات العسكرية أو الطرق السريعة أو الملاعب الرياضية أو مسارات الاستعراضات.

• البنية التحتية

  يجب أن يعتمد مركز البيانات على المنشآت المزودة للطاقة الكهربائية بنسبة لا تقل عن 99.9%، ولا بد أن يتم تزويد الكهرباء للموقع من محطتين (أو أكثر) فرعيتين منفصلتين ويفضل أن تتصل كل منهما بمحطات توليد منفصلة، ويجب أن يتوفر بالموقع مصدرين للمياه، كما لا بد من توفير أكثر من مزود خدمة واحد للاتصال بالشبكة.

• تفرد الغرض

  يجب ألا يتشارك مركز البيانات نفس المساحة مع المكاتب الأخرى وخاصة تلك المملوكة لمؤسسة أخرى، وفي حال الاضطرار إلى ذلك فيجب ألا يكون لهذه المكاتب جدران ملاصقة لمركز البيانات.

• محيط الموقع

  يجب أن تتواجد حراسة عند كل نقطة دخول لمركز البيانات، وهو المكان الذي يجب أن يتم ضبط دخول العاملين بمركز البيانات عبره باستخدام طريقة موثوقة للمصادقة الآلية، كما يجب ألا يتواجد أي شيء يمكن أن يعيق الرؤية من خلال كاميرات المراقبة أو من قبل حراس الدوريات في المساحات المحيطة بالمبنى والتي بدورها يجب أن تكون مضاءة بشكل جيد، ويجب ألا يكون هناك أي لوحات أو علامات إرشادية تبين أن المكان يخص مركز البيانات أو هوية (جهة العمل) المالكة.

  • المراقبة

    يجب تركيب كاميرات مراقبة (CCTV cameras) خارج مركز البيانات لمراقبة الأماكن المجاورة، كما يجب تسيير دوريات منتظمة من قبل الحراس داخل محيط (جهة العمل). وفي حالة وجود موقف للمركبات يجب أن يتم منح إذن خاص بدخوله للسيارات المملوكة للعاملين في (جهة العمل) والمتعاقدين والحراس وأطقم النظافة، وكل من عدا ذلك يجب أن يستعملوا موقف الزوار فقط، بينما المركبات التي لا تلتزم بذلك يجب سحبها خارج (جهة العمل) فور اكتشافها.

  • موضع نوافذ غرف الخوادم

    يجب ألا تحتوي غرف الخوادم على نوافذ مطلة على الخارج، فهذه النوافذ تشكل خطراً بسبب إمكانية استغلالها للتنصت عن بعد ولما تسببه من دخول لحرارة زائدة للغرفة، لذا يجب أن تكون هذه الغرف في المنطقة الداخلية للمبنى بعيداً عن الجدران الخارجية، وإذا كان لا بد أن تتواجد هذه الغرف قرب حواف المبنى فيجب أن يكون هناك عازل مادي خارج جدار الغرفة يحول دون الوصول المباشر لجدران غرفة الخوادم.

  • نقاط الدخول

    يجب أن تتواجد طريقة للمصادقة التلقائية عند كل نقاط الدخول بـ (جهة العمل)، كما يجب توثيق دخول المواد والمعدات وكل الأشياء التي يصطحبها الأفراد الداخلين لـ (جهة العمل) من قبل عناصر الحراسة، كما يجب متابعتها عند المغادرة مع تحديد الزمن وهوية الشخص، ولذلك يجب أن يتوفر بمقر الحراسة إمكانية الوصول لقاعدة بيانات شارات (Badges) المصادقة والتي يجب أن تحتوي على صورة لحامل الشارة، كما يجب أن تحتوي الشارة ذاتها على صورة لحاملها.

• غرف الخوادم

  • الدخول

     يجب وضع لافتات توضح أن هذه الغرف هي مناطق محظورة الدخول لغير المصرح لهم، كما يجب أن تحوي على حظر الطعام والشراب والتدخين بداخلها، ويجب أن تحتوي أبواب الغرف على آلية للمصادقة التلقائية، كما يجب أن تكون هذه الأبواب مقاومة للحريق، ويجب أن يكون هناك بابين فقط للغرفة، فنظراً لعدم وجود نوافذ فإن الاقتصار على باب واحد يعد تصميماً مخالفاً لمعظم ضوابط الحماية من الحرائق المعمول بها دولياً، كما يجب السماح بالدخول لغرف الخوادم فقط لمن يقوم بصيانة الحواسيب أو البنية التحتية للغرف، كما يجب أن يقتصر الدخول أثناء العطل على حالات الطوارئ فقط لا غير.

  • البنية التحتية

    
    يجب أن تخضع غرف الخوادم للمتابعة بكاميرات المراقبة، كما يجب توفير مصادر بديلة احتياطية للطاقة وللتبريد والاتصال بالشبكة عند كل غرفة، ويجب أن تزود الغرف بأرضية مرتفعة (Raised Floor) بحوالي 46 سنتيمتر من أجل السماح بسريان الهواء وإدارة الكوابل، بالإضافة إلى وجوب أن تزود الغرف بآلية لفلترة الهواء، كذلك يجب أن يكون سقف الغرف عالياً ليسمح بتبديد الحرارة.

  • البيئة

    درجة الحرارة في كل غرفة يجب أن يحافظ عليها ما بين 12 و24 درجة مئوية، كما يجب أن تبقى الرطوبة ما بين 20% و80%، ويتوجب مراقبة درجة الحرارة والرطوبة باستخدام حساسات تركب داخل الغرف وأن توثق قراءاتهما وترسل إلى مركز عمليات الشبكة (NOC).

  • الوقاية من الحرائق

    يجب تزويد كل غرفة بعامل غمر شامل (Total Flooding Agent Solution)، كما يجب وضع أسطوانات إطفاء حريق مناسبة في كل غرفة، يفضل عدم استخدام أنظمة أنابيب رش لإطفاء الحرائق في غرف الخوادم.

• المرافق

  • أنظمة التبريد

    يجب تركيب نظام تبريد بديل بالمنشأة، كما يجب عزل الوحدات الخارجية لنظام التبريد عن موقف المركبات الخاص بمركز البيانات.

  • الطاقة

    يتوجب أن تحتوي غرف الخوادم على مصدر طاقة مبني على البطاريات لديه سعة كافية لتشغيل الأجهزة إلى حين الانتقال إلى تشغيل مولدات الطاقة المعتمدة على الوقود التقليدي (بالديزل مثلاً)، في حالة عدم وجود مولد احتياطي للكهرباء فيجب أن تكون سعة البطاريات كافية للتشغيل لمدة 24 ساعة، كما يجب أن يتوفر وقود للمولد كافي لتشغيله لمدة 24 ساعة مخزنة في الموقع وأن يكون هناك تعاقد مسبق على تزويد المركز بوقود كافي للتشغيل لمدة أسبوع عند الحاجة لذلك.

  • القمامة

    يجب أن يتم مراقبة حاويات قمامة المنشأة بكاميرات الدوائر المغلقة، ويجب فرم وإتلاف كل المستندات التي تحتوي على معلومات حساسة بحيث لا يمكن استرجاعها قبل أن يتم التخلص منها.

  • مركز عمليات الشبكة (NOC)

    
    يجب توفير أنظمة مراقبة للحريق والطاقة والطقس ودرجة الحرارة والرطوبة بمركز عمليات الشبكة (NOC)، كما يجب أن يكون هناك طرق بديلة احتياطية ليتواصل المركز مع العالم الخارجي، كما يجب تواجد أطقم (الموظفين المختصين) في المركز على مدار 24 ساعة طول أيام الأسبوع، ويوصي أن يقوم موظفي المركز بمتابعة وكالات الأنباء للاطلاع على أي أحداث قد يكون لها تأثير على أمان مركز البيانات
    
    

• التعافي من الكوارث

  • خطة التعافي من الكوارث

    يجب أن يكون لمركز البيانات خطة للتعافي من الكوارث، على أن تتناول إجابة على الأسئلة التالية: ما الذي يمكن اعتباره كارثة؟ من الذي يتم تنبيهه بحدوث الكارثة وكيف يتم ذلك؟ من الذي يجري تقييماً للأضرار ويقرر ماهي الموارد الاحتياطية التي يجب استخدامها؟ أين تقع المواقع الاحتياطية وما الذي يتم القيام به للحفاظ عليها وما هو الجدول الزمني الخاص بذلك؟ كم مره وتحت أي ظروف يتم تحديث الخطة؟ إذا كانت المؤسسة لا تملك مركز البيانات، ما طول الزمن الذي يكون فيه مركز البيانات المتعاقد معه خارج الخدمة إلى حين عودته للعمل؟ يتوجب حفظ وتحديث قائمة بالأشخاص والمؤسسات التي يجب تبليغهم من قبل طاقم مركز عمليات الشبكة بما في ذلك أرقام المكتب والمنزل والنقال ومعرفات التواصل الفوري إن أمكن.

  • التخزين الاحتياطي خارج الموقع

    يجب إجراء نسخ احتياطي للبيانات الحساسة بشكل دوري وحفظها خارج موقع مركز البيانات، ويتوجب إصدار وتنفيذ سياسة نسخ احتياطي تحدد الخطوات الواجب اتباعها لاستعادة النسخ الاحتياطية وتحتوي جدولاً زمنيا لإجراء بروفات اختبار جاهزية خطوات النسخ الاحتياطي.

• الحراس

  كل الحراس يجب أن يتم التحقق من سوابقهم الجنائية قبل توظيفهم وتكرار ذلك بشكل دوري، ويجب تعريفهم على الغرض من سياسة الأمان المادي وتدريبهم على كيفية الفرض الدقيق لهذه السياسة.

• أطقم النظافة

  يجب أن يعمل أفراد النظافة في مجموعات لا تقل عن شخصين، ويجب حصر عمل طاقم النظافة على المكاتب ومركز عمليات الشبكة، في حال استدعى الأمر تواجدهم داخل غرفة الخوادم يتوجب أن يصحبهم أحد موظفي الـ(NOC).

• مهندسي الصيانة

  يجب توثيق زمن دخول وخروج مهندسي الصيانة للمنشأة عند مدخل المبنى، كما يجب على موظفي مركز عمليات الشبكة توثيق عملية تبادل شارات الدخول لمهندسي الصيانة عندما يدخلون غرفة الخوادم.

• الزوار

  يجب أن يرافق الزوار الشخص الذي يزورونه طول المدة التي يقضونها بالمركز، كما يجب عدم السماح بدخول الزوار لغرفة الخوادم بدون موافقة كتابية من إدارة مركز البيانات، كما يجب على كل الزوار توقيع اتفاقية عدم افصاح قبل دخول غرف الخوادم.

• الهيكل التنظيمي

  يجب أن اعتماد هيكل تنظيمي مكتوب يبين مهام كل وظيفة ومسؤولياتها، ويحتوي على معلومات عن المهام الأخرى التي تم تدريب الموظف على أدائها غير تلك التي ضمن مهام وظيفته الحالية.

• توثيق مهام العمل

  يجب عدم الاقتصار على توثيق ما يعرفه الموظفين حالياً على الأنظمة الموجودة، كل الأعمال الجديدة والتغييرات التي تطرأ على الأنظمة يجب أن توثق أيضاً.

• التدريب على مهام الزملاء

  يجب تدريب موظفي مركز البيانات على عدد من مهام زملائهم، وهو الأمر الذي يساهم في تنفيذ بعض المهام الضرورية والحرجة عند حدوث أزمة ما، كما يضمن إنجاز العمل عند حدوث ظرف طارئ لأحد الموظفين مما يسهل عملية إحلال موظف مكان الآخر.

• معلومات التواصل

  يجب حفظ وتحديث بيانات التواصل الخاصة بكل موظفي مركز البيانات.

• العمل عن بعد

  يجب على موظفي مركز البيانات التدرب على العمل عن بعد بشكل دوري، إذ أن ذلك سيسهل إمكانية استمرار تشغيل المركز في حالة استعصى الوصول والتواجد بالمركز لسبب ما.