CISSP认证考试指南(第5版)-第06章-物理和环境安全.pdf

第 章 6 物理和环境安全 本章主要内容： ● 行政管理性、技术性和物理性控制 ● 设施的位置、构造与管理 ● 物理安全风险、威胁和相应对策 ● 电力问题和相应对策 ● 火灾的防范、检测与灭火 ● 入侵检测系统 安全问题对于公司及其基础设施来说非常重要，物理安全也不例外。黑客行为并不是危害信 息及关联系统的唯一方式。与我们迄今为止所讨论的其他安全类型相比，物理安全涉及不同的威 胁、脆弱性和风险。物理安全机制包括设施位置的设计和布局、环境组件、应急响应的敏捷性、 培训、访问控制、入侵检测以及电力和火灾防范等诸多方面。物理安全机制能够为人员、数据、 设备、系统、工具以及公司的许多其他资产提供保护。 6.1 物理安全简介 在 20 世纪 60 年代和 70 年代，有关计算机及其所包含资源的物理安全问题并不像现在这样 充满挑战性，因为那时候计算机几乎都是固定在机房内的大型机，而且只有少数人懂得如何操作 它们。如今的情况不同了，几乎公司里的每张办公桌上都有一台计算机，对设备和资源的访问遍 布于工作环境的每个角落。公司往往有几个集线柜和服务器机房，远程和移动用户能够在这些物 理设施之外使用计算机和资源。对许多公司而言，适当地保护这些计算机系统网络、雇员和设备 已经成为一个十分沉重的负担。 对许多公司来说，由于环境正变得越来越复杂和动态化，因此盗窃、欺诈、怠工和故意破坏 都在增加它们的成本。安全性和复杂性是两个相互对立的事物。随着环境和技术变得越来越复杂， 导致安全危害的脆弱性也不断增多。大多数公司都有过这样的经历：工作站中的进程或处理器被 盗走，或是计算机和笔记本电脑失窃。更糟糕的是，许多公司已经成为更具危险性的犯罪行为的 受害者，这些犯罪行为包括持枪抢劫、心怀不满的员工的乱枪扫射、炭疽病毒、炸弹和恐怖活动。 许多公司可能已经采取各种措施，如安排保安、闭路电视(Closed-Circuit TV，CCTV)监控、入侵 CISSP 认证考试指南(第5 版) 检测系统(IDS) 以及要求雇员保持高度的安全风险意识。这些仅仅是物理安全范畴内的一些事项。 如果其中任何一项不能提供必要的保护级别，那么可能成为导致危险的安全问题的薄弱环节。 在处理计算机安全并采取措施应对相关联的黑客、端口、病毒和技术问题时，信息安全领域 的大多数专业人员并没有认真对待物理安全。但是，如果不能提供可靠的物理安全，那么信息安 全只能是一句空话。 即使是从事物理安全市场工作的人员也并非始终从全局角度来考虑物理安全。有如此多的组 件和变量需要理解，因此人们必须专注于一个特定的领域，如安全设施建造、风险评估和分析、 安全数据中心的实现、防火、IDS 和 CCTV 的实现、人员应急响应和培训、物理安全的法律法规 方面等。以上每一个领域都具有各自的工作重心和专业技能，但是如果组织机构希望制定可靠的 安全计划，那么必须理解和涉及所有这些领域。 在开发软件时，功能性是首要目标；在优先列表中，安全性远远排在后面。同样，在建造环 境和设施时，人们首先考虑的是功能和审美问题，而没有过多关注安全保护。如果所有组织机构 都以有组织、成熟且全盘考虑的方式来实现物理安全，那么可以避免很多盗窃和死亡事件。大多 数人对于每天发生的许多犯罪行为都一无所知。此外，很多人并没有意识到，所有的民事诉讼全 都起因于组织机构没有实行物理安全方面的“适当关注”和“适当勤奋”。下面简要列出了公司因 为物理安全实现和维护不利而被起诉的一些示例： ● 有人报告公寓楼中一扇滑动玻璃门的门锁坏了，但物业公司没有及时进行修理。随后， 居住在该公寓楼内的一名妇女被入侵者强奸。 ● 靠近 ATM 机的灌木长得太密，犯罪分子可以藏在它们后面，攻击前来取款的客户。 ● 地下停车场的某个区域没有照明，攻击者可以躲在黑暗中等待加班后回家的员工，以实 施犯罪。 ● 加油站外面厕所的门锁坏了，攻击者跟随一名女性顾客进入厕所并将其杀害。 ● 一家