【精选】2 信息中心物理环境审计.ppt

物理与环境审计 目录 物理控制、环境控制的涵义 相关风险 常见的控制措施 物理环境审计清单 思考：物理环境审计的控制点？ 1. 物理与环境控制的涵义 物理控制：是用于阻止对IT设备未经授权访问，防止其发生故障的机制和管理过程。 环境控制：是用于保护计算机软硬件，避免其受到火灾、水灾、灰尘、电源事故伤害的行为和过程。 2. 与物理和环境控制相关的风险 （1）物理风险 员工 （IT雇员、清洁工、警卫及其他人员）有意或无意的破坏； 计算机或其零部件失窃； 电压波动导致设备损坏或数据丢失或损坏； 存在绕过逻辑访问控制的旁路； 复制或查阅敏感或机密的信息。 （2）环境风险 水灾或火灾破坏，以及其他自然灾害的破坏； 电源掉电导致内存数据丢失； 电压不稳导致系统故障、处理错误和设备部件的损坏； 由于温度、湿度恶劣导致系统故障； 炸弹破坏； 静电破坏敏感的电子部件； 其他诸如。照明设备停工，灰尘或污垢聚集等。 3. 控制措施----安全区的物理控制 物理访问安全应基于信息技术设备所处区域的定义。例如，可以将一栋大楼、一个计算机房、一个打印间当作一个管理区域。管理区域的定义应该清晰明白，雇员能够意识到它的边界。 从安全区的在外层防护到建筑物的入口、计算机间和终端，应该通过多层控制措施，控制对用户站点和安全区域的访问。 3. 控制措施----管理控制 雇员佩带身份或姓名证章； 解除辞退人员的访问权限； 来访人员必须登记，包括他是谁，在哪工作，找谁、来访时间、离开时间等。来访人在放行之前应提供一些证件加以确认。 办公室无人照管时的控制过程。例如当雇员晚上回家或外出吃饭时，应锁好键盘、将笔记本电脑锁入抽屉、锁好软盘等。 3. 控制措施----门禁系统（locks on doors） 常见的门禁系统包括： 使用机械钥匙的锁。 组合门禁系统或密码锁 电子门禁系统 生物门禁系统 3. 控制措施----其他常见的物理控制措施 电视摄像头 警卫 雇员在上班时间以外的控制； 计算机锁 手工日志记录：来客需要登记姓名、单位、事由和会见人。在进入前需要出示身份证明。 电子日志：在电子或生物安全系统中，所有的来客都要做日志记录，特别是失败的进入试图需要被特别标记。 控制的来客接触：所有来客都应有雇员护送。 3. 控制措施----其他常见物理控制措施（续） 人员担保：所有服务人员应该有担保。 死人门（deadman doors）：该系统使用一对门。前一门未锁上，后一门不能打开。在两个门之间只能有一个人。以防止未经授权的人跟随其他人进入。 不宣扬敏感设备的位置； 计算机终端锁； 经控制的单个输入点； 夜贼警报系统； 安全的文件分发车。 3. 控制措施----环境控制措施 火灾的预防、检测和扑救 防水 防静电 防雷击 防电磁干扰 电源的保护和控制 三度要求（温度，湿度和清洁度） 3. 控制措施----火灾的预防、检测和扑救 火灾的预防控制 火灾扑救系统包括： 手持灭火器； 一些灭火器适合电子设备，例如二氧化碳或halon（BCF）灭火器。 水灭火器可以放在计算机耗材库房中。 自动灭火系统 自动灭火器通常使用水或halon。Halon对计算机设备无害，并且相对二氧化碳来说，危害较小。 3. 控制措施----防水 进入机房的水可能来自以下方面： 洪水； 屋顶漏水； 爆裂的管道； 洗手间或水池溢水； 冷却系统漏水。 3. 控制措施----三度要求 4. 物理环境审计清单---样本 思考 物理环境审计的控制点？ 谢谢大家 共同交流，分享价值 * * * * 1.门禁系统人员进出日志样本及审阅记录样本。（门禁控制）2.机房进出登记表样本及审阅记录样本。（门卫控制） 人员进出机房会在机房门禁系统留下日志记录/机房进出登记表中留下记录，业务主管根据系统风险及重要性原则，每月检查机房门禁系统日志/机房进出登记表记录，检查是否有异常进出情况，並签字确认。 物理访问 机房 1.系统门禁清单的定期审阅记录。（门禁控制）2.机房准入人员名单的定期审阅记录。（门卫控制）3.相关的政策制度。 机房管理人员/门禁系统管理人员每季度准备机房准入人员名单/门禁卡发放清单，由部门负责人对有权限进入机房的人员进行复核签字，如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。 物理访问 机房 对未有门禁系统的机房要求所有人员（包括员工或第三方人员）出入时，必需在登记表上登记。 物理访问 机房 需要临时进入机房的人员必需通过设备操作审批表/临时人员进出机房准入申请表申请，机房管理人员审批后，由有权限进入机房的工作人员陪同，並在进入时在机房出入登记表上登记。 物理访问 机房 1.机房门禁系统的截屏（门禁控制）2. 门禁卡发放授权表样本 （门禁控制）3. 机房准入人员