信息安全策略-设备及布缆安全策略.doc

密级等级：敏感 受控状态：受控 文件编号： XX_A_04_09_2009.12 设 备 及 布 缆 安 全 策 略 Ver 1.0 2009年12月30日历史版本编制、审核、批准、发布实施、分发信息记录表 版本号 编制人/ 创建日期 审核人/ 审核日期 批准人/ 批准日期 发布日期/ 实施日期 分发编号 V1.0 2009/12/30 2010/1/4 原稿 / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / 文件更改记录 序号 更改单号 页次 更改人 日期 更 改 摘 要 1 2 3 4 5 6 7 8 9 10 本标准XX_A_04_09_2009.12 本标准依据ISO/IEC 27001：2005信息安全管理体系-要求编写。 本标准由XXXX有限公司提出起草 本标准主要起草人： 本标准于2009年12月30日首次发布2009年12月30日XX_A_04_09_2009.12 介绍 网络基础设施是向所有信息资源用户提供服务的中心设施。这些基础设施（包括电源馈送和数据传输的电缆以及相关的设备）需要持续不断的发展以满足用户需求，然而同时也要求网络技术高速发展以便将来能够提供功能更强大的用户服务。 目 的 该方针的目的保护设备免受物理的和环境的威胁，减少未授权访问信息的风险。防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断； 为了安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会； 为了保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断，应有足够的支持性设施（供电、供水、通风和空调等）来支持系统； 为了保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏，电源馈送和数据通讯的电缆必须确保安全； 为了确保设备持续的可用性和完整性，设备应予以正确地维护； 为了对组织非现场设备采取安全措施，要考虑工作在组织场所以外的不同风险； 为了确保涉密信息不泄露，在存储介质销毁之前，任何敏感信息和注册软件已被删除或安全重写； 为了确保涉密信息不泄露，设备、信息或软件在授权之前不应带出组织场所。 适用范围 该方针适用于网络设备设施的建设和维护人员。 术语定义 略 设备 及布 缆安 全策 略 设备安置和保护方针 设备应进行适当安置，以尽量减少不必要的对工作区域的访问； 应把处理敏感数据的信息处理设施放在适当的限制观测的位置，以减少在其使用期间信息被窥视的风险，还应保护储存设施以防止未授权访问； 要求专门保护的部件要予以隔离，以降低所要求的总体保护等级； 应采取控制措施以减小潜在的物理威胁的风险，例如偷窃、火灾、爆炸、烟雾、水（或供水故障）、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏； 应建立在信息处理设施附近，张贴禁止进食、喝饮料和抽烟的指南； 对于可能对信息处理设施运行状态产生负面影响的环境条件（例如温度和湿度）要予以监视； 所有建筑物都应采用避雷保护； 应保护处理敏感信息的设备，以减少由于辐射而导致信息泄露的风险； 支持性设施方针 支持性设施应定期检查并适当的测试以确保他们的功能，减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电； 对支持关键业务操作的设备，必须使用支持有序关机或连续运行的不间断电源（UPS）； 电源应急计划要包括UPS故障时要采取的措施。UPS设备和发电机要定期地检查，以确保它们拥有足够能力，并按照制造商的建议予以测试； 连接到公共提供商的通信设备应至少有两条不同线路以防止在一条连接路径发生故障时语音服务失效。 布缆安全方针： 进入信息处理设施的电源和通信线路宜在地下，若可能，或提供足够的可替换的保护； 网络布缆要免受未授权窃听或损坏，例如，利用电缆管道或使路由避开公众区域； 为了防止干扰，电源电缆要与通信电缆分开； 使用清晰的可识别的电缆和设备记号，以使处理失误最小化，例如，错误网络电缆的意外配线； 用文件化配线列表减少失误的可能性； 对于敏感的或关键的系统，更进一步的控制考虑应包括： * 在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子； * 使用可替换的路由选择和/或传输介质，以提供适当的安全措施； * 使用纤维光缆； * 使用电磁防辐射装置保护电缆； * 对于电缆连接的未授权装置要主动实施技术清除、物理检查； * 控制对配线盘和电缆室的访问； 设备维护方针 要按照供应商推荐的服务时间间隔和规范对设备进行维护； 只有已授权的维护