信息中心物理环境审计.ppt

物理与环境审计,目录,物理控制、环境控制的涵义 相关风险 常见的控制措施 物理环境审计清单 思考：物理环境审计的控制点？,1. 物理与环境控制的涵义,物理控制：是用于阻止对IT设备未经授权访问，防止其发生故障的机制和管理过程。 环境控制：是用于保护计算机软硬件，避免其受到火灾、水灾、灰尘、电源事故伤害的行为和过程。,2. 与物理和环境控制相关的风险,（1）物理风险 员工 （IT雇员、清洁工、警卫及其他人员）有意或无意的破坏； 计算机或其零部件失窃； 电压波动导致设备损坏或数据丢失或损坏； 存在绕过逻辑访问控制的旁路； 复制或查阅敏感或机密的信息。,（2）环境风险 水灾或火灾破坏，以及其他自然灾害的破坏； 电源掉电导致内存数据丢失； 电压不稳导致系统故障、处理错误和设备部件的损坏； 由于温度、湿度恶劣导致系统故障； 炸弹破坏； 静电破坏敏感的电子部件； 其他诸如。照明设备停工，灰尘或污垢聚集等。,3. 控制措施-安全区的物理控制,物理访问安全应基于信息技术设备所处区域的定义。例如，可以将一栋大楼、一个计算机房、一个打印间当作一个管理区域。管理区域的定义应该清晰明白，雇员能够意识到它的边界。 从安全区的在外层防护到建筑物的入口、计算机间和终端，应该通过多层控制措施，控制对用户站点和安全区域的访问。,3. 控制措施-管理控制,雇员佩带身份或姓名证章； 解除辞退人员的访问权限； 来访人员必须登记，包括他是谁，在哪工作，找谁、来访时间、离开时间等。来访人在放行之前应提供一些证件加以确认。 办公室无人照管时的控制过程。例如当雇员晚上回家或外出吃饭时，应锁好键盘、将笔记本电脑锁入抽屉、锁好软盘等。,3. 控制措施-门禁系统（locks on doors）,常见的门禁系统包括： 使用机械钥匙的锁。 组合门禁系统或密码锁 电子门禁系统 生物门禁系统,3. 控制措施-其他常见的物理控制措施,电视摄像头 警卫 雇员在上班时间以外的控制； 计算机锁 手工日志记录：来客需要登记姓名、单位、事由和会见人。在进入前需要出示身份证明。 电子日志：在电子或生物安全系统中，所有的来客都要做日志记录，特别是失败的进入试图需要被特别标记。 控制的来客接触：所有来客都应有雇员护送。,3. 控制措施-其他常见物理控制措施（续）,人员担保：所有服务人员应该有担保。 死人门（deadman doors）：该系统使用一对门。前一门未锁上，后一门不能打开。在两个门之间只能有一个人。以防止未经授权的人跟随其他人进入。 不宣扬敏感设备的位置； 计算机终端锁； 经控制的单个输入点； 夜贼警报系统； 安全的文件分发车。,3. 控制措施-环境控制措施,火灾的预防、检测和扑救 防水 防静电 防雷击 防电磁干扰 电源的保护和控制 三度要求（温度，湿度和清洁度）,3. 控制措施-火灾的预防、检测和扑救,火灾的预防控制 火灾扑救系统包括： 手持灭火器； 一些灭火器适合电子设备，例如二氧化碳或halon（BCF）灭火器。 水灭火器可以放在计算机耗材库房中。 自动灭火系统 自动灭火器通常使用水或halon。Halon对计算机设备无害，并且相对二氧化碳来说，危害较小。,3. 控制措施-防水,进入机房的水可能来自以下方面： 洪水； 屋顶漏水； 爆裂的管道； 洗手间或