资讯中心安全管理与实体安全(PhysicalSecurity).ppt

1 第二章資訊中心安全管理與實體安全 PhysicalSecurity 2 目錄 2 1前言2 2人力資源的安全管理2 3空間環境資源的安全管理2 4硬體設備資源之安全管理2 5軟體設備資源之安全管理2 6侵入者2 7電腦實體安全的評分與建議 3 各行各業仰賴電腦日深 不需特殊專業能力即可威脅資訊安全 以防萬一 天有不測風雲 實體安全的重要性 2 1前言 實體安全就是如何保護資訊系統外在的環境安全 4 2 2人力資源的安全管理 5 2 2人力資源的安全管理 6 軟體開發組 主要是開發管理資訊系統 在安全管理上需注意之事項 稽核人員審核系統分析與設計文件是否有安全漏洞 程式完成開發後 需由稽核人員逐一審查 原始程式碼是否與系統分析與設計文件一致 是否有不相干的程式碼或後門程式 由稽核人員與程式設計師共同編譯原始程式碼成為可執行檔 稽核人員必須定期稽核程式是否有被篡改 7 2 2人力資源的安全管理 8 系統管理組 系統管理組主要任務是讓電腦設備及系統能有效率地正常運轉 一些安全上問題需注意 使用者申請使用權限之註冊 需謹慎查核其身份 使用者離職時 必須將其使用權限註銷隨時監視控制台 Console 是否有不明身份使用者企圖要登入 Login 到本系統 定期檢查系統稽核檔 LogFile 是否有異常狀況 定期檢查網路線是否在安全管線內 沒有漏出 是否定期備份資料 9 2 2人力資源的安全管理 10 推廣教育組 推展資訊教育 讓相關單位所有員工均能善用資訊中心的設備資源並加強整體資訊安全之觀念 11 2 2人力資源的安全管理 12 技術支援組 解決使用者有關使用電腦設備之問題 包括修復個人用電腦 維護工程師或技術員在修護電腦過程中 有時需要使用者之帳號及通行密碼 用完應請使用者即刻更改通行密碼以釐清責任 13 2 2人力資源的安全管理 14 資訊安全管理組 負責整個資訊系統之安全管理 BS7799 CH16 15 2 2人力資源的安全管理 16 稽核小組 稽核資訊中心設備與系統是否有安全上漏洞 資訊中心人員是否有安全上疏忽或監守自盜等情形 17 電腦機房環境不良 溫度 20OC 25OC 濕度 40 60 落塵 緊閉門窗 空氣濾清器 停電 雷擊 UPS 穩壓 機房位置規劃不當 火災 地震 水患 影響實體安全種類 2 3空間環境資源之安全管理 18 電腦系統故障 預防重於保養 保養重於修理 設備復原 ColdSite 無AP HotSite 容錯系統 FaultTolerance 網路斷線不正常使用 2 4硬體設備資源之安全管理 導致電腦硬體設備與系統 含網路 不能正常使用的原因 19 pingwww nchu edu tw Enter Pingingwww nchu edu tw 140 120 1 20 with32bytesofdata Replyfrom140 120 1 20 bytes 32time 1msTTL 242Replyfrom140 120 1 20 bytes 32time 1msTTL 242Replyfrom140 120 1 20 bytes 32time 1msTTL 242Replyfrom140 120 1 20 bytes 32time 1msTTL 242 測試四次 每次以32Bytes資料測試 TTL TimetoLive尚可再經過之站數 初始值255 當Ping之網路位址不存在時 則回應錯誤訊息BadIP jp 網路品質監測軟體Ping 20 ping twww nchu edu tw Enter 表示會一直送資料測試 一直到由使用者中斷它 同時按Ctrl及C鍵 才會停止測試 通常用於長時間監測 ping n10www nchu edu tw Enter 表示會做十次測試 一般不指定時僅做四次測試 ping l64www nchu edu tw Enter 表示每次以64位元組資料做測試 一般是32位元 ping i10www nchu edu tw Enter 表示此測試僅能通過十個網站 若超過十個網站尚未到達 則停止此次測試 一般不指定時為256 Ping指令其他選項 Option 功能 21 ping w1000www nchu edu tw Enter 表示此測試等待對方網址回應時間為1000毫秒 若超過1000毫秒尚未回應 則顯示下列訊息 Requesttimedout 下列三種可能原因 二個網站間路徑或網站 目前處於堵塞或故障狀況 對方網站目前是關機或故障狀況 對方網站目前很忙碌 Ping指令其他選項 Option 功能 續 22 2 5軟體設備資源之安全管理 包括作業系統 OperationSystem 公用程式 Utility 或工具 Tool 管理資訊應用系統 以及使用者資料之安全管理 軟體程式之安全管理資料備份對企業和組織而言是非常重要的 23 企業資料的備份 Backup 依資料備份的頻率來區分日備份 DailyBackup 週備份 WeeklyBackup 月備份 MonthlyBackup 季備份 QuarterlyBackup 24 根據備份資料的重要性來區份完整備份 CompletelyBackup 選擇式備份 SelectiveBackup 或差異備份迴轉式備份 RevolvingBackup 資料存放的時間 企業資料的備份 Backup 25 異地備援 DisasterRecovery 當資訊系統的原所在地發生災難 而造成系統無法復原的損壞後 可以在最短的可接受時間內 讓異地的備援系統能部份或完全地回復原系統所能提供的服務 將災難對使用者的影響降至最低 26 異地備援的主要特徵 異地存放 至少30公里 同步傳輸 異地備援需要特別注意的事項 資料備份儲存系統必須不耗用主機系統資源及效能 資料在網路上傳輸時必須做適當的安全防護措施 異地備援 DisasterRecovery 27 個人資料的備份 個人資料備份的媒介 光碟 網路儲存設備 個人行動辦公室 備份策略 日備份 週備份 月備份 28 敏感媒體的處理 常用銷毀各種媒體設備如下 碎紙機 磁性資料的清除 將磁碟或磁帶重寫 Overwrite 多次 消磁性體 消磁 29 非法侵入者的目的 盜竊機器或資料 破壞機器 閱讀機密資料 防止非法侵入者入侵 盜竊的防止 守衛 鎖 磁卡 防止攜出 讓他搬不走 外出檢測 人員進出管制 2 6侵入機房重地者 Intruder 30 建築物場所位置的考慮 所處樓層是否遠離發電廠或變電所 所處樓層是否不易遭受水患 防盜 防災 防震 避雷 防塵 防高溫 防鼠 防濕 行政管理方面 對進出主機房人員之管制方式及身份的限制方式 在維護廠商進行維護時陪伴人員之身份 對於superuser密碼持有人之管理 資訊中心人員有意見時反應之管道是否順暢 資訊中心成員離職時的處理程序 資訊中心人員職務代理人員制度 對系統維護之措施 對資源之保險措施是否有明確制度 2 7電腦實體安全的評分與建議 31 系統管理及軟體安全方面 作業系統是否有專人管理 系統之備份 backup 多久執行一次 對於電腦病毒如何處理 電腦操作及資料安全方面 對電腦設備操作訓練及資訊安全相關課程 對電腦設備操作程序是否有說明文件 操作人員 值班人員的安排方式 檔案 磁碟 磁帶的報銷及銷售管制 電腦系統各設備及通信網路設備的檢查測試 對於使用之資源資訊的各級分類情形 電腦實體安全