资讯中心安全管理与实体安全PhysicalSecurity

1、1,第二章 資訊中心安全管理與實體安全 (Physical Security),2,目錄,2.1 前言 2.2 人力資源的安全管理 2.3 空間環境資源的安全管理 2.4 硬體設備資源之安全管理 2.5 軟體設備資源之安全管理 2.6 侵入者 2.7 電腦實體安全的評分與建議,3, 各行各業仰賴電腦日深 不需特殊專業能力即可威脅資訊安全 以防萬一(天有不測風雲),實體安全的重要性：,2.1 前言,實體安全就是如何保護資訊系統外 在的環境安全,4,2.2 人力資源的安全管理,5,2.2 人力資源的安全管理,6,軟體開發組,主要是開發管理資訊系統。 在安全管理上需注意之事項： 稽核人員審核系統分析

2、與設計文件是否有安全漏洞？ 程式完成開發後，需由稽核人員逐一審查，原始程式碼是否與系統分析與設計文件一致？是否有不相干的程式碼或後門程式？ 由稽核人員與程式設計師共同編譯原始程式碼成為可執行檔。 稽核人員必須定期稽核程式是否有被篡改。,7,2.2 人力資源的安全管理,8,系統管理組,系統管理組主要任務是讓電腦設備及系統能有效率地正常運轉。 一些安全上問題需注意： 使用者申請使用權限之註冊，需謹慎查核其身份。使用者離職時，必須將其使用權限註銷 隨時監視控制台(Console)，是否有不明身份使用者企圖要登入(Login)到本系統。 定期檢查系統稽核檔(Log File)，是否有異常狀況。 定期檢

3、查網路線是否在安全管線內（沒有漏出）。 是否定期備份資料？,9,2.2 人力資源的安全管理,10,推廣教育組,推展資訊教育、讓相關單位所有員工均能善用資訊中心的設備資源並加強整體資訊安全之觀念。,11,2.2 人力資源的安全管理,12,技術支援組,解決使用者有關使用電腦設備之問題，包括修復個人用電腦。 維護工程師或技術員在修護電腦過程中，有時需要使用者之帳號及通行密碼，用完應請使用者即刻更改通行密碼以釐清責任。,13,2.2 人力資源的安全管理,14,資訊安全管理組,負責整個資訊系統之安全管理。 BS7799 (CH 16),15,2.2 人力資源的安全管理,16,稽核小組,稽核資訊中心設備與

4、系統是否有安全上漏洞，資訊中心人員是否有安全上疏忽或監守自盜等情形。,17, 電腦機房環境不良 溫度：20OC - 25OC 濕度：40% - 60% 落塵：緊閉門窗、空氣濾清器 停電、雷擊(UPS+穩壓) 機房位置規劃不當 火災 地震 水患,影響實體安全種類,2.3 空間環境資源之安全管理,18, 電腦系統故障 預防重於保養、保養重於修理 設備復原：Cold Site(無AP)、Hot Site 容錯系統 (Fault Tolerance) 網路斷線 不正常使用,2.4 硬體設備資源之安全管理,導致電腦硬體設備與系統(含網路)不能正常使 用的原因,19, ping .

5、tw Enter Pinging .tw 0 with 32 bytes of data: Reply from 0: bytes=32 time1ms TTL=242 Reply from 0 : bytes=32 time1ms TTL=242 Reply from 0 : bytes=32 time1ms TTL=242 Reply from 0 : bytes=32 time1ms TTL=242 測試四次、每次以32 Bytes資料測試、 TTL: T

6、ime to Live尚可再經過之站數(初始值 255) 當Ping之網路位址不存在時，則回應錯誤訊息 Bad IP address .jp,網路品質監測軟體Ping,20, ping -t .tw Enter 表示會一直送資料測試，一直到由使用者中斷它(同時 按Ctrl及C鍵)，才會停止測試，通常用於長時間監測。 ping -n 10 .tw Enter 表示會做十次測試，一般不指定時僅做四次測試。 ping -l 64 .tw Enter 表示每次以64位元組資料做測試，一般是32位元。 ping -i 10 www.

7、.tw Enter 表示此測試僅能通過十個網站，若超過十個網站尚未到 達，則停止此次測試，一般不指定時為256。,Ping指令其他選項(Option)功能,21, ping -w 1000 .tw Enter 表示此測試等待對方網址回應時間為1000毫秒，若超過 1000毫秒尚未回應，則顯示下列訊息： Request timed out 下列三種可能原因： 二個網站間路徑或網站，目前處於堵塞或故障狀況。 對方網站目前是關機或故障狀況。 對方網站目前很忙碌。,Ping指令其他選項(Option)功能 (續),22,2.5 軟體設備資源之安全管理,包括作業系

8、統(Operation System)、公用程式(Utility)或工具(Tool)、管理資訊應用系統、以及使用者資料之安全管理。 軟體程式之安全管理 資料備份對企業和組織而言是非常重要的。,23,企業資料的備份(Backup),依資料備份的頻率來區分 日備份(Daily Backup) 週備份(Weekly Backup) 月備份(Monthly Backup) 季備份(Quarterly Backup),24,根據備份資料的重要性來區份 完整備份(Completely Backup) 選擇式備份(Selective Backup)或差異備份 迴轉式備份(Revolving Backup)

9、-資料存放的時間,企業資料的備份(Backup),25,異 地 備 援(Disaster Recovery),當資訊系統的原所在地發生災難，而造成系統無法復原的損壞後，可以在最短的可接受時間內，讓異地的備援系統能部份或完全地回復原系統所能提供的服務，將災難對使用者的影響降至最低。,26,異地備援的主要特徵: 異地存放(至少30公里) 同步傳輸,異地備援需要特別注意的事項: 資料備份儲存系統必須不耗用主機系統資源及效能 資料在網路上傳輸時必須做適當的安全防護措施,異 地 備 援(Disaster Recovery),27,個人資料的備份,個人資料備份的媒介: 光碟 網路儲存設備(個人行動辦公室)

10、,備份策略: 日備份 週備份 月備份,28,敏感媒體的處理,常用銷毀各種媒體設備如下： 碎紙機 磁性資料的清除-將磁碟或磁帶重寫(Overwrite)多次 消磁性體-消磁,29, 非法侵入者的目的： 盜竊機器或資料 破壞機器 閱讀機密資料 防止非法侵入者入侵： 盜竊的防止(守衛、鎖、磁卡) 防止攜出(讓他搬不走) 外出檢測 人員進出管制,2.6侵入機房重地者(Intruder),30, 建築物場所位置的考慮： 所處樓層是否遠離發電廠或變電所； 所處樓層是否不易遭受水患。 防盜、防災、防震、避雷、防塵、防高溫、防鼠、防濕、 行政管理方面： 對進出主機房人員之管制方式及身份的限制方式。 在維護廠商

11、進行維護時陪伴人員之身份。 對於superuser密碼持有人之管理。 資訊中心人員有意見時反應之管道是否順暢。 資訊中心成員離職時的處理程序。 資訊中心人員職務代理人員制度。 對系統維護之措施。 對資源之保險措施是否有明確制度。,2.7 電腦實體安全的評分與建議,31, 系統管理及軟體安全方面： 作業系統是否有專人管理。 系統之備份(back up)多久執行一次。 對於電腦病毒如何處理。 電腦操作及資料安全方面： 對電腦設備操作訓練及資訊安全相關課程。 對電腦設備操作程序是否有說明文件。 操作人員、值班人員的安排方式。 檔案、磁碟、磁帶的報銷及銷售管制。 電腦系統各設備及通信網路設備的檢查測試。 對於使用之資源資訊的各級分類情形。,電腦實體安全的評