1、物理与环境审计,目录,物理控制、环境控制的涵义 相关风险 常见的控制措施 物理环境审计清单 思考:物理环境审计的控制点?,1. 物理与环境控制的涵义,物理控制:是用于阻止对IT设备未经授权访问,防止其发生故障的机制和管理过程。 环境控制:是用于保护计算机软硬件,避免其受到火灾、水灾、灰尘、电源事故伤害的行为和过程。,2. 与物理和环境控制相关的风险,(1)物理风险 员工 (IT雇员、清洁工、警卫及其他人员)有意或无意的破坏; 计算机或其零部件失窃; 电压波动导致设备损坏或数据丢失或损坏; 存在绕过逻辑访问控制的旁路; 复制或查阅敏感或机密的信息。,(2)环境风险 水灾或火灾破坏,以及其他自然灾
2、害的破坏; 电源掉电导致内存数据丢失; 电压不稳导致系统故障、处理错误和设备部件的损坏; 由于温度、湿度恶劣导致系统故障; 炸弹破坏; 静电破坏敏感的电子部件; 其他诸如。照明设备停工,灰尘或污垢聚集等。,3. 控制措施-安全区的物理控制,物理访问安全应基于信息技术设备所处区域的定义。例如,可以将一栋大楼、一个计算机房、一个打印间当作一个管理区域。管理区域的定义应该清晰明白,雇员能够意识到它的边界。 从安全区的在外层防护到建筑物的入口、计算机间和终端,应该通过多层控制措施,控制对用户站点和安全区域的访问。,3. 控制措施-管理控制,雇员佩带身份或姓名证章; 解除辞退人员的访问权限; 来访人员必
3、须登记,包括他是谁,在哪工作,找谁、来访时间、离开时间等。来访人在放行之前应提供一些证件加以确认。 办公室无人照管时的控制过程。例如当雇员晚上回家或外出吃饭时,应锁好键盘、将笔记本电脑锁入抽屉、锁好软盘等。,3. 控制措施-门禁系统(locks on doors),常见的门禁系统包括: 使用机械钥匙的锁。 组合门禁系统或密码锁 电子门禁系统 生物门禁系统,3. 控制措施-其他常见的物理控制措施,电视摄像头 警卫 雇员在上班时间以外的控制; 计算机锁 手工日志记录:来客需要登记姓名、单位、事由和会见人。在进入前需要出示身份证明。 电子日志:在电子或生物安全系统中,所有的来客都要做日志记录,特别是
4、失败的进入试图需要被特别标记。 控制的来客接触:所有来客都应有雇员护送。,3. 控制措施-其他常见物理控制措施(续),人员担保:所有服务人员应该有担保。 死人门(deadman doors):该系统使用一对门。前一门未锁上,后一门不能打开。在两个门之间只能有一个人。以防止未经授权的人跟随其他人进入。 不宣扬敏感设备的位置; 计算机终端锁; 经控制的单个输入点; 夜贼警报系统; 安全的文件分发车。,3. 控制措施-环境控制措施,火灾的预防、检测和扑救 防水 防静电 防雷击 防电磁干扰 电源的保护和控制 三度要求(温度,湿度和清洁度),3. 控制措施-火灾的预防、检测和扑救,火灾的预防控制 火灾扑救系统包括: 手持灭火器; 一些灭火器适合电子设备,例如二氧化碳或halon(BCF)灭火器。 水灭火器可以放在计算机耗材库房中。 自动灭火系统 自动灭火器通常使用水或halon。Halon对计算机设备无害,并且相对二氧化碳来说,危害较小。,3. 控制措施-防水,进入机房的水可能来自以下方面: 洪水; 屋顶漏水; 爆裂的管道; 洗手间或水池溢水; 冷却系统漏水。,3. 控制措施-三度要求,4. 物理环境审计清单-样本,思考,物理环境审计的控制点?,谢谢大家 共同交流,分享价值,
