信息安全管理体系 第五讲 物理与环境安全

linkboy

物理与环境安全(Physical and environmentalsecurity)是讨论保护信息系统基础和设施、设备、存储介质免受非法的物理访问、自然灾害和环境危害。
我们在防备黑客进入组织内部网络盗窃敏感信息时，不要忘了非授权的内部人员(如：心怀不满的员工)，或外部人员(如：伪装成勤杂工、送货工的盗窃分子)的威胁，这些人员可能不具备IT知识，可是他们通过盗窃、破坏对组织信息设施所造成的损失，有时甚至超过技术高超的职业黑客。
我们经常从媒体上看到这样的报道，一些公司、机关及高校的机房经常会发生盗窃案件，小偷趁人员疏忽、节假日外出、夜晚睡觉不关房门或外出不锁门等机会，偷盗台式电脑、笔记本电脑或掌上电脑，或者偷拆走电脑的CPU、硬盘、内存条等部件，使组织的业务被迫中断，并造成很大的经济损失。
如果是国家级的公用通讯设施遭到盗窃和破坏，损失就更大了。据中国电信网络维护部传输网监管处的一位负责人介绍，中国电信一年用于光缆损坏修复的投入就达3亿多元，其中大部分用在人为因素造成的光缆损坏上。
防止基础设施设备等资产的损坏、丢失、敏感信息泄露及业务活动的中断，主要包括安全区域控制（或物理访问控制）、设备安全及存储介质安全三个方面的安全控制。

[ 本帖最后由 linkboy 于 2008-1-26 12:39 编辑 ]

linkboy

1、控制目标－安全区域





目标：防止未经授权的访问，预防对组织信息基础设施和业务信息的干扰和破坏。
应当把关键的和敏感的业务信息处理设备放在安全区域，受到确定的安全范围的保护，并有适当的安全屏障和接入控制。应当对他们从实体上加以保护，以防未经授权的访问并免于干扰和破坏。

安全区域是需要被组织保护的业务场所和包含被保护信息处理设施的物理区域，如系统机房、重要的办公室，也可能是整修工作区域。安全区域的物理保护是通过诸如围墙、控制台、门锁等能够阻挡人员进入的关卡实现的，这种关卡即为安全边界。
对于信息处理设施可能受到的非法物理访问、盗窃、损坏和泄密的威胁，应根据风险评估的结果，通过建立安全区域、严格进入控制等控制措施对重要的信息系统基础设施进行会面的物理保护。





l
控制措施－设立物理安全边界





=>组织应设立安全边界，保护信息处理设施。


通过建立安全边界形成安全区域以保护区域内的信息处理设施。安全边界可以是设立一个关卡，如一堵墙、一个控制出入的卡或一个有人控制的总台。每个关卡的位置和强度取决于风险评定的结果。



l
控制措施－物理进出控制





=>安全区域应有适当的进出控制加以保护，以确保只有经授权的人员可以进出
。
物理进出控制措施主要有：安全区域的来访者应接受监督或办理出入手续；对敏感信息及信息处理设施的访问应进行控制，应仅限于经授权的人；通过身份鉴别技术进行控制；要求所有职员佩带某种可视标志；并应该向内部人员陪伴的陌生人或没有佩戴可视标志的人提出质疑；对安全区域的访问权应定期评审并更新。

linkboy

l
控制措施－对办公场所及设备的保护



=>应设计并实施保护办公室、房间和设施的物理安全。
应考虑下列指南以保护办公室、房间和设施：
Ø
相关的健康和安全法规、标准要考虑在内；
Ø
关键设施应坐落在可避免公众进行访问的场地；
Ø
适用时，建筑物要不引人注目，并且在建筑物内侧或外侧用不明显的标记给出其用途的最少指示，以标识信息处理活动的存在；
Ø
标识敏感信息处理设施位置的目录和内部电话簿不要轻易被公众得到。



l
控制措施－防范外部或环境威胁



=>应设计并实施针对火灾、水灾、地震、爆炸、骚乱和其他形式的自然或人为灾难的物理保护措施。
要考虑任何邻近地点所带来的安全威胁，例如，邻近建筑物的火灾、屋顶漏水或地下室地板渗水或者街上爆炸。
要避免火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为制造的灾难的破坏，需考虑以下因素：
Ø
危险或易燃材料应在离安全区域安全距离以外的地方存放。大批供应品（例如文具）不应存放于安全区域内；
Ø
恢复设备和备份介质的存放地点应与主场地有一段安全的距离，以避免影响主场地的灾难产生的破坏；
Ø
应提供适当的灭火设备，并应放在合适的地点。




l
控制措施－在安全区域中作业



=>应该对安全区域中进行的作业有相应的控制方法及指导原则，以加强安全区域的安全性。
为对安全区域提供安全、可靠的保证，需要对在安全区域的工作人员及被授权进入安全区域的其他人员的行为提出安全要求，通过规章的形式予以约束，要求在此工作的人员必须严格遵守。


在安全区域工作的安排包括对工作在安全区域内的雇员、合同方和第三方用户的控制，



以及对其他发生在安全区域的第三方活动的控制。





l
控制措施－隔离的送货及装载区域






=>送货和装载区域应加以控制，如有可能应与信息处理设施隔离，以避免未经授权的访问。

当将货物、物品或其他东西运送到货物的储存区域时，被运送的货物、物品本身或者运送人可能会对储存区域内的重要信息资产造成威胁或损害。
运送与储存区域应尽量与信息处理设施分离，如果不能分离的话，应对进入储存区域的运送人或货物应进行严格控制。如某些犯罪分子者或恐怖组织可以将装有炸弹的或细菌的信件邮寄给被攻击者，造成人身伤亡和财产损失；又如，商业机密窃取者可以伪装成送货者到组织的办公室或实验室窃取项目研发的技术资料，为避免这种情况的发生，最好的办法将送货人拒之门外，由自己的员工将货物搬进来。

linkboy

2、控制目标－设备安全



目标：防止资产流失、损坏及对业务活动造成破坏。
设备可能会受到环境因素（如火灾、电磁干扰）、未授权访问、供电异常、设备故障等方面的威胁，使组织面临资产损失、损坏、敏感信息泄露或商业活动中断的风险，因此，设备安全应考虑设备安置、供电、电缆、设备维护、办公场所外的设备及设备处置与再利用方面的安全控制。





l
控制措施－设备的安置及保护


=>应妥善安置及保护设备，以降低来自未经授权的访问及环境威胁所造成的风险。
设备的安置与保护可以考虑以下原则：设备的布置应有利于减少对工作区的不必要的访问；敏感数据的信息处理与存储设施应当妥善放置，降低在使用期间内对其缺乏监督的风险；要求特别保护的项目应与其他设备进行隔离，以降低所需保护的等级；采取措施，尽量降低盗窃、火灾等环境威胁所产生的潜在的风险；考虑实施“禁止在信息处理设施附近饮食、饮水和吸烟”等。



l
控制措施－支持性设施



=>应保护设备免受电力中断或其他因为支持性设施失效所导致的中断。
应有足够的支持性设施（例如电、供水、排污、加热/通风和空调）来支持系统。支持性设施应定期检查并适当的测试以确保他们的功能，减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电。
其中，电力供应是计算机、通信等信息设施应用的必要条件。对于特定系统，例如，交通运输部门的计算机网络售票系统、证券交易系统，如果没有备用电源，电力供应中断就会引起业务活动的中断。因此，保证重要信息设备的供电可靠性对保持业务活动的正常运作十分重要。
常采取的措施有：多路供电途径以避免单点电力供应发生故障的危险；不间断电源（UPS）；备用发电机等。



l
控制措施－电缆传输安全



=>应当对传输信息资料的通讯电缆或支持信息服务的电力电缆加以保护，使其免于被窃听或被破坏。
用于传送数据的通讯电缆或支持信息服务的电力电缆被截断会造成信息的不可用，甚至造成整个系统的中断；用于传送敏感信息的通信电缆被截获，会造成秘密泄露。组织应采取适当的措施对电缆进行保护，防止截断或损坏，如：电缆应尽可能埋在地下，或得到其他适当的保护；使用专门管线，避免线路通过公共区域；电源电缆应与通信电缆分离，以防干扰；定期对线路进行维护，及时发现线路故障隐患等。

linkboy

l
控制措施－设备维护



=>设备应进行正确维护，以确保其持续的可用性及完整性。
设备维护不当会引起设备故障，从而造成信息不可用，甚至造成信息不完整。因此，组织应按照设备维护手册的要求或有关维护规程对设备进行适当的维护，确保设备处于良好的工作状态，即保持设备持续的可用性和完整性。
如：按照供应商推荐的保养时间间隔和规范进行设备保养；只有经授权的维护人员才能维修和保养设备；维修人员应具备一定的维修技术能力；应当把所有可疑故障和实际发生的事故记录下来；当将设备送外进行保养时，应采取适当的控制，防止敏感信息的泄露等。



l
控制措施－外部设备安全


=>在组织场所以外使用信息处理设备应当得到管理层授权 。　　　
场所外设备（Equipment Off-premises）是指离开组织正常工作场所的设备，可以分为两类，一类是因工作需要，将设备带离组织的工作场所，如因公外出所携带的便携式计算机、移动电话、文件等；另一类是固定在组织场所之外的设备，如移动通信公司的无人职守机房内的通信设备、档案资料等。
场所外设备可能遭受盗窃、未经授权的访问或环境因素的威胁，组织应考虑场所外的设备所存在的风险，所提供的保护至少应等同于组织内相同用途的设备。如：任何人在组织外使用信息处理设备，应当一律经由管理层授权许可；从办公场所带走的设备和存储介质在公共场所使用时，不应无人看管；应始终遵守制造商有关保护设备的指南要求；对经常在场所外使用的设备应当在保险公司进行投保，以转移风险等。



l
控制措施－设备的处置及重复利用的安全



=>设备在报废或再利用前，应当清除储存在设备中的信息。
信息设备到期报废或被淘汰需处置时，或设备改为它用时，处理不当会造成敏感信息的泄露。
可以采用措施有：在设备处置或征得利用之前，组织应采取适当的方法将设备内存储媒体的敏感数据及许可的软件清除；应在风险评估的基础上履行审批手续，以决定对设备内装有敏感数据的存储设备的处置方法――消磁、物理销毁、报废或重新利用等。



l
控制措施－设备的转移



=>未经授权，不得将设备、信息或软件带离工作场所。
设备在未经授权的情况下，不应让设备、信息或软件离开办公场地；应识别有权允许资产移动，离开办公场地的雇员、合同方和第三方用户；应设置设备移动的时间限制，并在返还时执行一致性检查。必要时可以删除设备中的记录，当设备返回时，再恢复记录。