等保视角下,机房物理访问控制怎么做

admin 2024年7月10日14:03:53评论5 views字数 1248阅读4分9秒阅读模式

今天陪着客户参加等保2级评审(我是第三方,做等保合规咨询)。这个客户是学校单位,机房就建在学校一幢楼的3层(楼高8层)。

到了楼上,发现机房门一拉就开了,测评师就问:“你们没有门禁吗?”,学校老师赶紧说:“有的,有门禁,只是因为今天我有事,一直要进进出出,所以没关。” 老师演示了一下,这个门禁可以关上,关上后需要输入密码进入,测评师看了一下,门口就一把按键密码锁,仅仅输入通用密码就可进入。

于是,测评师在笔记本的excel表中敲了一个部分符合。然后建议学校老师可以放一本机房进出登记表,表里有进的时间、出的时间、人员姓名、联系方式等,用表格记录进出人员。(说实话,没有专人值守,放本登记表没用,我觉得)

回归正传,为啥只是部分符合呢?

因为,等保2级以上对机房物理访问控制有如下要求:

  • 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员

那么这条就有两个意思:

1、你至少要有个门禁;

2、你的门禁系统要能鉴别记录进出的人员。

就刚才这个案例来看,只是一把密码锁,显然无法知道到底是谁进来了,毕竟,知道密码的人不是只有一个人,机房出入也不会只有一个人。2条只能满足1条,所以判部分符合。

在中关村信息安全测评联盟的《网络安全等级保护测评高风险判断指引》中,认为如果机房出入口访问控制措施缺失是高风险。

等保视角下,机房物理访问控制怎么做

所以,机房出入口这块的门禁系统还是要重视一下。

那么,用哪种门禁系统可以满足等保2级以上的要求呢?

以下是一些关于电子门禁系统的关键点:

身份验证:系统应能通过多种方式验证人员身份,如密码、指纹、面部识别、IC卡或RFID技术等。

密码这块,像有的密码锁是这样的,工号+密码,每个人的密码不一样,所以也能通过这个识别到具体的人。指纹、面部识别就不用说了,天然能识别到具体的人。IC卡和RFID也可以识别到具体的持卡人(不过,万一丢了就不好说是谁了)。

权限管理根据人员的角色和职责,系统应能设置不同的访问权限,确保他们只能进入授权区域。

这块,要求划分区域,设置门禁,要求比较高,一般小机房没有这个要求。

记录与审计:门禁系统应记录每一次的访问事件,包括时间、日期和进入的人员,以便于事后审计和追踪。

报警系统:当有人试图非法进入或系统检测到异常时,门禁系统应能触发报警,通知安全人员。

防尾随功能:门禁系统应具备防尾随机制,确保一次只能通过一个人,防止未授权人员跟随进入。

系统稳定性:门禁系统应具备高稳定性和可靠性,以避免因系统故障导致的安全风险。

数据保护:存储的身份验证数据和访问记录应加密保护,防止数据泄露。

THE END

ps,我建了一个信息安全专业人员的微信群,我们可以在里面聊一些安全专业主题,聊一些职场沟通合作主题。也可以互相问一些问题,互相分享一些可以公开的材料,一起学习。

另外,这个群我们每个人都是群管理,可以在里面做些主题分享、讨论问题、读一点专业内容或者线上线下做一些主题聚会。

需要加群的可以关注我的微信公众号,关注后有我的联系方式弹出。

原文始发于微信公众号(透明魔方):等保视角下,机房物理访问控制怎么做

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月10日14:03:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   等保视角下,机房物理访问控制怎么做http://cn-sec.com/archives/2937336.html

发表评论

匿名网友 填写信息