今天陪着客户参加等保2级评审(我是第三方,做等保合规咨询)。这个客户是学校单位,机房就建在学校一幢楼的3层(楼高8层)。
到了楼上,发现机房门一拉就开了,测评师就问:“你们没有门禁吗?”,学校老师赶紧说:“有的,有门禁,只是因为今天我有事,一直要进进出出,所以没关。” 老师演示了一下,这个门禁可以关上,关上后需要输入密码进入,测评师看了一下,门口就一把按键密码锁,仅仅输入通用密码就可进入。
于是,测评师在笔记本的excel表中敲了一个部分符合。然后建议学校老师可以放一本机房进出登记表,表里有进的时间、出的时间、人员姓名、联系方式等,用表格记录进出人员。(说实话,没有专人值守,放本登记表没用,我觉得)
回归正传,为啥只是部分符合呢?
因为,等保2级以上对机房物理访问控制有如下要求:
-
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员
那么这条就有两个意思:
1、你至少要有个门禁;
2、你的门禁系统要能鉴别记录进出的人员。
就刚才这个案例来看,只是一把密码锁,显然无法知道到底是谁进来了,毕竟,知道密码的人不是只有一个人,机房出入也不会只有一个人。2条只能满足1条,所以判部分符合。
在中关村信息安全测评联盟的《网络安全等级保护测评高风险判断指引》中,认为如果机房出入口访问控制措施缺失是高风险。
所以,机房出入口这块的门禁系统还是要重视一下。
那么,用哪种门禁系统可以满足等保2级以上的要求呢?
以下是一些关于电子门禁系统的关键点:
身份验证:系统应能通过多种方式验证人员身份,如密码、指纹、面部识别、IC卡或RFID技术等。
密码这块,像有的密码锁是这样的,工号+密码,每个人的密码不一样,所以也能通过这个识别到具体的人。指纹、面部识别就不用说了,天然能识别到具体的人。IC卡和RFID也可以识别到具体的持卡人(不过,万一丢了就不好说是谁了)。
权限管理:根据人员的角色和职责,系统应能设置不同的访问权限,确保他们只能进入授权区域。
这块,要求划分区域,设置门禁,要求比较高,一般小机房没有这个要求。
记录与审计:门禁系统应记录每一次的访问事件,包括时间、日期和进入的人员,以便于事后审计和追踪。
报警系统:当有人试图非法进入或系统检测到异常时,门禁系统应能触发报警,通知安全人员。
防尾随功能:门禁系统应具备防尾随机制,确保一次只能通过一个人,防止未授权人员跟随进入。
系统稳定性:门禁系统应具备高稳定性和可靠性,以避免因系统故障导致的安全风险。
数据保护:存储的身份验证数据和访问记录应加密保护,防止数据泄露。
THE END
ps,我建了一个信息安全专业人员的微信群,我们可以在里面聊一些安全专业主题,聊一些职场沟通合作主题。也可以互相问一些问题,互相分享一些可以公开的材料,一起学习。
另外,这个群我们每个人都是群管理,可以在里面做些主题分享、讨论问题、读一点专业内容或者线上线下做一些主题聚会。
需要加群的可以关注我的微信公众号,关注后有我的联系方式弹出。
原文始发于微信公众号(透明魔方):等保视角下,机房物理访问控制怎么做
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论