设施和系统
物理访问系统
通过使用连续的物理安全层,可以增强纵深防御原则在系统保护中的应用。第一层物理安全是使用包含系统的设施的安全区。
可部署平台还应满足物理安全要求。值得注意的是,处理可部署平台的物理安全认证机构可能有特定要求,这些要求可能超过这些指南中的控制措施。这可能包括周边控制、建筑标准和人员配备水平。因此,实施可部署平台的组织应联系其物理安全认证机构以寻求更多指导。
系统安全地存放在符合其分类的安全区域要求的设施中。
对服务器、网络设备和加密设备的物理访问
第二层物理安全是使用服务器机房或通信机房的附加安全区。然后,进一步使用安全容器或安全室来保护服务器、网络设备和加密设备。
服务器、网络设备和加密设备安全地放置在符合其分类的安全区域要求的服务器机房或通信室中。
服务器、网络设备和加密设备存放在适合其分类的安全容器或安全室中,同时考虑到它们所在的安全区域组合。
服务器机房、通信室、安全集装箱和安全室不得处于不安全状态。
对服务器机房、通信室、安全容器和安全室的钥匙或同等访问机制进行适当控制。
对公共区域的网络设备的物理访问
公共区域内未受保护的网络设备可能会导致意外或故意的物理损坏,从而导致服务中断。或者,未经授权访问网络设备可能会让恶意行为者将其重置为出厂默认设置,从而删除任何控制,或直接连接到它们以绕过网络访问控制。即使不是通过将网络设备重置为出厂默认设置来访问网络设备,也极有可能导致服务中断。
可以通过实施物理安全来限制对网络设备的物理访问,例如使用防止访问其控制台端口和出厂重置按钮的外壳、将其安装在天花板上或墙壁后面,或将其固定在安全容器中。
实施物理安全是为了保护公共区域的网络设备免受物理损坏或未经授权的访问。
将射频和红外设备带入设施
射频 (RF) 设备(例如移动设备、无线键盘和蓝牙设备)以及红外 (IR) 设备可能会对组织造成安全风险,尤其是当它们能够录制或传输音频或数据时。在机密和绝密区域,组织必须了解引入 RF 和 IR 设备所带来的安全风险,并制定、实施和维护已获准在此类环境中使用的设备的登记册。
在决定授权将哪些射频或红外设备带入机密和绝密区域时,组织应该考虑已经采取的任何缓解措施,例如是否会阻止红外通信在安全空间之外传播,是否在相同空间中使用不同灵敏度或分类的系统,以及是否已在设施中应用任何临时或永久阻止射频或红外传输的方法。
定期开发、实施、维护和验证针对机密和绝密区域的授权 RF 和 IR 设备寄存器。
未经授权的 RF 和 IR 设备不得带入机密和绝密区域。安全措施用于检测和响应机密和绝密区域内的未经授权的 RF 设备。
防止未经授权的人员观察
如果没有足够的周边安全措施,未经授权的人员通常会观察到设施内部,例如通过直接观察或使用带有远摄镜头的设备。确保系统(特别是工作站显示器和键盘)不会通过窗户被看到,例如通过使用百叶窗、窗帘、隐私膜或工作站定位,将有助于降低这种安全风险。
未经授权的人员不得观察设施内的系统,特别是工作站显示器和键盘。
IT设备和媒体
保护 IT 设备和媒体
不使用时,需要保护好 IT 设备和介质。可以通过实施以下方法之一来实现:
如果以上方法都不可行,组织可能希望尽量减少未使用 IT 设备时不保护设备的潜在影响。可以通过防止敏感或机密数据存储在硬盘上、将用户配置文件和文档存储在网络共享上、在注销时删除临时用户数据、在关机时清除虚拟内存以及在关机时清理内存来实现。但应注意的是,不能保证这些措施始终有效,也不能保证不会因断电等意外情况而被绕过。因此,在这种情况下,硬盘将保留其敏感性或分类,以便重复使用、重新分类、解密、清理、销毁和处置。
不使用时,IT 设备和媒体应得到保护。
原文始发于微信公众号(祺印说信安):信息安全手册:物理安全指南
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论