CISP15物理安全分析报告.ppt

物理安全 中国信息安全测评中心 引言 “城堡通常建在战略位置上并以高墙包围” 问题 哪里是战略位置? 高墙有多高? 堡垒怎么部署? 谁来保卫出口? 升降吊桥有什么规矩？ 遭遇火灾或掠夺怎么办？ 物理安全领域探讨的问题 物理安全概念 什么是物理安全 “物理”：Physical, 身体的、物质的、自然的 身体的：人身安全是物理安全首要考虑的问题，因为人也是信息系统的一部分 物质的：承载信息的物质，包括信息存储、处理、传输和显示的设施和设备 自然的：自然环境的保障，如温度、湿度、电力、灾害等 物理安全概念 计算机安全 与攻击者、骇客和黑客有关 是物理安全 与入侵者、蓄意破坏者和窃贼有关 考虑的是一个人如何能够物理上进入一个计算机环境、计算机环境如何影响系统 物理安全领域提供了从外围到内部办公环境，包括所有信息系统资源的防护技巧。 作为一名合格的CISP, 应当： 能够描述与企业内敏感信息资产物理防护相关的威胁、脆弱性和抵抗措施； 能够识别与设施、数据、媒介、设备、支持系统相关的物理安全风险。 主要内容 物理安全威胁 物理安全需求计划 物理安全控制 物理安全威胁 物理安全的威胁 自然威胁（如：地震、洪水、风暴、龙卷风等） 设施系统（如：通信中断、电力中断） 人为/政治事件（如：纵火、爆炸、蓄意破坏、盗窃、恐怖袭击、暴动） 通信中断 2009年08月19日受海缆断裂