信息安全管理10_物理安全控制要点与管理策略 .pdfVIP

信息安全管理10_物理安全控制要点与管理策略

物理安全是最基础的，同时也是最重要的，是整体信息安全的基础，如果管控不善会导致致命的损失，这⼀点在《》已经⾜以能够说明问题

了。

物理安全管理与控制的⽬的是避免由于物理环境管理不善所带来的各种安全风险，涉及到物理区域划分、物理安全控制措施实施、IT设备维

护与管理等⽅⾯。物理安全整体控制框架可以参见下图：

⼀、物理区域定义与划分

物理区域划分是确定各个物理场所所属的区域类型，⽬的是所有区域都得到有效划分，避免不同安全需求区域混合在⼀起难以进⾏有效安全

管理所带来的风险，区域划分是物理环境安全管理的基础。

根据物理区域信息安全的需求，⼀般可以对物理场所划分为⾼敏感区域、敏感区域、危险区域、普通办公区域、公共区域五类，这五类区域

定义如下：

⾼敏感区域：包括核⼼数据中⼼机房、重要资料档案室、⾼管办公室等。

敏感区域：包括⾮核⼼数据中⼼机房、重要部门办公室等。

危险区域：⽓瓶间、变压器室、发电机房、油库等。

普通办公区域：公共办公区、其它办公室、会议室。

公共区域：⼤厅、前台接待区、⾷堂、院落等。

⼆、不同物理区域安全控制措施

划分不同物理区域是因为不同区域的重要性及⾯临的风险不同，物理安全控制措施需要按不同的区域类型采取不同的控制措施，不同类型区

域常见的安全控制措施包括：

⾼敏感区域安全控制措施：1）通过电⼦门禁系统控制进出；2）区域内部及出⼊⼝视频监控录像；3）区域进出⼝进⾏明显的标识；

4）外来⼈员进⼊全程陪同；5）外来⼈员访问登记；6）门禁常态关闭等。

敏感区域安全控制措施要求：1）通过电⼦门禁系统（或门锁）控制进出；2）区域出⼊⼝视频监控录像；3）外来⼈员进⼊全程陪同；

4）⾮⼈员进出时，门禁（门锁）关闭。

危险区域安全控制措施：1）通过电⼦门禁系统（或门锁）控制进出；2）区域边界或出⼊⼝视频监控录像；3）⾮⼯作需要禁⽌⽆关⼈

员进⼊；4）门禁（门锁）长期关闭。

普通办公区域安全控制措施：1）通过电⼦门禁系统（或门锁）控制进出；2）楼道或出⼊⼝视频监控录像；3）下班后门禁（门锁）关

闭。

公共区域安全控制措施：1）配备保安值班⼈员；2）外来⼈员⾝份验证；3）外来⼈员发放⾝份标识；4）外来⼈员访问记录；5）出

⼊⼈员检查⾝份标识。

三、物理设施、设备安全管理与控制

除了物理区域划分与安全管控外，设施设备安全管理与控制也是物理安全的另外⼀个重要⽅⾯，涉及⽀持性基础设施配备、设备维修保养管

理、设备移动管理、组织场外设备安全、⽆⼈值守设备管理、设备的安全处置或再利⽤等内容。

3.1⽀持性基础设施配备

为保障IT设备正常运⾏，应配备⾜够的⽀持性设施（例如供电、供⽔、UPS和空调等）进⾏运⾏⽀撑。

所有⽀持性设施⾄少每年应进⾏⼀次维护保障，适当的测试以确保其功能与性能，减少由于故障或失效带来的风险。

对⽀持⽣产运⾏的设备应配备连续运⾏的不间断电源（UPS），以防⽌短时间停电对业务操作的影响。

机房、关键物理出⼊⼝、⾛廊等区域应配备应急照明设施，并保证应急照明设施与备⽤电源连接。

3.2设备维修保养管理

能够存储信息的IT设备，在送修或保养前，必须由设备管理⼈员检查该设备是否含有敏感信息，如含有敏感信息则应采取措施清除这

些信息。

如果因为特殊原因不能对送修的设备进⾏敏感信息清除时，必须与维修服务提供商签署保密协议。

如果IT设备保养由签约公司进⾏现场实施，应由该设备管理员在进⾏维护保养时全程陪同。

在IT设备维护保养完成后，应由设备管理员对该设备进⾏检查确认，确保设备能够正常、稳定运⾏。

在IT设备维护保养完成后，由于维护保养公司出具正式的维护保养报告，设备管理员对维护保养报告进⾏归档备案。

3.3设备移动管理

未经设备管理部门的批准，任何⼈不得擅⾃改变IT设备的位置，更不能将IT设备移动到所在区域之外。

IT设备如果需要搬离机房应按照变更管理进⾏审批，评估并处理设备下线、搬离过程中的风险，并且需要确保该设备中的敏感信息已

经被清除。

3.4组织场外设备安全

离开办公环境的设备应采取适当的控制措施进⾏保护，防⽌由于保护不当带来损坏、盗窃、丢失所带来的风险。

离开办公环境的设备，在运输的途中应由专⼈全程护送，护送过程中设备不应⽆⼈看管。

3.5⽆⼈值守设备管理

对于不在组织现场的设备以及⽆⼈值守设备，应进⾏适当的保护，确保在⽆⼈在设备现场时设备不会被有意或者⽆意的访问