110:09n物理安全概述n管理控制n技术控制n物理控制n总结PhysicalandEnvironmentalSecurity物理和环境安全210:091物理安全概述•Physicalsecurityreferstotheprovisionofasafeenvironmentforinformationprocessingactivitiesandtotheuseoftheenvironmenttocontrolthebehaviorofpersonnel.物理安全是指为信息的处理活动提供安全的环境和使用环境来控制人员的行为。•物理安全是对环境风险和不可预知的人类活动的第一道防线(如果能够很轻松的潜入机房观看明文数据,谁会愿意去费劲地破解加密数据呢)•物理安全机制是指能够为人员、数据、器材、应用系统以及这些设备自身的安全提供有力的保障310:09实施物理安全的要素•取决于组织必须遵守的法律和制度•取决于组织可接受的风险水平(Baseline)•确定什么人和什么事能对其造成损害(threats)•取决于整个组织中财产需要保护的等级(cost-effective)410:09物理安全的机制•层次化的安全防护体系–预防机制,设置障碍预防犯罪和破坏–延迟机制,减少破坏带来的损失–监测机制,监控犯罪/破坏活动的过程–评估机制,完善和可持续发展–响应机制,事后快速恢复和追查510:095类物理安全问题•Facilityrequirements设施需求—Suchassiteselectionandconstructionandperimetercontrol•Technicalcontrols技术控制—Suchascardortokensystems•Environmental/lifeandsafety环境与生命安全—Suchaspowerandfireissues•Physicalsecuritythreats物理安全威胁—Suchasweatherandothernaturaleventsandintentionalattacks•Elementsofphysicalsecurity物理安全要素—Suchassensorsandsurveillance监视610:09物理资产分类•Facility设施–通常是指容纳员工、器材、数据和设备的建筑物•SupportSystem支持系统–供电、供水、照明、消防•Physicalcomponent物理组件–建筑材料、人员、数据、主机、设备•Suppliesandmaterials耗材–水、电、纸张、电池物理安全的保护对象,其中人的生命高于一切!!!710:09物理安全威胁•Fivethreats:–interruptionsincomputingservices服务的中断–physicaldamage物理损坏–unauthorizeddisclosureofinformation非授权泄漏–lossofcontrolofsystemintegrity系统完整性的破坏–physicaltheft偷窃在考虑上述威胁的时候,要全面,超出一般信息系统的范畴•主要来源–自然环境–支持系统–人员–政治因素–内部–外部810:09物理安全三种控制手段•PhysicalSecurityControls–-Admin...
