Jason的電腦健身房

實體安全，那不就是保安囉!保安!保安~~!這個不是周星馳的電影，實體安全是資訊安全防止竊取等等的事件，
可能在實際環境上會發生的問題，進而威脅到資訊安全，因此在於實體安全是一個相當重要的議題
那麼在安全的金三角中可以說A.I.C.是三者並重，但是…在實體安全之上有一個特別的規範那個叫做”People first”(人命關天)
因此有關威脅到人命的問題，都必須以人為最先安全，例如機房著火，不可能叫管理人員去滅火
警衛可能會有遇到帶槍的入侵者，因此最好有防彈的設備或設施。

那麼做實體安全上的主要目的有那些呢?deter(威嚇)、delay(延遲)、detect(偵查)、assess(評估)、Respond(回應)
deter(威嚇):主要是讓攻擊者或入侵者打消意念。
delay(延遲):增加偵查的時間及增加回應的時間和機會。
detect(偵查):偵測雖然是推測攻擊者的意圖，但我們不可能一直延遲攻擊者去做任何攻擊的動作，偵測必須更加有效且即時。
assess(評估):是比較舊的說法，指第一份的回報一般而言都是警告，第一次偵測時，往往需要時間去評估次回攻擊的方法。
Respond(回應)：這個動作是指在發生任何事件(event)時，在它成為事故前應涵蓋在事故回應計劃之內。

那麼實體安全上又有那些威脅，從最大的範圍一路到中心核心，最大的範圍像是自然的環境，次之則是工具系統
再來就是人為的問題了…
Natural/Environmental(自然環境):像是考慮大自然的問題，例如水災、颱風、地震，在整個環境之前，
應先針對所在的地點問題加以防範，例如：台灣地處於地震帶，又是容易有颱風及海洋型氣侯，那麼在選擇機房設置時
當然要特別設計，若將機房設置在地下室，如果到時侯因為颱風淹水時呢?再來，海洋型氣侯空氣較為鹽濕
那麼備份的磁帶應該要置放於更好的保存環境，再來因為地震發生的問題，像是921，台北不少地方都有崩塌
那麼在選擇工作處所時，是否要考慮一下建築物的防震系數。
Utility Systems(工具系統):這個是相當容易理解的，像是水電、空調(HVAC)，考慮到有可能因為供電的問題造成電力全失
因此在選擇電力進入配電盤時，應該選擇兩個不同的變電所所提供的電源，而UPS的配置也應該要考慮有所備援
甚至連伺服器所用的雙入電源，也應該選擇兩個不同的電力主線，以免機房電力問題而造成服務中斷，空調的部份
也應考慮到其溼度、溫度(溼度太高設備會鏽蝕、太低會有靜電)，畢竟是給機器散熱用而非給人員使用
因此機房的HVAC不應該讓任何人員都可以操作，而也應該要將人員操作的環境和機房分隔，
以避免影響人員的健康問題
Human-made/Political Events(人為或是政治事件):像是爆炸、故意破壞、偷竊、恐佈攻擊、暴動…等等問題
據IDC的統計，所有的資安事件有80%是人為的因素，例如像誤觸電源、拔錯線…等等問題
此類問題應該建立好的事故回應計劃和好的預防(Preventative)計劃

那麼會有那一些惡意的行為威脅到安全的對策?
Theft(偷竊):針對偷竊的對稱包涵有電子門禁系統(EAC)、入侵偵測(IDS)、門上鎖、鑰匙的控制還有入侵陷阱。
Espionage(商業間碟):商業間碟一定是有特定的目標，最佳的處理方式可以由進入公司的背景確認(background check)、職務輪調(job rotations)。
Dumpster Diving(廢棄物處理):公司內的機密文件的廢棄作法與一般文件應該要有所不同，若以相同的方式，可能對手直接買通清潔公司
將要廢棄的文件直接運往對手那邊，因此在廢棄的重要文件應該要有其廢棄的policy和procedure，例如軍方的做法，銷毀要有監銷官。
Social Engineering and shoulder surfing(社交工程及肩窺):這些問題可以透過教育訓練及其它的相關抽查方法，來驗證是不是有效的教育。
HVAC;Heating, Ventilation and Air Conditioning Access(熱對流及空調存取):如上所提的，機器使用的HVAC應與人員使用的分隔
尤其是針對那些特別的區域應該有良好的控制原則。

經過以上的基本幾項實體環境安全的問題的解說，大家是不是有體會到實體安全不只是只有周星馳電影中的保安問題，更多的議題是在人的問題
因此這些問題都必須透過好的管理規則並且落實，這樣一來，資安不會因為做而做，而變成型式上的空談…

---

Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security

---