實體安全,那不就是保安囉!保安!保安~~!這個不是周星馳的電影,實體安全是資訊安全防止竊取等等的事件,
可能在實際環境上會發生的問題,進而威脅到資訊安全,因此在於實體安全是一個相當重要的議題,
那麼在安全的金三角中可以說A.I.C.是三者並重,但是…在實體安全之上有一個特別的規範那個叫做”People first”(人命關天) …
實體安全,那不就是保安囉!保安!保安~~!這個不是周星馳的電影,實體安全是資訊安全防止竊取等等的事件,
可能在實際環境上會發生的問題,進而威脅到資訊安全,因此在於實體安全是一個相當重要的議題
那麼在安全的金三角中可以說A.I.C.是三者並重,但是…在實體安全之上有一個特別的規範那個叫做”People first”(人命關天)
因此有關威脅到人命的問題,都必須以人為最先安全,例如機房著火,不可能叫管理人員去滅火
警衛可能會有遇到帶槍的入侵者,因此最好有防彈的設備或設施。
那麼做實體安全上的主要目的有那些呢?deter(威嚇)、delay(延遲)、detect(偵查)、assess(評估)、Respond(回應)
deter(威嚇):主要是讓攻擊者或入侵者打消意念。
delay(延遲):增加偵查的時間及增加回應的時間和機會。
detect(偵查):偵測雖然是推測攻擊者的意圖,但我們不可能一直延遲攻擊者去做任何攻擊的動作,偵測必須更加有效且即時。
assess(評估):是比較舊的說法,指第一份的回報一般而言都是警告,第一次偵測時,往往需要時間去評估次回攻擊的方法。
Respond(回應):這個動作是指在發生任何事件(event)時,在它成為事故前應涵蓋在事故回應計劃之內。
那麼實體安全上又有那些威脅,從最大的範圍一路到中心核心,最大的範圍像是自然的環境,次之則是工具系統
再來就是人為的問題了…
Natural/Environmental(自然環境):像是考慮大自然的問題,例如水災、颱風、地震,在整個環境之前,
應先針對所在的地點問題加以防範,例如:台灣地處於地震帶,又是容易有颱風及海洋型氣侯,那麼在選擇機房設置時
當然要特別設計,若將機房設置在地下室,如果到時侯因為颱風淹水時呢?再來,海洋型氣侯空氣較為鹽濕
那麼備份的磁帶應該要置放於更好的保存環境,再來因為地震發生的問題,像是921,台北不少地方都有崩塌
那麼在選擇工作處所時,是否要考慮一下建築物的防震系數。
Utility Systems(工具系統):這個是相當容易理解的,像是水電、空調(HVAC),考慮到有可能因為供電的問題造成電力全失
因此在選擇電力進入配電盤時,應該選擇兩個不同的變電所所提供的電源,而UPS的配置也應該要考慮有所備援
甚至連伺服器所用的雙入電源,也應該選擇兩個不同的電力主線,以免機房電力問題而造成服務中斷,空調的部份
也應考慮到其溼度、溫度(溼度太高設備會鏽蝕、太低會有靜電),畢竟是給機器散熱用而非給人員使用
因此機房的HVAC不應該讓任何人員都可以操作,而也應該要將人員操作的環境和機房分隔,
以避免影響人員的健康問題
Human-made/Political Events(人為或是政治事件):像是爆炸、故意破壞、偷竊、恐佈攻擊、暴動…等等問題
據IDC的統計,所有的資安事件有80%是人為的因素,例如像誤觸電源、拔錯線…等等問題
此類問題應該建立好的事故回應計劃和好的預防(Preventative)計劃
那麼會有那一些惡意的行為威脅到安全的對策?
Theft(偷竊):針對偷竊的對稱包涵有電子門禁系統(EAC)、入侵偵測(IDS)、門上鎖、鑰匙的控制還有入侵陷阱。
Espionage(商業間碟):商業間碟一定是有特定的目標,最佳的處理方式可以由進入公司的背景確認(background check)、職務輪調(job rotations)。
Dumpster Diving(廢棄物處理):公司內的機密文件的廢棄作法與一般文件應該要有所不同,若以相同的方式,可能對手直接買通清潔公司
將要廢棄的文件直接運往對手那邊,因此在廢棄的重要文件應該要有其廢棄的policy和procedure,例如軍方的做法,銷毀要有監銷官。
Social Engineering and shoulder surfing(社交工程及肩窺):這些問題可以透過教育訓練及其它的相關抽查方法,來驗證是不是有效的教育。
HVAC;Heating, Ventilation and Air Conditioning Access(熱對流及空調存取):如上所提的,機器使用的HVAC應與人員使用的分隔
尤其是針對那些特別的區域應該有良好的控制原則。
經過以上的基本幾項實體環境安全的問題的解說,大家是不是有體會到實體安全不只是只有周星馳電影中的保安問題,更多的議題是在人的問題
因此這些問題都必須透過好的管理規則並且落實,這樣一來,資安不會因為做而做,而變成型式上的空談…
Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security