An ninh môi trường vật lý
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.08 MB, 49 trang )
AN NINH MÔI TRƯỜNG VẬT LÝ
(PHYSICAL SECURITY)
Nhóm trình bày:
•
Nguyễn Hoàng Thành 11320979
•
Nguyễn Đình Minh 11320970
•
Tạ Việt Phương 11320978
•
Phạm Lê Hoàng Thông 11320981
•
Đoàn Thanh Huy 10320984
GVHD: Trương Quỳnh Chi
1
Nội dung
1. Giới thiệu
2. Các khu vực an toàn
3. Đảm bảo an toàn trang thiết bị
4. Các bước xây dựng an ninh môi trường vật lý
5. Kết luận
6. Tài liệu tham khảo
2
Nội dung
1. Giới thiệu
2. Các khu vực an toàn
3. Đảm bảo an toàn trang thiết bị
4. Các bước xây dựng an ninh môi trường vật lý
5. Kết luận
6. Tài liệu tham khảo
3
An ninh vật lý
An ninh vật lý mô tả các biện pháp được thiết kế để từ
chối (ngăn chặn) truy cập trái phép về vật lý (bao gồm
những kẻ tấn công, thậm chí những người xâm nhập tình
cờ) vào một tòa nhà, phòng, tài nguyên, hoặc nơi lưu trữ
thông tin; và hướng dẫn làm thế nào để thiết kế các cấu
trúc để chống lại các hành vi phá hoại tiềm ẩn [1] An ninh
vật lý có thể đơn giản như là khóa một cánh cửa hoặc là
phức tạp hơn như nhiều lớp hàng rào bảo vệ an ninh. [2]
.
4
An ninh vật lý
An ninh vật lý cũng bao gồm bảo vệ phòng chống cháy
nổ, thiên tai, trộm cắp, phá hoại, và khủng bố
Đây là một yếu tố quan trọng của bảo mật máy tính, và
biện pháp an ninh vật lý có thể là:
• Vật lý: các biện pháp vật lý được thực hiện để bảo
đảm tài sản
• Kỹ thuật: biện pháp kỹ thuật được thực hiện để đảm
bảo các dịch vụ và các yếu tố hỗ trợ IT
• Hoạt động: thông thường các biện pháp an ninh được
thực hiện trước khi thực hiện một hoạt động chẳng hạn
như phân tích các mối đe dọa của một hoạt động và tiến
hành các biện pháp đối phó thích hợp
5
Để ngăn chặn bất kỳ truy
cập trái phép vào hệ thống
máy tính
Để ngăn chặn việc giả mạo
hoặc ăn cắp dữ liệu
Để bảo vệ sự toàn vẹn của
dữ liệu
Để phòng tránh sự mất mát
dữ liệu, hư hỏng hệ thống do
thiên tai
Tại sao lại cần an ninh vật lý?
6
Ai chịu trách nhiệm về an ninh vật lý ?
•
Trong hầu hết các tổ chức, không có một người duy
nhất chịu trách nhiệm về an ninhvật lý
•
Những người phải được thực hiện trách nhiệm đối
với an ninh của một doanh nghiệp bao gồm cả an
ninh vật lý và an toàn thông tin là:
•
Security officer
•
Người phân tích hệ thống thông tin
•
CIO
7
Đánh cắp
các thông
tin nhận
dạng
•
Shoulder surfing
•
Dumpster diving
•
…
Sơ hở
Một số nguy cơ
8
HUMAN FACTORS
Động
đất
Cháy
Lũ
lụt
Sét
Nước
Một số nguy cơ
9
NATURAL
FACTORS
ISO 27001
ISO 27001 là một chuẩn quốc tế về quản lý bảo
mật thông tin do tổ chức chất lượng quốc tế và
hội đồng quản lý điện tử quốc tế xuất bản tháng
10/2005.
Giáo sư Ted Humphreys,người khai sinh chuẩn
ISO27001.
10
ISO 27001
Chính sách an ninh (Security Policy)
Tổ chức an ninh (Security Organization)
Phân loại và kiểm soát tài sản (Asset Classification and Control)
An ninh nhân sự (Personnel Security)
An ninh môi trường và vật lý (Physical and Enviromental
Security)
Quản lý tác nghiệp và truyền thông (Communications and
Operations Management)
Kiểm soát truy cập (Access Control)
Duy trì và phát triển các hệ thống (Systems Development and
Maintenance)
Quản lý sự liên tục trong kinh doanh (Business Continuity
Management)
Tuânthủ (Compliance)
11
Nội dung
1. Giới thiệu
2. Các khu vực an toàn
3. Đảm bảo an toàn trang thiết bị
4. Các bước xây dựng an ninh môi trường vật lý
5. Kết luận
6. Tài liệu tham khảo
12
An ninh khu vực (Secure area)
13
Bộ Control A.9.1 là bộ các tiêu chuẩn quy định về an ninh khu vực.
Ngăn cấm việc truy cập trái phép, gây tổn hại đến cơ sở vật chất và
thông tin của tổ chức.
Gồm 6 tiêu chuẩn:
•
Control A.9.1.1 Vành đai an ninh
•
Control A.9.1.2 Kiểm soát ra vào
•
Control A.9.1.3 An toàn trong văn phòng và phương tiện làm việc
•
Control A.9.1.4 Chống lại mối đe dọa bên ngoài
•
Control A.9.1.5 Qui định khi làm việc
•
Control A.9.1.6 Kiểm soát khu vực giao nhận
Control A.9.1.1: Vành đai an ninh
14
•
Xác định vùng cần được bảo vệ
•
Bao bọc bằng tường hay rào chắn chiều cao khoảng 7 ft
•
Tường rào có thể bị cắt, hoặc đào đường hầm xuyên qua
•
Hệ thống phát hiện xâm nhập (camera, cảm biến) và báo
động
•
Bảo vệ và giám sát cổng ra vào
•
Vùng trống cũng phải được giám sát.
Control A.9.1.1: Vành đai an ninh
15
Control A.9.1.1: Vành đai an ninh
16
Control A.9.1.2: Kiểm soát ra vào
17
•
Phải xác thực danh tính người ra vào.
•
Ghi lại thời gian ra/vào của nhân viên
và khách
•
Nhân viên và khách phải đeo thẻ nhận
dạng và được cấp quyền vào khu vực
tương ứng.
•
Các khu vực chứa thông tin quan
trọng cần được giám sát.
Control A.9.1.2: Kiểm soát ra vào
18
•
Thường xuyên xem xét lại quyền truy
cập đến khu vực bị giới hạn
•
Nhân viên an ninh phải được huấn
luyện theo chính sách của tổ chức sử
dụng
Control A.9.1.3: An ninh văn phòng và thiết bị
19
•
Giới hạn việc truy cập vào các phòng ban hoặc thiết bị quan
trọng. VD: phòng server, máy móc, phòng giám đốc, phòng
HR, tài chính, nguồn điện.
•
Các tòa nhà cần hạn chế các chỉ dẫn về sự hiện diện của
thông tin quan trọng.
•
Danh sách các địa điểm có các tài sản
thông tin nhạy cảm không để công khai
•
Các hệ thống nhận dạng sự xâm nhập
được cài đặt cẩn thận và được kiểm tra
thường xuyên, đặt ở vị trí thích hợp
