资讯中心安全管理与实体安全26P

The McGraw-Hill Companies,Inc.,2007資訊中心安全管理與實體安全(Computer Center Management&Physical Security)資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,20072本章內容2.1 前言2.2 人力資源的安全管理2.3 空間環境資源的安全管理2.4 硬體設備資源之安全管理2.5 軟體設備資源之安全管理2.6 侵入者2.7 電腦實體安全的評分與建議 The McGraw-Hill Companies,Inc.,2005資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,200732.1 前言 資訊安全處理要點國際標準(ISO/IEC 17799)第16章。資訊中心的主要任務有:提供高品質的資訊服務 輔助各單位妥善利用資訊設備，以及協助各單位之工作推廣。實體安全是資訊中心安全管理重要的環。資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,20074各行各業仰賴電腦日深 歹徒不需特殊專業能力即可威脅資訊安全 以防萬一(天有不測風雲)實體安全的重要性：2.1 前言資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,20075實體安全措施 防護 門禁管制 防止入侵或破壞 安全防護軟體 員工的教育小心謹慎，安全第一資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,200762.2 人力資源的安全管理資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,20077軟體開發組 軟體開發組:亦稱為系統發展組，主要任務為開發管理資訊系統，以輔助各單位工作之進行。主要成員有系統分析師與程式設計師，爲防止偷開後門，程式文件與程式稽核則相當的重要。稽核人員審核系統或程式是否存在漏洞 程式完成後由稽核人員審查程式原始碼是否與文件刊載相符，是否存在不相干之程式碼。由稽核人員與程式設計師共同將原始碼編譯成執行檔。定期稽核程式是否被竄改。資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,20078系統管理組 主要任務就是讓電腦設備和系統可以有效率的運作。找出影響效能的問題，並且以最經濟快速的方法來提升效能。隨時監控系統，以了解目前系統運作的狀況。審慎的查核使用者申請註冊的資料，員工離職時需要及時註銷該員工之使用權限。隨時檢查是否有不明人士試圖登入系統。定期稽核記錄檔(Log File)以檢查是否有異狀。定期檢查網路線路是否有異常。定期備份資料並且管制。資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,20079技術支援組與推廣教育組 技術支援組:支援各單位解決電腦設備之問題 在技術人員維修電腦後要立即更換密碼。推廣教育組:推展資訊教育。資訊安全管理組:負責整體資訊系統的安全管理。稽核小組:稽核資訊中心設備和系統是否有安全漏洞，爲避免不必要的干擾，稽核小組通常不是資訊中心之專屬單位。資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,200710電腦機房環境不良 溫度：20OC-25OC 濕度：40%-60%落塵：(磁碟機)停電、雷擊 機房位置規劃不當:避免電場與磁場干擾，避免靜電。火災:異地備援 地震:水患:納莉風災把捷運行控中心(B4)摧毀影響實體安全種類2.3 空間環境資源之安全管理資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,200711電腦系統故障最短時間內，讓系統恢復正常運作 預防重於保養、保養重於修理 設備復原：Cold Site、Hot Site 容錯系統(Fault Tolerance):兩套一模一樣 的系統同時運作。網路斷線:防止偷接竊聽，維持網路暢通不正常使用2.4 硬體設備資源之安全管理資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,200712企業持續計畫 企業持續計畫(BCP，Business Continuity Planning)的主要意涵是在確定大型災難發生後的復原與存在機制。例如整棟樓垮了，或921,911之類的大事件。國內外都有些關於異地備援的規定，台灣在30公里以外(國外則是30英哩以外)，需有異地備援機制。備援的內容至少包含資料與系統程式，當發生異狀時必須具備恢復正常運作的能力，異地備援系統和機構系統須具備相同的安全等級。資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,200713異地備援 在倫敦市中心的作業方式是組織會在外地租一個地方，它可提供三種備援服務，分別是Hot Site、Warm Site以及Cold Site。Hot Site:此項服務是公司或業務有的系統，在備援端那邊也會有個同樣的系統；因此，若是公司系統出狀況，即可馬上啟動另一邊的系統。Warm Site:只提供設備，但系統等還是得自己架，如果發生事件時，必需啟動BCP，及時派遣IT人員去那邊架設恢復系統，那麼營業人員則可在一小時後接手運作。Cold Site:沒提供任何服務，只是場地的出租。如果發生事件，則IT人員就帶著系統到備援端架設並恢復系統，營業人員亦是帶著自己的筆記型電腦親自過去測試。價格上而言，Hot Site是屬24小時的服務，價格較貴，相對而言，Warm Site的價格約一半，Cold Site則更低。資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,200714 ping www.nchu.edu.tw EnterPinging www.nchu.edu.tw 140.120.1.20 with 32 bytes of data:Reply from 140.120.1.20:bytes=32 time1ms TTL=242Reply from 140.120.1.20:bytes=32 time1ms TTL=242Reply from 140.120.1.20:bytes=32 time1ms TTL=242Reply from 140.120.1.20:bytes=32 time ping-t www.nchu.edu.tw Enter 表示會一直送資料測試，一直到由使用者中斷它(同時 按Ctrl及C鍵)，才會停止測試。ping-n 10 www.nchu.edu.tw Enter 表示會做十次測試，一般不指定時僅做四次測試。ping-l 64 www.nchu.edu.tw Enter 表示每次以64位元組資料做測試。ping-i 10 www.nchu.edu.tw Enter 表示此測試僅能通過十個網站，若超過十個網站尚未到 達，則停止此次測試，一般不指定時為256。Ping指令其他選項(Option)功能資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,200716 ping-w 1000 www.nchu.edu.tw Enter 表示此測試等待對方網址回應時間為1000毫秒，若超過 1000毫秒尚未回應，則顯示下列訊息：Request timed out 超過時間(Request timed out)未回覆的可能原因有下列三種：二個網站間路徑或網站，目前處於堵塞或故障狀況。對方網站目前是關機或故障狀況。對方網站目前很忙碌。Ping指令其他選項(Option)功能(續)資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,2007172.5 軟體設備資源之安全管理 包括作業系統(Operation System)、公用程式(Utility)或工具(Tool)、管理資訊應用系統、以及使用者資料之安全管理。資料備份對企業和組織而言是非常重要的。資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,200718資料備份依資料備份的頻率來區分1.日備份(Daily Backup)2.週備份(Weekly Backup)3.月備份(Monthly Backup)4.季備份(Quarterly Backup)資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,200719根據備份資料的重要性來區份1.完整備份(Completely Backup)2.選擇式備份(Selective Backup)或差異備份3.迴轉式備份(Revolving Backup)-資料存放的時間資料備份（續）資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,200720異地備援的主要特徵：異地存放 同步傳輸異地備援需要特別注意的事項：資料備份儲存系統必須不耗用主機系統資源及效能 資料在網路上傳輸時必須做適當的安全防護措施異地備援資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,200721個人資料的備份個人資料備份的媒介：光碟 網路儲存設備備份策略：日備份 週備份 月備份資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,200722敏感媒體的處理常用銷毀各種媒體設備如下：碎紙機 磁性資料的清除-將磁碟或磁帶重寫(Overwrite)多次 消磁性體-消磁資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,200723非法侵入者會造成三種問題：盜竊機器或資料 破壞機器 閱讀機密資料 防止非法侵入者入侵：盜竊的防止 防止攜出 外出檢測 人員進出管制2.6 侵入者(Intruder)資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,200724建築物場所位置的考慮：所處樓層是否遠離發電廠或變電所。所處樓層是否不易遭受水患。行政管理方面：對進出主機房人員之管制方式及身份的限制方式。在維護廠商進行維護時陪伴人員之身份。對於superuser密碼持有人之管理。資訊中心人員有意見時反應之管道是否順暢。資訊中心成員離職時的處理程序。資訊中心人員職務代理人員制度。對系統維護之措施。對資源之保險措施是否有明確制度。2.7 電腦實體安全的評分與建議資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,200725系統管理及軟體安全方面：作業系統是否有專人管理。系統之備份(back up)多久執行一次。對於電腦病毒如何處理。電腦操作及資料安全方面：對電腦設備操作訓練及資訊安全相關課程。對電腦設備操作程序是否有說明文件。操作人員、值班人員的安排方式。檔案、磁碟、磁帶的報銷及銷售管制。電腦系統各設備及通信網路設備的檢查測試。對於使用之資源資訊的各級分類情形。電腦實體安全的評分與建議（續）資訊中心安全管理與實體安全 The McGraw-Hill Companies,Inc.,200726行政院頒訂之所屬各機關資訊安全管理規範1.資訊安全政策訂定 2.資訊安全權責分工3.人員管理及資訊安全教育訓練4.電腦系統安全管理5.網路安全管理6.系統存取控制管理7.系統發展及維護安全管理8.資訊資產安全管理9.實體及環境安全管理10.業務永續運作計畫管理11.其他資訊安全管理事項