資訊中心安全管理與實體安全

(ComputerCenterManagement&PhysicalSecurity)資訊中心安全管理與實體安全

(ComputerCenter本章內容2.1前言2.2人力資源的安全管理2.3空間環境資源的安全管理2.4硬體設備資源之安全管理2.5軟體設備資源之安全管理2.6侵入者2.7電腦實體安全的評分與建議?TheMcGraw-HillCompanies,Inc.,20052本章內容2.1前言?TheMcGraw-Hil2.1前言資訊安全處理要點國際標準(ISO/IEC17799)第16章。資訊中心的主要任務有:提供高品質的資訊服務輔助各單位妥善利用資訊設備，以及協助各單位之工作推廣。實體安全是資訊中心安全管理重要的ㄧ環。32.1前言資訊安全處理要點國際標準(ISO/IEC177

各行各業仰賴電腦日深歹徒不需特殊專業能力即可威脅資訊安全以防萬一(天有不測風雲)實體安全的重要性：2.1前言4各行各業仰賴電腦日深實體安全的重要性：2.1前言4實體安全措施防護門禁管制防止入侵或破壞安全防護軟體員工的教育小心謹慎，安全第一5實體安全措施防護52.2人力資源的安全管理62.2人力資源的安全管理6軟體開發組軟體開發組:亦稱為系統發展組，主要任務為開發管理資訊系統，以輔助各單位工作之進行。主要成員有系統分析師與程式設計師，爲防止偷開後門，程式文件與程式稽核則相當的重要。稽核人員審核系統或程式是否存在漏洞程式完成後由稽核人員審查程式原始碼是否與文件刊載相符，是否存在不相干之程式碼。由稽核人員與程式設計師共同將原始碼編譯成執行檔。定期稽核程式是否被竄改。7軟體開發組軟體開發組:亦稱為系統發展組，主要任務為開發管理系統管理組主要任務就是讓電腦設備和系統可以有效率的運作。找出影響效能的問題，並且以最經濟快速的方法來提升效能。隨時監控系統，以了解目前系統運作的狀況。審慎的查核使用者申請註冊的資料，員工離職時需要及時註銷該員工之使用權限。隨時檢查是否有不明人士試圖登入系統。定期稽核記錄檔(LogFile)以檢查是否有異狀。定期檢查網路線路是否有異常。定期備份資料並且管制。8系統管理組主要任務就是讓電腦設備和系統可以有效率的運作。8技術支援組與推廣教育組技術支援組:支援各單位解決電腦設備之問題在技術人員維修電腦後要立即更換密碼。推廣教育組:推展資訊教育。資訊安全管理組:負責整體資訊系統的安全管理。稽核小組:稽核資訊中心設備和系統是否有安全漏洞，爲避免不必要的干擾，稽核小組通常不是資訊中心之專屬單位。9技術支援組與推廣教育組技術支援組:支援各單位解決電腦設備之

電腦機房環境不良

溫度：20OC-25OC

濕度：40%-60%

落塵：(磁碟機)停電、雷擊機房位置規劃不當:避免電場與磁場干擾，避免靜電。火災:異地備援地震:水患:納莉風災把捷運行控中心(B4)摧毀影響實體安全種類2.3空間環境資源之安全管理10電腦機房環境不良影響實體安全種類2.3空間環境資源之安

電腦系統故障最短時間內，讓系統恢復正常運作

預防重於保養、保養重於修理

設備復原：ColdSite、HotSite

容錯系統(FaultTolerance):兩套一模一樣 的系統同時運作。網路斷線:防止偷接竊聽，維持網路暢通不正常使用2.4硬體設備資源之安全管理11電腦系統故障最短時間內，讓系統恢復正常運作2.4硬企業持續計畫企業持續計畫(BCP，BusinessContinuityPlanning)的主要意涵是在確定大型災難發生後的復原與存在機制。例如整棟樓垮了，或921,911之類的大事件。國內外都有些關於異地備援的規定，臺灣在30公里以外(國外則是30英哩以外)，需有異地備援機制。備援的內容至少包含資料與系統程式，當發生異狀時必須具備恢復正常運作的能力，異地備援系統和機構系統須具備相同的安全等級。12企業持續計畫企業持續計畫(BCP，BusinessCon異地備援在倫敦市中心的作業方式是組織會在外地租一個地方，它可提供三種備援服務，分別是HotSite、WarmSite以及ColdSite。HotSite:此項服務是公司或業務有的系統，在備援端那邊也會有個同樣的系統；因此，若是公司系統出狀況，即可馬上啟動另一邊的系統。WarmSite:只提供設備，但系統等還是得自己架，如果發生事件時，必需啟動BCP，及時派遣IT人員去那邊架設恢復系統，那麼營業人員則可在一小時後接手運作。ColdSite:沒提供任何服務，只是場地的出租。如果發生事件，則IT人員就帶著系統到備援端架設並恢復系統，營業人員亦是帶著自己的筆記型電腦親自過去測試。價格上而言，HotSite是屬24小時的服務，價格較貴，相對而言，WarmSite的價格約一半，ColdSite則更低。13異地備援在倫敦市中心的作業方式是組織會在外地租一個地方，它可>ping.tw[Enter]Pinging.tw[0]with32bytesofdata:Replyfrom0:bytes=32time<1msTTL=242Replyfrom0:bytes=32time<1msTTL=242Replyfrom0:bytes=32time<1msTTL=242Replyfrom0:bytes=32time<1msTTL=242

測試四次、每次以32Bytes資料測試、TTL:TimetoLive尚可再經過之站數。(初值255,已經過14站，因此255- 14+1=242)

當Ping之網路位址不存在時，則回應錯誤訊息BadIPaddress.jp網路品質監測軟體Ping14>ping.tw[Enter]>ping-t.tw[Enter]表示會一直送資料測試，一直到由使用者中斷它(同時按Ctrl及C鍵)，才會停止測試。>ping-n10.tw[Enter]表示會做十次測試，一般不指定時僅做四次測試。>ping-l64.tw[Enter]表示每次以64位元組資料做測試。>ping-i10.tw[Enter]表示此測試僅能通過十個網站，若超過十個網站尚未到達，則停止此次測試，一般不指定時為256。Ping指令其他選項(Option)功能15>ping-t.tw[Ent>ping-w1000.tw[Enter]表示此測試等待對方網址回應時間為1000毫秒，若超過1000毫秒尚未回應，則顯示下列訊息：Requesttimedout超過時間(Requesttimedout)未回覆的可能原因有下列三種：

二個網站間路徑或網站，目前處於堵塞或故障狀況。

對方網站目前是關機或故障狀況。

對方網站目前很忙碌。Ping指令其他選項(Option)功能(續)16>ping-w1000.tw2.5軟體設備資源之安全管理包括作業系統(OperationSystem)、公用程式(Utility)或工具(Tool)、管理資訊應用系統、以及使用者資料之安全管理。資料備份對企業和組織而言是非常重要的。172.5軟體設備資源之安全管理包括作業系統(Operatio資料備份依資料備份的頻率來區分日備份(DailyBackup)週備份(WeeklyBackup)月備份(MonthlyBackup)季備份(QuarterlyBackup)18資料備份依資料備份的頻率來區分18根據備份資料的重要性來區份完整備份(CompletelyBackup)選擇式備份(SelectiveBackup)或差異備份迴轉式備份(RevolvingBackup)-資料存放的時間資料備份（續）19根據備份資料的重要性來區份資料備份（續）19

異地備援的主要特徵：

異地存放

同步傳輸

異地備援需要特別注意的事項：

資料備份儲存系統必須不耗用主機系統資源 及效能

資料在網路上傳輸時必須做適當的安全防護 措施異地備援20異地備援的主要特徵：異地備援20個人資料的備份

個人資料備份的媒介：

光碟

網路儲存設備

備份策略：

日備份

週備份

月備份21個人資料的備份個人資料備份的媒介：備份策略：21敏感媒體的處理

常用銷毀各種媒體設備如下：

碎紙機

磁性資料的清除-將磁碟或磁帶重寫(Overwrite)多次

消磁性體-消磁22敏感媒體的處理常用銷毀各種媒體設備如下：22

非法侵入者會造成三種問題：

盜竊機器或資料

破壞機器

閱讀機密資料

防止非法侵入者入侵：

盜竊的防止

防止攜出

外出檢測

人員進出管制2.6侵入者(Intruder)23非法侵入者會造成三種問題：2.6侵入者(Intrude

建築物場所位置的考慮：

所處樓層是否遠離發電廠或變電所。

所處樓層是否不易遭受水患。

行政管理方面：

對進出主機房人員之管制方式及身份的限制方式。

在維護廠商進行維護時陪伴人員之身份。

對於superuser密碼持有人之管理。

資訊中心人員有意見時反應之管道是否順暢。

資訊中心成員離職時的處理程序。

資訊中心人員職務代理人員制度。

對系統維護之措施。

對資源之保險措施是否有明確制度。2.7電腦實體安全的評分與建議24建築物場所位置的考慮：2.7電腦實體安全的評分與建議2

系統管理及軟體安全方面：

作業系統是否有專人管理。

系統之備份(backup)多久執行一次。

對於電腦病毒如何處理。

電腦操作及資料安全方面：

對電腦設備操作訓練及資訊安全相關課程。

對電腦設備操作程序是否有說明文件。

操作人員、值班人員的安排方式。

檔案、磁碟、磁帶的報銷及銷售管制。

電腦系統各設備及通信網路設