一、要求内容
a)机房出入口应安排专人值守并配置电子门禁系统,控制、鉴别和记录进入的人员;
b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
d)重要区域应配置第二道电子门禁系统,控制、鉴别和记录进入的人员。
二、实施建议
机房进出通过双向电子门禁系统进行控制,可通过门禁电子记录或填写出入记录单的形式记录进出人员和时间,有能力的单位应当增设保安人员在门外值守;机房的内和外部临近入口区域要安装摄像头保证全部范围覆盖,外来人员进入机房应当由专人全程陪同;对于系统较多、机房面积较大的有能力单位应将机房按系统和设备的重要程度划分不同的单独区域进行物理隔离,采用双向电子门禁系统控制,联通各区域间的通道空间便形成机房的过渡缓冲区。
三、常见问题
很多单位的机房仅采用了单向门禁系统,并且对人员进出缺少完整和严格的记录要求;规模较小的机房通常没有安装监控设施。
四、实施难点
增加机房物理访问控制的措施需要较大的资金投入,加之领导对机房安全的重视程度不够,对于众多小企业,对有限的机房空间实施完整的安全访问控制较难实现。
五、测评方法
形式
访谈,检查。
对象
物理安全负责人,机房值守人员,机房,机房设施(电子门禁系统),机房安全管理制度,值守记录,进入机房的登记记录,来访人员进入机房的审批记录,电子门禁系统记录,电子门禁验收文档或安全资质,电子门禁运行维护记录。
实施
a)应访谈物理安全负责人,了解具有哪些控制机房进出的能力;
b)应访谈物理安全负责人,如果业务或安全管理需要,是否对机房进行了划分区域管理,是否对各个区域都有专门的管理要求;是否严格控制来访人员进入或一般不允许来访人员进入;
c)应访谈机房值守人员,询问是否认真执行有关机房出入的管理制度,是否对进入机房的来访人员记录在案;
d)应检查机房安全管理制度,查看是否有关于机房出入方面的规定;
e)应检查机房出入口是否有专人值守,是否有值守记录,以及进出机房的来访人员登记记录;检查机房是否存在电子门禁系统控制之外的出入口;
f)应检查机房,是否有进入机房的人员身份鉴别措施,如戴有可见的身份辨识标识;
g)应检查是否有来访人员进入机房的审批记录,进出机房的有关记录是否保存足够的时间;
h)应检查机房区域划分是否合理,是否在机房重要区域前设置交付或安装等过渡区域;是否对不同区域设置不同机房或者同一机房的不同区域之间设置有效的物理隔离装置(如隔墙等);
i)应检查机房和重要区域配置的电子门禁系统是否有验收文档或产品安全认证资质;
j)应检查每道电子门禁系统是否都能正常工作;查看每道电子门禁系统运行、维护记录;查看监控进入机房的电子门禁系统记录,是否能够鉴别和记录进入的人员身份。
六、参考资料
CISSP知识体系中也讲到了关于物理访问控制的要求:
Proximity protection components are usually put into place to provide one or more of the following services:
• Control of pedestrian and vehicle traffic flows
• Various levels of protection for different security zones
• Buffers and delaying mechanisms to protect against forced entry attempts
• Limit and control entry points
These services can be provided by using the following control types:
• Access control mechanisms Locks and keys, an electronic card access system, personnel awareness
• Physical barriers Fences, gates, walls, doors, windows, protected vents,vehicular barriers
• Intrusion detection Perimeter sensors, interior sensors, annunciation mechanisms
• Assessment Guards, CCTV cameras
• Response Guards, local law enforcement agencies
• Deterrents Signs, lighting, environmental design