An ninh môi trường vật lý

An ninh môi trường vật lý

AN NINH MÔI TRƯỜNG VẬT LÝ

•Phạm Lê Hoàng Thông 11320981

GVHD: Trương Quỳnh Chi

1

Nội dung

1 Giới thiệu

2 Các khu vực an toàn

3 Đảm bảo an toàn trang thiết bị

4 Các bước xây dựng an ninh môi trường vật lý

5 Kết luận

6 Tài liệu tham khảo

2

Nội dung

1 Giới thiệu

2 Các khu vực an toàn

3 Đảm bảo an toàn trang thiết bị

4 Các bước xây dựng an ninh môi trường vật lý

5 Kết luận

6 Tài liệu tham khảo

3

An ninh vật lý

An ninh vật lý mô tả các biện pháp được thiết kế để từ chối (ngăn chặn) truy cập trái phép về vật lý (bao gồm những kẻ tấn công, thậm chí những người xâm nhập tình cờ) vào một tòa nhà, phòng, tài nguyên, hoặc nơi lưu trữ thông tin; và hướng dẫn làm thế nào để thiết kế các cấu trúc để chống lại các hành vi phá hoại tiềm ẩn [1] An ninh vật lý có thể đơn giản như là khóa một cánh cửa hoặc là phức tạp hơn như nhiều lớp hàng rào bảo vệ an ninh [2]

.

4

An ninh vật lý

An ninh vật lý cũng bao gồm bảo vệ phòng chống cháy

nổ, thiên tai, trộm cắp, phá hoại, và khủng bố Đây là một yếu tố quan trọng của bảo mật máy tính, và biện pháp an ninh vật lý có thể là:

• Vật lý: các biện pháp vật lý được thực hiện để bảo đảm tài sản

• Kỹ thuật: biện pháp kỹ thuật được thực hiện để đảm bảo các dịch vụ và các yếu tố hỗ trợ IT

• Hoạt động: thông thường các biện pháp an ninh được thực hiện trước khi thực hiện một hoạt động chẳng hạn như phân tích các mối đe dọa của một hoạt động và tiến hành các biện pháp đối phó thích hợp

5

Để ngăn chặn bất kỳ truy cập trái phép vào hệ thống

máy tính

Để ngăn chặn việc giả mạo

hoặc ăn cắp dữ liệu

Để bảo vệ sự toàn vẹn của

Ai chịu trách nhiệm về an ninh vật lý ?

• Trong hầu hết các tổ chức, không có một người duy

nhất chịu trách nhiệm về an ninhvật lý

• Những người phải được thực hiện trách nhiệm đối

với an ninh của một doanh nghiệp bao gồm cả an ninh vật lý và an toàn thông tin là:

• Security officer

• Người phân tích hệ thống thông tin

• CIO

7

Đánh cắp các thông tin nhận dạng

• Shoulder surfing

• Dumpster diving

• …

Sơ hởMột số nguy cơ

8

HUMAN FACTORS

Động đất

Cháy

Lũ lụt

ISO 27001

 ISO 27001 là một chuẩn quốc tế về quản lý bảo

mật thông tin do tổ chức chất lượng quốc tế và hội đồng quản lý điện tử quốc tế xuất bản tháng 10/2005.

 Giáo sư Ted Humphreys,người khai sinh chuẩn

ISO27001.

10

ISO 27001

 Chính sách an ninh (Security Policy)

 Tổ chức an ninh (Security Organization)

 Phân loại và kiểm soát tài sản (Asset Classification and Control)

 An ninh nhân sự (Personnel Security)

 An ninh môi trường và vật lý (Physical and Enviromental Security)

 Quản lý tác nghiệp và truyền thông (Communications and Operations Management)

 Kiểm soát truy cập (Access Control)

 Duy trì và phát triển các hệ thống (Systems Development and Maintenance)

 Quản lý sự liên tục trong kinh doanh (Business Continuity Management)

 Tuânthủ (Compliance)

11

Nội dung

1 Giới thiệu

2 Các khu vực an toàn

3 Đảm bảo an toàn trang thiết bị

4 Các bước xây dựng an ninh môi trường vật lý

5 Kết luận

6 Tài liệu tham khảo

12

An ninh khu vực (Secure area)

13

Bộ Control A.9.1 là bộ các tiêu chuẩn quy định về an ninh khu vực Ngăn cấm việc truy cập trái phép, gây tổn hại đến cơ sở vật chất và thông tin của tổ chức.

Gồm 6 tiêu chuẩn:

• Control A.9.1.1 Vành đai an ninh

• Control A.9.1.2 Kiểm soát ra vào

• Control A.9.1.3 An toàn trong văn phòng và phương tiện làm việc

• Control A.9.1.4 Chống lại mối đe dọa bên ngoài

• Control A.9.1.5 Qui định khi làm việc

• Control A.9.1.6 Kiểm soát khu vực giao nhận

Control A.9.1.1: Vành đai an ninh

14

• Xác định vùng cần được bảo vệ

• Bao bọc bằng tường hay rào chắn chiều cao khoảng 7 ft

• Tường rào có thể bị cắt, hoặc đào đường hầm xuyên qua

• Hệ thống phát hiện xâm nhập (camera, cảm biến) và báo

động

• Bảo vệ và giám sát cổng ra vào

• Vùng trống cũng phải được giám sát.

Control A.9.1.1: Vành đai an ninh

15

Control A.9.1.1: Vành đai an ninh

16

Control A.9.1.2: Kiểm soát ra vào

17

• Phải xác thực danh tính người ra vào.

• Ghi lại thời gian ra/vào của nhân viên

và khách

• Nhân viên và khách phải đeo thẻ nhận

dạng và được cấp quyền vào khu vực tương ứng

• Các khu vực chứa thông tin quan

trọng cần được giám sát

Control A.9.1.2: Kiểm soát ra vào

Control A.9.1.3: An ninh văn phòng và thiết bị

19

• Giới hạn việc truy cập vào các phòng ban hoặc thiết bị quan

trọng VD: phòng server, máy móc, phòng giám đốc, phòng

HR, tài chính, nguồn điện

• Các tòa nhà cần hạn chế các chỉ dẫn về sự hiện diện của

thông tin quan trọng

• Danh sách các địa điểm có các tài sản thông tin nhạy cảm không để công khai

• Các hệ thống nhận dạng sự xâm nhập được cài đặt cẩn thận và được kiểm tra thường xuyên, đặt ở vị trí thích hợp

• Các thiết bị hỗ trợ (fax, máy photo…) cần đặt tại các vị trí

thích hợp trong các khu vực an toàn

• Các vật liệu dễ cháy, nguy hiểm cần đặt tại các nơi an toàn, ở

các khoảng cách xa với khu vực này

• Các thiết bị dự trữ và các phương tiện back-up cần được đặt tại những nơi có khoảng trống an toàn

• Cửa sổ, cửa ra vào

cần được khóa khi không có người

Control A.9.1.3: An ninh văn phòng và thiết bị

Control A.9.1.4: Chống lại mối đe dọa bên ngoài

• Hỏa hoạn, biểu tình, khủng bố …

Đồng thời, yêu cầu tổ chức phải đảm bảo các điều kiện phù hợp về sức khỏe và an toàn

Control A.9.1.5:Quy định làm việc trong khu vực an ninh

22

Control A.9.1.5:Quy định làm việc trong khu vực an ninh

23

• Chỉ những nhân viên có trách nhiệm làm việc mới biết vị trí

của những khu vực an ninh

• Luôn có hệ thống an ninh giám sát các hoạt động Và cần

kiểm tra hệ thống này theo định kì

• Luôn luôn khóa các khu vực an ninh.

• Nhân viên của nhà cung cấp dịch vụ nên bị hạn chế truy cập

vào phòng an ninh, và phải được giám sát

• Không cho phép mang theo các thiết bị có khả năng ghi âm

hoặc ghi hình khi vào các khu vực này

• Bổ sung thêm các quy định khi cần thiết

Control A.9.1.6: Kiểm soát khu vực giao nhận

24

Control A.9.1.6: Kiểm soát khu vực giao nhận

25

Control A.9.1.6 yêu cầu kiểm soát khu vực giao nhận, nơi có thể có rất nhiều người đi qua lại, khó kiểm soát:

• Nơi giao nhận hàng được thiết kế sao cho nhân viên giao

hàng không thể truy cập/ra vào khu vực khác

• Giới hạn việc truy cập cho một số cá nhân được xác thực

• Khu vực giao nhận hàng nên cách ly với khu vực khác, và

Nội dung

1 Giới thiệu

2 Các khu vực an toàn

3 Đảm bảo an toàn trang thiết bị

4 Các bước xây dựng an ninh môi trường vật lý

5 Kết luận

6 Tài liệu tham khảo

26

Control A.9.2 : Đảm bảo an toàn trang thiết bị

 Mục tiêu: ngăn ngừa sự mất mát, hư hại, đánh cắp hoặc lợi dụng tài sản, và

sự gián đoạn hoạt động của tổ chức.

 Trang thiết bị cần được bảo vệ trước các mối đe dọa vật lý và môi trường

 Gồm 7 tiêu chuẩn:

• Control A.9.2.1 Bố trí và bảo vệ thiết bị

• Control A.9.2.2 Các tiện tích hỗ trợ

• Control A.9.2.3 An toàn cho dây cáp

• Control A.9.2.4 Bảo dưỡng thiết bị

• Control A.9.2.5 An toàn cho thiết bị hoạt động bên ngoài trụ sở của tổ chức

• Control A.9.2.6 An toàn khi loại bỏ hoặc tái sử dụng thiết bị

• Control A.9.2.7 Di dời tài sản

27

Control A.9.2.1: Bố trí và bảo vệ thiết bị

 Thiết bị được bố trí tại các điểm an toàn hoặc được bảo vệ

nhằm giảm thiểu các rủi ro do các hiểm họa từ môi trường hay truy cập trái phép

 Thiết bị cần sự bảo vệ đặc biệt cần được đặt riêng

 Các biện pháp quản lý nhằm giảm thiểu những rủi ro từ môi

trường như động đất, hỏa hoạn, lụt lội, sét đánh, mất điện, các hành động phá hoại, đánh cắp,… và phải đảm bảo tính liên tục tùy vào thiết bị.

 Qui định không nên ăn uống, hút thuốc trong phòng chứa

thiết bị xử lý thông tin.

28

 Các phương tiện xử lý thông tin cần giám sát điều kiện

môi trường như nhiệt độ và độ ẩm

 Sử dụng biện pháp chống sét cho tất cả các tòa nhà,

bộ lọc sét cần phù hợp với đường dây thông tin và dây nguồn

Control A.9.2.1: Bố trí và bảo vệ thiết bị (tt)

29

Control A.9.2.2: Các tiện ích hỗ trợ

 Ngăn ngừa các sự cố về nguồn điện hoặc bị gián đoạn

hoạt động có nguyên nhân từ tiện ích hỗ trợ

 Hướng dẫn:

 Sử dụng UPS và máy phát điện dự phòng và các thiết

bị backup

 Hệ thống automat chuyển mạch tự động

 Các công tắc điện khẩn cấp cần được đặt ở vị trí gần

các lối thoát hiểm trong các phòng thiết bị nhằm hỗ trợ tắt nguồn nhanh chóng trong trường hợp khẩn cấp

 Nguồn cung cấp nước: ổn định và phù hợp để hỗ trợ

các hệ thống thiết bị như điều hòa, làm ẩm, dập lửa

 Thiết bị viễn thông: sử dụng ít nhất là 2 tuyến

 Tất cả thiết bị cần được kiểm tra định kỳ

30

Control A.9.2.2: Các tiện ích hỗ trợ

Control A.9.2.3: An toàn cho dây cáp

 Cáp truyền thông mang dữ liệu, dây dẫn nguồn điện phải

được bảo vệ khỏi xâm phạm hoặc hư hại

 Đánh dấu cáp và thiết bị để hạn chế lỗi khi sửa chữa

 Sử dụng tài liệu danh sách đấu nối nhằm giảm thiểu

khả năng xảy ra lỗi

32

Control A.9.2.3: An toàn cho dây cáp (tt)

 Đối với các hệ thống quan trọng: lắp dẫn ống bằng cốt

sắt, sử dụng phòng hoặc hộp có khóa tại các điểm kết cuối và các điểm có nghi ngờ; sử dụng tấm chắn điện từ; kiểm tra kĩ thuật và rà soát vật lý trên đường cáp;

33

Control A.9.2.4: Bảo dưỡng thiết bị

Thiết bị cần bảo dưỡng đúng quy cách nhằm đảm bảo

luôn sẵn sàng và toàn vẹn

Hướng dẫn:

 Bảo dưỡng theo định kỳ và tuân theo các chỉ tiêu kỹ

thuật dịch vụ được nhà cung cấp khuyến nghị

 Cá nhân bảo trì hợp pháp mới được sửa chữa và bảo dưỡng

 Lưu báo cáo về các lỗi thực sự hoặc lỗi khả nghi và

quá trình bảo dưỡng phòng ngừa và khắc phục

 Có biện pháp quản lý phù hợp khi bảo trì thiết bị

 Cần tuân thủ yêu cầu được cấp bởi chính sách bảo

hiểm

34

Control A.9.2.5 An toàn cho thiết bị hoạt động bên ngoài trụ sở của tổ chức

 Yêu cầu tổ chức áp dụng các thủ tục và biện pháp để bảo vệ

an toàn cho các thiết bị sử dụng bên ngoài trụ sở tổ chức.

 Hướng dẫn:

 Việc sử dụng các thiết bị lưu trữ và xử lý thông bên ngoài trụ

sở tổ chức phải được phê duyệt chính thức bởi cấp quản lý

 Thiết bị và phương tiện khi được mang ra ngoài trụ sở thì

không cần gây chú ý ở nơi công cộng

 Thực thi các hướng dẫn về bảo vệ thiết bị của nhà sản xuất

 Các biện pháp quản lý khi làm việc tại nhà cần được xác

định qua đánh giá rủi ro và áp dụng các biện pháp quản lý phù hợp

 Sử dụng hình thức bọc bảo vệ phù hợp nhằm bảo vệ thiết bị ở

bên ngoài trụ sở

35

Control A.9.2.6 An toàn khi loại bỏ hoặc tái sử dụng thiết bị

trên thiết bị cần được xóa/ghi đè trước khi hủy/ tái sử dụng thiết bị.

 Các thiết bị chứa thông tin nhạy cảm nên bị

hủy bỏ về mặt vật lý hoặc thông tin trong đó nên bị hủy bỏ, bị xóa bỏ hoặc bị ghi đè bằng các kỹ thuật làm cho thông tin ban đầu không thể khôi phục được nữa, chứ không dùng chức năng xóa hoặc format thông thường.

36

Control A.9.2.6 An toàn khi loại bỏ hoặc tái sử dụng thiết bị

Control A.9.2.7 Di dời tài sản

 Yêu cầu tổ chức đảm bảo thiết bị, thông tin, phần

mềm không được di dời khỏi trụ sở (nơi nó được bố trí) mà chưa được phép.

 Hướng dẫn:

 Không nên mang thiết bị, thông tin hoặc phần mềm ra

khỏi trụ sở khi chưa được phép

 Cần xác định rõ các nhân viên, người của nhà thầu và

bên thứ ba được phép mang tài sản ra khỏi trụ sở

 Cần xác định giới hạn thời gian thiết bị được di dời và

phải kiểm tra việc tuân thủ

 Khi cần thiết và thích hợp thì cần ghi vào sổ mỗi khi

thiết bị được mang ra ngoài và khi được trả lại

38

Nội dung

1 Giới thiệu

2 Các khu vực an toàn

3 Đảm bảo an toàn trang thiết bị

4 Các bước xây dựng an ninh môi trường vật lý

5 Kết luận

6 Tài liệu tham khảo

39

Các bước xây dựng an ninh môi trường vật lý

40

 Xác định các mục tiêu cần bảo đảm an ninh

 Xác định các nguy cơ

 Thiết kế, xây dựng hệ thống bảo vệ

 Xây dựng các tiêu chuẩn đo lường đánh giá

 Giám sát, đánh giá hiệu quả của hệ thống.

Xác định các nguy cơ

 Các mối đe dọa từ môi trường tự nhiên: Lũ lụt, động

đất, bão và lốc xoáy, cháy, điều kiện nhiệt độ khắc nghiệt…

 Gián đoạn năng lượng: sự cố về phân phối điện, thông

tin liên lạc, và gián đoạn các nguồn năng lượng tự nhiên khác như nước, hơi nước và khí đốt.

 Các truy cập trái phép (cả nội bộ và bên ngoài): cháy

nổ, tai nạn, sai sót của nhân viên, phá hoại, gian lận, trộm cắp…

 Mối đe dọa chính trị thúc đẩy cuộc đình công, bạo động,

bất tuân dân sự, khủng bố các cuộc tấn công và đánh bom,…

42

Thiết kế, xây dựng hệ thống bảo vệ

Xây dựng các tiêu chuẩn đo lường đánh giá

Giám sát, đánh giá hiệu quả của hệ thống

 Cần liên tục giám sát và đánh giá hiệu quả.

 Cập nhập liên tục các nguy cơ mới

 cập nhật hệ thống an ninh.

 Thông tin cần được phổ biến cho các nhân

viên.

 Các yêu cầu đối với hệ thống an ninh có thể

được đề xuất từ nhân viên

 Các lỗi trong hệ thống an ninh có thể được

phát hiện/báo cáo từ nhân viên.

45

Nội dung

1 Giới thiệu

2 Các khu vực an toàn

3 Đảm bảo an toàn trang thiết bị

4 Các bước xây dựng an ninh môi trường vật lý

5 Kết luận

6 Tài liệu tham khảo

46

Tài liệu tham khảo

[1] Task Committee; Structural Engineering Institute (1999) Structural Design for Physical Security ASCE ISBN 978-0-7844- 0457-7.

[2] "Home Safety Tips" Yourlocalsecurity.com Retrieved 2011-03-31 [3] Alan Calder and Setve Watkins IT Governance – A manager’s Guide to Data Security and ISO 27001 and ISO 27002 – chapter 10 [4] Auerbach Information Security Management Handbook 6th Edition May 2007 – chapter 4

48

Thank you !