An ninh môi trường vật lý
Trang 1AN NINH MÔI TRƯỜNG VẬT LÝ
•Phạm Lê Hoàng Thông 11320981
GVHD: Trương Quỳnh Chi
1
Trang 2Nội dung
1 Giới thiệu
2 Các khu vực an toàn
3 Đảm bảo an toàn trang thiết bị
4 Các bước xây dựng an ninh môi trường vật lý
5 Kết luận
6 Tài liệu tham khảo
2
Trang 3Nội dung
1 Giới thiệu
2 Các khu vực an toàn
3 Đảm bảo an toàn trang thiết bị
4 Các bước xây dựng an ninh môi trường vật lý
5 Kết luận
6 Tài liệu tham khảo
3
Trang 4An ninh vật lý
An ninh vật lý mô tả các biện pháp được thiết kế để từ chối (ngăn chặn) truy cập trái phép về vật lý (bao gồm những kẻ tấn công, thậm chí những người xâm nhập tình cờ) vào một tòa nhà, phòng, tài nguyên, hoặc nơi lưu trữ thông tin; và hướng dẫn làm thế nào để thiết kế các cấu trúc để chống lại các hành vi phá hoại tiềm ẩn [1] An ninh vật lý có thể đơn giản như là khóa một cánh cửa hoặc là phức tạp hơn như nhiều lớp hàng rào bảo vệ an ninh [2]
.
4
Trang 5An ninh vật lý
An ninh vật lý cũng bao gồm bảo vệ phòng chống cháy
nổ, thiên tai, trộm cắp, phá hoại, và khủng bố Đây là một yếu tố quan trọng của bảo mật máy tính, và biện pháp an ninh vật lý có thể là:
• Vật lý: các biện pháp vật lý được thực hiện để bảo đảm tài sản
• Kỹ thuật: biện pháp kỹ thuật được thực hiện để đảm bảo các dịch vụ và các yếu tố hỗ trợ IT
• Hoạt động: thông thường các biện pháp an ninh được thực hiện trước khi thực hiện một hoạt động chẳng hạn như phân tích các mối đe dọa của một hoạt động và tiến hành các biện pháp đối phó thích hợp
5
Trang 6Để ngăn chặn bất kỳ truy cập trái phép vào hệ thống
máy tính
Để ngăn chặn việc giả mạo
hoặc ăn cắp dữ liệu
Để bảo vệ sự toàn vẹn của
Trang 7Ai chịu trách nhiệm về an ninh vật lý ?
• Trong hầu hết các tổ chức, không có một người duy
nhất chịu trách nhiệm về an ninhvật lý
• Những người phải được thực hiện trách nhiệm đối
với an ninh của một doanh nghiệp bao gồm cả an ninh vật lý và an toàn thông tin là:
• Security officer
• Người phân tích hệ thống thông tin
• CIO
7
Trang 8Đánh cắp các thông tin nhận dạng
• Shoulder surfing
• Dumpster diving
• …
Sơ hởMột số nguy cơ
8
HUMAN FACTORS
Trang 9Động đất
Cháy
Lũ lụt
Trang 10ISO 27001
ISO 27001 là một chuẩn quốc tế về quản lý bảo
mật thông tin do tổ chức chất lượng quốc tế và hội đồng quản lý điện tử quốc tế xuất bản tháng 10/2005.
Giáo sư Ted Humphreys,người khai sinh chuẩn
ISO27001.
10
Trang 11ISO 27001
Chính sách an ninh (Security Policy)
Tổ chức an ninh (Security Organization)
Phân loại và kiểm soát tài sản (Asset Classification and Control)
An ninh nhân sự (Personnel Security)
An ninh môi trường và vật lý (Physical and Enviromental Security)
Quản lý tác nghiệp và truyền thông (Communications and Operations Management)
Kiểm soát truy cập (Access Control)
Duy trì và phát triển các hệ thống (Systems Development and Maintenance)
Quản lý sự liên tục trong kinh doanh (Business Continuity Management)
Tuânthủ (Compliance)
11
Trang 12Nội dung
1 Giới thiệu
2 Các khu vực an toàn
3 Đảm bảo an toàn trang thiết bị
4 Các bước xây dựng an ninh môi trường vật lý
5 Kết luận
6 Tài liệu tham khảo
12
Trang 13An ninh khu vực (Secure area)
13
Bộ Control A.9.1 là bộ các tiêu chuẩn quy định về an ninh khu vực Ngăn cấm việc truy cập trái phép, gây tổn hại đến cơ sở vật chất và thông tin của tổ chức.
Gồm 6 tiêu chuẩn:
• Control A.9.1.1 Vành đai an ninh
• Control A.9.1.2 Kiểm soát ra vào
• Control A.9.1.3 An toàn trong văn phòng và phương tiện làm việc
• Control A.9.1.4 Chống lại mối đe dọa bên ngoài
• Control A.9.1.5 Qui định khi làm việc
• Control A.9.1.6 Kiểm soát khu vực giao nhận
Trang 14Control A.9.1.1: Vành đai an ninh
14
• Xác định vùng cần được bảo vệ
• Bao bọc bằng tường hay rào chắn chiều cao khoảng 7 ft
• Tường rào có thể bị cắt, hoặc đào đường hầm xuyên qua
• Hệ thống phát hiện xâm nhập (camera, cảm biến) và báo
động
• Bảo vệ và giám sát cổng ra vào
• Vùng trống cũng phải được giám sát.
Trang 15Control A.9.1.1: Vành đai an ninh
15
Trang 16Control A.9.1.1: Vành đai an ninh
16
Trang 17Control A.9.1.2: Kiểm soát ra vào
17
• Phải xác thực danh tính người ra vào.
• Ghi lại thời gian ra/vào của nhân viên
và khách
• Nhân viên và khách phải đeo thẻ nhận
dạng và được cấp quyền vào khu vực tương ứng
• Các khu vực chứa thông tin quan
trọng cần được giám sát
Trang 18Control A.9.1.2: Kiểm soát ra vào
Trang 19Control A.9.1.3: An ninh văn phòng và thiết bị
19
• Giới hạn việc truy cập vào các phòng ban hoặc thiết bị quan
trọng VD: phòng server, máy móc, phòng giám đốc, phòng
HR, tài chính, nguồn điện
• Các tòa nhà cần hạn chế các chỉ dẫn về sự hiện diện của
thông tin quan trọng
• Danh sách các địa điểm có các tài sản thông tin nhạy cảm không để công khai
• Các hệ thống nhận dạng sự xâm nhập được cài đặt cẩn thận và được kiểm tra thường xuyên, đặt ở vị trí thích hợp
Trang 20• Các thiết bị hỗ trợ (fax, máy photo…) cần đặt tại các vị trí
thích hợp trong các khu vực an toàn
• Các vật liệu dễ cháy, nguy hiểm cần đặt tại các nơi an toàn, ở
các khoảng cách xa với khu vực này
• Các thiết bị dự trữ và các phương tiện back-up cần được đặt tại những nơi có khoảng trống an toàn
• Cửa sổ, cửa ra vào
cần được khóa khi không có người
Control A.9.1.3: An ninh văn phòng và thiết bị
Trang 21Control A.9.1.4: Chống lại mối đe dọa bên ngoài
• Hỏa hoạn, biểu tình, khủng bố …
Đồng thời, yêu cầu tổ chức phải đảm bảo các điều kiện phù hợp về sức khỏe và an toàn
Trang 22Control A.9.1.5:Quy định làm việc trong khu vực an ninh
22
Trang 23Control A.9.1.5:Quy định làm việc trong khu vực an ninh
23
• Chỉ những nhân viên có trách nhiệm làm việc mới biết vị trí
của những khu vực an ninh
• Luôn có hệ thống an ninh giám sát các hoạt động Và cần
kiểm tra hệ thống này theo định kì
• Luôn luôn khóa các khu vực an ninh.
• Nhân viên của nhà cung cấp dịch vụ nên bị hạn chế truy cập
vào phòng an ninh, và phải được giám sát
• Không cho phép mang theo các thiết bị có khả năng ghi âm
hoặc ghi hình khi vào các khu vực này
• Bổ sung thêm các quy định khi cần thiết
Trang 24Control A.9.1.6: Kiểm soát khu vực giao nhận
24
Trang 25Control A.9.1.6: Kiểm soát khu vực giao nhận
25
Control A.9.1.6 yêu cầu kiểm soát khu vực giao nhận, nơi có thể có rất nhiều người đi qua lại, khó kiểm soát:
• Nơi giao nhận hàng được thiết kế sao cho nhân viên giao
hàng không thể truy cập/ra vào khu vực khác
• Giới hạn việc truy cập cho một số cá nhân được xác thực
• Khu vực giao nhận hàng nên cách ly với khu vực khác, và
Trang 26Nội dung
1 Giới thiệu
2 Các khu vực an toàn
3 Đảm bảo an toàn trang thiết bị
4 Các bước xây dựng an ninh môi trường vật lý
5 Kết luận
6 Tài liệu tham khảo
26
Trang 27Control A.9.2 : Đảm bảo an toàn trang thiết bị
Mục tiêu: ngăn ngừa sự mất mát, hư hại, đánh cắp hoặc lợi dụng tài sản, và
sự gián đoạn hoạt động của tổ chức.
Trang thiết bị cần được bảo vệ trước các mối đe dọa vật lý và môi trường
Gồm 7 tiêu chuẩn:
• Control A.9.2.1 Bố trí và bảo vệ thiết bị
• Control A.9.2.2 Các tiện tích hỗ trợ
• Control A.9.2.3 An toàn cho dây cáp
• Control A.9.2.4 Bảo dưỡng thiết bị
• Control A.9.2.5 An toàn cho thiết bị hoạt động bên ngoài trụ sở của tổ chức
• Control A.9.2.6 An toàn khi loại bỏ hoặc tái sử dụng thiết bị
• Control A.9.2.7 Di dời tài sản
27
Trang 28Control A.9.2.1: Bố trí và bảo vệ thiết bị
Thiết bị được bố trí tại các điểm an toàn hoặc được bảo vệ
nhằm giảm thiểu các rủi ro do các hiểm họa từ môi trường hay truy cập trái phép
Thiết bị cần sự bảo vệ đặc biệt cần được đặt riêng
Các biện pháp quản lý nhằm giảm thiểu những rủi ro từ môi
trường như động đất, hỏa hoạn, lụt lội, sét đánh, mất điện, các hành động phá hoại, đánh cắp,… và phải đảm bảo tính liên tục tùy vào thiết bị.
Qui định không nên ăn uống, hút thuốc trong phòng chứa
thiết bị xử lý thông tin.
28
Trang 29 Các phương tiện xử lý thông tin cần giám sát điều kiện
môi trường như nhiệt độ và độ ẩm
Sử dụng biện pháp chống sét cho tất cả các tòa nhà,
bộ lọc sét cần phù hợp với đường dây thông tin và dây nguồn
Control A.9.2.1: Bố trí và bảo vệ thiết bị (tt)
29
Trang 30Control A.9.2.2: Các tiện ích hỗ trợ
Ngăn ngừa các sự cố về nguồn điện hoặc bị gián đoạn
hoạt động có nguyên nhân từ tiện ích hỗ trợ
Hướng dẫn:
Sử dụng UPS và máy phát điện dự phòng và các thiết
bị backup
Hệ thống automat chuyển mạch tự động
Các công tắc điện khẩn cấp cần được đặt ở vị trí gần
các lối thoát hiểm trong các phòng thiết bị nhằm hỗ trợ tắt nguồn nhanh chóng trong trường hợp khẩn cấp
Nguồn cung cấp nước: ổn định và phù hợp để hỗ trợ
các hệ thống thiết bị như điều hòa, làm ẩm, dập lửa
Thiết bị viễn thông: sử dụng ít nhất là 2 tuyến
Tất cả thiết bị cần được kiểm tra định kỳ
30
Trang 31Control A.9.2.2: Các tiện ích hỗ trợ
Trang 32Control A.9.2.3: An toàn cho dây cáp
Cáp truyền thông mang dữ liệu, dây dẫn nguồn điện phải
được bảo vệ khỏi xâm phạm hoặc hư hại
Đánh dấu cáp và thiết bị để hạn chế lỗi khi sửa chữa
Sử dụng tài liệu danh sách đấu nối nhằm giảm thiểu
khả năng xảy ra lỗi
32
Trang 33Control A.9.2.3: An toàn cho dây cáp (tt)
Đối với các hệ thống quan trọng: lắp dẫn ống bằng cốt
sắt, sử dụng phòng hoặc hộp có khóa tại các điểm kết cuối và các điểm có nghi ngờ; sử dụng tấm chắn điện từ; kiểm tra kĩ thuật và rà soát vật lý trên đường cáp;
33
Trang 34Control A.9.2.4: Bảo dưỡng thiết bị
Thiết bị cần bảo dưỡng đúng quy cách nhằm đảm bảo
luôn sẵn sàng và toàn vẹn
Hướng dẫn:
Bảo dưỡng theo định kỳ và tuân theo các chỉ tiêu kỹ
thuật dịch vụ được nhà cung cấp khuyến nghị
Cá nhân bảo trì hợp pháp mới được sửa chữa và bảo dưỡng
Lưu báo cáo về các lỗi thực sự hoặc lỗi khả nghi và
quá trình bảo dưỡng phòng ngừa và khắc phục
Có biện pháp quản lý phù hợp khi bảo trì thiết bị
Cần tuân thủ yêu cầu được cấp bởi chính sách bảo
hiểm
34
Trang 35Control A.9.2.5 An toàn cho thiết bị hoạt động bên ngoài trụ sở của tổ chức
Yêu cầu tổ chức áp dụng các thủ tục và biện pháp để bảo vệ
an toàn cho các thiết bị sử dụng bên ngoài trụ sở tổ chức.
Hướng dẫn:
Việc sử dụng các thiết bị lưu trữ và xử lý thông bên ngoài trụ
sở tổ chức phải được phê duyệt chính thức bởi cấp quản lý
Thiết bị và phương tiện khi được mang ra ngoài trụ sở thì
không cần gây chú ý ở nơi công cộng
Thực thi các hướng dẫn về bảo vệ thiết bị của nhà sản xuất
Các biện pháp quản lý khi làm việc tại nhà cần được xác
định qua đánh giá rủi ro và áp dụng các biện pháp quản lý phù hợp
Sử dụng hình thức bọc bảo vệ phù hợp nhằm bảo vệ thiết bị ở
bên ngoài trụ sở
35
Trang 36Control A.9.2.6 An toàn khi loại bỏ hoặc tái sử dụng thiết bị
trên thiết bị cần được xóa/ghi đè trước khi hủy/ tái sử dụng thiết bị.
Các thiết bị chứa thông tin nhạy cảm nên bị
hủy bỏ về mặt vật lý hoặc thông tin trong đó nên bị hủy bỏ, bị xóa bỏ hoặc bị ghi đè bằng các kỹ thuật làm cho thông tin ban đầu không thể khôi phục được nữa, chứ không dùng chức năng xóa hoặc format thông thường.
36
Trang 37Control A.9.2.6 An toàn khi loại bỏ hoặc tái sử dụng thiết bị
Trang 38Control A.9.2.7 Di dời tài sản
Yêu cầu tổ chức đảm bảo thiết bị, thông tin, phần
mềm không được di dời khỏi trụ sở (nơi nó được bố trí) mà chưa được phép.
Hướng dẫn:
Không nên mang thiết bị, thông tin hoặc phần mềm ra
khỏi trụ sở khi chưa được phép
Cần xác định rõ các nhân viên, người của nhà thầu và
bên thứ ba được phép mang tài sản ra khỏi trụ sở
Cần xác định giới hạn thời gian thiết bị được di dời và
phải kiểm tra việc tuân thủ
Khi cần thiết và thích hợp thì cần ghi vào sổ mỗi khi
thiết bị được mang ra ngoài và khi được trả lại
38
Trang 39Nội dung
1 Giới thiệu
2 Các khu vực an toàn
3 Đảm bảo an toàn trang thiết bị
4 Các bước xây dựng an ninh môi trường vật lý
5 Kết luận
6 Tài liệu tham khảo
39
Trang 40Các bước xây dựng an ninh môi trường vật lý
40
Xác định các mục tiêu cần bảo đảm an ninh
Xác định các nguy cơ
Thiết kế, xây dựng hệ thống bảo vệ
Xây dựng các tiêu chuẩn đo lường đánh giá
Giám sát, đánh giá hiệu quả của hệ thống.
Trang 42Xác định các nguy cơ
Các mối đe dọa từ môi trường tự nhiên: Lũ lụt, động
đất, bão và lốc xoáy, cháy, điều kiện nhiệt độ khắc nghiệt…
Gián đoạn năng lượng: sự cố về phân phối điện, thông
tin liên lạc, và gián đoạn các nguồn năng lượng tự nhiên khác như nước, hơi nước và khí đốt.
Các truy cập trái phép (cả nội bộ và bên ngoài): cháy
nổ, tai nạn, sai sót của nhân viên, phá hoại, gian lận, trộm cắp…
Mối đe dọa chính trị thúc đẩy cuộc đình công, bạo động,
bất tuân dân sự, khủng bố các cuộc tấn công và đánh bom,…
42
Trang 43Thiết kế, xây dựng hệ thống bảo vệ
Trang 44Xây dựng các tiêu chuẩn đo lường đánh giá
Trang 45Giám sát, đánh giá hiệu quả của hệ thống
Cần liên tục giám sát và đánh giá hiệu quả.
Cập nhập liên tục các nguy cơ mới
cập nhật hệ thống an ninh.
Thông tin cần được phổ biến cho các nhân
viên.
Các yêu cầu đối với hệ thống an ninh có thể
được đề xuất từ nhân viên
Các lỗi trong hệ thống an ninh có thể được
phát hiện/báo cáo từ nhân viên.
45
Trang 46Nội dung
1 Giới thiệu
2 Các khu vực an toàn
3 Đảm bảo an toàn trang thiết bị
4 Các bước xây dựng an ninh môi trường vật lý
5 Kết luận
6 Tài liệu tham khảo
46
Trang 48Tài liệu tham khảo
[1] Task Committee; Structural Engineering Institute (1999) Structural Design for Physical Security ASCE ISBN 978-0-7844- 0457-7.
[2] "Home Safety Tips" Yourlocalsecurity.com Retrieved 2011-03-31 [3] Alan Calder and Setve Watkins IT Governance – A manager’s Guide to Data Security and ISO 27001 and ISO 27002 – chapter 10 [4] Auerbach Information Security Management Handbook 6th Edition May 2007 – chapter 4
48
Trang 49Thank you !