信息安全中设备安全保障措施有哪些
信息安全中设备安全保障措施有以下这些:
设备安置和保护:资产的管理者应恰当安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。此项措施的常规控制包括:采取措施最小化物理威胁造成的风险,如火灾、雷电、干扰和电磁辐射等;监测物理环境如温度、湿度的变化;敏感信息处理设备应放置在限制观测的受控区域;隔离需要专门保护的部件。
支持性设施:组织应保护设备免受由支持性设施的失效而引起的电源故障和其他中断。此项措施的常规控制有:确保有足够的支持性设施来支持系统,例如供水、供电、排污和空调等;定期检查和测试支持性设施以确保其正常工作;为关键设备配备不间断电源;为有高可用性要求的系统配置备用发电系统和备用通信线路。
线缆安全:应保证支持信息服务或传输数据的电源线缆和通信线缆免受损坏或窃听。此项措施的常规控制有:利用线缆管道或使路由避开公众区域,以免遭受窃听或损坏;将电源线缆与通信线缆分开以防止干扰;对线缆进行标识;编制并使用文件化配线列表以减少出错的可能。对敏感关键系统,可采取以下方法加强保护:在线缆两端接点处配置带锁的盒子,或锁闭其所在房间;使用防电磁辐射装置保护线缆;对连接线缆的未授权装置进行物理检查和清除;控制对配线盘和线缆室的访问。
设备维护:正确地维护设备,以确保其持续的可用性和完整性。此项措施的常规控制有:按照供应商推荐的服务时间间隔和规范对设备进行维护;只允许已授权的维护人员对设备进行修理和维护,在维护设备之前删除敏感信息或卸下存储介质;保存所有可疑或实际故障以及所有预防和纠正维护的记录等。
组织场所外的设备安全:应对组织场所外的设备采取安全措施,以应对与组织场所内不同的风险。此项措施的常规控制包括:制定将设备带离组织场所以外的指南或程序;将设备带离组织场所之前须经过申请审批;用伪装包携带设备;随身携带设备而不要将其寄存在宾馆、火车站等处;加密存储敏感数据;在外出前备份重要文件。
设备的安全处置和再利用:包含存储介质的设备在处置之前,应该删除或安全地写覆盖其中存储的敏感信息和注册软件。一般情况,应在物理上摧毁包含敏感信息的设备,或者采用使原始信息不可再获取的技术删除或写覆盖,防止设备敏感信息被泄露。
资产的移动:设备、信息或软件在授权之前不应带出、带入组织场所。制定设备移入、移出的管理程序,明确有权移动资产的相关人员,限定设备移动的时间并记录移动情况。未经授权不允许移动组织场所的设备,返回的设备应进行符合性核查。