11.3.1物理访问的安全管理

    1.物理访问的定义

    物理访问控制是设计用于保护组织防止未授权的访问，并限制只有经过管理阶层授权的人员才能进入。有些授权可能是明显易见的，例如管理阶层授权你拥有锁门的钥匙；有些可能是隐含性的授权，例如你在工作内容中说明你必须访问敏感性的报表及文件。

    2.物理访问的风险来源

    物理访问的风险原因可能会来自有意或无意的违犯，这些风险包括:

    (1)未经授权进入;

    (2)毁损、破坏或窃取设备、财产或文件;

    (3)复制或偷看敏感或有著作权的信息;

    (4)变更敏感性设备及信息;

    (5)公开敏感的信息;

    (6)滥用数据处理资源:

    (7)勒索;

    (8)盗用。

    3.可能的错误或犯罪

    监理工程师要使建设单位认识到可能的错误或犯罪的情形包括有:

    (1)员工经授权或未经授权的访问;

    (2)离职员工;

    (3)有利害关系的外来者，如竞争者、盗窃者、犯罪集团、黑客等;

    (4)无知造成的意外，某些人可能在无知情况下犯下错误(可能是员工或外来者)。

    4.监理安全管理注意事项

    物理访问控制的风险大多可能来自那些恶意或犯罪倾向的行为。在安全监理中值得注意的问题如下:

    (1)硬件设施在合理范围内是否能防止强制入侵;

    (2)计算机设备的钥匙是否有良好的控制以降低未授权者进入的危险;

    (3)智能终端是否上锁或有安全保护，以防止电路板、芯片或计算机被搬移;

    (4)计算机设备在搬动时是否需要设备授权通行的证明。

    物理访问的风险基本是可以事先得到控制的，关键就是怎样落实和实施，也就是制度的管理与落实。这不是监理一方的责任心到位就可以了的，还要建设单位和承建单位在认识上非常重视，齐抓共管才能达到目的。如果其他方没有认识到，监理工程师一定要提出建议和要求。