物理访问控制是设计用于保护组织防止未授权的访问,并限制只有经过管理阶层授权的人员才能进入。有些授权可能是明显易见的,例如管理阶层授权你拥有锁门的钥匙;有些可能是隐含性的授权,例如你在工作内容中说明你必须访问敏感性的报表及文件。
物理访问的风险原因可能会来自有意或无意的违犯,这些风险包括:
(1)未经授权进入;
(2)毁损、破坏或窃取设备、财产或文件;
(3)复制或偷看敏感或有著作权的信息;
(4)变更敏感性设备及信息;
(5)公开敏感的信息;
(6)滥用数据处理资源:
(7)勒索;
(8)盗用。
监理工程师要使建设单位认识到可能的错误或犯罪的情形包括有:
(1)员工经授权或未经授权的访问;
(2)离职员工;
(3)有利害关系的外来者,如竞争者、盗窃者、犯罪集团、黑客等;
(4)无知造成的意外,某些人可能在无知情况下犯下错误(可能是员工或外来者)。
物理访问控制的风险大多可能来自那些恶意或犯罪倾向的行为。在安全监理中值得注意的问题如下:
(1)硬件设施在合理范围内是否能防止强制入侵;
(2)计算机设备的钥匙是否有良好的控制以降低未授权者进入的危险;
(3)智能终端是否上锁或有安全保护,以防止电路板、芯片或计算机被搬移;
(4)计算机设备在搬动时是否需要设备授权通行的证明。
物理访问的风险基本是可以事先得到控制的,关键就是怎样落实和实施,也就是制度的管理与落实。这不是监理一方的责任心到位就可以了的,还要建设单位和承建单位在认识上非常重视,齐抓共管才能达到目的。如果其他方没有认识到,监理工程师一定要提出建议和要求。
各省软考办 | ||||||||||