当前位置: 首页 > article >正文

xxx **5. 物理安全** 详细解读

article 2025/3/17 22:11:18

5. 物理安全 详细解读

本章节主要评估xxx 有限公司在 物理安全 方面的控制措施,包括对敏感资产(物理和信息)的保护、访问控制、监控以及应急响应等方面。以下是详细解读:

1. 安全计划 (5.1 Security plan)

评估结果: C- (基本合规)

主要内容:

  • 安全区域划分:

    • 站点基于安全概念进行设计,

      采用了适当的安全区域划分系统

      • 整个站点被划分为

        七个级别的安全区域

        在站点平面图上进行了映射

        • 例如,办公区、非安全生产区、高安全生产区等。

    • 控制矩阵:

      • 开发了一个控制矩阵,清晰显示了哪些物理安全控制措施适用于不同的安全区域

      • 不足: 控制矩阵 未包含或引用在站点安全政策中,这可能导致安全策略与实际执行之间存在脱节。

改进建议:

  • 建议将控制矩阵纳入站点安全政策,并确保所有相关人员都了解其内容,以便在日常运营中有效实施。

  • 建议定期审查和更新安全区域划分和控制矩阵,以反映站点布局或安全需求的变化。

2. 物理保护 (5.2 Physical protection)

评估结果: NC → C- (从不符合到基本合规)

主要内容:

  • 建筑安全:

    • 站点位于

      独立工业园区/科技园的多租户建筑内

      • 园区入口和 三栋两层制造建筑(1 号、2 号和 3 号)构成整个园区。

      • xxx 的晶圆个性化活动位于 3 号楼

      • 3 号楼的其余部分(包括二楼西半部分)由与 xxx 没有直接关联但由同一母公司拥有的公司占用。

  • 人员入口控制:

    • xxx xxx 区域有 一个人员入口点,通过一个 受控的门 从一个 专用楼梯间 进入,该楼梯间连接到 一楼公共可进入的共享入口大厅(地面层)。

    • 改进措施:

      • xxx 对旋转门结构进行了改造,增加了 不锈钢栏杆

      • 栏杆的定位 防止未经授权的人员使用旋转门的背面绕过访问控制机制

      • 不足:

        • 审核员指出,旋转门 未安装任何物理屏障,以防止人员在旋转门内完成一次完整旋转。

        • 未经保护的反向流动 可能会被用来以与授权用户相反的方向通过旋转门。

        • 改进措施:

          • 由于每次访问的旋转有限,未经授权的通过 只有在两名授权用户以相反方向通过时才能实现

  • 高安全区域访问控制:

    • 高安全区域

      通过仓库走廊

      进入。

      • 仓库走廊 通过一堵墙上的门 从办公室和非安全生产区进入,该墙还将走廊分为两个不同的区域。

      • 墙壁上还包含一个 紧急出口门(见下文)。

      • 门禁控制:

        • 两扇门都作为 SAS-UP 区域访问控制系统的一部分受到监控。

        • 进入高安全生产区域是通过 单向人阱门 作为站点电子访问控制系统的一部分。

        • 一旦通过人阱,就进入 IT1 和外包装室。 一个小型洁净环境更衣室也位于该区域。

      • 人阱管理:

        • 改进措施:

          • xxx 修订了人阱手动覆盖的管理方式。

          • 安全控制室工作人员现在必须 每次使用人阱的手动覆盖功能时填写纸质登记表

          • 使用覆盖的原因 必须记录在登记表中

          • 不足:

            • 审核期间,审核员演示了 绕过视频分析系统 的可能性,使得两名审核员能够 同时进入

            • 审核员使用 xxx 员工对陷阱门进行重新测试时,无法重现漏洞

            • 审核员指出,

              人阱手动覆盖事件的管理流程

              需要改进

              • 每次使用手动覆盖功能时,必须在登记表中记录使用原因

              • 站点安全经理应每周审查系统事件日志,并将手动覆盖事件与安全控制室操作员维护的记录进行比较。

  • 紧急出口:

    • 改进措施:

      • 审核期间,审核员观察到,紧急出口门的锁定机制 在审核结束前已修复

    • 紧急出口配置:

      • 从高安全区域有两个紧急出口。

      • 一扇门提供了一条从高安全个性化车间到 xxx 用于非安全生产活动的通用测试车间的逃生路线。 这条紧急出口路线从非安全生产车间继续延伸到仓库走廊。

      • 第二扇紧急出口门安装在单向人阱旁边,直接通向仓库走廊。

      • 从仓库到仓库走廊有一个紧急出口。

    • 监控:

      • 所有紧急出口门都作为站点入侵者检测系统的一部分受到监控。

      • 紧急出口门 通常看起来是适当的构造

    • 报警:

      • 打开紧急出口会触发 本地报警安全控制室的报警

  • 视频监控系统 (CCTV):

    • xxx

      xxx 运营着一个由

      44 个基于 IP 的摄像头

      组成的

      CCTV

      系统,

      涵盖

      SAS-UP

      活动范围内的区域,

      以及二楼两个入口的外部视图。

      • 覆盖范围:

        • 高安全生产区域,包括个性化车间、包装和洁净室更衣区、IT 室和走廊。

        • 仓库、仓库走廊和安全控制室。

      • 非安全生产区域:

        • 使用单独的 CCTV 系统提供覆盖范围。

        • 该系统与高安全区域系统设计相似,并从同一安全控制室访问和监控,但具有一些不同的配置设置,包括更短的记录保留期。

      • 图像质量:

        • 对样本摄像头的配置审查显示,所有摄像头都以 25fps 的速度记录图像。

        • 物理安全文档指出,摄像头配置为以 10 到 25fps 的速度记录。

        • 摄像头图像 始终配置为记录

        • 审核期间,样本摄像头有 90 天的记录图像可用

      • 参考图片:

        • 内部和外部摄像头的参考图片都已到位,并在审核时是最新的。

      • 图像质量检查:

        • 存在基本的图像质量检查流程。

        • 审核员了解到,控制室警卫每天在交接班过程中都会检查实时图像质量,并将图像与参考图片进行验证,并由物理安全经理每月进行检查。

      • 图像检索:

        • 审核期间,xxx xxx 安全人员展示了从 CCTV 录制设备中检索历史记录图像的能力。

      • 设备安全:

        • CCTV 的前端设备(NVR)和电子访问控制系统 安全地放置在安全控制室内的锁定机架中

改进建议:

  • 建议改进人阱管理流程,例如,实施更严格的访问控制措施或定期审查人阱事件日志。

  • 建议加强对紧急出口的安全控制,例如,确保所有紧急出口门都配备适当的锁定机制,并定期检查其功能。

  • 建议改进 CCTV 系统的覆盖范围和图像质量,以确保能够有效监控所有关键区域。

  • 建议定期测试 CCTV 系统的图像检索功能,以确保其可靠性。

3. 访问控制 (5.3 Access control)

评估结果: NC → C- (从不符合到基本合规)

主要内容:

  • 人员访问控制:

    • 改进措施:

      • 区域所有者每月审查并重新确认 员工对其区域的访问权限是否仍然需要。

      • 访问权限审查流程已更新:

        • 员工访问权限 从访问控制系统 提取出来,并 由部门主管进行个别审查

        • 屏幕截图 直接从系统界面 截取,并用于与访问批准记录进行比较。

        • 访问控制矩阵 在员工访问权限检查的同时 被审查并签名

        • xxx 提供了证据,证明员工访问权限在 8 月底按照定义的过程进行了检查和签名。

    • 不足:

      • 审核员指出,访问权限配置与访问控制系统的配置之间 没有直接联系

  • 访客访问控制:

    • 改进措施:

      • 访客访问权限 根据每次访问的需要 授予,并且 仅在访问期间 授予。

      • 访客卡 仅提供通过 单向人阱门 的访问。

      • 访客卡 在每次警卫交接班过程中 进行核对

    • 其他控制措施:

      • 所有 UICC 生产都发生在 整体安全区域内,进入该区域使用 单向人阱门,强制执行防尾随和防反向通过。

      • 访问控制系统 报告失败的访问尝试、防反向通过违规、门保持打开和强制开门事件

      • 材料进入高安全晶圆个性化车间 通过 三个受控的材料传递传递箱。 每个材料传递箱都使用 配备读卡器的两扇互锁门,并由访问控制系统管理。

      • 改进措施:

        • 审核员指出,材料传递箱的电源供应 已进行修改,以防止电源被断开。

        • 存在 每月检查访问控制系统硬件的流程

        • 存在 管理物理钥匙的流程

  • 其他访问控制措施:

    • 钥匙管理:

      • 存在 发放和审计所有钥匙的流程

    • 安全人员:

      • 安全人员通常由供应商雇用。 在这种情况下,职责应明确记录,并且 应提供必要的工具和培训

      • 对安全人员进行 适当的安全培训

      • 安装了 死机报警系统,如果警卫未每 15 分钟向专用读卡器出示其访问卡,则会生成报警。

      • 该报警作为站点入侵报警系统的一部分集成。 死机系统的报警配置为向安全控制室发送通知短信。

      • 定义了 响应流程,包括联系安全控制室以确认状态。

      • 如果无法联系控制室,CISO 和安全经理必须到场以确定状态。

改进建议:

  • 建议加强人员访问控制,例如,实施更严格的访问权限审查流程或加强对访客的管理。

  • 建议改进钥匙管理流程,例如,实施更严格的钥匙发放和回收程序。

  • 建议加强对安全人员的监督,例如,定期审查安全人员的职责和培训情况。

4. 内部审计与控制 (5.4 Internal audit and control)

评估结果: C- (基本合规)

主要内容:

  • 物理安全控制的审计

    作为整体内部审计

    系统的一部分包含

    在内。

    • 审核员指出,SAS-UP 审计期间提出的几项观察结果 未在内部审计中识别出来

    • 建议 xxx 考虑 审查审计计划,以确保内部审计具有足够的严谨性和频率,以识别整体安全管理系统中的任何弱点。

改进建议:

  • 建议加强对物理安全控制的内部审计,例如,增加审计频率或扩大审计范围。

  • 建议改进内部审计流程,以确保有效识别潜在的安全问题。

5. 总结

本章节评估了xxx 有限公司在物理安全方面的控制措施。 总体而言,公司在安全区域划分、人员访问控制、紧急出口管理等方面表现出良好的合规性,但在人阱管理、CCTV 系统覆盖范围和图像质量等方面存在一些不足。 建议公司根据审核员提出的建议,采取措施加强物理安全措施,以确保其安全性和合规性。


http://www.kler.cn/a/576203.html

相关文章:

  • mybatis报错org/apache/commons/lang3/tuple/Pair] with root cause
  • React基础之Redux
  • wx122基于ssm+vue+uniapp的食堂线上预约点餐系统小程序
  • 【Python机器学习】1.7. 逻辑回归理论(进阶):多维度(因子)逻辑回归问题、决策边界、交叉熵损失函数、最小化损失函数
  • 26-小迪安全-模块引用,mvc框架,渲染,数据联动0-rce安全
  • go切片定义和初始化
  • VUE2表单检验及提示的消除
  • 迷你世界脚本自定义UI接口:Customui
  • dify中使用NL2SQL
  • 更新Vim使其支持系统剪切板
  • 探秘沃尔什-哈达玛变换(WHT)原理
  • 【蓝桥杯】每天一题,理解逻辑(3/90)【Leetcode 快乐数】
  • 初识Qt · 信号与槽 · 基础知识
  • K8s 1.27.1 实战系列(四)验证集群及应用部署测试
  • Redis 中配置账号密码是通过设置 `requirepass` 参数来实现
  • 解决VMWare无法打开虚拟机——内部错误
  • NewStar CTF week3 web wp
  • 【算法系列】桶排序算法介绍及实现
  • 永洪科技深度分析实战,零售企业的销量预测
  • MySQL 数据目录迁移导致启动失败