iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 5
0

今日的爆笑藝能界

阿狗:那個管機房的阿僕,別人來稽核問,機房主機有幾台?有哪些相關防護呢?

管機房的阿僕:我不知道,要問工程師。

阿狗:那機房有那些管理的程序。

管機房的阿僕:我老了,我忘了,這好像是資安要做的吧?

阿狗:那你總是要跟我說機房怎麼管理的吧?有幾台主機,主機是誰的...

管機房的阿僕:這個問題問我也不知道,從我來接機房就沒再管了...

阿狗心理OS:$%#$%#$%#$%#$

(以上純屬虛構,如有雷同自行腦補~!)


機房的管理是所有的根本

機房的管理是所有資安防護的根本,實務上真正做好的機關,少之又少,加上最大甲(假)方疊層架屋的架構與城牆式的資安設備防護策略(也是一種疊層架屋),俗話說的好,身體差牽拖天氣,衣服穿一件不夠會冷,那就穿兩件,穿兩件不夠就穿三件,其實體質已經有問題了,病可以從口入,也可以從鼻孔入了...

資安金字塔(好用的圖,會一直出現)

https://ithelp.ithome.com.tw/upload/images/20200903/20102269DeaHKfCnJD.jpg

本篇從資安法的機房管理談起,首先在第4天的文章中已經說明,資安法有一部分是ISO27001的框架,也就是俗稱的ISMS(Information Security Management. System)是一套有系統地分析和管理資訊安全的文件系統(註:當然也有電子化系統,不過這是一套文件制度規範系統為主)。下面簡單扼要地說明機房管理的重點:

  • 實體環境管理(消防、機電、防水防災、溫溼度、備援電力、門禁...)
  • 主機盤點與資產盤點 <--多數的單位都無法落實。
  • AD與GCB(GPO)的規則與管控(這點是非常重要,重要!!)
  • WSUS派送更新或安全性弱點更新等

上述列舉短短幾點,不過光是這幾點要能做好,即是非常不容易,更何況還有搭配的網路管理
註:上述的機房管理是以500台以上的主機機房


小結

機房管理看似簡單,卻是資安管理中的基本功,引用<從資通安全責任等級分級推動,看製造商應如何重新思索「產品安全」(上)>文章中的一段話:

目前要求各級得配置一定的全職安全人員,要求 A、B 級單位限期兩年內導入資訊安全管理系統「CNS 27001」,並在三年內完成第三方安全認證。這些要求只是資安的最低標準,光是盤點網路設備、進出口門禁等基本門檻,就難以落實。


上一篇
異(公)界轉生資安狗奴隸的第4天:資安法大補帖,一帖搞定
下一篇
異(公)界轉生資安狗奴隸的第6天:網路管理與資安法的關係
系列文
異(公)界轉生資安狗奴隸!?用30天了解資安法、資訊安全管理(ISMS)、工業控制資訊安全9

尚未有邦友留言

立即登入留言