本文目录导读:

关基安全(关键信息基础设施安全)中的 CISP-PS(国家注册信息安全专业人员-物理安全方向) 认证,其核心是围绕物理安全框架展开的,该框架旨在通过技术、管理和工程手段,确保关键信息基础设施的物理环境(如机房、设备、介质、人员)免受自然或人为威胁。
以下是基于CISP-PS认证及国家相关标准(如《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》、《GB/T 36445-2018 信息技术 安全技术 物理安全要求》)提炼的物理安全框架核心内容:
物理安全框架总体构成
CISP-PS物理安全框架通常分为四个层次和六大核心领域:
四个层次(从外围到核心)
- 区域安全:包括场地选址、周界防护、建筑结构安全。
- 设施安全:包括供配电、温湿度控制、消防、防雷接地。
- 设备及介质安全:服务器、网络设备、存储介质的安全管理。
- 人员与行为安全:访问控制、人员进出、行为审计、应急响应。
六大核心领域
| 领域 | 核心要点 | 针对关基的特殊要求(CISP-PS重点) |
|---|---|---|
| 场地与建筑安全 | 选址避让自然灾害/污染源;建筑抗震、抗暴、防水等级;机房等级(A/B/C级)。 | 冗余选址(主备/双活中心间距);军事化管理区域(如屏蔽机房)。 |
| 供配电与温控 | 市电+油机+UPS三重保障;精密空调冗余;冷热通道隔离。 | 柴油储备量≥72小时;N+1或2N冗余(针对关基核心业务);7×24小时温湿度监测。 |
| 消防与安防 | 气体灭火(如七氟丙烷);极早期烟雾探测;视频监控(无死角/人脸识别);门禁(多重认证)。 | 消防联动“断电-灭火-排水”自动化;视频存储≥180天;访客全程陪同+定位管理。 |
| 访问控制 | 四道防线:周界(围墙/红外)-建筑入口(门禁/闸机)-机房入口(生物识别+IC卡)-机柜(独立锁)。 | AB门互锁机制(防止尾随);物理隔离区(如涉密设备采用电磁屏蔽柜)。 |
| 设备与介质管理 | 上架/下架流程;防拆卸告警;介质(硬盘/磁带)物理销毁(消磁/粉碎)。 | 物品进出需审批并记录;维修时第三方人员需全程监督;废旧介质不可带出园区。 |
| 环境与防灾 | 防水(防漏水/洪灾);防雷(三级浪涌保护);电磁防护(屏蔽室/红黑电源)。 | 7×24小时环境监控(漏水/振动/温湿);灾备中心定期切换演练。 |
CISP-PS框架的防御纵深理念(洋葱模型)
CISP-PS强调纵深防御,即在物理层面建立多重、异质的防护层:
- 第一层 - 威慑与阻挡:高墙、铁丝网、明显的警告标志 =》 降低入侵意愿。
- 第二层 - 探测与报警:红外探测器、振动光纤、视频移动侦测 =》 发现即告警。
- 第三层 - 延缓与延迟:坚固的门禁、玻璃破碎探测器、防尾随AB门 =》 拖延突破时间。
- 第四层 - 响应与处置:安保人员、无人机拦截、自动喷淋/气体灭火系统 =》 控制事态。
关基安全的特殊痛点(CISP-PS独有的管理要求)
与普通企业不同,CISP-PS对关键信息基础设施的物理安全强调三点:
- 供应链物理安全:
- 设备在运输、部署过程中需保证完整性验证(如通过可信计算或物理封条)。
- 海外设备需经过物理安全审查(如是否含恶意硬件植入)。
- 应急与容灾物理同步性:
- 主生产中心与异地灾备中心之间的物理安全等级必须一致(许多企业只关注主中心安全,忽略灾备中心)。
- 定期进行物理环境的切换演练(如人为模拟断电、断网、火灾场景)。
- 电磁与侧信道防护:
- 对于涉及机密数据的关基,需部署电磁屏蔽机柜/机房,防止电磁泄露被截获。
- 红黑电源隔离,防止通过电源线泄露信号。
如何构建符合CISP-PS框架的物理安全体系?
建议按照PDCA循环(计划-执行-检查-处理) 落地:
- P(计划):基于《关键信息基础设施安全保护条例》及行业要求,明确物理安全等级、设计选址(优先选择远离社会敏感源的地带)。
- D(执行):
- 硬件层面:采购符合国密标准的门禁/监控设备,部署冗余电力。
- 管理层面:建立《物理安全管理制度》、《机房出入审批单》、《钥匙/IC卡领用台账》。
- C(检查):定期渗透测试(如尝试尾随进入机房)、物理安全审计、视频录像回放抽查。
- A(改进):针对发现的问题(如门磁失效、监控盲区、授权未清理)立即整改,并更新应急预案中的物理安全响应流程。
CISP-PS物理安全框架的核心逻辑是:认证(CISP-PS)不仅要求你有摄像头和门禁,更要求你能像“银行金库”一样,对关键资产实施七层防护(从位置选择到数据消磁),对于关基从业者而言,需重点掌握“物理安全等级划分”、“冗余设计”、“应急联动”以及“防电磁泄露/物理入侵”的具体技术指标。