我正在学习一门专为CISSP 认证而设计的课程。虽然这门课被归类为软件工程,但我们谈了很多关于物理安全的内容,特别是洪水、火灾、地震和汽车撞上的东西。这个安全性如何?例如,我们被告知数据中心在建筑物中间是最安全的,因为如果屋顶漏水,顶部将不安全,而且水往往会往下流,所以较低的楼层会首先被洪水淹没。
这真的是一个安全问题吗?例如,如果屋顶漏水,过错的是工程师,而不是安全分析师。您不会聘请安全分析师来确保屋顶坚固。
更新:另外,像在建筑物周围设置护柱以保护行人免受汽车侵害之类的事情,这种安全性如何?还没有人真正解释这一点。有人告诉我,公司最有价值的资产是他们的员工,但按照这种推理,什么不是安全?
如果可用性如此广泛,那么什么不是安全的一部分?
所有其他答案都很好。我将为您提供一个经典的安全视角。
引发火灾/洪水是物理渗透/渗出的教科书场景。处于压力之下的人不太可能挑战陌生人。
火灾可用于销毁法医证据,特别是当有内部人员参与时。
地震或任何自然灾害(如丛林大火)都是安全的潜在并发症,因为法律和秩序崩溃,抢劫抬头。
在某些国家和威胁环境中,针对SVBIED的周边安全是必要的考虑因素。如果自杀式汽车炸弹袭击者可以靠近您的数据中心的墙壁,那是您作为安全顾问的失败。因此,护柱、花坛和混凝土屏障。
安全是一门整体学科。每个专家都在乎企业的点点滴滴,而生活的需要却忽略了整体。至少应该有一个人根据对手的行为而不是他/她自己的鸽巢来思考。顺便说一句,这是安全顾问的工作描述。
CISSP 是信息安全认证而非计算机安全认证。
信息安全 是关于保护一般信息的机密性、完整性和可用性。信息不仅存储在计算机上。它们被打印出来并存储在文件柜中,它们被记忆并存储在员工的大脑中。因此,除了确保您的计算机网络安全之外,您还需要确保您的场所的物理安全。如果这些机密文件在灾难中被盗或毁坏,这也是可用性的损失。如果您的员工将信息出售给竞争对手,则被视为失去机密性。这就是为什么政策和物理安全措施很重要的原因。
归结为经典的安全三合会;完整性、保密性和可用性。最后一个肯定会遭受任何类型的自然灾害,这就是为什么您必须将其包括在您的连续性计划中。
即使您狭隘地认为计算机安全仅限于处理故意的恶意攻击,您的系统易受自然灾害影响的任何方式也代表了装备精良(或聪明)的攻击者可能破坏您的方式服务。例如,如果数据中心容易受到洪水的影响,想要使其离线的人可以切断建筑物中的喷水管。因此,将自然灾害作为整体安全计划的一部分进行防范是有意义的。