内审干货——IT审计之机房物理安全,审啥?
ID:内审师修行与实战
只要进行IT审计,一般都需要去机房溜一圈看看。
哪怕我们根本不知道那些闪着红点绿点黄点的、七上八下的设备都是干嘛用的,也不知道那一缕缕一坨坨的红绿电线到底是强电还弱电。
很多时候,外行去审计机房,看时都是一脸蒙,只能不明觉厉地听IT工程师们数落着一堆专业名词。
1.机房设置
如果不是身处IT行业,你们企业的机房大多会设置在犄角旮旯地方,因为位置好、环境好的办公区都给人用了。
审前第一件事:先了解你们有几个机房?
不要认为只有那些大型集中的放置IT设备的才叫机房,很多时候,一间小小的没窗户的储物间,或只放一两台电脑主机的档案室的某个角落,都可以称为机房。
所以,审计第一步,就是看那些不能作为机房的机房,是否合理?
找出所有存有IT设备的房间,有可能单独的,也有可能与监控室共用,也有可能就把服务器放在公共办公区域!
如果你懂一些强电弱电、信息设备的专业知识,那就更好了,空间布置就可以多看看。
2.物理访问控制
进出机房有没有监控,是必要的安全措施之一!
机房钥匙或密码掌握在谁手里?一共有几把钥匙?
物业或后勤人员能不能不受控制地出入?
外人访问机房,有没有申请或登记?
对我们审计来说,机房是重地,没有允许非专业人士都不能进,进出必须有记录,所以我们可以查出入记录。
.
3.消防安全:防水防火
防火,防水都是消防安全的范围。
防火,就是看有没有温度检测设备,有没有灭火设备。
防水,一是防机房漏雨漏水,可不要认为这是小事儿,就小编审计经历来看,机房物理安全的最大问题就是漏水。
不知道为啥机房都设在易漏雨水的地方,一下雨,IT部门的人都紧张机房!
还有机房内尽量不设喷淋系统,一不小心,自己下雨了,设备就毁了!
4.空调与防晒
机房内不安装空调,仿佛也是常见之事,哪怕夏季机房室内五六十多度,仍旧不安装空调。
一堆设备不停地在运行,始终发着热,室内呆不住人不是大事,问题是机器发烧也会烧傻啊!
你不管它,它就会宕机罢工给你看,甚至给你火一把!
防晒很容易理解,如果机房窗户过大,能被太阳直射,也是很有风险的一件事,设备高温是其次,一些见阳光易损坏的零部件是大事。
紫外线见多了,人会癌变,电器电线一样也会癌变!
5.机房不是杂货铺
总有一些IT同事,不想呆在自己工位上,太拘束了,常常跑到机房里面办公或搞维修!
机房空旷有空调,除了机器会叫之外,没有人的打扰!
查看机房时,有时会看到一堆服务器旁边,堆着一堆堆废旧电脑、打印机、和其他设备的零部件。
或着一堆堆电线扯的满地满屋都是,分不清哪些是正式线,哪些是废旧电线。
甚至有些机房,成了IT师们的休闲场所,吃饭、打牌和睡觉的家伙一应俱全!
也不知道他们为啥不怕电磁辐射?
干净整洁、功能分区清晰明了、不与办公混用,应该算是基本要求。
6.询问与调查问卷
有些物理安全风险,我们审计可能发现不了,此时就需要向专业人员请教!
比如:冷站、热站、或异地备份设备的机房要求;
比如:曾经发生过的防水、防火、防盗、防打砸不成功的案例;
比如:设备与机房不匹配,安装不到位;
比如:闲置或损坏设备占用机房。
等等...
诸如此类问题,需要充分的询问与沟通才能知晓。
亲,多点赞转发!