20.2 物理安全措施

24 物理安全主要包括：环境安全、设施和设备安全、介质安全。

20.2.1 环境安全

25 环境安全国家标准：GB50173-93《电子计算机机房设计规范》、GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》。

26 健全的环境安全管理包括哪些内容？

答：（1）专门用来放置计算机设备的设施或房间；

（2）对IT资产的恰当的环境保护，包括计算机设备、通信设备、个人计算机、局域网设备；

（3）有效的环境控制机制，包括火灾探测和灭火系统、湿度控制系统、双层地板、隐藏的线路铺设、安全设置水管位置（远离敏感设备）、不间断电源和后备电力供应；

（4）定期对计算机设备周边环境进行检查；

（5）定期对环境保护措施进行测试；

（6）定期接受消防管理部门的检查；

（7）对检查中发现的问题进行处理的流程。

20.2.2 设施和设备安全

28 设备的管理包括：购置、使用、维修和存储管理4个方面。

29 采购装备安全设备时，应遵循哪些原则？

答：（1）严禁采购和使用未经国家信息安全测评机构认可的的其他信息安全产品；

（2）尽量采用我国自主开发研制的信息安全技术和设备；

（3）严禁直接采用境外密码设备；

（4）必须采用境外信息安全产品时，该产品必须通过国家信息安全评测机构的认可；

（5）严禁使用未经国家密码管理部门批准和未经国家信息安全质量认证的国内密码设备。

30 新选设备应符合《数据处理设备的安全》、《电动办公机器的安全》国家标准。

31 信息系统安全设备的购置和安装遵循哪些原则？

答：（1）设备符合系统选型要求，并且获得批准后方可购置。

（2）凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。

（3）通过测试后，系统才能进入试运行阶段。试运行时间长短可根据需要自行确定。

（4）通过试运行的设备，才能投入生产系统，正式运行。

32 设备安全包括：防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护。

33 备份设备与设施的管理包括哪些内容？

答：（1）制定有关备份保存和恢复的规定；

（2）为所用平台和应用程序制定正式备份周期（每天、周、月）以及生产开发测试环境。

（3）使用磁带管理系统（在办公现场内外安全保存磁带，且不能破坏环境），定期参照磁带管理库存登记核对备份磁带的实际库存，使用磁带识别标签并制定用来防范意外覆盖磁带内容的流程。

（4）备份进程必须与业务预期和机构持续性计划保持一致。

（5）在系统或程序修改前进行备份。

（6）定期把备份送到办公现场外的安全存放地点，备份内容包括：数据、程序、操作系统以及文档（用户和技术手册、操作流程、灾难恢复计划）。

（7）正式的恢复流程、正式的媒介销毁流程、从办公地点取走磁带的流程。

（8）定期对备份的恢复能力进行测试，并定期更新磁带库存以消除已损坏的磁带。

34 IDS是实时监测和防止黑客入侵系统及网络资源的检测系统。主要包括：监控中心、基于网络的入侵检测器、基于主机的入侵检测器和人为漏洞检测器（误用检测）。