内审干货——IT审计之机房物理安全,审啥?

ID:内审师修行与实战

只要进行IT审计,一般都需要去机房溜一圈看看。

哪怕我们根本不知道那些闪着红点绿点黄点的、七上八下的设备都是干嘛用的,也不知道那一缕缕一坨坨的红绿电线到底是强电还弱电。

很多时候,外行去审计机房,看时都是一脸蒙,只能不明觉厉地听IT工程师们数落着一堆专业名词。

打开网易新闻 查看精彩图片

1.机房设置

如果不是身处IT行业,你们企业的机房大多会设置在犄角旮旯地方,因为位置好、环境好的办公区都给人用了。

审前第一件事:先了解你们有几个机房?

不要认为只有那些大型集中的放置IT设备的才叫机房,很多时候,一间小小的没窗户的储物间,或只放一两台电脑主机的档案室的某个角落,都可以称为机房。

所以,审计第一步,就是看那些不能作为机房的机房,是否合理?

找出所有存有IT设备的房间,有可能单独的,也有可能与监控室共用,也有可能就把服务器放在公共办公区域!

如果你懂一些强电弱电、信息设备的专业知识,那就更好了,空间布置就可以多看看。

2.物理访问控制

进出机房有没有监控,是必要的安全措施之一!

机房钥匙或密码掌握在谁手里?一共有几把钥匙?

物业或后勤人员能不能不受控制地出入?

外人访问机房,有没有申请或登记?

对我们审计来说,机房是重地,没有允许非专业人士都不能进,进出必须有记录,所以我们可以查出入记录。

打开网易新闻 查看精彩图片

3.消防安全:防水防火

防火,防水都是消防安全的范围。

防火,就是看有没有温度检测设备,有没有灭火设备。

防水,一是防机房漏雨漏水,可不要认为这是小事儿,就小编审计经历来看,机房物理安全的最大问题就是漏水。

不知道为啥机房都设在易漏雨水的地方,一下雨,IT部门的人都紧张机房!

还有机房内尽量不设喷淋系统,一不小心,自己下雨了,设备就毁了!

4.空调与防晒

机房内不安装空调,仿佛也是常见之事,哪怕夏季机房室内五六十多度,仍旧不安装空调。

一堆设备不停地在运行,始终发着热,室内呆不住人不是大事,问题是机器发烧也会烧傻啊!

你不管它,它就会宕机罢工给你看,甚至给你火一把!

防晒很容易理解,如果机房窗户过大,能被太阳直射,也是很有风险的一件事,设备高温是其次,一些见阳光易损坏的零部件是大事。

紫外线见多了,人会癌变,电器电线一样也会癌变!

打开网易新闻 查看精彩图片

5.机房不是杂货铺

总有一些IT同事,不想呆在自己工位上,太拘束了,常常跑到机房里面办公或搞维修!

机房空旷有空调,除了机器会叫之外,没有人的打扰!

查看机房时,有时会看到一堆服务器旁边,堆着一堆堆废旧电脑、打印机、和其他设备的零部件。

或着一堆堆电线扯的满地满屋都是,分不清哪些是正式线,哪些是废旧电线。

甚至有些机房,成了IT师们的休闲场所,吃饭、打牌和睡觉的家伙一应俱全!

也不知道他们为啥不怕电磁辐射?

干净整洁、功能分区清晰明了、不与办公混用,应该算是基本要求。

6.询问与调查问卷

有些物理安全风险,我们审计可能发现不了,此时就需要向专业人员请教!

比如:冷站、热站、或异地备份设备的机房要求;

比如:曾经发生过的防水、防火、防盗、防打砸不成功的案例;

比如:设备与机房不匹配,安装不到位;

比如:闲置或损坏设备占用机房。

等等...

诸如此类问题,需要充分的询问与沟通才能知晓。

亲,多点赞转发!