Реализуйте правило для физического доступа к серверной комнате
У нас есть серверная комната, и сейчас она как на диком западе: сильнейший может войти и делать все, что захочет. Я хотел бы подготовить список правил, которым необходимо следовать, чтобы контролировать доступ и понять, кто вошел, чтобы мы могли отследить, кто что сделал для устранения проблем или понять, кто-то украл оборудование.
Я думал о том, чтобы хранить ключи в единственном и безопасном месте и давать их только человеку, который подписывает реестр при получении ключей и при их возврате (обе подписи с указанием времени).
Это хорошая идея? Можно ли его улучшить, не слишком много мешая людям с необходимостью быстро работать?
Спасибо!
4 ответа
Не используйте ключи, используйте карты доступа: карты доступа могут быть зарегистрированы.
Создайте политику документации для отслеживания изменений: журналы доступа будут только резервными, поэтому, если кто-то забудет зарегистрировать изменения в системе, вы можете попросить их. Каждое изменение должно быть записано впоследствии.
Самое главное: если вы не доверяете своим администраторам, найдите новых. Невозможно наложить ограничения на доступ администратора к вашей сети. Это контрпродуктивно и оттолкнет их.
Если проблема заключается только в том, что каждый из вас пытается делать то, что ему кажется лучшим и мешает друг другу, подумайте о выборе главного администратора. Это может быть сложно; некоторые сисадмины (хотя и компетентны) слабы в управлении отношениями и достижении консенсуса. Если у вас есть такой админ, считайте себя счастливчиком, возлагайте на него больше ответственности и повышайте заработную плату.
Ваш запрос кажется немного странным... формулировка звучит так, как будто вы хотите, чтобы список правил публиковался за пределами серверной комнаты, поэтому вам будет легче определить, кто вошел и что сделал, но вы звучите так, как будто отвергаете предложения по безопасности., Никто не собирается подписывать эти ключи, если они могут просто взять их, когда их мотив состоит в том, чтобы взять то, что они не должны. Я имею в виду... правда, ты просишь лису охранять курятник.
Если вы хотите получить реальную защищенную запись, вам необходимо запереть дверь, дать карты доступа / ключи людям, которые действительно нуждаются в доступе и отвечают за указанные ключи и доступ, и вам необходимо установить камеры безопасности, которые записывают в защищенное место для фактическая запись о том, кто входит и выходит из комнаты.
Камеры не так дороги в использовании, и многие из них теперь имеют запись с обнаружением движения. Это подтверждает, что люди, входящие и выходящие из комнаты, являются людьми, которые должны входить в комнату.
Прежде чем что-либо прояснить для всех, вы серьезно относитесь к изменению работы серверной комнаты, и примите во внимание мнение каждого, как его улучшить. Вы можете обнаружить, что сотрудники, использующие его, имеют хорошую идею. Если "сильный человек" может войти, возможно, это так же просто, как починить замок.
Я бы порекомендовал внедрить систему безопасности FOB для достижения этой цели. Тогда каждому пользователю будет назначен брелок, который отпирает дверь. Это будет точно отслеживать, кто был или нет. К сожалению, это звучит так, как будто это более дорогостоящее решение, чем вы ищете.
Keyscan пользуется популярностью благодаря недорогой системе и довольно низкой стоимости / обслуживанию. http://www.keyscan.ca/English/Security_E.html
Рассмотрите возможность использования веб-камеры, нацеленной на снимки дверей, каждые несколько минут, или более продвинутой, которая может выполнять отслеживание движения.
Еще один способ сделать это с помощью обнаружения света. При выходе из серверной комнаты выключите свет. Вы можете использовать датчик освещенности, например http://www.eesensors.com/Websensor.html для мониторинга значений освещенности, и, если он интегрирован в решение для мониторинга nagios, он может отправлять вам электронные письма всякий раз, когда кто-то входит в комнату. Используйте эти электронные письма вместе с листом регистрации, чтобы люди следовали правилам.
С учетом всего вышесказанного хорошей идеей будет внедрение системы входа / выхода.
Если вы ничего не измените, у вас почти не будет шансов на успех в применении такого рода правил.
Вы могли бы начать с понимания, почему люди должны идти в серверную комнату и исправлять это в первую очередь.
За исключением действий, связанных с аппаратным обеспечением, нет причин входить в серверную комнату, и ваши коллеги, как и все ленивые, должны прекратить входить в нее, если они могут выполнять ту же работу со своего рабочего стола. Тогда вы сможете применять строгие правила доступа к серверной комнате, не нарушая работу и всех остальных.