4.5 KiB
4.5 KiB
01 — 物理安全
GB/T 22239-2019 第三级「物理和环境安全」控制点映射。
1. 维度说明
AgentKit 作为应用系统以容器形态部署在客户内网 Kubernetes 集群中, 不拥有也不运维物理机房。物理安全责任由客户机房运营方承担。
本维度文档的目的是:
- 明确 AgentKit 部署对物理环境的假设(前置条件)。
- 列出 AgentKit 自身在物理安全维度的实现空缺(全部为「待评估」)。
- 在客户机房测评时,由客户方提供物理安全控制点证据, AgentKit 侧仅提供「部署形态证明」(Helm Chart / Pod 清单)。
2. GB/T 22239-2019 三级要求(简要)
| 控制点 ID | 要求摘要 |
|---|---|
| PHY-01 | 物理访问控制:机房出入口配置电子门禁,记录进入人员和时间 |
| PHY-02 | 防盗窃和防破坏:主要设备设置防盗标识,机房设置监控系统 |
| PHY-03 | 防雷击:机房设置防雷保安器,接地电阻符合要求 |
| PHY-04 | 防火:机房设置火灾自动消防系统,检测报警器 |
| PHY-05 | 防水和防潮:机房安装水敏检测装置,防止水管安装 |
| PHY-06 | 防静电:机房采用防静电地板,设置静电消除器 |
3. AgentKit 实现映射
3.1 部署假设(前置条件)
AgentKit 容器化部署对物理环境的假设:
- 客户机房满足 GB/T 22239-2019 三级物理安全全部要求。
- K8s 宿主机位于受控机房内,物理访问由客户运营方管理。
- 电力供应由机房提供(含 UPS / 后备发电机)。
- 网络骨干(防火墙、IDS、堡垒机)由客户网络团队运维。
3.2 控制点状态
全部 6 个物理安全控制点状态均为 待评估 —— 依赖客户机房测评时由客户方 提供证据。AgentKit 侧仅提供以下证明材料:
- 部署形态证明:deploy/helm/agentkit/values.yaml
(
podSecurityContext.runAsNonRoot: true,runAsUser: 1000) - Pod 资源清单:deploy/helm/agentkit/templates/deployment.yaml
- 容器镜像基线:Dockerfile
(多阶段构建 +
USER appuser非 root 运行)
3.3 控制点详情
PHY-01 物理访问控制 — 待评估
- 要求:机房出入口配置电子门禁,记录进入人员和时间。
- AgentKit 实现:无物理访问控制责任。AgentKit 软件资产以镜像形式 存储在客户镜像仓库,物理访问由客户机房运营方控制。
- 客户侧需提供:机房门禁系统记录、人员进出日志、访问审批流程。
PHY-02 防盗窃和防破坏 — 待评估
- 要求:主要设备设置防盗标识,机房设置监控系统。
- AgentKit 实现:无物理设备责任。K8s worker node 由客户运维。
- 客户侧需提供:机房监控系统、设备资产清单。
PHY-03 防雷击 — 待评估
- 要求:机房设置防雷保安器,接地电阻符合要求。
- AgentKit 实现:无防雷责任。
- 客户侧需提供:防雷检测报告、接地电阻测试记录。
PHY-04 防火 — 待评估
- 要求:机房设置火灾自动消防系统,检测报警器。
- AgentKit 实现:无消防责任。
- 客户侧需提供:消防系统验收报告、定期检测记录。
PHY-05 防水和防潮 — 待评估
- 要求:机房安装水敏检测装置,防止水管安装。
- AgentKit 实现:无防水责任。
- 客户侧需提供:水敏检测装置部署记录、机房湿度监控。
PHY-06 防静电 — 待评估
- 要求:机房采用防静电地板,设置静电消除器。
- AgentKit 实现:无防静电责任。
- 客户侧需提供:防静电地板验收报告、静电消除器检测记录。
4. 测评建议
物理安全维度在 AgentKit 侧无代码/配置可核对,全部依赖客户机房测评。 建议在测评前与客户安全团队确认:
- 客户机房是否已通过等保三级(或更高)测评。
- 客户机房测评报告是否覆盖 AgentKit 部署区域。
- 若客户机房未单独测评,需将 AgentKit 部署区域纳入本次测评范围。
AgentKit 侧提供的证明材料仅证明「软件部署形态合规」(非 root 容器、 资源受限、Helm Chart 标准化部署),不替代物理环境测评。