fischer-agentkit/docs/compliance/dengbao-level3/01-physical.md

4.5 KiB
Raw Blame History

01 — 物理安全

GB/T 22239-2019 第三级「物理和环境安全」控制点映射。

1. 维度说明

AgentKit 作为应用系统以容器形态部署在客户内网 Kubernetes 集群中, 不拥有也不运维物理机房。物理安全责任由客户机房运营方承担。

本维度文档的目的是:

  1. 明确 AgentKit 部署对物理环境的假设(前置条件)。
  2. 列出 AgentKit 自身在物理安全维度的实现空缺(全部为「待评估」)。
  3. 在客户机房测评时,由客户方提供物理安全控制点证据, AgentKit 侧仅提供「部署形态证明」Helm Chart / Pod 清单)。

2. GB/T 22239-2019 三级要求(简要)

控制点 ID 要求摘要
PHY-01 物理访问控制:机房出入口配置电子门禁,记录进入人员和时间
PHY-02 防盗窃和防破坏:主要设备设置防盗标识,机房设置监控系统
PHY-03 防雷击:机房设置防雷保安器,接地电阻符合要求
PHY-04 防火:机房设置火灾自动消防系统,检测报警器
PHY-05 防水和防潮:机房安装水敏检测装置,防止水管安装
PHY-06 防静电:机房采用防静电地板,设置静电消除器

3. AgentKit 实现映射

3.1 部署假设(前置条件)

AgentKit 容器化部署对物理环境的假设:

  1. 客户机房满足 GB/T 22239-2019 三级物理安全全部要求。
  2. K8s 宿主机位于受控机房内,物理访问由客户运营方管理。
  3. 电力供应由机房提供(含 UPS / 后备发电机)。
  4. 网络骨干防火墙、IDS、堡垒机由客户网络团队运维。

3.2 控制点状态

全部 6 个物理安全控制点状态均为 待评估 —— 依赖客户机房测评时由客户方 提供证据。AgentKit 侧仅提供以下证明材料:

3.3 控制点详情

PHY-01 物理访问控制 — 待评估

  • 要求:机房出入口配置电子门禁,记录进入人员和时间。
  • AgentKit 实现无物理访问控制责任。AgentKit 软件资产以镜像形式 存储在客户镜像仓库,物理访问由客户机房运营方控制。
  • 客户侧需提供:机房门禁系统记录、人员进出日志、访问审批流程。

PHY-02 防盗窃和防破坏 — 待评估

  • 要求:主要设备设置防盗标识,机房设置监控系统。
  • AgentKit 实现无物理设备责任。K8s worker node 由客户运维。
  • 客户侧需提供:机房监控系统、设备资产清单。

PHY-03 防雷击 — 待评估

  • 要求:机房设置防雷保安器,接地电阻符合要求。
  • AgentKit 实现:无防雷责任。
  • 客户侧需提供:防雷检测报告、接地电阻测试记录。

PHY-04 防火 — 待评估

  • 要求:机房设置火灾自动消防系统,检测报警器。
  • AgentKit 实现:无消防责任。
  • 客户侧需提供:消防系统验收报告、定期检测记录。

PHY-05 防水和防潮 — 待评估

  • 要求:机房安装水敏检测装置,防止水管安装。
  • AgentKit 实现:无防水责任。
  • 客户侧需提供:水敏检测装置部署记录、机房湿度监控。

PHY-06 防静电 — 待评估

  • 要求:机房采用防静电地板,设置静电消除器。
  • AgentKit 实现:无防静电责任。
  • 客户侧需提供:防静电地板验收报告、静电消除器检测记录。

4. 测评建议

物理安全维度在 AgentKit 侧无代码/配置可核对,全部依赖客户机房测评。 建议在测评前与客户安全团队确认:

  1. 客户机房是否已通过等保三级(或更高)测评。
  2. 客户机房测评报告是否覆盖 AgentKit 部署区域。
  3. 若客户机房未单独测评,需将 AgentKit 部署区域纳入本次测评范围。

AgentKit 侧提供的证明材料仅证明「软件部署形态合规」(非 root 容器、 资源受限、Helm Chart 标准化部署),不替代物理环境测评。