100 lines
4.5 KiB
Markdown
100 lines
4.5 KiB
Markdown
# 01 — 物理安全
|
||
|
||
> GB/T 22239-2019 第三级「物理和环境安全」控制点映射。
|
||
|
||
## 1. 维度说明
|
||
|
||
AgentKit 作为应用系统以容器形态部署在客户内网 Kubernetes 集群中,
|
||
**不拥有也不运维物理机房**。物理安全责任由客户机房运营方承担。
|
||
|
||
本维度文档的目的是:
|
||
|
||
1. 明确 AgentKit 部署对物理环境的**假设**(前置条件)。
|
||
2. 列出 AgentKit 自身在物理安全维度的**实现空缺**(全部为「待评估」)。
|
||
3. 在客户机房测评时,由客户方提供物理安全控制点证据,
|
||
AgentKit 侧仅提供「部署形态证明」(Helm Chart / Pod 清单)。
|
||
|
||
## 2. GB/T 22239-2019 三级要求(简要)
|
||
|
||
| 控制点 ID | 要求摘要 |
|
||
|-----------|----------|
|
||
| PHY-01 | 物理访问控制:机房出入口配置电子门禁,记录进入人员和时间 |
|
||
| PHY-02 | 防盗窃和防破坏:主要设备设置防盗标识,机房设置监控系统 |
|
||
| PHY-03 | 防雷击:机房设置防雷保安器,接地电阻符合要求 |
|
||
| PHY-04 | 防火:机房设置火灾自动消防系统,检测报警器 |
|
||
| PHY-05 | 防水和防潮:机房安装水敏检测装置,防止水管安装 |
|
||
| PHY-06 | 防静电:机房采用防静电地板,设置静电消除器 |
|
||
|
||
## 3. AgentKit 实现映射
|
||
|
||
### 3.1 部署假设(前置条件)
|
||
|
||
AgentKit 容器化部署对物理环境的假设:
|
||
|
||
1. 客户机房满足 GB/T 22239-2019 三级物理安全全部要求。
|
||
2. K8s 宿主机位于受控机房内,物理访问由客户运营方管理。
|
||
3. 电力供应由机房提供(含 UPS / 后备发电机)。
|
||
4. 网络骨干(防火墙、IDS、堡垒机)由客户网络团队运维。
|
||
|
||
### 3.2 控制点状态
|
||
|
||
全部 6 个物理安全控制点状态均为 **待评估** —— 依赖客户机房测评时由客户方
|
||
提供证据。AgentKit 侧仅提供以下证明材料:
|
||
|
||
- 部署形态证明:[deploy/helm/agentkit/values.yaml](file:///Users/chiguyong/Code/Fischer-agentkit/deploy/helm/agentkit/values.yaml)
|
||
(`podSecurityContext.runAsNonRoot: true`,`runAsUser: 1000`)
|
||
- Pod 资源清单:[deploy/helm/agentkit/templates/deployment.yaml](file:///Users/chiguyong/Code/Fischer-agentkit/deploy/helm/agentkit/templates/deployment.yaml)
|
||
- 容器镜像基线:[Dockerfile](file:///Users/chiguyong/Code/Fischer-agentkit/Dockerfile)
|
||
(多阶段构建 + `USER appuser` 非 root 运行)
|
||
|
||
### 3.3 控制点详情
|
||
|
||
#### PHY-01 物理访问控制 — 待评估
|
||
|
||
- **要求**:机房出入口配置电子门禁,记录进入人员和时间。
|
||
- **AgentKit 实现**:无物理访问控制责任。AgentKit 软件资产以镜像形式
|
||
存储在客户镜像仓库,物理访问由客户机房运营方控制。
|
||
- **客户侧需提供**:机房门禁系统记录、人员进出日志、访问审批流程。
|
||
|
||
#### PHY-02 防盗窃和防破坏 — 待评估
|
||
|
||
- **要求**:主要设备设置防盗标识,机房设置监控系统。
|
||
- **AgentKit 实现**:无物理设备责任。K8s worker node 由客户运维。
|
||
- **客户侧需提供**:机房监控系统、设备资产清单。
|
||
|
||
#### PHY-03 防雷击 — 待评估
|
||
|
||
- **要求**:机房设置防雷保安器,接地电阻符合要求。
|
||
- **AgentKit 实现**:无防雷责任。
|
||
- **客户侧需提供**:防雷检测报告、接地电阻测试记录。
|
||
|
||
#### PHY-04 防火 — 待评估
|
||
|
||
- **要求**:机房设置火灾自动消防系统,检测报警器。
|
||
- **AgentKit 实现**:无消防责任。
|
||
- **客户侧需提供**:消防系统验收报告、定期检测记录。
|
||
|
||
#### PHY-05 防水和防潮 — 待评估
|
||
|
||
- **要求**:机房安装水敏检测装置,防止水管安装。
|
||
- **AgentKit 实现**:无防水责任。
|
||
- **客户侧需提供**:水敏检测装置部署记录、机房湿度监控。
|
||
|
||
#### PHY-06 防静电 — 待评估
|
||
|
||
- **要求**:机房采用防静电地板,设置静电消除器。
|
||
- **AgentKit 实现**:无防静电责任。
|
||
- **客户侧需提供**:防静电地板验收报告、静电消除器检测记录。
|
||
|
||
## 4. 测评建议
|
||
|
||
物理安全维度在 AgentKit 侧**无代码/配置可核对**,全部依赖客户机房测评。
|
||
建议在测评前与客户安全团队确认:
|
||
|
||
1. 客户机房是否已通过等保三级(或更高)测评。
|
||
2. 客户机房测评报告是否覆盖 AgentKit 部署区域。
|
||
3. 若客户机房未单独测评,需将 AgentKit 部署区域纳入本次测评范围。
|
||
|
||
AgentKit 侧提供的证明材料仅证明「软件部署形态合规」(非 root 容器、
|
||
资源受限、Helm Chart 标准化部署),不替代物理环境测评。
|