fischer-agentkit/docs/compliance/dengbao-level3/01-physical.md

100 lines
4.5 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# 01 — 物理安全
> GB/T 22239-2019 第三级「物理和环境安全」控制点映射。
## 1. 维度说明
AgentKit 作为应用系统以容器形态部署在客户内网 Kubernetes 集群中,
**不拥有也不运维物理机房**。物理安全责任由客户机房运营方承担。
本维度文档的目的是:
1. 明确 AgentKit 部署对物理环境的**假设**(前置条件)。
2. 列出 AgentKit 自身在物理安全维度的**实现空缺**(全部为「待评估」)。
3. 在客户机房测评时,由客户方提供物理安全控制点证据,
AgentKit 侧仅提供「部署形态证明」Helm Chart / Pod 清单)。
## 2. GB/T 22239-2019 三级要求(简要)
| 控制点 ID | 要求摘要 |
|-----------|----------|
| PHY-01 | 物理访问控制:机房出入口配置电子门禁,记录进入人员和时间 |
| PHY-02 | 防盗窃和防破坏:主要设备设置防盗标识,机房设置监控系统 |
| PHY-03 | 防雷击:机房设置防雷保安器,接地电阻符合要求 |
| PHY-04 | 防火:机房设置火灾自动消防系统,检测报警器 |
| PHY-05 | 防水和防潮:机房安装水敏检测装置,防止水管安装 |
| PHY-06 | 防静电:机房采用防静电地板,设置静电消除器 |
## 3. AgentKit 实现映射
### 3.1 部署假设(前置条件)
AgentKit 容器化部署对物理环境的假设:
1. 客户机房满足 GB/T 22239-2019 三级物理安全全部要求。
2. K8s 宿主机位于受控机房内,物理访问由客户运营方管理。
3. 电力供应由机房提供(含 UPS / 后备发电机)。
4. 网络骨干防火墙、IDS、堡垒机由客户网络团队运维。
### 3.2 控制点状态
全部 6 个物理安全控制点状态均为 **待评估** —— 依赖客户机房测评时由客户方
提供证据。AgentKit 侧仅提供以下证明材料:
- 部署形态证明:[deploy/helm/agentkit/values.yaml](file:///Users/chiguyong/Code/Fischer-agentkit/deploy/helm/agentkit/values.yaml)
`podSecurityContext.runAsNonRoot: true``runAsUser: 1000`
- Pod 资源清单:[deploy/helm/agentkit/templates/deployment.yaml](file:///Users/chiguyong/Code/Fischer-agentkit/deploy/helm/agentkit/templates/deployment.yaml)
- 容器镜像基线:[Dockerfile](file:///Users/chiguyong/Code/Fischer-agentkit/Dockerfile)
(多阶段构建 + `USER appuser` 非 root 运行)
### 3.3 控制点详情
#### PHY-01 物理访问控制 — 待评估
- **要求**:机房出入口配置电子门禁,记录进入人员和时间。
- **AgentKit 实现**无物理访问控制责任。AgentKit 软件资产以镜像形式
存储在客户镜像仓库,物理访问由客户机房运营方控制。
- **客户侧需提供**:机房门禁系统记录、人员进出日志、访问审批流程。
#### PHY-02 防盗窃和防破坏 — 待评估
- **要求**:主要设备设置防盗标识,机房设置监控系统。
- **AgentKit 实现**无物理设备责任。K8s worker node 由客户运维。
- **客户侧需提供**:机房监控系统、设备资产清单。
#### PHY-03 防雷击 — 待评估
- **要求**:机房设置防雷保安器,接地电阻符合要求。
- **AgentKit 实现**:无防雷责任。
- **客户侧需提供**:防雷检测报告、接地电阻测试记录。
#### PHY-04 防火 — 待评估
- **要求**:机房设置火灾自动消防系统,检测报警器。
- **AgentKit 实现**:无消防责任。
- **客户侧需提供**:消防系统验收报告、定期检测记录。
#### PHY-05 防水和防潮 — 待评估
- **要求**:机房安装水敏检测装置,防止水管安装。
- **AgentKit 实现**:无防水责任。
- **客户侧需提供**:水敏检测装置部署记录、机房湿度监控。
#### PHY-06 防静电 — 待评估
- **要求**:机房采用防静电地板,设置静电消除器。
- **AgentKit 实现**:无防静电责任。
- **客户侧需提供**:防静电地板验收报告、静电消除器检测记录。
## 4. 测评建议
物理安全维度在 AgentKit 侧**无代码/配置可核对**,全部依赖客户机房测评。
建议在测评前与客户安全团队确认:
1. 客户机房是否已通过等保三级(或更高)测评。
2. 客户机房测评报告是否覆盖 AgentKit 部署区域。
3. 若客户机房未单独测评,需将 AgentKit 部署区域纳入本次测评范围。
AgentKit 侧提供的证明材料仅证明「软件部署形态合规」(非 root 容器、
资源受限、Helm Chart 标准化部署),不替代物理环境测评。