第五章 物理与环境安全技术
1、 物理安全概念与要求
传统上的物理安全:也称实体安全,包括:环境、设备和记录介质在内的所有支持网络信息系统运行的硬件安全,我网络信息系统安全、可靠、不间断运行的基本保证。
广义上的物理安全:硬件、软件、操作人员、环境组成的人、机、物融合的网络信息物理系统的安全。
物理安全威胁
- 自然安全威胁:地震、洪水、火灾、鼠害、雷电
- 人为安全威胁:盗窃、爆炸、毁坏、硬件攻击
- 新的硬件威胁具有隐蔽性、危害性,攻击具有主动性和非临近性
常见的硬件攻击技术
- 硬件木马:在集成电路芯片(IC)中被植入的恶意电路。
- 硬件协同的恶意代码:可以使得非授权的软件访问特权的内存区域。
- 硬件安全漏洞利用:“熔断”和“幽灵”漏洞CPU漏洞属于硬件安全漏洞。可以获取特定代码、数据在内存 中的位置信息。
- 基于软件漏洞攻击硬件实体:利用控制系统的软件漏洞,修改物理实体的配置参数。“震网”病毒。
- 基于环境攻击计算机实体:利用计算机系统所依赖的外部环境缺陷。
物理安全保护
- 设备物理安全:设备的标志和标记、防止 电磁信息泄露,抗电磁干扰,电源保护以及设备振动、碰撞、冲击适应性。
- 环境物理安全:机房场地防火、防水、防电
- 系统物理安全:备份与恢复,与系统软件相关
信息系统的物理安全分级
- 用户自主保护级
- 系统审计保护级
- 安全标记保护级
- 结构化保护级
2、物理环境安全分析与防护
计算机机房可选用下列房间
- 主要工作房间
- 第一类辅助房间
- 第二类辅助房间
- 第三类辅助空间
计算机机房安全等级
- A级:会造成严重损害,对计算机机房的安全有严格的要求,有完善的计算机机房安全措施。
- B级:会造成较大损害,对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施。
- C级:不属于A、B级情况,对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。
- 计算机机房安全可按某一级执行,也可按某些综合执行。
3、机房安全分析与防护
数据中心建设与设计要求:为实现数据信息的集中处理、储存、传输、交换、管理以及为相关的电子信息设备运行提供运行环境的建筑场所。
数据中心建设和布局基本原则:市场需求导向原则、资源环境有限原则、区域统筹协调原则、多方要素兼顾原则、发展与安全并重原则。
按规模大小可将数据中心分为:超大型数据中心(规模大于等于10000个标准机架)、大型数据中心(规模大于等于3000小于10000标准机架)、中小型数据中心(规模小于3000个标准机架)。
数据中心分为A、B、C三级
互联网数据中心:简称IDC,向用户提供资源出租基本业务和有关附加业务、在线提供IT应用平台能力租用服务和应用软件租用服务的数据中心。
IDC机房分成:R1、R2、R3三个级别
CA机房物理安全控制:是认证机构设施安全的重要保障
4、网络通信线路安全分析与防护
网络通信线路安全分析:是网络信息和数据交换的基础
网络通信线路常见的物理安全威胁:网络通信线路被切断、网络通信线路被电磁干扰、网络通信线路泄露信息。
网络通信线路的安全措施
- 网络通信设备
- 网络通信线路:采取设备冗余:即设备之间互为备份
5、设备实体安全分析与防护
设备实体安全分析:设备是一个网络信息系统的计算、通信控制、数据存储的平台
设备硬件攻击防护
- 硬件木马检测:反向分析法、功耗分析法、侧信道分析法
- 硬件漏洞处理:破坏漏洞利用条件,防止漏洞被攻击者利用