【信息安全案例】——设备与环境安全（学习笔记）

HinsCoder

已于 2023-06-02 14:04:54 修改

阅读量1.5k

点赞数 2

分类专栏：网络安全详解文章标签：安全学习网络网络安全经验分享

于 2023-04-06 11:25:25 首次发布

❗ 转载请注明出处作者：HinsCoder 博客链接：

本文链接：https://blog.csdn.net/HinsCoder/article/details/129329274

版权

网络安全详解专栏收录该内容

35 篇文章 53 订阅

订阅专栏

📖 前言：计算机信息系统都是以一定的方式运行在物理设备之上的，因此，保障物理设备及其所处环境的安全，就成为信息系统安全的第一道防线。

在这里插入图片描述

🕒 1. 计算机设备与环境的安全问题

计算机信息系统都是以一定的方式运行在物理设备之上的，
保障物理设备及其所处环境的安全，就成为信息系统安全的第一道防线。

🕘 1.1 环境事故造成的设备故障或损毁

在这里插入图片描述

🕘 1.2 设备普遍缺乏硬件级安全防护

🕤 1.2.1 硬件设备被盗被毁

PC的硬件尺寸越来越小，容易搬移
这样小的机器并未设计固定装置，使机器能方便地放置在桌面上，于是盗窃者能够很容易地搬走整台机器。

🕤 1.2.2 开机密码保护被绕过

PC机上的保护机制很容易被绕过。
CMOS中的开机口令可以通过将CMOS的供电电池短路，使CMOS失去记忆功能而绕过。
用户如果设置了系统开机密码，攻击者可以把PC的硬盘挂接到其他机器中，制作U盘启动。

🕤 1.2.3 磁盘信息被窃取

硬件容易安装和拆卸，例如硬盘被盗，其中的信息自然也就不安全了。
在硬盘或软盘的磁介质表面的残留磁信息也是重要的信息泄漏渠道。
保存在磁盘上的数据也很容易因不小心划坏、各种硬物碰伤或受潮霉变而无法读取。

🕤 1.2.4 内存信息被窃取

内存芯片的内容在断电后就消失了。但如果内存条此时被攻击者获取或者接触到，其中的信息就能被拿到

🕘 1.3 硬件中的恶意代码

🕤 1.3.1 CPU中的恶意代码

计算机的中央处理器（Central Processing Unit，CPU）中还包括许多未公布的指令代码，这些指令常常被厂家用于系统的内部诊断，但是也可能被作为探测系统内部信息的“后门”，有的甚至可能被作为破坏整个系统运转的“逻辑炸弹”。

🕤 1.3.2 存储设备中的恶意代码

硬盘、U盘等存储设备中也有恶意代码攻击。

美国国家安全局研发的硬盘固件入侵技术；
它通过重写硬盘固件获得对计算机系统的控制权，即使软件更新都不能阻止它长期潜伏；在硬盘上开辟隐藏存储空间以备攻击者在一段时间后取回盗取的数据。

🕘 1.4 旁路攻击

旁路攻击是指攻击者通过偷窥，分析敲击键盘的声音、针式打印机的噪声、不停闪烁的硬盘或是网络设备的LED灯以及显示器（包括液晶显示器）、CPU和总线等部件在运行过程中向外部辐射的电磁波等来获取一定的信息。

🕤 1.4.1 键盘

常见的针对键盘的旁路攻击是通过硬件型键盘记录器。其在键盘和主机的I/O接口之间捕获键盘信息。这个器件在安装之后就可以把键盘输入的信息存储在内置的内存当中。
攻击者还可以利用键盘输入视频、按键手姿、按键声音、按键振动甚至按键温度获得键盘输入内容。

在这里插入图片描述

网传ATM机现双层键盘盗码器
在这里插入图片描述

通过按键音还原360总裁手机号

在这里插入图片描述

🕤 1.4.2 显示器

在这里插入图片描述

🕤 1.4.3 打印机

在这里插入图片描述

完全不接入互联网及其他任何接入互联网系统的电脑被称作air-gapped状态。这样的电脑是为了保证绝对安全。通常情况下，处理银行卡商品交易和大型公共基础设施（如供电系统）的电脑都被air-gap保护着。

以色列的研究者们发明了一种新技术，能够打破air-gap，仅仅利用电脑散发出的热量就能恢复和传送数据。

在这里插入图片描述

🕤 1.4.4 电磁泄露

计算机是一种非常复杂的机电一体化设备，工作在高速脉冲状态的计算机就像是一台很好的小型无线电发射机和接收机，不但产生电磁辐射泄漏保密信息，而且还可以引入电磁干扰影响系统正常工作。

TEMPEST（Transient Electromagnetic Pulse Emanation Surveillance Technology，瞬时电磁脉冲发射监测技术）就是指对电磁泄漏信号中所携带的敏感信息进行分析、测试、接收、还原以及防护的一系列技术。

在这里插入图片描述

电磁泄漏信息的途径通常有两个：

以电磁波的形式由空中辐射出去，称为辐射泄露。
电磁能量通过各种线路传导出去，称为传导泄露。

辐射泄露：由计算机内部的各种传输线、信号处理电路、时钟电路、显示器、开关电路及接地系统、印刷电路板线路等产生。
传导泄露：计算机系统的电源线，机房内的电话线、地线等都可以作为传导媒介。这些金属导体有时也起着天线作用，将传导的信号辐射出去。

🕘 1.5 设备在线面临的威胁

信息物理系统（CPS）是计算系统、通信系统、控制系统深度融合的产物，具有智能化、网络化的特征，也是一个开放控制系统。其应用很广，工业控制、智能交通、智能电网、智能医疗和国防等都已涉猎。由于需要在线互联，安全问题日益凸显。

🕘 1.6 实验：网络信息搜集

🕤 1.6.1 Shodan 介绍

在线设备的搜索引擎：🔎 Shodan
被称为黑客的谷歌

Shodan搜索对象分为网络设备、网络服务、网络系统、banner信息关键字四类

网络设备又分为网络连接设备和网络应用设备。

网络连接设备是指将网络各个部分连接成一个整体的设备，主要包括：主要包括Hub（集线器）、Modem（调制解调器）、Switch（交换机）、Router（路由器）、Gateway（网关）、Server（各种网络服务器）。
网络应用设备是指利用因特网提供的服务完成设计功能的设备，常见的有打印机、摄像头、数字电话、数字空调、智能电视以及工业生产领域大量使用的传感器、控制单元等。

网络服务是指网络提供的各种服务，如FTP、HTTP等

网络系统包括：

操作系统（如Windows，Linux，Solaris，AIX等）
工业生产领域广泛使用的各类控制系统，如数据采集与监视控制系统（Supervisory Control And Data Acquisition, SCADA）、集散控制系统（Distributed Control System, DCS）\配电网管理系统（Distribution Management System，DMS）等

Banner信息关键字类搜索对象是指用户分析Shodan搜索返回的banner后，将其中的关键字作为搜索对象，如弱口令（default password）、匿名登录（anonymous login）、HTTP报头（如HTTP 200 OK）等。

格式：A B C filter:value filter:value filter:value
A、B、C为搜索对象，如网络设备netcam、网络服务器IIS。Filter为Shodan搜索过滤词，常见的有地理位置、时间、网络服务三类。Value为filter对应的值，若filter是端口，则value的值对应为Shodan支持搜索的端口值。需要注意的是filter与value之间的冒号后面没有空格

过滤词：地理位置类过滤词在这里插入图片描述

过滤词：时间类过滤词在这里插入图片描述

过滤词：网络服务类过滤词，主要包括hostname、net、os、port 在这里插入图片描述

此外，还有其他搜索引擎，如Zoomeye

注意：搜索到的很多设备或服务可能是陷阱（蜜罐，蜜网）

🕤 1.6.2 whois数据库

确定了目标系统后，下一步就是确定域名和相关的网络信息。要找到这些信息，有哪些方法呢？

求助于互联网的域名授权注册机构：
- 互联网上各类型的whois数据库充当了互联网白皮书列表的角色。数据库中的数据包括了域名、IP地址、个人联系方式等注册信息。
- whois数据库由不同的注册商和特定的互联网基础设施组织所维护。

互联网数字分配机构 (The Internet Assigned Numbers Authority, IANA)的Whois数据库（https://www.iana.org/whois）
在这里插入图片描述

IANA给出的域名的Whois数据库基本上是管理该顶级域名的机构的Whois数据库，例如：如果查询域名www.njupt.edu.cn，返回的就是负责管理.cn后缀的中国互联网信息中心的Whois数据库whois.cnnic.cn；如果是.com域，则返回的是whois.verisign-grs.com等；如果是.uk域，返回的是whois.nic.uk等等。然后，去IANA给出的Whois数据库中查询该域名的注册信息。有些情况下，这些Whois数据库也可能没有相关域名注册信息，还需要通过其它方式进一步查询。

主要查询点：InterNIC的Whois数据库，支持以.aero, .arpa, .asia, .biz, .cat, .com, .coop, .edu, .info, .int, .jobs, .mobi, .museum, .name, .net, .org, .pro, or .travel为后缀的域名的注册机构查询（www.internic.net/whois.html）

在这里插入图片描述

如果要查询以中国顶级域名（.cn）为后缀的域名，可查询中国互联网信息中心（China Internet Network Information Center, CNNIC）的Whois数据库（http://www.cnnic.net.cn/）。
在这里插入图片描述
根据注册机构查注册信息：
根据域名的IP地址查询信息：

查询某个域名所对应的IP地址分配情况，也可以对某个IP地址进行查询以获得拥有该IP地址的机构信息。获取IP地址或地址段是进行精确网络扫描的基础。

这类查询一般借助全球四大互联网地址注册机构的Whois数据库来查询

美国互联网号注册局（American Registry for Internet Numbers, ARIN）的Whois数据库（https://www.arin.net/），负责北美地区的IP地址分配和管理
在这里插入图片描述

由Réseaux IP Européens网络协作中心（Réseaux IP Européens Network Coordination Centre, RIPE NCC）提供的Whois数据库（https://www.ripe.net），负责欧洲、中东、中亚和非洲地区的IP地址分配和管理
在这里插入图片描述

由亚太网络信息中心（Asia Pacific Network Information Center, APNIC）提供的Whois数据库（https://www.apnic.net），负责亚太地区的IP地址的分配和管理
在这里插入图片描述

由拉丁美洲和加勒比海网络地址注册局（Latin American and Caribbean Internet Address Registry, LACNIC）维护的Whois数据库（https://www.lacnic.net），负责拉丁美洲和加勒比海地区的IP地址和管理在这里插入图片描述

使用中国互联网信息中心（CNNIC）提供的IP地址注册信息查询系统（http://ipwhois.cnnic.cn/）可以查到CNNIC及中国大陆的IP地址分配信息在这里插入图片描述
地址输入栏中输入一个IP地址（121.229.219.241）得到类似结果

🕤 1.6.3 实操

用Shodan进行netcam查找，同时过滤出在中国的netcam
使用https://www.apnic.net或者其他信息中心的IP地址查询服务查询上一题IP地址的注册信息，将获取到的信息截图如下并分析其中的有用信息

在这里插入图片描述
其含义如下：

inetnum: 129.28.0.0 - 129.28.255.255，表示该IP地址所属的网段。
netname: TENCENT-CN，表示该网络的名称是TENCENT-CN，通常由网络运营商自行指定。
descr: Tencent Cloud Computing (Beijing) Co.,Ltd，表示该网络的描述信息，即腾讯云计算（北京）有限公司。
country: CN，表示该IP地址所在的国家/地区名称和国际标准组织分配的国家/地区代码，这里表示中国。
org: ORG-TCCC1-AP，表示该IP地址所属的组织是腾讯云计算（北京）有限公司。
admin-c: TCA15-AP，表示该网络的管理员联系信息。
tech-c: TCA15-AP，表示网络技术支持联系信息。
abuse-c: AT992-AP，表示网络滥用相关问题的联系信息。
status: ALLOCATED PORTABLE，表示该网络地址为可分配的地址。
remarks: 请联系网络的技术支持或管理员。Report invalid contact via www.apnic.net/invalidcontact，表示需要联系网络的技术支持或管理员，如果发现联系信息无效，可以通过APNIC网站上的表单报告。
mnt-by: APNIC-HM，表示维护该网络信息的组织/人员为APNIC-HM。
mnt-lower: MAINT-TENCENT-CN，表示该网络下属的子网络信息的维护人员。
mnt-routes: MAINT-TENCENT-CN，表示该网络路由信息的维护人员。
mnt-irt: IRT-TENCENT-CN，表示该网络滥用信息的维护人员。
last-modified: 2020-07-22T13:11:01Z，表示该网络信息最后修改时间。
source: APNIC，表示提供网络信息的数据库，即亚太地区网络信息中心。

选择一个whois数据库进行csdn.net的注册信息查询，将获取到的信息截图如下并分析其中的有用信息

在这里插入图片描述
各字段的含义：

域名 (Domain): csdn.net.cn，表示查询的是csdn.net.cn的注册信息。
ROID：20040525s10021s00068403-cn，表示该域名在数据库中的唯一编号。
域名状态 (Domain Status): ok，表示该域名在注册局中的状态为可用。
注册者 (Registrant): 北京创新乐知网络技术有限公司，表示该域名的所有者和注册信息的管理者。
注册者联系人邮件 (Registrant Contact Email): sa@csdn.net，表示该域名的所有者联系人的邮件地址。
所属注册服务机构 (Registration Service Provider): 阿里云计算有限公司（万网），表示提供该域名注册服务的服务机构。
域名服务器 (Name Server): freens1.jdgslb.com，freens2.jdgslb.com，表示处理该域名解析的DNS服务器地址。
注册时间 (Registration Time): 2004-05-25 14:51:03，表示该域名的注册时间。
到期时间 (Expiration Time): 2024-05-25 14:51:03，表示该域名的到期时间。
DNSSEC: unsigned，表示该域名DNS服务器没有启用DNSSEC。

🕒 2. 数据中心的安全防护

🕘 2.1 物理安全防护

数据中心：指为集中放置的电子信息设备提供运行环境的建筑场所。
数据中心物理安全的关键是保护对电子信息进行采集、加工、运算、存储、传输、检索等处理的设备，包括服务器、交换机、存储设备等。
环境安全技术主要是指保障信息网络所处环境安全的技术。
主要技术规范是对场地和机房的约束，强调对于地震、水灾、火灾等自然灾害的预防措施，包括场地安全、防火、防水、防静电、防雷击、电磁防护、线路安全等。
环境安全是物理安全的最基本保证。
物理环境安全建设应包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水防潮、防静电，温湿度控制，电力供应和电磁防护等

🕘 2.2 分级安全保护

根据各行业对信息系统数据中心的使用性质、数据丢失或网络中断在经济或社会上造成的损失或影响程度的不同，《规范》将数据中心划分为A、B和C 3个级别。

A级：容错型，电子信息系统运行中断会造成重大经济损失，造成公共场所秩序严重混乱。如国家气象台、重要军事指挥部分、应急指挥中心；
B级：冗余型，电子信息系统运行中断会造成较大经济损失，造成公共场所秩序混乱。如高校、大中城市气象台、交通指挥调度中心；
C级：其他情况

🕘 2.3 电磁安全

目前对于电磁信息安全的防护主要措施有：

设备隔离和合理布局
- 隔离是把重点防护的设备从系统隔离出来，特别防护。
- 合理布局是减少电磁泄露为原则，合理放置信息系统中的有关设备
使用低辐射设备
使用干扰器
电磁屏蔽
有色金属或金属板、屏蔽盒等
滤波技术
- 只允许某些频率的信号通过而阻止其他频率范围的信号。
光纤传输
- 光纤中传输的是光信号，不仅能量小而且不存在电磁泄露的问题。

🕒 3. PC物理安全防护

🕘 2.1 PC防盗

机箱锁扣
- 这种方式实现简单，制造成本低。
- 但由于这种方式防护强度有限，安全系数也较低
防盗线缆
- Kensington锁孔
机箱电磁锁
- 安装在机箱内部的，并且借助嵌入在BIOS中的子系统通过密码实现电磁锁的开关管理
- 这种防护方式更加的安全和美观，也显得更加的人性化。
智能网络传感设备
- 当机箱盖被打开时，传感开关通过控制芯片和相关程序，将此次开箱事件自动记录到BIOS中或通过网络及时传给网络设备管理中心，实现集中管理，但需要网络和电源支持。
安装防盗软件

在这里插入图片描述

🕘 2.2 PC访问控制

访问控制的对象主要是计算机系统的软件与数据资源，这两种资源平时一般都是以文件的形式存放在磁盘上，所谓访问控制技术主要是指保护这些文件不被非法访问的技术。
由于硬件功能的限制，PC的访问控制功能明显地弱于大型计算机系统。

在DOS系统和Windows系统中，文件的隐藏、只读、只执行等属性以及Windows中的文件共享与非共享等机制是一种较弱的文件访问控制机制。

PC访问控制系统应当具备的主要功能：

防止用户不通过访问控制系统而进入计算机系统。
控制用户对存放敏感数据的存储区域（内存或硬盘）的访问。
对用户的所有I/O操作都加以控制。
防止用户绕过访问控制直接访问可移动介质上的文件。
防止用户对审计日志的恶意修改。

🕤 2.2.1 软件狗

电子设备“软件狗”，这种设备也称为电子“锁”。软件运行前要把这个小设备插入到一个端口上，在运行过程中程序会向端口发送询问信号，如果“软件狗”给出响应信号，则说明该程序是合法的。

🕤 2.2.2 安全芯片

可信计算：可信计算的基本思想就是在计算机系统中首先建立一个信任根，再建立一条信任链，一级测量认证一级，一级信任一级，把信任关系扩大到整个计算机系统，从而确保计算机系统的可信。

可信计算技术的核心是称为可信平台模块（TPM）的安全芯片，它是可信计算平台的信任根。

TPM具有密钥管理、加解密、数字签名、数据安全存储等功能，在此基础上完成其作为可信存储根和可信报告根的职能。

TPM实际上是一个含有密码运算部件和存储部件的小型片上系统(System on Chip，SOC)，由CPU、存储器、I/O、密码运算器、随机数产生器和嵌入式操作系统等部件组成。

在这里插入图片描述

🕘 2.3 其他PC防护

降温
防偷窥片
防尘
三防笔记本

在这里插入图片描述

🕒 4. 案例分析：电影《碟中谍4》中迪拜哈利法塔的机房

碟中谍4名场面-徒手攀爬迪拜塔

影片《碟中谍4》中，哈利法塔数据中心的设置是位于第130层，网络防火墙采用了军用级别的口令和硬件网关，机房的门也是银行金库级别的。也许是考虑到机房是位于一百层以上，从窗户进来是不可能完成的任务，因而窗户成为阿汤哥饰演的特工唯一可能进出的通道。

影片中，虽然机房的窗户成为安全脆弱点，但是我们还是要佩服数据中心的安全设置，当然，除了窗户这个可以不算作脆弱点的脆弱点外，实际上影片中的机房还存在着不少安全问题。影片中的这一精彩桥段清楚地告诉我们，计算机设备及其运行环境是计算机信息系统运行的基础，它们的安全直接影响着信息的安全。

🕒 5. 案例拓展：U盘的安全防护

🕘 5.1 容量虚标

U盘里面主要有2个硬件，一个是FLASH，一个是主控，FLASH就是U盘内存的大小，如果这个FLASH只有128M，而商家又想把这个U盘做到8G，或者16G，就需要用软件来修改他，默认情况下U盘的软件是FLASH是多大就认多大，但是商家可以对这个软件进行调整，想多大就多大。

但是一旦拷贝资料也只能拷贝FLASH实际的容量，容易露馅。

其实也有相应软件进行伪装，使做出来的U盘和真的大容量U盘看起来一摸一样，可以拷大文件，多个文件，文件名属性都可以以假乱真。甚至也可以格式化而不露破绽。

解决方案：U盘检测

ChipGenius

一款USB设备芯片型号检测工具，可以自动查询U盘、MP3/MP4、读卡器、移动硬盘等一切USB设备的主控芯片型号、制造商、品牌、并提供相关资料下载地址、USB设备的VID/PID信息、设备名称、序列号、设备版本等。

🕘 5.2 感染和传播病毒等恶意代码

廉价的可编程USB外设几乎无处不在，但为了安全，明智的做法是不要随便在自己的机器上插入他人的USB设备，因为你的系统可能会遭到入侵，USB外设很容易就变成BadUSB。

BadUSB发生的原理是，USB的固件控制与所插入计算机的交互，固件可以被修改，一个USB设备可被修改伪装成完全不同的设备，比如USB存储设备伪装成USB键盘，能对机器执行许多恶意的行为。

【BadUSB】看完已惊呆，捡到的U盘插上电脑竟然会这样！最后的结果让人瞬间傻眼

解决方案：使用杀毒软件

🕘 5.3 数据泄露

非法拷贝数据
数据恢复软件，如EasyRecovery
取证软件，如ViewURL

解决方案：

认证与加密
- 系统自带工具或第三方工具
  Veracrypt
  BitLocker（Windows部分系统自带）
  FileVault（Mac OS自带）
- U盘厂商提供口令认证、加密功能
U盘访问控制
强力擦除
- Privacy Eraser Pro
- Tracks Eraser Pro
- 物理销毁

OK，以上就是本期知识点“设备与环境安全”的知识啦~~ ，感谢友友们的阅读。后续还会继续更新，欢迎持续关注哟📌~
💫如果有错误❌，欢迎批评指正呀👀~让我们一起相互进步🚀
🎉如果觉得收获满满，可以点点赞👍支持一下哟~