目录
5.1、物理安全概念与要求
5.1.1、物理安全概念
广义概念:由硬件、软件、操作人员、环境组成的人、机、物融合的网络信息物理系统的安全
传统概念:也称实体安全,指包括环境、设备、记录介质在内的所支网络信息系统运行的硬件总体安全。
5.1.2、物理安全威胁
- 硬件木马:IC中被植入恶意电路,可激活。(全生命周期均可能被植入:研发设计、生产制造、封装测试、应用)
- 硬件协同的恶意代码
- 硬件安全漏洞利用:2018年1月发现的 熔断(Meltdown)、幽灵(Spectre)
- 基于软件漏洞攻击硬件实体:震网(Stux)
- 基于环境攻击计算机实体
5.1.4、物理安全规范
- 《计算机场地通用规范(GB/T 2887——2011)》;
- 《计算机场地安全要求(GB/T 9361——2011)》;
- 《数据中心设计规范(GB 50174——2017)》;
- 《数据中心基础设施施工及验收规范(GB 50462——2015)》;
- 《互联网数据中心工程技术规范(GB 51195——2016)》;
- 《数据中心基础设施运行维护标准(GB/T 51314——2018)》;
- 《信息安全技术 信息系统物理安全技术要求(GB/T 21052——2007)》;
物理安全等级划分:
依据:《信息系统物理安全技术要求(GB/T 21052——2007)》
- 第一级:用户自主保护
- 第二级:系统审核保护
- 第三级:安全标记保护
- 第四级:结构化保护
5.2、物理安全分析与保护
- 防火
- 防水
- 防震
- 防盗
- 防鼠虫害
- 防雷
- 防电磁
- 防静电
- 安全供电
5.3、机房安全分析与防护
5.3.1、机房功能区域组成
依据:《计算机场地通用规范(GB/T 2887——2011)》
- 主要工作房间:主机房、终端室等
- 第一类辅助房间:低压配电间、UPS室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室
- 第二类辅助房间:资料室、维修间、技术人员办公室
- 第三类辅助房间:储藏室、缓冲间、休息室、盥洗室
5.3.2、机房安全等级划分
依据 《计算机场地通用规范(GB/T 2887——2011)》
- A级:系统中断后,对国家安全、社会秩序、公共利益造成严重损害。严要求。
- B级:系统中断后,对国家安全、社会秩序、公共利益造成较大损害。较严要求。
- C级:不属于A、B级情况;基本要求。
5.3.3、机房场地要求
依据:《计算机场地通用规范(GB/T 2887-2011)》
- 环境安全性。(避开危险来源区、环境污染区、盐雾区、落雷区域)
- 低质可靠性。
- 场地抗电磁干扰性。
- 应避开强振动源和强噪声源。(冲床、爆炸、机场、工地)
- 应避免设在建筑物的高层以及用水设备的下层或隔壁
5.3.4、数据中心建设与设计要求
依据 《数据中心设计规范(GB 50174——2017)》
数据中心:为实现对数据信息的集中处理、存储、传输、交换、管理以及为相关电子信息设备运行提供环境的建筑场所。
按规模分类:
- 超大型数据中心:大于等于10000个标准机架
- 大型数据中心:小于10000,大于等于3000
- 中小型数据中心:小于3000
《数据中心设计规范(GB 50174——2017)》强制条文:
- 8.44 所有带金属的设备和建筑物必须进行等电位联结并接地;
- 13.2.1 数据中心的耐火等级不低于二级;
- 13.2.4 当与他功能用房在同一建筑物内时,应采用耐火极限不低于2.0h防火墙和1.5h楼板隔开;
- 13.3.1 采用管网式气体灭火系统或细水雾灭会系统的机房,应同时设置两组独立火灾探测器,火灾报警系统应与灭火系统和视频监控系统联动;
- 13.4.1 设置气体灭火系统的机房,应配置专用空气呼吸器或氧气呼吸器;
数据中心等级划分:
- A级:重大经济损失、公共秩序严重混乱
- B级:较大经济损失、公共秩序混乱
- C级:不属于A、B级
5.3.5、互联网数据中心
依据:《互联网数据中心工程技术规范(GB 51195-2016)》
互联网数据中心:(IDC)是一类向用户提供资源出租基本业务和有关附加业务、在线提供IT应用平台能力租用服务和应用软件租用服务的数据中心。一般由机房基础设施、网络系统、资源系统、业务系统、管理系统、安全系统六大逻辑功能部分组成
等级划分:
- R1级别:基础设施和网络系统主要部分具备一定冗余能力,可用性不小于99.5%
- R2级别:基础设施和网络系统具备冗余能力,可用性不小于99.9%
- R3级别:基础设施和网络系统具备容错能力,可用性不小于99.99%
强制条文:
1.0.4 在抗震设防烈度7度及以上,地区IDC中使用的主要电信设备必须经抗震检测合格;
4.2.2 施工前必须对机房安全条件进行全面检查,应符合下列规定:
1、机房必须配备灭火消防器材,基础设施的消防系统施工完毕,满足IT设备系统安装,调测施工要求。
2、楼板预留孔洞应配置非燃烧材料的盖板,电缆走位孔洞用非燃烧材料封堵。
3、机房内严禁存放易燃、易爆等危险物品。
4、机房内不同电压的电源设备、电源插孔位有明显区分。
5.3.6、CA机房物理安全控制
依据:《电子政务电子认证服务业务规则规范》
5.4、网络通信线路安全分析与防护
5.4.1、网络通信线路安全分析
- 网络通信线路被切断。
- 网络通信线路被电磁干扰。
- 网络通信线路泄露信息。
5.4.2、网络通信线路安全防护
- 网络通信设备。(设备冗余)
- 网络通信线路。(多路通信)
5.5、设备实体安全分析与防护
5.5.1、设备实体安全分析
- 设备实体环境关联安全威胁
- 设备实体被盗取或损害
- 设备实体受到电磁干扰
- 设备供应链条中断或延缓
- 设备实体的固件部分遭受攻击
- 设备遭受硬件攻击
- 设备实体的控制组件安全威胁
- 设备非法外联
5.5.2、设备实体安全防护
依据:《信息安全技术 信息系统物理安全技术要求(GB/T 21052-2007)》
- 设备的标志和标记。(产品名称、型号、代号,制造商名称、商标,安全符号,认证标志)
- 设备电磁辐射防护。
- 设备静电及用电安全防护。
- 设备磁场抗扰。
- 设备环境安全保护。
- 设备适应性与可靠性保护。(①设备供应链弹性。供应商来源可靠,有可以替换的设备产品;②设备安全质量保障。硬件木马、漏洞检测,嵌入式软件可信;③设备安全合规。符合《中华人民共和国网络安全法》相关规定;④设备安全审查。《网络产品和服务安全审查办法》安全、可控)
5.5.3、设备硬件攻击防护
1、硬件木马检测
- 反向分析法:更具实体芯片逆向分析出电路结构图
- 功耗分析法:获取芯片功耗特征,通过K.L扩展分析法生成芯片指纹
- 测信道分析法:对比电路中的物理特性和旁路信息的不同,发现电路变化。
2、硬件漏洞处理
破坏漏洞利用条件
5.6、储存介质安全分析与防护
5.6.1、储存介质安全分析
- 存储管理失控
- 存储数据泄密
- 存储介质及存储设备故障
- 存储介质数据非安全删除
- 恶意代码攻击
5.6.2、储存介质安全防护
- 强化存储安全管理。
- 数据存储加密保存。
- 容错容灾存储技术。
扫一扫
510
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
