第六章
密码学和对称秘钥算法:
密码可为已存储(静止中)、通过网络传送(传输中)和存在于内存中(使用中)的敏感信息提供保密性、完整性、身份验证和不可否认性保护。
凯撒密码:将相关字母顺移
密码学的目标:保密性、完整性、身份验证和不可否认性
1、保密性:
保密性是确保数据在静止、传输和使用等三种不同状态下始终保持私密
对称加密系统、非对称加密系统
2、完整性
完整性确保数据没有被人未经授权更改、消息完整性使用加密的消息摘要实现
3、身份验证
身份验证用于验证系统用户所声称的身份,是密码系统的一项主要功能使用挑战-应答身份验证技术
4、不可否认性
不可否认性向接受者保证:消息发自发送者,而且没有人冒充发送者。
所有密码算法都一开秘钥维持安全
异或xor:只有当一个输入值为真的情况下,xor函数才会返回一个真值,如果两个值都为假或者两个值都为真,则xor函数的输出为假
模函数mod:其实就是取余
单向函数:公钥加密系统全都建立在某种单向函数的基础之上。
nonce:密码通过给加密过程添加随机性来获得强度,方法之一就是使用nonce、nonce是一个随机数。例子之一是初始化向量(IV)
零知识证明:
你向某一个第三方证明,你确实知道一个事实,但是同时又不把这个事实本身披露给该第三方-这样额机制借助密码学形成,通常通过口令和其他秘密鉴别符实现
分割知识:
当执行某项操作所要求的信息或权限被分散到多名用户手中时,任何一个人都不会具有足够的权限来破坏环境的安全。
代价函数:
你可用代价函数和代价因子从耗费成本和/或时间的角度测量破解一个密码系统需要付出的努力来衡量密码系统的强度。
密码
1、代码与密码:
代码是由代表单词和短语的符号构成的密码系统:代码警官有时是保密的,但它们并不一定提供保密性保护
密码始终要隐藏消息的真实含义。
2、移位密码
移位密码通过一种加密算法重新安排明文消息的字母,形成密文消息,解密算法只需要逆向执行加密转换便可恢复原始消息
3、替换密码:
替换密码通过加密算法用一个不同的字符替换明文消息的每个字符或位。
4、单次密本:
单次密本是极其强力的一种替换密码,单次密本为明文消息中的每个字母使用一个不同的替换字母表。
5、运动秘钥密码:
6、块密码
块密码是在消息块上运算。在同一时间对整个消息进行加密算法
7、流密码:
一次在消息或者消息流的一个字符或一个位上运行,凯撒密码是流密码的一个例子,单次密码本也是一种流密码,因为算法在明文消息的每个字母上单独运行
8、混淆和扩散
密码算法依靠两种基本运算来隐藏明文消息-混淆和扩散,明文和密钥之间有着极复杂的关系,破事攻击者放弃只靠改动明文和分析结果密文来确定秘钥-这就是混淆,明文中发生的一点变化,会导致多个变化在整个密文中船舶-这就是扩散,这里替换带来的就是混淆,移位带来的就是扩散、
现代密码学:
对称秘钥算法
对称加密算法的几个弱点:
秘钥分发是主要问题:在建立通信之前,首先必须找到一种安全的方法来交换秘密密钥,如果这时没有线程的安全电子信道可用,则往往需要采用一种安全的线下秘钥分发方法即带外交换
对称秘钥加密法不提供不可否认性:
算法缺乏可伸缩性:如果通信群体规模较大,将很难使用对称秘钥加密算法,只有在每个可能的用户组合都共享一个秘钥的情况下, 才能在群体内的个人之间实现安全私密通信
秘钥必须经常重新生成:每当参与者离开通信群体时,该参与者知道的所有密钥都必须弃用
对称秘钥加密法的主要优势在于它的运算速度,对称秘钥加密非常快,往往比非对称算法快1000到10000倍,从数学的属性看,对称秘钥加密法本身自然更适合硬件执行
非对称密钥算法
非对称密钥算法也叫做公钥算法,可提供解决方案消弭对称秘钥加密的弱点
非对称密钥算法还支持数字签名技术:
非对称密钥优点:
添加新用户时只需要生成一个公钥-私钥对
便于从非对称系统移除用户:提供秘钥注销机制
只需要在用户私钥失信的情况下重新生成密钥
非对称密钥加密可提供完整性、身份验证和不可否认性
秘钥分发简便易行
不需要预先建立通信关联
散列算法:
散列算法可以用来提供数字签名能力,而数字签名将有助于实现密码的完整性和不可否认目标。
对称密码
数据加密标准:
DES是一种64位块密码,共有5中运算模式电子密码本ECB模式,密码块链接CBC模式,密码反馈CFB模式,输出反馈OFB模式和计数器CTR模式。
DES通过长长的一系列异或XOR运算生成密文,这个过程会为每个加密/解密操作重复16遍。每一次重复操作通常叫做一轮加密-这解释了DES需要执行16轮加密的说法。
1、电子密码本ECB模式:
最不安全的模式,算法每次处理一个64位块,它只用选好的秘密密钥给块加密,这意味着,算法如果多次遇到同一块,会生成相同的加密块,如果敌人在窃听通信,他们很容易根据所有可能的加密值构建一个密码本,收集到足够数量的块后,便可用密码分析手段来解密其中一些块并破解加密方案。
2、密码块链接CBC模式
在密码块链接模式当中,每块未加密文本通过DES算法加密前,先要借助前面刚生成的密文块接收异或运算,解密流程只需要解密密文并进行反向异或XOR运算即可,CBC执行一个初始化向量(IV)并且用第一个消息块进行异或运算。
3、密码反馈模式CFB
密码反馈CFB模式是CBC模式的流密码版,CFB针对实时生成的数据进行运算,但是,CFB模式不是把消息分解成块,而是使用与块大小相同的存储缓冲区。
4、输出反馈模式OFB
几乎与CFB模式完全相同的方式运行,不同的是,DES不是针对前一个密文块的加密版进行异或运算,而用一个种子值对明文进行异或运算,对于第一个被加密的块,DES用一个初始化向量来创建种子值。
5、计数器模式
CTR计数器模式运行的DES使用了与CFB和OFB模式类似的流密码,但是CTR模式不是根据以前的种子值结果为每次加密/解密运算创建种子值,而是利用一个简单的计数器为每次运算增量。
三重DES
DES的56位秘钥不再被认为足以应对现代密码分析技术和超级计算能力,3DES一共有4个版本第一个版本主要用3个不同的秘钥(K1,K2,K3)给密文加密三遍,这种叫DEs-EEE3模式,DES0EEE3的有效长度秘钥为168位。
第二个变体DES-EDE3也使用3个秘钥,但是用一次解密运算替换了第二次加密运算。
第三个变体DES-EEE2只使用网格秘钥,有效密钥长度为112位
第四个变体DEs-EDE2也使用2个秘钥,但使用了一个解密运算,有效密钥长度为112位
国际数据加密算法
国际数据加密算法idea,属于块密码,与DES一样,idea在64位明文/密文块上运行,不过,idea是用一个128位秘钥开始运算的,这个秘钥被分解成52个16位自秘钥进行一系列运算,idea能在DES使用的5中模式(ECB,CBC,CFB,OFB,CTR)下运行。
Blowfish
在64位块上运行,允许密钥长度可变,其中最短为相对不太安全的32位,最长为极强的448位。秘钥的加长会导致加密解密时间相应增加,但是时间试验证明,blowfish这种算法比idea和des的速度要快得多
Skipjack
SkipJack,在64位文本上运行,使用80位秘钥,支持des的四种运行模式,提供支持clipper和capstone加密芯片的密码例程
但是skipJack支持密钥托管。两家政府机构,一驾驶国家标准与技术研究院NIST,另一家是财政部,各持有重建skipJack秘钥所需信息的一部分
高级加密标准:
NIST发布FIPS197,强制规定美国政府用AES/Rijndael加密所有敏感但未区分的数据。
高级加密标准密码允许使用三种秘钥强度,128位,192位,和256位。
对称秘钥管理:
1、创建和分发对称秘钥:
线下分发
公钥加密
DIffie-Hellman:秘钥交换算法,安全RPC(S-RPC)就是使用diffie-hellman来进行密钥交换的。
2、存储和销毁对称秘钥:
最佳实践规范存储加密秘钥:
绝不将加密秘钥与被加密数据保存在同一个系统里,否则会让攻击者大行其便。
对于敏感密钥,考虑安排两个人各持一半片段,这两人以后必须同时到场才能重建整个秘钥,这就是所谓分割知识原则
当一名知道秘密密钥的用户从本机构离职或者不在被允许访问被该秘钥保护的材料时,密钥必须更换,而且所有加密材料必须使用新秘钥重新加密。
3、密钥托管和恢复
公平密码系统:在这种托管方法中,用于通信的秘密密钥被分解成两个或者多个片段,每个片段都交付一个独立第三方保管
受托加密标准:这种托管方法向政府提供了解密密文的技术手段,该标准是前文所述的skipJack算法的基础。
密码生命周期:
除了单次密码本以外,所有的密码系统的使用寿命都是有限的,
PKI和密码应用
RSA:算法依靠的是因式分解大素数的天然计算难度
EI Gamal:对于rsa的主要优势之一,是他的论文是在公共领域公开发布的,rsa在2000年才把算法在公共领域公开,eifamal的劣势是由他加密的任何消息都加长了一倍,这在加密长消息或将通过窄带宽通信线路传输的数据时,会造成很大的困难。
椭圆曲线:椭圆曲线密码学,基于标准离散对数题
1024位的rsa秘钥在密码强度上等同于160位椭圆曲线密码系统秘钥。
散列函数:sha/md2/md4/md5/散列消息鉴别码(hmac)
haval可变长度散列:是md5的修订版,使用1024块,产生128/160/192/224/256位散列值
以下是sha-2的四个变体:
sha-256:用512位块大小生成256位消息摘要
sha-224:借用了sha-256散列的缩减版,用512位块大小生成224位消息摘要
sha-512:用1024位块大小生成512位消息摘要
sha-384:借用了sha-512的缩减版,用1024位块大小生成384位消息摘要
sha-1可处理512位块中的消息并且生成160位消息摘要
sha-3系列的开发是为了插进取代sha-2的散列函数,通过一种更安全的算法提供与sha-2相同的变体和散列长度。
md2后来被证明不是单向函数,因此不能再被使用、生成128位消息摘要
md4:生成128位消息摘要,不到一分钟可以找到md4摘要的冲突,因此不安全
md5也不安全
数字签名:
数字签名旨在提供不可否认性和不可篡改(第三方篡改)
甲乙双方发送消息步骤:
甲方使用私钥给消息摘要进行加密并且把附件消息一起发送给乙方
乙方在收到消息后使用同一种消息摘要算法进行计算,然后使用甲方的公钥针对甲方的加密签名进行解密,解密后得到消息摘要和自己计算的消息摘要进行对比,一致即没被篡改
这里数字签名流程并不对自己所含内容以及签名本身提供任何隐私保护,它只确保实现密码的完整性。鉴别和不可否认性目标,要实现隐私保护可用乙方公钥加密,然后乙方用私钥解密
hmac依靠共享密钥的方式与任何标准消息摘要生成算法配套使用,因此只有知道秘钥的通信参与方可以生成或者验证数字签名
数字签名标准加密算法:
DSA、RSA、椭圆曲线DSA(ECDSA)、Schnorr签名算法和Nyberg-Rueppel签名算法
公钥基础设施:
公钥加密的主要优势在于它能为以前不认识的双方之间提供通信方便
证书:
数字证书向通信双方保证,与他们通信的确实是他们声称的人。数字证书其实就是一个人的公钥签注副本
发证机构:
cpv证书路径验证
证书的生成和销毁:
1、注册:以某种方式向CA证明自己的身份
2、验证:
3.注销
证书注销列表CRL:用户必须定期下载crl并且交叉验证,这在证书注销时间与最终用户得到注销通知的时间之间产生了滞后期
在线证书状态协议:OCSP,这一协议提供了实时验证证书的渠道,消除了证书注销列表固有的时间滞后。
应用密码学:
便携设备:
电子邮件:
如果电子邮件需要保密性:应该给邮件加密
如果邮件必须保持完整性:应该对邮件进行散列运算
如果邮件需要鉴别完整性和不可否认性:应该给邮件机上数字签名
如果邮件需要保密性、完整性、鉴别和不可否认性,应该给邮件加密后在加上数字签名
采用恰当机制确保邮件或者传输的安全,永远是该由发送者承担的责任。
1、良好隐私PGP
2、S/MIME:安全/多用途互联网邮件扩展,通过x.509证书交换密码密钥,这些证书包含的公钥用于数字签名和交换对称秘钥,而这些对称秘钥用于较长的通信会话。
web应用程序:
用户访问网站时,浏览器检索web服务器的证书并且提取服务器的公钥,随后浏览器随机生成一个对称秘钥,用护服务器的公钥对秘钥进行加密,然后将加密后的对称秘钥发送服务器,服务器用私钥解密,获得对称秘钥,然后用对称秘钥进行通信.
隐写术和水印:通过加密技术把秘密消息嵌入另一条消息的技艺,隐写算法的工作原理是从构成图像文件的大量位中选出最不重要的部分作出改动
数字版权管理(DRM):通过加密在数字媒体上执行版权的限制
电影DRM:
联网
1、线路加密:
链路加密:通过在两点之间创建一条安全隧道来保护整个通信线路
端到端加密:独立于链路加密执行,保护通信双方之间的通信,用TLS来保护一个用于与一台web服务器之间的通信就是端到端加密的例子
链路加密和端到端加密之间的关键差别在于,每个链路加密中,所有数据,包括消息报头,消息尾部、地址和路由数据都是被加密的,因此每个数据宝在每个中继段中只有解密后重新加密,才能正常进入下一个中继段继续发送,这减慢了路由的速度,端到端加密不给报头、尾部、地址和路由数据加密,因此从一个点到另一个店的传送速度更快
IPsec通过公钥加密算法提供加密,访问控制,不可否认性和消息鉴别,全部使用基于IP的协议。
在运行过程中需要创建一个安全关联SA来建立会话,SA代表通信会话,记录了有关连接的所有配置和状态信息。SA还代表一次单纯连接。
2、ISAKMP
互联网安全关联和密钥管理协议:通过协商、建立和删除安全关联为IPsec提供后台安全支持服务。IPsec依靠的是安全关联系统,这些SA通过isakmp接收管理
无线联网:
有线等效保密:WEP为保护无线局域网内的通信提供64和128位加密选项
WiFi受保护访问:WPA执行临时密钥完整性方式消除破坏WEP的密码依赖,WPA2增加了AES密码,另一项常用标准是IEEE 802.1x可为有线和无线网络内的鉴别和密钥管理提供一个灵活框架。
密码攻击:
分析攻击:分析算法逻辑
执行攻击
统计攻击
蛮力攻击
频率分析和维密文攻击:
已知明文
选择密文
选择明文
中间相遇
中间人
生日
重放:拦截鉴别请求的数据包,然后通过重放捕捉来的消息建立一个新会话
安全模型、设计和能力的原则:
使用安全设计原则实施和管理工程过程
主体和客体:
主体是发出访问资源请求的用户或者进程
客体是用户或者进程想要访问的资源
在不同的访问请求当中相同的资源即可能是主体也可能是客体
封闭系统和开放系统:
封闭系统很难与相异的系统集成,但是他们更安全,封闭系统通常由不符合行业标准的专用硬件和软件组成,缺少易集成性意味着针对很多通用组件的攻击,要么不起作用,要么必须定制才能攻击成功。
用于确保保密性、完整性和可用性的技术:
1、限制
软件设计者使用进程限制来约束程序的行为。
2、界限
在系统上运行的每个进程都有授权级别
3、隔离
当通过执行访问权限来限制进程时,该进程以隔离状态运行。
控制:
分为强制访问控制Mac和自主访问控制DAC,在强制访问控制中,是否许可一个访问由主体和客体的静态属性决定,每个主体都拥有属性,用来定义其访问资源的许可和授权。每个客体拥有属性,用来定义其分类。不同类型的安全方法用不同的方式对资源进行分类
自主访问控制与强制访问控制的不同之处在于,主体具有一些定义要访问的客体的能力,在一定范围内,自主访问控制允许主体根据需要定义要访问的客体列表。
访问控制的主要目标是通过阻止已授权或未授权的主体的为授权访问,确保数据的保密性和完整性。
信任与保证:
可信系统指所有保护机制协同工作的系统。为许多类型的用户处理敏感数据,同时维护稳定和安全的计算环境。
理解安全模型基本概念:
安全令牌:是与资源关联的独立客体,它描述资源的安全属性,在请求访问实际客体之前,令牌可传达关于客体的安全信息
能力列表:为每个受控客体维护一行安全属性信息
安全标签:属性存储类型,通常都是其所附加的客体的永久部分,安全标签设置后,通常无法更改,这种持久性提供了另一种防止篡改的保护措施。
可信计算基:
TCSEC可信计算基评估标准
可信计算基TCB描述为硬件、软件和控件的组合。
通常系统中的TCB组件负责控制对系统的访问,TCB必须提供访问TCB本身内部和外部资源的方法,TCB组件通常会限制TCB外部组件的活动,TCB组件的职责是确保系统所在所有情况下都能正常运行,在所有情况下都能遵守安全策略:
1、安全边界:
系统的安全边界是一个假想的边界,将TCB与系统的其余部分分开,该边界确保TCB与计算机系统的其余元件之间不会发生不安全的通信或者交互。TCB要想与系统的其余部分进行通信,必须创建安全通道,也称为可信路径。
2、参考监视器和内核:
当实现安全系统时,必须开发TCB的某些部分以对系统资产和资源实施访问控制。TCB中负责在授权访问请求之前验证资源的部分称为参考监视器
TCB中用于实现参考监视器功能的组件集合称为安全内核,参考监视器是通过在软件和硬件中实现安全内核而付诸实践的概念或者理论,安全内核的目标是启动适当的组件以执行参考监视器功能并且低于所有已知攻击
安全内核还决定所有对资源的访问请求,仅允许那些与系统中使用的适当访问规则相匹配的请求
状态机模型:
描述了一个系统,它无论出于什么状态总是安全的
信息流模型:
信息流模型侧重于信息流,基于状态机模型,Bell-LaPadula和Biba模型都是信息流模型、Bell-LaPadula模型关注的是防止信息从高安全级别流向低安全级别。Biba模型防止的是信息流从低安全级别流向高安全级别。信息流模型不一定只处理信息流的方向,还可处理流动的类型。,信息流模型还可以通过明确排除所有非定义的流动路径来解决隐蔽通道问题
非干扰模型:
非干扰模型大致基于信息流模型。关注的是防止处在高安全分类水平的主体的行为影响处于较低安全分类水平的系统状态。
Take-Grant模型
使用有向图来规定如何将权限从一个主题传递到另一个主体,如获取,授予权限,创建新权限,删除权限
访问控制矩阵
是主体和客体的表,其指示每个主体可对每个客体执行的动作和功能。矩阵的每列是访问控制列表(ACL),
Bell-Lapudula模型
解决保护机密信息的问题,可以阻止较低分类的主体访问较高级别的客体来实现的
不准向上读不准向下写
Biba模型:
解决的是完整性问题,主要是保护数据完整性
不准上写不准下读
Clark-Wilson模型
实施数据完整性
定义了每个数据仅允许通过某一小组程序进行修改。使用被称为三元组或者访问控制三元组(主体程序客体(主体事务客体))
Brewer and Nash模型
是为了允许访问控制可以基于用户先前的活动而动态改变。
Goguen-Meseguer模型
是一个完整性模型,预先确定集合或者域(主体可访问的客体列表),该模型基于自动化理论和域隔离。这意味着仅允许主体对预定客体执行预定动作。
Sutherland模型
是一个完整性模型,,该模型基于定义一组系统状态,初始状态以及状态转换的思想,通过仅使用这些预定的安全状态来保持完整性并且阻止干扰。
Graham-Denning模型
专注于主体和客体的安全创建与删除,是八个主要保护规则或者操作的集合,用于定义某些安全操作的边界:
如:安全的创建客体,安全的创建主体
基于系统安全需求选择控制措施
评估系统安全步骤:
1、对系统进行测试和技术评估,以确保系统的安全功能符合其预期使用的标准
2、系统应对其设计和安全标准以及其实际能力和性能进行正式比较,负责此类系统安全性和准确性的人员必须决定是接受他们还是拒绝他们,还是对标准进行一些修改,然后再试一次
3、通常会聘请可信的第三方来执行此类评估,这种测试最重要的结果是他们的批准印章,即系统符合所有基本标准
这里有三个主要的评估模型或者分类标准模型:TCSEC、ITSEC和通用准则(CC)
彩虹系列(TCSEC)
1985年美国国家计算机安全中心开发了TCSEC
TCSEC分类和所需功能:
定义了下列主要类别:
类别A:已验证保护,最高级别的安全性
类别B:强制保护
类别C:自主保护
类别D:最小保护,用于已评估但达不到其它类别的要求的系统
级别标签和要求
D 最小保护
C1 自主保护
C2 受控访问保护
B1 标签化安全
B2 结构化保护
B3 安全域
A1 已验证保护
橘皮书:适用于未连接到的互联网的独立计算机
红皮书:TCSEC的可信网络解读
红皮书功能:
保密性和完整性的等级
解决通信完整性问题
解决拒绝服务保护问题
解决危害预防和保护
仅限于标记为使用单一鉴别的集中式网络的有限类别的网络
仅使用四个评级:无none,C1最小,C2一般,B2好
绿皮书:美国国防部密码管理指南提供密码创建和管理的指南,对于那些配置和管理可信系统的人来说,绿皮书很重要
ITSEC类别与所需保证和功能:
ITSEC代表了欧洲在指定安全评估标准的初步尝试,ITSEC指南评估系统的功能和保证,ITSEC将评估中的系统称为评估目标TOE,ITSEC使用两个尺度来评估功能和保证
系统的功能等级从F-D到F-B3进行评级,系统的保证等级从E0到E6进行评级,
TCSEC和ITSEC之间的差异
1、TCSEC几乎只关注保密性,而ITSEC除了保密性外,还解决了缺少完整性和可用性的问题,从而涵盖了维护完整的信息安全性的三个重要因素
2、ITSEC不依赖于TCB的概念,也不要求TCB中隔离系统的安全组件
3、TCSEC要求任何已更改的系统都要重新评估--无论是操作系统升级,打补丁还是修复,以及应用程序升级或者变更等,与TCSEC不同,ITSEC在发生此类变更后不需要进行新的正式评估,而将其包含在评估目标维护的范畴里。
通用准则CC
CC被设计为一个产品评估模型
CC的指南的目标如下:
1、增加购买者对已评估和以评级的IT产品安全性的信心
2、为消除重复评估
3、使安全评估和认证过程更具有效益和效率
4、确保IT产品的评估符合高标准和一致的标准
5、促进评估,并且提高已评估和以评级的IT产品的可用性
6、评估TOE的功能性和保证
通用准则的结构...
eal1-7
功能测试,结构测试,系统测试并且检查,系统的设计、测试和评审,半正式设计和测试,半正式验证、设计和测试,正式验证、设计和测试
CC指南不包括现场评估,同时也不确保用户对数据的操作方式也是安全的,也没有解决特定安全的范围之外的管理问题,没有解决对电磁辐射的控制,没有明确规定对加密算法强度进行评级的标准。
行业和国际安全实施指南:
PCI DSS:是一组提高电子支付交易安全性的要求,定义了安全管理、策略、程序、网络架构、软件设计和其他关键保护措施的要求
ISO是由各个国家标准组织的代表组成的全球标准指定组织,ISO定义了工业和商业设备、软件、协议和管理以及其他标准。
认证和鉴定
1、认证
评估过程的第一阶段是认证,认证是对IT系统以及为支持鉴定过程而制定的其他保护措施的技术和非技术安全功能的综合评估。
评估完所有因素并且确定系统的安全级别后,即可完成认证阶段,管理层通过鉴定流程接受系统的已认证安全配置
2、、鉴定
管理层审核认证信息并确定系统是否满足组织的安全需求,如果管理层确定系统的认证满足他们的需求,系统就被鉴定了。
3、认证和鉴定系统
定义、验证、确认、鉴定后(对于系统的鉴定,对于场所的鉴定,对于类型的鉴定)
理解信息系统的安全功能
信息系统的安全功能包括内存保护、虚拟化、可信平台模块TPM、接口和容错。
内存保护:
内存保护是核心安全组件,在操作系统中必须设计和实现。无论系统中执行哪些程序,都必须执行内存保护,否则可能导致不稳定,侵害完整性,拒绝服务和泄露等结果,内存保护用于防止活动的进程与不是专门指派或分配给它的内存区域进行交互。
虚拟化:
虚拟化技术用于在单一主机的内存中运行一个或者多个操作系统
可信平台模块:
TPM既是主板上的加密处理器芯片的规范,也是实现此规范的通用名称。
接口
容错:是指系统遭受故障后仍然能继续运行的能力,容错通过添加冗余组件实现,如在廉价磁盘冗余阵列中添加额外磁盘,或故障转义集群配置中添加额外的服务器。
安全漏洞、威胁和对策
硬件:
1、处理器
中央处理单元通常称为处理器或者微处理器,是计算机的神经中枢。是控制所有主要操作的芯片。
2、执行类型
多任务、多核、多处理、多程序、多线程
3、处理类型
单一状态:单一状态系统需要使用策略机制来管理不同级别的信息
多状态:多状态系统能够实现更高级别的安全性
4、保护机制:
保护环:
从安全性角度看,环模型使操作系统能够保护和隔离自己,免受用户和应用程序的影响。
操作系统中始终驻留在内存中的部分称为内核。
进程占用的环决定了其对系统资源的访问级别,进程可以直接访问对象,只要它们位于进程自己的环内或当前边界之外的某个环中。
进程状态:
进程状态也称为操作状态,进程状态是进程可能在其中运行的各种执行形式
监督状态:以特权、完全访问模式运行
根据进程是否正在运行,它可能处于以下几种状态:
就绪状态:进程准备在被调度执行时立刻恢复或开始处理,进程在这个状态时如果CPU可用,它将直接转换到运行状态。
等待状态:等待也可以被理解为等待某种资源
运行状态也称为问题状态:运行中的进程在CPU上执行并持续运行,直到完成、时间片到期或者由于某种原因而被阻塞
监管状态:
当进程必须执行需要大于问题状态特权集的特权操作时,才使用监督状态,包括修改系统配置,安装设备驱动程序或者修改安全设置
停止状态:当进程完成或者必须终止时,将进入停止状态。
安全模式:美国政府为处理机密信息的系统指定了四种经批准的安全模式。
知其所需的概念模式,不管角色权限多高,不属于其工作范围内的情况同样无法访问
在部署安全模式之前,必须存在三个特定元素:
1、分层的强制访问控制环境
2、对可以访问计算机控制台的主体的完全物理控制
3、对能进入计算机控制台同一房间的主体的完全物理控制
专用模式:
1、每个用户必须具有允许访问系统处理的所有信息的安全许可
2、每个用户必须拥有系统处理的所有信息的访问批准
3、每个用户必须有对系统处理的所有信息具有知其所需权限
系统高级模式:
1、每个用户必须具有允许访问系统处理的所有信息的有效安全许可
每个用户必须拥有系统处理的所有信息的访问批准
每个用户必须对系统处理的某些信息具有有效的知其所需的权限,但不要求对系统处理所有的信息都是有效的知其所需权限
分隔模式:
操作模式:
1、用户模式:用户模式是CPU在执行用户应用程序时使用的基本模式,在此模式下,CPU只允许执行其全部指令集中的部分指令
2、特权模式:CPU还支持特权模式,该模式使操作系统能访问CPU支持的所有指令。
存储器:
只读存储器:是只可以读取但不能更改内存,ROM的主要优点就是不能被修改,用户或者管理员的错误不会意外的清除或修改此类芯片的内容,这个属性使得ROM非常适合组织协调计算机中最核心的工作。
可编程只读存储器prom、可擦除可编程只读存储器、电可擦除可编程只读存储器、闪存、随机存取存储器、实际存储器、高速缓存RAM
动态RAM使用电容但是静态RAM使用触发器,电容比触发器便宜,但静态RAM比动态RAM运行速度快很多。
寄存器:它为算术逻辑单元在执行计算或者处理指令时,提供可直接访问的存储位置。
存储器寻址:寄存器寻址、立即寻址、直接寻址、间接寻址、基址+偏移量寻址
辅助存储器
存储器的安全问题:
围绕存储器的安全最重要的问题之一是:控制在计算机使用过程中谁可以访问存储在存储器中的数据
存储设备:
主存储设备与辅助存储设备、易失性从存储设备与非易失性存储设备、随机存取与顺序存取。
几乎所有主存储设备都是随机存取设备,随机存取设备允许系统通过使用某种类型的寻址系统从设备内的任何位置立即读取数据。顺序存储设备,要求在到达所需位置之前读取物理存储的所有数据
许多顺序存储设备可在相对便宜的介质上保存大量数据,这个特性使磁带驱动器特别适合与灾难恢复/业务连续性计划相关的备份任务,在备份时,经常需要存储大量数据,而很少需要访问存储的信息,这种情况下只需要使用顺序存储设备就可以
存储介质的安全:
1、及时在数据被删除后,数据仍可保留在辅助存储设备上,称为数据残留
2、固态硬盘SSD在净化方面有一个独特问题,SSD耗损均衡意味着通常存在未标记为存活的数据块,意味着传统的零擦除作为SSD的数据安全措施是无效的
3、辅助存储设备很容易被盗。因此需要使用全盘加密措施
4、访问存储在辅助存储设备上的数据
5、可用性,必须选择能在所需时间长度内保留数据的介质
输入和输出设备:
显示器:tempest技术可能危害监视器上显示的数据的安全性,通常,阴极射线管CRT监视器很容易产生辐射。任何显示器的最大风险仍然是肩窥或是相机上的长焦镜头。
打印机:
键盘/鼠标:同样容易受到tempest技术的监控
调制解调器:它允许用户在网络中创建不受控制的接入点,并且调制解调器创建了一个备用出口通道,内部人员可使用该通道把组织的数据泄漏到外部
固件
1、BIOS和UEFI
BIOS基本输入/输出系统包含独立于操作系统的原始指令,用于启动计算机并从磁盘加载操作系统,UEFI是一种硬件和操作系统之间更高级的接口,它保留了对传统BIOS服务的支持。
2、设备固件
与计算机的BIOS一样,设备固件也经常存储在eeprom设备中,因此可以根据需要进行更新
基于客户端的系统
applet
本地缓存
本地缓存是临时存储在客户端上以供将来重复使用的任何内容。
ARP缓存中毒是由攻击者响应ARP广播查询并且返回伪造的回复造成的,ARP缓存中毒的第二种形式是创建静态ARP条目、另一种执行中间人攻击的流行方法是dns缓存中毒,与ARP缓存类似,一旦客户端收到来自dns的响应,该响应被缓存以备将来使用,有许多方法可执行dns中毒,包括主机中毒,授权dns服务器,缓存dns服务器攻击,dns查找地址更改以及dns查询欺骗。
第三个本地缓存的关注领域是临时Internet文件或者Internet文件缓存,这是从Internet网站下载的文件的临时存储,这些文件由客户端实用程序保存,可以进行拆分响应攻击,修改响应包,移动代码脚本攻击也可以用于在缓存中写入虚假内容,一旦缓存文件中毒,即使合法的web文档调用缓存中的内容,也会激活恶意内容。
基于服务端的系统
基于服务端的系统安全可能也包含客户端,关注的重要领域是数据流控制的问题。数据流管理不仅要确保以最小延迟或延时进行高效的传输,还要使用散列确保可靠的吞吐率,使用加密确保保密性。
数据库系统安全
聚合
聚合攻击用来收集大量较低安全级别或者较低价值数据项,并将它们组合在一起生成具有更高级别的数据项
推理
推理攻击指组个若干非敏感信息以获取本应该属于更高分类级别的信息。与聚合攻击类似,针对推理攻击的最佳防御措施是对授予单个用户的权限始终保持警惕。此外也可故意混淆数据来防止敏感信息的推理
数据挖掘和数据仓库
数据挖掘活动产生元数据,元数据是关于数据的数据或者关于信息的数据。元数据可以使数据集中重要的,有意义的,相关的,不正常的或异常的元素
数据仓库包含大量易受聚合和推理攻击的潜在敏感信息,安全从业者必须确保有足够的访问控制和其他安全措施来保护这些数据,,另外数据挖掘可用于开发基于统计异常的入侵检测系统的基线,实际也可以作为安全工具使用。
数据分析:
数据分析师检查原始数据的科学,其重点是从大批量信息集中提取出有用信息。在安全性方面,组织正在努力收集更详尽的事件数据和访问数据,收集这些数据的目的是评估合规性、提高效率和监测违规行为。
大规模并行数据系统
并行数据系统或并行计算是一种设计用于同时执行计算的计算系统。但并行数据系统通常远超出基本的多处理能力。
分布式系统和端点安全:
由于处理和存储分布在多个客户端和服务器上进行,因此必须妥善的保障和保护所有这些计算机,还意味着客户端和服务器之间的网络链接必须受到保障和保护。
通信设备也提供有害的分布式环境入口,
必须对电子邮件进行过滤
必须创建下载/上传策略
系统必须受到可靠的访问控制约束
应使用受限用户界面机制并安装数据库管理系统
文件加密可能适用于存储在客户端计算机上的文件和数据
必须分离和隔离在用户和监管模式下运行的进程
应该创建保护域,以便某个客户端遭受的危害不会自动危害整个网络
应清楚的标明磁盘和其他敏感材料的安全等级或组织敏感性
应备份桌面计算机上的文件以及服务器上的文件
桌面用户需要定期进行安全意识培训,以保持正确的安全意识
台式计算机及其存储介质需要防范环境危害
桌面计算机应该包含在灾难恢复和业务连续性计划中。
在分布式环境中使用内置和自定义软件的开发人员也需要考虑安全性。
通常保护分布式环境意味着要了解他们所面临的漏洞并且采用适当的安全控制措施。
基于云的系统和云计算
云计算是一个计算概念,指听过网络连接在其他地方执行处理和存储
type-I:虚拟机管理程序是原生或裸机管理程序,在此配置中,没有主机操作系统,相反,虚拟机管理程序直接安装到通常主机操作系统安装的硬件上。
type-II:虚拟机管理程序是托管管理程序。
平台即服务:paas
软件即服务:SaaS
基础设施即服务:IAAS
私有云、公有云、混合云、社区云(是由一组用户或者组织维护、使用和支付用于利益共享的云环境,例如协作和数据交换,与独立访问私有云或者公有云相比,这可节省一些成本。)
网格计算:
网格计算是一种并行分布式处理形式,它将大量处理节点松散的分组,以实现特定处理目标
对等网络:
p2p技术是网络分布式应用程序解决方案,可在点对点之间共享任务和工作负载,类似于网格计算,主要区别是p2p没有中央管理系统,其所提供的服务通常是实时的,而不是计算能力的集合。
物联网
通常情况下,物联网设备不是以安全为核心概念设计的,甚至是事后才考虑,
可能的E安全实施方案时将物联网设备部署在单独划分的网络中,并且该网络与主网络保持独立和隔离。
工业控制系统
ICS工业控制系统,包括分布式控制系统DCS、可编程逻辑控制器(PLS)以及监控和数据采集SCADA
评估和缓解基于web系统的漏洞
SAML是一种基于XML的约定,用来组织和交换在安全域之间的用于认证与授权通信的详细信息,通常使用web协议,SAML通常用来提供基于web的sso单点登录解决方案,如果攻击者可以伪造SAML通信或窃取访问者的访问令牌,他们可能会绕过身份验证并获得对站点的未授权访问。
评估和缓解移动系统的漏洞
设备安全:
1、全设备加密
2、远程擦除
3、锁定
4、锁屏
屏幕锁定可能有绕过的方法,例如通过紧急呼叫功能访问电话应用程序,如果黑客通过蓝牙、无线或者USB电缆连接到设备,锁屏也不一定能保护设备
5、GPS
6、应用程序控制
应用程序控制是一种设备管理解决方案,能够限制可将哪些应用程序安装到设备商,它还可用于强制安装特定应用程序或强制执行某些应用程序的设置,以支持安全基线或者维护其他形式的合规性。
7、存储分隔
在移动设备上,设备制造商和服务提供商可使用存储分隔将设备的OS和预装的应用与用户安装的应用和用户数据隔离。
8、资产跟踪
9、库存控制
10、移动设备管理
MDM的目标是提高安全性,提供监控,启用远程管理以及支持故障排除
11、设备访问控制
12、可移动存储
13、关闭不使用的功能
应用安全
密钥管理
2、凭据管理
3、身份验证
4、地理位置标记
具有GPS支持的移动设备在拍照时,能将地理位置以纬度和经度的形式嵌入照片
5、加密
加密通常是防止未经授权访问数据的有效保护机制,无论是在存储中还是在传输中
6、应用白名单
应用程序白名单是一种安全选项,可禁止未经授权的软件执行
BYOD关注点:
buod自带设备是一项策略,允许员工将自己的个人移动设备投入工作,并且使用这些设备链接。
COPE公司拥有个人启用:指组织购买设备并将其提供给员工。
自选设备CYOD:指为用户提供已获准设备的列表。
虚拟桌面基础设施VDI:
1、数据所有权
2、所有权支持
3、补丁管理
4、反病毒管理、取证、隐私、入职/离职、遵守公司策略、用户接受度、架构/基础设施考虑、法律问题、可接受使用策略、机载摄像头/视频
评估和缓解嵌入式设备和信息物理系统的漏洞
嵌入式系统和静态系统的示例
保护嵌入式和静态系统的方法:
1、网络分段
2、安全层
3、应用防火墙
4、手动更新
5、固件版本控制
6、包装器
7、监控
8、控制冗余和多样性
基本安全保护机制
操作系统内对安全机制的需求可以归结为一个简单事实:软件不应该被信任
技术机制
1、分层:
通过分层过程,可实现与用于操作模式的环模型类似的结构,并将其应用于每个操作系统进程。
层与层之间的通信只能通过定义明确的特定接口进行,以提供必要的安全性。单独的层只能通过旨在维护系统安全性和完整性的特定接口相互通信,尽管不太安全的外层依赖于来自更安全内层的服务和数据,但它们只知道这些层的接口,并不知道这些内层的内部结构、特征或者其他细节。
内层既不知道也不依赖于外层,,外层不能违反或者覆盖内层强制执行的任何安全策略。
2、抽象
抽象是面向对象编程领域的基本原则之一。正如黑箱理论所说,对象或者操作系统组件的用户不一定要知道对象如何工作的细节,用户只需要知道使用对象的正确语法以及作为结果返回的数据类型。抽象应用于安全性的另一种方式是引入对象组,有时称为类,其中访问控制和操作权限被分配给对象组而不是基于每个对象。
3、数据隐藏
数据隐藏是多级安全系统中的一个重要特征,它确保在一个安全级别存在的数据对于不同安全级别运行的进程是不可见的。
4、进程隔离:
进程隔离要求操作系统为每个进程的指令和数据提供单独的内存空间,
可以防止未经授权的数据访问,并且保护进程的完整性
5、硬件分隔
硬件分隔的目的与进程隔离类似,它组织了对属于不同进程/安全级别的信息的访问,主要区别在于硬件分隔通过使用物理硬件控制,而不是操作系统强加的逻辑进程隔离控制来满足这些要求。
安全策略和计算机架构
安全策略指导组织中的日常安全运营,流程和过程,也在设计和实现系统时发挥着重要作用
策略机制
1、最小特权原则
2、特权分离:建立在最小特权原则之上,需要使用粒度化的访问权限
3、问责制:需要可靠的审计和监控系统来支持问责制,还必须有一个灵活的授权系统和无懈可击的身份验证系统。
常见的架构缺陷和安全问题
没有安全架构是完整且完全安全的,每个计算机系统都有弱点和漏洞。
隐蔽通道
隐蔽通道是一种用于在通常不用于通信的路径上传递信息的方法。
两种基本类型的隐蔽通道:
时间隐蔽通道:
通过改变系统组件的性能或以可预测的方式修改资源的时间来传达信息
存储隐蔽通道:
通过将数据写入公共存储区域来传达信息,其中另一个进程可以读取,
对任何隐蔽通道活动最好的防御措施就是实施审核和分析日志文件
基于设计或编码缺陷的攻击和安全问题
1、可信恢复
可信恢复确保在发生崩溃时所有安全控制保持完整无缺
2、输入和参数检查
正确的数据验证是消除缓冲区溢出的唯一方法
3、维护钩子和特权程序
维护钩子是进入系统的入口点,只有系统开发人员才知道,这样的入口点称为后门,虽然维护钩子的存在明显违反了安全策略,但是他们仍然在许多系统中出现,后门的最初目的是为了维护原因或者当常规访问被意外的禁用时,可保证提供对系统的访问。问题是这种类型的访问绕过了所有安全控制,并且知道后门的存在的任何人都可以自由的访问。
4、增量攻击
某些形式的攻击以缓慢、渐进的增量发生,而不是通过明显或可识别的尝试来破坏系统安全性或者完整性两种这样的攻击形式是数据欺骗data diddling和salami攻击
salami攻击例子:非常小的金额会定期和例行的从金额珠海那个扣除,不被发觉
编程
计时状态改变和通信中断
计算机系统以严格的精度执行任务,计算机擅长执行可重复的任务,攻击者可以根据任务执行的可预测性来展开攻击。如条件竞争,攻击针对的是时间、数据流控制和从一个系统状态到另一个系统状态的转换。
技术和过程集成
评估和理解系统架构中的漏洞非常重要,尤其是在技术和过程集成方面。所有新的部署,特别是新的应用程序或者功能,在被允许进入生产网络或公共联网之前,需要进行彻底审查。
电磁辐射:
计算机硬件是由各种电子元件构成的,许多计算机硬件设备在正常操作期间都会发射电磁辐射,通过拦截和处理来自键盘和计算机或外围设备通信的过程中产生的电磁波可以被拦截。消除电磁辐射的最简单的方法是通过电缆屏蔽或导管减少辐射,并且通过应用物理安全控制来组织未经授权的人员和设备过于靠近设备和电缆,
有几种tempest技术可以防止EM辐射窃听,包括法拉第笼、干扰或者噪音发生器和控制区
物理安全要求:
关键因素是选择与设计能够放置IT基础设施,能够为组织的运营活动提供保护的安全场所。
安全设施计划:
安全设施计划需要列出组织的安全需求,并突出保障安全所使用的方法及技术,计划时通过关键路径分析的过程来完成的,关键路径分析是一项系统性工作,用于找出关键应用,流程,运营以及所有必要支撑元素之间的关系,
站点选择
站点的选择应该基于组织的安全需求。成本、位置、规模都很重要,但是始终应该有限考虑安全要求
可见度
自然灾害
设施设计:
在进行设计建筑实施时,必须清除组织所需的安全级别,在开始施工前必须计划、设计好恰当的安全级别。
实现站点与设施安全控制
物理安全中的安全控制可以分为三大部分:管理类、技术类与现场类。
在为环境设计物理安全时,需要注意各类控制的功能顺序,顺序如下:
1、吓阻(威慑)
2、阻挡
3、监测
4、延迟
设备故障
配线间:配线间的安全非常重要,大部分安全措施都集中在防止非法的物理访问
服务器间与数据中心:服务器间应该位于建筑的核心位置,尽可能避免将服务器间设置在建筑物的一楼、顶楼或者地下室。服务器间的墙壁应该具备至少一小时的耐火等级
很多数据中心与服务器室中,采用各种技术的访问控制来管理物理访问,这些包括但不限于“智能卡/哑卡”、接近式读卡器、生物识别、入侵检测系统IDS、以及基于纵深防御的设计
1、智能卡
智能卡术语:包含集成电路IC的身份令牌、处理器IC卡、支持ISO 7819接口的IC卡、智能卡可以处理数据
2、接近式读卡器
接近式读卡器可能是一种无源装置、感应供电装置或应答器,当接近装置通过读卡器时,读卡器能够确定持有者的身份,也可判断持有者是否获得了授权
3、入侵检测系统
既有自动的也有人工的,主要用于探测:入侵、破坏或者攻击企图。物理入侵检测系统也称作盗贼警报。
任何入侵检测及警报系统都有两个致命的弱点:电源与通信,如果系统失去电力供应,警报将无法工作、因此一个可靠的检测与警报系统,应配备心跳传感器进行线路监视,心跳传感器的功能是通过持续或者周期性测试信号,来检查通信线路是否正常。
4、访问滥用
无论使用哪种形式的物理访问控制,都需要配备保安全员或者其他监视系统,来防止滥用,伪装以及捎带。
5、发射安全:
很多电子设备发出的电信号或者产生的辐射可能会被非法人员侦听。这些信号可能包含机密,敏感或者个人数据。用于防护发射攻击的方法及技术称为tempest措施。
tempest措施包括:法拉第笼、白噪声与控制区
法拉第笼是覆盖的金属网,金属网充当电磁干涉(EM)-吸收容器,用来阻止电磁信号的进入或者发出。
白噪声简单说是通过发射无线噪声来覆盖并隐藏真实的电磁信号
控制区是第三种类型的tempest措施,控制区采用单一的法拉第笼、白噪声或二者组合,对环境中的某个特定区域进行保护,而其他区域则不受影响。在控制区内,必要的设备可以正常发射和接收电磁信号,控制区外,使用各种tempest措施来阻挡与防止发射侦听。
介质存储设施:
介质存储设施用于安全存储空白介质、可重用介质及安装介质。各种介质都应该进行严格保护以避免被盗或者受损,新的空白介质也要防止被偷或被植入恶意软件。
证据存储:
随着网络安全事件不断攀升,保留日志,审计记录以及其他数据事件记录变得日益重要。同时也有必要保存磁盘镜像以及虚拟机快照便于以后对比,
安全证据存储的要求:
使用与生产网络完全不同的专用存储系统
如果没有新数据需要存入,应让存储系统保持离线状态
关闭存储系统与互联网的连接
跟踪证据存储系统上的所有活动
计算存储在系统中所有数据的hash值
只有安全管理员与法律顾问才能访问
对存储在系统中的所有数据进行加密
受限区与工作区安全:
内部区安全包括工作区域与访客区域,应进行认真的设计与配置。
墙壁与隔断能够用于分隔想死但不同的工作区域
每个工作区都应该按照IT资产分级进行评估与分级,只有获得许可或者具备工作区访问权限的人员才允许进入。
设施的安全设计应该反映对内部安全实现以及运营的支持。除了正常工作区域内人员的管理,还需要进行访客管理与控制,例如访客陪护制度。。
一个安全受限工作区的实例是敏感隔间信息设施scif,政府与军事承包商经常使用SCIF,建立进行高敏感度数据存储与计算的安全环境,SCIF通常处于一个建筑中,而完整的建筑也可成为一个SCIF。
基础设施与HVAC
电力公司的电力供应并不是持续和洁净的。大多数电子设备需要洁净的电力才能正常工作。浪涌保护器只能用于瞬时端点不会对设备造成损害的场合,否则就应使用UPS。电力发电机可作为电源的替代或者备份
电力术语:
故障:瞬时断电
停电:完全失去电力供应
电压骤降:瞬时低电压
低电压:长时低电压
尖峰:瞬时高电压
浪涌:长时高电压
合闸电流:通常是接入电源
噪声:持续稳定干扰电力供应的波动或者扰动
瞬态:短时的线路噪声扰动
洁净:无波动纯电力
接地:电路中接地导线
1、噪声:不仅会影响设备的正常工作,还可能干扰通信,传输以及播放的质量。电流产生的噪声能够影响任何使用电磁传输机制的数据通信:电话,收集,电视,音频,广播以及网络。
电磁干扰EMI:
普通模式:是由电源火线与地线间的电压差或者操作电器设备而产生的。
穿透模式噪声:是由火线与零线间的电压差或者操作电气设备产生的。
无线电频干扰RFI:是一种噪声与干扰源,它像EMI一样能够干扰很多系统的正常工作。,英冠等,电缆,电加热器,电脑电视,电梯,电机以及电磁铁都会产生无线电频率干扰
保护措施:提供充足的电力供应,正确的接地,采用屏蔽电缆,远离EMI和RFI发射源
2、温度、湿度与静电
放置电脑的房间温度通常要保持在华氏60-75度之间。有一些对环境温度要求苛刻的设备需要的温度低到华氏50度,还有一些要求环境温度超过华氏90度。电脑房间的湿度应该保持在40%-60%,湿度太高会腐蚀电脑中的配件,湿度太低会产生静电。即使铺设了防静电地板,在低湿度的环境中依然可能产生20000伏的静电放电电压。
3、关于水的问题、如漏水。洪水
火灾预防、探测与消防
水是为了降低温度减少热量
碳酸钠及其他干粉灭火剂是阻断燃料的供应
二氧化碳是为了抑制氧气的供应
哈龙替代物与其他不可燃气体干扰燃烧的化学反应和/或抑制氧气供应。
火灾三角形:氧气、热量、燃料之间的化学反应
火灾的发展阶段:早期、烟雾、火焰、炙热
火灾发现的越早越容易扑灭,火灾以及灭火剂造成的损失也越小
防火管理中的一个基础是正确的人员防火意识培训。,每个人都应该熟悉设施中的消防员李,也应该熟悉所在主工作区至少两条的逃生通道,还应知晓如何在设施中其他地方发现逃生通道。
备注:数据中心中的大部分火灾都是由于电源插座过载所引起的。
1、灭火器
灭火器只适用于处于早期阶段的火灾
A类别:普通燃烧物可用水、碳酸钠来处理
B类别:液态可用二氧化碳、哈龙。碳酸钠
C类别:电器或早,可用二氧化碳。哈龙
D类别:金属可用干粉、氧气抑制剂不能用于金属火灾,因为燃烧的金属会产生氧气
火灾探测系统:
固定温度探测:系统在环境温度达到特定温度时会触发灭火装置,触发器通常是一种金属或塑料材质部件,安装在灭火喷淋头上,当温度上升到设定值时,这个部件就会融化,从而打开喷淋头进行洒水灭火。还有一种触发器使用小玻璃瓶,里面充满了化学物质,当温度升高到设定值时,瓶中的化学物质会快速挥发,产生的过压也会启动灭火装置。
上升率探测系统是在温度的上升速率达到特定值时启动灭火功能
火焰驱动系统依靠火焰的红外热能触发灭火装置。
烟雾驱动系统使用光电或者辐射电离传感器作为触发器。
为能充分发挥作用。活在爱探头需要在房间的吊顶和活动地板中,服务器间,个人办公室,公共区域中都需要安装,HVAC通风井,电梯井地下室等地方也不能遗漏。
气体消防系统更适合没有人员驻留的机房
2、喷水消防系统:
湿管系统也称为封闭喷头系统:管中一直是充满水的,当打开灭火功能时,管中的水会立刻喷洒出来进行灭火。
干管系统:充满了压缩气体,一旦打开灭火功能,气体会释放,随即供水阀门会打开,管中浸水并开始喷洒灭火
集水系统:是一种干管系统,由于采用更粗的管道,因而可以输送的水量更大,积水系统不适用于存放电子仪器与计算机的环境。
预动作系统结合了湿管与干管的特点,通常情况下保持干管状态,如果探测到可能的火灾因素如烟,热量等,管中会立刻注满水,但是只有环境的热量足以融化喷淋头上的触发器,管中的水才会释放,如果在喷淋头打开之前,火势就被扑灭,系统可以手动进行排空和复位,
预动作系统是最适合人机共存环境的喷水灭火系统。
3、气体消防系统
气体消防系统通常比喷水消防系统更有效,然而气体消防系统不能用在有人员主流的环境中。气体消防系统会清除空气中的氧气。系统常用的是压缩气体灭火剂,例如二氧化碳,哈龙或者FM-200(一种哈龙替代品)
哈龙是一种有效的灭火用化合物,但是在华氏900度,会分解出有毒气体,因此哈龙不是环境友好型,同时他也消耗臭氧,
4、破坏
设计火灾探测与消防系统还要考虑火灾可能带来的污染与损害。高温可能会损坏电子或者电脑部件,例如,在100华氏度下回损坏磁带,175华氏度会损坏电脑硬件如CPU,350华氏度下纸质文件会损坏,会卷边和褪色。
物理安全的实现与管理
控制、监视、管理设施访问的物理访问控制手段有很多,范围覆盖从吓阻到探测的多个方面,设施与场所中的各部分,分部或者区域也应该清楚的划分出公示区,专用区或者限制区。每个区域都需要配备侧重点不同的物理访问控制,监视及预防措施。
边界安全控制
1、围栏、门、旋转门与捕人陷阱
围栏是一种边界界定装置,围栏清楚的划分出处于安全保护等级的内外区域。
3-4英尺的围栏可吓阻无意穿越者
6-7英尺高的围栏难以攀爬,可吓阻大多数入侵者,但对于鉴定的入侵者无效
8英尺以上的围栏,外加三层提死亡甚至可以吓阻鉴定的入侵者
门是围栏中可控的出入口
旋转门是一种特殊形式的门,,一次只允许一个人通过,经常用于只能进不能出的场合
捕人陷阱通常是一种配备经纬的内外、双道门机构,或是其他类型能防止捎带跟入的物理机关。,机关可按照警卫的意志控制进入的人员。捕人陷阱的作用是暂时控制目标,进行目标身份的验证和识别,如果目标获得授权可以进入,内部的门就会打开。
物理安全的另一个重要部件是安全隔离桩,其作用是防止车辆的闯入
2、照明:
照明的目的是组织偶然的闯入者,穿越者,盗贼
照明不应该暴露保安,警犬,巡逻岗或是其他类似的安全警卫。
关键区域照明强度应达到2尺烛光,
3、安全警卫与警犬:
所有的物理安全控制,无论是静态的威慑,还是主动探测与监控机制,最终都需要人员进行干预,来阻止真实的入侵与攻击行为。
在现实世界中,需要部署多层次的物理访问控制,管理设施中授权与未授权人员的流动。
最外层的是照明,场所的外围边界应照射的明亮清晰。紧挨边界应该设置防止非法人员闯入的围栏或者围墙,围栏或者围墙的入口与出口是特殊的控制点,这些控制点无论是门,旋转门还是捕人陷阱,都应该处于CCTV或者警卫的监视之下
在设施内部,应该明显划分隔离出敏感性或者保密性级别不同的区域,公共区域以及访客区域也应如此,当人员从一个区域进入另一个区域时,需要另外的鉴别/验证过程,最敏感的资源与系统应该位于设施的中心或者核心位置,并且只向权限最高的人员开放。
内部安全控制
陪护访客人员制度,同时采用钥匙,密码锁,胸卡,动作探测器,入侵警报等也是控制访客的有效手段。
1、钥匙与密码锁
2、胸卡
胸卡、身份卡以及安全标识是不同形式的物理身份标识或者电子访问控制装置,胸卡上通常会贴照片,
3、动作探测器
动作探测器或者动作传感器是一种在特定区域内部感知运动或者声音的装置,动作探测器的种类很多,包括红外,热量,波动,电容,光电以及被动音频类型。
红外动作探测器:监视受控区域内的红外照明模式的变化
热量动作探测器:监视受控区域内热量级别与模式的变化
波动动作探测器:向被检测区域内发射持续的低频超声或者高频微波信号,并且监视反射信号中的变化与扰动
电容动作探测器:感知被监测对象周围电场或者磁场的变化
光电动作探测器:感知受监视区域内可见光级别的变化,光电动作探测器经常部署在没有窗户,没有光线的内部房间中
被动音频动作探测器:监听被监视区域内是否有异常声响
4、入侵警报
当动作探测器发现环境中出现异常,会立即触发警报,警报是一种独立的安全措施,警报能够启动防护机制,并且会发出通知信息。
阻止警报:能启动的阻止手段有:关闭附加锁门,关闭房门等。
驱除警报:通常会拉响警报,警铃或者打开照明
通知警报:触发时,入侵者并无察觉,但是系统会记录时间信息并通知管理员,安全警卫与执法人员。
警报也可以按照其安装的位置进行分类:本地的,中心的或专有的、辅助的
本地警报系统发出的警报声必须要足够强,声音可能高达120分贝以上,以保证在400英尺以外也能听到。
中心站系统:通常在本地是静默的,在发生安全事件时,站区外监视代理会受到通知告警,安全团队会及时作出响应。大多数居民安保采用的都是此类系统。
辅助站系统可附加到本地或者中心警报系统中,
在安全方案中可以包含两种或多种上述的入侵与警报系统
二次验证机制:
主要是基于误报情况,部署两种或者多种探测器及传感器系统,或是在两种或多种触发机制连续动作时才发出警报。,这样可以大幅度减少误报,同时提高警报通知真实入侵攻击行为的准确性。
CCTV是一种预防措施,而检查事件记录信息是一种探测措施。
环境与生命安全
物理访问控制以及设施安全保护的一个重要方面,就是要保护环境基本要素的完好及人员生命安全。安全最重要的方面就是保护人身安全,因此防止人身伤害就成为所有安全方案的首要目标。
OEP居住者紧急计划,用于在发生灾难后,指导与协助保护人员安全
隐私责任与法律要求
任何组织的安全策略中,也应该保护个人信息的安全,并且该安全策略也必须符合业界以及所在辖区的监管要求。
监管要求
在行业或者辖区内运营的组织,在这两个实体或者更多实体范围中的行为必然受到法律要求、限制与规定的约束。一个行业或者国家的法律要求,必须应该视为构建安全的基线与基础