【从零开始学习计算机科学】信息安全(二)物理安全
- 物理安全
-
- 物理安全的涵义
- 物理安全威胁
- 常见物理安全问题
- 物理安全需求规划
- 物理安全需求
- 设备安全
-
- 防盗和防毁
- 机房门禁系统
- 机房入侵检测和报警系统
- 防电磁泄漏
- 防窃听
- 设备管理
-
- 设备维护
- 设备的处置和重复利用
- 设备的转移
- 电源安全
-
- 电源调整器
- 不间断电源UPS
- 介质安全
- 机房安全
-
- 机房的组成
- 机房安全等级
- 机房场地选择要求
- 场地防火要求
- 机房内部装修要求
- 供配电系统要求
- 空调系统要求
- 防静电
- 防雷击
- 常用的国内标准
- 常用的国外标准
- 人员安全
-
- 人员安全管理原则
- 人员安全管理措施
- 内部人员管理制度
- 雇佣的终止和变更
- 职员授权管理
- 用户管理
- 承包人管理
- 公众访问管理
- 物理隔离技术
-
- 物理隔离技术的定位
- 物理隔离的技术原理
- 物理隔离与逻辑隔离
物理安全
物理安全的涵义
物理安全是保护计算机设备、设施(网络及通信线路)免遭地震、水灾、火灾等环境事故和人为操作失误或错误及各种计算机犯罪行为破坏的措施和过程。
保证计算机信息系统各种设备的物理安全是保证整个信息系统安全的前提。
目前,业务持续运行面临风险变大。因为今天的企业越来越依赖信息系统运行其关键业务程序,信息系统的复杂性使其自身更易遭受攻击,造成业务系统中断、数据丢失有越来越多足以影响企业业务存亡的威胁。
自然风险,例如地震、火灾、 水灾、气象、疾病、战争;
人为风险,例如错误操作、黑客攻击、病毒发作、员工发泄不满;
技术风险,例如设备失效,软件错误,通讯中断、电力失效。
调查显示,20% 的企业平均每五年就会遇到影响公司运营的意外情况。Gartner Group表明在经历大型灾难事件而导致系统停运的公司中,有2/5左右再也没有恢复运营,剩下的公司中也有接近1/3在两年内破产。其中,关键业务中断损失严重。
物理安全威胁
1、自然灾害。主要包括鼠蚁虫害、洪灾、火灾、地震等。
2、电磁环境影响。主要包括断电、电压波动、静电、电磁干扰等。
3、物理环境影响。主要包括灰尘、潮湿、温度等。
4、软硬件影响。由于设备硬件故障、通信链中断、系统本身或软件缺陷造成对信息系统安全可用的影响。
5、物理攻击。物理接触、物理破坏、盗窃。
6、无作为或操作失误。
7、管理不到位。
8、越权或滥用。
9、设计、配置缺陷设计阶段存在明显的系统可用性漏洞、系统未能正确有效地配置。系统扩容和调节引起的错误。
常见物理安全问题
- 笔记本电脑或移动存储设备丢失,
- 重要文件或密码写在纸上放在办公桌上,
- 外来人员(特别是服务厂商)到处溜达没人过问,
- 数据备份磁盘未放置在保密柜中……
物理安全需求规划
物理安全需求规划是在信息系统开发建设的早期阶段明确对物理安全控制措施的需求,包括:选择安全的物理地点、设计物理安全防范措施等。
选择建筑地点时应该考虑的因素有可见性、周围地形、建筑的标志和标记、相邻建筑物的类型、周围地区和外界条件、犯罪率、与警察、医疗和消防机构的接近程度、周围区域可能带来的危险、可接近性、道路接近、交通拥挤情况、与机场、火车站和高速公路的接近程度、自然灾害、发生火灾、龙卷风、地震或飓风的可能性、有危害的地形(泥石流、山上的落石、过多的降雨或降雪)等。
物理安全的控制措施主要有管理上的控制措施、设施的选择和建设、设施的管理、员工的管控、培训、突发事件的响应和处理步骤等。
技术上的控制措施主要有:访问控制、入侵检测、警报装置、监视装置、电力供应、火灾的检测和排除、备份。
物理上的控制措施主要有:栅栏、大门、护柱、加锁、照明、建筑设施的材料。
人员安全管理主要有:受聘前对教育和工作背景的考察、关键人员的历史背景——信用记录、犯罪记录;在聘中进行访问控制、定期的考核与评价;离职时进行离职谈话、收回物理访问权限、收回各种资产。
物理安全需求
针对不同的物理安全威胁,产生了三类主要的物理安全需求:设备安全、环境安全和人员安全。
- 设备安全。设备安全包括各种电子信息设备的安全防护。
- 环境安全。要保证信息系统的安全、可靠,必须保证系统实体有一个安全环境条件。
- 人员安全。无论环境和设备怎样安全,对机器设备提供了多么好的工作环境,外部安全做得怎样好,如果对人员不加控制,那么所谓系统的安全是没有丝毫意义的。信息系统除应加强管理内部人员的行为外,还应严防外部人员的侵袭。
设备安全
防盗和防毁
当计算机系统或设备被盗所造成的损失可能远远超过计算机设备本身的价值。因此,防盗、防毁是计算机防护的一个重要内容。
防盗、防毁主要措施有:
- 设置报警器。在机房周围空间放置浸入报警器。侵入报警的形式主要有:光电、微波、红外线和超声波。
- 锁定装置。在计算机设备中,特别是个人计算机中设置锁定装置,以防犯罪盗窃。
- 计算机保险。在计算机系统受到侵犯后,可以得到损失的经济补偿,但是无法补偿失去的程序和数据,为此应设置一定的保险装置。
- 列出清单或绘制位置图。
机房门禁系统
卡访问控制或生物特征系统。即使用磁卡、非接触卡等。指纹、视网膜扫描、签名、声音识别、手形等等。
机房钥匙和锁。可采用精选的抵抗锁。相比传统锁,费用大概是两三倍,钥匙很难被复制,其他特征跟传统锁一致。也可采用电子组合锁。这种锁使用电子按动按钮进入,有些在一定情况下允许输入一个特别的代码来打开门,但同时会引发一个远程告警。
机房入侵检测和报警系统
探测器是用来感知和探测入侵者入侵时所发生的侵入动作和移动动作的设备。
信号传输通道是联系探测器和报警控制器的信息通道,通常可分为无线信号通道和有线信号通道两种。
报警控制器的作用是对探测器传来的信号进行分析、判断和处理。
防电磁泄漏
计算机设备包括主机、磁盘机、磁带机、终端机、打印机等所有设备都会不同程度地产生电磁辐射造成信息泄露。
计算机信息泄露主要有两种途径:一是被处理的信息会通过计算机内部产生的电磁波向空中发射,称为辐射发射;二是这种含有信息的电磁波也可以通过计算机内部产生的电磁波向空中发射,称为传导发射。
电磁辐射防护措施主要有以下两种:对辐射发射的防护。采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的暖气管、下水管和金属门窗进行屏蔽和隔离;利用干扰源,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐
