网络安全笔记

物理层安全保障(Physical Security)

在云服务普及和安全监管要求提升后, 除了有资质自建IDC的企业以外, 大部分企业的IT设施已经集中到第三方IDC, 由第三方IDC统一维护基础设施. IDC 的物理安全保障(Physical Security). 指的是从物理上对IT基础设施的安全保障, 要和信息(操作系统, 通信角度)的安全保障区分开.

物理安全保障的分层

以下是Google IDC的物理安全分层标准

第一层, property boundaries, 财产边界

IDC园区入口门禁,护栏, 需要提前授权, 这一层不涉及太多电子设备

第二层, secure perimeter 安全边缘, 园区访问

针对交通工具的约束, 护栏,监控摄像和7x24安保, 这一层会有很多电子监控设备, 包括车辆定位, 阻拦设施(防止卡车冲撞)

第三层, building access 建筑内部访问

针对人的安全边界, 需要进行人脸识别或其他生物特征检测(例如瞳膜检测), 确定是本人, 每次刷卡只允许通过一个人

第四层, security operations center, or SOC 安全操作中心

连接所有的安保设施, 监控活动

第五层, data center floor, 设备访问

as-needed only access area, 这里才是真正的IDC服务器区域, 有需要才能访问的区域

第六层, disks are erased and destroyed, 数据层

数据擦除和物理销毁. 这一层进出都需要进行金属检测. 硬盘先擦除, 然后冲压, 最后切碎

Google IDC 的一些数据

• 机房内部温度控制在80华氏度(26.6摄氏度)
• 水冷散热, 散热器在机架顶部, 中间流的是冷却水, 服务器的热风吹过这些散热器进行冷却, 加热的水在IDC外部冷却后再循环.
• 机架: 标准机架为14台2U设备, 中间间隔约1U
• 供电: 为减小电力损耗, 主干高压供电(电压未知), 在机房内变压供电

真正的机器农场, 没有白天黑夜, 只有持续的风扇噪音和干燥温热, 工人由系统进行调度, 负责巡视和故障处置.

网络层(IP)安全保障

以下的内容既适用于IDC, 也适用于企业

网络划分

公司网络分为内网(可信)和外网(访客), 内网是需要身份认证的网络

• 内网和外网属于各自独立的子网, 互相不能访问
• 内网和外网都可以访问互联网
• 外网需要使用VPN接入后, 才能访问内网
• 部分服务, 只有内网可以访问, VPN接入的不能访问

接入方式

1. 无线网络都属于外网
2. 有线网络需要认证, 例如windows的域认证
   • 认证通过的机器, 才能使用内网
   • 未通过认证的机器, 接入的是外网

实例

外网IP设计

inet addr:172.17.202.92  Bcast:172.17.207.255  Mask:255.255.240.0, Gateway: 172.17.192.1

内网IP设计

inet 172.17.81.186  Mask:255.255.248.0    Gateway : 172.17.80.1

系统层安全

以下针对的是面向工作人员的桌面系统安全措施

• 在操作系统中运行服务
• 禁用usb mass storage, 禁止外接U盘和移动硬盘, 仅允许使用指定vid的U盘设备.
• 监控剪切板, 关键词触发截屏和日志动作
• 监控系统的进程列表, 关键词触发截屏和日志动作
• 定时报送系统状态信息
• 对桌面显示打水印, 使得截屏和拍照内容可溯

应用层安全

内部系统登录, 需要通过统一登录界面, 登录界面使用双因子: 账号密码 + 手机APP ID

待补充