网络空间安全导论 20212305杨贯宇 第九周学习总结
第二章:
(一)物理安全概述
1.物理安全的定义:物理安全就是保护信息系统的软硬件设备、设施以及其他介质免遭地震等自然灾害、人为破坏或操作失误等。保证信息系统有一给安全的物理环境。在信息系统安全中,物理安全是基础。 2.范围:
环境安全:指对系统所在环境的安全保护。
设备安全和介质安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护,以及硬件的安全,包括介质上数据的安全及介质本身的安全。
(二)物理环境安全
1.物理位置选择:
避免设在建筑物的高层或地下室
避免设在用水设备的下层或隔壁
一般要选择自然灾害较少的地区
2.物理访问控制:
机房出入口应安排专人值守并配置电子门禁系统,控制、鉴别和记录进入的人员。
需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;重要区域应配置第二道电子门禁系统,控制、鉴别和记录进人的人员。
若机房进出通过双向电子门禁系统进行控制,可通过门禁电子记录或填写出人记录单的形式记录进出人员和时间,有能力的单位应当增设保安人员在门外值守;机房内部和外部应在临近入口区域安装摄像头来监控全部区域;外来人员进入机房应当由专人全程陪同;对于系统较多、机房面积较大的单位,应将机房按系统和设备的重要程度划分为不同的区域进行物理隔离,采用双向电子门禁系统控制,联通各区域间的通道空间便形成机房的过渡缓冲区。
3.防盗窃和防破坏
为防止硬件失窃或损毁,还要进行防盗窃和防破坏方面的设置与要求,内容如下:
应将主要设备放置在机房内。
应将设备或主要部件进行固定,并设置明显的不易除去的标记。
应将通信线缆铺设在隐蔽处,如铺设在地下或管道中。
应对介质分类标识,存储在介质库或档案室中。
应利用光、电等技术设置机房防盗报警系统。
应对机房设置监控报警系统。
应对所有人一视同仁,包括物理安全负责人、机房维护人员、资产管理员等。
针对设备、介质、通信线缆、机房设施、介质的使用操控,都应有记录清单及使用记录、通信线路布线文档、运行和报警记录、监控记录、防盗报警系统和监控报警系统的安全资质材料、安装测试/验收报告等,进行备案存档。
4.防雷击 雷击是容易导致物理设备、信息丢失的一种自然破坏力,要对抗此类自然力的破坏,应使用一定的防毁措施保护计算机信息系统设备和部件,主要包括:
接地:让已经纳入防雷系统的闪电能量泄放到大地中。
接闪:让闪电能量按照人们设计的通道泄放到大地中去。
分流:一切从室外来的导线与接地线之间并联一种适当的避雷器,将闪电电流分流入大地。
屏蔽:屏蔽就是用金属网、箔、壳、管等导体把需要保护的对象包围起来,阻隔闪电的脉冲电磁场从空间入侵的通道。
防雷击的要求如下:
机房建筑应设置避雷装置
应设置防雷安保器,防止感应雷
机房应设置交流电源地线 5.防火
消除火灾隐患
设置火灾报警系统
配置灭火设备
加强防火管理和操作规范
6.防水和防潮
水管安装时,不得穿过屋顶和活动地板下
应对穿过墙壁和楼板的水管增加必要的保护措施
应采取措施房主雨水通过屋顶和墙壁渗透
应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
7.防静电
采用零线接地进行静电的泄漏和耗散、静电中和、静电屏蔽与增湿等。防范静电的基本原则是抑制或减少静电荷的产生、严格控制静电源。
8.温湿度控制
应做好防尘和有害气体控制
机房中应无腐蚀金属的气体
机房中应无破坏绝缘的气体
9.电力供应
机房供电应与其他市电供电分开
应设置稳压器和过电压防护设备
应提供短期的备用电力供应
应建立备用供电系统
10.电磁防护 当电子设备辐射出的能量超过一定程度时,就会干扰设备本身以及周围的其他电子设备,这种现象称为电磁干扰。计算机与各种电子设备、广播、电视、雷达等无线设备及电子仪器等都会发出电磁干扰信号,在这样复杂的电磁干扰环境中工作时,计算机的可靠性、稳定性和安全性将受到严重影响。因此,在实际使用中需要了解和考虑计算机的抗电磁干扰问题,做好电磁防护。
常见的电磁泄露形式:
辐射泄露:指的是以电磁波的形式将信号信息辐射出去。一般由计算机内部的各种传输线、印刷板线路(主板、总线等)产生。电磁波的发射借助于这些部件来实现。
传导泄露:指的是通过各种线路和金属管将信号信息传导出去。例如,各种电源线、机房内的电话线、上、下水管道暖气管道及地线等媒介。金属导体有时也起着天线的作用,将传导的信号辐射出去。这样会使各系统设备相互干扰,降低设备性能,造成信息暴露。
防止电磁干扰:
①以接地方式防止外界电磁干扰和相关服务器寄生耦合干扰
②电源线和通信线缆应隔离,避免互相干扰。
③抑制电磁发射,采取各种措施减小电路电磁发射或者相关干扰,使相关电磁发射泄露即使被接收到也无法识别。
④屏蔽隔离,在信号源周围利用各种屏蔽材料使敏感信息的信号电磁发射场衰减到足够小,使其不易被接收,甚至接收不到。
(三)物理设备安全
一、安全硬件
1.PC网络物理安全隔离卡 PC网络物理安全隔离卡可以把一台普通计算机分成两或三台虚拟计算机,可以连接内部网或外部网,实现安全环境和不安全环境的绝对隔离,保护用户的机密数据和信息免受黑客的威胁和攻击。.
PC网络物理安全隔离卡的工作原理是将用户的硬盘物理分隔成公共区和安全区,它们外别拥有独立的操作系统,通过各自的专接口与网络连接。安全隔离卡安装在主板和硬盘之间,用硬件方式控制硬供读写操作,使用继电器控制分区之间的转换和网络连接,任何时两个分区均不在共享数据,保证内外网之间的绝对隔离。
2.网络安全物理隔离器
网络安全物理隔离器用于实现单机双网(通常称为“内外"和“外网")物理隔离及数据隔离。该产品的主体是一块插在电脑主机内的插卡,通过外接手动并关来控制电脑中两块硬盘的工作电源、以及内、外网线的切换,从而彻底隔断涉密网(或内网)与互联网(或外网)之间的数据信息交换途径,确保本地系统不受侵害、信息资源不外泄,保证了内、外网络之间的安全物理隔离,达到国家规定的物理隔离的要求。
3.物理隔离网闸
物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的安全设备。由于物理隔离网闸所连接的两个独立主机系统之间不存在通信 的 物理连接、逻辑连接、信息传输命令、信息传输协议也不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有 读和 写两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使黑客无法入慢、无法攻击、无法破坏,实现了真正的安全。
二、芯片安全
安全芯片其实可以描述成一个可信任平台模块(TPM),它是一个可独立进行密钥生成、加解密的装置,内部拥有独立的处理器和储单元)可存储密钥和特征数据,为计算机提供加密和安全认证服务。用安全芯片进行加密,密钥被存储在硬件中,被窃的数据无法解密,从而保护用户隐私和数据安全。
安全芯片配合专用软件可以实现以下功能:
存储、管理密码功能:以往存储、管理密码的工作都是由BIOs来完成的,如果忘记密码,只要取下BIOS电池,给BIOS放电就清除密码了。如今,这些密码被固化在芯片的存储单元中,即使掉电,其信息也不会丢失。相比于用BIOS管理密码,安全芯片的安全性要高得多。
加密:安全芯片除了能进行传统的开机加密以及对硬盘进行加密外,还能对系统登录、应用软件登录进行加密。比如, 目前常用的QQ、网游以及网上银行的登录信息和密码,都可以通过TPM加密后再进行传输,这样就不用担心信息和密码被人窃取。
对加密硬盘进行分区:我们可以加密硬盘的任意一个分区,将一些重要文件放入该分区以确保安全。我们常用的一些产品带有的一键恢复功能,实际上就是该用途的体现
