信息安全:物理与环境安全技术.

简介: 信息安全:物理与环境安全技术.

信息安全:物理与环境安全技术.
传统上的物理安全也称为 实体安全 ,是指包括 环境、设备和记录介质在内的所有支持网络信息系统运行的硬件的总体安全,是网络信息系统安全、可靠、不间断运行的基本保证,并且确保在信息进行加工处理、服务、决策支持的过程中,不致因设备、介质和环境条件受到人为和自然因素的危害,而引起信息丢失、泄露或破坏以及干扰网络服务的正常运行。
广义的物理安全则指由: 硬件,软件,操作人员,环境组成的人、机、物融合的网络信息物理系统的安全。
目录:
信息安全:物理与环境安全技术.

物理安全的要求:

(1)物理安全威胁:

(2)物理安全保护:

物理环境安全分析与防护:

机房安全分析与防护:

(1)机房功能区域组成:

(2)机房安全等级划分:

(3)机房场地选择要求:

(4)数据中心建设与设计要求:

(5)互联网数据中心:

(6)CA 机房物理安全控制:

网络通信线路安全分析与防护:

(1)网络通信线路安全分析:

(2)网络通信线路安全防护:

设备实体安全分析与防护:

(1)设备实体安全分析:

(2)设备实体安全防护:

(3)设备硬件攻击防护:

存储介质安全分析:

(1)存储介质安全分析:

(2)存储介质安全防护:

物理安全的要求:
(1)物理安全威胁:
♦ 随着网络攻击技术的发展,物理系统安全面临硬件攻击的威胁,与传统的物理安全威胁比较,新的硬件威胁更具有隐蔽性、危害性,攻击具有主动性和非临近性。

▶ 硬件木马:硬件木马通常是指在 集成电路芯片 (IC) 中被植入的恶意电路 ,当其被某种方式激活后, 会改变 IC 的原有功能和规格,导致信息泄露或失去控制,带来非预期的行为后果,造成不可逆的重大危害。 IC 整个生命周期内的研发设计、生产制造、封装测试以及应用都有可能被植入恶意硬件逻辑,形成硬件木马。

▶ 硬件协同的恶意代码:2008 Samuel T.King 等研究人员设计和实现了一个 恶意的硬件 ,该硬件可以使得非特权的软件访问特权的内存区域 。

▶ 硬件安全漏洞利用:同软件类似,硬件同样存在致命的安全漏洞。硬件安全漏洞对网络信息系统安全的影响更具有持久性和破坏性。 2018 月发现的 “熔断 (Meltdown) "和“幽灵 (Spectre) " CPU 漏洞属于硬件安全漏洞。该漏洞可被用于 以侧信道方式获取指令预取、预执行对 cache 的影响 等信息,通过 cache 与内存的关系,进而获取特定代码、数据在内存中的位置信息,从而 利用其他漏洞对该内存进行读取或篡改,实现攻击目的 。

▶ 基于软件漏洞攻击硬件实体:利用控制系统的软件漏洞,修改物理实体的配置参数,使得物理实体处于非正常运行状态,从而导致物理实体受到破坏。 “震网”病毒就是一个攻击物理实体的真实案例。

▶ 基于环境攻击计算机实体:利用计算机系统所依赖的外部环境缺陷,恶意破坏或改变计算机系统的外部环境,如 电磁波、磁场、温度、空气湿度 等,导致计算机系统运行出现问题。

(2)物理安全保护:
♦ 设备物理安全:设备物理安全的安全技术要素主要有 设备的标志和标记、防止电磁信息泄薛、抗电磁干扰、电源保护以及设备振动、碰撞、冲击适应性 等方面。除此之外,还要确保设备供应链的安全及产品的安全质量,防止设备其他相关方面存在硬件木马和硬件安全漏洞。智能设备还要 确保嵌入的软件是安全可信的。

♦ 环境物理安全:环境物理安全的安全技术要素主要有机房场地选择、机房屏蔽、防火、防水、防雷、防鼠、防盗、防毁、供配电系统、空调系统、综合布线和区域防护等方面。
♦ 系统物理安全:系统物理安全的安全技术要素主要 有 存储介质安全、灾难备份与恢复、物理设备访问、设备管理和保护、资源利用 等。物理安全保护的方法主要是 安全合规、访问控制、安全屏蔽、故障容错、安全监测与预警、供应链安全管理和容灾备份 等。
♦ 物理安全规范:《信息系统物理安全技术要求 (GB/T21052 2007) 》则 将信息系统的物理安全进行了分级,并给出设备物理安全、环境物理安全、系统物理安全的各级对应的保护要求,具体要求目标如下:

▶ 第一级物理安全平台为第一级用户 自主保护 级提供基本的物理安全保护;
▶ 第二级物理安全平台为第二级系统 审计保护 级提供适当的物理安全保护;
▶ 第三级物理安全平台为第 级安全 标记保护 级提供较高程度的物理安全保护;
▶ 第四级物理安全平台为第四级 结构化保护 级提供更高程度的物理安全保护;
物理环境安全分析与防护:
(1)防火. (2)防水.
(3)防震. (4)防盗.
(5)防鼠虫害. (6)防雷.
(7)防电磁. (8)防静电.
(9)安全供电.
机房安全分析与防护:
(1)机房功能区域组成:
♦ 按照《计算机场地通用规范 (GB/f2887-2011) 》的规定,计算机机房可选用下列房间(允许 室多用或酌情增减) ;

▶ 主要工作房间:主机房、终端室等;

▶ 第一类辅助房间:低压配电间、不间断电源室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室等;

▶ 第二类辅助房间:资料室、维修室、技术人员办公室;

▶ 第三类辅助房间:储藏室、缓冲间、技术人员休息室、盟洗室等;

(2)机房安全等级划分:
♦ 根据《计算机场地安全要求 (GB/T 9361 2011) 》,计算机机房的安全等级分为A级、B级、C级三个基本级别。下面分别介绍各级的特点:

▶ A级:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成 严重损害的;对计算机机房的安全有 严格 的要求,有 完善的 计算机机房安全措施;

▶ B级:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成 较大损害的 ;对计算机机房的安全有 较严格 的要求,有 较完善 的计算机机房安全措施;

▶ C级:不属于A,B级的情况;对计算机机房的安全有 基本的要求 ,有 基本的 计算机机房安全措施;
(3)机房场地选择要求:
♦ 环境安全性:

▶ 应避开危险来源区;

▶ 应避开环境污染区;

▶ 应避开盐雾区;

▶ 应避开落雷区域;

♦ 地质可靠性:

▶ 不要建在杂填土、淤泥、流砂层以及地层断裂的地质区域上。

▶ 建在山区的计算机房,应避开滑坡、泥石流、雪崩和溶洞等地质不牢靠的区域。

▶ 建在矿区的计算机房,应避开采矿崩落区地段,也应避开有开采价值的矿区。

▶ 应避开低洼、潮湿区域。

♦ 场地抗电磁干扰性:

▶ 应避开或远离无线电干扰源和微波线路的强电磁场干扰场所,如广播电视发射台、雷达站;

▶ 应避开强电流冲击和强电磁干扰的场所,如距离电气化铁路、高压传输线、高频炉、大电机、大功率开关等设备 200m 以上;

♦ 应避开强振动源和强噪声源:

♦ 应避免设在建筑物的高层以及用水设备的下层或隔壁:

▶ 计算机机房应选用专用的建筑物。如果机房是大楼的一部分,应选用二层为宜, 层作为动力、配电、空调间等。
(4)数据中心建设与设计要求:
♦ 数据中心通常是指为实现对数据信息的 集中处理、存储、传输、交换、管理 以及为相关电子信息设备运行提供运行环境的建筑场所;

♦ 按照规模大小可将数据中心分为三类:超大型数据中心、大型数据中心、中小型数据中心;

▶ 超大型数据中心是指规模大于等于10000 个标准机架的数据中心;

▶ 大型数据中心是指规模大于等于 3000 个标准机架小于 10000 个标准机架的数据中心;
▶ 中小型数据中心是指规模小于 3000 个标准机架的数据中心;

♦ 《数据中心设计规范 (GB 50174 2017) 》(以下简称《设计规范》)为国家标准,自 2018 年 1 月 1 日 起实施。强制性条文内容如下:

▶ 8.4.4 数据中心内所有设备的金属外壳、各类金属管道、金属线槽、建筑物金属结构必须进行等电位联结并接地;

▶ 13.2.1 数据中心的耐火等级不应低于二级;
▶ 13.2.4 当数据中心与其他功能用房在同一个建筑内时,数据中心与建筑内其他功能用 房之间应采用耐火极限不低于 2.0h 的防火隔墙和 1.5h 的楼板隔开,隔墙上开门应采用甲级防火门;

▶ 13.3.1 采用管网式气体灭火系统或细水雾灭火系统的主机房,应同时设置两组独立的火灾探测器,火灾报警系统应与灭火系统和视频监控系统联动;
▶ 13.4.1 设置气体灭火系统的主机房,应配置专用空气呼吸器或氧气呼吸器。

♦ 《设计规范》中要求数据中心应划分为A,B,C三级,设计时应根据数据中心的使用性质、数据丢失或网络中断在经济或社会上造成的损失或影响程度确定所属级别。

(5)互联网数据中心:
♦ 互联网数据中心(简称 IDC) 是一类向用户提供资源出租基本业务和有关附加业务、在线提供 IT 应用平台能力租用服务和应用软件租用服务的数据中心。

♦ IDC 一般由机房基础设施、网络系统、资源系统、业务系统、管理系统和安全系统六大逻辑功能部分组成;

♦ 《互联网数据中心工程技术规范 (GB 51195-2016) 》规定 IDC 机房分成 R1,R2,R3 ,3个级别。其中,各级 IDC 机房要求如下:

▶ R1 级 IDC 机房的机房基础设施和网络系统的主要部分应 具备一定的冗余能力,机房基础设施和网络系统可支撑的 IDC 业务的可用性不应小于 99.5%;

▶ R2 级 IDC 机房的机房基础设施和网络系统应 具备冗余能力,机房基础设施和网络系统可支撑的 IDC 业务的可用性不应小于 99.9%;
▶ R3 级 IDC 机房的机房基础设施和网络系统应 具备容错能力,机房基础设施和网络系统可支撑的 IDC 业务的可用性不应小于 99.99%;
♦ 《互联网数据中心工程技术规范 (GB 51195-2016) 》规定 自 2017 年 4 月 1 日起实施。其中第1.0.4,4.2.2条为强制性条文,必须严格执行。强制性条文内容具体如下:

▶ 1.0.4 在我国抗震设防烈度 7 度以上(含 7 度)地区 IDC 工程中使用的主要电信设备 必须经电信设备抗震性能检测合格。

▶ 4.2.2施工开始以前必须对机房的安全条件进行全面检查,应符合下列规定:

① 机房内必须配备有效的灭火消防器材,机房基础设施中的消防系统工程应施工完毕,并应具备保持性能良好,满足 IT 设备系统安装、调测施工要求的使用条件。

② 楼板预留孔洞应配置非燃烧材料的安全盖板,已用的电缆走线孔洞应用非燃烧材料封堵;
③ 机房内严禁存放易燃、易爆等危险物品;

④ 机房内不同电压的电源设备、电源插座应有明显区别标志;
(6)CA 机房物理安全控制:
♦ 国家密码管理局发布《电子政务电子认证服务业务规则规范》,对 CA 机房的物理安全提出了规范性要求.
网络通信线路安全分析与防护:
(1)网络通信线路安全分析:
♦ 网络通信线路常见的物理安全 威胁主要 为:

▶ 网络通信线路被 切断;

▶ 网络通信线路被 电磁干扰;

▶ 网络通信线路 泄露信息;
(2)网络通信线路安全防护:
♦ 为了实现网络通信安全,一般从两个方面采取安全措施:一是网络通信设备;二是网络通信线路。
设备实体安全分析与防护:
(1)设备实体安全分析:
▶ 设备实体 环境 关联安全威胁;

▶ 设备实体 被盗 取或损害;

▶ 设备实体受到 电磁 干扰;

▶ 设备供应链条 中断 或延缓;

▶ 设备实体的 固件 部分遭受攻击;

▶ 设备遭受 硬件 攻击;

▶ 设备实体的 控制组 件安全威胁 ;

▶ 设备 非法外联 ;
(2)设备实体安全防护:
♦ 按照国家标准 GB/T 21052 2007, 设备实体的物理安全防护技术措施主要:

▶ 设备的 标志 和标记;

▶ 设备 电磁 辐射防护;

▶ 设备 静电 及用电安全防护;

▶ 设备 磁场 抗扰;

▶ 设备 环境 安全保护;

▶ 设备 适应性 与 可靠性 保护;
(3)设备硬件攻击防护:
♦ 针对潜在的硬件攻击,主要的安全措施如下。

▶ 硬件木马检测:硬件木马检测方法有反向分析法、功耗分析法、侧信道分析法;

▶ 硬件漏洞处理:硬件漏洞不同于软件漏洞,其修补具有不可逆性。通常方法是破坏漏洞利用条件,防止漏洞被攻击者利用;

存储介质安全分析:
(1)存储介质安全分析:
▶ 存储 管理失控 ;

▶ 存储 数据泄密 ;

▶ 存储 介质 及 存储设备故障 ;

▶ 存储介质数据 非安全删除 ;

▶ 恶意代码攻击;

(2)存储介质安全防护:
强化存储 安全管理;

数据存储 加密 保存:系统中有很高使用价值或很高机密程度的重要数据,应采用加密存储;

容错容灾存储技术:对于重要的系统及 数据资源,采取磁盘阵列、双机在线备份、离线备份 等综合安全措施;

学习书籍:信息安全工程师教程...
————————————————

                        版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

原文链接:https://blog.csdn.net/weixin_54977781/article/details/131963907

目录
相关文章
|
7月前
|
SQL 安全 网络安全
网络堡垒的构建者:深入网络安全与信息安全的核心
在数字化时代,每一次点击、每一条信息的传递都可能成为安全威胁的载体。本文将探讨网络安全漏洞的本质,加密技术的进展以及提升个人和企业的安全意识的重要性。我们将深入分析如何通过技术手段和教育措施,构筑起防御网络攻击的坚固防线,确保信息传输的安全性和隐私保护。
|
3月前
|
存储 安全 网络安全
网络安全与信息安全:构建安全的网络环境
本文探讨了网络安全漏洞、加密技术以及安全意识的重要性,并提出了应对这些挑战的具体措施。通过深入分析网络安全的现状和未来发展趋势,我们强调了加强网络安全教育和提高公众安全意识的必要性,以期在数字化时代中保护个人隐私和数据安全。
40 0
|
4月前
|
人工智能 监控 安全
构筑防御堡垒:云计算环境下的网络安全策略与实践
【7月更文挑战第43天】 随着企业逐渐将数据和服务迁移至云端,云计算的安全性已成为信息安全领域的重中之重。本文旨在探讨在动态且复杂的云环境中,如何实施有效的网络安全措施来保护数据完整性、保密性和可用性。文章分析了当前云服务中存在的安全挑战,并提出了多层次的安全框架和最佳实践,以帮助组织构建强大的网络防御体系。此外,文中还讨论了利用新兴技术如人工智能和区块链来增强云环境安全性的潜力。
|
5月前
|
监控 安全 网络安全
网络防线的构筑与维护:漏洞管理、加密技术与安全意识的协同进化
在数字时代的浪潮中,网络安全与信息安全的重要性愈发凸显。本文将探讨网络安全的薄弱环节—漏洞,并分析如何通过高效的漏洞管理来强化网络防御。同时,我们将深入了解加密技术的原理及其在保护数据安全中的应用。最后,文章强调了安全意识的核心地位,以及如何通过提升个人和组织的安全意识来构建更为坚固的网络安全防线。
|
6月前
|
存储 安全 网络安全
构筑防御堡垒:云计算环境中的网络安全策略
【5月更文挑战第50天】 在数字化转型的浪潮中,云计算已成为支撑企业运营的重要基石。然而,随着数据量的激增和云服务的普及,网络安全威胁也随之增加。本文将深入探讨云计算环境中的网络安全挑战,并提出一系列创新的安全策略来强化信息安全防线。通过分析当前云服务的安全漏洞、网络攻击手段以及合规性要求,我们将探索如何构建一个既灵活又强大的安全框架,以保护云基础设施和敏感数据不受网络威胁影响。
|
7月前
|
存储 监控 安全
构筑防御堡垒:云计算环境下的网络安全策略
【5月更文挑战第29天】 在数字化时代,云计算已成为企业获取计算资源、存储数据和提供服务的重要方式。然而,云服务带来的便捷性同时也伴随着安全挑战。本文探讨了在复杂多变的云计算环境中,如何通过一系列网络安全措施来确保信息的安全性和完整性。我们将从云服务的基本概念出发,分析当前面临的主要网络威胁,并详细讨论包括身份验证、数据加密、入侵检测系统以及安全事件管理等关键技术的应用。文章旨在为读者提供一个结构化的安全框架,帮助他们在享受云计算便利的同时,有效防范潜在的安全风险。
|
7月前
|
存储 安全 网络安全
构筑安全防线:云计算环境中的网络安全与信息保护策略
【5月更文挑战第20天】 在数字化浪潮推动下,企业与组织纷纷拥抱云计算,享受其带来的灵活性、可扩展性和成本效益。然而,随着数据和应用逐渐迁移至云端,如何确保网络和信息的安全稳定成为了一个挑战。本文将探讨云计算环境下的网络安全威胁,分析云服务模型中的安全漏洞,并提出一系列创新性的信息保护策略。通过深入剖析最新的防御机制和技术,我们旨在为读者提供一个全面的网络安全指南,帮助其在云时代中维护数据完整性和隐私。
|
7月前
|
存储 监控 安全
云端防线:云计算环境中的网络与信息安全防护策略
【5月更文挑战第20天】 随着企业与个人日益依赖云服务,其数据和应用程序的安全性变得至关重要。本文深入探讨了在动态且复杂的云计算环境中维护网络安全和信息安全的挑战,并提出了一系列防护措施。我们将从云服务的分类出发,分析不同服务模型下的安全风险,进而探索包括加密技术、身份验证、访问控制以及入侵检测系统等在内的安全技术和实践。文章旨在为读者提供一套全面的安全框架,以增强云基础设施的防御能力,保护敏感数据不受未授权访问和其他网络威胁的影响。
|
7月前
|
监控 安全 网络安全
构建安全防线:云计算环境下的网络安全策略
【5月更文挑战第17天】随着企业数字化转型步伐的加快,云计算已成为支撑现代业务架构的关键基石。然而,云服务的广泛应用同时带来了前所未有的安全挑战。本文旨在探讨云计算环境中的网络安全问题,并提出一系列创新的安全策略,以保障数据完整性、确保服务可用性并抵御网络威胁。我们将深入分析云服务模型(IaaS, PaaS, SaaS)与相应的安全考量,探讨加密技术、身份认证、访问控制以及入侵检测等关键技术在云环境中的应用,并讨论如何通过多层次防御策略和持续监控来强化整体安全性。
|
7月前
|
监控 安全 网络安全
构筑安全防线:云计算环境下的网络安全策略与实践
【4月更文挑战第29天】 随着企业数字化转型的深入,云计算已成为推动业务敏捷性、降低成本和创新的关键驱动力。然而,云服务的广泛采用也带来了前所未有的网络安全挑战。本文将探讨在复杂多变的云计算环境中,如何构建有效的网络安全框架,以保护数据和服务不受威胁。我们将重点讨论云服务的安全模型、关键安全控制措施以及信息安全管理的最佳实践,旨在为组织提供战略性的指导,以应对持续演进的网络威胁。