第5章 物理与环境安全技术
5.1.1 物理安全概念
传统上的物理安全也称为实体安全,是指环境、设备和记录介质在内的所有支持网络信息系统运行的硬件的总体安全,是网络信息系统安全、可靠、不间断运行的基本保证,并且确保在信息进行加工处理、服务、决策支持的过程中,不致因设备、介质和环境条件受到人为和自然因素的危害,而引起信息丢失、泄露或破坏以及干扰网络服务的正常运行。
广义的物理安全则指硬件,软件,操作人员,环境组成的人、机、物融合的网络信息物理系统安全。
5.1.2 物理安全威胁
-
硬件木马
硬件木马通常是指集成电路芯片(IC)中被植入的恶意电路,当其被某种方式激活后,会改变IC的原有功能和规格,导致信息泄露或失去控制,带来非预期的行为后果,造成不可逆的重大危害。IC的整个生命周期内的研发设计、生产制造、封装测试以及应用都有可能被植入恶意硬件逻辑,形成硬件木马。 -
硬件协同的恶意代码
2008年Samuel T.King等研究人员设计和实现了一个恶意的硬件,该硬件可以使得非特权的软件访问特权的内存区域。Cloaker是硬件支持的Rootkit。 -
硬件安全漏洞利用
同软件类似,硬件同样存在致命的安全漏洞。硬件安全漏洞对网络信息系统的影响更具有持久性和破坏性。2018年1月发现的“熔断(Meltdown)”和“幽灵(Spectre)” CPU 漏洞属于硬件安全漏洞。该漏洞可被用于以侧信道方式获取指令预取、预执行对cache的影响等信息,通过cache与内存的关系,进而获取特定代码、数据在内存中的位置信息,从而利用其他漏洞对该内存进行读取或篡改,实现攻击目的。 -
基于软件漏洞攻击硬件实体
利用控制系统的软件漏洞,修改物理实体的配置参数,使得物理实体处于非正常运行状态,从而导致物理实体受到破坏。“震网”病毒就是一个攻击物理实体的真实案例。 -
基于环境攻击计算机实体
利用计算机系统所依赖的外部环境缺陷,恶意破坏或改变计算机系统的外部环境,如电磁波、磁场、温度、空气湿度等,导致计算机系统运行出现问题。
5.1.3 物理安全保护
- 设备物理安全
- 环境物理安全
- 系统物理安全
5.1.4 物理安全规范
《信息系统物理安全技术要求(GB/T 21052-2007)》则将信息系统的物理安全进行了分级,并给出设备物理安全、环境物理安全、系统物理安全的各级对应的保护要求,具体要求目标如下:
- 第一级物理安全平台为第一级用户自主保护级提供基本的物理安全保护;
- 第二级物理安全平台为第二级系统审计保护级提供适当的物理安全保护;
- 第三级物理安全平台为第三级安全标记保护级提供较高程度的物理安全保护;
- 第四级物理安全平台为第四级结构化保护级提供更高程度的物理安全保护。
5.2 物理环境安全分析与防护
物理环境安全是计算机设备、网络设备正常运行的保障。本节内容是物理环境安全防护,主要包括防火、防水、防震、防盗、防鼠虫害、防雷、防电磁、防静电和安全供电。
5.2.1 防火
5.2.2 防水
5.2.3 防震
5.2.4 防盗
5.2.5 防鼠虫害
5.2.6 防雷
5.2.7 防电磁
5.2.8 防静电
5.2.9 安全供电
5.3 机房安全分析与防护
机房是网络信息系统的重要设备的承载场所。本节内容是机房安全防护,主要包括机房功能区域组成、机房安全等级划分、机房场地选择要求、数据中心建设与设计要求、互联网数据中心、CA机房物理安全控制。
一般来说,机房的组成是根据计算机系统的性质、任务、业务量大小、所选用计算机设备的类型以及计算机对供电、空调、空间等方面的要求和管理体制而确定的。按照《计算机场地通用规范(GB/T 2887-2011)》的规定,计算机机房可选用下列房间(允许一室多用或酌情增减):
(1)主要工作房间:主机房、终端室;
(2)第一类辅助房间:低压配电间、不间断电源室、蓄电池室、空调机室、发电机室、气体钢瓶、监控室等;
(3)第二类辅助房间:资料室、维修室、技术人员办公室;
(4)第三类辅助房间:储藏室、缓冲间、技术人员休息室、盥洗室等。
5.3.2 机房安全等级划分
计算机机房的安全等级分为A级、B级、C级三个基本级别,下面分别介绍各级的特点:
- A级:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成严重损害的;对计算机机房的安全有严格的要求,有完善的计算机机房安全措施。
- B级:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成较大损害的;对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施。
- C级:不属于A、B级的情况;对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。
5.3.3 机房场地选择要求
-
环境安全性
(1)应避开危险来源区。
(2)应避开环境污染区。
(3)应避开盐雾区。
(4)应避开落雷区域。 -
地质可靠性
(1)不要建在杂填土、淤泥、流砂层以及地层断裂的地质区域上。
(2)建在山区的计算机房,应避开滑坡、泥石流、雪崩和溶洞等地质不牢靠的区域。
(3)建在矿区的计算机房,应避开开采矿崩落区地段,也应避开有开采价值的矿区。
(4)应避开低洼、潮湿区域。 -
场地抗电磁干扰性
(1)就避开或远离无线电干扰源和微波线路的强电磁场干扰场所,如广播电视发射台、雷达站。
(2)应避开强电流冲击和强电磁干扰的场所,如距离电气化铁路、高压传输线、电磁炉、大电机、大功率开关等设备200m以上。 -
应避开强振动源和强噪声源
(1)应避开振动源,如冲床、锻床、爆炸成形的场所。
(2)应避开机场、火车站和车辆往来比较频繁的区域以及建筑工地、影剧院及其他噪声区。
(3)应远离主要通道,并避免机房窗户直接临街。 -
应避免设在建筑物的高层以及用水设备的下层或隔壁
计算机机房应选用专用的建筑物。如果机房是大楼的一部分,应选用二层为宜,一层作为动力、配电、空调间等。
5.3.4 数据中心建设与设计要求
数据中心通常是指为实现数据信息的集中处理、存储、传输、交换、管理以及为相关电子信息设备运行提供运行环境的建筑场所。
按照规模大小可将数据中心分为三类:超大型数据中心、大型数据中心、中小型数据中心。超大型数据中心是指规模大于等于10000个标准机架的数据中心;大型数据中心是指规模大于等于3000个标准机架小于10000个标准机架的数据中心;中小型数据中心是指规模小于3000个标准机架的数据中心。
5.3.5 互联网数据中心
互联网数据中心(简称IDC)是一类向用户提供资源出租基本业务和有关附加业务、在线提供IT应用平台能力租用服务和应用软件租用服务的数据中心。用户通过使用互联网数据中心的业务和服务,实现用户自身对外的互联网业务和服务。
IDC一般由机房基础设施、网络系统、资源系统、业务系统、管理系统和安全系统六大逻辑功能部分组成。
《互联网数据中心工程技术规范(GB 51195-2016)》规定IDC机房分成R1、R2、R3三个级别。其中,各级IDC机房要求如下:
- R1级 IDC机房的机房基础设施和网络系统的主要部分应具备一定的冗余能力,机房基础设施和网络系统可支撑的IDC业务的可用性不应小于 99.5%;
- R2级 IDC机房的机房基础设施和网络系统应具备冗余能力,机房基础设施和网络系统可支撑的IDC业务的可用性不应小于 99.9%;
- R3级 IDC机房的机房基础设施和网络系统应具备冗余能力,机房基础设施和网络可支撑的IDC业务的可用性不应小于 99.99%。
5.3.6 CA机房物理安全控制
5.4 网络通信线路安全分析与防护
网络通信线路是网络信息的传输通道。本节首先对网络通信线路安全进行分析,然后给出网络通信线路防护措施。
5.4.1 网络通信线路安全分析
- 网络通信线路被切断
- 网络通信线路被电磁干扰
- 网络通信线路泄露信息
5.4.2 网络通信线路安全防护
目前,为了实现网络通信安全,一般从两个方面采取安全措施:一是网络通信设备;二是网络通信线路。对重要的核心网络设备,例如路由器、交换机,为了防止这些核心设备出现单点安全故障,一般采取设备冗余,即设备之间互为备份。而网络通信线路的安全措施也是采取多路通信的方式。
5.5 设备实体安全分析与防护
5.5.1 设备实体安全分析
设备常见的物理安全威胁主要如下。
- 设备实体环境关联安全威胁
- 设备实体被盗取或损害
- 设备实体受到电磁干扰
- 设备供应链条中断或延缓
- 设备实体的固件部分遭受攻击
- 设备遭受硬件攻击
- 设备实体的控制组件安全威胁
- 设备非法外联
5.5.2 设备实体安全防护
按照国家标准GB/T 21052-2007,设备实体的物理安全防护技术措施主要如下。
- 设备的标志和标记
- 设备电磁辐射防护
- 设备静电及用电安全防护
- 设备磁场抗扰
- 设备环境安全保护
- 设备适应性与可靠性保护
(1)设备供应链弹性。
(2)设备安全质量保障。
(3)设备安全合规。
(4)设备安全审查。
5.5.3 设备硬件攻击防护
针对潜在的硬件攻击,主要的安全措施如下。
- 硬件木马检测
- 硬件漏洞处理
5.6 存储介质安全分析与防护
5.6.1 存储介质安全分析
存储介质及存储设备系统主要的安全威胁有以下几个方面。
- 存储管理失控
- 存储数据泄密
- 存储介质及存储设备故障
- 存储介质数据非安全删除
- 恶意代码攻击
5.6.2 存储介质安全防护
一般来说,常用的存储介质安全防护措施有以下几种。
- 强化存储安全管理
- 数据存储加密保存
- 容错容灾存储技术