信息安全:物理与环境安全技术.

news2024/11/15 2:17:11

信息安全:物理与环境安全技术.

传统上的物理安全也称为 实体安全 ,是指包括 环境、设备和记录介质在内的所有支持网络信息系统运行的硬件的总体安全,是网络信息系统安全、可靠、不间断运行的基本保证,并且确保在信息进行加工处理、服务、决策支持的过程中,不致因设备、介质和环境条件受到人为和自然因素的危害,而引起信息丢失、泄露或破坏以及干扰网络服务的正常运行。

广义的物理安全则指由: 硬件,软件,操作人员,环境组成的人、机、物融合的网络信息物理系统的安全

目录:

信息安全:物理与环境安全技术.

物理安全的要求:

(1)物理安全威胁:

(2)物理安全保护:

物理环境安全分析与防护:

机房安全分析与防护:

(1)机房功能区域组成:

(2)机房安全等级划分:

(3)机房场地选择要求:

(4)数据中心建设与设计要求:

(5)互联网数据中心:

(6)CA 机房物理安全控制:

网络通信线路安全分析与防护:

(1)网络通信线路安全分析:

(2)网络通信线路安全防护:

设备实体安全分析与防护:

(1)设备实体安全分析:

(2)设备实体安全防护:

(3)设备硬件攻击防护:

存储介质安全分析:

(1)存储介质安全分析:

(2)存储介质安全防护:


物理安全的要求:

(1)物理安全威胁:

♦  随着网络攻击技术的发展,物理系统安全面临硬件攻击的威胁,与传统的物理安全威胁比较,新的硬件威胁更具有隐蔽性、危害性,攻击具有主动性和非临近性。

▶  硬件木马:硬件木马通常是指在 集成电路芯片 (IC) 中被植入的恶意电路 ,当其被某种方式激活后, 会改变 IC 的原有功能和规格,导致信息泄露或失去控制,带来非预期的行为后果,造成不可逆的重大危害。 IC 整个生命周期内的研发设计、生产制造、封装测试以及应用都有可能被植入恶意硬件逻辑,形成硬件木马。

▶  硬件协同的恶意代码:2008 Samuel T.King 等研究人员设计和实现了一个 恶意的硬件 ,该硬件可以使得非特权的软件访问特权的内存区域

▶  硬件安全漏洞利用:同软件类似,硬件同样存在致命的安全漏洞。硬件安全漏洞对网络信息系统安全的影响更具有持久性和破坏性。 2018 月发现的 “熔断 (Meltdown) "和“幽灵 (Spectre) " CPU 漏洞属千硬件安全漏洞。该漏洞可被用千 以侧信道方式获取指令预取、预执行对 cache 的影响 等信息,通过 cache 与内存的关系,进而获取特定代码、数据在内存中的位置信息,从而 利用其他漏洞对该内存进行读取或篡改,实现攻击目的

▶  基千软件漏洞攻击硬件实体:利用控制系统的软件漏洞,修改物理实体的配置参数,使得物理实体处千非正常运行状态,从而导致物理实体受到破坏。 “震网”病毒就是一个攻击物理实体的真实案例。

▶  基千环境攻击计算机实体:利用计算机系统所依赖的外部环境缺陷,恶意破坏或改变计算机系统的外部环境,如 电磁波、磁场、温度、空气湿度 等,导致计算机系统运行出现问题。


(2)物理安全保护:

♦  设备物理安全:设备物理安全的安全技术要素主要有 设备的标志和标记、防止电磁信息泄薛、抗电磁干扰、电源保护以及设备振动、碰撞、冲击适应性 等方面。除此之外,还要确保设备供应链的安全及产品的安全质量,防止设备其他相关方面存在硬件木马和硬件安全漏洞。智能设备还要 确保嵌入的软件是安全可信的

♦  环境物理安全:环境物理安全的安全技术要素主要有机房场地选择、机房屏蔽、防火、防水、防雷、防鼠、防盗、防毁、供配电系统、空调系统、综合布线和区域防护等方面。
♦  系统物理安全:系统物理安全的安全技术要素主要  存储介质安全、灾难备份与恢复、物理设备访问、设备管理和保护、资源利用 等。物理安全保护的方法主要是 安全合规、访问控制、安全屏蔽、故障容错、安全监测与预警、供应链安全管理和容灾备份 等。
♦  物理安全规范:《信息系统物理安全技术要求 (GB/T21052 2007) 》则 将信息系统的物理安全进行了分级,并给出设备物理安全、环境物理安全、系统物理安全的各级对应的保护要求,具体要求目标如下:
  
▶  第一级物理安全平台为第一级用户 自主保护 级提供基本的物理安全保护;
▶  第二级物理安全平台为第二级系统 审计保护 级提供适当的物理安全保护;
▶  第三级物理安全平台为第 级安全 标记保护 级提供较高程度的物理安全保护;
▶  第四级物理安全平台为第四级 结构化保护 级提供更高程度的物理安全保护;

物理环境安全分析与防护:

(1)防火.                    (2)防水.

(3)防震.                    (4)防盗.

(5)防鼠虫害.             (6)防雷.

(7)防电磁.                 (8)防静电.

(9)安全供电. 


机房安全分析与防护:

(1)机房功能区域组成:

♦  按照《计算机场地通用规范 (GB/f2887-2011) 》的规定,计算机机房可选用下列房间(允许 室多用或酌情增减)

▶  主要工作房间:主机房、终端室等;

▶  第一类辅助房间:低压配电间、不间断电源室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室等;

▶  第二类辅助房间:资料室、维修室、技术人员办公室;

▶  第三类辅助房间:储藏室、缓冲间、技术人员休息室、盟洗室等;


(2)机房安全等级划分:

♦  根据《计算机场地安全要求 (GB/T 9361 2011) 》,计算机机房的安全等级分为A级、B级、C级三个基本级别。下面分别介绍各级的特点: 

▶  A级:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成 严重损害的;对计算机机房的安全有 严格 的要求,有 完善的 计算机机房安全措施;

▶  B级:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成 较大损害的 ;对计算机机房的安全有 较严格 的要求,有 较完善 的计算机机房安全措施;

▶  C级:不属于A,B级的情况;对计算机机房的安全有 基本的要求 ,有 基本的 计算机机房安全措施;

(3)机房场地选择要求:

♦  环境安全性:
  
▶  应避开危险来源区;
    
▶  应避开环境污染区;
    
▶  应避开盐雾区;
     
▶  应避开落雷区域;
 

♦  地质可靠性:

▶  不要建在杂填土、淤泥、流砂层以及地层断裂的地质区域上。
 
▶  建在山区的计算机房,应避开滑坡、泥石流、雪崩和溶洞等地质不牢靠的区域。
 
▶  建在矿区的计算机房,应避开采矿崩落区地段,也应避开有开采价值的矿区。
 
▶  应避开低洼、潮湿区域。
    

♦  场地抗电磁干扰性:

▶  应避开或远离无线电干扰源和微波线路的强电磁场干扰场所,如广播电视发射台、雷达站;

▶  应避开强电流冲击和强电磁干扰的场所,如距离电气化铁路、高压传输线、高频炉、大电机、大功率开关等设备 200m 以上;

♦  应避开强振动源和强噪声源:

♦  应避免设在建筑物的高层以及用水设备的下层或隔壁
   
▶  计算机机房应选用专用的建筑物如果机房是大楼的一部分,应选用二层为宜, 层作为动力、配电、空调间等。

(4)数据中心建设与设计要求:

♦  数据中心通常是指为实现对数据信息的 集中处理、存储、传输、交换、管理 以及为相关电子信息设备运行提供运行环境的建筑场所;
  
♦  按照规模大小可将数据中心分为三类:超大型数据中心、大型数据中心、中小型数据中心
   
▶  超大型数据中心是指规模大于等于10000 个标准机架的数据中心;
 
▶  大型数据中心是指规模大于等于 3000 个标准机架小于 10000 个标准机架的数据中心;
▶  中小型数据中心是指规模小于 3000 个标准机架的数据中心;
  
♦  《数据中心设计规范 (GB 50174 2017) 》(以下简称《设计规范》)为国家标准,自 2018 年 1 月 1 日 起实施。强制性条文内容如下
  
▶   8.4.4 数据中心内所有设备的金属外壳、各类金属管道、金属线槽、建筑物金属结构必须进行等电位联结并接地
   
▶   13.2.1 数据中心的耐火等级不应低千二级
▶   13.2.4 当数据中心与其他功能用房在同一个建筑内时,数据中心与建筑内其他功能用 房之间应采用耐火极限不低于 2.0h 的防火隔墙和 1.5h 的楼板隔开,隔墙上开门应采用甲级防火门;
  
▶   13.3.1 采用管网式气体灭火系统或细水雾灭火系统的主机房,应同时设置两组独立的火灾探测器,火灾报警系统应与灭火系统和视频监控系统联动;
▶   13.4.1 设置气体灭火系统的主机房,应配置专用空气呼吸器或氧气呼吸器
  
♦  《设计规范》中要求数据中心应划分为A,B,C三级,设计时应根据数据中心的使用性质、数据丢失或网络中断在经济或社会上造成的损失或影响程度确定所属级别。

(5)互联网数据中心:

♦  互联网数据中心(简称 IDC) 是一类向用户提供资源出租基本业务和有关附加业务、在线提供 IT 应用平台能力租用服务和应用软件租用服务的数据中心。
  
♦  IDC 一般由机房基础设施、网络系统、资源系统、业务系统、管理系统和安全系统六大逻辑功能部分组成;
♦  《互联网数据中心工程技术规范 (GB 51195-2016) 》规定 IDC 机房分成 R1,R2,R3 ,3个级别。其中,各级 IDC 机房要求如下:
 
▶   R1 级     IDC 机房的机房基础设施和网络系统的主要部分应 具备一定的冗余能力,机房基础设施和网络系统可支撑的 IDC 业务的可用性不应小于 99.5%;
  
▶   R2 级     IDC 机房的机房基础设施和网络系统应 具备冗余能力,机房基础设施和网络系统可支撑的 IDC 业务的可用性不应小于 99.9%;
▶   R3 级     IDC 机房的机房基础设施和网络系统应 具备容错能力,机房基础设施和网络系统可支撑的 IDC 业务的可用性不应小千 99.99%;
♦  《互联网数据中心工程技术规范 (GB 51195-2016) 》规定 自 2017 年 4 月 1 日起实施。其中第1.0.4,4.2.2条为强制性条文,必须严格执行。强制性条文内容具体如下:
  
▶  1.0.4 在我国抗震设防烈度 7 度以上(含 7 度)地区 IDC 工程中使用的主要电信设备 必须经电信设备抗震性能检测合格
  

▶  4.2.2施工开始以前必须对机房的安全条件进行全面检查,应符合下列规定:

① 机房内必须配备有效的灭火消防器材,机房基础设施中的消防系统工程应施工完毕,并应具备保持性能良好,满足 IT 设备系统安装、调测施工要求的使用条件。
   
② 楼板预留孔洞应配置非燃烧材料的安全盖板,已用的电缆走线孔洞应用非燃烧材料封堵;
③ 机房内严禁存放易燃、易爆等危险物品;
   
④ 机房内不同电压的电源设备、电源插座应有明显区别标志;

(6)CA 机房物理安全控制:

♦  国家密码管理局发布《电子政务电子认证服务业务规则规范》,对 CA 机房的物理安全提出了规范性要求.

网络通信线路安全分析与防护:

(1)网络通信线路安全分析:

♦  网络通信线路常见的物理安全 威胁主要 为:
  
▶   网络通信线路被 切断
  
▶   网络通信线路被 电磁干扰
  
▶   网络通信线路 泄露信息

(2)网络通信线路安全防护:

♦  为了实现网络通信安全,一般从两个方面采取安全措施:一是网络通信设备;二是网络通信线路

设备实体安全分析与防护:

(1)设备实体安全分析:

▶   设备实体 环境 关联安全威胁;
  
▶   设备实体 被盗 取或损害;
  
▶   设备实体受到 电磁 干扰;
   
▶   设备供应链条 中断 或延缓;
  
▶   设备实体的 固件 部分遭受攻击;
   
▶   设备遭受 硬件 攻击;
    
▶   设备实体的 控制组 件安全威胁 ;
   
▶   设备 非法外联

(2)设备实体安全防护:

♦  按照国家标准 GB/T 21052 2007, 设备实体的物理安全防护技术措施主要:
 
▶   设备的 标志 和标记;
  
▶   设备 电磁 辐射防护;
  
▶   设备 静电 及用电安全防护;
  
▶   设备 磁场 抗扰;
  
▶   设备 环境 安全保护;
   
▶   设备 适应性 可靠性 保护;

(3)设备硬件攻击防护:

♦  针对潜在的硬件攻击,主要的安全措施如下。

▶   硬件木马检测:硬件木马检测方法有反向分析法、功耗分析法、侧信道分析法;

▶   硬件漏洞处理:硬件漏洞不同于软件漏洞,其修补具有不可逆性。通常方法是破坏漏洞利用条件,防止漏洞被攻击者利用;


存储介质安全分析:

(1)存储介质安全分析:

▶   存储 管理失控

▶   存储 数据泄密 

▶   存储 介质 存储设备故障 

▶   存储介质数据 非安全删除 
  

▶   恶意代码攻击


(2)存储介质安全防护:

强化存储 安全管理
   
数据存储 加密 保存:系统中有很高使用价值或很高机密程度的重要数据,应采用加密存储;
  
容错容灾存储技术:对千重要的系统及 数据资源,采取磁盘阵列、双机在线备份、离线备份 等综合安全措施;
     
    
    
学习书籍:信息安全工程师教程...

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/802150.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

企业电子招投标采购系统源码之-java spring cloud+spring boot

​ 信息数智化招采系统 服务框架:Spring Cloud、Spring Boot2、Mybatis、OAuth2、Security 前端架构:VUE、Uniapp、Layui、Bootstrap、H5、CSS3 涉及技术:Eureka、Config、Zuul、OAuth2、Security、OSS、Turbine、Zipkin、Feign、Monitor、…

LC-2050. 并行课程 III(小根堆 + 拓扑排序)

2050. 并行课程 III 难度困难42 给你一个整数 n ,表示有 n 节课,课程编号从 1 到 n 。同时给你一个二维整数数组 relations ,其中 relations[j] [prevCoursej, nextCoursej] ,表示课程 prevCoursej 必须在课程 nextCoursej 之前…

TBOX相关芯片学习

芯片学习 ESIM–嵌入式SIM卡 ESIM将SIM卡直接嵌入到目标设备芯片,而不是作为独立的可移除文件 功能架构: SM-SR:签约管理安全路由服务器,主要功能是实现eUICC远程配置数据的安全路由和传输 SM-DP:签约管理数据准备服务器,主要功…

【产品经理】高阶产品如何处理需求?(3方法论+2案例+1清单)

不管你是萌新小白,还是工作了几年的“老油条”,需求一直是产品经理工作的重点。只不过,不同年限的产品经理需要面对的需求大有不同,对能力的要求更高。 不知你是否遇过以下问题? 你接手一个项目后,不知从何…

SDN系统方法 | 8. 网络虚拟化

随着互联网和数据中心流量的爆炸式增长,SDN已经逐步取代静态路由交换设备成为构建网络的主流方式,本系列是免费电子书《Software-Defined Networks: A Systems Approach》的中文版,完整介绍了SDN的概念、原理、架构和实现方式。原文: Softwar…

【软件测试】如何设计测试用例?

文章目录 1.设计测试用例的万能公式2.测试用例的具体设计方法2.1 等价类2.2 边界值2.3 判定表(因果图)2.4 场景设计法2.5 正交法2.6 错误猜测法 3.总结 1.设计测试用例的万能公式 设计测试用例的万能公式: 功能测试性能测试界面测试兼容性测试易用性测试安全测试 功能测试:验证…

ORB-SLAM3 数据集配置与评价

ORB-SLAM3运行EuRoC和TUM-VI数据集。EuRoC利用微型飞行器(MAV ) 收集的视觉惯性数据集,TUM-VI 是由实验人员手持视觉-惯性传感器收集的数据集。这两个是在视觉SLAM中比较常用的数据集,所以测试并加以记录。 文章目录 一、EuRoC数据集测试1、官网下载2、…

AtcoderABC230场

A - AtCoder Quiz 3A - AtCoder Quiz 3 题目大意 给定一个整数N,以AGCXXX的格式打印第N次AGC的名称,其中XXX是以零填充的3位数字。 思路分析 根据题目要求,当N≥42时,输出AGC加上N1,并补齐为3位数字的格式&#xff…

作为一名程序员,IVX你值得拥有

目录 一、IVX是什么 二、IVX编程盒子——低代码平台的首个硬件产品 iVX做硬件的原因 iVX自身特点——安全、方便、高效、低耗 三、IVX编程盒子自带的Demo系统 1. 问题反馈、在线沟通和工单处理系统 2. 大屏幕监管平台 四、IVX和其他代码平台的区别 五、低代码未来的发展…

企业知识文档管理+群晖nas安全云存储

企业知识管理系统,利用软件系统或其他工具的企业管理方法,利用软件系统或其他工具,对组织中大量的有价值的方案、策划、成果、经验等知识进行分类存储和管理,积累知识资产避免流失,促进知识的学习、共享、培训、再利用…

配对卡方分析

一、案例介绍 某医院用两种不同方法对53例肺癌患者进行诊断,收集到结果如下表,现在想知道两种方法的检测结果有无差别。 二、问题分析 本案例分析的目的是比较两种方法对同一批样本的检测结果有无差别,且检测结果为二分类变量(阳…

确保API安全的5个推荐措施

如今社会随着互联网应用领域愈发宽广,我们对应用程序编程接口 (API) 的依赖也越来越巨大。因为当我们开发应用程序时,API可以无缝、流畅且无形地在幕后完成各种任务,比如从您自己的应用程序时向另一个应用程序中提取您请求的数据。它们是我们…

问题记录::

一、编码器报7382错误!!! 注:不是机器有问题,是默认参数中的编码器复位是没有使能的!!! 解决步骤:1、打开科伺驱动软件;一级登录;连接驱动&…

交换基础-VLAN、TRUNK、VTP(红茶三杯CCNA)

交换机主要功能:学习地址(从源端口学习地址,被动学习)、转发过滤帧、避免环路 MAC地址:48位,全球唯一,前24为组织标识 VLAN分类: 1. Static(静态)VLAN&…

零基础渗透测试全程记录(打靶)——Lampiao

一、打靶总流程 1.确定目标: 在本靶场中,确定目标就是使用nmap进行ip扫描,确定ip即为目标,只是针对此靶场而言。其他实战中确定目标的方式包括nmap进行扫描,但不局限于这个nmap。 2.信息收集: 比如平常挖…

路由选择原理-静态路由(红茶三杯CCNA)

路由协议: 被动路由协议:用来在路由器之间传递用户的信息 主动路由协议:用于维护路由器的路由表 路由的来源: 直连路由C:直接连到路由器上的网络 静态路由S:管理员手工构建路由表 动态路由:路由…

APP开发入门:了解主流的编程语言

在过去的几年里,有许多程序员开始学习和使用编程语言。这其中包括C、C、 Java和 Python。尽管有许多语言可供选择,但大多数程序员都会选择最容易学习的编程语言。 如今,有很多编程语言供选择。程序员们在学习这些语言时可以自由地选择他们喜…

币安SDK实时架构

在对接币安的SDK时,虽然可以根据文档获取行情、管理订单,但是还是了解人家SDK的底层逻辑比较好。 Binance通过WebSocket实时推送行情、订单数据,这也是大多数交易所的通用方式,这里展示的是币安WSS架构。有缘者得之。 Binance W…

小爱音箱播放局域网NAS上的音乐(httpRandomMusic)

小爱音箱播放局域网NAS上的音乐(httpRandomMusic) 手上有一个小爱音箱Pro,拿来给小朋友玩,顺带查下天气,控制下家里电视、空调等家电,一直使用挺方便的。老早以前听歌都是百度一首首下载,然后放…