CISSP AIO7 学习笔记 - 第三章 安全工程 3.22-3.25小节 附送脑图

简版脑图

---

3.22 站点和设施安全

如果没有适当的物理安全，那么信息安全也是无任何意义的。
物理安全措随必须能够应对物理破坏、入侵者、环境问题、盗窃和故意破坏。
常见威胁：

• 自然环境威胁，洪水、地震、暴风雨和龙卷风、火灾、极端的气候条件等。
• 供应系统威胁，停电、通信中断、其他自然资源(如水、蒸汽、汽油)中断等。
• 人为威胁，授权访问(内部的和外部的)、爆炸、愤怒的员工所造成的毁坏、员工造成的错误和事故、故意破坏、欺诈、盗窃以及其他威胁。
• 以政治为动机的威胁，罢工、暴乱、不合作主义、恐怖攻击和爆炸等。

---

3.23 站点规划过程

组织必须首先定义脆弱性、威胁、威胁主体和目标。

• 脆弱性是一种缺陷
  可以分为内部和外部威胁
• 威胁则是某人标识该脆弱性并利用其对你发动攻击的可能性
• 威胁主体是实际利用被标识的脆弱性的人或机制

一个组织的物理安全计划应当涉及下列目标

• 通过震慑预防犯罪和破坏，栅栏、保安、警示标志等。
• 通过使用延迟机制来减少损失，延缓对于行动的防御层，如锁、安全人员和屏障。
• 犯罪或破坏检测，烟雾探测器、运动探测器、CCTV 等。
• 事故评估，检测到的事故的反应以及破坏级别的确定。
• 响应措施灭火机制、应急响应过程、执法通告、外部安全专家咨询。
  

CPTED通过环境设计来预防设计

通过合理的设施构造、环境组件和措施， CPTED能够为预防损失和犯罪提供指导。
策略分为三种情况：

• 自然访问控制，指的是通过设置门、栅栏、照明甚至绿化来引导进出某个自然访问控制设施的人。
• 自然监视可以通过有组织的方式(保安)、技术方式(CCTV)和自然策略(直接的视线、低矮的绿化、突出的入口)进行
• 自然区域加固，它建立强调或延伸公司物理影响范围的物理设计，让合法用户在那个空间具有归属感。

制订物理安全计划

• 设施
• 建造
• 入口
• 内部分隔
• 计算机房和设备房
  数据中心有两道门，一用于日常出入 ，二是用于紧急通行。数据中心应该做成一个房间，内为正气压，注意防火、防水，HVAC系统保持温度和湿度，电力系统的备份。

---

3.24 保护资产

物理安全所应对的主要威胁包括：盗窃、服务中断、物理破坏、对系统和环境完整性的损害以及未授权的访问。

• 保护移动设备
• 使用保险柜
  被动重锁功能，探测人为破坏，加上其它的内部锁。
  热式重锁功能，探测特定温度，加上其它的内部锁。

---

3.25 内部支持系统

电力

电源保护，在线式UPS和后备式UPS

可能的干扰有EMI电磁干扰和RFI射频干扰。

电压过高:

• 尖峰，瞬间高压。
• 浪涌，长时间的高压。

电力供应停止

• 故障瞬间停电。
• 断电长时间停电。

电力降低

• 衰变瞬间低压，持续一个周期到几秒不等。
• 电压过低供电电压长时间低于正常电压。
• 浪涌电流启动负载时所需的电流初始浪涌。

环境问题

气候问题涉及数据处理环境需要自己独立的HVAC系统。应当制定文档化的维护措施并严格遵循。此外，还需要手动记录和检查HVAC活动。

火灾的预防、检测和扑灭

火灾五个等级

• A，普通易燃，用水，泡沫扑灭
• B，液体，用气体，干粉，泡沫，二氧化碳扑灭
• C，电，用气体，干粉，二氧化碳扑灭
• D，易燃金属，用干粉扑灭
• K，商业厨房，用醋酸钾来扑灭。

探测器种类

• 烟雾激发探测器
• 热激发探测器
• 火焰激发探测器

喷水装置：

• 湿管式
• 干管式
• 提前作用式，类似干管，但是多了热熔解连接头。
• 泛滥式