CISSP 第五章 物理和环境安全
物理和环境安全
- 5.1 物理安全简介
- 5.2 规划过程
- 5.2.1 通过环境设计来预防犯罪
- 5.2.2 制订物理安全计划
- 5.3 保护资产
- 5.4 内部系统支持
- 5.4.1 电力
- 5.4.2 环境问题
- 5.4.3 通风
- 5.4.4 火灾的预防、检测和扑灭
- 5.5 周边安全
- 5.5.1 设施访问控制
- 5.5.2 人员访问控制
- 5.5.3 外部边界保护机制
- 5.5.4 入侵检测系统
- 5.5.5 巡逻警卫和保安
- 5.5.6 安全狗
- 5.5.7 对物理访问进行审计
- 5.5.8 测试和演习
5.1 物理安全简介
安全性和复杂性是两个相对立的事物。
物理安全机制的实现包括安全和保障机制,安全机制负责保护生命和财产,使其免受火灾、自然灾害和破坏性事件的伤害,保障机制则应对个人造成的故意破坏、盗窃和攻击。
物理安全机制的实现基于分层防御模型(layered defense model)。
5.2 规划过程
物理安全是保护资源的人员、过程、措施和设备的组合。
威胁分为内部威胁和外部威胁:
内部:包括运行不良的设备、火灾危险或企图以某种方式给公司造成破坏的职员
外部:如银行和运钞车是有组织犯罪人员的目标
共谋(collusion)是指多人联合实施欺诈,比如内部人员串通外部人员共同对公司进行欺诈和破坏。
针对共谋的程序化保护机制:职责分离、雇用前的背景调查、岗位轮换以及监管
一个组织机构的物理安全计划:
- 通过震慑预防犯罪和破坏:栅栏、保安、警示标志灯
- 通过使用延迟机制来减少损失:延缓对手行动的防御层,如锁、安全人员和屏障
- 犯罪和破坏检测:烟雾探测器、运动探测器、CCTV等
- 事故评估:保安检测到的事故的反应以及破坏级别的确定
- 响应措施:灭火机制、应急响应过程、执法通告、外部安全专家咨询
应当制定度量和标准来评测所选对策的效率,性能度量包括成功犯罪的次数、犯罪分子摆脱一个控制所用的时间等。
基线和度量:度量能够评估和确定所实现的对策是否满足基线,确定了对策就可以按照创建的度量不断评估和描述这些对策的性能,将性能值与设定的基线进行比较,以确定公司的可接受风险级别没有被打破。
5.2.1 通过环境设计来预防犯罪
Crime Prevention Through Environmental Design,CPTED
通过合理的设施构造、环境组件和措施,预防损失和犯罪
目标强化target hardening强调通过物理和人工障碍(报警器、锁、栅栏等)来拒绝访问。
最佳途径:先通过CPTED方式构建一个环境,然后根据需要在设计上应用目标强化组件。CPTED主要处理时设施建设、内部外部的设计以及外围组件,如绿化和照明。目标强化是更细化的保护机制,如锁和运动探测器。
CPTED提供了3种主要策略:
- 自然访问控制natural access control
通过设置门、栅栏、照明甚至绿化来引导进出某个设施的人
一个环境的空间可以能够划分成各不相同的区域,区域可以标记为控制区、限制区、公共区和敏感区。 - 监视
监视可以以有组织的方式(保安)、技术方式(CCTV)和自然策略(直接的视线、低矮的绿化、突出的入口)进行。通过为观察者提供许多可以观察到的犯罪分子的方法,让犯罪分子不适,其他人感到安全舒适。
自然监视以视野最大化方式利用和安置物理环境特征、员工通道和活动区域。 - 自然区域加固territorial reinforcement
建立强调和延伸公司物理影响范围的物理设计,让合法用户在空间内具有归属感。如使用墙壁、栅栏、绿化等
5.2.2 制订物理安全计划
物理安全计划制定团队必须熟悉组织机构应当遵守的所有法规,以及如何通过物理安全和安全措施来实现合规性。
设施安全官facility safety officer了解构成设施的所有组件,以及公司应采取哪些措施来保护其资产和遵守相关法规。
威慑犯罪活动的物理设施—有助于确保抓住入侵者的延迟办法—入侵者检测—状况评估—对入侵和破坏的响应
水探测器应安装在架空的地板下面和吊顶上面。
数据中心内保持适当的温度和湿度非常重要,必须具有自己的、独立于建筑其余部分的温度和湿度控制系统。
数据中心可能需要后备电源,即从两个或更多的变电站接入多条支线。或者是使用不间断电源(UPS:Uninterrupted Power Supply)或发电机。
5.3 保护资产
一些保险柜有被动或热式重锁功能
被动重锁passive relocking:能够探测是否有人试图损坏保险柜,检测到会插上内部的其他插销
热式重锁thermal relocking:当达到特定温度(可能由钻孔造成),另一把锁就会锁上,从而保证物品得到适当的保护
5.4 内部系统支持
5.4.1 电力
公司可以购买两种不同的电源来降低断电风险,但成本较高。
发电机和UPS是比较经济的机制,发电机有传感器,能探测电源中断并自动启动。
发电机的供电时间是几小时到几天不等,UPS只能解决短期断电问题。
智能电网的目标包括:
自我治愈
抵抗物理和网络攻击
双向通信
效率提高
更好的集成可更新能源
- 电源保护
UPS,电源线连接器,备用电源
UPS:分为在线式UPS系统(online UPS system)和后备式UPS(standby UPS)
在线式UPS系统始终保持正常的主电流,由于环境中的电流一直在UPS中流动,所以这种UPS能检测到中断,中断后立刻提供必要的电力并恢复负载,恢复速度比离线式快,但成本高。
后备式UPS设备在正常情况下不工作,直到电源被切换后才开始运行。这种系统有探测断电的传感器。
备用电源:当UPS电源能够提供的供电时间不够时,使用备用电源。备用电源可以是从另一个变电站或发电机接过来的后备电力线。
- 电源问题
任何发射无线电波的设备都可能产生射频干扰(Radio Frequency Interference,RFI)
荧光照明设备室产生RFI的主要原因之一。
不要在荧光灯上连接数据线和电源线,因为荧光灯发射的射频会干扰流经这些线路的数据或电流。
为每台设备配备一个浪涌电压保护器,以防止过高电流的破坏,浪涌指电源电压瞬时升高。
稳压器(voltage regulator)和线路调节器(line conditioner)能够用于保证电源的洁净和平稳分配,使电流保持正常平稳状态。
5.4.2 环境问题
对于安装有计算机系统的建筑实施,保持合适的温度和湿度很重要。
5.4.3 通风
- 安装一个闭环再循环空气调节系统来保证空气质量
闭环(closed-loop)意味着建筑物内的空气在适当过滤后可以再次利用,而不必引入外界的空气 - 采用正向加压和通风来控制污染
正向加压(positive pressurization)意味着当打开门时,空气从室内流向室外,室外的空气不能够流入
5.4.4 火灾的预防、检测和扑灭
火灾预防(fire prevention)包括培训员工在火灾时如何作出适当的反应,提供合适的设备并确保设备能够使用,保证附近有方便的水源以及正确存放可燃物品。
火灾探测(fire detection)系统分为自动探测响应系统和手动探测响应系统。
火灾扑灭(fire suppression)可以使用手持便携式灭火器或喷淋系统之类的自动灭火系统。
- 火灾探测类型
火灾探测器有:
烟雾激发探测器:(1)光探测器发出一束光,穿过受保护区域,如果受阻就会报警 (2)光电设备将空气吸入管道来对周围空气取样,如果光源暗淡就报警
热激发探测器:(1)达到预先设定的温度就报警 (2)检测到温度在一段时间内持续上升就报警 - 扑灭火灾
火灾有ABCD四级
可用的灭火剂包括水、哈龙(有毒)、泡沫和二氧化碳等
HAVC(暖通)系统应与火灾报警和扑灭系统连接起来,在确定发生火灾时关闭HAVC系统。
- 喷水装置
电火灾时使用水灭火,需要先关闭电源,否则会更糟糕,因为水可以导电。
喷水装置分为湿管式、干管式、提前作用以及泛滥式。
湿管式(wet pipe system)的水管中始终有水,也称封闭喷头系统(closed head system)
干管式(dry pipe system)的水管中不存水,火灾时气压降低水阀打开,适合在寒冷天气使用。
提前作用式(preaction system)类似干管式,但水在喷头处的热溶解连接头熔化时才放出。仅适用在数据处理环境而不是整栋建筑中。
泛滥式(deluge system)的喷头始终打开,短时间内能大量喷水,不适用于数据处理环境。
5.5 周边安全
周边安全的第一道防线是防止未授权访问进入设施。
5.5.1 设施访问控制
访问控制点可以标识和分类为外部入口、主要入口和次要入口。
机械锁分为暗锁(最基本的挂锁)和弹簧锁(tumble lock)。
弹簧锁分为3类:销簧锁(pin tumbler lock)、盘簧锁(wafer tumbler lock)和杆锁。
密码锁(cipher lock,也称可编程锁)功能:开门延迟时间、密码重置、万能钥匙、被困报警,可以提高密码锁的性能以及提升安全级别。
智能锁(smart lock)提高更高的可问责性,可以给某些人分配特定的密码,只允许授权人员在特定的时间从某个入口进去。
设备锁,线缆锁
5.5.2 人员访问控制
通过匹配生理特征、使用智能卡或存储卡、向保安出示身份证、使用钥匙或者提供出入卡并输入密码或PIN,就能够进行身份标识和身份验证。
混入piggybacking:一个人通过使用其他人的合法凭证或访问权利来获取未授权访问
磁卡(存储卡或智能卡)可以使用用户激活式读卡器(user-activated reader),这意味着用户需要做出某种行为,如刷卡或输入PIN码。
系统感应访问控制读卡器(system sensing access control reader)不需要用户采取任何行动就可以从卡上获得访问代码。
5.5.3 外部边界保护机制
外部边界保护机制一般使用的控制方式:
访问控制机制(锁、电子卡访问系统、员工意识)物理屏障(栅栏、大门)入侵检测(周边传感器、通报机制)评估(保安、CCTV)响应(保安、当地执法机构)威慑(标志、照明)
- 栅栏
至关重要的区域应采用至少8英尺高的栅栏
栅栏金属丝的丝号指栅栏网眼所使用的金属丝的粗细程度,丝号越小,金属线越粗,越难剪短
网眼大小指金属丝之间的最小净距离,网眼越小,栅栏越难爬过或剪短。
边界入侵检测和评估系统(Perimeter Intrusion Detection and Assessment System,PIDAS)是一种线网上安装和栅栏底部装有传感器的栅栏,检测到有入侵行为就会报警,但是非常敏感,导致误报较多。
保险商实验室(Underwriters Laboratory,UL)是一家对电子设备、防火设备和特殊建筑材料进行测试、检验和分类的非盈利性组织,是物理安全领域的最佳实践和行业标准。
-
护柱bollard
指树立在大楼外的小型水泥柱 -
照明
每盏灯的照明区域取决于灯的亮度,使用一组灯时需要注意使照明区域形成一定的重叠。
炫目保护(glare protection):安装照明位置时,应当指向潜在入侵者最可能出现的区域,并偏离安全人员所处的位置
连续照明(continuous lighting):在某个区域提供均匀的一组灯光
备用照明:配置灯光开关的时间,使潜在的入侵者认为设施的不同区域都有人在看管
响应区域照明(responsive area illumination):IDS检测到可疑活动时打开某个特殊区域的灯光 -
监视设备
通过视觉检测或使用复杂方法来检测异常行为或未知情况的设备来进行监视。
采用照明、安全人员、IDS、监视技术和技巧来实现监控。 -
录像设备‘
闭路电视(CCTV)系统是许多组织机构常用的监控设备
CCTV通常是通过同轴电缆而不是公共网络来传播信号,并将捕获的数据从摄像头的传输器发送至监控器的接收器。
短焦距的镜头提供的视野更宽,长焦距的镜头提供的视野更窄,范围更小,仓库中用短焦距,公司门口用长焦距。
变焦镜头允许观察者改变视野的角度和距离,能够移动摄像头,放大和缩小物体。
景深(depth of field)指的是在监控器上显示的环境的焦点部分。
手动光圈镜头(manual iris lens)适用于固定照明的区域。
自动光圈镜头(auto iris lens)适用于光照不断变化的场所。
5.5.4 入侵检测系统
监控用于监视异常行为,入侵检测用于感应环境中的变化。
IDS采用机电系统(electromechanical system)或体积测量系统来检测入侵者。
体积测量IDS分为光电式、声(地)震动式、超声式和微波式。
光电系统(photoelectric system)或光度系统(photometric system)能够检测光束的变化,类似光电烟雾检测器的原理。
被动红外系统(Passive Infrared System,PIR)能够标识监控区域的热波变化。
声学检测系统(acoustical detection system)使用安装在地板、墙壁或天花板上的麦克风来检测入侵者,不能用在接近声源或有交通线路的区域。
振动传感器(vibration sensor)的作为类似声学检测系统,也用于检测强行进入,金融机构用的多。
邻近检测器(proximity detector)或电容检测器(capacitance detector)能够检测一个可测量的磁场,常用于保护特殊的物体(如艺术品、密室或保险箱),而不是整个房间。
5.5.5 巡逻警卫和保安
5.5.6 安全狗
安全狗无法在所有时候都能正确区分授权和未授权人员。
5.5.7 对物理访问进行审计
审计和访问日志都是检测性的,而不是预防性。
5.5.8 测试和演习
演习至少每年一次