10.1 站点与设施设计的安全原则
物理控制是安全防护的第一条防线,而人员是最后一道防线。
10.1.1 安全设施计划
安全设施计划通过关键路径分析完成。
关键路径分析用于找出关键应用、流程、运营以及所有必要支撑元索间的关系。
技术融合指的是各种技术、解决方案、实用程序及系统,随时间的拊移而发展、合并的趋势。
10.1.2 站点选择
站点的选择应基于组织的安全需求。
站点位置与施工建造在整个选址过程中起着至关重要的作用。
!数据中心不要位于大楼的底层或顶层,应该处于大量核心层。
!ATM取款机要关注物理安全,防止物理破坏。
10.1.3 可见度(尽量减少关键建筑的暴露)
周围地域及地形。
道路、交通的顺畅性(事故发生后的救援问题)。
与警察、医疗和消防机构的接近程度。
周围区域的组成:附近是否有居民区、商业或工业区
该地区人口。
10.1.4 自然灾害(尽量远离自然灾害的多发地区)
是否容易发生自然灾害?
地震、泥石流、水灾、洪水、龙卷风、高温、极寒等。
10.1.5 设施设计
CPTED(通过环境设计预防犯罪),通过构建物理环境和周边设施,来降低甚至打消潜在入侵者的犯罪企图。
10.2 实现站点与设施安全控制
物理安全中的安全控制可以分为三大部分:管理类、技术类与现场类。
管理类物理安全控制包括:设施建造与选择、站点管理、人员控制、安全意识培训以及应急响应与流程。
技术类物理安全控制包括:访问控制、入侵检测、警报、闭路电视监控系统(Closed-Circuit Television, CCTV)、监视、HVAC的电力供应以及火警探测与消防。
现场类物理安全控制包括:围栏、照明、门锁、建筑材料、捕人陷阱、警犬与警卫。
物理安全控制的功能顺序:
(1) 吓阻(威概)
(2) 阻挡
(3) 监测
(4) 延迟
10.2.1 设备故障
预防设备故障:
1.非关键场合:48h内购买配件并更换。
2.无法现场维修更换:与硬件厂商签订服务水平协议(Service-Level Agreement,SLA)
老旧的硬件应安排定期进行更换和维修。维修时间的安排应基于每个硬件预先估计的
MTTF与,MTTR或是业界最佳实践的硬件管理周期。
MTTF(Mean Time To Failure, 平均故障时间)是特定操作环境下所预计的设备典型功能周期。
MTTR(Mean Time To Failure, 平均故障时间)是对设备进行修复所需的平均时间长度。
MTBF(Mean Time Between Failures, 平均故障间隔时间),这是发生第一次故障与第二次故障之间时间的估值
10.2.2配线间(wiring closet)
配线间其他更专业的名称包括:
合布线间(premises wire distribution room) 、中间布线设施(Intermediate Distribution Facilities, IDF)
配线间的大部分安全措施都集中在防止非法的物理访问。
配线间的安全策略应包括如下一些基本规则:
不要使用配线间作为一般的储物区。
配备充足的门锁,必要时采用生物因素。
保持该区域整洁。
该区域中不能存储易燃品。
配备视频监控设备,监视配线间内的活动。
使用开门传感器进行日志记录。
钥匙只能由获得授权的管理员保管。
对配线间进行常规的现场巡视以确保其安全。
将配线间纳入组织的环境管理和监控中,既能够确保合适的环境控制和监视,也是为了及时发现类似水情和火警的危险。
配线间只是综合布线管理策略(cable plant management policy) 中的一个元素。
综合布线是互连线缆与连接装置(如跳线箱、接线板和交换机)的集合,它们组建起物理网络。
综合布线的元素包括:
接入设施(entrance facility):也称为分界点,这也是(通信)服务商的电缆连接到建筑物内部网络的接入点。
设备间(equipment room):建筑物的主布线间,通常是与接入设施连接或相邻。
骨干配线系统(backbone distribution system):为设备间和通信间提供电缆连接,包括跨层连接。
通信机房(telecommunications room):称为布线间,通过为组网设备和布线系统提供空间,来满足大型建筑中不同楼层和部分间的连接需要。
也充当骨干配线系统和水平配线系统间的连接点。
水平配线系统(horizontal distribution system):供通信机房与工作区域间的连接,通常包括:布线、交叉迕接模块、布线板以及硬件支持设施(如电缆槽、电缆挂钩与导管)。
10.2.3 服务器间与数据中心
服务器间、数据中心、通信机房、布线柜、服务器柜以及IT机柜是封闭的、受限的和受保护的空间,用来放置重要的服务器与网络设备。
通过如下措施来实现服务器间与人的不相容性:
采用哈龙(Halotron)、热原(PyroGen)或者哈龙替代物作为火警探测及灭火系统、低温、低照明或无照明、狭窄的设备空间。
服务器间应该位于建筑的核心位置。尽可能避免将服务器间设置在建筑物的一楼、顶楼或地下室。
此外,服务器间应远离水、燃气与污水管道。这些管道存在较大的泄漏风险,可导致严重的设备损坏与停机。
服务器间的墙壁应具备至少一小时的耐火等级。
首先选择一个访问受限的空间,然后在入口设置障碍(尤其是限制非法进入)。房间门口的闭路电视监控系统以及内部的运动探测器可对出入人员进行监视。
采用各种技术的访问控制来管理物理访问。这些包括但不限于:
智能卡/哑卡,接近式读卡器,生物识别,入侵检测系统(IDS) ,以及基于纵深防御的设计。
1. 智能卡(smartcard)
智能卡既可以是一种信用卡大小的身份标识、徽章,也可以是带嵌入式磁条、条形码、集成芯片的安全通行证。
其中包含合法权持有者的信息,用来进行识别与/或身份验证目的。
智能卡可能会成为物理攻击、逻辑攻击、特洛伊木马攻击,或社会工程攻击的牺牲品。
大多数情况下,一张智能卡工作在多因素配置下。即使智能卡被盗或遗失,都不会被冒用。智能卡中最常用的多因素形式是PIN码。
记忆卡(memory cards),是带机器可读磁条的ID卡。类似于信用卡、借记卡或ATM卡。
记忆卡内可以存储少量的数据,但不能像智能卡一样处理数据。
记忆卡经常充当一类双因索控制功能:该卡是“你所有的",同时卡的个人身份识别码(PIN)是“你所知的"。
但是,记忆卡易于拷贝与复制,所以不能在安全环境中作验证之用。
2. 接近式读卡器(proximity reader)
接近式读卡器也可以用来控制物理访问。
接近式读卡器可能是一种无源装置、感应供电装置或应答器。
接近装置由授权用户佩戴或待有。当接近装置通过牍卡器时,读卡器能够确定持有者的身份,也可判断持有者是否获得了进入授权。
无源装置反射或改变读卡器的电磁场,读卡器能够探测到电磁场的改变。
无源装置中缺少有源电子器件,它只是一块具有特殊性质的小磁铁(比如DVD 上常见的防盗装置)。
场供电装置内装有电子器件,当装置通过读卡器产生的电磁场时,电子器件就会启动。
这些装置实际上是利用电磁场产生的电能给自己供电(如读卡器,只需要将门禁卡在离读卡器只有几英寸远的地方晃动几下,就可打开房门)。
应答器是一种自供电装置,其发出的信号被读卡器接收。工作原理类似于常见的按钮(如车库门开关与密钥卡)。
3. 入侵检测系统(IDS)
主要用于探测:入侵、破坏或攻击企图;是否使用了未经授权的入口;是否在未授权及非正常时间内发生了特殊事件。
监视真实活动的入侵检测系统包括:保安、自动访问控制、动作探测器以及其他专业监视技术。
物理入侵检测系统,也称“盗贼警报”。
作用是探测非法活动并通知安保人员(内部保安或是外部的执法人员)。
最常见的一类系统,使用的是由一种金属馅条构成的简单电路(干式按触开关),一般安装在入口点用于探测门窗是否打开。
只有与入侵警报相连,入侵检测才会发挥应有的作用。入侵警报会通知安保人员出现了物理安全漏洞。
任何入侵检测及警报系统都有两个致命的弱点:电源与通信。
如果系统失去电力供应,警报将无法工作。
因此,一个可靠的检测与警报系统,应配备“心跳传感器”进行线路监视。
心跳传感器,通过持续或周期性测试信号,来检查通信线路是否正常。如果接收站检测不到心跳信号,就自动触发报警。
4. 访问滥用
无论使用哪种形式的物理访问控制,都需要配备保安人员或其他监视系统,来防止滥用、伪装及捎带
伪装(Masquerading)是冒用他人的安全ID 来获得访问权限。
捎带(piggybacking)是采取踩随他人的方式穿过安全门或通道,从而躲过人员鉴别及授权机制。
可以通过审计踪迹与保留访问日志的手段来发现滥用行为。
审计踪迹与访问日志也是有效的技术手段。
5. 发射安全
很多电子设备发出的电信号或产生的辐射可能会被非法人员侦听。这些信号可能包含机密、敏感或个人数据。
常见的发射装置有无线网络设备与移动电话。此外,还有很多其他设备也容易被拦截。例如监视器、调制解调器以及内驱与外驱(硬盘、U盘、光盘等)。
非法用户可侦听来自这些装置的电磁或无线频率信号(统称为“发射”),从而提取出机密信息。
用于防护发射攻击的方法及技术称为TEMPEST措施。
TEMPEST最初是源于政府的一个研究课题,目的是为了保护电子设备,免受核爆炸所产生电磁脉冲(Electromagnetic Pulse, EMP)的破坏。
现在已经扩展成一项监视发射、防止侦听的通用研究课题。
TEMPEST措施包括:法拉第笼、白噪声与控制区。
(1)法拉第笼 是覆盖在盒子、活动房屋或是整栋建筑外的金属网,金属网完整覆盖物体外部的各个截面(前后左右上下)。
金属网充当电磁干涉(EMI)-吸收电容,用来阻止电磁信号的进入或发出。
法拉第笼阻挡EM信号非常有效。在现实中,法拉第笼中的移动电话无法正常工作,电台与电视也接收不到信号。
(2)白噪声 就是通过发射无线噪声来覆盖并隐藏真实的电磁信号。
白噪声可以是来自于其他非保密信号源的真实信号,也可以是某个特定频率的恒定信号,或是一个随机变量信号,甚至是导致侦听设备失效的混杂信号。
白噪声部署在保护区域的边界,向外进行发射效果最好,这样既不干扰内部的正常通信又可起到保护作用。
(3)控制区 采用单一的法拉第笼、白噪声或二者组合,对环境中某个特定区域进行保护,而其他区域则不受影响。
一个控制区可以是一个房间,一层楼,或是整栋建筑。在控制区内,必要的设备(如无线网络、移动电话、广播和电视)可以正常发射和接收电磁信号。
控制区外,使用各种TEMPEST措施来阻挡与防止发射侦听。
10.2.4 介质存储设施
介质存储设施用于安全存储空白介质、可重用介质及安装介质。
无论是硬盘、闪存设备、光盘或是磁带,各种介质都应进行严格保护以免被盗或受损。
新的空白介质也要防止被偷或被植入恶意软件。
可擦写介质(如U盘、闪存卡或移动硬盘),要防止被偷或进行数据残余恢复。
数据残余 是指存储设备经过标准删除或格式化操作后依然残留的数据。
这些操作只清除了目录结构,并将簇区标记为可用,却并没有将簇区中存储的数据完全删除。
使用简单的反删除工具或数据恢复扫描器就可以恢复这些数据。限制对于介质的访问并使用安全擦除工具可以减少此类风险。
要保护安装介质免于被盗或植入恶意软件的危险。这样能够保证在需要安装软件时,有介质可用并且是安全的。
下面列出实现介质安全存储设施的一些方法:
•将存储介质保存在上锁的柜子或保险箱里。
•介质存放在上锁的柜子里,并指定专人进行管理。
•建立登入/登出制度,跟踪库中介质的查找、使用与归还行为。
•可重用介质归还时,执行介质净化与清零过程(使用全零这样的无意义数据进行改写),清除介质中的数据残余。
•采用基于hash的完整性检查机制,来校验文件的有效性,或验证介质是否得到彻底净化,不再残留以前的数据了。
对安全要求高的组织,有必要在介质上打上安全提示标签,以标识其使用等级,或在介质上使用RFID/NFC资产追踪标记。
使用介质存储柜也非常重要,其作用相当于一个保险柜而不是简单的办公室货架。
介质更高等级的保护要求还包括:防火、防水、防磁以及温度监视与保护。
10.2.5 证据存储
保存可能作为证据的数据,不论对内部的公司调查,还是执法部门的网络犯罪调查都至关重要。
10.2.6 受限区与工作区安全
墙与隔断 能够用于分隔相似但不同的工作区域。这种分隔可防止无意的肩窥(shouldersurfing)或偷听行为。
肩窥 是指通过偷窥操作者显示器及键盘操作来收集信息的行为。
使用封闭墙壁能够分隔出不同敏感及保密等级的区域(墙壁应该避开天花板悬吊或脆弱部分,墙壁是不同安全等级区域间难以逾越的障碍)。
每个工作区都应按照IT资产分级进行评估与分级。只有获得许可或具备工作区访问权限的人员才允许进入。
不同目的及用途的区域应分配不同的访问及限制级别。
区域内可访问的资产越多,对进入区域人员及其活动的限制规定就越重要。
设施的安全设计应反映对内部安全实现及运营的支持。
•除了正常工作区内人员的管理,还需要进行访客管理与控制。
•建立了访客陪护制度,访客控制措施。
•除了钥匙、门锁,还应配备了陷阱、视频探头、日志记录、卫及RFIDID标签这些安全机制。
一个安全受限工作区的实例是敏感隔间信息设施(Sensitive Compartmented InformationFacility, SCIF)。
政府与军事承包商经常使用SCIF, 建立进行高敏感数据存储与计算的安全环境。
SCIF的目的是存储、检查以及更新敏感的隔离信息(Sensitive Compartmented Information,SCI)。
隔离信息是一种机密信息,对SCIF内数据的访问受到严格限制,只对那些有特定业务需要并获得授权的人员开放。
这通常是由人员的许可等级与SCI的准入等级来确定。大多数情况下,SCIF禁止在安全区内使用拍照、摄像或其他记录设备。
SCIF既可建造在陆地设施里,也可是飞行器或飘浮平台里。SCIF既可是一个永久性建筑也可是临时性设施。
SCIF通常处于一个建筑中,而完整的建筑也可成为一个SCIF。
10.2.7 基础设施与HVAC
电力公司的电力供应并不是持续和洁净的。
大多数电子设备需要洁净的电力才能正常工作。
电压波动引起的设备损坏时有发生。许多组织采用各种方法,来改善各自的电力供应。
不间断电源(Uninterruptible Power Supply, UPS)是一种自充电电池,可为敏感设备提供持续洁净的电力供应。
UPS从墙上的插座里获取电力,并将电力存储在电池里,再将电池里存储的电力供给所连接的设备。这称为双变换UPS。
UPS还有一个附带功能,在主电源断电的情况下依然可供电。
另一种形式的UPS是在线交互式(line-interactive)UPS 。
该类型系统有浪涌保护器、电池充电/逆变器以及位于电网电源及设备间的电压调节器。
在正常条件下,电池是离线的。如果电网停电,设备可以通过电池逆变器及电压调节器获取不间断的电力供应。
后备电池或容错(fail-over)电池,并不是一种形式的UPS。
因为电网停电时,电力供应从电网切换到后备电池上,通常需要有一小段时间,在这期间,设备完全失去了电力供应。
另一种保证设备不受电压波动损害的方法,是使用带浪涌保护器的接线板。
浪涌保护器里有一个保险丝,如果电压波动大到会对设备造成损坏时,保险丝就会熔断。
但是,一旦浪涌保护器中的保险丝或电路断开,电流也完全中断了。浪涌保护器只能用于瞬时断电不会对设备造成损害的场合。
电力发电机(电源的替代或备份):
如果在低压或停电的情况下,仍然需要维待一段时间的正常运营,就应该配备电力发电机。
当检测到电力供应中断时,发电机会自动打开。
大部分发电机都使用液态燃油或气体燃料,需要定期进行维护,以确保使用安全可靠。
电力术语:
• 故障(Fault) :瞬时断电。
• 停电 (Blackout):完全失去电力供应。
• 电压骤降(Sasg):瞬时低电压。
•低电压(Brownout) :长时低电压。
•尖峰(Spike):瞬时高电压。
•浪涌(Surge):长时高电压。
•合闸电流(Inrush) :通常是接入电源(主电源、替代/副电源)。
•噪声(Noise) :持续稳定干扰电力供应的波动或者扰动。
•瞬态(Transient) :短时的线路噪声扰动。
•洁净(Clean) :无波动纯电力。
•接地(Ground) :电路中接地导线。
1 .噪声
噪声的危害不仅会影响设备的正常工作,还可能干扰通信、传输以及播放的质量。
电流产生的噪声能够影响任何使用电磁传输机制的数据通信,比如电话、手机、电视、音频、广播及网络。
“电磁干扰"(Electromagnetic Interference, EMI),有两种模式,普通模式与穿透模式。
“普通模式噪声“是由电源火线与地线间的电压差或操作电气设备而产生的。
“穿透模式噪声”则是由火线与零线间的电压差或操作电气设备产生的。
“无线电频率干扰" (Radio-Frequency Interference, RFI)是另一种噪声与干扰源,它像EMI一样能够干扰很多系统的正常工作。
范围广泛的普通电器都会产生RFI, 如荧光灯,电缆、电加热器、电脑、电梯、电机以及电磁。
保护电源与设备免受噪声影响的保护的措施有:
提供充足的电力供应、正确的接地、采用屏蔽电缆、远离EMI 和RFI 发射源。
2. 温度、湿度与静电
放置电脑的房间温度通常要保持在华氏60--75 度之间(摄氏15~23 度)。
此外,有一些对环境温度要求苛刻的设备需要的温度低到华氏50 度,还有一些要求环境温度超过华氏90 度。
电脑房间内的湿度应保持在40%-60%。湿度太高会腐蚀电脑中的配件,湿度太低会产生静电。
即使铺设了防静电地板,在低湿度的环境中依然可能产生20000 伏的静电放电电压。
3. 关于水的问题(如漏水、洪水)
在任何可能的情况下,服务器间、数据中心与关键电脑设备都要远离水源或水管的位置。在关键系统的周围,还需要安装漏水探测绳。
需要了解的事项:
•知道水阀及排水系统的位置。
•评估设施处理大暴雨或洪水的能力。
•建筑的位置:位于山上/山谷里
•是否具备足够的排水能力
•了解本地发洪水或堰塞湖的历史
•服务器位置:是否位于地下室/顶楼
10.2.8 火灾预防、探测与消防
设计火灾探测与消防系统的目的:
人员的安全以及将火、烟及热量造成的损失(特别是对IT基础设施的损失)降到最低,还要减少灭火剂的使用。
标准的火灾预防与灭火知识培训,主要是关于火灾三要素,也可表示成火灾三角形
三角形的三个角分别是火、热量与氧气。三角形中心表示的是这三个要素间发生的化学反应。
火灾三角形重点揭示出:只要消除三角形中四项的任何一项,火灾就能被扑灭。
不同的灭火剂针解决火不同方面的问题:
• 水 是为了降低温度减少热量。
• 碳酸钠及其他干粉灭火剂 是阻断燃料的供应。
• 二氧化碳 是为了抑制氧气的供应。
• 哈龙替代物与其他不可燃气体 干扰燃烧的化学反应和/或抑制氧气供应。
火灾的四个主要阶段:
阶段1: 早期阶段 只有空气电离,没有烟雾产生。
阶段2: 烟雾阶段 可以看见有烟雾从着火点冒出。
阶段3: 火焰阶段 用肉眼就能看见火焰。
阶段4: 炙热阶段 火场温度沿着时间轴急剧升高聚集了大量热量,火场中的任何可燃物都燃烧起来。
防火管理中的一个基础是,正确的人员防火意识培训。
•每个人都应非常熟悉设施中的消防原理;
•应熟悉所在主工作区至少两条的逃生通道;
•应知晓如何在设施中其他地方发现逃生通道。
•应培训人员如何发现与使用灭火器。
其他防火或通用应急响应培训内容还包括:
•心肺复苏(CPR)、紧急关机程序以及发现预设集合点或安全验证机制(如语音邮箱)。
1. 灭火器
灭火器类别:
A.普通燃烧物:水、碳酸钠(一种干粉或化学药水)
B.液态:二氧化碳、哈龙*、碳酸钠
C.电气火灾:二氧化碳、哈龙*
D.金属:干粉
水不能用于B 类火灾,因为会溅出可燃液体,并会让可燃液体漂浮在水上。
水也不能用于C 类火灾,因为存在触电的危险。
氧气抑制剂不能用于金属火灾,因为燃烧的金属会产生氧气。
火灾探测系统
为了保护设施免受火灾的影响,需要安装自动火灾探测与消防系统。
火灾探测系统的类型:
固定温度探测系统 在环境达到特定温度时会触发灭火装置。
触发器 通常是一种金属或塑料材质部件,安装在灭火喷淋头上,当温度上升到设定值时,这个部件就会熔化,从而打开喷淋头进行洒水灭火。
还有一种触发器使用小玻璃瓶,里面充满了化学物质,当温度升高到设定值时,瓶中的化学物质会快速挥发,产生的过压也会启动灭火装置。
上升率探测系统 是在温度的上升速率达到特定值时启动灭火功能。
火焰驱动系统 依靠火焰的红外热能触发灭火装置。
烟雾驱动系统 使用光电或辐射电离传感器作为触发器。
早期(火情)烟雾探测系统也称为吸气传感器,能够探测出燃烧非常早期阶段产生的化学物质,从而比使用其他方法更早发现潜在的火情。
大多数火灾探测系统都与火灾响应服务报告系统相连。
在启动灭火装置的同时,该系统也会通知当地消防部门并自动发出消息或警报请求援助。
火灾探头的安装位置:
房间的吊顶和活动地板中、服务器间、个人办公室、公共区域中都需要安装, INAC 通风井、电梯井、地下室等地方也不能遗漏。
气体消防系统 更适合没有人员驻留的机房。
2. 喷水消防系统
主要有四种喷水灭火系统:
湿管系统(也称为封闭喷头系统)的管中一直是充满水的。当打开灭火功能时,管中的水会立刻喷洒出来进行灭火。
干管系统 中充满了压缩气体。一旦打开灭火功能,气体会释放出来,随即供水阀门会打开,管中进水并开始喷洒灭火。
集水系统 是另一种干管系统,由于采用更粗的管道,因而可以输送的水量更大。集水系统不适用于存放电子仪器与计绊机的环境。
预动作系统 结合了湿管与干管的特点,正常情况下保持干管状态,如果探测到可能的火灾因素(如烟、热量等),管中会立刻注满水。
但是只有环境的热量足以熔化喷淋头上的触发器,管中的水才会释放出来。
如果在喷淋头打开之前,火势就被扑灭,系统可以手动进行排空和复位。
这也提供一种在喷淋头触发前,能够通过人工干预阻止水管喷水的机制。
预动作系统是最适合人机共存环境的喷水灭火系统。
3. 气体消防系统
气体消防系统 通常比喷水消防系统更有效。然而,气体消防系统不能用在有人员常驻的环境中。
气体消防系统会清除空气中的氧气,因而对人员是十分危险的。
系统常用的是压缩气体灭火剂,例如二氧化碳、哈龙或FM-200(一种哈龙替代品)。
哈龙是一种有效的灭火用化合物(通过耗尽氧气,来阻止可燃材料与氧气间的化学变化),但在华氏900 度,会分解出有毒气体。
EPA许可使用的哈龙替代品
• FM-200(HFC-227ea)
• CEA-410 或CEA-308
• NAF-S-III(HCFC A 混合物)
• FE-13(HCFC-23)
• Argon (IG55)或Argonite(IG01)
• Inergen (IG541)
• Aero-K(气溶胶形式的微量钾化合物)
• 低压水雾:不能在电脑机房或电气设备存储间内使用。
低压水雾系统形成的气雾云能快速降低起火区域的温度。
4. 破坏
设计火灾探测与消防系统还要考虑火灾可能带来的污染与损害。
火灾的主要破坏因素包括烟、高温,也包括水或碳酸钠这样的灭火剂。
烟 会损坏大多数存储设备。高温可能会损坏电子或电恼部件。
例如,在100华氏度下会损坏磁带,175度会损坏电脑硬件(如CPU和内存),350度下纸质文件会损坏(会卷边和褪色)。
灭火剂 可能造成短路、腐蚀或设备报废。
10.3 物理安全的实现与管理
10.3.1 边界安全控制
1. 围栏(Fences) 、门(Gates) 、旋转门(Turnstiles)与捕人陷阱(Mantraps)
围栏,是一种边界界定装置。围栏清楚地划分出处于特定安全保护级别的内外区域。
建造围栏的部件、材料以及方法多种多样:
可以是喷涂在地面上的条纹标志,也可以是钡链、铁丝网、水泥墙甚至可以是使用激光、运动或热能探测器的不可见边界。
不同类型的围栏适用于不同类型的入侵者:
• 3~4英尺的围栏 可吓阻无意穿越者。
• 6~7英尺高的围栏 难以攀爬,可吓阻大多数入侵者,但对于坚定的入侵者无效。
• 8英尺以上的围栏 外加三层铁丝网甚至可吓阻坚定的入侵者。
门,是围栏中可控的出入口。
吓阻级别的门在功能上必须等同于吓阻级别的围栏,这样才能维持围栏整体的有效性。
较链和门锁要进行加固以防被更改、损坏或移除。当门关闭时,不能有其他额外的可以出入的漏洞。
应该将门的数量降到最低。并且每个门都应该处于警卫的监视之下。
没有警卫把守的门,可以使用警犬或是闭路电视进行监控。
旋转门,是一种特殊形式的门,其特殊性在于一次只允许一个人通过,并且限制只能朝着一个方向转动。
经常用于只能进不能出的场合,或是相反的功能。旋转门在功能上等同于配备安全转门的围栏。
捕人陷阱,通常是一种配备警卫的内、外双道门机构,或是其他类型能防止捎带跟入的物理机关,
机关可按警卫的意志控制进入的人员。捕人陷阱的作用是暂时控制目标,进行目标身份的验证和识别。
如果目标获得授权可以进入,内部的门就会打开,允许目标进入。
如果目标未获授权,内外两道门都保持关闭锁紧状态,直到陪护人员(比较典型的是警卫或者警察)到来,
陪同目标离开或者是因为擅自闯入被捕(这称为“延迟特性”)。捕人陷阱通常兼具防止捎带和尾随两种功能。
安全隔离桩,作用是防止车辆的闯入。经常伪装成植物或其他建筑部件。
这些隔离桩可能是固定的永久设施,也可能是在固定的时间或响起警报时,自动从基座升起。
2. 照明
照明的主要目的 是阻止偶然的闯入者、穿越者、盗贼,或是有偷盗企图想趁着黑暗浑水摸鱼的人。
照明不是一种强有力的阻止措施。除非在低安全等级场所,否则不能将照明作为主要的或单一的安全防护机制。
照明不应暴露保安、警犬、巡逻岗或是其他类似的安全警卫。
照明应与保安、警犬、CCTV及其他形式的入侵检测或监控机制结合在一起使用。
照明一定不能干扰周围居民、道路、铁路、机场等的正常生活与运行。
照明不能直接或间接照射保安、警犬与监视设备,以免在出现闯入情况时,帮了攻击者的忙。
用于边界保护的照明,一般业界接受的标准是:关键区域的照明强度应达到2尺烛光。
使用照明的另一个问题是探照灯的位置,使用标准建议灯杆应立在照明区域“直径“远的距离。
例如,如果照明区域的直径是40英尺,那么灯杆就应该立在40英尺远的位置。
3. 安全警卫与警犬
警卫,可站在边界或内部,时刻监视着出入口,也可能时刻注视着探测与监控画面。
警卫的优点在于他们能够适应各种条件并对各种情况做出反应。
警卫能够学习并识别出攻击活动及模式,可以针对环境的变化做出调整,能够做出决策并发出判断指令。
并不是所有警卫都完全可靠!
警犬,可以替代安全警卫的作用,经常作为边界安全控制。
警犬是一种非常有效的探测与吓阻手段。然而,使用警犬也是有代价的,警犬需要精心喂养,需要昂贵的保险以及认真看护。
部署物理访问控制:
在现实世界中,需要部署多层次的物理访问控制,管理设施中授权与未授权人员的流动。
最外层的是照明,场所的外围边界应照射得明亮清晰。这样既有利于轻松识别人员、发现入侵企图又可以威慑潜在入侵者。
紧挨边界应设置防止非法人员闯入的围栏或围墙。围栏或围墙的入口与出口是特殊的控制点。
这些控制点无论是门、旋转们还是捕人陷阱,都应处于CCTV 或警卫的监视之下。
隔离桩能防止车辆冲撞入口。所有入口的人员都需要经过识别与验证才允许进入。
在设施内部应明显划分隔离出敏感性或保密性级别不同的区域。公共区域及访客区域也应如此。
当人员从一个区域进入另一个区域时,需要另外的鉴别/验证过程。
最敏感的资源与系统应位于设施的中心或核心位置,并只向权限最高的人员开放。
10.3.2 内部安全控制
为访客指定一名陪护人员,这样访客的出入与活动就会受到密切监视。
控制访客的有效手段:
钥匙(key)、密码锁(combination lock)、胸卡(badge)、动作探测器(motion detector)、入侵警报(intrusion alarm)等。
1. 钥匙与密码锁
门锁的作用是锁紧关闭的门。门锁的设计与使用是为了防止未授权人员的出入。
”锁“是一种较原始的识别与身份验证机制。拥有了正确的钥匙或密码,就可以视为是获得了授权与进入许可。
钥匙锁是最常见、最便宜的物理安全控制装置,常称为“预设锁具"。
这些类型的锁具容易打开,这一类针对锁具的攻击,称为“shimming 攻击“。
可编程锁与密码锁,的控制功能强于预置锁。
有些种类的可编程锁能设置多个开锁密码,还有一些配备小键盘、智能卡或带加密功能的数字电子装置。
例如,有一种“电子访问控制(EAC)锁“使用了三种部件:
一个电磁铁控制门保待关闭状态,
一个证书阅读器验证访问者,并使电磁铁失效(打开房门),
还有一个传感器在门关闭后让电磁铁重新啃合。
2. 胸卡
胸卡、身份卡以及安全标识,是不同形式的物理身份标识和电子访问控制装置。
胸卡可以很简单,上面只记录持有者的姓名简单表明持有者的身份(员工还是访客)。
也可以像智能卡与令牌装置那样复杂,采用多因素身份验证技术来验证、证明持有者身份,合法的持有者有资格进入设施、特殊的房间或安全工作站。
胸卡上通常会贴照片,带存储加密数据的磁条以及个人信息,以便警卫进行身份验证。
胸卡主要在由安全警卫控制的物理访问环境中使用。
警卫可通过对比人员与胸卡上的照片来验证身份,然后查找纸质的或电子的获授权入员名册,最后确定是否允许持卡人通过。
胸卡也可在配备扫描仪没有警卫看守的环境中使用。在此情况下,胸卡既能用于身份识别也能用于身份验证目的。
胸卡用作身份标识时,胸卡先要在设备上刷一下,持卡人再提供一种或多种的身份验证因素,如密码、口令或生物特征(如果使用生物身份验证设备)。
胸卡用于身份验证时,持卡人要先提供ID 、用户名等,然后再刷卡进行身份验证。
3. 动作探测器(动作传感器)
动作探测器是一种在特定区域内感知运动或声音的装置。
动作探测器的种类:
红外动作探测器 监视受控区域内的红外照明模式的变化。
热量动作探测器 监视受控区域内热量级别与模式的变化。
波动动作探测器 向被监测区域内发射持续的低频超声或高频微波信号,并监视反射信号中的变化与扰动。
电容动作探测器 感知被监视对象周围电场或磁场的变化。
光电动作探测器 感知受监视区域内可见光级别的变化。光电动作探测器经常部署在没有窗户、没有光线的内部房间中。
被动音频动作探测器 监听被监视区域内是否有异常声响。
4. 入侵警报
动作探测器发现异常->触发警报。
警报 是一种独立的安全措施,警报能够启动防护机制,并且/或发出通知信息。
阻止警报(Deterrent Alarms) 能启动的阻止手段可能有:关闭附加门锁、关闭房门等。
该警报的目的是为了进一步增加入侵或攻击的难度。
驱除警报(Repellant Alarms) 触发的驱除手段通常包括拉响警报、警铃或打开照明。
该类型警报的目的是为了警告入侵者或攻击者,吓阻他们的恶意或穿越行为,迫使他们离开。
通知警报(Notification Alarms) 触发时,入侵者几文击者并无察觉,但系统会记录事件信息并通知管理员、安全警卫与执法人员。
事件记录的信息可能是日志文件与/或CCTV 磁带。此类警报保持静默的原因,是为了让安全人员能及时赶到,并抓住图谋不轨的入侵者。
警报也可以按照其安装的位置进行分类:
本地警报系统(Local Alarm System) 发出的警报声必须要足够强(声音可能高达120分贝),以保证在400英尺以外也能听清。
此外,警报系统通常需要有安全警卫进行保护,以免遭受不法分子的破坏。
本地警报系统要发挥作用,必须在附近部署安全保卫团队,以便在响起警报时能迅速做出反应。
中心站系统(Central Station System) 通常在本地是静默的,在发生安全事件时,站区外监视代理会收到通知告警,安全团队会及时做出响应。
大多数居民安保采用的都是此类系统。大多数中心站系统都是知名的或全国范围的大公司,如Brinks和ADT。
专有系统”(Proprietary System) 与中心站系统类似,但是,拥有此类系统的组织,在现场会配备组织专属的安保人员,随时待命对安全事件进行响应。
辅助站(Auxiliary Station) 系统可附加到本地或中心警报系统中。
当安全边界受到破坏时,应急服务团队收到警报通知,对安全事件做出响应并及时到达现场。此类服务可能包含消防、警察及医疗救护。
6. 环境与生命安全
保护人身安全是所有安全方案的首要目标。
物理安全应该首先要保护人员生命安全,然后才恢复环境安全以及使IT 设备所需的基础设施正常工作。
许多组织采纳居住者紧急计划(Occupant Emergency Plan, OEP),用于在发生灾难后,指导与协助保护人员安全。
OEP提供指导或讲授各种方法,来降低人身面临的安全威胁,如防止受伤、缓解压力、提供安全监视以及保护财产免受灾害的损失。
7. 隐私责任与法律要求
隐私 是要保护个人信息,不泄露给任何未授权的个人或实体。
个人信息的内容可能包含:
用户的姓名、地址、电话、种族、宗教信仰、年龄等,可能还有用户的健康及医疗记录、金融记录,甚至是犯罪或违法记录等。
在任何组织的安全策略里,要将保护个人隐私作为核心任务和目标。
GDPR EU 2016/679 是欧盟的一项专门保护公民及其权利与个人信息的法规。
8. 监管要求
在行业或辖区内运营的组织,在这两个实体或更多实体范围中的行为必然受到法律要求、限制与规定的约束。
这些“法律需求“可能涉及软件的使用许可、雇佣条件限制、对敏感材料的处理以及对于安全法规的遵守。
遵守所有适用的法律要求,也是维持安全的关键一环。
一个行业或国家(也可能是一州和城市)的法律要求,必须应视为构建安全的基线与基础。