(软考中级--信息安全工程师)五、物理与环境安全技术

目录

5.1、物理安全概念与要求

5.1.1、物理安全概念

5.1.2、物理安全威胁

5.1.4、物理安全规范

5.2、物理安全分析与保护

5.3、机房安全分析与防护

5.3.1、机房功能区域组成

5.3.2、机房安全等级划分

5.3.3、机房场地要求

5.3.4、数据中心建设与设计要求

5.3.5、互联网数据中心

5.3.6、CA机房物理安全控制

5.4、网络通信线路安全分析与防护

5.4.1、网络通信线路安全分析

5.4.2、网络通信线路安全防护

5.5、设备实体安全分析与防护

5.5.1、设备实体安全分析

5.5.2、设备实体安全防护

5.5.3、设备硬件攻击防护

5.6、储存介质安全分析与防护

5.6.1、储存介质安全分析

5.6.2、储存介质安全防护


5.1、物理安全概念与要求

5.1.1、物理安全概念

广义概念:由硬件、软件、操作人员、环境组成的人、机、物融合的网络信息物理系统的安全

传统概念:也称实体安全,指包括环境、设备、记录介质在内的所支网络信息系统运行的硬件总体安全。

5.1.2、物理安全威胁

  • 硬件木马:IC中被植入恶意电路,可激活。(全生命周期均可能被植入:研发设计、生产制造、封装测试、应用)
  • 硬件协同的恶意代码
  • 硬件安全漏洞利用:2018年1月发现的 熔断(Meltdown)、幽灵(Spectre)
  • 基于软件漏洞攻击硬件实体:震网(Stux)
  • 基于环境攻击计算机实体

5.1.4、物理安全规范

  • 《计算机场地通用规范(GB/T 2887——2011)》;
  • 《计算机场地安全要求(GB/T 9361——2011)》;
  • 《数据中心设计规范(GB 50174——2017)》;
  • 《数据中心基础设施施工及验收规范(GB 50462——2015)》;
  • 《互联网数据中心工程技术规范(GB 51195——2016)》;
  • 《数据中心基础设施运行维护标准(GB/T 51314——2018)》;
  • 《信息安全技术 信息系统物理安全技术要求(GB/T 21052——2007)》;

物理安全等级划分:

依据:《信息系统物理安全技术要求(GB/T 21052——2007)》

  1. 第一级:用户自主保护
  2. 第二级:系统审核保护
  3. 第三级:安全标记保护
  4. 第四级:结构化保护

5.2、物理安全分析与保护

  • 防火
  • 防水
  • 防震
  • 防盗
  • 防鼠虫害
  • 防雷
  • 防电磁
  • 防静电
  • 安全供电

5.3、机房安全分析与防护

5.3.1、机房功能区域组成

依据:《计算机场地通用规范(GB/T 2887——2011)》

  1. 主要工作房间:主机房、终端室等
  2. 第一类辅助房间:低压配电间、UPS室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室
  3. 第二类辅助房间:资料室、维修间、技术人员办公室
  4. 第三类辅助房间:储藏室、缓冲间、休息室、盥洗室

5.3.2、机房安全等级划分

依据 《计算机场地通用规范(GB/T 2887——2011)》

  • A级:系统中断后,对国家安全、社会秩序、公共利益造成严重损害。严要求。
  • B级:系统中断后,对国家安全、社会秩序、公共利益造成较大损害。较严要求。
  • C级:不属于A、B级情况;基本要求。

5.3.3、机房场地要求

依据:《计算机场地通用规范(GB/T 2887-2011)》

  • 环境安全性。(避开危险来源区、环境污染区、盐雾区、落雷区域)
  • 低质可靠性。
  • 场地抗电磁干扰性。
  • 应避开强振动源和强噪声源。(冲床、爆炸、机场、工地)
  • 应避免设在建筑物的高层以及用水设备的下层或隔壁

5.3.4、数据中心建设与设计要求

依据 《数据中心设计规范(GB 50174——2017)》

数据中心:为实现对数据信息的集中处理、存储、传输、交换、管理以及为相关电子信息设备运行提供环境的建筑场所。

按规模分类

  • 超大型数据中心:大于等于10000个标准机架
  • 大型数据中心:小于10000,大于等于3000
  • 中小型数据中心:小于3000

《数据中心设计规范(GB 50174——2017)》强制条文:

  • 8.44 所有带金属的设备和建筑物必须进行等电位联结并接地;
  • 13.2.1 数据中心的耐火等级不低于二级;
  • 13.2.4 当与他功能用房在同一建筑物内时,应采用耐火极限不低于2.0h防火墙和1.5h楼板隔开;
  • 13.3.1 采用管网式气体灭火系统或细水雾灭会系统的机房,应同时设置两组独立火灾探测器,火灾报警系统应与灭火系统和视频监控系统联动;
  • 13.4.1 设置气体灭火系统的机房,应配置专用空气呼吸器或氧气呼吸器;

数据中心等级划分:

  • A级:重大经济损失、公共秩序严重混乱
  • B级:较大经济损失、公共秩序混乱
  • C级:不属于A、B级

5.3.5、互联网数据中心

依据:《互联网数据中心工程技术规范(GB 51195-2016)》

互联网数据中心:(IDC)是一类向用户提供资源出租基本业务和有关附加业务、在线提供IT应用平台能力租用服务和应用软件租用服务的数据中心。一般由机房基础设施、网络系统、资源系统、业务系统、管理系统、安全系统六大逻辑功能部分组成

(软考中级--信息安全工程师)五、物理与环境安全技术_第1张图片

 等级划分:

  • R1级别:基础设施和网络系统主要部分具备一定冗余能力,可用性不小于99.5%
  • R2级别:基础设施和网络系统具备冗余能力,可用性不小于99.9%
  • R3级别:基础设施和网络系统具备容错能力,可用性不小于99.99%

强制条文:

1.0.4 在抗震设防烈度7度及以上,地区IDC中使用的主要电信设备必须经抗震检测合格;

4.2.2 施工前必须对机房安全条件进行全面检查,应符合下列规定:

        1、机房必须配备灭火消防器材,基础设施的消防系统施工完毕,满足IT设备系统安装,调测施工要求。

        2、楼板预留孔洞应配置非燃烧材料的盖板,电缆走位孔洞用非燃烧材料封堵。

        3、机房内严禁存放易燃、易爆等危险物品。

        4、机房内不同电压的电源设备、电源插孔位有明显区分。

5.3.6、CA机房物理安全控制

依据:《电子政务电子认证服务业务规则规范》

5.4、网络通信线路安全分析与防护

5.4.1、网络通信线路安全分析

  1. 网络通信线路被切断。
  2. 网络通信线路被电磁干扰。
  3. 网络通信线路泄露信息。

5.4.2、网络通信线路安全防护

  1. 网络通信设备。(设备冗余)
  2. 网络通信线路。(多路通信)

5.5、设备实体安全分析与防护

5.5.1、设备实体安全分析

  1. 设备实体环境关联安全威胁
  2. 设备实体被盗取或损害
  3. 设备实体受到电磁干扰
  4. 设备供应链条中断或延缓
  5. 设备实体的固件部分遭受攻击
  6. 设备遭受硬件攻击
  7. 设备实体的控制组件安全威胁
  8. 设备非法外联

5.5.2、设备实体安全防护

依据:《信息安全技术 信息系统物理安全技术要求(GB/T 21052-2007)》

  1. 设备的标志和标记。(产品名称、型号、代号,制造商名称、商标,安全符号,认证标志)
  2. 设备电磁辐射防护。
  3. 设备静电及用电安全防护。
  4. 设备磁场抗扰。
  5. 设备环境安全保护。
  6. 设备适应性与可靠性保护。(①设备供应链弹性。供应商来源可靠,有可以替换的设备产品;②设备安全质量保障。硬件木马、漏洞检测,嵌入式软件可信;③设备安全合规。符合《中华人民共和国网络安全法》相关规定;④设备安全审查。《网络产品和服务安全审查办法》安全、可控)

5.5.3、设备硬件攻击防护

1、硬件木马检测

  • 反向分析法:更具实体芯片逆向分析出电路结构图
  • 功耗分析法:获取芯片功耗特征,通过K.L扩展分析法生成芯片指纹
  • 测信道分析法:对比电路中的物理特性和旁路信息的不同,发现电路变化。

2、硬件漏洞处理

破坏漏洞利用条件

5.6、储存介质安全分析与防护

5.6.1、储存介质安全分析

  1. 存储管理失控
  2. 存储数据泄密
  3. 存储介质及存储设备故障
  4. 存储介质数据非安全删除
  5. 恶意代码攻击

5.6.2、储存介质安全防护

  1. 强化存储安全管理。
  2. 数据存储加密保存。
  3. 容错容灾存储技术。

你可能感兴趣的:(软考信息安全工程师,安全)