时间:2023年3月28日 星期二
作者:小王
一、站点和设施设计
物理安全控制是所有安全控制的基础,一个部署了各种安全防护设备的机房如果没有关门,黑客想要破坏它是多么的简单。
1.1 安全设施计划
干啥都得先有计划,可通过关键路径分析(critical path analysis)和评估技术融合(technology convergence)来完成计划编制,信息安全人员必须参与设计,避免出现遗漏。
1.2 站点选择
基于组织安全需求,评估成本、位置、规模以及安全要求共同决定站点位置。工业伪装(Industrial Camouflage)是试图通过提供一个呈现可信或令人信服的替代方案的表像来掩盖或隐藏设施的实际功能、目的或操作,如数据中心可能以炸鸡店的形式出现。
1.3 设施设计
设施设计首先考虑的是人身安全,其次需要满足合规要求。通过环境设计预防犯罪(CPTED),其指导思想是通过构建物理环境和周边设施,来降低甚至打消潜在入侵者的犯罪企图。CPTED主要有三种策略:
1.自然访问控制(natural access control)
通过设置入口、使用围栏和柱子以及设置灯光,对进出建筑物的人员进行微妙的引导。
2.自然监视(natural surveillance)
通过增加被观察的机会使罪犯感到不安的任何手段。
3.自然领土强化(natural territorial reinforcement)
试图使该地区感觉像一个包容、关爱的社区。
传统物理屏障和CPTED策略的混合能够更好的保障物理安全。
二、站点和设施控制
2.1 物理安全控制类型
2.1.1 管理类
设施建造与选择、站点管理、人员控制、安全意识培训以及应急响应与流程。
2.1.2 技术类
访问控制、入侵检测、警报、CCTV、监视、HVAC 的电力供应以及火警探测与消防。
2.1.3 物理类
围栏、照明、门锁、建筑材料、捕人陷阱、警犬与警卫。
2.2 控制的功能顺序
2.2.1 威慑
如内有恶犬,到底有没有或厉不厉害无所谓,精神压制。
2.2.2 阻挡
如围墙、门禁等,实际能够阻挡进入的措施。
2.2.3 监测
如CCTV,能实现监控和事后审计。
2.2.4 延迟
如把数据中心设置在走廊尽头,达到的时间就比较长。
2.2.5 确定
确定事故原因或评估情况,以了解发生了什么。
2.2. .决策
根据评估结果,决定实施什么应对措施。
2.3 设备故障
1.做好备件管理
2.与硬件供应商签订服务水平协议(SLA)
3.评估允许中断窗口(AIW)、服务交付目标(SDO)和最大可容忍停机/停机(MTD/MTO)
4.确定平均故障时间(MTTF)和平均修复时间(MTTR),MTBF(平均故障间隔时间)约等于MTTF
2.4 配线间
电缆设备管理策略用于定义设施内网络布线和相关设备的物理结构和部署。
2.4.1 电缆设备元素
• 接入设施(Entrance facility):互联网线路的接入点。
• 机房(Equipment room):放服务器的地方。
• 骨干布线系统(Backbone distribution system):打通大楼顶层到底层的布线。
• 配线间(Wiring closet):供通信线缆部署的房间。
• 横向布线系统(Horizontal distribution system:):打通一层内各个房间的布线。
2.4.2 受保护的布线系统(protective distribution systems,PDS)
PDS是保护电缆免受未经授权的访问或伤害的手段。
• 不要使用配线间作为一般的储物区
• 配备充足的门锁,必要时采用生物因素
• 保持该区域整洁。
• 该区域中不能存储易燃品。
• 配备视频监控设备,监视配线间内的活动。
• 使用开门传感器进行日志记录。
• 钥匙只能由获得授权的管理员保管。
• 对配线间进行常规的现场巡视以确保其安全。
• 将配线间纳入组织的环境管理和监控中,既能够确保合适的环境控制和监视,也是为了及时发现类似水情和火警的危险。
2.5 数据中心
2.5.1 总体上的原则和要求
• 数据中心与人相容性越差,就越能提供保护,即机房没人最安全。
• 数据中心应位于建筑核心位置,避免在一楼、顶楼或地下室,且远离各类管道。
• 数据中心墙壁具备至少一小时耐火等级。
2.5.2 智能卡和徽章
• 智能卡(smart card):是能够进行信息处理的身份标识工具,配合PIN码可实现多因素身份验证提高安全性。
• 磁条卡(magnetic stripe cards):带有磁条的机器可读身份标识工具,可以保留少量数据,但无法像智能卡那样处理数据。
• 徽章(badge):可用于识别或认证,需配合其他手段实现。
2.5.3 接近式设备
• 被动设备(passive device):该类设备是具有特定特性的小磁铁(无电装置),通过改变读取器设备产生的电磁场来进行识别。
• 区域供电接近式设备(field-powered proximity device):该类设备从阅读器的电磁场中产生电来为自己供电进行识别。
• 应答器接近式设备(transponder proximity device):该类设备自供电(电池或太阳能)并发送读取器接收的信号进行识别。
2.6入侵检测系统
物理安全中的IDS主要是检测非法活动,并通过报警系统及时通知安保人员处理。
2.6.1 物理IDS需要考虑的两个方面
• 备用电源:没有电源什么东西都无法工作;
• 线路监控:告警线缆被切断,入侵告警无法及时传送给安保人员。
2.6.2 物理IDS的组件
• 运动检测器(motion detector):一种能够感知特定区域内的运动或声音的设备。
-数字运动检测器(digital motion detector):即智能安全摄像头。
-被动红外(passive infrared,PIR):即基于热量的移动检测器,监测区域内热量变化。
-波形运动检测器(wave pattern motion detector):主动发送信号到监测区域,监测反射信号的变化。
-电容运动检测器(capacitance motion detector):感测被监测对象周围电场或磁场的变化。
-光电运动检测器(photoelectric motion detector):感测监控区域可见光水平的变化。
-被动音频运动检测器(assive audio motion detector):监听监控区域内的异常声音。
• 入侵警报(intrusion alarms):当运动检测器检测到异常就会触发警报。
-威慑警报(deterrent alarms):可能会开启额外的锁、关门等,目的是使进一步的入侵或攻击更加困难。
-驱除警报(repellent alarms):通常会发出声音警报或铃声并打开灯,用于威慑入侵者继续其恶意或侵入活动,并迫使他们离开场所。
-通知警报(notification alarms):通常是无声的,但会记录有关事件的数据,并通知管理员、安全警卫和执法部门。
-本地报警系统:依靠广播通知本地安保团队进行处理。
-中心站系统:通常是静默的,但会通知中心站派遣安保团队前往现场处理。
-辅助报警系统:辅助本地和中心站报警系统,通知消防、警察和医疗服务进行现场处理。
• 二次验证机制:当使用运动探测器、传感器和报警器时,应设置二次验证机制,用以减少误报,如使用安全摄像头。
2.7 访问滥用
由于物理访问控制可以被伪装(Masquerading)、捎带(piggybacking)等方式绕过,因此需要部署安全警卫、审计跟踪、访问日志或其他监控系统以防止滥用。
2.8 介质存储设施
放置各类存储介质的地方,主要是为了保护这些介质被植入恶意代码,如OS基线镜像安装盘被植入木马,那么后续安装的操作系统都会有问题,影响面较大。通用要求:
1.将存储介质保存在上锁的柜子或保险箱里。
2.介质存放在上锁的柜子里,并指定专人进行管理。
3.建立登入/登出制度,跟踪库中介质的查找、使用与归还行为。
4.可重用介质归还时,执行介质净化与清零过程(使用全零这样的无意义数据进行改写),清除介质中的数据残余。
5.采用基于 hash 的完整性检查机制,来校验文件的有效性,或验证介质是否得到彻底净化,不再残留以前的数据了。
6.介质按照敏感级别打标签进行标识和资产管理。
2.9 证据存储
存储日志、审计记录、安全事件等数据,方便安全事故发生后进行调查取证。通用要求:
1.使用与生产网络完全不同的专用存储系统。
2.如果没有新数据需要存入,应让存储系统保持离线状态。
3.关闭存储系统与互联网的连接。
4.跟踪证据存储系统上的所有活动。
5.计算存储在系统中所有数据的 hash 值。
6.只有安全管理员与法律顾问才能访问。
7.对存储在系统中的所有数据进行加密。
2.10 受限区与工作区安全
简单来说就是把设施内的区域按敏感程度划分,边界用墙、隔断等进行隔离,可参考数据分类分级。安全受限工作区的实例是敏感隔间信息设施(Sensitive Compartmented Information Facility, SCIF),常用于政府或军工。
2.11 HVAC相关
1.电力管理设备
• 浪涌保护器(surge protectors):仅提供电源过载保护,出现电力尖峰时跳闸切段电源,因此仅适用于瞬间断电不会对设备造成损坏或损失时。
• 电源调节器(power conditioner):高级版浪涌保护器,可消除或过滤线路噪音。
• 不间断电源(uninterruptible power supply,UPS):除了包含以上功能外,还提供额外电力供设备正常关机。
• 备用电池(battery backup):可供整个基础设施运行,但会存在电池切换中断。
• 发电机(generators):高级版备用电池,理论上燃料不断电力不断。
2.电力问题术语
• 故障(Fault): 瞬时断电。
• 停电(Blackout): 完全失去电力供应。
• 骤降(Sag): 瞬时低电压。
• 低电压(Brownout): 长时低电压。
• 尖峰(Spike): 瞬时高电压。
• 浪涌(Surge): 长时高电压。
• 突入(Inrush): 通常与连接到电源相关的初始电力浪涌。
• 接地(Ground): 电路中接地导线。
3.噪音
噪声是通过某种形式的干扰、中断或流动而产生的功率干扰。电磁干扰(EMI)和射频干扰(RFI)都会影响IT设备的正常运转。
4.温度、湿度和静电
• 最合适的温度范围为摄氏15~32度
• 最合适的湿度范围20%~80%
湿度太高会腐蚀电脑中的配件,湿度太低会产生静电。
5.水
一句话机房别被水淹了。
2.12 火灾预防、检测和抑制
1.火灾三要素
燃料、高温与氧气,以及三者化学反应。
2.火灾的四个阶段
• 阶段1:早期阶段会出现电离反应。
• 阶段2:烟雾阶段能看到烟雾冒出。
• 阶段3:火焰阶段能看到火焰。
• 阶段4:炙热阶段温度急剧升高,燃烧一切。
越早检测到火灾,越容易扑灭,造成的损坏越小。
3.灭火器
PS:A普B液C电D金K吃
4.火灾检测系统
• 固定温度探测(Fixed-temperature):温度到达阈值就触发。
• 上升率探测(Rate-of-rise):温度上升速率到达阈值就触发。
• 火焰驱动探测(Flame-actuated):探测到火焰就触发。
• 烟雾驱动探测(Smoke-actuated):探测到电离反应或烟雾就触发。
火灾探测系统触发告警后还需要火灾响应系统配合才能达到灭火效果,就像IDS只能检测攻击,需要与防火墙联动才能阻断。由于火灾引发的影响很大,因此触发告警后首先应自动通知当地消防部门,然后再联动灭火系统进行灭火。
5.水抑制系统
• 湿管(wet pipe):管道里一直存有水,触发后立即喷水灭火。
• 干管(gry pipe):管道里充满压缩气体,触发后气体释放后才会喷水。
• 洪水(deluge):干管的管道粗一点就是洪水系统。
• 预作用(preaction):管道里充满压缩气体,检测到火灾后开始注水,达到一定温度才会喷水,最适合人机共存环境使用。
6.气体排放系统
使用气体进行灭火,不适用于有人活动的环境,如CO2、Halon等,其中Halon有害环境已禁止使用(蒙特利尔协议),FM-200洁净气体,对人无害。
7.损害
由于灭火系统可能会对人员、设备等造成损害,因此应对组织环境进行评估,选择合适的灭火系统。
三、实施和管理物理安全
3.1 边界安全控制
1.围栏(Fences)
边界界定装置,可以是实体(如水泥墙)也可以是不可见的(如激光)。围栏的高级形式是边界入侵检测和评估系统(perimeter intrusion detection and assessment system,PIDAS),可参考监狱外围。
2.门(Gates)
配合围栏使用作为出入控制点,越少越好,一般配备安保人员或安全摄像头。
3.旋转门(Turnstiles)
一次只能通过一人的单向门,常见于火车站。
4.门禁前厅(access control vestibule)
即陷阱门(Mantraps),一种配备警卫的内、外双道门设施,能够防止捎带和尾随,常见于政府机关。
5.安全隔离桩(Security bollards)
一般用于阻止车辆闯入,能够自动升降,常见于重要设施。
6.路障(Barricades)
用于控制行人和车辆。
6.照明(Lighting)
主要提供威慑作用,配合其他控制措施使用。
7.安保人员与警犬
唯一能够提供主动干预的控制措施,缺点是贵且不稳定。
8.机器哨兵(Robot sentries)
可用来自动巡逻一个地区,查看任何异常情况。
3.2 内部安全控制
1.钥匙和组合锁
• 预设锁(preset locks):钥匙锁是最常见、最便宜的物理安全控制装置,易遭受shimming(复制钥匙)和bumping(万能钥匙)攻击。
• 可编程锁(programmable locks):也叫组合锁,可以配置多个有效的访问组合,也可以包括使用键盘、智能卡或密码设备的数字或电子控制装置,如电子门禁(electronic access control,EAC)。
2.环境和生命安全
人命高于一切。乘员应急计划(occupant emergency plans,OEP)指导和协助在灾难发生后维持人员安全。BCP和DRP解决IT、业务连续性和恢复问题。
3.监管要求
物理安全也需要满足合规要求。
4.物理安全的关键绩效指标(KPI)
与技术指标一样,用以评估物理安全的有效性。