您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 经营企划 > CISP-07-物理安全
物理安全中国信息安全测评中心CISP-07-物理安全2007年7月目录一.信息系统防护需求二.信息系统物理环境三.物理安全技术和工具四.物理安全审核五.电磁屏蔽六.相关标准简介物理安全领域提供了从外围到内部办公环境,包括所有信息系统资源的防护技巧。作为一名合格的CISP,应当:能够描述与企业内敏感信息资产物理防护相关的威胁、脆弱性和抵抗措施;能够识别与设施、数据、媒介、设备、支持系统相关的物理安全风险。一、信息系统防护需求信息系统的CIA要求AvailabilityAvailabilityIntegrityIntegrityConfidentialityConfidentiality物理安全中的人员安全人身安全人员安全是考虑的主要方面通过环境设计来预防犯罪物理安全目的:•改变或管理大楼的物理环境能够有效减少事故和犯罪的风险;这主要集中在人的社会行为和环境的相互关系上。•保障信息系统生产所必需的物理条件,如温度、湿度、噪音、电磁等。三个关键战略:•本土意识:人们通常保护自己的领地;•监视:高程度的可视化控制;•访问控制:限制或控制访问二、信息系统物理环境物理安全的威胁自然威胁(如:地震、洪水、风暴、龙卷风等)设施系统脆弱性(如:通信中断、电力中断)人为/政治事件(如:爆炸、蓄意破坏、盗窃、恐怖袭击、暴动)物理环境结构模型—层次化防护模型周边周边大楼地面大楼地面大楼大门大楼大门楼层、办公室分布楼层、办公室分布数据中心数据中心//设备、媒介设备、媒介1、地理位置物理安全的内容应当包括大楼的建设地点以及建造的方式犯罪?飞机场?暴乱?高速公路?自然灾害?军事基地?临近建筑物?紧急支持系统?2、设施/建筑物墙,窗和门入口点•门•窗•屋顶入口•服务或运输通道•火警通道•其它通道设施/建筑物基础设施支持系统包括电力,水/水管系统,燃气管道,及供热、通风、空调(HVAC),和冰箱。基础设施支持系统电力电力扰动能造成严重的业务影响;信息系统的运行所需能源;关键是理解停业的成本;目标是获得“干净和稳定的电力”基础设施支持系统电力脆弱点:停电:完全丧失电力供应超过1-5分钟以上;灯火管制:商业电力持续丧失;故障:电力突然中断基础设施支持系统电力降低•故意的电压降低;•偶尔的电压降低;电力供给中,突然电压升高。基础设施支持系统电力脆弱点电力降低线路噪声对于线路造成影响从而发生电力波动当电力需求增加时,电流的初始峰值;静电基础设施支持系统电力脆弱点干扰•噪声:随机扰动干扰设备电磁干扰(EMI);由马达、电火花引起•无线电频率干扰瞬态噪声供热、通风、空调(HVAC)这些支持系统是如何安装的?是否涉及计算机单元?是否保持了合适的温度和湿度水平,空气质量如何?三、物理安全技术和工具物理安全控制的目标物理控制措施的目标为:•预防•延迟•监测•评估•对物理入侵的适当反映物理安全控制措施-子主题周边和大楼场地大楼入口点大楼里边-大楼地板/办公室分布数据中心/服务器机房安全计算机设施保护对象保护周边及大楼场地周边安全控制是防护的第一道防线。保护的屏障要么是天然的或人造的•天然屏障通常指那些难以穿越的场所,如山、河流、沙漠等•人为屏障包括围墙等周边及大楼场地地形•灌木丛或树林能够提供屏障同时也是一个入口;•多刺的灌木丛可以作为一道难以穿越的屏障。周边及大楼场地围墙•用于划定安全区域,并指定资产边界•应当满足特定尺寸和建筑规范•高安全域也许需要“更高的防护”•应当达到特定的高度周边和大楼场地围墙•围墙必须定期检查和修补•围墙网状物必须与杆安全连接•确保植被或临近建筑物不能够提供“越过”围墙的桥梁周边和大楼场地大门•围墙上控制人和/或车辆进出的指定区域。周边和大楼场地护柱•专门设计用来控制交通的升高的柱子,用来保护资产•为防止车辆冲进大楼提供安全防护•带有灯光的护柱可用于停车场、道路、人行道周边及大楼场地周边入侵检测系统•用来检测区域访问的传感器监控设备•闭路电视(CCTV)周边及大楼场地周边入侵检测系统光电的(photoelectric)超声的(ultrasonic)微波的(microwave)红外的(passiveinfrared)压感的(pressure-sensitive)周边及大楼场地闭路电视•使用照相机通过传输媒介将图片传送到连接的显示器的电视传输系统•传输媒介可以使光缆、微波、无线电波、或红外光束周边及大楼场地CCTV等级:•检测级:能够检测到对象的存在•识别级:能够检测到对象的类型•确认级:能够分辨对象的细节周边及大楼场地CCTV-3个主要的组件•成像设备•传输媒介(如同轴线、光纤或无线)•显示器周边及大楼场地CCTV-成功的关键点•充分理解设施的整个监控需求•确定需要监控的区域大小,深度、宽度来决定照相机镜头的尺寸•照明非常重要,不同的灯光和照明将提供不同的效果等级•对象与背景的对比度也非常重要周边与大楼场地照明•在黑暗中能够提供持续的覆盖程度•应当与其他的控制措施配合使用,如围墙、巡逻、报警系统其他•保安•巡逻物理安全控制措施-子主题周边及大楼场地大楼入口大楼内部-楼层/办公室布置数据中心或服务器机房安全计算机设备保护目标保护大楼入口保护门•中空的或实心的•铰链•门框•接触设施大楼入口保护窗•标准的平面玻璃•钢化玻璃•丙烯酸物质•聚碳酸酯窗-玻璃和聚碳酸化合物复合高质量的玻璃及丙烯晴大楼入口防护锁•使用最广泛的物理安全设施•仅仅考虑作为延迟设施,并不能对产生十分安全的防护,易于突破•几乎所有类型的锁均可以用暴力和特殊工具来突破•应作为众多物理安全控制措施中的一个方面来使用大楼入口点防护锁-安全措施•锁和钥匙控制系统•必须执行钥匙控制制度并严格执行•程序发布、签发、详细清单、毁坏或丢失的钥匙•对于组合锁,组合号码必须定期或在特殊情况下更改大楼入口点防护门卫•门卫能够对非授权的进入者产生威慑,在某些情况下,能够阻止非授权进入大楼入口点防护卡访问控制或生物特征系统•智能卡,磁条卡等•指纹、视网膜扫描、签名、声音识别、手形等等大楼入口点防护智能卡两种基本类型:接触式和非接触式•混合型:双芯片卡同时又接触式和非接触式接口•组合型:单芯片,同时具有接触式和非接触式接口大楼入口点防护智能卡两种形式的芯片•记忆芯片-不能处理信息的存储设备•微处理器芯片-相当于在塑料卡上有一个微型电脑大楼入口点防护智能卡•在高安全性和便携性的基础存储人员信息-防篡改•高安全度的信息处理在卡内进行•提供安全的授权级别•使用加密系统存储密钥•具有在卡内执行加密算法的能力大楼入口点防护生物识别每个人的身份通过某些特征确认可以通过:•生理特征:独有的:指纹、视网膜、虹膜•行为特征:签名大楼入口点防护生物识别设施的重要要素:•准确度:漏报率、错报率•处理速度:接受或拒绝决定的时间•用户的接受度物理安全控制措施周边及大楼场地大楼入口点大楼内部-楼层及办公室数据中心/服务器机房计算机设施保护目标保护大楼内部-子主题区域分割支持系统控制防火入侵检测系统区域分割确定存放敏感设施及处理敏感信息的区域必须具有更高等级的安全控制措施必须有效,具有合适的访问控制系统支持系统控制电力控制•过载抑制器•UPS支持系统控制电力控制“干净的电力”•在主供电电路出现故障时,具有替代的供电来源•在存放分电盘、控制电路开关、电闸的区域应进行访问控制措施支持系统控制电力控制“干净的电力”•具有紧急电源切断开关从而在紧急情况下能够切断电力•安装输电线路监控设备来监控和记录电压和频率的波动•确保足够的备份电力来执行次序的切断从而避免数据丢失或设施损坏支持系统控制HVACandrefrigeration(HVACR)•数据中心或服务器机房的空调控制应当与大楼其它部分隔离•数据中心空调系统应当独立于大楼其它部分支持系统控制HVACandrefrigeration(HVACR)•应安装HVAC设备存储室的访问控制及监控系统•必须建立相应的维护制度支持系统控制水控制•审查水管和灭火系统的安装位置,确保数据中心和服务器机房不能位于水源的旁边或下边•如果在洪水多发区,应确保关键的信息系统资产没有位于一层或地下室防火火灾预防-减少火灾起因火灾检测-在火灾发生前,接受火灾警报灭火-如何灭火,并降低到最小损失火灾预防在建筑物的墙、门和家具中使用耐火材料;在电子设备周围减少可燃的纸张数量对员工进行灭火培训-注意:人身安全是最重要的进行火灾演习,使所有人员明确知晓如何安全逃离火灾现场火灾监测电离型烟传感器检测烟尘中的带电粒子光电传感器对烟造成的遮光进行反映温度传感器-热传感器能够对火灾造成的温度升高产生反映在火灾监测中,最有效的方式就是采用混合模式灭火干粉可燃金属D气体,CO2电C气体,CO2,苏打酸液体B水,苏打酸普通可燃物A灭火介质类型等级灭火CO2灭火器提供了一种无色、无味的介质溴或卤气体化合物气体,包含一种白色的溴粉,被认为是损耗臭氧层的关键要素FM200最有效的替代物灭火1987年montreal关于衰竭臭氧层的协议1992年BEGAN实现现在很多新安装的灭火系统使用的替代方案。灭火水喷洒系统:水作为电导体,它可能使得机房火情复杂化水能够对电子设备造成损害水通过阀门控制并且当传感器启动时,喷水入侵检测系统能够安装于:•窗户•门•房顶•墙,或•任何其他入口点,如通风口访问控制依据信息的敏感度和设备价值,应安装电子访问控制措施:•智能卡•生物特征识别系统•锁物理安全控制措施周边和大楼场地大楼入口点大楼内部数据中心/服务器机房计算机设备目标保护墙在可能的情况下,数据中心的墙不要与其他外部建筑物共用墙应当深入到地板层门实心构造采用恰当的锁设施与门框可靠铰链门框应牢固的固定在墙上支持系统HVAC和电力应当与大楼其它部分分开输送管和通风孔应当采取安全措施具有备份电源如UPS和备用发电设备物理安全措施周边和大楼场地大楼入口点大楼内部数据中心/服务器机房计算机设备目标保护便携式设备安全涉及保护设备本身、设备内的信息、并且对于用户来说,保持安全控制措施的简便计算机设备安全便携设备安全包括:•存放间的锁•跟踪软件•可审计行为报警•加密软件•防病毒软件•清单•通常的控制制度入侵检测系统能够检测到以下变化:•电路•光束•声音•振动•运动•由于一个静电场的闯入造成容量变化物理安全控制措施周边和大楼场地大楼入口点大楼内部数据中心/服务器机房计算机设备目标保护目标防护重要目标应当放置在安全存放点:保险箱;上锁的文件柜等;应当防盗、防火钢设施采用合适的锁组合,定期改变,监控分发四、物理安全审核物理安全审核区域隔离保护区域物理防护区域内环境设备要求区域访问控制安全区域规章电缆安全设备维修保养设备报废及重用处理五、电磁泄露TEMPEST研究内容:•主要研究计算机系统和其他电子设备的信息泄露及其对策;研究如何抑制信息处理设备的辐射强度,或采取有关的技术措施使对手不能收到辐射信号,或从辐射信号中难以提取出有用的信号。•计算机设备包括主机、显示器和打印机。电磁泄露的途径及危害途径:•以电磁波形式的辐射泄露;•电源线、控制线、信号线和地线造成的传导泄露危害:•使各系统设备相互干扰,降低设备性能•电磁泄露会造成信息暴露电磁泄露的影响因素及预防措施电磁辐射强度影响因素:•功率和频率•距离因素•屏蔽状况预防措施:•选用低辐射设备•利用噪声干扰源•采取屏蔽措施•距离防护•采用微波吸收材料TEMPEST国外标准美国FCC标准CISPR标准联邦德国VDE标准我国TEMPEST标准BMB1-1994,电话机电磁泄露发射限值和测试方法BMB2-1998,使用现场的信息设备电磁泄露发射检查测试方法和安全判据BMB3-1999,处理涉密信息的电磁屏蔽室技术要求和测试方法BMB4
三七文档所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
扫描二维码
![[福建]商务楼深基坑开挖支护施工方案(内支撑爆破)](/doc-165704.png)
duliang001
本文标题:CISP-07-物理安全
链接地址:https://www.777doc.com/doc-4368371 .html