2021信息安全工程师学习笔记（五）

第五章 物理与环境安全技术

1、 物理安全概念与要求

传统上的物理安全：也称实体安全，包括：环境、设备和记录介质在内的所有支持网络信息系统运行的硬件安全，我网络信息系统安全、可靠、不间断运行的基本保证。

广义上的物理安全：硬件、软件、操作人员、环境组成的人、机、物融合的网络信息物理系统的安全。

物理安全威胁

• 自然安全威胁：地震、洪水、火灾、鼠害、雷电
• 人为安全威胁：盗窃、爆炸、毁坏、硬件攻击
• 新的硬件威胁具有隐蔽性、危害性，攻击具有主动性和非临近性

常见的硬件攻击技术

• 硬件木马：在集成电路芯片（IC）中被植入的恶意电路。
• 硬件协同的恶意代码：可以使得非授权的软件访问特权的内存区域。
• 硬件安全漏洞利用：“熔断”和“幽灵”漏洞CPU漏洞属于硬件安全漏洞。可以获取特定代码、数据在内存 中的位置信息。
• 基于软件漏洞攻击硬件实体：利用控制系统的软件漏洞，修改物理实体的配置参数。“震网”病毒。
• 基于环境攻击计算机实体：利用计算机系统所依赖的外部环境缺陷。

物理安全保护

• 设备物理安全：设备的标志和标记、防止 电磁信息泄露，抗电磁干扰，电源保护以及设备振动、碰撞、冲击适应性。
• 环境物理安全：机房场地防火、防水、防电
• 系统物理安全：备份与恢复，与系统软件相关

信息系统的物理安全分级

• 用户自主保护级
• 系统审计保护级
• 安全标记保护级
• 结构化保护级

2、物理环境安全分析与防护

计算机机房可选用下列房间

• 主要工作房间
• 第一类辅助房间
• 第二类辅助房间
• 第三类辅助空间

计算机机房安全等级

• A级：会造成严重损害，对计算机机房的安全有严格的要求，有完善的计算机机房安全措施。
• B级：会造成较大损害，对计算机机房的安全有较严格的要求，有较完善的计算机机房安全措施。
• C级：不属于A、B级情况，对计算机机房的安全有基本的要求，有基本的计算机机房安全措施。
• 计算机机房安全可按某一级执行，也可按某些综合执行。

3、机房安全分析与防护

数据中心建设与设计要求：为实现数据信息的集中处理、储存、传输、交换、管理以及为相关的电子信息设备运行提供运行环境的建筑场所。

数据中心建设和布局基本原则：市场需求导向原则、资源环境有限原则、区域统筹协调原则、多方要素兼顾原则、发展与安全并重原则。

按规模大小可将数据中心分为：超大型数据中心（规模大于等于10000个标准机架）、大型数据中心（规模大于等于3000小于10000标准机架）、中小型数据中心（规模小于3000个标准机架）。

数据中心分为A、B、C三级

互联网数据中心：简称IDC，向用户提供资源出租基本业务和有关附加业务、在线提供IT应用平台能力租用服务和应用软件租用服务的数据中心。

IDC机房分成：R1、R2、R3三个级别

CA机房物理安全控制：是认证机构设施安全的重要保障

4、网络通信线路安全分析与防护

网络通信线路安全分析：是网络信息和数据交换的基础

网络通信线路常见的物理安全威胁：网络通信线路被切断、网络通信线路被电磁干扰、网络通信线路泄露信息。

网络通信线路的安全措施

• 网络通信设备
• 网络通信线路:采取设备冗余：即设备之间互为备份

5、设备实体安全分析与防护

设备实体安全分析：设备是一个网络信息系统的计算、通信控制、数据存储的平台
设备硬件攻击防护

• 硬件木马检测：反向分析法、功耗分析法、侧信道分析法
• 硬件漏洞处理：破坏漏洞利用条件，防止漏洞被攻击者利用

6、存储介质安全分析与防护