导图社区 OSG9第十章物理安全要求

OSG9第十章物理安全要求

第十章物理安全要求，CISSP（Certification for Information System Security Professional）即信息系统安全专业认证，这一证书代表国际信息系统安全从业人员的权威认证

编辑于2023-07-14 11:31:18 广东

CISSP

Summer

他的近期作品集查看更多>>

CISSP OSG9 含24个作品
CISSP（Certification for Information System Security Professional）即信息系统安全专业认证，这一证书代表国际信息系统安全从业人员的权威认证，CISSP认证项目面向从事商业环境安全体系建构、设计、管理或控制的专业人员，对从业人员的技术及知识积累进行测试

他的近期作品查看更多>>

OSG9第十章物理安全要求

社区模板帮助中心，点此进入>>

Summer

他的近期作品集查看更多>>

CISSP OSG9 含24个作品
CISSP（Certification for Information System Security Professional）即信息系统安全专业认证，这一证书代表国际信息系统安全从业人员的权威认证，CISSP认证项目面向从事商业环境安全体系建构、设计、管理或控制的专业人员，对从业人员的技术及知识积累进行测试

他的近期作品查看更多>>

相似推荐
大纲

《影响力》思维导图
- 221.8k
- 4.4k
- 1.4k
MindMaster
安全教育的重要性
- 5.2k
- 66
- 16
issen
个人日常活动安排思维导图
- 6.7k
- 65
- 7
少儿栏目外景策划波波老师
西游记主要人物性格分析
- 14.2k
- 602
- 100
issen
17种头脑风暴法
- 150.3k
- 10.3k
- 3.2k
MindMaster
亡羊补牢
- 7.2k
- 38
- 7
(*^▽^*)
外婆与姥姥的区别
- 1.6k
- 10
- 1
(*^▽^*)
父母学吧四大模块课程
- 3.2k
- 60
- 6
九一同桌赵晨曦老师
如何令自己更快乐
- 2.3k
- 92
- 10
wxb
头脑风暴法四个原则
- 1.7k
- 69
- 5
issen

第十章物理安全要求

10.1 站点与设施设计的安全原则

假如没有对物理环境的控制，任何管理的、技术的或逻辑的访问控刊技术都无法提供足够的安全性

10.1.1 安全设施计划

安全设施计划(secure facility plan)：需要列出组织的安全需求，并突出用于保障安全的方法及机制。

关键路径分析(critical path analysis)：是一项系统性工作，用于找出任务关键型应用程序、流程、运营以及所有必要的支撑元素间的关系。例如，线上商店依赖于互联网接入、计算机硬件、电力、温度控制、存储设备等

技术融合(technology convergence)：指的是各种技术、解决方案、实用程序及系统，随时间的推移而发展、合并的趋势。

信息安全人员应参与站点与设施的设计。

安全设施计划基于分层防御模型。只有利用重叠的物理安全层，才能针对潜在入侵者建立合理的防御。

10.1.2 站点选择

站点的选择应基于组织的安全需求。成本、位置及规模都很重要，但是始终应该优先考虑安全要求

工业伪装(industrial camouflage)：是指通过提供一个让人信服的外表替代方案来掩盖或隐藏设施的实际功能、目标或运营业务。例如，数据中心可能看起来像食品包装设施厂

10.1.3 设施设计

安全的首要任务应始终是保护人员的生命和安全

需要重点考虑的因素包括：可燃性、火警等级、建筑材料、负载率、布局，以及对墙、门、天花板、地板、 HVAC、电力、供水、排水、燃气等项目的控制。暴力入侵、紧急通道、门禁、出入口方向、警报的使用以及传导性是其他需要重点评估的方面

CPTED（通过环境设计预防犯罪）

将花盆的高度保持在 2.5 英尺以下，这样可以防止花盆成为藏身之处或被用作到达窗户的台阶

保装饰物较小或远离建筑物

将数据中心定位在建筑物的核心位置

提供长椅和桌子，鼓励人们坐下来四处看看；它们提供了自动监视功能。

在视野范围内安装摄像头，起到威慑作用。

保持入口畅通（即没有树木或柱子等障碍物），维持较高的可见性

尽量减少入口的数量并在晚上或周末工人较少时将门关闭。

入门附近为访客提供停车场

确保货物通道和入口对公众而言不那么显眼，例如，将其放置在建筑物的背面，并要求使用备用道路。

数据中心建在2楼

CPTED 的核心原则是，可以有目的地对物理环境的设计进行管理、操纵和精心编排，以便影响或改变这些区域中人们的行为，从而减少犯罪，并减少人们对犯罪的恐惧。

CPTED 有三和主要策略

自然环境访问控制：围栏和护柱，以及设置灯光

自然环境监视：自然环境监视是一种通过增加罪犯被观察到的机会来使其感到不安的手段。

自然环境领域加固：自然环境领域加固旨在使该区域令人感觉它像一个包容、关爱的社区

10.2 实现站点与设施安全控制

物理控制

管理类物理安全控制包括：设施建造与选择、站点管理、建筑设计、人员控制、安全意识培训以及应急响应与流程

技术/管理类物理安全控制包括：建筑访问控制、入侵检测、警报、视频监控系统、监视、 HVAC 的电力供应，以及火警探测与消防

现场类物理安全控制包括：围栏、照明、门锁、建筑材料。

控制措施的功能顺序

各类控制的功能顺序

(1) 威慑

(2) 拒绝

(3) 检测

(4) 延迟

(5) 判定

(6) 决定

10.2.1 设备故障

在另外一些情况下，无法在现场进行维修更换工作。面对这种情况时，务必与硬件厂商签订服务水平协议(service-level agreement, SLA) 。 SLA 中清楚写明了发生设备紧急故障时厂商的响应时间。

维修时间的安排应基于每个硬件预先估计的 MTTF(mean time to failure, 平均故障时间）与 MTTR(mean time to repair, 平均恢复时间）

允许中断窗口(AIW)、服务交付目标(SDO)和最大允许／容忍中断时间(MTD/MTO)

设备故障经常考，应与供应商签订服务水平协议（SLA），SLA需要定期检查（review）更新

10.2.2 配线间

电缆设备管理策略用于定义设施内网络布线和相关设备的物理结构和部署。

接入设施(entrance facility) ：也袚称为分界点或 MDF, 这也是（通信）服务商的电缆连接到建筑物内部网络的接入点。

设备间(equipment room)：这是建筑物的主布线间，通常与接入设施连接或相邻。

骨干配线系统(backbone distribution system) ：为设备间和通信间提供电缆连接，包括跨层连接。

配线间(wiring closet) ：通过为组网设备和布线系统提供空间来满足大型建筑中某－楼层或区域内的连接需要，也充当骨干配线系统和水平配线系统侚的连接点

水平配线系统(horizontal distribution system) ：提供通信机房与工作区域间的连接，通常包括布线、交叉连接模块、布线板以及硬件支持设施（如电缆槽、电缆挂钩与导管）。

配线间安全规则

永远不要把配线将用作一般的储物区。

保持该区域的整洁。

该区域中不能存储易燃品。

配备视频监控设备以监视配线间内的活动

使用开门传感器以进行日志记录

钥匙只能由获得授权的管理员保管

对配线间进行常规的现场巡视以确保其安全

将配线间纳入组织的环境管理和监控中，这样既能够确保合适的环境控制和监视，又能及时发现水灾和火灾之类的危险。

10.2.3 服务器间与数据中心

服务器间、数据中心、通信机房、服务器柜以及 IT 机柜是封闭的、受限的和受保护的空间，用于放置重要的服务器与网络设备

1. 智能卡和胸卡

胸卡、身份识别卡和安全 ID 是物理身份识别和I或电子访问控制设备的形式。胸卡可以像姓名标签一样简单，表明你是员工还是访客（有时被称为“无声卡”)

“智能卡”(smartcard) ：既可以是一种信用卡大小的身份标识、胸卡，也可以是带嵌入式磁条、条形码、集成电路芯片的安全通行证。其中包含授权持有者的信息，用于识别和／或身份认证的目的，智能卡中最常用的多因素形式是 PIN 码

智能卡有关的短语与术语：

包含集成电路(IC) 的身份令牌

处理器 IC 卡

支持ISO 7816 接口的 IC 卡（见图 10.1)

磁条卡(memory cards)：是带机器可读磁条的 ID 卡。类似于信用卡、借记卡或 ATM卡，磁条卡内可以存储少量的数据，但不能像智能卡一样处理数据

胸卡可用于识别或身份认证。当胸卡用于识别时，应在设备中刷卡，然后胸卡所有者必须提供一个或多个身份认证因素，如密码、密码短语或生物特征（如果使用生物识别设备）。

2. 接近式设备

接近式设备(proxitnity device)可能是一种无源设备、磁场供电设备或应答器。接近式设备由授权用户佩戴或持有。当接近式设备通过读卡器时，读卡器能够确定持有者的身份，也可判断持有者是否获得了进入授权

磁场供电设备内装有电子器件，当设备通过读卡器产生的电磁场时，电子器件就会启动。

应答器是一种自供电设备，其发出的信号被读卡器接收

除了智能卡与接近式设备和读卡器，还可通过 RFID 及生物识别访问控制设备进行物理访问管理

10.2.4 入侵检测系统

入侵检测系统(IDS)既有自动的，也有人为的，主要用于探测：入侵、破坏或攻击企图；是否使用了未经授权的入口；是否在未授权及非正常时间内发生了特殊事件

物理入侵检测系统也被称为＂盗贼警报”

任何入侵检测及警报系统都有两个致命的弱点：电源与通信

心跳传感器：的功能是通过持续或周期性的测试信号来检查通信线路是否正常。如果接收站检测不到或者丢失 1~2 次心跳信号，就自动触发警报

1. 动作探测器

“动作探测器”或“动作传感器”是一种在特定区域内感知运动或声音的装置，在入侵检测系统中是一种常见的装置

动作探测器种类

“数字动作探测器”监视受控区域内数字图案的变化。这其实是一个智能安全摄像头。

“被动红外(PIR)或热量动作探刻器”监视受控区域内热量级别与模式的变化

“波动动作探测器“向被监测区域内发射持续的低频超声或高频微波信号，并监视反射信号中的变化与扰动

“电容动作探测器“感知被监视对象周围电场或磁场的变化。

“光电动作探测器“感知受监视区域内可见光级别的变化

“被动音频动作探测器”监盺被监视区域内是否有异常声响

2. 入侵警报

阻止警报(deterrent alarms)：能启动的阻止手段可能有：关闭附加门锁、关闭房门等。该警报旨在进一步提升入侵或攻击的难度

驱除警报(repellent alarms)：触发的驱除手段通常包括：拉响警报、警铃或打开照明。

通知警报(notification alarms)：被触发时，入侵者／攻击者并无察觉，但系统会记录事件信息并通知管理员、安全警卫与执法人员

本地警报系统(local alarm system)：发出的警报声必须足够强（声音可能高达 120 分贝），以保证人员在 400 英尺以外也能听清

中心站系统(central station system)：通常在本地是静默的，当发生安全事件时，站区外监视代理会收到通知，同时安全团队会及时做出响应

“专有系统”(proprietary system)：与中心站系统类似，但是，拥有此类系统的组织会在现场配备其专属的安保人员，并让他们随时待命，以便对安全事件做出响应。

辅助站(auxiliary station) ：系统可附加到本地或中心警报系统中

3. 二次验证机制

在使用动作探测器、传感器与警报时，还应配备二次验证机制。随着设备灵敏度的增加，出现误报的情况也日益频繁。此外，小动物、飞鸟、蚊虫以及授权人员也可能会错误地触发警报

10.2.5 摄像头

视频监视／监控、闭路电视(CCTV)和安全摄像头都是威慑不必要的活动并创建事件数字记录的手段

应确保安全摄像头的位置和功能与设施的内部和外部设计相协调

大多数安全摄像头将其捕获的画面记录到本地或基于云的存储中

一些摄像头或增强型视频监控(EVS)系统能够检测目标，包括人脸、设备和武器

10.2.6 访问滥用

无论使用哪种形式的物理访问控制，都需要配备安保人员或其他监视系统来防止泄用行为，例如未经授权的进入

假冒（impersonation)和“伪装”(masquerading)是指冒用他人的安全 ID 来获得访问权限

＂尾随"(tailgating)和“捎带”(piggybacking) 是利用授权人员获得未经授权进入的手段

数据中心安全

回字型，7X24小时

10.2.7 介质存储设施

论是硬盘、闪存设备、光盘，还是磁带，各种介质都应受到严格保护，以免其被盗或受损

实现安全介质存储设施的一些方法

将存储介质保存在上锁的柜子或保险箱里，而不是办公用品货架上。

将介质存放在上锁的柜子里，并指定专人进行管理。

当可重用介质被归还时，执行介质净化与清零过程（使用全零这样的无意义数据进行改写），以清除介质中的数据残余

建立检入／检出制度，跟踪库中介质的查找、使用与归还行为。

采用基于哈希的完整性检查机制来校验文件的有效性，或验证介质是否得到了彻底净化并不再残留以前的数据

保险箱：是一种可移动、安全的容器，而且没有与建筑集成。

安全要求高的组织有必要在介质上打上安全提示标签，以标识其使用等级，或在介质上使用 RFID/NFC 资产追踪标记

10.2.8 证据存储

对于所有组织（不仅仅是执法部门）来说，证据存储正变得越来越有必要

安令证据存储的要求

使用与生产网络完全不同的专用存储系统

如果没有新数据需要存入，应让存储系统保持离线状态。

关闭存储系统与互联网的连接。

跟踪证据存储系统上的所有活动。

计算存储在系统中的所有数据的哈希值。

只有安全管理员与法律顾问才能访问。

对存储在系统中的所有数据进行加密。

10.2.9 受限区与工作区安全

对于内部区（包括工作区域与访客区域）的安全，应进行认真的设计与配置。设施内所有区域的访问等级不能是整齐划一的。存放高价值或非常重要的资产的区域，应受到更严格的访问限制。

一个安全受限工作区的实例是敏感隔间信息设施(sensitive compartmented information facility, SCIF)，隔离信息(sensitive compartmented information,SCI) 。

10.2.10 基础设施关注点

1. 电力

电源管理

电源管理的第一个阶段或级别是使用浪涌保护器

下一个级别是使用电源或线路调节器。它是一种先进的浪涌保护器，也能够消除或过滤线路噪声

第三级电源保护是使用“不间断电源”(uninterruptible power supply, UPS) ，UPS 的主要用途是在断电或与电网断开时，使用电池供电以继续支持设备的运行。

最高级别的电力保护是使用发电机。如果在低压或停电的情况下仍然需要维持一段时间的正常运营，就应该配备发电机

电力术语

故障(fault) ：瞬时断电。

停电(blackout) ：完全失去电力供应。

电压骤降(sag) ：瞬时低电压。

低电压(brownout) ：长时低电压。

尖峰(spike) ：瞬时高电压。

浪涌(surge) ：长时高电压。

合闸电流(inrush) ：通常是接入电源（主电源、替代／副电颉）。

接地(ground) ：电路中接地导线将电流导入大地。

2. 噪声

噪声是某种形式的紊乱、插入或波动的功率产生的干扰

“电磁干扰"(electromagnetic interference, EMI)

普通模式：火线地线间的电压差产生

穿透模式：火线和零线间的电压差产生

“无线电频率干扰"(radio-frequency interference, RFI)：是另一种噪声与干扰源，它像 EMI样能够干扰很多系统的正常工作：荧光灯、电缆、电加热器、计算机、电梯、电机以及电磁铁

3. 温度、湿度与静电

放置计算机的房间温度通常要保持在 59~89.6"F(15~32°C)之间

暖通空调(HVAC)是正压送风系统

建议你在数据中心保持正气压，并保持较高的空气过滤水平。这些措施将有助于减少灰尘、碎屑、细微颗粒物和其他污染物（如清洁化学品或车辆废气）的渗透

计算机机房内的湿度应保持在 20%~80%（新的数据中心标准）

湿度太低时会产生静电，导致静电放电(ESD)

4. 关于水的问题（如漏水、洪水）

水的问题，如漏水和洪水，也应在环境安全策略及程序中得到解决

水与电不相容，如果计算机进了水，特别是当其处于运行状态时，肯定会对系统造成破坏

如果想减少紧急情况的发生，还需要知道水阀及排水系统的位置。

10.2.11 火灾预防、探测与消防

绝对不能忽视火灾的预防、探测与消防。任何安全与保护系统的首要目标是保障人身的安全

火灾三要索

燃料

热量

氧气

三角形中心表示的是这三个要素间发生的化学反应。火灾三角形重卢揭示出：只要移走三角形中匹项要素的任意一项，火就能被扑灭。要考虑灭火剂对环境的影响。

水降低温度。

碳酸钠和其他干粉灭火剂阻断燃料的供应。

二氧化碳抑制氧气的供应

哈龙替代物和其他不可燃气体于扰燃烧的化学反应和I或抑制氧气供应。

火灾的四个主要阶段

阶段 1: 早期阶段只有空气电离，没有烟雾产生。

阶段 2: 在烟雾阶段，可以看见烟雾从着火点冒出

阶段 3: 在火焰阶段，用肉眼就能看见火焰。

阶段 4: 在炙热阶段，火场温度沿着时间轴急剧升高，火场中聚集了大量热量，其中的任何可燃物都燃烧起来

1.灭火器

2. 火灾探测系统

为了使设施免受火灾的影响，需要安装自动火灾探测与消防系统

“上升率探测”系统在温度的上升速率达到特定值时启动灭火功能，没有得到广泛应用

“火焰驱动”系统依靠火焰的红外热能触发灭火装置，这种系统快速、可靠，但通常相当昂贵，因此，通常仅在高风险环境中使用。

“烟雾驱动”系统将光电或辐射电离传感器用作触发器。这两种方法都可以监测空气中的微粒对光或辐射的阻碍

早期（火情）烟雾探测系统，也被称为吸气传感器，能够探测出燃烧早期阶段产生的化学物原，此阶段使用其他方法尚不能发现潜在的火情。“火焰驱动“传感器更昂贵，仅用于高风险或关键的环境中

大多数火灾探测系统都与火灾响应服务报告系统相连，通知当地消防部门

3. 喷水消防系统

“湿管系统”（也被称为封闭喷头系统）的管中一直是充满水的。当打开灭火功能时，管中的水会立刻喷洒出来进行灭火。

“干管系统”中充满了压缩的惰性气体。旦打开灭火功能，管中无水，有惰性气体就会释放出来，供水阀门会随即打开，管中进水，然后开始喷洒灭火。

“预响应系统“是干管系统的变体，使用两级检测和释放机制。如果探测到可能的火灾因素（如烟、热量等），管道会被允许注水（第 1 阶段）。但是只有当环境的热量足以触发喷淋头上的触发器时，管中的水才会释放出来（第 2 阶段），可以手动对管道进行排空和复位，这种机制允许纠织在喷淋头触发前通过人工干预，干管湿关结合的

“密集洒水系统”采用更粗的管道，因而可以输送更大的水最。此外，当一个洒水喷放电子仪器与计算机的环境。头打开时，这些管道都会打开，用灭火剂完令淹没该区域。密集洒水系统不适用于存

洪水系统，防洪的

4.气体消防系统

气体消防系统使用压缩气体高效灭火。然而，不能将气体消防系统用在有入员常驻的环境中

气体消防系统会清除空气中的氧气，因而对人员是十分危险的

常用压缩气体灭火剂

二氧化碳

哈龙或 FM-200（一种哈龙替代品，可能有巨大噪音），推荐磷酸溶剂就是干粉灭火

气体灭火的好处包括：对计算机系统造成的损害最小，通过排除氧气快速灭火，并且比水基系统更有效、更快。

由于哈龙存在的缺点，它逐渐被更环保或毒性更小的灭火剂所取代。目前有许多被EPA 许可使用的哈龙替代品

5. 破坏

火灾探测与消防系统的设计还要考虑火灾可能带来的污染与损害。火灾的主要破坏因素包括烟、高温，也包括水或碳酸钠这样的灭火剂

烟尘会损坏大多数存储设备和电脑部件。高温可能会损坏电子或电脑部件。

10.3 物理安全的实现与管理

组织可以在环境中部署多种物理访问控制机制，从而控制、监视和管理对设施的访问。

10.3.1 边界安全控制

对于建筑或园区而言，是否方便进出这一点也很重要。单个出口非常利于安全保卫，但多个出口在发生紧急情况时更便于人员的疏散和逃生

1. 围栏、门、旋转门与访问控制门厅

围栏类型

3~4 英尺的围栏可吓阻无意穿越者

6~7 英尺高的围栏难以攀爬，可吓阻大多数入侵者，但对于坚定的入侵者无效。

8 英尺以上的闱栏，外加带刺的铁丝网，甚至可吓阻坚定的入侵者

围栏的一种高级形式是周界入侵检测和评估系统(PIDAS) 。 PIDAS 是协同使用两个或三个围栏以提升安全性的围栏系统。 PIDAS 围栏经常出现在军事地点和监狱周围。

“门”是围栏中可控的出入口。门的威慑级别在功能上必须等同于围栏的威慑级别，这样才能维持围栏整体的有效性

“旋转门”（如图 10.5 所示）是一种特殊形式的门，其特殊性在于它一次只允许一个人通过，并且只能朝着一个方向转动。经常用于只能进不能出的场合，或相反的场景

＂访问控制门厅＂（也被称为“捕人陷阱＂）通常是一种配备警卫的内、外双道门机构（也如图 10.5 所示，捕人陷阱的作用是暂时控制目标，以对目标进行身份认计和识别

2. 照明

照明是最常用的提供安全威慑效果的边界安全控制形式

业界接受的标准

关键区域的照明强度应至少达到 2 尺烛光（约为 2 流明或 20 勒克斯）

问题是探照灯的位置，标准建议将灯杆立在照明区域“直径“远的距离。例如，如果照明区域的直径是 40 英尺，那么灯杆应该立在 40英尺远的位置

3. 安全警卫与警犬

所有的物理安全控制，无论是静态的威慑，还是主动探测与监控机制，最终都需要人员进行干预来阻止真实的入侵与攻击行为

警犬可以替代安全警卫的作用，经常用于边界安全控制

巡逻机器人(robot sentries)：可以用来自动巡逻一个区域，以检查异常情况：机器人可以是轮式的，也可以是无人机。

控制措施的功能顺序

10.3.2 内部安全控制

如果在设施中设计了限制区来控制物理安全，就需要采取针对访客的控制措施。通常的做法是为访客指定一名陪护人员，这样访客的出入与活动就会受到密切监视

钥匙(key)、密码锁(combination lock) 、胸卡(badge) 、动作探测器(motion detector) 、入侵警报(intrusion alarm)，控制访客的有效手段

前台可作为阻止未经授权的访客进入的点

访客日志：是一种手动或自动填写的表格，它记录非员工对某个设施或位置的访问。

1. 钥匙与密码锁

门锁的作用是锁紧关闭的门。门锁的设计与使用是为了防止未授权人员的出入。

2. 环境与生命安全

物理访问控制以及设施安全保护的一个重要方面是，保护环境基本要素的完好以及人员生命安全

许多组织采纳居住者紧急计划(occupant emergency plan, OEP) ，以便在发生灾难后，利用它指导与协助人员安全的维护

3. 监管要求

遵守所有适用的法律要求，也是维持安全的关键一环。

10.3.3 物理安全的关键性能指标

应确定、监控、记录和评估物理安全的关键绩效指标(KPI) 。 KPI 是物理安全各个方面的操作或故障的标准，应为每个KPI 建立基线，并保存每个指标的记录

KPI 的常见和潜在示例：

成功入侵的数量

成功犯罪的数量

成功事故数

成功中断的次数

未成功的入侵次数

未成功犯罪的数量

未成功事故数

未成功中断的次数

检测事故的时间

评估事故的时间

响应事故的时间

从事故中恢复的时间

事故发生后恢复正常状态的时间

事故对组织的影响程度

误报次数（即错误检测警报）

OSG9第十章 物理安全要求

OSG9第十章 物理安全要求

OSG9第十章物理安全要求

OSG9第十章物理安全要求