导图社区 2020信息安全工程师(第二版)第五章:物理与环境安全技术
物理安全是网络系统安全、可靠、不间断运行的基础。本章首先引入物理安金的概念和物理安全的标准规范:然后围绕物理安全的需求,分别介绍了网络物理安全常见方法、机房安全、网络通信线路安全、存储介质安全等。
本导图主要概括了网络信息安全的总体概述、体系架构、工作内容、思维的底层逻辑,可以构建学习者的思维框架,对网络安全知识体系有一个总体的认识,明白学习的方向。
本图从网络安全法、关键信息基础设施安全保护条例和保护要求标准的基础,全面概括出关键信息基础设施保护工作的主要内容,体系,为掌握关键信息基础设施奠定了基础,形成系统性认识。
这是一篇关于商用密码应用安全性评估的思维导图。本篇思维导图是按新实施的《密码法》主要介绍商用密码的概念、评估的内容和流程,明确密评的工作方案。
社区模板帮助中心,点此进入>>
安全教育的重要性
个人日常活动安排思维导图
西游记主要人物性格分析
17种头脑风暴法
如何令自己更快乐
头脑风暴法四个原则
思维导图
第二职业规划书
记一篇有颜又有料的笔记-by babe
伯赞学习技巧
第5章 物理与环境安全技术
5.1 物理安全概念与要求
物理安全是网络安全的基础
5.1.1 物理安全概念
传统的物理安全也成为是实体安全
广义的物理安全则指由硬件,软件,操作人员,环境组成的人机物融合的物理系统的安全
5.1.2 物理安全威胁
物理安全是网络信息系统安全运行、可信控制的基础
示意图
常见的硬件攻击与相关实例
硬件木马
IC中被植入恶意电路,可激活。(全生命周期均可能被植入:研发设计、生产制造、封装测试、应用)
硬件协同的恶意代码
硬件安全漏洞利用
基于软件漏洞攻击硬件实体
基于环境攻击计算机实体
5.1.3 物理安全保护
设备物理安全
(设备标识、防止电磁信息泄露、抗电磁干扰、供应链安全、硬件木马和漏洞检测、嵌入式软件可信)
环境物理安全
(机房相关:选址、屏蔽、防火、防水、防雷、防鼠、防毁、空调、供配电、布线)
系统物理安全
(存储介质安全、灾备、物理设备访问、设备管理)
5.1.4 物理安全规范
5.2 物理环境安全分析与防护
物理环境安全是计算机设备、网络设备正常运行的保障
防火、防水、防震、防盗、防鼠虫害、防雷、防电磁、防静电和安全供电
5.3 机房安全分析与防护
机房是网路信息系统的重要设备的承载场所
机房安全防护主要包括机房功能区域组成、机房安全等级划分、机房场地选择要求、数据中心建设与设计要求、互联网数据中心、CA机房物理安全控制
机房功能区域组成
依据:《计算机场地通用规范(GB/T 2887-2011)》
主要工作房间:主机房、终端室等
第一类辅助房间:低压配电间、UPS室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室
第二类辅助房间:资料室、维修间、技术人员办公室
第三类辅助房间:储藏室、缓冲间、休息室、盥洗室
机房安全等级划分
A级:中断后,会对国家安全、社会秩序、公共利益造成严重损害
B级:中断后,会对国家安全、社会秩序、公共利益造成较大损害
C级:不适于A、B级的情况
机房场地选择要求
环境安全性。(避开危险来源区、环境污染区、盐雾区、落雷区域)
地址可靠性。
场地抗电磁干扰性。
应避开强振动源和强噪声源。(冲床、爆炸、机场、工地)
应避免设在建筑物的高层以及用水设备的下层或隔壁
数据中心建设与设计要求
依据:《数据中心设计规范(GB 50174-2017)》
数据中心:为实现对数据信息的集中处理、存储、传输、交换、管理以及为相关电子信息设备运行提供环境的建筑场所。按照规模分为三类:超大型数据中心(大于等于10000标准机架)、大型数据中心(小于10000标准机架,大于等于3000标准机架)、中小型数据中心(小于3000标准机架)。
数据中心级别划分:A级、B级、C级(关键词:经济损失、秩序混乱、重大、严重、较大)
互联网数据中心IDC
依据:《互联网数据中心工程技术规范(GB 51195-2016)》
(IDC)是一类向用户提供资源出租基本业务和有关附加业务、在线提供IT应用平台能力租用服务和应用软件租用服务的数据中心。
一般由机房基础设施、网络系统、资源系统、业务系统、管理系统、安全系统六大逻辑功能部分组成
级别要求
R1级别:基础设施和网络系统主要部分具备一定冗余能力,可用性不小于99.5%
R2级别:基础设施和网络系统具备冗余能力,可用性不小于99.9%
R3级别:基础设施和网络系统具备容错能力,可用性不小于99.99%
CA机房物理安全控制
依据:《电子政务电子认证服务业务规则规范》
5.4 网络通信线路安全分析与防护
网络通信线路是网络信息传输通道
5.4.1 网络通信线路安全分析
网络通信线路被切断。
网络通信线路被电磁干扰。
网络通信线路泄露信息。
5.4.2 网路通信线路安全防护
网络通信设备
(设备冗余)
网络通信线路
(多路通信)
5.5 设备实体安全分析与防护
设备是网络信息系统的物理实体保护对象
5.5.1 设备实体安全分析
设备实体环境关联安全威胁
设备实体被盗取或损害
设备实体受到电磁干扰
设备供应链条中断或延缓
设备实体的固件部分遭受攻击
设备遭受硬件攻击
设备实体的控制组件安全威胁
设备非法外联
5.5.2 设备实体安全防护
依据:《信息安全技术 信息系统物理安全技术要求(GB/T 21052-2007)》
设备的标志和标记。(产品名称、型号、代号,制造商名称、商标,安全符号,认证标志)
设备电磁辐射防护
设备静电及用电安全防护。
设备磁场抗扰。
设备环境安全保护。
设备适应性与可靠性保护。
设备供应链弹性。供应商来源可靠,有可以替换的设备产品;
设备安全质量保障。硬件木马、漏洞检测,嵌入式软件可信;
设备安全合规。符合《中华人民共和国网络安全法》相关规定;
设备安全审查。《网络产品和服务安全审查办法》安全、可控)
5.5.3 设备硬件攻击防护
硬件木马检测:
反向分析法。
功耗分析法
侧信道分析法。
硬件漏洞处理:
破坏漏洞利用条件
5.6 存储介质安全分析与防护
5.6.1 存储介质安全分析
存储管理失控
存储数据泄密
存储介质及存储设备故障
存储介质数据非安全删除
恶意代码攻击
5.6.2 存储介质安全防护
强化存储安全管理
数据存储加密保存
容错容灾存储技术
5.7 本章小结
物理安全是网络系统安全、可靠、不间断运行的基础。本章首先引入物理安金的概念和物理安全的标准规范:然后围绕物理安全的需求,分别介绍了网络物理安全常见方法、机房安全、网络通信线路安全、存储介质安全等
