cisp21物理安全new.ppt

物理安全 中国信息安全测评中心 CISP-21-物理安全 2008年11月 目录 物理安全基础 物理安全技术控制措施概述 物理安全技术控制措施详解 简介 物理安全领域提供了从外围到内部办公环境，包括所有信息系统资源的防护技巧。 作为一名合格的CISP, 应当： 能够描述与企业内敏感信息资产物理防护相关的威胁、脆弱性和抵抗措施； 能够识别与设施、数据、媒介、设备、支持系统相关的物理安全风险。 一、物理安全基础 物理安全概念 什么是物理安全 “物理”：Physical, 身体的、物质的、自然的 身体的：人身安全是物理安全首要考虑的问题，因为人也是信息系统的一部分 物质的：承载信息的物质，包括信息存储、处理、传输和显示的设施和设备 自然的：自然环境的保障，如温度、湿度、电力、灾害等 物理安全的重要性 网络的物理安全是整个网络信息安全的前提。 信息系统面临的物理安全威胁： 自然威胁（如：地震、洪水、风暴、龙卷风等） 设施系统（如：通信中断、电力中断、电磁泄露） 人为/政治事件（如：爆炸、蓄意破坏、盗窃、恐怖袭击、暴动） 二、物理安全技术控制措施概述 物理安全技术控制措施 层次化防护模型 依据环境设计预防犯罪 地理位置 设施构造的影响 基础设施支持系统 层次化防护模型 通过环境设计来预防犯罪 改变或管理大楼的物理环境能够有效减少事故和犯罪的风险； 这主要集中在人的社会行为和环境的相互关系上。 通过环境设计来预防犯罪 三个关键战略： 本土意识：人们通常保护自己的领地； 监视：高程度的可视化控制； 访问控制：限制或控制访问 地理位置 物理安全的内容应当包括大楼的建设地点以及建造的方式 犯罪？ 飞机场？ 暴乱？ 高速公路？ 自然灾害？ 军事基地？ 临近建筑物？ 紧急支持系统？ 设施/建筑物 墙，窗和门 入口点 门 窗 屋顶入口 服务或运输通道 火警通道 其它通道 设施/建筑物 基础设施支持系统包括电力，水/水管系统，燃气管道，及供热、通风、空调（HVAC）,和冰箱。 基础设施支持系统 电力 电力扰动能造成严重的业务影响； 信息系统的运行所需能源； 关键是理解停业的成本； 目标是获得“干净和稳定的电力” 基础设施支持系统 电力脆弱点： 停电：完全丧失电力供应超过1-5分钟以上； 灯火管制：商业电力持续丧失； 故障：电力突然中断 基础设施支持系统 电力降低 故意的电压降低； 偶尔的电压降低； 电力供给中，突然电压升高。 基础设施支持系统 电力脆弱点 电力降低 线路噪声对于线路造成影响从而发生电力波动 当电力需求增加时，电流的初始峰值； 静电 基础设施支持系统 电力脆弱点 干扰 噪声：随机扰动干扰设备 电磁干扰（EMI）；由马达、电火花引起 无线电频率干扰 瞬态噪声 供热、通风、空调（HVAC） 这些支持系统是如何安装的？ 是否涉及计算机单元？ 是否保持了合适的温度和湿度水平，空气质量如何？ 三、物理安全技术控制措施详解 物理安全控制 物理控制措施的目标为： 预防 延迟 监测 评估 对物理入侵的适当反映 物理设施要求-子主题 周边和大楼场地 大楼入口点 大楼里边-大楼地板/办公室分布 数据中心/服务器机房安全 计算机设施保护 对象保护 电磁泄露防护（TEMPEST） 周边及大楼场地 周边安全控制是防护的第一道防线。 保护的屏障要么是天然的或人造的 天然屏障通常指那些难以穿越的场所，如山、河流、沙漠等 人为屏障包括围墙等 周边及大楼场地 地形 灌木丛或树林能够提供屏障同时也是一个入口； 多刺的灌木丛可以作为一道难以穿越的屏障。 周边及大楼场地 围墙 用于划定安全区域，并指定资产边界 应当满足特定尺寸和建筑规范 高安全域也许需要“更高的防护” 应当达到特定的高度 周边和大楼场地 围墙 围墙必须定期检查和修补 围墙网状物必须与杆安全连接 确保植被或临近建筑物不能够提供“越过”围墙的桥梁 周边和大楼场地 大门 围墙上控制人和/或车辆进出的指定区域。 周边和大楼场地 护柱 专门设计用来控制交通的升高的柱子，用来保护资产 为防止车辆冲进大楼提供安全防护 带有灯光的护柱可用于停车场、道路、人行道 周边及大楼场地 周边入侵检测系统 用来检测区域访问的传感器 监控设备 闭路电视（CCTV） 周边及大楼场地 周边入侵检测系统 光电的（photoelectric） 超声的（ultrasonic） 微波的（microwave） 红外的（passive infrared） 压感的（pressure-sensitive） 周边及大楼场地 闭路电视 使用照相机通过传输媒介将图片传送到连接的显示器的电视传输系统 传输媒介可以使光缆、微