物理安全技术及控制措施.ppt

物理安全 中国信息安全测评中心 CISP-21-物理安全 2009年01月 简介 物理安全领域提供了从外围到内部办公环境，包括所有信息系统资源的防护技巧。 作为一名合格的CISP, 应当： 能够描述与企业内敏感信息资产物理防护相关的威胁、脆弱性和抵抗措施； 能够识别与设施、数据、媒介、设备、支持系统相关的物理安全风险。 目录 物理安全基础 物理安全技术控制措施概述 物理安全技术控制措施详解 一、物理安全基础 物理安全概念 什么是物理安全 “物理”：Physical, 身体的、物质的、自然的 身体的：人身安全是物理安全首要考虑的问题，因为人也是信息系统的一部分 物质的：承载信息的物质，包括信息存储、处理、传输和显示的设施和设备 自然的：自然环境的保障，如温度、湿度、电力、灾害等 物理安全的重要性 网络的物理安全是整个网络信息安全的前提。 信息系统面临的物理安全威胁： 自然威胁（如：地震、洪水、风暴、龙卷风等） 设施系统（如：火灾、漏水、温度湿度变化、通信中断、电力中断、电磁泄露） 人为/政治事件（如：爆炸、蓄意破坏、盗窃、恐怖袭击、暴动） 二、物理安全技术控制措施概述 物理安全控制 物理控制措施的目标为： 预防 延迟 监测 评估 对物理入侵的适当反映 物理安全技术控制措施 物理安全需求规划 物理安全管理 人员安全管理 物理安全需求规划 物理安全需求规划是在信息系统开发建设的早期阶段明确对物理安全控制措施的需求，包括： 选择安全的物理地点 设计物理防范措施 物理安全需求规划-选择安全的物理地点 隐蔽性：考虑物理的邻居有那些？尽量防止不相关的人轻易的发现该物理地点是重要的信息系统的所在地 区域的特点：犯罪率如何？水坝？机场？高压电？ 自然灾害发生的可能性：气候（洪水、雷暴）如何？地震是否多发？ 交通运输：交通是否便利？是否非常临近机场、高速路？ 与他人共有的设施：公用电力？公用的出入口？ 服务设施：消防局、警察局、人防设施 物理安全需求规划-设计安全的站点 设施/建筑物 墙，窗和门 入口点 门 窗 屋顶入口 服务或运输通道 火警通道 其它通道 供热、通风、空调（Heating、Ventilation、and Air Conditioning HVAC） 这些支持系统是如何安装的？ 是否涉及计算机单元？ 是否保持了合适的温度和湿度水平，空气质量如何？ 物理安全技术控制措施 物理安全需求规划 物理安全管理 人员安全管理 物理安全管理-审计措施 记录物理访问的时间 物理访问是否成功 访问权限是哪里授予的？院墙大门？机房门禁？保安？前台？ 谁试图访问 谁以管理员的权限修改了访问权限的分配 物理安全管理-应急流程 系统紧急关闭的流程 人员撤离流程 物理安全的培训、意识教育和演练流程 周期性的设备和基础设施的测试流程 物理安全技术控制措施 物理安全需求规划 物理安全管理 人员安全管理 人员安全管理 受聘前 教育和工作背景的考察 关键人员的历史背景——信用记录、犯罪记录 在聘中 访问控制 定期的考核与评价 离职 离职谈话 收回物理访问权限 收回各种资产 三、物理安全技术控制措施详解 物理安全技术控制措施详解 大楼周边 门禁系统 监控措施 环境保护措施 数据中心/服务器机房安全 计算机设施保护 重点对象保护 电磁泄露防护（TEMPEST） 大楼周边 周边安全控制是防护的第一道防线，可以起到划分“领地”和物理屏障的作用。 保护的屏障要么是天然的或人造的 天然屏障通常指那些难以穿越的场所，如山、河流、沙漠等 人为屏障包括围墙、多次的灌木、护柱等 物理安全技术控制措施详解 大楼周边 门禁系统 监控措施 环境保护措施 数据中心/服务器机房安全 计算机设施保护 重点对象保护 电磁泄露防护（TEMPEST） 门禁 门 中空的或实心的 铰链 门框 接触设施 窗 标准的平面玻璃 钢化玻璃 丙烯酸物质 聚碳酸酯窗-玻璃和聚碳酸化合物复合高质量的玻璃及丙烯晴 门禁 智能卡 在高安全性和便携性的基础存储人员信息-防篡改 高安全度的信息处理在卡内进行 提供安全的授权级别 使用加密系统存储密钥 具有在卡内执行加密算法的能力 物理安全技术控制措施详解 大楼周边 门禁系统 监控措施 环境保护措施 数据中心/服务器机房安全 计算机设施保护 重点对象保护 电磁泄露防护（TEMPEST） 监控措施 入侵检测系统 用来检测区域访问的传感器 监控设备 闭路电视（CCTV） 监控措施 入侵检测系统 光电的（photoelectric） 超声的（ultrasonic） 微波的（microwave） 红外的（passive infrared） 压感的（pressure-sensitive） 监控措施 闭路电视