3.3 物理与设备安全
3.3.1 物理安全概述
1.物理安全的概念
物理安全是为保证信息系统的安全可靠运行,降低或阻止人为或自然因素从物理层面对信息系统保密性、完整性、可用性带来的安全威胁,从系统的角度采取的适当安全措施。
物理安全也称为实体安全,是系统安全的前提。硬件设备的安全性能直接决定了信息系统的保密性、完整性、可用性,信息系统所处物理环境的优劣直接影响信息系统的可靠性,系统自身的物理安全问题也会对信息系统的保密性、完整性、可用性带来安全威胁。
物理安全是以一定的方式运行在一些物理设备之上的,是保障物理设备安全的第一道防线。因为物理安全会导致系统存在风险。比如:环境事故造成的整个系统毁灭;电源故障造成的设备断电以至操作系统引导失败或数据库信息丢失;设备被盗、被毁造成数据丢失或信息泄露;电磁辐射可能造成数据信息被窃取或偷阅;报警系统的设计不足或失灵可能造成的事故等。
设备安全技术主要指保障构成信息网络的各种设备、网络线路、供电连接、各种媒体数据本身及其存储介质等安全的技术,主要包括设备的防盗、防电磁泄露、防电磁干扰等,是对可用性的要求。
物理环境安全是物理安全的最基本保障,是整个安全系统不可缺少和忽视的组成部分。环境安全技术主要是指保障信息网络所处环境安全的技术,主要技术规范是对场地和机房的约束,强调对于地震、水灾、火灾等自然灾害的预防措施,包括场地安全、防火、防水、防静电、防雷击、电磁防护、线路安全等。
2.概念的理解
(1)狭义物理安全。传统意义的物理安全包括设备安全、环境安全/设施安全以及介质安全。设备安全的技术要素包括设备的标志和标记、防止电磁信息泄露、抗电磁干扰、电源保护以及设备振动、碰撞、冲击适应性等方面。环境安全的技术要素包括机房场地选择、机房屏蔽、防火、防水、防雷、防鼠、防盗防毁、供配电系统、空调系统、综合布线、区域防护等方面。介质安全的安全技术要素包括介质自身安全以及介质数据安全。以上是狭义物理安全观,也是物理安全的最基本内容。
(2)广义物理安全。广义的物理安全还应包括由软件、硬件、操作人员组成的整体信息系统的物理安全,即包括系统物理安全。信息系统安全体现在信息系统的保密性、完整性、可用性3个方面,从物理层面出发,系统物理安全技术应确保信息系统的保密性、可用性、完整性,如通过边界保护、配置管理、设备管理等等级保护措施保护信息系统的保密性,通过容错、故障恢复、系统灾难备份等措施确保信息系统可用性,通过设备访问控制、边界保护、设备及网络资源管理等措施确保信息系统的完整性。
3.物理安全分类
(1)信息系统物理安全。为了保证信息系统安全可靠地运行,确保信息系统在对信息进行采集、处理、传输、存储过程中,不致受到人为或自然因素的危害,而使信息丢失、泄露或破坏,对计算机设备、设施(包括机房建筑、供电、空调)、环境人员、系统等采取适当的安全措施。
(2)设备物理安全。为保证信息系统的安全可靠运行,降低或阻止人为或自然因素对硬件设备安全可靠运行带来的安全风险,对硬件设备及部件所采取的适当安全措施。
(3)环境物理安全。为保证信息系统的安全可靠运行所提供的安全运行环境,使信息系统得到物理上的严密保护,从而降低或避免各种安全风险。
(4)介质物理安全。为保证信息系统的安全可靠运行所提供的安全存储的介质,使信息系统的数据得到物理上的保护,从而降低或避免数据存储的安全风险。
3.3.2 物理安全威胁与防范
物理安全威胁指物理设备及配套部件的安全威胁,而不是软件逻辑上的威胁。物理设备运行在某一个物理环境中。环境不好,对物理设备有威胁,自然会影响其运行效果。物理环境安全是物理安全的最基本保障,是整个安全系统不可缺少和忽视的组成部分。环境安全技术主要是保障物联网系统安全的相关技术。其技术规范是物联网系统运行环境内外(场地和机房)的约束。其环境分为自然环境威胁和人为干扰。自然环境威胁包括地震、水灾、火灾等自然灾害。人为干扰包括静电、雷击、电磁、线路破坏和盗窃等。
1)自然环境威胁
(1)地震。地震灾害具有突发性和不可预测性,并产生严重次生灾害,对机器设备会产生很大影响。但是,破坏性地震发生之前,人们对地震有没有防御,防御工作做得好坏将会大大影响到经济损失的大小和人员伤亡的多少。防御工作做得好,就可以有效地减轻地震的灾害损失。
(2)水灾。水灾指洪水、暴雨、建筑物积水和漏雨等对设备造成的灾害。水灾不仅威胁人民生命安全,也会造成设备的巨大财产损失,并对物联网系统运行产生不良影响。对付水灾,可采取工程和非工程措施以减少或避免其危害和损失。
(3)雷击。雷电会对人和建筑造成危害,而电磁脉冲主要影响电子设备,主要是受感应作用所致。雷击防范的主要措施是,根据电器、微电子设备的不同功能及不同受保护程序和所属保护层确定防护要点作分类保护;根据雷电和操作瞬间过电压危害的可能通道从电源线到数据通信线路都应做多层保护。
(4)火灾。火灾是指在时间和空间上失去控制的燃烧所造成的灾害。在各种灾害中,火灾是最经常、最普遍地威胁公众安全和社会发展的主要灾害之一。机房发生火灾一般是由于电气原因、人为事故或外部火灾蔓延引起的。
2)人为干扰威胁
(1)盗窃。盗窃指以非法占有为目的,秘密窃取他人占有的数额较大的公私财物或者多次窃取公私财物的行为。物联网的很多设备和部件都价值不菲,这也是偷窃者的目标。因为偷窃行为所造成的损失可能远远超过其本身的价值,因此必须采取严格的防范措施,以确保计算机设备不会丢失。
(2)人为损坏。人为损坏包括故意的和无意的设备损坏。无意的设备损坏多半是操作不当造成的;而有意破坏则是有预谋的破坏。这两种情况都存在。预防的方法是,对于重要的设备,要加强外部的物理保护,如专用间、围栏、保护外壳等。
(3)静电。静电是由物体间的相互摩擦、接触而产生的。静电产生后,由于未能释放而保留在物体内,会有很高的电位(能量不大),从而产生静电放电火花,造成火灾。还可能使大规模集成电路损坏,这种损坏可能是不知不觉造成的。
(4)电磁泄漏。电子设备工作时要产生电磁发射。电磁发射包括辐射发射和传导发射。这两种电磁发射可被高灵敏度的接收设备接收并进行分析、还原,造成计算机的信息泄露。屏蔽是防电磁泄漏的有效措施,屏蔽主要有电屏蔽、磁屏蔽和电磁屏蔽3种类型。
3.3.3 设备环境安全与防范
1.机房环境安全
机房是各类信息设备的中枢,机房工程必须保证网络和计算机等高级设备能长期而可靠地运行。其质量的优劣直接关系到机房内整个信息系统是否能稳定、可靠地运行,是否能保证各类信息通信畅通无阻。机房的环境必须满足计算机等各种微机电子设备和工作人员对温度、湿度、洁净度、电磁场强度、噪声干扰、安全保安、防漏、电源质量、振动、防雷和接地等的要求。机房的物理环境受到了严格控制,主要包括温度、电源、地板、监控等几个方面。
(1)温度。“数据处理环境热准则”建议温度为20~25℃(68~75℉),湿度为40%~55%,适宜数据中心环境的最大露点温度是17℃。在数据中心电源会加热空气,除非热量被排除出去;否则环境温度就会上升,导致电子设备失灵。通过控制空气温度,服务器组件能够保持制造商规定的温度/湿度范围内。空调系统通过冷却室内空气下降到露点帮助控制湿度,湿度太大,水可能在内部部件上开始凝结。如果在干燥的环境中,辅助加湿系统可以添加水蒸气,因为如果湿度太低,可能导致静电放电,会损坏元器件。
(2)电源。机房电源由一个或多个不间断电源(UPS)和/或柴油发电机组成备用电源。对关键服务器来说,最好同时连接到两个电源,以实现N+1冗余系统的可靠性。静态开关有时用来确保在发生电力故障时瞬间从一个电源切换到另一个电源。为了保证设备用电质量和用电安全,电源应至少有两路供电,并应有自动转换开关。当一路供电有问题时,可迅速切换到备用线路供电。应安装备用电源,如UPS,停电后可供电8h或更长时间。关键设备应有备用发电机组和应急电源。同时为防止、限制瞬态过压和引导浪涌电流,应配备电涌保护器(过压保护器)。为防止保护器的老化、寿命终止或雷击时造成的短路,在电涌保护器的前端应有诸如熔断器等过电流保护装置。
(3)地板。机房的地板相对瓷砖地板要提升60cm,这个高度现在变得更高了,是80~100cm,以提供更好的气流均匀分布。这样空调系统可以把冷空气也灌到地板下,同时也为地下电力线布线提供更充足的空间,现代数据中心的数据电缆通常是经由高架电缆盘铺设的,但仍然有些人建议出于安全考虑还是应将数据线铺设到地板下,并考虑增加冷却系统。小型数据中心里没有提升的地板可以不用防静电地板。计算机机柜往往被安装到一个热通道中,以便使空气流通效率最好。
(4)监控报警。按照国家有关标准设计实施,机房应具备消防报警、安全照明、不间断供电、温湿度控制系统和防盗报警,以保护系统免受水、火、有害气体、地震、静电的危害。针对重要的机房或设备应采取防盗措施,如应用视频监视系统能对系统运行的外围环境、操作环境实施监控。电源管理排查干扰,包括排除电源线的中断、异常、电压瞬变、冲击、噪声、突然失效事件。
2.机房安全设计
如果机房的防静电、防火防水、接地防雷、室内温湿度有保障,可有效提高机房的物理安全性。机房应该符合国家标准和国家有关规定。其中,D级信息系统机房应符合《计算机场地安全要求》(GB 9361-88)的B类机房要求;B级和C级信息系统机房应符合《计算机场地安全要求》(GB 9361-88)的A类机房要求。机房建设最好进行以下设计:①机房装饰,包括抗静电地板铺设、棚顶墙体装修、天棚及地面防尘处理、门窗等;②供配电系统,包括供电系统、配电系统、照明、应急照明、UPS电源;③空调新风系统,包括机房精密空调、新风换气系统;④消防报警系统,包括消防报警、手提式灭火器;⑤防盗报警系统,如红外报警系统;⑥防雷接地系统,包括电源防雷击抗浪涌保护、等电位连接、静电泄放等、接地系统;⑦安防系统,包括门禁、视频等;⑧机房动力环境监控系统。
3.设备安全与策略
设备安全技术指保障构成信息网络的各种设备、网络线路、供电连接、各种媒体数据本身及其存储介质等安全的技术,主要包括设备的防盗、防电磁泄漏、防电磁干扰等,是对可用性的要求。
1)设备安全问题
这里的设备指系统中的物理设备或一个子系统,不是指小的元器件。它指由集成电路、晶体管、电子管等电子元器件组成,应用电子技术(包括)软件发挥作用的设备等。设备安全主要是指设备被盗、设备被干扰、设备不能工作、人为损坏、设备过时等问题。
2)设备安全策略
(1)设备改造。它是对由于新技术出现,在经济上不宜继续使用的设备进行局部的更新,即对设备的第二种无形磨损的局部补偿。
(2)设备更换。它是设备更新的重要形式,分为原型更新和技术更新。原型更新即简单更新,用结构相同的新设备更换因为严重有形磨损而在技术上不宜继续使用的旧设备。这种更换主要解决设备的损坏问题,不具有技术进步的性质。
(3)技术更新。用技术上更先进的设备去更换技术陈旧的设备。它不仅能恢复原有设备的性能,而且使设备具有更先进的技术水平,具有技术进步的性质。
(4)备份机制。即两台设备一起工作。也称双工,指两台或多台服务器均为活动,同时运行相同的应用,保证整体的性能,也实现了负载均衡和互为备份。双机双工模式是目前群集的一种形式。
(5)监控报警。监控报警是安全报警与设备监控的有效融合。监控报警系统包括安全报警和设备监控两个部分。当设备出现问题时,监控报警系统可以迅速发现问题,并及时通知责任人进行故障处理。
4.通信线路安全
1)线路安全威胁
线路物理安全指为保证信息系统的安全可靠运行,降低或阻止人为或自然因素对通信线路的安全可靠运行带来的安全风险,对线路所采取的适当安全措施。线路的物理安全按不同的方法分类。比如,可以分为自然安全威胁和人为安全威胁,也可以分为线路端和线路间的安全威胁,还可以分为被破坏程度的安全威胁。线路的物理安全风险主要有:地震、水灾、火灾等自然环境事故带来的威胁;线路被盗、被毁、电磁干扰、线路信息被截获、电源故障等人为操作失误或错误。
2)线路安全对策
通信线路的物理安全是网络系统安全的前提。由于通信线路属于弱电,耐压值很低。因此,在其设计和施工中必须优先考虑保护线路和端口设备不受水灾、火灾、强电流、雷击的侵害。必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。在布线时要考虑可能的火灾隐患,线路要铺设到一般人触摸不到的高度,而且要加装外保护盒或线槽,避免线路信息被窃听。要与照明电线、动力电线、暖气管道及冷热空气管道之间保持一定距离,避免被伤害或被电磁干扰。充分考虑线路的绝缘、线路的接地与焊接的安全。线路端的接口部分要加强外部保护,避免信息泄露或线路损坏。