1、物理和环境安全Physical and Environmental Security CISSP第六版培训PPT之四关键知识领域A.A.理解场地和设施设计上的考虑因素B.B.支持周边安全的实施和操作(如物理访问控制和监测、审计跟踪/访问日志)C.C.支持内部安全的实施和操作(如陪同需求/访问者控制、钥匙和锁)D.D.支持设施安全的实施和操作(如技术融合)D.1 通信和服务器机房D.2 受限区域和工作区域安全D.3 数据中心安全D.4 水电和暖气、通风和空调(HVAC)等考虑因素D.5 水的问题(如漏水、水灾)D.6 火灾预防、探测和压制E.E.支持设备保护及其安全保障F.F.理解人员隐私和安全
2、(如胁迫、旅行、监控)目录物理安全介绍(Introduction to Physical Security)规划过程(The Planning Process)保护资产(Protecting Assets)内部支持系统(Internal Support Systems)周边安全(Perimeter Security)物理安全介绍物理安全机制包括设施位置的设计和布局、环境组件、应急响应的敏捷性、培训、访问控制、入侵检测以及电力和火灾防范等诸多方面常见物理威胁自然环境威胁供应系统威胁人为威胁以政治为动机的威胁物理安全介绍物理安全威胁包括针对人员、数据、设备、系统和设施的人为(Man-made)或自
3、然条件(Natural)造成的诸如自然灾害、事故、盗窃、抢劫等环境(Environmental)或物理的(Physical)威胁,相关风险包括:实体被盗(Physical theft),计算机等设备被盗窃的损失包括硬件成本、恢复数据的费用等。服务中断(Interruptions of services),计算机服务、电源、供水和电信服务的丧失。实体损坏(Physical damage),设备的物理损坏造成的损失也包括硬件成本、恢复数据的费用等。系统完整性丧失(Compromised system integrity),设备的丢失和损坏都会造成系统完整性的损失。非授权信息泄漏(Unauthori
4、zed disclosure of information),设备和介质的丢失有可能造成信息的泄漏。物理安全介绍分层防御模型规划过程通过环境设计预防犯罪(Crime Prevention Through Environmental Design)设计物理安全计划(Designing a Physical Security Program)物理安全控制物理安全机制可以包括站点的设计和布局(Site Design and Configuration)、环境控制(Environment Control)系统、应急响应(Emergency Response)准备和培训、物理访问控制(Physical
5、Access Control)和入侵探测(Intrusion Detection)以及电力(Power Supply)和消防(Fire Suppression)保护系统。物理安全机制还可分为物理控制(Physical Control)技术控制Technical Control行政控制(Administrative Control)物理安全控制物理控制物理控制Physical ControlPhysical Control技术控制技术控制Technical ControlTechnical Control行政控制行政控制Administrative controls警卫(Guards)警犬(Do
6、gs)栅栏(Fencing)锁具(Locks)照明(Lighting)设施建筑材料(Facility construction materials)访问控制(Access controls)入侵检测(Intrusion detection)警报(Alarms)闭路电视监控(CCTV Monitoring)供暖、通风和空调(Heating,ventilation,and air conditioning,HVAC)电力供应(Power supply)火警和消防(Fire detection and suppression)备份(Backups)设施选择和建造(Facility selection
7、 or construction)设施管理(Facility management)人事控制(Personnel controls)培训(Training)应急响应和规程(Emergency response and procedures)规划威胁分类:内部威胁外部威胁共谋(Collusion):两个或更多人联合实施欺诈行为。物理安全计划涉及内容通过威慑预防犯罪和破坏通过使用延迟机制来减少损失犯罪或破坏检测 事故评估响应措施度量基线成功犯罪的次数成功破坏的次数犯罪或破坏失败的次数检测、评估和恢复步骤的时间破坏带来的业务影响检测报警的误报次数犯罪分子通过一个控制所用的时间还原操作系统所需的时间风
8、险、基线和对策关系设计步骤确定一个内部员工和/或外部顾问团队,他们将通过下列步骤构建物理安全计划执行风险分析,以标识脆弱性和威胁,并计算每种威胁带来的业务影响根据可接受风险级别确定所需的性能基线创建对策性能度量根据分析结果设定准则威慑(Deterrence)延迟(Delaying)检测(Detection)评估(Assessment)响应(Response)为每个计划类别确定和实现对策继续根据设定的基线评估对策通过环境设计预防犯罪“通过环境设计预防犯罪”(CrimePreventionThroughEnvironmentalDesign,简称CPTED)一个人在一个既定物理环境中的行为,尤其是
9、出现越轨行为的可能性,会受到这个环境的设计特点的影响。通过对社区环境的改造和重新设计,增加对犯罪的阻隔、监控能力,即可达到减少犯罪行为并提高居民生活品质的目的。目标强化强调通过物理和人工障碍(报警器、锁、栅栏等)来拒绝拒绝访问。CPCTED策略自然访问控制限制入口数量迫使所有访客从前台进入,并在进入设施前签名在下班时间或周末期间并且四周没有许多员工时,限制开放入口的数量在允许进入前由保安确认相片ID要求访客签名并陪同进入鼓励雇员盘问陌生人自然监视通过为观察者提供许多可以观察到犯罪分子的方法,让犯罪分子感到不适;同时提供一个开放的、精心设计的环境,让其他所有人感到安全舒适。自然区域加固强调或延伸
10、公司物理影响范围的物理设计,让合法用户在空间具有归属感制定物理安全计划调查HVAC系统隔壁和天花板的建筑材料配电系统通信路径和类型周围的危险材料外围组件地形,与机场、高速公路、铁路的距离,周围设备的潜在电磁干扰,气候,土壤,现有的栅栏、探测传感器、摄像头、障碍物,雇员上班的时间,依赖物理资源的运作活动,车辆通行,邻居物理安全计划设施建造入口内部分隔数据中心设施可见性(Visibility):环绕的高台(Surrounding terrain)建筑物的标记和符号(Building marking and signs)相邻机构的类型(Types of neighbors)区域的人口密度(High
11、or low population in the area)周边区域和外部实体(Surrounding Area and External Entities)有关:犯罪率(Crime rate)与公安、医疗和消防机构的距离周边区域可能发生的危险站点的交通条件(Accessibility):道路条件(Road access)交通拥堵(Excessive traffic)与机场、火车站和高速公路的距离自然灾害(Natural Disaster)因素:洪水、龙卷风、地震和飓风的可能性危险的高地,如泥石流(mudslide)、山崩(falling rock from mountains)、暴雪或暴雨(
12、excessive snow or rainfall)建造墙壁门天花板窗户地板供暖、通风和空调电力供应供水和天然气管道火灾的检测与扑灭入口门陷门窗户标准玻璃钢化玻璃有机玻璃嵌丝玻璃夹层玻璃太阳能窗户隔热膜安全膜内部分隔内部分隔数据中心和设备房保护资产物理安全所对应的主要威胁:盗窃、服务中断、物理破坏、对系统和环境完整性的损害以及未授权的访问内部支持系统电力(Electric Power)环境问题(Environmental Issues)通风(Ventilation)火灾预防、检测和抑制(Fire Prevention,Detection,and Suppression)电力电力故障暴雨(St
13、orm)、狂风(Strong Wind)、设备故障(Failure)以及雷电(Lightning)等事件都可能引起电力故障(Problems)。选择备份电源时需考虑本地区电源故障的概率(Frequency)、电源故障可能造成的损失(Loss)、备份电源的成本(Cost)和所需的容量(Capacity)等因素。电源故障不仅包括电源中断(Outage),还包括电源频率(Frequency)、波幅(Amplitude)和电压(Voltage)的变动(Fluctuation)。双路(Dual Loop)供电和备用发电机(Backup Generator)是可供选择的长时间电力备份方式。电力电力保护不间
14、断电源(Uninterrupted power supply,UPS)在线式(Online)UPS后备式(Standby)UPS电力线路调节(Power line condition),消减电源频率、波幅和电压等方面的异常变化确保纯净的电力(Lean Power)供给。相关术语包括:消噪电路(noise suppression circuitry)、电涌保护器(surge protector)、稳压器(voltage regulator)。如果使用发电机作为备份供电方式,应该定期对发电机进行检测(Test)并储备足够的燃料(Fuel)。电力电源故障电压过高尖峰:瞬间高压,多由雷电和闸刀闭合引起
15、浪涌:长时间的高压.常见的电力故障,可使用过压保护器(surge protector)将过压通过接地(Ground)进行消散。电力供应停止故障:瞬间停电断电:长时间停电.需要使用备份电源提供电力。电力降低衰变:瞬间低压,持续一个周期到几秒不等电压过低:供电电压长时间低于正常电压,可使用稳压器(constant-voltage-transformer)稳定电压。浪涌电流:启动负载时所需的电流初始浪涌环境问题温度环境温度过高会损坏电子设备或使其寿命缩短,温度过低会引起设备工作异常。计算机房的温度应该控制在21-23摄氏度(Centigrade)之间,也就是70-74华氏度(Fahrenheit)之
16、间。环境湿度过高会造成电器触点腐蚀等问题,湿度过低会导致静电过高引起数据丢失和设备损坏。计算机房的湿度应该控制在45%-60%之间。可以使用湿度记(hygrometer)监控环境湿度。材料或组件材料或组件损坏温度损坏温度华氏摄氏计算机系统和外围设备17579.444磁存储设备10037.778纸制品350176.667环境问题防静电措施在数据处理区铺设防静电地板保证合适的湿度将线路和插座正确接地不要在数据中心铺地毯操作计算机系统内部元件时,应适用防静电臂套通风闭环再循环空调系统(Closed-loop recirculating air conditioning system),使用循环空气的
17、空调系统,可以对空气中的烟尘和有害气体进行过滤和清除。灰尘可能阻塞散热通道导致设备无法有效散热,有害物质和气体会沾染介质和腐蚀设备。正向加压(Positive pressurization),室内空气正压可以防止外部空气进入室内,减少了室内空气受到污染的可能性,在火灾发生时也有利于防止烟火进入室内。空调通风系统应该于火警消防系统相连,以便在发现火情时及时关闭以免烟火通过系统传播火灾预防、检测和抑制起火和燃烧火灾的起火(Ignition)原因有多种,其中包括电器设备(Electric Devices and Wiring)发热、易燃物的不当堆放、未熄灭的烟头(Carelessly Discard
18、ed Cigarettes)以及纵火(Arson)。应该尽量使用不易引起火灾的低压设备以及防止过载的断路器(Overload Breaker)。火势的蔓延需要两个条件:可燃物(Fuel)和氧气(Oxygen)。在设施建设、维护和使用过程中应该减少可燃物(Combustible Materials)的聚集。有些建筑材料虽然不可燃(Noncombustible),但是在高温下强度会降低,这一特点应该引起注意。火灾预防、检测和抑制火警探测烟雾感应(Smoke Activated)利用光电设备(Photoeletric Device)或光学探测器(Optical Detector)探测烟雾对光线的阻挡
19、,用于早期发现火情。温度感应(Heat activated),对环境温度进行探测,有两种类型:温度上升速率探头(rate-of-rise temperature sensor)、固定温度探头(fixed-temperature sensor)。火焰感应(Flame activated),对燃烧时产生的红外线(Infrared)能量进行探测,反应较快,价格昂贵。自动拨号报警(Automatic dial-up alarm),火灾发生时自动向当地消防部门(Fire Station)报告的系统。火灾预防、检测和抑制火灾类型A类火灾(Fire class A),普通可燃物(Common Combust
20、ibles)如纸张、木材(Wood Products)引起的火灾,使用水或酸碱灭火剂。B类火灾(Fire class B),液体如石油产品(Petroleum Products)引起的火灾,使用哈龙、二氧化碳或酸碱(Soda Acid)灭火剂。C类火灾(Fire class C),电器(Electrical)火灾,使用哈龙(Halon/Halon Substitutes)、二氧化碳(CO2)灭火剂。D类火灾(Fire class C),可燃金属(Combustible Metals)火灾,使用干粉(Dry Powder)灭火剂。火灾预防、检测和抑制灭火机理水(Water),适用于普通火灾,灭火
21、机理是降低温度。酸碱灭火剂(Soda acid),适用于普通和液体火灾,灭火机理是隔绝氧气。二氧化碳(CO2),适用于电器和液体火灾,灭火机理是隔绝氧气。对人有害,适用于无人值守的(Unattended)区域。气体灭火剂/哈龙(Gas/Halon),适用于电器和液体火灾,灭火机理是干扰(Interfere)燃烧的化学反应(Chemical Combustion)。Halon对大气环境有污染,被国际公约禁止。替代哈龙哈龙(Halon)灭火剂包含氯氟化碳(Chlorofluorocarbons,CFCs)会消耗大气臭氧层(Deplete Ozone Layer),并且在浓度(Concentrati
22、on)高于10%的情况下对人体有害。高温还会造成其分解为更加有害的物质。1987年9月在加拿大蒙特利尔签订的关于消耗臭氧层的物质的蒙特利尔议定书,简称蒙特利尔议定书(Montreal Protocol)中制定了逐步禁止使用Halon等气体的规定。目前,Halon已被禁止生产、采购和填装灭火器。使用Halon的系统也被替换为FM-200等环保部门认可(EPA-approved)的产品。FM-200的灭火机理和Halon相同,都是中断燃烧链,灭火速度极快,且无毒、无味、无污染。喷水装置湿管式水管中总是有水干管式水管中实际并没有水,水保存在“储水槽”中提前作用式不在水管内储水,只是在水管内的高压气体
23、压力降低时才防水泛滥式喷头总是打开,这样在短时间内就能喷出大量的水扑灭火灾火灾等级火灾等级火灾类型火灾类型火灾中的燃烧物火灾中的燃烧物扑灭方法扑灭方法A普通易燃物木制产品、纸盒薄片制品水、泡沫B液体石油产品和冷却剂气体、CO2、泡沫、干粉C电电子设备和电线气体、CO2、干粉D易燃金属镁、钠、钾干粉燃烧的基本要素燃烧的基本要素灭火方法灭火方法灭火机制灭火机制可燃物碳酸去除可燃物氧气CO2排除氧气温度水降低温度化学燃烧气体(哈龙或哈龙替代品)破坏燃烧要素间的化学反应4 4种类型的火灾机器扑灭方法种类型的火灾机器扑灭方法各种灭火物质的灭火机制各种灭火物质的灭火机制周边安全设备访问控制(Facilit
24、y Access Control)人员访问控制(Personnel Access Controls)外部边界保护机制(External Boundary Protection Mechanisms)入侵检测系统(Intrusion Detection Systems)巡逻和警卫(Patrol Force and Guards)警犬(Dogs)物理访问审计(Auditing Physical Access)测试和训练(Testing and Drills)设备访问控制应当恰当确定、标记和监控访问控制点 通过物理(Physical)和技术(Technical)方法控制人员出入,既保证正常地人员出入
25、又要防止未经受权者进入设施。控制人员出入的措施不能妨碍在紧急情况下人员从设施中撤离(Evacuation)。在部署访问控制措施之前应对不同区域的安全需求、人员和数据流动的特点、不同人员对各区域的访问需求和紧急情况等因素进行分析,确定不同安全级别的管理区域和入口控制点(Entry Control Points)的位置。要注意除主通道(Primary Entrance)以外的第二通道(Secondary Entrance)和送货通道(Delivery Entrance)的安全。设施访问控制设施访问控制锁机械锁暗锁弹簧锁销簧锁盘簧锁杆锁组合锁密码锁开门延迟时间密码重置万能钥匙被困报警设备锁 锁具(L
26、ock)是普遍使用(Widely Accepted)并具有很好成本效益防护机制,能够遏制(Deter)和延迟(Delay)入侵行为。但传统钥匙锁的抗破坏(Resistant)能力差,缺乏出入记录(Logging)手段,钥匙容易丢失(Lost)和复制(Duplicate)。锁具的类型包括:钥匙锁(Key Lock),如凸块锁(Warded Lock)、盘簧锁(Disc Tumbler Lock)、销簧锁(Pin Tumbler Lock)以及可更换锁芯的钥匙锁,这些锁的防撬功能通常较弱;号码锁(Combination Lock),照密码转动号码盘或按钮,锁即打开,这种锁最常使用于保险箱(Vaul
27、ts);密码锁(Cipher Lock)智能锁(Smart Lock)锁具 密码锁(Cipher lock),也被称为电子编程(Programmable)锁,输入预先设定的(Preset)密码进行开锁操作,密码可以变换,具有以下特点:超时报警(Door delay),开门后如果没有及时关门会发出警报(Alert)。钥匙代用(Key-override),可以在紧急情况(如电池耗尽等)下使用非常规方式(如机械钥匙等)开锁。主钥匙(Master-keying),可以由主管人员更改密码和锁的其它特性。密码锁在输入密码时应该有遮挡方式(Visibility Shield)以免旁人偷看到密码;密码锁应定期
28、更改密码。密码锁 设备锁(Device lock),用于将设备固定在工作位置以防被盗或非法操作。包括以下多种类型:开关控制(Switch control),保护电源开关(Power Switches)以防止非法操作。机位锁定(Slot locks),将设备锁定(Secure)在工作台上以防止被盗。端口控制(Port controls),锁定磁盘驱动器或未使用的接口以防止被盗或非法使用。外设开关(Peripheral switch),锁定键盘等外设以防止被盗或非法使用。电缆夹(Cable traps),锁定设备电缆以防止设备丢失。设备锁设施访问控制撬锁撞锁开锁人员访问控制当某人试图进入一个建筑物
29、或区域时,就需要对他进行适当的身份标识,以确定该人是否被允许进入。证件系统通过证件(Badge)识别来控制人员出入设施,包括:照片标识(Photo ID),带有照片的传统证件,由警卫人员(Guards)辨别证件的有效性。尾随(Piggybacking)通常指未经授权的人尾随他人以达到非法进入设施的目的。要防止这种非法进入的情况发生,应该对警卫和员工进行培训使其养成良好安全意识(Security Awareness)和习惯。人员访问控制电子访问控制令牌是一个用于描述邻近身份验证设备的通用术语。智能/存储卡(Smart/dumb card),包含有访问识别信息(Authentication Dat
30、a)的磁卡(Magnetic Strip Card)或IC卡,通过阅读器(Reader)或和其它交互方式与控制系统交换信息来判断证件的有效性。无线近距离阅读器(Wireless proximity reader),通过非接触的方式读取人员所佩戴证件中的信息来判断证件的有效性。外部边界保护机制访问控制机制:锁和钥匙、电子卡访问系统、员工意识物理屏障:栅栏、大门、墙、门、窗、受保护的通风口、车辆障碍入侵检测:周边传感器、内部传感器、通报机制评估:保安、CCTV摄像头响应:保安、当地执法机构威慑:标志、照明、环境设计外部边界保护机制栅栏:“第一道防线”,物理屏障3-4英尺(0.9144-1.2192
31、米)阻止那些无意的进入者6-7英尺(1.8288-2.1336米)不可能爬上的8英尺(2.4384米)阻止更加高明的入侵者大门I类:住宅用途II类:商业用途,允许普通大众访问III类:工业用途,限制人员访问IV类:禁止访问护柱树立在大楼外的小型水泥柱照明响应区域照明:IDS检测到可疑活动时打开某个特殊区域内的灯光门门道是常用的控制人员出入的装置,应该根据具体的安全需要考虑以下特点:空心(Hollow Core)门板的抗破坏能力较弱,实心(Solid Core)门板的抗破坏能力较强,门的加固还应考虑观察窗(Observing Windows)、铰链(Hinges)和门框(Frame)等。双门互锁
32、(Mantraps),中间包含过道的双门结构(A Set of Double Doors),用于对出入人员的监控。十字转门(Turnstiles),每次仅允许一个人通过的旋转式机械臂装置。对人员进出进行控制。门的可选特性防夹(Entrapment)感应,能感应到物体被夹住;开启报警(Open Alarm),在开启过程中发出报警声音;在遭到破坏时发出警报。如需要,关键区域门的外观不引人注目(Noticeable)。故障生命安全(Fail-Safe),发生故障(如电源中断)时自动开启。故障财物安全(Fail-Secure),发生故障(如电源中断)时自动锁闭。紧急逃生栓(Emergency Pani
33、c Bars),紧急情况下从内部开门逃生的装置。外部边界保护机制监视设备照明、安全人员、IDS、监视技术和技巧实现监视录像设备使用CCTV的目的检测、评估和/或标识入侵者CCTV摄像头工作环境的类型内部区域或外部区域所需的视野监控区域的大小与其它安全控制的结合保安、IDS、报警系统外部边界保护机制CCTV组成摄像头、镜头、接收器、录制系统和监视器组成多个摄像头可以连接到一个多路复用器上外部边界保护机制入侵检测系统边界扫描系统光束声音和振动移动各种场(微波、超声波、静电)电子电路边界系统种类机电系统光电系统被动红外线系统声学检测系统邻近检测器IDS是用于检测和警告入侵企图的支持机制。不能阻止或逮
34、捕入侵者巡逻警卫、保安和警犬巡逻警卫和保安安全狗安全补充机制物理访问审计物理访问进行审计试图访问的日期和时间访问尝试的进入点访问尝试时使用的用户身份不成功的访问尝试,特别是在为经授权期间发生的访问审计分配保安:检查日志安全专家和部门经理:定期检查审计日志管理层:需要知道设施的入口点审计和访问日志都是检测性的测试和演习测试和演习准备人员提供一个受控环境疏散与应急响应计划需要制定必须付诸实施需要装订成册必须放在容易拿到的地方必须给人们分配特别的任务应当教育和告知这些人员如何完成他们的任务演习必须每年至少进行一次就演习和测试参数达成一致演习的时间参与演习的人员谁将接受哪些任务应采取什么步骤交流与讨论2023年1月17日星期二