本文摘自CISSP官方学习指南第八版
站点与设施实际的安全原则
1.1 安全设施计划
“安全设施计划”需要列出组织的安全需求,并突出保证安全所使用的方法及技术。该计划是通过称为关键路径分析的过程来完成的。“关键路径分析”是一项系统性工作,用于找出关键应用、流程、运营以及所有必要支撑元素间的关系。
如果关键路径分析正确,就能完整绘制出组织正常运行所必要的相互依赖、相互作用的图像。分析完成后,会生产需要保护项目的列表。设计安全IT基础设施第一步,要满足组织环境及信息设备的安全要求。这些基本要求包括:电力,环境控制(建筑、空调、供暖、湿度控制等),以及供水排水。
与关键路径分析同等重要的是评估完整或潜在的技术融合。“技术融合”,指的是各种技术、解决方案、实用程序及系统,随时间的推移而发展、合并的趋势。确定, 单点故障。
1.2 站点选择
站点的选择应基于组织的安全需求。物理地点远离商业区,易发生骚乱、抢劫 、犯罪高发地,远离自然灾害常发地等。
1.3 可见度
周围地形地貌。
1.4 自然灾害
该地区是否会遭受自然灾害的影响。要做好应对自然灾害的准备,以确保IT环境或能抵御灾害,或可以方便地维修。
1.5 设施设计
在设计建筑设施时,必须清楚组织所需的安全级别。在开始施工前必须计划、设计好恰当的安全级别。
2.0 实现站点与设施安全控制
物理安全中的安全控制可以分为三大部分:管理类、技术类与现场类。
管理类物理安全控制:包括设施建造与选择、站点管理、人员控制、安全意识培训以及应急响应与流程。
技术类物理安全控制:包括访问控制、入侵检测、警报、闭路电视监控系统、监视、HVAC的电力供应以及火警探测与消防。
现场类物理安全控制:包括围栏、照明、门锁、建筑材料、捕人陷阱、警犬与警卫。
在为环境设计物理安全时,需要注意各类控制的功能顺序,顺序如下:
- 吓阻(威慑) 2. 阻挡 3. 监测 4. 延迟
边界限制--》上锁的门--》运动传感器--》加固资产
2.1 设备故障
预防设备故障可以采用多种形式:
- 非重要场合,48小时内能够买到配件,可以进行更换就足够了。
MTTF(Mean Time to Failure),平均故障时间
MTTR(Mean Time to Repair),平均恢复时间
MTBF(Mean Time Between Failures),平均故障间隔时间。
2.2 配线间
配线间的安全非常重要,基本安全策略包括:
- 不要使用配线间作为一般的储物区
- 配备充足的门锁,必要时采用生物因素。
- 保持该区域整洁
- 该区域中不能存储易燃品
- 配备视频监控设备,监视配件间内的活动
- 使用开门传感器进行日志记录
- 钥匙只能由获得授权的管理员保管
- 对配线间进行常规的现场巡视以确保其安全
- 将配线间纳入组织的环境管理和监控中,既能够确保合适的环境控制和监视,也是为了即使发现类似水情和火警的危险。
配线间只是综合布线管理策略(Cable Plant Management Policy)中的一个元素。综合布线是互连线缆与连接装置(如跳线箱、接线板和交换机)的集合,它们组建起物理网络。综合布线的元素包括:
- 接入设施(Entrance Facility),也称为分界点,这也是(通信)服务商的电缆连接到建筑物内部网络的接入点。
- 设备间(Equipement Room),这是建筑物的主布线间,通常是与接入设施连接或相邻。
- 骨干配线系统(Backbone Distribution System),为设备间和通信间提供电缆连接,包括跨层连接。
- 通信机房(Telecommunications Room),也成为布线间,通过为组网设备和布线系统提供空间,来满足大型建筑中不同楼层和部分间的连接需要。也充当骨干配线系统和水平配线系统间的连接点。
- 水平配线系统(Horizontal Distribution System),提供通信机房与工作区域间的连接。通常包括,布线、交叉连接模块、布线板以及硬件支持设施(如电缆槽、电缆挂钩与导管)。
2.3 服务间与数据中心
服务器间、数据中心、通信机房、布线柜、服务器柜以及IT机柜是封闭的、受限的和受保护的空间,用来放置重要的服务器与网络设备。
服务器间应该位于建筑的核心位置,尽可能避免将服务器间设置在建筑物的一楼或地下室。此外,应远离水、燃气与污水管道。
服务器间的墙壁应具备至少一小时的耐火等级。
在数据中心与服务器室中,采用各种技术的访问控制来管理物理访问。包括不限于下面:
- 智能卡(smartcard),既可以是一个信用卡大小的身份标识、徽章,也可以是嵌入式磁条、条形码、集成芯片的安全通行证。
- 包含集成电路(IC)的身份令牌
- 处理器IC卡
- 支持ISO7819接口的IC卡
风险,物理攻击、逻辑攻击、社交工程攻击。
- 接近式读卡器,可能是一种无源装置、感应供电装置或应答器。接近装置由授权用户佩戴或持有。
- 入侵检测系统(IDS),主要用于探测、入侵、破坏或攻击企图,是否使用了未经授权的入口,是否在未授权及非正常时间内发生了特殊事件。
监视真实活动的入侵检测系统包括:保安、自动访问控制、动作探测器以及其他专业监视技术。
物理入侵检测系统也称“盗贼警报”。其作用是探测非法活动并通知安保人员。
任何入侵检测及警报系统都有两个致命的弱点:电源和通信。
- 访问滥用
防止滥用、伪装及捎带。审计踪迹与访问日志也是有效的技术手段。
- 发射安全
很多电子设备发出的电信号或产生的辐射可能会被非法人员侦听。这些信号可能包含机密、敏感或个人数据。
用于防护发射攻击的方法及技术称为TEMPEST措施。措施包括:法拉第笼、白噪声与控制区。
白噪声简单说就是通过发射无线噪声来覆盖并隐藏真实的电磁信号。
控制区采用单一的法拉第笼、白噪声或二者组合,对环境中某个特定区域进行保护,而其他地区则不受影响。
2.4 介质存储设施
介质存储设施用于安全存储空白介质、可重用介质及安装介质。无论是硬盘、闪存设备、光盘或是磁带,各种介质都应进行严格保护以免被盗或受损。新的空白介质也要防止被偷或被植入恶意软件。
实现介质安全存储的一些方法:
- 将存储介质保存在上锁的柜子或保险箱里
- 介质存放在上锁的柜子里,并指定专人进行管理
- 建立登入、登出制度,跟踪库中介质的查找、使用与归还行为
- 可重用介质归还时,执行介质净化与清零过程(使用全零这样的无意义数据进行改写),清除介质中的数据残余
- 采用基于hash的完整性检擦机制,来校验文件的有效性,或验证介质是否得到彻底净化,不再残留以前的数据
对于安全要求高的组织,有必要再介质上打上安全提示标签,以标识其使用等级,或在介质上使用RFID、NFC资产追踪标记。介质存储也非常重要,需要一个保险柜,介质更高等级的保护要求还包括:防火、防水、防磁以及温度监视与保护。
2.5 证据存储
安全证据存储的要求:
- 使用与生产网络完全不同的专用存储系统
- 如果没有新数据需要存入,应让存储系统保持离线状态
- 关闭存储系统与互联网的连接
- 跟踪证据存储系统上的所有活动
- 计算存储在系统中所有数据的hash值
- 只有安全管理员与法律顾问才能访问
- 对存储在系统中的所有数据进行加密
2.6 受限区与工作区安全
内部区安全包括工作区域与访问区域,应进行认真的设计与配置。
墙与隔断能够用于分隔相似但不同的工作区域。
每个工作区都应按照IT资产分级进行评估与分级。
设施的安全设计应反映对内部安全实现与运营的支持。
一个安全受限工作区的实例时敏感隔间信息设施(Sensitive Compartmented Information Facility,SCIF)目的是存储、检查以及更新敏感的隔离信息。隔离信息是一种机密信息,对SCIF内数据的访问受到严格限制,只对那些有特定业务需要并获得授权的人员开放。
2.7 基础设施与HVAC
有关电力的问题有很多,了解下面的电力术语:
- 故障(Fault),瞬时断电。
- 停电(Blackout),完全失去电力供应。
- 电压骤降(Sag),瞬时低电压。
- 低电压(Brownout),长时低电压。
- 尖峰(Spike),瞬时高电压。
- 浪涌(Surge),长时高电压。
- 合闸电流(Inrush),通常是接入电源(主电源、替代副电源)
- 噪声(Noise),持续稳定干扰电力供应的波动或者扰动。
- 瞬态(Transient),短时的线路噪声扰动。
- 洁净(Clean),无波动纯电力。
- 接地(Ground),电路中接地导线。
- 噪声
电磁干扰(Electromagnetic Interference, EMI).普通模式与穿透模式,
普通模式,电源火线与地线间的电压差或操作电气设备而产生的。
穿透模式,电源火线与零线间的电压差或操作电器设备而产生的。
无线电频率干扰(Radio-Frequency Interference,RFI)。范围广泛的普通电器都会产生RFI。如荧光灯,电缆,电磁铁等。
2. 温度、湿度与静电
- 温度15-23度
- 湿度40%-60%
3. 关于水的问题(如漏水、洪水)
漏水和洪水,也应在环境安全策略及程序中得到解决。
2.8 火灾预防、探测与消防
- 灭火器
- 火灾探测器
安装自动火灾探测与消防系统。
- 喷水消防系统
-- 湿管系统,管中一直是充满水的。
-- 干管系统,管中充满压缩气体。释放气体,后供水阀门会打开。
-- 集水系统,采用更粗的管道。
-- 预动作系统,正常情况下保持干管状态,如果探测到可能的火灾因素(如烟、热量等),管中会立刻住满水。
预动作系统是最适合人机共存环境的喷水灭火系统。
- 气体消防系统
通常比喷水消防系统更有效。
- 破坏
灭火剂可能造成短路、腐蚀或设备报废。
- 物理完全的实现与管理
3.1 边界安全控制
- 围栏(Fences),门 (Gates),旋转门(Turnstiles)与捕人陷阱(Mantraps)
围栏是一种边界界定装置。 围栏清楚地划分出处于特定安全保护级别的内外区域。
3-4英尺的围栏可吓阻无意穿越者
6-7英尺的围栏难以攀爬,可吓阻大多数入侵者,但对于坚定的入侵者无效
8英尺以上的围栏,外加三层铁丝网设置可吓阻坚定的入侵者
门,是围栏可控的出入口。
旋转门,在于一次只允许一个人通过,并且只能朝着一个放心转动。
捕人陷阱,通常是一种配备警卫的内、外双道门机构,或是其他类型能防止捎带跟入的物理机关,机关可按警卫的意志控制进入的人员。
物理安全的另一个重要部件,是安全隔离桩,其作用是防止车辆的闯入。
- 照明
照明也是常用的边界安全控制形式。
- 安全警卫与警犬
所有的物理安全控制,无论是静态的威慑,还是主动探测与监控机制,最终都需要人员进行干预,来阻止真实的入侵与攻击行为。
3.2 内部安全控制
如果在设施中建立限制区来控制物理安全,就需要采取针对访客的控制措施。
- 钥匙与密码锁
门锁的作用是锁紧关闭的门。
- 胸卡
胸卡,身份卡以及安全标识是不同形式的物理身份标识和、或电子访问控制装置。主要在由安全警卫控制的物理访问环境中使用。
- 动作探测器
是一种在特定区域内感知运动或声音的装置。种类很多,包括红外,热量,波动,电容,光电及被动音频类型。
- 入侵报警
阻止警报(Deterrent Alarms),能启动的阻止手段可能有,关闭附加门锁,关闭房门等。
驱除警报(Repellant Alarms),触发的驱除手段通常包括拉响警报,警铃或打卡照明。
通知警报(Notification Alarms),入侵者,攻击者并无察觉,但系统会记录事件信息并通知管理员,安全警卫与执法人员。
警报也可以按照其安装的位置进行分类:本地的,中心的,或专有的,辅助的。
本地警报系统(Local Alarm System)发出的警报声必须要足够强(大于120分贝)。
中心站系统(Central Station System)通常在本地是静默的,在发生安全事件时,站区外监视代理会收到通知告警,安全团队会及时做出响应。
辅助站(Auxiliary Station)系统可附加到本地或中心警报系统中。
在安全方案中可以i包含两种或多种上述入侵与警报系统。
- 二次验证机制
在使用动作探测器、传感器与警报时,还应配备二次验证机制。
- 环境与生命安全
物理访问控制以及设施安全保护的一个重要方面,就是要保护环境基本要素的完好及人员生命安全。
保护人员安全有一部分就是要维护设施环境的正常有序。人员始终都应该处于第一位。只有人员安全的情况下,才能考虑解决业务连续性问题。
- 隐私责任与法律要求
任何组织的安全策略中,也应保护个人信息的安全,并且该安全策略也必须符合业界以及所在辖区的监管要求。
隐私就是要保护个人信息。
- 监管要求
在行业或辖区内运营的组织,在这两个实体或更多实体范围中的行为必要收到法律要求、限制与规定的约束。