物理環(huán)境與設(shè)備安全.ppt

1、版權(quán)所有，盜版必糾,第7章 物理環(huán)境與設(shè)備安全,李 劍 北京郵電大學(xué)信息安全中心 E-mail: 電話版權(quán)所有，盜版必糾,概 述,本章先講述物理層的安全威脅，主要包括物理安全環(huán)境和物理安全設(shè)備由于威脅而引起的不可用性。然后講述了要實(shí)現(xiàn)物理安全必須要注意的一些要點(diǎn)。,版權(quán)所有，盜版必糾,目 錄,7.1 物理層安全威脅 7.2 物理層安全防護(hù) 7.3 物理層安全設(shè)備 7.4 物理層管理安全,版權(quán)所有，盜版必糾,7.1 物理層安全威脅,物理層負(fù)責(zé)傳輸比特流。它從第二層數(shù)據(jù)鏈路層（Data Link Layer）接受數(shù)據(jù)Frame，并將Frame的結(jié)構(gòu)和內(nèi)容串行發(fā)送，即每次發(fā)

2、送一個(gè)比特。 網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)主要指由于網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用，而造成網(wǎng)絡(luò)系統(tǒng)的不可用。 例如：設(shè)備被盜、設(shè)備老化、意外故障、無(wú)線電磁輻射泄密等。如果局域網(wǎng)采用廣播方式，那么本廣播域中的所有信息都可以被偵聽(tīng)。,版權(quán)所有，盜版必糾,7.2 物理層安全防護(hù),7.2.1 物理位置選擇 機(jī)房應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；機(jī)房的承重要求應(yīng)滿足設(shè)計(jì)要求；機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁；機(jī)房場(chǎng)地應(yīng)當(dāng)避開(kāi)強(qiáng)電場(chǎng)、強(qiáng)磁場(chǎng)、強(qiáng)震動(dòng)源、強(qiáng)噪聲源、重度環(huán)境污染，易發(fā)生火災(zāi)、水災(zāi)，易遭受雷擊的地區(qū)。,版權(quán)所有，盜版必糾,7.2 物理層安全防護(hù)

3、,7.2.2 物理訪問(wèn)控制 有人值守機(jī)房出入口應(yīng)有專人值守，鑒別進(jìn)入的人員身份并登記在案；無(wú)人值守的機(jī)房門(mén)口應(yīng)具備告警系統(tǒng)；應(yīng)批準(zhǔn)進(jìn)入機(jī)房的來(lái)訪人員，限制和監(jiān)控其活動(dòng)范圍；應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域；應(yīng)對(duì)重要區(qū)域配置電子門(mén)禁系統(tǒng)，鑒別和記錄進(jìn)入的人員身份并監(jiān)控其活動(dòng),并且門(mén)禁可以是帶考勤的，這樣就不用公司現(xiàn)在的考勤卡了?？梢钥紤]每個(gè)員工進(jìn)入公司時(shí)，有一個(gè)身份卡，這樣出了安全問(wèn)題后，容易找到具體實(shí)施的人。服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器要保留15天以上的攝像記錄。,版權(quán)所有，盜版必糾,7.2 物理層安全防護(hù),

4、機(jī)箱，鍵盤(pán)，電腦桌抽屜要上鎖，以確保旁人即使進(jìn)入房間也無(wú)法使用電腦，鑰匙要放在安全的地方。在自己的辦工桌上安上筆記本電腦安全鎖，以防止筆記本電腦的丟失。圖7.1和圖7.2所示為筆記本電腦安全鎖。,版權(quán)所有，盜版必糾,7.2 物理層安全防護(hù),7.2.3 防盜竊和防破壞 應(yīng)將相關(guān)服務(wù)器放置在物理受限的范圍內(nèi)；應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房的防盜報(bào)警系統(tǒng)，以防進(jìn)入機(jī)房的盜竊和破壞行為；應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。,版權(quán)所有，盜版必糾,7.2 物理層安全防護(hù),7.2.4 防雷擊 機(jī)房建筑應(yīng)設(shè)置避雷裝置；應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；應(yīng)設(shè)置交流電源地線。 7.2.5 防火 應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，自動(dòng)檢測(cè)火情

5、，自動(dòng)報(bào)警，并自動(dòng)滅火；機(jī)房及相關(guān)的工作房間和輔助房，其建筑材料應(yīng)具有耐火等級(jí)； 7.2.6 防水和防潮 水管安裝不得穿過(guò)屋頂和活動(dòng)地板下；應(yīng)對(duì)穿過(guò)墻壁和樓板的水管增加必要的保護(hù)措施，如設(shè)置套管；應(yīng)采取措施防止雨水通過(guò)屋頂和墻壁滲透；應(yīng)采取措施防止室內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；,版權(quán)所有，盜版必糾,7.2 物理層安全防護(hù),7.2.7 防靜電 應(yīng)采用必要的接地等防靜電措施；應(yīng)采用防靜電地板。 7.2.8 溫濕度控制 應(yīng)設(shè)置恒溫恒濕系統(tǒng)，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。防塵和有害氣體控制；機(jī)房中應(yīng)無(wú)爆炸、導(dǎo)電、導(dǎo)磁性及腐蝕性塵埃；機(jī)房中應(yīng)無(wú)腐蝕金屬的氣體；機(jī)房中應(yīng)無(wú)破壞絕緣

6、的氣體。,版權(quán)所有，盜版必糾,7.2 物理層安全防護(hù),7.2.9 電力供應(yīng) 機(jī)房供電應(yīng)與其他市電供電分開(kāi)；應(yīng)設(shè)置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；應(yīng)提供短期的備用電力供應(yīng)（如UPS設(shè)備）；應(yīng)建立備用供電系統(tǒng)（如備用發(fā)電機(jī)），以備常用供電系統(tǒng)停電時(shí)啟用。 7.2.10 電磁防護(hù)要求 應(yīng)采用接地方式防止外界電磁干擾和相關(guān)服務(wù)器寄生耦合干擾；電源線和通信線纜應(yīng)隔離，避免互相干擾。,版權(quán)所有，盜版必糾,7.3 物理層安全設(shè)備,我國(guó)2000年1月1日起實(shí)施的計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定第2章第6條規(guī)定，“涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實(shí)行物理隔離”。

7、從此之后，我國(guó)在物理隔離領(lǐng)域不斷有新的產(chǎn)品出現(xiàn)，如物理安全隔離卡、雙硬盤(pán)物理隔離器、物理隔離網(wǎng)閘等。,版權(quán)所有，盜版必糾,7.3 物理層安全設(shè)備,7.3.1 PC物理安全隔離卡 PC網(wǎng)絡(luò)物理安全隔離卡把一臺(tái)普通計(jì)算機(jī)分成兩或三臺(tái)虛擬計(jì)算機(jī)，可以連接內(nèi)部網(wǎng)或外部網(wǎng)，實(shí)現(xiàn)安全環(huán)境和不安全環(huán)境的絕對(duì)隔離，保護(hù)用戶的機(jī)密數(shù)據(jù)和信息免受?chē)?guó)際互聯(lián)網(wǎng)上黑客的威脅和攻擊。圖4.3所示為物理安全隔離卡。,版權(quán)所有，盜版必糾,7.3 物理層安全設(shè)備,1. 技術(shù)特點(diǎn) (1) 內(nèi)外網(wǎng)絕對(duì)隔離 (2) 阻塞信息泄露通道 (3) 應(yīng)用廣泛 (4) 實(shí)現(xiàn)成本低,版權(quán)所有，盜版必糾,7.3 物理層安全設(shè)備,2. 技術(shù)原理 P

8、C網(wǎng)絡(luò)安全隔離卡屬于端設(shè)備物理隔離設(shè)備，通過(guò)物理隔離的方式，在兩個(gè)網(wǎng)絡(luò)間轉(zhuǎn)換時(shí)，保證計(jì)算機(jī)的數(shù)據(jù)在網(wǎng)絡(luò)之間不被重用。根據(jù)本產(chǎn)品設(shè)計(jì)方法：當(dāng)計(jì)算機(jī)進(jìn)入其中一個(gè)網(wǎng)絡(luò)時(shí)，物理隔離部件保證被隔離的計(jì)算機(jī)硬盤(pán)（或硬盤(pán)分區(qū)）及網(wǎng)絡(luò)相互不連通。在計(jì)算機(jī)處于內(nèi)網(wǎng)狀態(tài)時(shí)，物理隔離部件可以禁止用戶使用光、軟驅(qū)。計(jì)算機(jī)轉(zhuǎn)換網(wǎng)絡(luò)時(shí)必須重新啟動(dòng)，清空內(nèi)存，不存在殘留信息泄漏的問(wèn)題。,版權(quán)所有，盜版必糾,7.3 物理層安全設(shè)備,2. 技術(shù)原理,版權(quán)所有，盜版必糾,7.3 物理層安全設(shè)備,2. 技術(shù)原理,版權(quán)所有，盜版必糾,7.3 物理層安全設(shè)備,3. 解決方案 解決方案如圖7.5所示。,版權(quán)所有，盜版必糾,7.3 物理層

9、安全設(shè)備,7.3.2 其他物理隔離設(shè)備 1. 網(wǎng)絡(luò)安全物理隔離器 網(wǎng)絡(luò)安全物理隔離器是一種雙硬盤(pán)物理隔離器，如圖7.6所示。它實(shí)際上只是在兩個(gè)硬盤(pán)之間從物理上交換文件的一個(gè)設(shè)備。其實(shí)現(xiàn)原理和上面的物理隔離網(wǎng)卡相似，只是前面采用網(wǎng)卡的形式，這里采用的是磁盤(pán)的形式,這里就不再贅述。,版權(quán)所有，盜版必糾,7.3 物理層安全設(shè)備,7.3.2 其他物理隔離設(shè)備 1. 網(wǎng)絡(luò)安全物理隔離器,版權(quán)所有，盜版必糾,7.3 物理層安全設(shè)備,2. 物理隔離網(wǎng)閘 物理隔離網(wǎng)閘最早出現(xiàn)在美國(guó)、以色列等國(guó)家的軍方，用以解決涉密網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接時(shí)的安全。我國(guó)也有龐大的政府涉密網(wǎng)絡(luò)和軍事涉密網(wǎng)絡(luò)，但是我國(guó)的涉密網(wǎng)絡(luò)與公共網(wǎng)

10、絡(luò)，特別是與互聯(lián)網(wǎng)是無(wú)任何關(guān)聯(lián)的獨(dú)立網(wǎng)絡(luò)，不存在與互聯(lián)網(wǎng)的信息交換，也用不著使用物理隔離網(wǎng)閘解決信息安全問(wèn)題。所以，在電子政務(wù)、電子商務(wù)之前，物理隔離網(wǎng)閘在我國(guó)因無(wú)市場(chǎng)需求，產(chǎn)品和技術(shù)發(fā)展較慢。,版權(quán)所有，盜版必糾,7.3 物理層安全設(shè)備,(1) 物理隔離網(wǎng)閘的定義 物理隔離網(wǎng)閘是使用帶有多種控制功能的固態(tài)開(kāi)關(guān)讀寫(xiě)介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無(wú)協(xié)議“擺渡”，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有“讀”和“寫(xiě)”兩個(gè)命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷

11、了具有潛在攻擊可能的一切連接，使“黑客”無(wú)法入侵、無(wú)法攻擊、無(wú)法破壞，實(shí)現(xiàn)了真正的安全。,版權(quán)所有，盜版必糾,7.3 物理層安全設(shè)備,(2) 物理隔離網(wǎng)閘的信息交換方式 計(jì)算機(jī)網(wǎng)絡(luò)依據(jù)物理連接和邏輯連接來(lái)實(shí)現(xiàn)不同網(wǎng)絡(luò)之間、不同主機(jī)之間、主機(jī)與終端之間的信息交換與信息共享。物理隔離網(wǎng)閘既然隔離、阻斷了網(wǎng)絡(luò)的所有連接，實(shí)際上就是隔離、阻斷了網(wǎng)絡(luò)的連通。網(wǎng)絡(luò)被隔離、阻斷后，兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間如何進(jìn)行信息交換？網(wǎng)絡(luò)只是信息交換的一種方式，而不是信息交換方式的全部。在互聯(lián)網(wǎng)時(shí)代以前，信息照樣進(jìn)行交換，如數(shù)據(jù)文件復(fù)制、數(shù)據(jù)擺渡、數(shù)據(jù)鏡像、數(shù)據(jù)反射等，物理隔離網(wǎng)閘就是使用數(shù)據(jù)“擺渡”的方式實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間

12、的信息交換。,版權(quán)所有，盜版必糾,7.3 物理層安全設(shè)備,(2) 物理隔離網(wǎng)閘的信息交換方式 當(dāng)內(nèi)網(wǎng)與專網(wǎng)之間無(wú)信息交換時(shí)，物理隔離網(wǎng)閘與內(nèi)網(wǎng)，物理隔離網(wǎng)閘與專網(wǎng)，內(nèi)網(wǎng)與專網(wǎng)之間是完全斷開(kāi)的，即三者之間不存在物理連接和邏輯連接，如圖7.7所示。,版權(quán)所有，盜版必糾,7.3 物理層安全設(shè)備,(2) 物理隔離網(wǎng)閘的信息交換方式 在寫(xiě)入之前，根據(jù)不同的應(yīng)用，還要對(duì)數(shù)據(jù)進(jìn)行必要的完整性、安全性檢查，如病毒和惡意代碼檢查等。在此過(guò)程中，專網(wǎng)服務(wù)器與物理隔離網(wǎng)閘始終處于斷開(kāi)狀態(tài)，如圖7.8所示。,版權(quán)所有，盜版必糾,7.3 物理層安全設(shè)備,(2) 物理隔離網(wǎng)閘的信息交換方式 專網(wǎng)服務(wù)器收到數(shù)據(jù)后，按TCP

13、/IP協(xié)議重新封裝接收到的數(shù)據(jù)，交給應(yīng)用系統(tǒng)，完成了內(nèi)網(wǎng)到專網(wǎng)的信息交換，詳見(jiàn)圖7.9所示。,版權(quán)所有，盜版必糾,7.3 物理層安全設(shè)備,外部處理單元； 內(nèi)部處理單元； 隔離硬件。 (4) 物理隔離網(wǎng)閘的主要安全模塊 安全隔離模塊：隔離硬件在兩個(gè)網(wǎng)絡(luò)上進(jìn)行切換，通過(guò)對(duì)硬件上的存儲(chǔ)芯片的讀寫(xiě)，完成數(shù)據(jù)的交換。 保證兩個(gè)網(wǎng)絡(luò)在鏈路層斷開(kāi)，不與兩個(gè)網(wǎng)絡(luò)同時(shí)連接，兩個(gè)網(wǎng)絡(luò)交換的數(shù)據(jù)必須是剝離TCP/IP協(xié)議后在應(yīng)用層之上進(jìn)行。,版權(quán)所有，盜版必糾,7.3 物理層安全設(shè)備,(3) 物理隔離網(wǎng)閘的組成 外部處理單元； 內(nèi)部處理單元； 隔離硬件。 (4) 物理隔離網(wǎng)閘的主要安全模塊 安全隔離模塊：隔離硬件在

14、兩個(gè)網(wǎng)絡(luò)上進(jìn)行切換，通過(guò)對(duì)硬件上的存儲(chǔ)芯片的讀寫(xiě)，完成數(shù)據(jù)的交換。 保證兩個(gè)網(wǎng)絡(luò)在鏈路層斷開(kāi)，不與兩個(gè)網(wǎng)絡(luò)同時(shí)連接，兩個(gè)網(wǎng)絡(luò)交換的數(shù)據(jù)必須是剝離TCP/IP協(xié)議后在應(yīng)用層之上進(jìn)行。,版權(quán)所有，盜版必糾,7.3 物理層安全設(shè)備,(3) 物理隔離網(wǎng)閘的組成 外部處理單元； 內(nèi)部處理單元； 隔離硬件。 (4) 物理隔離網(wǎng)閘的主要安全模塊 安全隔離模塊：隔離硬件在兩個(gè)網(wǎng)絡(luò)上進(jìn)行切換，通過(guò)對(duì)硬件上的存儲(chǔ)芯片的讀寫(xiě)，完成數(shù)據(jù)的交換。 保證兩個(gè)網(wǎng)絡(luò)在鏈路層斷開(kāi)，不與兩個(gè)網(wǎng)絡(luò)同時(shí)連接，兩個(gè)網(wǎng)絡(luò)交換的數(shù)據(jù)必須是剝離TCP/IP協(xié)議后在應(yīng)用層之上進(jìn)行。,版權(quán)所有，盜版必糾,7.3 物理層安全設(shè)備,版權(quán)所有，盜版必

15、糾,7.4 物理層管理安全,7.4.1 內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離管理 公司內(nèi)部的研發(fā)網(wǎng)與外面的因特網(wǎng)是完全從物理上隔離的(沒(méi)有網(wǎng)線直接相接)。這樣從物理上隔離可以防止公司的核心代碼被見(jiàn)外網(wǎng)上黑客盜用，也可以防止公司內(nèi)部人員將公司代碼“偷”出去，也最大程度上防止了來(lái)自外部惡意的入侵行為(如網(wǎng)上的病毒等)。如圖7.11所示。,版權(quán)所有，盜版必糾,7.4 物理層管理安全,(1) 設(shè)置專門(mén)的上網(wǎng)區(qū)域（在研發(fā)區(qū)以外），叫它上網(wǎng)緩沖區(qū)。這個(gè)上網(wǎng)緩沖區(qū)，可以自由上因特網(wǎng)網(wǎng)絡(luò)來(lái)查找資料。供需要上因特網(wǎng)的研發(fā)員工上網(wǎng)。但是上網(wǎng)緩沖區(qū)與研發(fā)區(qū)是物理隔離的，沒(méi)有任何形式的聯(lián)接。 (2) 給重要員工配置筆記本，通過(guò)無(wú)線

16、方式，上因特網(wǎng)來(lái)查找資料。,版權(quán)所有，盜版必糾,7.4 物理層管理安全,7.4.2 內(nèi)部網(wǎng)絡(luò)的安全管理 剛才說(shuō)了，研發(fā)區(qū)與因特網(wǎng)是物理隔離的，所以為了進(jìn)一步的安全考慮，控制研發(fā)區(qū)里的傳輸介質(zhì)就顯得尤其重要了。在研發(fā)區(qū)里，對(duì)于傳輸介質(zhì)的控制，采用的是一個(gè)多層次、多方面的控制措施。這樣可以最大程度上防止公司核心成果的外漏。特別是公司內(nèi)部人員將公司機(jī)密泄漏。 (1) 禁止公司員工將自己的筆記本電腦、U盤(pán)和MP3等傳輸介質(zhì)帶入公司，一經(jīng)發(fā)現(xiàn)，嚴(yán)肅處理。如果非人使用U盤(pán)等傳輸介質(zhì)來(lái)傳輸文件，則必需要通過(guò)公司的專門(mén)人員一完成(比如公司安全管理員)。禁止公司員工將公司的筆記本電腦帶回家。,版權(quán)所有，盜版必糾

17、,7.4 物理層管理安全,(2) 對(duì)于研發(fā)網(wǎng)機(jī)器上的U盤(pán)接口、串口、并口等采用帶有公司公章的封條封上。封條封的時(shí)候要注意，要選擇那種一碰就容易破的紙。并且在封之前，最好再給里面塞滿紙。這樣做的話，試想如果有人想要往里插線的話，還要將里面的紙取出。這時(shí)外面的封條早都破了。 (3) 將研發(fā)網(wǎng)機(jī)器內(nèi)部U盤(pán)接口、串口和并口等的接口線拔掉。 (4) 將機(jī)箱上鎖。 (5) 從機(jī)器BIOS設(shè)置里面將U盤(pán)接口，串口和并口等去掉。 (6) 如果員工要從內(nèi)部向外部，或多外部向內(nèi)容拷貝資料，則必須通過(guò)專門(mén)的安全管理人員。,版權(quán)所有，盜版必糾,7.4 物理層管理安全,(7) 最好不用文件刪除技術(shù)，而用文件粉碎或擦除技術(shù)。 (8) 將計(jì)算機(jī)上的IP地址與MAC地址綁定，這一點(diǎn)可以通過(guò)交換機(jī)來(lái)實(shí)現(xiàn)。除此之外，還要將計(jì)算機(jī)上的網(wǎng)線用帶有公司公章的封條封上