《信息安全管理第四章物理安全课件》由会员分享,可在线阅读,更多相关《信息安全管理第四章物理安全课件(95页珍藏版)》请在金锄头文库上搜索。
1、第4章 物理安全,4.1概述,4.2设备安全,4.3环境安全,4.4人员安全,4.1概述,4.1概述,物理安全是保护计算机设备、设施(网络及通信线路)免遭地震、水灾、火灾等环境事故和人为操作失误或错误及各种计算机犯罪行为破坏的措施和过程。 保证计算机信息系统各种设备的物理安全是保证整个信息系统安全的前提。,支付宝机房电缆被挖断 部分区域服务中,2015年5月27日下午,部分用户反映其支付宝出现网络故障,账号无法登录或支付。支付宝官方表示,该故障是由于杭州市萧山区某地光纤被挖断导致,这一事件造成部分用户无法使用支付宝。随后支付宝工程师紧急将用户请求切换至其他机房,受影响的用户逐步恢复。,暖气跑水
2、,洪水肆虐大贤村,7月19日凌晨1点多,一场突如其来的洪水改变了河北邢台市东汪镇大贤村2000多村民的生活。村子北边七里河的大水漫过河堤决口,夺走了大贤村9条生命,冲垮了多座房屋和厂房。,911事件,恐怖袭击 破坏信息数据 几乎所有没有进行远程备份的企业都蒙受巨大数据损失 倒闭,携程网内部员工误删除代码 网站整体宕机12小时,2015年5月28日上午11:09,携程官网和App客户端大面积瘫痪,多项功能无法使用,直至晚上22时45分,携程官方才确认除个别业务外,携程网站及APP恢复正常,数据没有丢失。而造成事故原因“内部人员错误操作导致”。业内分析,若按携程一季度营收3.37亿美元估算,“宕机
3、”一小时的平均损失为106.48万美元,从瘫痪到修复,携程“宕机”近12小时,算下来总损失超过1200万美元,折合人民币7400多万。,1011虹桥机场跑道入侵事件,1011虹桥机场跑道入侵事件,10月21日,民航局对该事件作出处理:认定该事件是一起因塔台管制员遗忘动态、指挥失误而造成的人为原因严重事故征候,分别给予华东空管局、华东空管局管制中心、华东空管局安全管理部13名领导干部党内警告、严重警告和行政记过、撤职处分;吊销当班指挥席和监控席管制员执照,当班指挥席管制员终身不得从事管制指挥工作;对成功化解危机的东航A320客机当班机长何超记一等功并给予相应奖励。,4.1概述,物理安全的主要威胁
4、有: 1、自然灾害。主要包括鼠蚁虫害、洪灾、火灾、地震等。 2、电磁环境影响。主要包括断电、电压波动、静电、电磁干扰等。 3、物理环境影响。主要包括灰尘、潮湿、温度等。 4、软硬件影响。由于设备硬件故障、通信链中断、系统本身或软件缺陷造成对信息系统安全可用的影响。,4.1概述,5、物理攻击。物理接触、物理破坏、盗窃 6、无作为或操作失误。 7、管理不到位。 8、越权或滥用。 9、设计、配置缺陷设计阶段存在明显的系统可用性漏洞、系统未能正确有效地配置。系统扩容和调节引起的错误。,4.1概述,针对不同的物理安全威胁,产生了三类主要的物理安全需求:设备安全、环境安全和人员安全。 1、设备安全 设备安
5、全包括各种电子信息设备的安全防护。 2、环境安全 要保证信息系统的安全、可靠,必须保证系统实体有一个安全环境条件。 3、人员安全 无论环境和设备怎样安全,对机器设备提供了多么好的工作环境,外部安全做得怎样好,如果对人员不加控制,那么所谓系统的安全是没有丝毫意义的。 信息系统除应加强管理内部人员的行为外,还应严防外部人员的侵袭。,4.1概述,国家保密保准 BMB1-1994电话机电磁泄漏发射限值和测试方法 BMB4-2000电磁干扰器技术要求和测试方法 GGBB1-1999信息设备电磁泄漏发射限值 GGBB2-1999信息设备电磁泄漏发射测试方法 BMZ1-2000涉及国家秘密的计算机信息系统保
6、密技术要求 BMZ3-2001涉及国家秘密的计算机信息系统安全保密测评指南 电子行业标准:SJ/T,4.1概述,国外标准 ECMA European Computer Manufactures Association 欧洲计算机制造联合会,旨在建立统一的电脑操作格式标准包括程序语言和输入输出的组织。 FIPS Federal Information Processing Standards 联邦信息处理标准,是一套描述文件处理、加密算法和其他信息技术标准(在非军用政府机构和与这些机构合作的政府承包商和供应商中应用的标准)的标准。 DODI Department of Defense Instr
7、uction美国国防部指令 DODD Department of Defense Directive 美国国防部指示,4.2设备安全,4.2.1防盗和防毁,宿舍安全,4.2.1防盗和防毁,4.2.1防盗和防毁,设备的安置与保护可以考虑以下原则: 设备的布置应有利于减少对工作区的不必要的访问。 敏感数据的信息处理与存储设施应当妥善放置,降低在使用期间内对其缺乏监督的风险。 要求特别保护的项目与存储设施应当妥善放置,降低在使用期间内对其缺乏监督的风险;要求特别保护的项目应与其他设备进行隔离,以降低所需保护的等级。 采取措施,尽量降低盗窃、火灾等环境威胁所产生的潜在的风险。 考虑实施“禁止在信息处理
8、设施附近饮食、饮水和吸烟”等。,4.2.1防盗和防毁,防盗、防毁主要措施: (1)设置报警器。在机房周围空间放置浸入报警器。侵入报警的形式主要有:光电、微波、红外线和超声波。 (2)锁定装置。在计算机设备中,特别是个人计算机中设置锁定装置,以防犯罪盗窃。 (3)计算机保险。在计算机系统受到侵犯后,可以得到损失的经济补偿,但是无法补偿失去的程序和数据,为此应设置一定的保险装置。 (4)列出清单或绘制位置图。,思考,如何打开机房的房门?,4.2.2防电磁泄露,计算机设备包括主机、磁盘机、磁带机、终端机、打印机等所有设备都会不同程度地产生电磁辐射造成信息泄露。 1.抑制电磁信息泄漏的技术途径 计算机
9、信息泄露主要有两种途径:一是被处理的信息会通过计算机内部产生的电磁波向空中发射,称为辐射发射;二是这种含有信息的电磁波也可以通过计算机内部产生的电磁波向空中发射,称为传导发射。,4.2设备安全,目前,抑制计算机中信息泄露的技术途径有两种: 一是电子隐蔽技术, 二是物理抑制技术。 电子隐蔽技术主要是用干扰、调频等技术来掩饰计算机的工作状态和保护信息;物理抑制技术则是抑制一切有用信息的外泄。 物理抑制技术可分为包容法和抑源法。 包容法主要是对辐射源进行屏蔽,以阻止电磁波的外泄传播;抑源法就是从线路和元器件入手,从根本上阻止计算机系统向外辐射电磁波,消除产生较强电磁波的根源。,4.2设备安全,2、电
10、磁辐射防护措施 (1)选用低辐射设备 (2)利用噪声干扰源 (3)采取屏蔽措施 (4)距离防护 (5)采用微波吸收材料 (6)传导线路防护,4.2设备安全,4.2.3设备管理 1 设备维护 设备应进行正确维护,以确保其持续的可用性及完整性。设备维护不当会引起设备故障,从而造成信息不可用甚至不完整。因此,组织应按照设备维护手册的要求和有关维护规程对设备进行适当的维护,确保设备处于良好的工作状态。,维护:检查、保养、升级、优化、维修,我们的大桥, 再见! 是为了再见!,设备维护,设备维护相关措施如下: (1)按照供应商推荐的保养时间间隔和规范进行设备保养; (2)只有经授权的维护人员才能维修和保养
11、设备; (3)维修人员应具备一定的维修技术能力; (4)应当把所有可疑故障和实际发生的事故记录下来; (5)当将设备送外进行保养时,应采取适当的控制,防止敏感信息的泄露。,设备的处置和重复利用,设备在报废或再利用前,应当清除存储在设备中的信息。信息设备到期报废或被淘汰需处置时,或设备改为他用时,处理不当会造成敏感信息的泄露。 设备的处置和重复利用可采取的措施有: (1)在设备处置或征得利用之前,组织应采取适当的方法将设备内存储媒体的敏感数据及许可的软件清除; (2)应在风险评估的基础上履行审批手续,以决定对设备内装有敏感数据的存储设备的处置方法消磁、物理销毁、报废或重新利用。,设备的转移,未经
12、授权,不得将设备、信息或软件带离工作场地。 在未经授权的情况下,不应让设备、信息或软件离开办公场地; 应识别有权允许资产移动,离开办公场地的雇员、合同方和第三方用户; 应设置设备移动的时间限制,并在返还时执行一致性检查。必要时可以删除设备中的记录,当设备返还时,再恢复记录。,4.2设备安全,4.2.4电源安全 计算机系统对电源的基本要求,一是电压要稳,二是计算机工作时不能停电。 电源调整器和UPS不间断电源可向计算机系统提供稳定、不间断的电源。,电源安全,1电源调整器 电源调整器有三种: (1)隔离器。 (2)稳压器。 (3)滤波器。,电源安全,2不间断电源(UPS, Uninterrupti
13、ble Power System ) (1)持续供电型UPS (2)马达发电机 (3)顺向转换型UPS (4)逆向转换型UPS,4.2设备安全,4.2.5介质安全 存储媒介安全包括媒介本身的安全及媒介数据的安全。 媒介本身的安全保护,指防盗、防毁、防霉等。 媒体数据的安全保护,指防止记录的信息不被非法窃取、篡改、破坏或使用。,介质安全,计算机系统的记录按其重要性和机密程度进行分类 (1)一类记录关键性记录 (2)二类记录重要记录 (3)三类记录有用记录 (4)四类记录不重要记录,4.2设备安全,为了保证一般介质的存放安全和使用安全,介质的存放和管理应有相应的制度和措施: 存放有业务数据或程序的
14、介质,必须注意防磁、防潮、防火、防盗; 对硬盘上的数据,要建立有效的级别、权限,并严格管理,必要时要对数据进行加密,以确保硬盘数据的安全; 存放业务数据或程序的介质,管理必须落实到人,并分类建立登记簿;,4.2设备安全,对存放有重要信息的介质,要备份两份并分两处保管; 打印有业务数据或程序的打印纸,要视同档案进行管理; 凡超过数据保存期的介质,必须经过特殊的数据清除处理; 凡不能正常记录数据的介质,必须经过测试确认后销毁; 对删除和销毁的介质数据,应采取有效措施,防止被非法复制; 对需要长期保存的有效数据,应在介质的质量保证期内进行转储,转储时应确保内容正确。,4.2设备安全,移动存储介质按其
15、存储信息的重要性和机密程度,可分为涉密移动存储介质、内部移动存储介质、普通移动存储介质。 涉密移动存储介质是指用于存储国家秘密信息的移动存储介质。 内部移动存储介质是指用于存储不宜公开的内部工作信息的移动存储介质。 普通移动存储介质是指用于存储公开信息的移动存储介质。,U盘,手机,手机存储卡TF卡,移动硬盘,光盘,云盘,56T,云盘,4.3环境安全,4.3环境安全,环境安全强调的是对系统所在环境的安全保护,包括机房环境条件、机房安全等级、机房场地的环境选择、机房的建设、机房的装修和计算机的安全防护等。,4.3环境安全,4.3.1机房安全 1.机房的组成 计算机机房一般由主机房、基本工作间和辅助
16、房间等组成。 (1)主机房:用以安装主机及其外部设备、路由器、交换机等骨干网络设备。 (2)基本工作房间有:数据录入室、终端室、网络设备室、已记录的媒体存放间、上机准备间。 (3)第一类辅助房间有:备件间、未记录的媒体存放间、资料室、仪器室、硬件人员办公室、软件人员办公室。 (4)第二类辅助房间有:维修室、电源室、蓄电池室、发电机室、空调系统用房、灭火钢瓶间、监控室、值班室。 (5)第三类辅助房间有:贮藏室、更衣换鞋室、缓冲间、机房人员休息室、盥洗室等。,4.3环境安全,2.机房安全级别 根据GBT 93611988计算站场地安全要求中关于“计算机机房的安全分类”划分,机房安全等级分为A、B、C三级。 A类:对计算机机房的安全有严格的要求,有完善的计算机机房安全措施。该类机房放置需要最高安全性和可靠性的系统和设备。 B类:对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施。它的安全性介于A类和C类之间。 C类:对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。该类机房存放只需要最低限度的
