第5章物理与环境安全技术

5.1物理安全概念与要求

5.1.1 概念

  传统上的物理安全也称为实体安全，是指包括环境、设备和记录介质在内的所有支持网络信息系统运行的硬件的总体安全，是网络信息系统安全、可靠、不间断运行的基本保证，并且确保在信息进行加工处理、服务、决策支持的过程中，不致因设备、介质和环境条件受到人为和自然因素的危害，而引起信息丢失、泄露或破坏以及干扰网络服务的正常运行。

  广义上的物理安全是指由硬件，软件，操作人员，环境组成的人、机、物融合的网络信息物理系统安全

5.1.2 物理安全威胁

  物理安全是网络信息系统安全运行、可信控制的基础。常见的物理安全威胁有（传统）：

  随着网络攻击技术的发展，物理系统安全面临硬件攻击的威胁，与传统的物理安全威胁比较，新的硬件威胁更具有隐蔽性、危害性，攻击具有主动性和非临近性。下面给出常见的==硬件攻击技术==

1. 硬件木马
     硬件木马通常是指在集成电路芯片（IC）中被植入的恶意电路，当被某种方式激活后，会改变IC的原有功能和规格，导致信息泄露或失去控制，带来非预期的行为后果，造成不可逆的重大危害。IC整个生命周期内的研发设计、生产制造、封装测试以及应用都可能被植入恶意硬件逻辑，形成硬件木马，如图所示

2. 硬件协同的恶意代码：该硬件可以使得非特权的软件访问特权的内存区域。Cloaker是硬件支持的Rootkit（后面会学）

2008年 Samuel T.King 等研究人员设计和实现了一个恶意的硬件，该硬件可以使得非特权的软件访问特权的内存区域。Cloaker是硬件支持的Rootkit，如图5-3所示

3. 硬件安全漏洞利用：硬件同样存在致命的安全漏洞。硬件安全漏洞对网络信息安全的影响更具有持久性和破坏性。2018年1月发现的熔断（Meltdown）和幽灵（Spectre） CPU漏洞属于硬件安全漏洞

4. 基于软件漏洞攻击硬件实体：利用控制系统的软件漏洞，修改物理实体的配置参数，使得物理实体处于一个非正常运行状态，从而导致物理实体受到破坏。（“震网”病毒就是一个物理攻击实体的真实案例）

5. 基于环境攻击计算机攻击硬件实体：利用计算机系统所依赖的外部环境缺陷，恶意破坏或改变计算机系统的外部环境，如电磁波、磁场、温度、空气湿度等，导致计算机系统出现问题

5.1.3 物理安全保护

  一般来说，物理安全保护主要从以下方面采取安全保护措施，防范物理安全威胁：

1. 设备物理安全：设备物理安全的安全技术要素主要有设备的标志和标记、防止电磁信息泄露、抗电磁干扰、电磁保护以及设备震动、碰撞、冲击适应性等方面
2. 环境物理安全：环境物理安全的安全技术要素主要有机房场地的选择、机房屏蔽、防火、防水、防雷、防鼠、防盗、防毁、供配电系统、空调系统、综合布线和区域防护等方面
3. 系统物理安全：系统物理安全的安全技术要素主要有存储介质安全、灾难备份与恢复、物理设备访问、设备管理和保护、资料利用等

物理安全保护的方法主要是安全合规、访问控制、安全屏蔽、故障容错、安全监测与预警、供应链安全管理和容灾备份等

5.1.4 物理安全规范（记重点部分）

  《信息物理安全技术要求（GB/T 21052——2007）》将信息系统的物理安全进行了分级，并给出设备物理安全、环境物理安全、系统物理安全的各级应对的保护要求，具体要求目标如下

• 第一级物理安全平台为第一级用户自主保护级提供基本的物理安全保护；
• 第二级物理安全平台为第二级系统审计保护级提供适当的物理安全保护；
• 第三级物理安全平台为第三级安全标记保护级提供较高程度的物理保护；
• 第四级物理安全平台为第四级结构化保护级提供更高程度的物理安全保护。

5.2物理环境安全分析与防护

  物理环境安全是计算机设备、网络设备正常运行的保障。物理环境安全防护对象，主要包括防火、防水、防震、防盗、防鼠虫、防雷、防磁电、防静电和供电安全

5.3机房安全分析与防护

算是重点，之前出过考试选择题

5.3.1 机房功能区域组成

  按照《计算机场地通用规范（GB/T 2887——2011》的规定，计算机机房可选用下列房间（允许一室多用或酌情增减）：

（1）主要工作房间：主机房、终端室等；

（2）第一类辅助房间：低压配电房、不间断电源室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室等；（一般都是放设施设备的房间）

（3）第二类辅助房间：资料室、维修室、技术人员办公室等；

（4）第三类辅助房间：储藏室、缓冲间、技术人员休息室等

5.3.2 机房等级划分

根据《计算机场地安全要求（GB/T 9361——2011）》，计算机机房安全等级分为A级、B级、C级三个基本级别。

A级：计算机运行中断后，会对国家安全、社会秩序、公共利益造成严重损害的；对计算机机房安全有严格要求，有完善的计算机机房安全措施
B级：计算机系统运行中断后，会对国家安全、社会秩序、公共利益造成较大损害的；对计算机机房的安全有较严格的要求，有较完善的计算机机房安全措施
C级：不属于 A、B级的情况；对计算机机房的安全有基本的要求，有基本的计算机机房安全措施。

计算机机房不同等级的安全级别要求如表 5-1所示。

5.3.3 机房场地选择要求

1. 环境安全性：避开危险来源区、避开环境污染区、避开盐雾区、避开落雷区域
2. 地质可靠性：建立在稳固的地质区域上、避开地质不牢靠的区域、避开采矿崩落区、应避开低洼、潮湿区域
3. 场地抗电磁干扰性：避开或远离无线电干扰源和微波线路的强电磁场干扰场所、避开电流冲击和强电磁干扰的场所（200米）
4. 应避开强震动源和强噪声源：便可震动源；避开机场、火车站和车辆来往比较屏藩的区域以及噪声区；远离主要通道，避免机房窗户直接临街
5. 应避免设在建筑物的高层以及用水设备的下层或隔壁

5.3.4 数据中心建设与涉及要求

  数据中心基本上就是机房，但谈到规模，说数据中心比较高大上点（后半句话我个人理解）

• 超大数据中心——大于等于10000个标准机架
• 大型数据中心——大于等于3000个小于10000个标准机架
• 中小型数据中心——小于3000个标准机架的数据中心

  数据中心的划分如下：

5.3.5互联网数据中心

互联网数据中心(简称IDC)是一类向用户提供资源出租基本业务和有关附加业务、在线提供 IT 应用平台能力租用服务和应用软件租用服务的数据中心。用户通过使用互联网数据中心的业务和服务，实现用户自身对外的互联网业务和服务。
IDC一般由机房基础设施、网络系统、资源系统、业务系统、管理系统和安全系统六大逻辑功能部分组成，如图 5-4所示。

《互联网数据中心工程技术规范(GB51195-2016)》规定IDC机房分成R1、R2、R3 三个级别。其中，各级 IDC机房要求如下:

• R1级IDC机房的机房基础设施和网络系统的主要部分应具备一定的冗余能力,机房基础设施和网络系统可支撑的 IDC业务的可用性不应小于99.5%;
• R2级IDC机房的机房基础设施和网络系统应具备冗余能力,机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.9%;
• R3级IDC机房的机房基础设施和网络系统应具备容错能力,机房基础设施和网络系统可支撑的 IDC业务的可用性不应小于 99.99%。

《互联网数据中心工程技术规范(GB51195-2016)》自2017年4月1日起实施。其中，第 1.0.4、4.2.2条为强制性条文，必须严格执行。强制性条文内容具体如下:

• 1.0.4在我国抗震设防烈度7度以上(含7度)地区IDC工程中使用的主要电信设备必须经电信设备抗震性能检测合格。
• 4.2.2 施工开始以前必须对机房的安全条件进行全面检查，应符合下列规定。
  1. 机房内必须配备有效的灭火消防器材,机房基础设施中的消防系统工程应施工完毕，并应具备保持性能良好，满足IT设备系统安装、调测施工要求的使用条件。
  2. 楼板预留孔洞应配置非燃烧材料的安全盖板，已用的电缆走线孔洞应用非燃烧材料封堵。
  3. 机房内严禁存放易燃、易爆等危险物品。
  4. 机房内不同电压的电源设备、电源插座应有明显区别标志。

5.3.6 CA 机房物理安全控制

CA 机房物理安全是认证机构设施安全的重要保障，国家密码管理局发布《电子政务电子认证服务业务规则规范》，对CA机房的物理安全提出了规范性要求。

5.4网络通信线路安全分析与防护

往年 没考过，熟悉一下

5.4.1 分析

  网络通信线路连接着网络系统中的各节点，是网络信息和数据交换的基础。网络通信线路常见的物理安全威胁主要有如下

1. 网络通信线路被切断
2. 网络通信线路被电磁干扰
3. 网络通信线路泄露信息

5.4.2 防护

  一般从两个方面采取安全措施：一是网络通信设备；二是网络通信线路。

对重要的核心网络设备，例如路由器、交换机，为了防止这些核心设备出现单点安全故障，一般采取设备冗余，即设备之间互为备份
对网络通信线路的安全措施也是采取多通路通信的方式，例如网络的连接可以通过DDN专线和电话线。
  下图是某ISP的网络拓扑结构。由图可知，该ISP在网络通信上采取了冗余解决办法，首先是核心交换机器和路由器都实现交叉互联；其次，ISP与外部网络的连接有两个出口。

5.5设备实体安全分析与防护

5.5.1分析

设备实体环境关联安全威胁 （如机房空调运行不良，导致设备温度过高引发故障）
设备实体被盗取或损害
设备实体受到电磁干扰
设备供应链条中断货延缓
设备实体的固件部分遭受攻击（计算机BIOS被破坏)
设备遭受硬件攻击（硬件木马攻击、设备CPU存在安全漏洞）
设备实体的控制组件安全威胁（如存储设备的存储控制软件存在安全漏洞）
设备非法外联（如涉密设备连接到互联网）

5.5.2 设备实体安全防护

  按照国家标准GB/T 21052-2007，设备实体的物理安全防护技术措施主要如下：

设备的标志和标记（即产品名称、型号、制造厂商名称、安全符号、国家规定的3C认证标志等）
设备电磁辐射防护
设备静电及用电安全防护
设备磁场抗扰（主要包括公频磁场抗扰、脉冲磁场抗扰）
设备环境安全保护（防过热、阻燃、防爆裂）
设备适应性与可靠性保护

5.5.3 设备硬件攻击防护

硬件木马检测
  硬件木马检测方法有反向分析法、功耗分析法、侧信道分析法。

1反向分析法是通过逆向工程方法将封装（或管芯）的芯片电路打开，逐层扫描拍照电路，然后使用图形界面分析软件和电路提取软件重建电路结构图，将恢复出的设计与原始设计进行对比分析，以检测硬件木马。
2功耗分析法通过获取芯片的功耗特征，通过K.L扩展分析法生成芯片指纹，再将待测芯片与“纯净芯片”的功耗特征进行对比，以判断芯片是否被篡改。
3侧信道分析法是通过对比电路中的物理特性和旁路信息的不通，发现电路的变化，其技术原理是任何硬件电路的改变都会反映在一些电路参数上，如功率、时序、电磁、热等。

侧信道分析法是通过比对电路中的物理特性和旁路信息的不同，发现电路的变化，其技术原理是任何硬件电路的改变都会反映在一些电路参数上，如功率、时序、电磁、热等，其流程如图5-6所示。

硬件漏洞处理
  硬件漏洞不同于软件漏洞，其修补具有不可逆性。通常方法是破坏漏洞利用条件，防止漏洞被攻击者利用。

5.6存储介质安全分析与防护

5.6.1 存储介质安全分析

  存储介质的安全是网络安全管理的重要环节，损坏或非法访问存储介质将造成系统无法启动、信息泄密、数据受损害等安全事故。存储介质及存储设备系统主要的安全威胁有以下几个方面

• 存储管理失效（缺少必要的存储管理制度、流程和技术管理措施）
• 存储数据泄密（缺少安全保护措施，导致未授权拷贝、查看）
• 存储介质及存储设备故障（缺少安全保障技术，不能防止存储操作容错；存储介质与存储设备控制系统缺少配合，导致存储设备无法正常运行）
• 存储介质数据非安全删除（没有采用安全删除技术，使得攻击者利用数据恢复工具，还原原有的数据）
• 恶意代码攻击 （如勒索病毒，使得相关操作无法进行）

5.6.2 存储介质安全防护(背)

  常用的存储介质安全防护措施有以下几种

• 强化存储安全管理
• 数据存储加密保存
• 容错容灾存储技术：对于重要的系统及数据资源，采用磁盘阵列、双机在线备份、离线备份等综合安全措施保护存储数据及相关系统的正常运行。（备份针对数据、容灾针对系统）如图就是某行业系统推荐的网络基础设施平台硬件系统高级配置解决方案。其中采用了离线备份、磁盘列阵等相关技术。
  

  5.7 本章小结

  物理安全是网络系统安全、可靠、不间断运行的基础。本章首先引入物理安全的概念和物理安全的标准规范;然后围绕物理安全的需求，分别介绍了网络物理安全常见方法、机房安全、网络通信线路安全、存储介质安全等。