第 4 章 物理安全技术
本章要点 信息系统的物理安全涉及到整个系统的配套部件、设备和设施的安全性能、所处的环境安全以及整个系统可靠运行等方面,是信息系统安全运行的基本保障。 本章根据最新的国家标准“信息安全技术 信息系统物理安全技术要求”(GB/T 21052-2007),针对GB 17859-1999的五个安全等级的划分,提出相应的物理安全技术要求。
一、物理安全概述 1、信息系统的物理安全 信息系统的物理安全涉及到整个系统的配套部件、设备和设施的安全性能、所处的环境安全以及整个系统可靠运行等三方面,是信息系统安全运行的基本保障。 硬件设备的抗电磁干扰能力、防电磁信息泄露能力、电源保护能力以及设备振动、碰撞、冲击适应性等安全性能直接决定了信息系统的保密性、完整性、可用性。 信息系统所处物理环境的优劣,如机房防火、防水、防雷、防静电、防盗防毁能力,供电能力,通信线路安全等,直接影响了信息系统的可靠性。 物理安全的概念:指为了保证信息系统安全可靠运行,确保信息系统在对信息进行采集、处理、传输、存储过程中,不致受到人为或自然因素的危害,而使信息丢失、泄露或破坏,对计算机设备、设施(包括机房建筑、供电、空调等)、环境人员,系统等采取适当的安全措施。
一、物理安全概述 2、信息系统物理资产 1.物理设施 2.硬件资产 3.软件资产 物理设施包话场地、机房、电力供给(负荷量及冗余、备份、净化)、灾难应急(防水、防火、地震、雷击等),文档及介质存储。 2.硬件资产 (1)计算机; (2)网络设备; (3)中间件设备:如卫星接受机、行情处理等专用微机或工作站; (4)传输介质及转换器; (5)输入/输出设备:包括键盘、电话机、传真机、扫描仪、打印机等; (6)存储介质; (7)监控设备:包括摄像机、监视器、电视机、报警装置。 3.软件资产 (1)计算机操作系统:包括Unix、Windows、HP-UX、其他计算机操作系统; (2)网络操作系统:包括IOS、Novell Netware、SNA等; (3)通用应用软件:包括MS Word、E-mail、Web服务/发布与浏览软件等; (4)网络管理软件:包括SNMP、HP Openview、Netview等; (5)数据库管理软件:包括Oracle、Sybase、SQL Server等; (6)业务应用软件。
一、物理安全概述 3、物理安全威胁
一、物理安全概述 4、物理安全技术 传统的观点包括设备安全、环境安全/设施安全以及介质安全。 设备安全的安全技术要素包括设备的标志和标记、防止电磁信息泄露、抗电磁干扰、电源保护以及设备振动、碰撞、冲击适应性等方面。 环境安全的安全技术要素包括机房场地选择、机房屏蔽、防火、防水、防雷、防鼠、防盗防毁、供配电系统、空调系统、综合布线、区域防护等方面。 介质安全的安全技术要素包括介质自身安全以及介质数据的安全。 狭义的物理安全:指设备、设施、介质的硬件条件所引发的信息系统物理安全威胁问题。这是本章讨论的话题。 广义的物理安全:还应包括由软件、硬件、操作人员组成的整体信息系统的物理安全,即包括系统物理安全。
一、物理安全概述 5、物理安全技术标准 (1)GB/T 21052-2007 (2)GB 17859-1999 国家标准《GB/T 20271-2006-T信息安全技术 信息系统通用安全技术要求》,为五个安全等级分别提出了不同的物理安全技术要求。 (4)其它相关标准 《GB/T 2887-2000 电子计算机场地通用规范》 《GB 8702-1988 电磁辐射防护规定》 《GB 4943-2001 信息技术设备的安全》 《GB/T 9361-1988 计算机场地安全要求》 《GB 50057-1994 建筑物防雷设计规范》(2000年版) 《GBJ 16-1987 建筑设计防火规范》(2001年版)。
二、物理安全等级要求 基本原则 以GB 17859-1999对于五个安全等级的划分为基础,依据GB/T 20271-2006五个安全等级中对于物理安全技术的不同要求,结合当前我国计算机、网络和信息安全技术发展的具体情况,根据适度保护的原则,将物理安全技术等级分为四个不同级别,并对信息系统安全提出了物理安全技术方面的要求。 每一级别中又分为设备物理安全、环境物理安全和系统物理安全。不同安全等级的物理安全平台为相对应安全等级的信息系统提供应有的物理安全保护能力。随着物理安全等级的依次提高,信息系统物理安全的可信度也随之增加,信息系统所面对的物理安全风险也逐渐减少。
二、物理安全等级要求 第一级物理安全 第一级物理安全平台为第一级用户自主保护级提供基本的物理安全保护。 在设备物理安全方面,为保证设备的基本运行,对设备提出了抗电强度、泄露电流、绝缘电阻等要求,并要求对来自静电放电、电磁辐射、电快速瞬变脉冲群等的初级强度电磁干扰有基本的抗扰能力。 在环境物理安全方面,为保证信息系统支撑环境的基本运行,提出了对场地选择、防火、防雷电的基本要求。 在系统物理安全方面,为保证系统整体的基本运行,对灾难备份与恢复、设备管理提出了基本要求,系统应利用备份介质以降低灾难带来的安全威胁,对设备信息、软件信息等资源信息进行管理。
二、物理安全等级要求 第二级物理安全 第三级物理安全 第四级物理安全 后一级均在前一级的基础上,根据要求适度提升。 为第二级系统审计保护提供适当的物理安全保护。 第三级物理安全 为第三级安全标记保护级提供较高程度的物理安全保护。 第四级物理安全 为第四能结构化保护级提供更高程度的物理安全保护。 后一级均在前一级的基础上,根据要求适度提升。
三、设备安全技术要求 设备安全指的是为保证信息系统的安全可靠运行,降低或阻止人为或自然因素对硬件设备安全可靠运行带来的安全风险,对硬件设备及部件所采取的适当安全措施。 表4-2列出了不同级别对设备安全技术的要求项目。
四、环境安全技术要求 环境安全指的是为保证信息系统的安全可靠运行所提供的安全运行环境,使信息系统得到物理上的严密保护,从而降低或避免各种安全风险。 表4-3列出了不同级别对环境安全技术的要求项目。
五、 系统物理安全技术要求 系统物理安全指的是为保证信息系统的安全可靠运行,降低或阻止人为或自然因素从物理层面对信息系统的保密性、完整性、可用性带来的安全威胁,从系统的角度采取适当的安全措施。 表4-4列出了不同级别对系统物理安全技术的要求项目。
本章小结 物理安全在整个计算机网络信息系统安全体系中占有重要地位,也是其他安全措施得以实施并发挥正常作用的基础和前提条件。 计算机信息系统物理安全的内涵是保护计算机信息系统设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。 主要内容为设备安全技术、环境安全技术和系统物理安全技术等。从信息系统安全等级的角度给出了这三方面具体的要求项目。 GBT 20271-2006 和 GBT 21052-2007
作业: 三、名词解释 四、简答题 物理安全 设备安全 环境安全 系统物理安全 1.简述物理安全在计算机信息系统安全中的意义。 物理安全 设备安全 环境安全 系统物理安全 四、简答题 1.简述物理安全在计算机信息系统安全中的意义。 2.物理安全主要包含哪些方面的内容?