信息安全软考—— 第五章 物理与环境安全技术 学习笔记
信息安全工程师教程笔记汇总,点我跳转呀(✿◕‿◕✿)
- 物理安全概念与要求
- 物理环境安全分析与防护
- 机房安全分析与防护 ※
- 设备通信线路安全分析与防护
- 设备实体安全分析与防护
- 存储介质安全分析与防护 ※
命题规则:上午选择题1分,下午从来就没考过。。。。。(希望我不要花时间记了大半天,这一分都丢了>︿<)
一、物理安全概念与要求
1.1 概念
传统上的物理安全也称为实体安全,是指包括环境、设备和记录介质在内的所欲支持网络信息系统运行的硬件的总体安全,是网络信息系统安全、可靠、不间断运行的基本保证,并且确保在信息进行加工处理、服务、决策支持的过程中,不致因设备、介质和环境条件受到人为和自然因素的危害,而引起信息丢失、泄露或破坏以及干扰网络服务的正常运行。
广义上的物理安全是指由硬件,软件,操作人员,环境组成的人、机、物融合的网络信息物理系统安全
1.2 物理安全威胁
物理安全是网络信息系统安全运行、可信控制的基础。常见的物理安全威胁有(传统):
随着网络攻击技术的发展,物理系统安全面临硬件攻击的威胁,与传统的物理安全威胁比较,新的硬件威胁更具有隐蔽性、危害性,攻击具有主动性和非临近性。下面给出常见的硬件攻击技术
- 硬件木马
硬件木马通常是指在集成电路芯片(IC)中被植入的恶意电路,当被某种方式激活后,会改变IC的缘由功能和规格,导致信息泄露或失去控制,带来非预期的行为后果,造成不可逆的重大危害。IC整个生命周期内的研发设计、生产制造、封装测试以及应用都可能被植入恶意硬件逻辑,形成硬件木马,如图所示
- 硬件协同的恶意代码:该硬件可以使得非特权的软件访问特权的内存区域。Cloaker是硬件支持的Rootkit(后面会学)
- 硬件安全漏洞利用:硬件同样存在致命的安全漏洞。硬件安全漏洞对网络信息安全的影响更具有持久性和破坏性。2018年1月发现的熔断(Meltdown)和幽灵(Spectre) CPU漏洞属于硬件安全漏洞
- 基于软件漏洞攻击硬件实体:利用控制系统的软件漏洞,修改物理实体的配置参数,使得物理实体处于一个非正常运行状态,从而导致物理实体受到破坏。(“震网”病毒就是一个物理攻击实体的真实案例)
- 基于环境攻击计算机攻击硬件实体:利用计算机系统所依赖的外部环境缺陷,恶意破坏或改变计算机系统的外部环境,如电磁波、磁场、温度、空气湿度等,导致计算机系统出现问题
1.3 物理安全保护
一般来说,物理安全保护主要从以下方面采取安全保护措施,防范物理安全威胁:
- 设备物理安全:设备物理安全的安全技术要素主要有设备的标志和标记、防止电磁信息泄露、抗电磁干扰、电磁保护以及设备震动、碰撞、冲击适应性等方面
- 环境物理安全:环境物理安全的安全技术要素主要有机房场地的选择、机房屏蔽、防火、防水、防雷、防鼠、防盗、防毁、供配电系统、空调系统、综合布线和区域防护等方面
- 系统物理安全:系统物理安全的安全技术要素主要有存储介质安全、灾难备份与恢复、物理设备访问、设备管理和保护、资料利用等
物理安全保护的方法主要是安全合规、访问控制、安全屏蔽、故障容错、安全监测与预警、供应链安全管理和容灾备份等
1.4 物理安全规范
记重点部分
《信息物理安全技术要求(GB/T 21052——2007)》将信息系统的物理安全进行了分级,并给出设备物理安全、环境物理安全、系统物理安全的各级应对的保护要求,具体要求目标如下
- 第一级物理安全平台为第一级
用户自主保护级
提供基本的物理安全保护; - 第二级物理安全平台为第二级
系统审计保护级
提供适当的物理安全保护; - 第三级物理安全平台为第三级
安全标记保护级
提供较高程度的物理保护; - 第四级物理安全平台为第四级
结构化保护级
提供更高程度的物理安全保护。
二、物理环境安全分析与防护
物理环境安全是计算机设备、网络设备正常运行的保障。物理环境安全防护对象,主要包括防火、防水、防震、防盗、防鼠虫、防雷、防磁电、防静电和供电安全
三、机房安全分析与防护
算是重点,之前出过考试选择题
3.1 机房功能区域组成
按照《计算机场地通用规范(GB/T 2887——2011》的规定,计算机机房可选用下列房间(允许一室多用或酌情增减):
(1)主要工作房间:主机房、终端室等;
(2)第一类辅助房间:低压配电房、不间断电源室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室等;(一般都是放设施设备的房间)
(3)第二类辅助房间:资料室、维修室、技术人员办公室等;
(4)第三类辅助房间:储藏室、缓冲间、技术人员休息室等
3.2 机房等级划分
根据《计算机场地安全要求(GB/T 9361——2011)》,计算机机房安全等级分为A级、B级、C级三个基本级别。
- A级:计算机运行中断后,会对国家安全、社会秩序、公共利益造成严重损害的;对计算机机房安全有严格要求,有完善的计算机机房安全措施
- B级:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成较大损害的;对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施
- C级:不属于 A、B级的情况;对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。
3.3 机房场地选择要求
- 环境安全性:避开危险来源区、避开环境污染区、避开盐雾区、避开落雷区域
- 地质可靠性:建立在稳固的地质区域上、避开地质不牢靠的区域、避开采矿崩落区、应避开低洼、潮湿区域
- 场地抗电磁干扰性:避开或远离无线电干扰源和微波线路的强电磁场干扰场所、避开电流冲击和强电磁干扰的场所(200米)
- 应避开强震动源和强噪声源:便可震动源;避开机场、火车站和车辆来往比较屏藩的区域以及噪声区;远离主要通道,避免机房窗户直接临街
- 应避免设在建筑物的高层以及用水设备的下层或隔壁
3.4 数据中心建设与涉及要求
数据中心基本上就是机房,但谈到规模,说数据中心比较高大上点(后半句话我个人理解)
按照规模大小可将数据中心分为三类:
- 超大数据中心——大于等于10000个标准机架
- 大型数据中心——大于等于3000个小于10000个标准机架
- 中小型数据中心——小于3000个标准机架的数据中心
数据中心的划分如下:
四、网络通信线路安全分析与防护
往年 没考过,熟悉一下
4.1 分析
网络通信线路连接着网络系统中的各节点,是网络信息和数据交换的基础。网络通信线路常见的物理安全威胁主要有如下
- 网络通信线路被切断
- 网络通信线路被电磁干扰
- 网络通信线路泄露信息
4.2 防护
一般从两个方面采取安全措施:一是网络通信设备;二是网络通信线路。
- 对重要的核心网络设备,例如路由器、交换机,为了防止这些核心设备出现单点安全故障,一般采取设备冗余,即设备之间互为备份
- 对网络通信线路的安全措施也是采取多通路通信的方式,例如网络的连接可以通过DDN专线和电话线。
下图是某ISP的网络拓扑结构。由图可知,该ISP在网络通信上采取了冗余解决办法,首先是核心交换机器和路由器都实现交叉互联;其次,ISP与外部网络的连接有两个出口。
五、设备实体安全分析与防护
5.1分析
- 设备实体环境关联安全威胁 (如机房空调运行不良,导致设备温度过高引发故障)
- 设备实体被盗取或损害
- 设备实体受到电磁干扰
- 设备供应链条中断货延缓
- 设备实体的固件部分遭受攻击(计算机BIOS被破坏)
- 设备遭受硬件攻击(硬件木马攻击、设备CPU存在安全漏洞)
- 设备实体的控制组件安全威胁(如存储设备的存储控制软件存在安全漏洞)
- 设备非法外联(如涉密设备连接到互联网)
5.2 设备实体安全防护
按照国家标准GB/T 21052-2007,设备实体的物理安全防护技术措施主要如下:
- 设备的标志和标记(即产品名称、型号、制造厂商名称、安全符号、国家规定的3C认证标志等)
- 设备电磁辐射防护
- 设备静电及用电安全防护
- 设备磁场抗扰(主要包括公频磁场抗扰、脉冲磁场抗扰)
- 设备环境安全保护(防过热、阻燃、防爆裂)
- 设备适应性与可靠性保护
5.3 设备硬件攻击防护
- 硬件木马检测
硬件木马检测方法有反向分析法、功耗分析法、侧信道分析法。
反向分析法是通过逆向工程方法将封装(或管芯)的芯片电路打开,逐层扫描拍照电路,然后使用图形界面分析软件和电路提取软件重建电路结构图,将恢复出的设计与原始设计进行对比分析,以检测硬件木马。
工号分析法通过获取芯片的功耗特征,通过K.L扩展分析法生成芯片指纹,再将待测芯片与“纯净芯片”的功耗特征进行对比,以判断芯片是否被篡改。
侧信道分析法是通过对比电路中的物理特性和旁路信息的不通,发现电路的变化,其技术原理是任何硬件电路的改变都会反映在一些电路参数上,如功率、时序、电磁、热等。
- 硬件漏洞处理
硬件漏洞不同于软件漏洞,其修补具有不可逆性。通常方法是破坏漏洞利用条件,防止漏洞被攻击者利用。
六、存储介质安全分析与防护
6.1 存储介质安全分析
存储介质的安全是网络安全管理的重要环节,损坏或非法访问存储介质将造成系统无法启动、信息泄密、数据受损害等安全事故。存储介质及存储设备系统主要的安全威胁有一下几个方面
- 存储管理失效(缺少必要的存储管理制度、流程和技术管理措施)
- 存储数据泄密(缺少安全保护措施,导致未授权拷贝、查看)
- 存储介质及存储设备故障(缺少安全保障技术,不能防止存储操作容错;存储介质与存储设备控制系统缺少配合,导致存储设备无法正常运行)
- 存储介质数据非安全删除(没有采用安全删除技术,使得攻击者利用数据恢复工具,还原原有的数据)
- 恶意代码攻击 (如勒索病毒,使得相关操作无法进行)
6.2 存储介质安全防护
背背背
常用的存储介质安全防护措施有以下几种
- 强化存储安全管理
- 数据存储加密保存
- 容错容灾存储技术:对于重要的系统及数据资源,采用磁盘阵列、双机在线备份、离线备份等综合安全措施保护存储数据及相关系统的正常运行。(备份针对数据、容灾针对系统)如图就是某行业系统推荐的网络基础设施平台硬件系统高级配置解决方案。其中采用了离线备份、磁盘列阵等相关技术。
本章出题较少,一般就上午出一道选择题,但建议还是要过亿两遍,留个影响,记一下重点部分
信息安全软考—— 第五章 物理与环境安全技术 学习笔记相关推荐
- 【软考】信息安全工程师教程 第五章 物理与环境安全技术
目录 5.1 物理安全概念与要求 5.1.1 物理安全概念 5.1.2 物理安全威胁 5.1.3 物理安全保护 5.1.4 物理安全规范 5.2 物理环境安全分析与防护 5.2.1 防火 5.2.2 ...
- 信安精品课:第5章物理与环境安全技术精讲笔记
第5章物理与环境安全技术精讲笔记 一.本章知识框架 二.本章大纲要求 三.本章重要易考知识点清单 5.1 物理安全概念与要求 物理安全是网络安全的基础. 传统上的物理安全也称为实体安全,是指包括环境. ...
- CISSP 第五章 物理和环境安全
物理和环境安全 5.1 物理安全简介 5.2 规划过程 5.2.1 通过环境设计来预防犯罪 5.2.2 制订物理安全计划 5.3 保护资产 5.4 内部系统支持 5.4.1 电力 5.4.2 环境问题 ...
- (软考中级--信息安全工程师)五、物理与环境安全技术
目录 5.1.物理安全概念与要求 5.1.1.物理安全概念 5.1.2.物理安全威胁 5.1.4.物理安全规范 5.2.物理安全分析与保护 5.3.机房安全分析与防护 5.3.1.机房功能区域组成 5 ...
- 软考第五章 无线通信网
无线通信网 无线通信网包括面向语音通信的移动电话系统以及面向数据传输的无线局域网和无线广域网. WiFI底层是如何传输数据的呢 1.移动通信 1.1 蜂窝通信系统 1980年中期,欧洲和日本都建立了第 ...
- 软考的备考大概每天花费多少时间学习才能顺利通过?
不少备考的软考的小伙伴有这样一个疑问:软考的备考大概每天花费多少时间学习才能顺利通过? 每天花费多少时间学习取决于你报考的科目. 正好现在也是软考考试报名的时间,我整理了一些我的备考经验,希望可以帮助 ...
- 《C++应用程序性能优化::第五章动态内存管理》学习和理解
<C++应用程序性能优化::第五章动态内存管理>学习和理解 说明:<C++应用程序性能优化> 作者:冯宏华等 2007年版. 2010.8.29 cs_wuyg@126.com ...
- 【14天鸿蒙设备开发实战-第七章 设备联网上云 学习笔记】
14天鸿蒙设备开发实战-第七章 设备联网上云 学习笔记 一.开发环境.平台与硬件需求 二.华为IoT平台API 2.1 初始化 2.1.1 设备信息初始化 2.1.2 华为IoT平台 初始化 2.1. ...
- HTML5 权威指南第 10 章 文档分节 学习笔记
HTML5 权威指南第 10 章 文档分节 学习笔记 第 8 章 标记文字 内容从从文字出发,专注如何将单体内容正确的呈现出来:第 9 章 组织内容 内容从段落出发,专注如何将单体内容合理的放在段落中 ...
- 网规第二版:第8章 网络规划与设计论文学习笔记(含历年真题)(完结)
第8章 网络规划与设计论文学习笔记 8.1写作范围要求 1.网络技术应用与对比分析 2.网络技术对应用系统建设的影响 3.专用网络需求分析.设计.实施和项目管理 4.下一代网络技术分析 8.2论文考试 ...
最新文章
- AI攻击AI,升级的网络安全战
- 【深度学习】GPU选型调研!3090依旧是性价比之王
- 使用 JS 关闭警告框及监听自定义事件(amaze ui)
- MATLAB代写要求应该怎么写,matlab/simulink程序代写
- LeetCode 254. 因子的组合(回溯)*
- xutils找id空指针_xUtils更新到3.0后的基本使用规则
- Sun 解决方案大会归来
- Combobox MVVM绑定并设置选中
- 目前服务器操作系统版本,Windows操作系统的版本选择
- opencv实现阈值分割
- 代码评审系统 ReviewBoard 和 Gerrit
- div+css静态网页设计 web网页设计实例作业 ——中国水墨风的小学学校网站(6页) 专题网页设计作业模板 学校物静态HTML网页模板下载
- ECPC16-A.The game of Osho(博弈)
- Quartz配置上次任务没有执行完,下次任务推迟执行
- BZOJ4372: 烁烁的游戏(动态点分治)
- Arduino实现压力传感器(使用HX711模块)
- 淘宝天猫店铺商品API,店铺商品分类接口代码对接教程
- FPGA-RAM读写测试
- 相似视频搜索—Opera 的 Milvus 实践
- 三种数字调制的形式:ASK PSK FSK