等保到底是个啥(一):物理安全部分

2019-03-05 496288人围观 ,发现 31 个不明物体 安全管理数据安全

*本文原创作者:宇宸@默安科技合规研究小组,本文属于FreeBuf原创奖励计划,未经许可禁止转载


自从接触安全类工作后就开始听到等保这个词,最初接触是在刚进入省测评中心的时候,刚刚进入安全这个圈子,经过各种项目和领导的折磨后,终于知道什么叫等保,要求些什么,要怎么做等等等。后来还研究过信息系统风险评估,ISO 27001,COBIT 5之类的标准和体系。写这篇文章没别的目的,就是谈谈自己对等保的理解,希望对各位有用。本文是技术要求的物理安全部分,如果有机会后续会把10个部分都更新出来。

等保到底是个啥系列文章

等保到底是个啥(二):网络安全部分

等保到底是个啥(三):主机安全部分

等保到底是个啥(四):应用与数据安全部分

等保到底是个啥(五):制度与人员安全部分

等保到底是个啥(六):系统建设管理部分

等保到底是个啥(七):系统运维管理部分

正文

这里就不说太多没用的了,什么五个级别,网安法,公安备案之类的,直接参照三级标准逐条讨论。

物理安全部分其实不只是22239中描述的那么简单,实际还参考了额外的物理安全标准(GB 50174和GB/T 2887),所以没表面上看的那么简单。

7.1.1 物理安全

7.1.1.1 物理位置的选择(G3)

a)房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;

b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。

这里讲的是机房的防震、防风和防雨,其实就是对建筑物的要求,对于B、C级机房要求抗震设防标准要符合当地抗震设防标准,A级机房要高于当地抗震设防标准,下表为场地楼板荷重标准   

7.1.1.1.png

A级机房抗震不能低于乙类,B级不能低于丙类,C级不宜低于丙类抗震设防。 至于机房的选择,要求不能是地下室,不能是顶层,不能靠边,建议设置在建筑的中心和近中心位置。 对于建筑物的选择,可参考下表(补充一点,不能处于地震带):
7.1.1.2.png

7.1.1.2 物理访问控制(G3)

a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;

b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;

c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;

d)重要区域应配置电子门禁系统, 控制、 鉴别和记录进入的人员。

访问控制的理解就容易得多了,而且大多数企业也都做到了,没有特殊的需要说明的部分。这里扩展一下机房区域划分的要求细节。

首先是机房面积的设置,国标是有计算公式的,如下:

当电子信息设备已确定规格时,可按下式计算:

A= K∑S

A― 电子信息系统主机房使用面积(㎡) ;

K― 系数,取值为 5~7 ;

S― 电子设备的投影面积(㎡)。

当电子信息设备尚未确定规格时,可按下式计算:

A= KN

K― 单台设备占用面积,可取 3.5-5.5(㎡/台);

N—计算机主机房内所有设备的总台数。

辅助区的面积宜为主机房面积的0.2~1 倍;用户工作室可按每人 3.5-4 ㎡计算。硬件及软件人员办公室等有人长期工作的房间,可按每人 5~7 ㎡计算。

此外对于工作区、主机房、辅助区、支持区和行政管理区(如有,此外还有的机房会有保密设备区域)要进行彼此隔离,重要区域要有单独的门禁系统。 

7.1.1.3 防盗窃和防破坏(G3)

a)应将主要设备放置在机房内;

b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;

c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;

d)应对介质分类标识,存储在介质库或档案室中;

e)应利用光、电等技术设置机房防盗报警系统;

f)应对机房设置监控报警系统。

这部分的内容也比较容易理解,就是防盗措施。这里说的不易去除标记其实就是那种一次性贴纸标签,因为机房的设备一般轻易不会有人去偷,所以这里的不易去除是指通常机房设备运维管理中,不要抬杠说什么有人会特殊处理去掉标签这种情况。

通信线缆一般都是在防静电地板下放或走顶棚线槽,现在已经很少有人会直接走明显了,所以不用特意说明。

介质就是磁盘阵列、硬盘、磁带、U盘之类的存储,目前这部分工作大多公司做的一般,没有分类,没有标签,或者个别介质会贴一些简单的标签,这些对于后期管理都是隐患,最常见的就是,人员离职,交接不明确,没有说明文档,后来的人接管工作一脸懵逼,问谁都不知道,最后无奈要一个个的自己去查看,或者干脆就混日子,索性不出问题就好。

防盗报警现在基本是个B类机房就都有安装,而且有完善的报警系统或平台;最后关于监控,这里说一点,不是说门口和机房里有监控就OK,按照标准要纵向横向交叉监控,无死角才算合规。 

7.1.1.4 防雷击(G3)

a)机房建筑应设置避雷装置;

b)应设置防雷保安器,防止感应雷;

c)机房应设置交流电源地线。

这部分更多是对大楼建筑的防雷要求,具体会参照GB/T 50343(建筑作为独立机房时),一般能作为机房的大楼,应该都会有符合规定的防雷措施。所以重点要关心的就是强电和弱电的接地。

强电没有搞过,所以就不在这里胡说了;弱电后续会在防静电部分说明。

7.1.1.5 防火(G3)

a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;

b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;

c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。

这里防火有3点要求,其一就是自动消防系统,可以自动检测,自动预警,自动灭火,一般都是泡沫和干粉,检测到火灾时会先预警,疏散人员,而后进行灭火(想详细了解的可以去看GB 50116和GB 50016)。此外这还要求机房设置消火栓,就是手提那种干粉的或者泡沫的,并且定期要有人进行巡检,检查灭火设备是否过期,压力值是否在绿色范围,并填写巡检记录,这些都是检查时会看的。

第二点是对耐火材料的要求,这块纯属国标要求,真正能做到的其实不多,按照要求机房的耐火等级不应低于二级。当 A 级或 B 级机房位于其它建筑物内时,在主机房和其他部位之间应设置耐火极限不低于 2h 的隔墙,隔墙上的门应采用甲级防火门(解释下2H的意思,耐火极限就是在一般100度燃点时的破坏时间,H代表小时,也就是说墙体的耐火极限要再100度高温情况下能够承受2小时以上)。主机房的顶棚、壁板(包括夹芯材料)和隔断应为不燃烧体,且不得采用有机复合材料。

第三点,就是之前要进行区域划分和隔离的要求,在发生火灾时,可优先确保重要设备安全。

这里再多说一点,关于疏散的,面积大于 100 ㎡ 的主机房,安全出口应不少于两个,且应分散布置。面积不大于 100 ㎡的主机房,可设置一个安全出口,并可通过其他相临房间的门进行疏散。门应向疏散方向开启,且应自动关闭,并应保证在任何情况下都能从机房内开启 。走廊、楼梯间应畅通,并应有明显的疏散指示标志。

7.1.1.6 防水和防潮(G3)

a)水管安装,不得穿过机房屋顶和活动地板下;

b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;

c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;

d)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。

第一条要求就是机房内无论何处不可以有走水的管道,包括机房周边墙体。

第二条一般来说基本不太会遇到,但是我就碰到过一家企业,机房楼上漏水,顶棚没有做防水,机房里几个大盆和大桶放在机柜上边接水,定期有值班人员去倒,这场面真的无法言表。所以说,机房位置选择时,周边最好不要有用水间是最好的。

第三条应该是指以前的机房(或者是一些小公司的机房),但是一般机房能这么偷工减料的其实也不会关心这种问题。现在大多机房会配备精密空调,控制机房内的温湿度,所以此类情况越来越少(毕竟都上云了,托管的云数据中心机房怎么可能连温湿度控制都做不到)。

第四条和第三条差不多,目前都会由系统统一控制。不过这里也说一下,标准的要求:

首先不能采用暖气,空调不能漏水;

与机房无关的水管不宜从机房内穿过;

机房应防止结构渗水、前面凝水、外部漫水;

重要机房应设置漏水报警系统。

7.1.1.7 防静电(G3)

a)主要设备应采用必要的接地防静电措施;

b)机房应采用防静电地板。

这里标准中说了一堆术语和要求参数,其实简单总结一下,重点关注的就是首先机柜要做好接地防雷和防静电,重要设备都会有防雷模块,用线接到机柜;在机柜配置防静电手环,操作时记得先戴上。这样基本就可以保证大多数情况下的静电防护工作。

这里给你们展示一点标准里要求的玩意。

1.主机房和辅助区的地板或地面应有静电泄放措施和接地构造,防静电地板或地面的表面电阻或体积电阻应为 2.5 x 104~1.0×10 9 Ω。且应具有防火、环保、耐污耐磨性能。

2.电子信息系统机房内所有设备可导电金属外壳、各类金属管道、金属线槽、建筑物金属结构等必须进行等电位连接并接地。

3.静电接地的连接线应有足够的机械强度和化学稳定性,宜采用焊接或压接,当采用导电胶与接地导体粘接时,其接触面积不宜小于 20cm 2。 

PS:这里再补充一点,关于综合布线的,等保部分重点要求就是强电与弱电线缆要分别铺设,且距离不得小于0.5m,且每条线缆要有标签说明。

7.1.1.8 温湿度控制(G3)

机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。

这部分没说的,都是由系统来控制,这里贴一下对机房温湿度的要求,开机和关机都有相应要求。

7.1.1.8.png

7.1.1.9 电力供应(A3)

a)应在机房供电线路上配置稳压器和过电压防护设备;

b)应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;

c)应设置冗余或并行的电力电缆线路为计算机系统供电;

d)应建立备用供电系统。

这块按照国标要求也是繁琐的一B,简单总结一下(从安全角度来考虑,不涉及建筑和强电)。

首先最基本的要有UPS,UPS要有过载保护和防雷模块;

其次UPS至少要由2路供电,能够维持机房重要设备至少2小时以上供电;

最后就是机房提供多路冗余供电,不能只有一条电缆供电;要为机房准备发电机,以备特殊情况长期断电时的应急,如果条件允许,准备2台发电机,以防发电机出现意外故障。详细要求参考GB 50052。

PS:补充一点,等保中还要求机房中要使用机柜专用电源插排,就是机柜上那个黑色的。

7.1.1.10 电磁防护(S3)

a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;

b) 电源线和通信线缆应隔离铺设,避免互相干扰;

c)  应对关键设备和磁介质实施电磁屏蔽。

这块的内容涉及的有点广,但是作为等保的要求和日常机房安全防护,涉及不会那么深,所以不用过度去研究。这里把我研究的资料分享一下,简单做下总结。

电磁屏蔽含义

电磁兼容性(ElectromagneticCompatibility)缩写EMC,就是指某电子设备既不干扰其它设备,同时也不受其它设备的影响。电磁兼容性和我们所熟悉的安全性一样,是产品质量最重要的指标之一。安全性涉及人身和财产,而电磁兼容性则涉及人身和环境保护。

电子元件对外界的干扰,称为EMI(ElectromagneticInterference);电磁波会与电子元件作用,产生被干扰现象,称为EMS(ElectromagneticSusceptibility)。例如,TV荧光屏上常见的“雪花”,便表示接受到的讯号被干扰。

因为屏蔽体对来自导线、电缆、元部件、电路或系统等外部的干扰电磁波和内部电磁波均起着吸收能量(涡流损耗)、反射能量(电磁波在屏蔽体上的界面反射)和抵消能量(电磁感应在屏蔽层上产生反向电磁场,可抵消部分干扰电磁波)的作用,所以屏蔽体具有减弱干扰的功能。⑴当干扰电磁场的频率较高时,利用低电阻率的金属材料中产生的涡流,形成对外来电磁波的抵消作用,从而达到屏蔽的效果。⑵当干扰电磁波的频率较低时,要采用高导磁率的材料,从而使磁力线限制在屏蔽体内部,防止扩散到屏蔽的空间去。⑶在某些场合下,如果要求对高频和低频电磁场都具有良好的屏蔽效果时,往往采用不同的金属材料组成多层屏蔽体。

原理

许多人不了解电磁屏蔽的原理,认为只要用金属做一个箱子,然后将箱子接地,就能够起到电磁屏蔽的作用。在这种概念指导下结果是失败。因为,电磁屏蔽与屏蔽体接地与否并没有关系。真正影响屏蔽体屏蔽效能的只有两个因素:一个是整个屏蔽体表面必须是导电连续的,另一个是不能有直接穿透屏蔽体的导体。屏蔽体上有很多导电不连续点,最主要的一类是屏蔽体不同部分结合处形成的不导电缝隙。这些不导电的缝隙就产生了电磁泄漏,如同流体会从容器上的缝隙上泄漏一样。解决这种泄漏的一个方法是在缝隙处填充导电弹性材料,消除不导电点。这就像在流体容器的缝隙处填充橡胶的道理一样。这种弹性导电填充材料就是电磁密封衬垫。在许多文献中将电磁屏蔽体比喻成液体密封容器,似乎只有当用导电弹性材料将缝隙密封到滴水不漏的程度才能够防止电磁波泄漏。实际上这是不确切的。因为缝隙或孔洞是否会泄漏电磁波,取决于缝隙或孔洞相对于电磁波波长的尺寸。当波长远大于开口尺寸时,并不会产生明显的泄漏。

机理

a.当电磁波到达屏蔽体表面时,由于空气与金属的交界面上阻抗的不连续,对入射波产生的反射。这种反射不要求屏蔽材料必须有一定的厚度,只要求交界面上的不连续;

b.未被表面反射掉而进入屏蔽体的能量,在体内向前传播的过程中,被屏蔽材料所衰减。也就是所谓的吸收;

c.在屏蔽体内尚未衰减掉的剩余能量,传到材料的另一表面时,遇到金属-空气阻抗不连续的交界面,会形成再次反射,并重新返回屏蔽体内。这种反射在两个金属的交界面上可能有多次的反射。总之,电磁屏蔽体对电磁的衰减主要是基于电磁波的反射和电磁波的吸收。

从等保的角度来看,这3条的要求简单可以概括为:

a)机柜和设备接地,做好防静电;(通常我们机房购买的机柜,设计时都已经考虑电磁屏蔽的问题,所以一般只要把机柜门关上,本身就起到屏蔽的作用)

b)之前提到的强弱电线缆分离铺设,距离大于0.5m;

c)将设备放入专业机柜中,并固定在指定插槽位置。

结尾

以上就是对等保中物理安全的一些总结和个人理解。希望能对各位有所用处。其实真正的物理安全不只这些内容,以上只是从等保三级角度出发,如果扩展其本身就是一门学科,还会涉及到照明、粉尘、气流、通道等各方面的要求。后续有时间的话,会继续更新下个部分,技术要求的网络安全部分。

*本文原创作者:宇宸@默安科技合规研究小组,本文属于FreeBuf原创奖励计划,未经许可禁止转载

更多精彩

这些评论亮了

  • XX新潮 回复
    我来告诉你等保是什么,等保就是一个成熟的产业链来养活一些测评公司的,测的这些玩意有什么用?系统依旧还是被黑。
    )111( 亮了
  • O_O (1级) 回复
    首先感谢作者的分享,因为我也做过等级保护。首先说明,@XX新潮 的说法是存在的,因为等保测评人为因素在其中参与比重过大,大多数很难做到客观公正的评判。做过安全或者渗透的都知道,安全和攻击不像开发软件,有开发进度,只有0和1,没有什么中间值。所以等保的打分只是一个客观参考值,如果认为等保过了就肯定安全了,只能说安全意识要有待提高。
    再说下为啥很难客观公正评判,因为等保往往是客户出钱请你来测。如果你出具的是不符合报告,首先这个客户的尾款很难收回来,其次这个客户下次不一定找你测。预计要等到什么时候大家对待等保像对待体检一样才能有效改善这种情况。还有就是等保的定价单一固定,不是质量越好钱越多,所以测评机构之间的竞争往往比的是数量。这也间接影响到了测评机构人员的薪资和发展问题,技术话语权比较弱,而且如果只做等保,技术瓶颈来的很快。这个行业里肯定有做的好的机构,比如去年CNAS会议上,测评技术成果交流的文章,让我受益匪浅。也了解到有些测评机构是专门的安服团队,与测评团队分开的。
    测评标准落后也是不争的事实,希望新标准的落地能够有效改善。但是标准背后肯定有安全厂商间接参与,难以摆脱利益的链条。不过这也是整个安全行业普遍存在的问题。由于视野的局限性和所处的公司,所以我个人目前不是很看好自己从事等保的这份工作。
    )34( 亮了
  • 111 回复
    安全技术鄙视链
    搞等保的<脚本小子<挖漏洞搞渗透的<搞二进制挖系统底层漏洞的
    )15( 亮了
发表评论

已有 31 条评论

取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php