Skip to content

Physical Security.md

Latest commit

 

History

History
179 lines (143 loc) · 14.2 KB

Physical Security.md

File metadata and controls

179 lines (143 loc) · 14.2 KB

Physical Security

[TOC]

Res

Related Topics

Social Engineering & Physical SecurityHardware Security

Other Resources

Intro

物理安全就是保护信息系统的软硬件设备、设施以及其他介质免遭地震、水灾、火灾、雷击等自然灾害、人为破坏或操作失误。

范围:

  • 机房和设施安全
  • 人员安全
  • 环境安全
  • 电磁泄漏

两个强制标准:

  • 等级保护:GB/T 22239一2019《网络安全等级保护基本要求》
  • 分级保护:BMB17《涉及国家秘密的信息系统分级保护技术要求》

⚖️ Laws & Regulations

1️⃣ 等级保护

  • 定义:信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和储存、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
  • 现行标准:目前正在实行的是等级保护2.0版本(GB/T 22239一2019),是公安部第三研究所(公安部信息安全等级保护评估中心)牵头编写并落实主管工作,用来替代等级保护1.0版本(GB/T 22239-2008),该标准在2019年5月10日发布,具体实施日期是2019年12月1日,也是全行业目前都要去满足的标准。
  • 主管部门:公安机关、国家保密工作部门、国家网信办及地方信息化领导小组办事机构。
  • 保护谁:除了个人搭建的系统以外,其余只要有业务系统在用,像高校、金融、能源、运营商等等都要去做等级保护。(《网络安全法》2016;《数据安全法》2021;《个人信息保护法》2021。存储个人信息5000条以上的信息系统就要按照3级等保进行保护)
  • 意义:等级保护是我国网络安全保障的基本制度、基本策略、基本方法,是保护信息化健康发展、维护国家网络空间安全的根本保障。随着我国《网络安全法》的出台,以及云计算物联网等新技术、新应用的普及,等级保护制度进入了2.0时代,实现了从“信息安全等级保护”到“网络安全等级保护”的变更。
  • 分级:等保分五级,依次升高,其中二级三级为最常见的定级区间
    • 一级(自主保护)(用户自主保护级)
    • 二级(指导保护)(系统审计保护级)
    • 三级(监督保护)(安全标记保护级)
    • 四级(强制保护)(结构化保护级)
    • 五级(专控保护)(访问验证保护级)
  • 方面:从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复十个方面,采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。

Trusted Computing (TC)

我国安全评估等级保护法律

📄 公安部等通知印发《信息安全等级保护管理办法》

各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室:

为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。现印发给你们,请认真贯彻执行。    二〇〇七年六月二十二日

我国安全评估等级保护标准(GB/T 22239-2019)

📄 https://std.samr.gov.cn/gb/search/gbDetailed?id=88F4E6DA63434198E05397BE0A0ADE2D 网络安全等级保护基本要求,GB/T 22239-2019

  • 我国从上世纪90年代初期开始酝酿计算机信息系统的等级保护,其思想直接来源于当时这些等级保护的事实上或者国际标准。
  • 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》第9条规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”在该《条例》发布实施之后,公安部就会同有关部门着手开始了计算机信息系统安全等级保护的研究和准备工作。
  • 1999年9月13日,《计算机信息系统安全保护等级划分准则》

等保的要求

以第二级基本要求为例

  1. 技术要求
    1. 物理安全
      1. 物理位置的选择
        机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
      2. 物理访问控制
        本项要求包括:
        1. 机房出入口应安排专人值守,控制、鉴别和记录进入的人员。
        2. 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
      3. 防盗窃和防破坏
        本项要求包括:
        1. 应将主要设备放置在机房内。
        2. 应将设备或主要部件进行固定,并设置明显的不易除去的标记。
        3. 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。
        4. 应对介质分类标识,存储在介质库或档案室中。
        5. 主机房应安装必要的防盗报警设施。
      4. 防雷击
        本项要求包括:
        1. 机房建筑应设置避雷装置。
        2. 机房应设置交流电源地线。
      5. 防火
        机房应设置灭火设备和火灾自动报警系统。
      6. 防水和防潮
        本项要求包括:
        1. 水管安装,不得穿过机房屋顶和活动地板下。
        2. 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
        3. 应釆取措施防止机房内水蒸气结露和地下积水的转移与渗透。
      7. 防静电
        关键设备应采用必要的接地防静电措施。
      8. 温湿度控制
        机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
      9. 电力供应
        本项要求包括:
        1. 应在机房供电线路上配置稳压器和过电压防护设备。
        2. 应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
      10. 电磁防护
        电源线和通信线缆应隔离铺设,避免互相干扰。

2️⃣ 分级保护 (保密标准体系)

  • 定义:涉密信息系统分级保护是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。
  • 现行标准:目前在用的是BMB17《涉及国家秘密的信息系统分级保护技术要求》规范,是由国家保密局牵头编写并发布。属于强制执行。
  • 主管部门:国家保密局及地方各级保密局。
  • 保护谁:只要是涉及国家秘密的都需要去做分级保护。
  • 分级:分级保护分3个级别,涉密信息系统应根据所处理信息的最高密级,由低到高划分为:
    • 秘密
    • 机密
    • 绝密

我国保密标准和涉密信息系统分级保护法律(《国家保密法》)

《国家保密法》

  • 1988年9月5日第七届全国人民代表大会常务委员会第三次会议通过
  • 2010年4月29日第十一届全国人民代表大会常务委员会第十四次会议修订
  • 2014年3月1日《中华人民共和国保守国家秘密法实施条例》
  • 我国保密标准的发展是在《保密法》实施后展开的
我国保密标准和涉密信息系统分级保护标准(BMB17《涉及国家秘密的信息系统分级保护技术要求》)

具体要求标准是涉密的,如果需要须到保密局申请

分保的内容举例

以涉密网络物理安全为例

  1. 从物理安全需求来分析,物理环境的安全是整个涉密网络安全得以保障的前提。
  2. 要保护网络设备、设施、介质和信息免受自然灾害、环境事故以及人为物理操作失误或错误及各种物理手段进行违法犯罪行为导致的破坏、丢失。
  3. 涉密网络必须要具备环境安全、设备安全和介质安全等物理支撑环境,切实保障实体的安全。
  4. 确保系统内的环境安全,设备的物理安全,机房和配线间的环境安全,防止设备被盗、被破坏。
  5. 保证涉密网络与非涉密网络的物理隔离。
  6. 防止设备产生的电磁信息通过空间辐射和传导泄漏。
  7. 保障涉密介质在使用、保存、维护方面的安全。

3️⃣ 关键信息基础设施安全保护条例

https://www.gov.cn/zhengce/content/2021-08/17/content_5631671.htm

《关键信息基础设施安全保护条例》已经2021年4月27日国务院第133次常务会议通过,现予公布,自2021年9月1日起施行。

总理  李克强 2021年7月30日

第一章 总  则

  • 第一条 为了保障关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》,制定本条例。
  • 第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
  • 第三条 在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
    • 省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
  • 第四条 关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者(以下简称运营者)主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。
  • 第五条 国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。
    • 任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。
  • 第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
  • 第七条 对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。

Ref

当前,我国正加快构建关键信 息基础设施安全保护体系,应把握好几个要点。

  1. 界定关键信息基础设施概念
  2. 明确关键信息基础设施具体范畴
  3. 制定关键信息基础设施安全保护标准规范
  4. 提高态势感知、应急响应和恢复能力

李克强签署国务院令 公布《关键信息基础设施安全保护条例》  《关键信息基础设施安全保护条例》全文  司法部 网信办 工业和信息化部 公安部负责人就《关键信息基础设施安全保护条例》答记者问  专家解读 | 李欲晓:加强关键信息基础设施安全保护的法治基石  专家解读 | 余晓晖:开启关键信息基础设施安全保护新阶段  专家解读 | 俞克群:落实关键信息基础设施安全保护制度 筑牢国家网络安全屏障  专家解读 | 杨建军:标准助力关键信息基础设施安全保障体系建设