信息系统安全 第三章 信息系统的物理安全和可靠性

信息系统安全 第三章 信息系统的物理安全和可靠性

物理安全概述

物理安全:为了保证信息系统安全可靠运行,确保信息系统在对信息进行采集、处理、传输、存储的过程中,不致受到人为或自然因素的危害而使信息丢失、泄漏或破坏,对计算机设备、设施(包括机房建筑、供电、空调等)、环境人员、系统等采取适当的安全措施。

广义的物理安全包括设备安全、环境安全、介质安全以及系统安全。

  • 环境安全
    • 为保证信息系统安全可靠运行提供安全运行环境,使信息系统得到物理上的严密保护,从而降低或避免各种安全风险
    • 技术要素:机房场地选择、机房屏蔽、防火、防水、防雷、防鼠、防盗防毁、供配电系统、空调系统、综合布线、区域防护等方面
  • 设备安全
    • 为保证信息系统安全可靠运行,降低或阻止人为或自然因素对硬件设备安全可靠运行带来的安全风险,对硬件设备及部件所采取的适当安全措施
    • 技术要素:设备的防盗、防电磁干扰、电源保护、设备振动、碰撞、冲击适应性等方面
  • 介质安全
    • 存储信息的介质的安全,能够安全保管、防盗、防损害和防霉
  • 系统安全
    • 为保证信息系统安全可靠运行,降低或阻止人为或自然因素从物理层面对信息系统保密习惯、完整性、可用性带来的安全威胁,从系统的角度采取的适当的安全措施,如:
    • 保护保密性:边界保护、配置管理、设备管理等
    • 保护可用性:容错、故障恢复、系统灾难备份等
    • 保护完整性:设备访问控制、边界保护、设备及网络资源管理等

环境安全

环境安全面临的威胁

计算机运行环境对计算机影响很大,主要环境因素包括温度、湿度、灰尘、腐蚀等。

  • 温度

    • 温度过高或过低,磁盘表面会发生变形,从而造成数据的读写错误
    • 温度过高还会使插头、插座、计算机主板、各种信号线腐蚀速度加快,容易造成接触不良
    • 温度过高也对显示器造成不良的影响,会使显示器各线圈骨架尺寸发生变化,使图象质量下降
    • 计算机工作的环境温度一般应控制在 20℃ 左右
  • 湿度

    • 湿度过大会使元器件的表面附着一层很薄的水膜,造成元器件各引脚之间漏电
  • 当水膜中含有杂质时,它们会附着在元器件引脚、导线、接头表面,造成这些表面发霉和触点腐蚀
    • 过于干燥的空气还可能会产生静电、造成磁介质上的信息被破坏、印刷电路变形等危害
  • 计算机正常的工作湿度应控制在 40% - 60%
  • 灰尘
    • 当读头靠近盘片表面读信号的时候,就可能擦伤盘片表面或者磨损读头,造成数据读写错误或数据丢失
    • 灰尘中还可能有导电性和腐蚀性尘埃,附着在元器件与电子线路的表面,在湿度很大的情况下,会造成短路或腐蚀裸露的金属表面
  • 电磁干扰
    • 原因:电磁干扰指电压的瞬间较大幅度的变化、突发的尖脉冲,会对计算机信号造成干扰,甚至会造成传输信息的丢失,计算机设备的破坏
    • 应对措施:使用抗干扰设备
  • 电源不稳定
    • 应对措施:使用抗 UPS

环境安全防护

为确保电子信息系统设备安全、稳定、可靠地运行,需要对机房运行环境进行规范,2008 年国家技术监督局、中华人民共和国建设部联合发布了《中华人民共和国国家标准——电子计算机机房设计规范》(GB50174-2008)。

机房安全等级

根据计算机系统中的各种数据的重要性和机密性,将其划分成不同等级,提供不同级别的保护。

  • A 级:重大经济损失,秩序严重混乱
    • 容错系统配置
    • 两套或两套以上相同配置的系统,至少能经受住一次严重的突发的设备故障或人为操作失误而不影响系统的运行
  • B 级:较大经济损失,秩序混乱
    • 冗余要求配置
    • 重复配置系统的一些部件或全部部件
  • C 级:其他
    • 基本需求配置

机房位置及设备布置要求

  • 机房位置选
    • 远离强电磁场干扰
    • ......
  • 机房组成
    • 主机房、辅助区、支持区和行政管理区等
    • 配电设备间应尽量远离主机房
  • 设备布置
    • 主机房内和设备间的距离:......

机房的环境条件

温度、湿度:

其他:空气含尘浓度、噪声、电磁干扰、振动及静电等。

设备安全

设备安全面临的威胁

  • 计算机硬件容易被盗
  • 电磁泄露
    • 电子设备的杂散(寄生)电磁能量通过导线或空间向外扩散,使用专门的接收设备将这些电磁辐射接受下来,经过处理就可以恢复还原出原信息
    • 辐射泄露
    • 传导泄露
  • 电气与电磁干扰
    • 计算机本身的电磁干扰
    • 计算及外部设备的电磁干扰

设备安全防护

  • 设备防盗
    • 机箱锁扣:带孔金属片 + 侧板打孔 + 锁
    • Kensington 锁孔:锁孔 + 带有锁头的钢缆
    • 机箱电磁锁:电磁锁安装在机箱内,嵌入 BIOS 中的子系统
  • 防电磁泄漏
    • 国际上把信息辐射泄漏技术简称为 TEMPEST(Transient Electro Magnetic Pulse Emanations Standard Technology,顺时电磁脉冲发射标准技术)
    • 屏蔽技术
      • 整体屏蔽、设备屏蔽、元器件屏蔽
    • 使用干扰器
      • 干扰器是一种能辐射电磁噪声的电子仪器。增强电磁噪声降低辐射泄露信息的总体信噪比
      • 计算机旁放置一个辐射干扰器,其贷款要与计算机的辐射带宽相近
      • 白噪声干扰、相关干扰技术
    • 滤波技术
      • 在信号传输线、公共接地线及电源上加装滤波器
    • 采用低辐射设备
    • 隔离和合理布局
  • 防电磁干扰
    • 接地
    • 屏蔽
    • 滤波

媒体(介质)安全

媒体安全面临的威胁

硬盘面临的安全威胁:

  • 目前 PC 机的硬盘易安装和拆卸,容易被盗
  • 硬盘上的文件几乎没有任何保密措施
  • 文件删除操作留下的隐患
  • 硬盘本身的脆弱性

媒体面临的再管理方面的缺陷:

  • 缺乏对媒体的管理和维护能力
    • 需要到固定维修点和国外维修
  • 对存储有敏感信息的媒体没有专门的存放场所,与公共文件放在一起
  • 缺乏对媒体的分类和拷贝限制
  • 缺乏媒体的管理办法

媒体安全防护

  • 加强磁盘安全保密控制
    • 磁盘加密技术
    • 磁盘信息清除技术
      • 直流消磁法:使用直流磁头将磁盘信息的剩余磁通全部以一种形式的恒定值来代替——完全格式化
      • 交流消磁法:使用交流磁头将磁盘信息的剩余磁通变得极小。需要特殊工具
  • 加强媒体安全管理
    • 设置管理人员对媒体进行专门管理
    • 做好媒体的归档工作
    • 加强敏感媒体的管理
    • 当存储媒体不再使用时,必须格式化
    • 要对关键敏感性的媒体进行销毁,可以物理粉碎等方式,同时登记

系统安全和可靠性技术

系统安全是指为保证信息系统安全可靠运行而采取的安全措施,可用性和可靠性是衡量系统安全的主要指标。

可用性

可用性是指系统在规定条件下,完成规定功能的能力。用可用度 A(t) 来定义。\[A(t)=平均无故障时间 / (平均无故障时间+平均修复时间)\]

平均无故障时间(MTTF, Mean Time To Failure)指系统无故障运行的平均时间,取所有从系统开始正常运行到发生故障之间的时间段的平均值。

平均修复时间(MTTR, Mean Time To Repair)指系统从发生故障到维修结束之间的时间段的平均值。

平均失效间隔(MTBF, Mean Time Between Failure)指系统两次故障发生时间之间的时间段的平均值。

串联系统的整体可用性:

\[整体可用性=99\% \times 99\%\times 99\%\]

并联系统的整体可用性:

\[整体可用性=1-(1-99\%)\times (1-99\%)\times (1-99\%)\]

可用性的衡量 SLA(Service Level Agreement):

可用性还表现在可靠性、可维修性、维修保障三个方面。

提高信息系统可用性的措施:

  • 避错
    • 提高信息系统软硬件的质量
  • 容错
    • 在故障发生时,系统仍能继续运行
  • 容灾备份

容错技术

容错利用冗余的资源使计算机具有容忍故障的能力,即再发生故障的情况下,计算机仍有能力完成指定的任务或继续向外提供正确的服务。所谓冗余,就是超过系统实现正常功能的额外资源,以增加资源换取可靠性。

根据增加资源的不同,容错技术可分为硬件容错、软件容错、数据容错和时间容错。

硬件容错

通过硬件的物理备份来获得容错能力,即一个硬件部件提供两个或多个物理实体事先冗余。如冗余处理器、冗余电源、冗余内存等。

硬件堆积冗余:在物理级通过原件的重复获得。

待命储备冗余:系统中设置 m+1 个模块,只有一个处于工作状态,其余处于待命接替状态。

  • 被动冗余
    • 无需其他操作的情况下,通过屏蔽故障实现容错
    • 代表:三模冗余(TMR, Triple Modular Redundancy)
      • 利用三分硬件同时进行相同的功能的计算,利用投票器选择正确的计算结果,仅能屏蔽一个故障部件
    • 5MR、7MR 等
  • 主动冗余
    • 容错之前先进行故障检测,之后再故障定位和恢复工作,从而移除故障部件
    • 如:备用部件
      • 在一个 n 模冗余的备用备件方法中,n 个模块中只有一个是活跃的,而其他 n-1 个模块都是备份。
      • 每个模块都有一个故障检测器,所有模块用连接器连接
      • 当活跃模块故障检测器发现故障后,选择器从备份模块选择一个模块作为新的活跃模块
    • 电力变压器
  • 混合冗余
    • 结合前两者的方法。利用主动冗余防止大量错误的产生,利用被动容错实现故障部件的更换。
    • 在 TMR 的基础山,将投票器的正确结果反馈给所有冗余模块,各个模块再将自己的计算结果与反馈结果比较,从而判断是否故障,是否将自己移除。

磁盘冗余阵列(RAID, Redundant Array of Inexpensive Disk)

  • RAID 0
    • 把文件分成 n 份,存入 n 块硬盘上
    • 一个硬盘坏,则全部不能用
    • 无冗余,性能最佳,无安全性
  • RAID 1
    • 两块硬盘,其中一块是另一块的镜像盘,存储相同数据
  • RAID 4
    • 在 RAID 1 基础上,N 个盘用于数据存储,另外加入 1 个盘用于校验
  • RAID 5
    • 在 RAID 4 基础上,由原来的一个盘来存储校验数据,改为每个盘都有数据和校验信息
    • 奇偶校验作为冗余
    • 至少 3 块盘
  • RAID 01
    • 先组成 RAID 1,再组成 RAID 0
  • RAID 10
    • 先组成 RAID 0,再组成 RAID 1
    • 至少 4 块盘

软件容错

基本思想:利用多个不同的软件执行同一功能,利用软件设计差异实现容错。

恢复块方法

这是一种动态故障屏蔽技术。

系统被划分为一个个故障恢复块,每个块包含一个主块和一些后备模块。主块在第一时间运行,其输出经过判决器检查可接受性。主块得到输出后,立即进行接受测试,当输出不可接受时,系统将回滚并恢复到主块运行之前的状态,然后调用第二个模块运行,知道用完所有模块或超过规定的时间限制。

使用恢复块方法会引起时间开销。时间开销大的方法不适合实时系统。此外,接受测试允许的范围太严格,将产生大量的错误警报,太松则会导致错误输出可能性增大。

N 版本技术(NVP)

这是一种静态故障屏蔽技术。

N 个独立生成的功能相同的程序同时执行,使用表决器比较各个版本的结果,选择一个作为正确的结果给出。

实际运用:飞行控制系统、铁路交通控制系统等。

关键是不同版本程序之间的独立性。

数据容错

增加额外的数据位以检测或纠正数据在运算、存储及传输中的错误,如编码技术(奇偶校验码、汉明码、CRC 等)。

时间容错

通过消耗时间资源来实现容错,基本思想是重复执行指令或程序来清除故障带来的影响。指令级为指令复执,程序级为程序卷回。

信息系统灾难恢复技术

灾难恢复的级别和指标

灾难:由于人或自然原因造成的信息系统运行严重故障或瘫痪,使信息系统支持的业务功能停顿或服务水平不可接受,达到特定时间的突发性事件。

灾难恢复技术:利用技术、管理手段及相关资源确保关键数据、关键数据处理信息系统、关键业务在灾难发生后可以恢复和重续运营的过程。

最高目标:数据零丢失、业务连续性。

容灾备份系统的种类:

  • 数据容灾
    • 建立一个异地的备份数据系统,该系统是本地关键应用数据的一个可用复制 ,实时或者比本地数据略微滞后
    • 保证关键数据的可用性和完整性,不保证连续性
    • 优点:成本低、简单
  • 应用容灾
    • 在数据容灾基础上,同时将应用程序的处理状态进行备份
    • 在异地建立一套完整的、与本地数据系统相当的备份应用系统
    • 当灾难发生时,异地的应用容灾中心可以接替原来的系统继续工作,保持业务的连续性
    • 是更高层次的容灾系统

国际灾难恢复等级划分:

等级 备份方式 恢复
第 0 级 没有异地数据(No off-site Data) 没有灾难恢复能力
第 1 级 卡车运送访问方式(PTAM, Pickup Truck Access Method) 不能及时恢复,先恢复关键数据,再恢复非关键数据
第 2 级 PTAM + 热备份中心(Hot Center) 备份站点接替主站点的业务,维护业务运行的连续性
第 3 级 电子链接(Electronic Vaulting) 通过电子链接(网络)取代卡车进行备份
第 4 级 活动状态的备份中心(Active Secondary Site) 迅速切换支持关键应用
第 5 级 两个活动的数据中心,两步提交(Two-Site, Two-Phase Commit) 两个数据中心互为镜像
第 6 级 零数据丢失(Zero Data Loss) 自动侦测故障并自动切换,恢复速度快,投资最大,恢复最快

我国灾难恢复等级划分:

等级 内容 RTO RPO
1 基本支持 2天以上 1至7天
2 备用场地支持 24小时以后 1至7天
3 电子传输和设备支持 12小时以上 数小时至1天
4 电子传输及完整设备支持 数小时至2天 数小时至1天
5 实时数据传输及完整数据支持 实时数据传输及完整数据支持 0至30分钟
6 数据零丢失和远程集群支持 数分钟 0

容灾系统的系统框架:

容灾系统的主要作用是保证数据完整性和业务连续性。数据完整性是业务连续性基础。

一个完整的容灾系统,由本地生产系统、本地备用生产系统、生产数据中心、本地备份数据中心、异地应用系统、异地数据中心 6 部分组成。

容灾备份系统的评价指标:

  • 恢复时间目标(RTO, Recovery Time Objective)是指在灾难发生后,信息系统或业务功能从停止到恢复的时间要求。
  • 恢复点目标(RPO, Recovery Point Objective)即在灾难发生时,系统和数据必须恢复到的事件点要求。
  • RTO 代表可接受的系统停顿时间,RPO 代表可以接受的数据损失程度。

容灾系统关键技术

  • 数据存储技术
    • 直接附加存储(Direct Access Storage, DAS)
      • 又称为 SAS(Sever-Attached Storage)
      • 以服务器为中心额存储结构,将存储设备通过 SCSI 接口附加在服务器上
      • 价格便宜,存量有限
      • 每条并行的 SCSI 总线最多支持 15 个 磁盘阵列
      • 对同一台服务器访问,容易形成访问瓶颈
    • 网络附加存储(Network Attached Storage, NAS)
      • 以数据为中心的存储结构,只保留存储相关功能的定制的“瘦”服务器
      • 直连局域网,存储空间大,价格低廉
      • 传输速率慢且不稳定
    • 存储区域网络(Storage Area Network, SAN)
      • 单独的网路系统,专门用于存储的管理和数据交换
      • 使用 FC(Fiber Channel)协议,光纤通道
      • 价格贵,成本高
    • 基于 IP 的存储网络和 iSCSI
      • 结合 NAS 和 SAN 的优点
      • 采用 TCP/IP 网络协议,易于访问
      • 独立专门的存储网络结构
  • 远程镜像技术
    • 同步远程镜像
      • 每一步本地 I/O 事务都需等待远程复制的完成才释放
      • 数据完全同步但本地 I/O 效率下降
    • 异步远程镜像
      • 保证在更新远程存储视图前完成想本地存储系统的基本输入输出操作,本地存储系统提供远方操作完成确认信息,不需等待回应
      • 远程写操作没有确认导致数据一致性问题
    • 基于盘控的磁盘镜像解决方案
      • 采用磁盘镜像技术,利用磁盘控制器提供的功能,在物理卷级操作上实现两地磁盘数据的复制
      • 生产中心和容灾备份中心安装专用的存储设备,并在两地配备高速数据通信设备
    • 基于软件的数据镜像解决方案
      • 使用 Veritas、IBM、CA 等公司的备份软件包,进行数据中心和容灾备份中心之间的远程数据备份
    • 基于数据库镜像技术的解决方案
      • MIMIX、ORACLE、Sybase 等
  • 快照
    • 通过软件对要备份的磁盘子系统的数据快速扫描,在正常应用进行的同时实现对数据的完全备份
    • 不影响用户使用的情况下提取在线数据,增加系统应用的连续性
  • 灾难检测
    • 心跳技术
      • 每隔一段时间向外广播自身的状态
      • 检测频繁影响系统正常运行,检测迟钝,影响检测及时性
    • 检查点技术
      • 又称主动检测
      • 每隔一段时间周期,对被检测对象进行一次检测
  • 系统迁移
    • 利用备用系统透明底代替生产系统
    • DNS 或者 IP 地址修改
    • 进程迁移算法
      • 贪婪拷贝算法:简单、易实现、延时长
      • 惰性拷贝算法:延迟小、网络负担小、依赖原主机、可靠性差
      • 预拷贝算法:信息分两次拷贝、传输时间长

Comments

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×