物理安全概述

物理安全概念

我不需要通过高深的网络技术来攻击你，直接在物理层面把你干倒，不要小瞧，其实这种攻击是最致命的，你把我的电脑给入侵了，大概就入侵一台，但是你把光纤咬断了，或者你用挖掘机挖断了光纤，影响一大片，机房淹了，其实你看机房内里其实有很多设备，很多人会受影响，所以物理攻击，你看似技术含量不是那么高，但是它造成的影响非常大
物理安全包罗环境设备记载介质在内的所有支持网络信息体系运行硬件的总体安全，传统的界说是硬件的总体安全，广义上的物理安全是指硬件、软件，还有操纵人员，环境组成的人、机、物融合的网络信息物理体系的安全
传统的是硬件安全，广义是软硬件操纵人员以及配套的环境
物理安全的威胁为两部分，自然威胁和人为威胁，自然威胁比如地震、大水、雷电，人为威胁比如盗窃、毁坏、硬件攻击，这是物理安全的概述
物理安全威胁

硬件木马通常是在集成电路芯片，也就是IC芯片内里植入的一段恶意电路，当它被某种方式激活之后，就会改变原有的一些功能或者规格，造成信息的泄密或者破坏，在整个芯片的生命周期当中都大概植入这种恶意的硬件逻辑电路
整个芯片的生命周期分为研发计划、生产制造、封装测试以及后期的应用整个过程
首先在我们的EDA工具，供应商这，他就大概给我们的芯片植入恶意电路、硬件木马，常用的软件PS、CAD，他这个EDA主要是用来做芯片的，一对比你应该知道他是个啥，EDA供应商他提供了一些工具，大概就有标题，所以可以在前期计划的时间是不是可以植入恶意电路，第二个是软硬IP核供应商，IP核你可以理解成是一个硬件的电路板，电路板早期他也有标题，是不是也可以植入硬件的木马
IC的计划团队就是集成芯片，前面都是工具，这个是芯片的原质料，相称于电路，我们通过IC团队，把他集成到一起，最早搞计划的时间，你可以计划硬件部分，后面放到代工厂生产的时间，比如像富士康，生产过程中，内里也可以植入，后期的测试包括部署应用，整个全生命周期都有大概植入硬件的木马
所以我们的国家在夸大国产化，两个原因，第一个原因，不要被美国卡脖子，第二个，始终用英特尔、amb、高通，不安全，他的整个生命周期在前面这些过程是不受我们控制的，人家计划的内里有什么硬件木马，我们是很难发现的，或者发现了之后，你也没辙，人家搞的东西，人家的硬件底层已经封装好了，你不大概去做改变的，所以第一个硬件木马，就是国产化的一个底层原因；第二个威胁是硬件协同的恶意代码，恶意代码其实就是偏向于软件，前面的这种是恶意电路，偏向于硬件，软硬件很多时间是协同合作的，他可以使得非授权的软件访问特权的一些内存地区，这是破坏了我们CIA三性中的秘密性，第三个硬件安全毛病的利用就是硬件它也有一些毛病，软件和硬件其实都有毛病，硬件的安全毛病对网络体系的安全具有长期性和破坏性，其实硬件的毛病要比软件的毛病要可骇的多，由于软件的毛病，你打个补丁，但是硬件的毛病不是所有毛病你都能打补丁，有些时间出现严肃的硬件毛病或者硬件缺陷，你的这一批硬件都要全部烧毁，所以英特尔和amd不停有一个概念，叫良品率。
在早期芯片生产和制造的时间，良品率很低的，随着我们工艺的提升，才渐渐的把良品率给提升上去，由于如果出现了严肃的安全毛病或者安全隐患，这种芯片都是要被烧毁的，芯片制造的成本其实很低的，比如说一颗芯片制造成本大概是十块钱，硅芯片就是最底层的就是一些沙子，但其实像英特尔这种成本公司，它的成本肯定不止十美元，它还有前期的研发成本，生产线的成本，还有一些良品率，早期芯片良品率很低，你把这些一摊上，大概末了的成本就是500美元，但是末了人家卖1000，或者卖个600、800的，整体利润还是挺高的，像研发和生产线这种成本就是早期的固定投入，你芯片如果生产一片，生产成本就是十个亿，如果你生产100亿片，它这些成本还是十个亿，所以芯片早期出来的时间，代价是很贵的，但到了后期会慢慢降下去，两个原因，第一个原因是厂商自身营销的一个需要，第二个就是随着你生产的数量越多，它的整个成本就被分摊掉了，到了后期会慢慢降下去
物理安全威胁

2018年发现的熔断和幽灵CPU毛病都属于硬件毛病，利用这个毛病，可以利用测信道的方式获取指令的预执行
基于软件毛病，去攻击我们的硬件实体，很多时间软硬件协同工作，如“震网”病毒，其实它本质上就是蠕虫，它主要是攻击了伊朗的查究法控制软件。然后查究法的控制软件是控制它的油浓缩机，最焦点的一个设备叫离心机。离心机举个例子，原来正常转速是一分钟转个100圈，它在不绝的旋转，然后我把你的控制体系给你攻击了，然后我让你一分钟转十万圈，几下就把你的设备给搞坏了，从而造成攻击，它是先攻击离心机的控制体系，然后对我们的离心机发布超过它工作负荷的指令，从而攻击硬件，美国就是用这种方式把伊朗的查究法给它干掉了，可见没有网络安全，就没有国家安全
如果发生战争，我们导弹、卫星都是通过信息化的方式去控制，说实话，未来战争跟打游戏差不多，在屏幕上，点一点，勾一勾，这个战争就打完了，但是未来的社会其实就是这样子的，其实现在就能到达这种效果了，根本上，地面部队陆军会越来越不重要，至少不那么重要，信息化部队是未来的一个焦点
基于环境去攻击我们的计算机实体，典范的像电磁波攻击，磁场温度，湿度等等，让我们的计算机体系出现标题
物理安全掩护

物理安全分为三个层面，第一个我们做物理安全的防护，主要有设备的标记、标识和设备打标签，机房内里的设备真的很多，而且绝大部分机房线真的是一地鸡毛，如果你不做好标记的话，你把线往内里乱插，原来有些是内网的设备，涉及一些秘密的设备，你把它接入互联网，第一个造成信息的泄密，特别是像公安、当局型单元，大概会遭受转达批评，影响领导的这个稽核绩效，可不要小瞧这个东西
有些时间这种安全是跟我们日常的一些操纵和管理有关，不是肯定要有一个特别牛逼的技术，另外防止电磁信息的泄密
光纤屏蔽机房，抗电磁干扰，电源的掩护以及设备的震惊，电源的掩护，要安装UPS，不中断电源。纵然停电之后，我的UPS能立刻接管过来，就能够防止我们机房的这种设备在一瞬中断电，一瞬中断电之后容易烧坏里边的一些电容、电阻，从而把设备给干挂了，所以电源你要做到掩护。设备的震惊、碰撞、打击，这方面要做一些适应，机房有各种防静电地板，还有这种地板下，你要垫槽钢，做一些设备的固定，也要做抗震，防止地震来的时间，设备来回的晃动，把这个设备弄坏了，或者设备从你的机柜内里给掉下来了，这是相称于物理层面的防护，然后还要确保设备供应链的安全及产品的安全质量。
华X5G手机都生产不出来，现在X都是卖4G手机，大几千，一万多居然是4G手机，在某种层度上，是我们的国家科技上被卡脖子了，芯片是真的供应不出来，5G芯片不卖你了，这就牵扯到供应链的安全了
比如中国电信要采十亿台防火墙或者互换机，一样平常我们有5家投标，中标的一样平常有三家，第一家50%的份额，第二家30%的份额，第三家20%的份额，它中标的不是一家，不要把鸡蛋放在一个篮子内里，为了我们供应链的安全，以及为了防止我们产品出现大批量的产品质量标题，比如第一家就华X中标、第二家中X，第三家XX信，打个比方，第三家20%出标题，别的70%、80%还是好的，这就是供应链安全以及产品的这个安全质量，一样平常我们企业级中标的100万，中标的大概就是末了一家，但你项目一大之后，你就要思量到这一点了，防止设备别的相干方面的硬件木马，其实这个是很难的
如果是采用国外的设备，最早期的话，是很难的，我们工信部也有相应的检测机构，但你可以去做一些检测，但是说实话，检测都不肯定能检测出来，所以我们现在在推进国产化，智能设备还有确保嵌入的软件是可信的，不仅要保证硬件的可信，软件也要可信，后面我们讲可信计算的时间，还会给大家提到我们底层利用到的bios是可信的
物理安全分析与防护

第一个设备物理安全，第二个环境物理安全，就是机房的场地选择，第一个供电，思量电力的充沛性，第二个，对供电的安全也要思量，多条线路做冗余，该买UPS买UPS，思量供电安全，第三个还要思量温度，如果你把机房建在三亚合不符合，三亚太热了，空调要消耗很多电力，要维持机房的温度，所以机房一样平常选在中国，在内蒙、贵阳、青海这种地方
体系物理安全，包罗存储介质的安全、劫难备份与恢复，然后物理设备的访问，你要去访问我们物理层面，你能够打仗到我的服务器，你先要颠末机房门禁的一个认证，比如有些机房里边它还有机柜，机柜内里还有钥匙，这些都是物理设备的访问控制，安全合规、访问控制安全，故障屏蔽、容错安全监测与预警、容灾备份
加强防火的管理和操纵规范，网络机房地点的机房建筑物应具有抗震能力，即网络机柜和设备要固定牢固并安装防震的一些装置，加强安全管理的一些操纵，克制搬动在线运行的一些网络设备，你要搬机柜可以，你先断电，不要去搬动我们在线运行的一些网络设备，防盗、防报警装置，有锁定装置，摄像头，有严酷的物理防护控制措施，进去机房，首先要登记，机房要设保安等等，防鼠虫害，尽量不要在机房设置一些洞口，如果前期设置了，后期要阻塞，防老鼠进来，不要小瞧老鼠，有些机房进老鼠之后，把整个光纤或网线咬的一塌糊涂，末了请专业的这种捕鼠队来灭鼠，第二个在机房中可以利用超声波来驱赶老鼠，设置一些捕鼠的东西，投放杀鼠的药物，或者在电脑涂上这个防鼠剂，把这个鼠给药死，第四个在电缆外施加毒饵，以清除鼠虫，接着还有防雷、防静电，然后安全的供电都是一些防护点、防雷，这个安装避雷针、接地，第三个专用的防雷射措施，比如像安装空调，客厅的大空调一样平常它的插头都是防雷的，防电池采用接地的方法，用屏蔽的方法，选择符合的方法，像一些涉密机房，我们都要做成屏蔽机房，防止电磁波的外泄，防止数据被卸去，防静电人员应该采用不宜产生静电的衣料，然后工作鞋要穿相应的质料，然后你要进入机房的时间，是不是要穿鞋套，控制机房的温度，保持在让我们的机房不易产生静电的这个范围，还有比如说你要安装一些设备的时间，你要带什么防静电手环，要穿防静电衣服，防止人类产生这种静电，机房利用的各种工作台、工作柜，应该选择产生静电小的质料，在进行网络设备操纵时应带静电手套、静电手环，安全供电，采用专用的供电线路，而且可以做冗余，采用UPS不中断电源，还要有备用的柴油发电机，大型的数据中内心面都有备用的柴油发电机，由于固然有UPS不中断电源，但它内里是一些电池，电池要看早期的配置，有些12个小时，有些能保持多一点，保持24小时供电，一天12个小时、24小时没来电，只能上发电机，烧柴油，只要你油够，它可以不停运行，这就是关于物理安全的防护

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。