📖 前言：计算机信息系统都是以一定的方式运行在物理设备之上的，因此，保障物理设备及其所处环境的安全，就成为信息系统安全的第一道防线。

🕒 1. 计算机设备与环境的安全问题

• 计算机信息系统都是以一定的方式运行在物理设备之上的，
• 保障物理设备及其所处环境的安全，就成为信息系统安全的第一道防线。

🕘 1.1 环境事故造成的设备故障或损毁

🕘 1.2 设备普遍缺乏硬件级安全防护

🕤 1.2.1 硬件设备被盗被毁

• PC的硬件尺寸越来越小，容易搬移
• 这样小的机器并未设计固定装置，使机器能方便地放置在桌面上，于是盗窃者能够很容易地搬走整台机器。

🕤 1.2.2 开机密码保护被绕过

• PC机上的保护机制很容易被绕过。
• CMOS中的开机口令可以通过 将CMOS的供电电池短路，使CMOS失去记忆功能而绕过。
• 用户如果设置了系统开机密码，攻击者可以把PC的硬盘挂接到其他机器中，制作U盘启动。

🕤 1.2.3 磁盘信息被窃取

• 硬件容易安装和拆卸，例如硬盘被盗，其中的信息自然也就不安全了。
• 在硬盘或软盘的磁介质表面的残留磁信息也是重要的信息泄漏渠道。
• 保存在磁盘上的数据也很容易因不小心划坏、各种硬物碰伤或受潮霉变而无法读取。

🕤 1.2.4 内存信息被窃取

• 内存芯片的内容在断电后就消失了。但如果内存条此时被攻击者获取或者接触到，其中的信息就能被拿到

🕘 1.3 硬件中的恶意代码

🕤 1.3.1 CPU中的恶意代码

计算机的中央处理器（Central Processing Unit，CPU）中还包括许多未公布的指令代码，这些指令常常被厂家用于系统的内部诊断，但是也可能被作为探测系统内部信息的“后门”，有的甚至可能被作为破坏整个系统运转的“逻辑炸弹”。

🕤 1.3.2 存储设备中的恶意代码

硬盘、U盘等存储设备中也有恶意代码攻击。

• 美国国家安全局研发的硬盘固件入侵技术；
• 它通过重写硬盘固件获得对计算机系统的控制权，即使软件更新都不能阻止它长期潜伏；在硬盘上开辟隐藏存储空间以备攻击者在一段时间后取回盗取的数据。

🕘 1.4 旁路攻击

旁路攻击是指攻击者通过偷窥，分析敲击键盘的声音、针式打印机的噪声、不停闪烁的硬盘或是网络设备的LED灯以及显示器（包括液晶显示器）、CPU和总线等部件在运行过程中向外部辐射的电磁波等来获取一定的信息。

🕤 1.4.1 键盘

• 常见的针对键盘的旁路攻击是通过硬件型键盘记录器。其在键盘和主机的I/O接口之间捕获键盘信息。这个器件在安装之后就可以把键盘输入的信息存储在内置的内存当中。
• 攻击者还可以利用键盘输入视频、按键手姿、按键声音、按键振动甚至按键温度获得键盘输入内容。

🕤 1.4.2 显示器

🕤 1.4.3 打印机

🕤 1.4.4 电磁泄露

计算机是一种非常复杂的机电一体化设备，工作在高速脉冲状态的计算机就像是一台很好的小型无线电发射机和接收机，不但产生电磁辐射泄漏保密信息，而且还可以引入电磁干扰影响系统正常工作。

TEMPEST（Transient Electromagnetic Pulse Emanation Surveillance Technology，瞬时电磁脉冲发射监测技术）就是指对电磁泄漏信号中所携带的敏感信息进行分析、测试、接收、还原以及防护的一系列技术。

电磁泄漏信息的途径通常有两个：

1. 以电磁波的形式由空中辐射出去，称为辐射泄露。
2. 电磁能量通过各种线路传导出去，称为传导泄露。

辐射泄露：由计算机内部的各种传输线、信号处理电路、时钟电路、显示器、开关电路及接地系统、印刷电路板线路等产生。
传导泄露：计算机系统的电源线，机房内的电话线、地线等都可以作为传导媒介。这些金属导体有时也起着天线作用，将传导的信号辐射出去。

🕘 1.5 设备在线面临的威胁

信息物理系统（CPS）是计算系统、通信系统、控制系统深度融合的产物，具有智能化、网络化的特征，也是一个开放控制系统。其应用很广，工业控制、智能交通、智能电网、智能医疗和国防等都已涉猎。由于需要在线互联，安全问题日益凸显。

在线设备的搜索引擎：🔎 Shodan
被称为黑客的谷歌

🕒 2. 数据中心的安全防护

🕘 2.1 物理安全防护

• 数据中心：指为集中放置的电子信息设备提供运行环境的建筑场所。
• 数据中心物理安全的关键是保护对电子信息进行采集、加工、运算、存储、传输、检索等处理的设备，包括服务器、交换机、存储设备等。
• 环境安全技术主要是指保障信息网络所处环境安全的技术。
• 主要技术规范是对场地和机房的约束，强调对于地震、水灾、火灾等自然灾害的预防措施，包括场地安全、防火、防水、防静电、防雷击、电磁防护、线路安全等。
• 环境安全是物理安全的最基本保证。
• 物理环境安全建设应包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水防潮、防静电，温湿度控制，电力供应和电磁防护等

🕘 2.2 分级安全保护

根据各行业对信息系统数据中心的使用性质、数据丢失或网络中断在经济或社会上造成的损失或影响程度的不同，《规范》将数据中心划分为A、B和C 3个级别。

• A级：容错型，电子信息系统运行中断会造成重大经济损失，造成公共场所秩序严重混乱。如国家气象台、重要军事指挥部分、应急指挥中心；
• B级：冗余型，电子信息系统运行中断会造成较大经济损失，造成公共场所秩序混乱。如高校、大中城市气象台、交通指挥调度中心；
• C级：其他情况

🕘 2.3 电磁安全

目前对于电磁信息安全的防护主要措施有：

• 设备隔离和合理布局
  • 隔离是把重点防护的设备从系统隔离出来，特别防护。
  • 合理布局是减少电磁泄露为原则，合理放置信息系统中的有关设备
• 使用低辐射设备
• 使用干扰器
• 电磁屏蔽
• 有色金属或金属板、屏蔽盒等
• 滤波技术
  • 只允许某些频率的信号通过而阻止其他频率范围的信号。
• 光纤传输
  • 光纤中传输的是光信号，不仅能量小而且不存在电磁泄露的问题。

🕒 3. PC物理安全防护

🕘 2.1 PC防盗

• 机箱锁扣
  • 这种方式实现简单，制造成本低。
  • 但由于这种方式防护强度有限，安全系数也较低
• 防盗线缆
  • Kensington锁孔
• 机箱电磁锁
  • 安装在机箱内部的，并且借助嵌入在BIOS中的子系统通过密码实现电磁锁的开关管理
  • 这种防护方式更加的安全和美观，也显得更加的人性化。
• 智能网络传感设备
  • 当机箱盖被打开时，传感开关通过控制芯片和相关程序，将此次开箱事件自动记录到BIOS中或通过网络及时传给网络设备管理中心，实现集中管理，但需要网络和电源支持。
• 安装防盗软件

🕘 2.2 PC访问控制

• 访问控制的对象主要是计算机系统的软件与数据资源，这两种资源平时一般都是以文件的形式存放在磁盘上，所谓访问控制技术主要是指保护这些文件不被非法访问的技术。
• 由于硬件功能的限制，PC的访问控制功能明显地弱于大型计算机系统。

在DOS系统和Windows系统中，文件的隐藏、只读、只执行等属性以及Windows中的文件共享与非共享等机制是一种较弱的文件访问控制机制。

PC访问控制系统应当具备的主要功能：

• 防止用户不通过访问控制系统而进入计算机系统。
• 控制用户对存放敏感数据的存储区域（内存或硬盘）的访问。
• 对用户的所有I/O操作都加以控制。
• 防止用户绕过访问控制直接访问可移动介质上的文件。
• 防止用户对审计日志的恶意修改。

🕤 2.2.1 软件狗

电子设备“软件狗”，这种设备也称为电子“锁”。软件运行前要把这个小设备插入到一个端口上，在运行过程中程序会向端口发送询问信号，如果“软件狗”给出响应信号，则说明该程序是合法的。

🕤 2.2.2 安全芯片

可信计算：可信计算的基本思想就是在计算机系统中首先建立一个信任根，再建立一条信任链，一级测量认证一级，一级信任一级，把信任关系扩大到整个计算机系统，从而确保计算机系统的可信。

可信计算技术的核心是称为可信平台模块（TPM）的安全芯片，它是可信计算平台的信任根。

TPM具有密钥管理、加解密、数字签名、数据安全存储等功能，在此基础上完成其作为可信存储根和可信报告根的职能。

TPM实际上是一个含有密码运算部件和存储部件的小型片上系统(System on Chip，SOC)，由CPU、存储器、I/O、密码运算器、随机数产生器和嵌入式操作系统等部件组成。

🕘 2.3 其他PC防护

• 降温
• 防偷窥片
• 防尘
• 三防笔记本

🕒 4. 案例分析：电影《碟中谍4》中迪拜哈利法塔的机房

影片《碟中谍4》中，哈利法塔数据中心的设置是位于第130层，网络防火墙采用了军用级别的口令和硬件网关，机房的门也是银行金库级别的。也许是考虑到机房是位于一百层以上，从窗户进来是不可能完成的任务，因而窗户成为阿汤哥饰演的特工唯一可能进出的通道。

影片中，虽然机房的窗户成为安全脆弱点，但是我们还是要佩服数据中心的安全设置，当然，除了窗户这个可以不算作脆弱点的脆弱点外，实际上影片中的机房还存在着不少安全问题。影片中的这一精彩桥段清楚地告诉我们，计算机设备及其运行环境是计算机信息系统运行的基础，它们的安全直接影响着信息的安全。

OK，以上就是本期知识点“设备与环境安全”的知识啦~~ ，感谢友友们的阅读。后续还会继续更新，欢迎持续关注哟📌~
💫如果有错误❌，欢迎批评指正呀👀~让我们一起相互进步🚀
🎉如果觉得收获满满，可以点点赞👍支持一下哟~

❗ 转载请注明出处
作者：HinsCoder
博客链接：🔎 作者博客主页