所有的物理设备都是运行在一定的物理环境之中的。设备环境安全是物理安全的最基本保障,是整个安全系统不可缺少和忽视的组成部分。
环境安全技术主要是指保障信息网络所处环境安全的技术,主要技术规范是对场地和机房的约束,强调对于地震、水灾、火灾等自然灾害的预防措施,包括场地安全、防火、防水、防静电、防雷击、电磁防护、线路安全等。
设备安全技术主要是指保障构成信息网络的各种设备、网络线路、供电连接、各种媒体、数据本身以及存储介质等安全的技术,具体包括设备的防电磁泄露、防电磁干扰、防盗、访问控制等。
按照GB/T 22239—2008《信息系统安全等级保护基本要求》(以下简称《等保》),物理环境安全建设应包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水防潮、防静电、温湿度控制、电力供应和电磁防护等。
在物理安全的建设中,机房建设工程是一个非常重要的系统工程。机房主要为电子信息设备提供运行环境及场所,它可以是整幢建筑物或建筑物的一部分,应包括主机房、辅助区和行政管理区等。机房的建设目的是为系统设备提供—个安全的物理运行环境。
在机房设计中首先要依据相关标准确定机房的建设等级、安全等级、风险等级,然后根据各个等级所需要达到的设计要求进行各子系统的专业设计。GB 50174—2008《电子信息系统机房设计规范》(以下简称《规范》)中对电子信息系统机房的分级与性能、机房位置及设备布置、环境、建筑与结构、空气调节、电气、电磁屏蔽、机房布线、机房监控与安全防范、给水排水以及消防等做出了分级要求。此外,它还对物理安全中相关参数做出了详细的要求,如设备开机时电子计算机机房夏季应满足温度23±2℃,湿度45%~65%的要求。这些要求对于PC用户同样具有指导意义。
在《等保》中,电子门禁系统、防盗报警系统、监控报警系统都属于三级系统中物理访问控制及防盗窃和防破坏必须设置的。GB 50339—2003《智能建筑工程质量验收规范》等规范对物理安全中出入口控制(门禁)系统、视频安防监控系统、入侵报警系统的检测进行了规定,并提出了检测方法及合格条件。
机房场地环境方面更详细的内容,读者可以参阅GB 50462—2008《电子信息系统机房施工及验收规范》、GB 50174—2008《电子信息系统机房设计规范》、GB/T 21052—2007《信息安全技术 信息系统物理安全技术要求》、GB/T 2887—2000《电子计算机场地通用规范》、GB 4943—2001《信息技术设备安全》。
目前对于电磁信息安全防护的主要措施有设备隔离和合理布局、使用低辐射设备、电磁屏蔽、使用干扰器、滤波技术和光纤传输。
(1)设备隔离和合理布局
隔离是将信息系统中需要重点防护的设备从系统中分离出来,加以特别防护,例如通过门禁系统防止非授权人员接触设备。合理布局是指以减少电磁泄漏为原则,合理地放置信息系统中的有关设备。合理布局也包括尽量拉大涉密设备与非安全区域(公共场所)的距离。
(2)使用低辐射设备
低辐射设备即TEMPEST设备,是防辐射泄露的根本措施。这些设备在设计和生产时就采取了防辐射措施,把设备的电磁泄露抑制到最低限度。此外,显示器是计算机安全的一个薄弱环节,对显示器的显示内容进行窃取已经是一项成熟的技术,因此选用低辐射显示器十分重要,如单色显示器辐射低于彩色显示器、等离子显示器和液晶显示器辐射更低。
(3)屏蔽
屏蔽是所有防辐射技术手段中最为可靠的一种。屏蔽不但能防止电磁波外泄,而且可以防止外部电磁波对系统内设备的干扰。重要部门的办公室、实验场所,甚至整幢大楼可以用有色金属网或金属板进行屏蔽,构成所谓的“法拉第笼”;并注意连接的可靠性和接地良好,防止向外辐射电磁波,使外面的电磁干扰对系统内的设备也不起作用;另外,还要加强对电子设备的屏蔽,例如对显示器、键盘、传输电缆线、打印机等设备的屏蔽;对电子线路中的局部器件,如有源器件、CPU、内存条、字库、传输线等强辐射部位采用屏蔽盒、合理布线等,以及局部电路的屏蔽。
(4)使用干扰器
干扰器通过增加电磁噪声来降低辐射泄露信息的总体信噪比,增大辐射信息被截获后破解还原的难度。这是一种成本相对低廉的防护手段,主要用于保护密级较低的信息,因为仍有可能还原出有用的信息,只是还原的难度相对增大。此外,使用干扰器还会增加周围环境的电磁污染,对其他电磁兼容性较差的电子信息设备的正常工作构成一定的威胁。
(5)滤波
滤波技术是对屏蔽技术的一种补充。被屏蔽的设备和元器件并不能完全密封在屏蔽体内,仍有电源线、信号线和公共地线需要与外界连接。因此,电磁波还是可以通过传导或辐射从外部传入屏蔽体内,或从屏蔽体内传到外部。采用滤波技术,只允许某些频率的信号通过,而阻止其他频率范围的信号,从而起到滤波作用。
(6)光纤传输
光纤传输是一种新型的通信方式,光纤为非导体,可直接穿过屏蔽体,不附加滤波器也不会引起信息泄露。光纤内传输的是光信号,不仅能量损耗小,而且不存在电磁信息泄露问题。
现在存在于我们周围的信息设备更多以系统的形式存在,如网络系统、通信系统。更重要的是,随着EMC(Electro Magnetic Compatibility,电磁兼容性,指设备或系统在其电磁环境中符合要求运行并不对其环境中的任何设备产生无法忍受的电磁干扰的能力)技术的提高,单个设备的TEMPEST发射变小;同时,由于复杂系统的出现,整个系统的TEMPEST泄漏互相干扰、掩蔽、交叉调制,很难抛开系统去谈单独设备的TEMPEST问题,因此把对设备的关注转向对系统的关注,这应该是TEMPEST自身内涵的一个拓展。
此外,TEMPEST关注的是电磁泄漏,也就是无意识的电磁发射信号携带信息的问题。在无线技术突飞猛进的今天,涉密单位、涉密场所所处环境中充斥着各种有意和无意发射的电磁信号,移动通信、无线联网这类有意识的电磁发射所带来的保密问题,可以考虑统一归结到TEMPEST研究领域中去。这样,TEMPEST的概念就从电磁泄漏发射安全的概念拓宽到电磁安全的概念。
对于PC用户来说,设备的防盗是最根本的安全要求。下面介绍几种常见的设备物理防盗措施。
(1)机箱锁扣
如图2-6所示,在机箱上固定有一个带孔的金属片,在机箱侧板上有一个孔,当侧板安装在机箱上时,金属片刚好穿过锁孔,此时用户在锁孔上加装一把锁就实现了防护功能。其特点是实现简单、制造成本低,但这种方式防护强度有限,安全系数也较低。
(2)防盗线缆
如图2-7所示,一种由美国的Kensington公司发明的线缆锁,这是一根带有锁头的钢缆(见图2-7的左上方)。使用时,将钢缆的一头固定在桌子或其他固定装置上,另一头将锁头固定在机箱上的Kensington锁孔内,就实现了防护功能。一般的笔记本电脑上也都设有这样的锁孔,我们只要再购置一个钢缆就可以利用其防盗了。
图2-6 机箱锁扣
图2-7 Kensington锁孔
(3)机箱电磁锁
如图2-8所示,这种锁是安装在机箱内部的,并且借助嵌入在BIOS中的子系统通过密码实现电磁锁的开关管理,因此这种防护方式更加安全和美观,也显得更加的人性化。机箱电磁锁主要出现在一些高端的商用PC产品上。
(4)智能网络传感设备
如图2-9所示,将传感设备安放在机箱边缘,当机箱盖被打开时,传感开关自动复位,此时传感开关通过控制芯片和相关程序,将此次开箱事件自动记录到BIOS中或通过网络及时传给网络设备管理中心,实现集中管理。不过,这一设备需要网络和电源的支持。
图2-8 机箱电磁锁
图2-9 智能网络传感设备
以上4点只是品牌PC中一些有代表性的物理防护方式,实际上还有一些其他的防护方式,如可以将键盘鼠标固定在机箱侧板的安全锁上面、可覆盖主机后端接口的机箱防护罩等,这些都能在一定程度上保障设备和信息的安全。
访问控制的对象主要是计算机系统的软件与数据资源,这两种资源平时一般都是以文件的形式存放在磁盘上,所谓访问控制技术主要是指保护这些文件不被非法访问的技术。
由于硬件功能的限制,PC的访问控制功能明显弱于大型计算机系统。PC操作系统缺乏有效的文件访问控制机制。在DOS和Windows系统中,文件的隐藏、只读、只执行等属性以及Windows中的文件共享与非共享等机制是一种较弱的文件访问控制机制。
PC访问控制系统应当具备以下的主要功能。
●防止用户不通过访问控制系统进入计算机系统。
●控制用户对存放敏感数据的存储区域(内存或硬盘)的访问。
●控制用户进行的所有I/O操作。
●防止用户绕过访问控制直接访问可移动介质上的文件,防止用户通过程序对文件的直接访问或通过计算机网络进行的访问。
●防止用户对审计日志的恶意修改。
下面介绍常见的结合硬件实现的访问控制技术。
(1)软件狗
纯粹的软件保护技术安全性不高,比较容易破解。软件和硬件结合起来可以增加保护能力,目前常用的办法是使用电子设备“软件狗”,这种设备也称为电子锁。软件运行前要把这个小设备插入到一个端口上,在运行过程中程序会向端口发送询问信号,如果“软件狗”给出响应信号,则说明该程序是合法的。本书的第7.4.2节中将介绍软件狗技术。读者在完成本章思考与实践第13题时,可利用U盘制作系统的启动令牌。
当一台计算机上运行多个需要保护的软件时,就需要多个“软件狗”,运行时需要更换不同的“软件狗”,这给用户增加了不便。这种保护方法也容易被破解,方法是跟踪程序的执行,找出和“软件狗”通信的模块,然后设法将其跳过,使程序的执行不需要和“软件狗”通信。为了提高不可破解性,用户最好对存放程序的硬盘增加反跟踪措施,例如一旦发现被跟踪,就停机或使系统瘫痪。
(2)安全芯片
还有一种方法是在计算机内部芯片(如ROM)里存放该机器唯一的标志信息。软件和具体的机器是配套的,如果软件检测不是在特定机器上运行便拒绝执行。为了防止被跟踪破解,还可以在计算机中安装一个专门的安全芯片,密钥也封装于芯片中,这样可以保证一个机器上的文件在另一台机器上不能运行。下面介绍这种安全芯片。
先介绍可信计算的概念。和抵抗传染病时要控制病源一样,必须做到终端的可信,才能从源头上解决人与程序之间、人与机器之间的信息安全传递。对于最常用的PC,只有从芯片、主板等硬件和BIOS、操作系统等底层软件综合采取措施,才能有效地提高其安全性。正是这一技术思想推动了可信计算的产生和发展。
可信计算的基本思想是在计算机系统中首先建立一个信任根,再建立一条信任链,一级测量认证一级,一级信任下一级,把信任关系扩大到整个计算机系统,从而确保计算机系统的可信度。
1999年底,微软、IBM、HP、Intel等著名IT企业发起成立了可信计算平台联盟(Trus-ted Computing Platform Alliance,TCPA)。2003年,TCPA改组为可信计算组织(Trusted Computing Group,TCG)。TCPA和TCG的出现形成了可信计算的新高潮。该组织提出可信计算平台的概念,并具体化到微机、PDA(Personal Digital Assistant,个人数字助手)、服务器和手机设备,而且给出了体系结构和技术路线,不仅考虑了信息的秘密性,更强调了信息的真实性和完整性,而且更加产业化和更具广泛性。
可信计算技术的核心是称为TPM(Trusted Platform Module,可信平台模块)的安全芯片,它是可信计算平台的信任根。TCG定义了TPM是一种SoC(System on Chip,小型片上系统)芯片,实际上是一个拥有丰富计算资源和密码资源,在嵌入式操作系统的管理下,构成的一个以安全功能为主要特色的小型计算机系统。因此,TPM具有密钥管理、加密和解密、数字签名、数据安全存储等功能,在此基础上完成其作为可信存储根和可信报告根的职能。
TPM技术最核心的功能在于对CPU处理的数据流进行加密,同时监测系统底层的状态。在这个基础上,开发和设计人员可以开发出唯一身份识别、系统登录加密、文件夹加密、网络通信加密等各个环节的安全应用。它能够生成加密的密钥,还有密钥的存储和身份的验证,可以高速进行数据加密和还原,作为保护BIOS和操作系统不被修改的辅助处理器,通过可信计算软件栈(TCG Software Stack,TSS)与TPM的结合来构建跨平台与软硬件系统的可信计算体系结构。用户即使硬盘被盗,由于缺乏TPM的认证处理,也不会造成数据泄漏。
目前一些国内厂商已经将TPM芯片应用到台式机领域。图2-10分别为贴有TPM标志的主机箱、兆日公司的TPM芯片及在主板上的状态。
Windows Vista及以后的版本支持可信计算功能,能够运用TPM和USB Key实现密码存储保密、身份认证和完整性验证,实现系统版本不被篡改、防病毒和防黑客攻击等功能。
图2-10 主机箱上的TPM标志、TPM芯片及主板上的TPM芯片
a)主机箱上的TPM标志 b)TPM芯片 c)主板上的TPM芯片
要想查看计算机上是否有TPM芯片,可以打开“设备管理器”→“安全设备”,查看该选项下是否有“受信任的平台模块”这类的设备,并确定其版本(见图2-11)。
图2-11 通过设备管理器看到的TPM芯片
必须注意:TPM是可信计算平台的信任根。中国的可信计算机必须采用中国的信任根芯片,中国的信任根芯片必须采用中国的密码。长城、中兴、联想、同方、方正、兆日等多家厂商联合推出了按照我国密码算法自主研制的、具有完全自主知识产权的可信密码模块(Trusted Cryptography Module,TCM)芯片。
读者在完成本章思考与实践第14题时,可在带有TPM芯片的联想Thinkpad系列机型中启用TPM功能并加密硬盘。