10.1 站点与设施设计的安全原则

假如没有对物理环境的控制，任何管理的、技术的或逻辑的访问控制技术都无法提供足够的安全性。

如果怀有恶意的人员获取了对设施及设备的物理访问权，那么他们几乎可以为所欲为，包括肆意破坏或窃取、更改数据。

物理安全的实现与维护涉及很多方面。

其中一个关键因素是选择或设计能够放置IT基础设施并能够为组织的运营活动提供保护的安全场所。

选择或设计安全设施的过程都始于计划。

10.1.1 安全设施计划(secure facility plan)

安全设施计划需要列出组织的安全需求，并突出用于保障安全的方法及机制。

该计划是通过风险评估和关键路径分析来制订的。

关键路径分析(critical path analysis)是一项系统性工作，用于找出任务关键型应用程序、流程、运营以及所有必要的支撑元素间的关系。

例如，线上商店依赖于互联网接入、计算机硬件、电力、温度控制、存储设备等。

如果关键路径分析执行得当，我们就能完整绘制出组织正常运行所必需的相互依赖、相互作用的图像。

设计安全IT基础设施的第一步是满足组织环境及信息设备的安全要求。

这些基本要求包括电力、环境控制（建筑、空调、供暧、湿度控制等）以及供水/排水。

与关键路径分析同等重要的是针对已完成的或潜在的技术融合的评估。

技术融合(technology convergence)指的是各种技术、解决方案、实用程序及系统，随时间的推移而发展、合并的趋势。

这通常会造成多个系统执行相似或冗余的任务，或者一个系统取代另一个系统的特殊功能。

虽然在某些情况下，这可提高效率、节约成本，但也容易产生单点故障，进而成为黑客及入侵者更有价值的目标。

如果语音、视频、建筑控制、存储（如NAS) 与业务流量都共享一个传输通道，而不是各自采用独立的通道，那么入侵者或小偷只需要破坏主通道就可以切断所有通信。

信息安全人员应参与站点与设施的设计。

否则，物理安全的很多重要方面可能会被忽视，而这些方面又是逻辑安全至关重要的基础。

只有让安全人员参与物理设施的设计，才能确保组织的长期安全目标同时获得策略、人员与设备以及建筑本身的强有力支撑。

安全设施计划基于分层防御模型。只有利用重叠的物理安全层，才能针对潜在入侵者建立合理的防御。

要知道，物理安全建立了攻击者必须设法通过的障碍或挑战。

因此，安全机制被定位为串联（而不是并联）运行，以提升破坏防护基础设施的难度。

10.1.2 站点选择

站点的选择应基于组织的安全需求。成本、位置及规模都很重要，但是始终应该优先考虑安全要求。

资产安全是否得到了确保在很大程度上取决于站点的安全性，这涉及大量的注意事项及环境元素。

站点位置与施工建造在整个选址过程中起着至关重要的作用。此外，还要重点考虑站点是否靠近其他建筑物与商业区。

要评估这些地方会吸引哪些人的注意，以及是否会对组织的正常运行及设施产生影响。

如果附近的商业吸引的游客太多，产生大量的噪音与震动，或处理危险物质，则会给雇员与建筑带来危险。

此外，还要考虑附近是否有应急事件响应处理人员以及其他一些因素。

至少要确保建筑物的设计能承受当地典型极端天气条件的考验，并能阻止或避开大多数明显的入侵企图。

在分析中，不仅要注意门窗这些易受攻击的入口点，也应评估可能会遮蔽非法闯入行为的障碍物（如树木、灌木、花盆、柱子、仓库建筑或人造物体）。

你的组织是否必须是易于访问并容易被看见的？或者是否应该将其设计为不突出的？

工业伪装(industrial camouflage)是指通过提供一个让人信服的外表替代方案来掩盖或隐藏设施的实际功能、目标或运营业务。

例如，数据中心可能看起来像食品包装设施厂。

10.1.3 设施设计

安全的首要任务应始终是保护人员的生命和安全。

因此，要确保所有设施设计和物理安全控制符合所有适用的法律、法规。

这些可能包括健康和安全要求、建筑规范、劳动限制等。

在美国，职业安全与健康管理局(OSHA)和环境保护局(EPA)制定了一些关于设施安全的通用法规。

不妨请一名设施安全官员来协助设施安全的设计、实施、管理和监督，这对十大多数组织来说都是值得的。

需要重点考虑的因素包括：

可燃性、火警等级、建筑材料、负载率、布局，以及对墙、门、天花板、地板、HVAC、电力、供水、排水、燃气等项目的控制。

暴力入侵、紧急通道、门禁、出入口方向、警报的使用以及传导性是其他需要重点评估的方面。

应按照保护IT基础设施与人员的原则，从正反两方面对设施中的每一元素进行评估（例如，水和空气是从设施内部往外正向流动的）。

关于“安全体系结构”的另一个很好的想法常被称为CPTED（通过环境设计预防犯罪）。

CPTED涉及设施设计、景观美化、入口概念、校园布局、照明、道路布置以及车辆和步行车辆的交通管理。

CPTED的核心原则是，可以有目的地对物理环境的设计进行管理、操纵和精心编排，以便影响或改变这些区域中人们的行为，从而减少犯罪，并减少人们对犯罪的恐惧。

想想看，一条黑暗的后巷有着凹陷的门口和几个大垃圾桶；然后将其与光线充足的街道、宽阔的人行道和吸引人的店面相比较。

只要想想这些地方，就可以注意到你对它们的感受。

CPTED设计指导的地点对人们的行为以及他们对地点的感知有着惊人但微妙的影响。

CPTED就如何改进设施设计以实现安全目的提出了许多建议，例如：

•将花盆的高度保持在2.5英尺以下，这样可以防止花盆成为藏身之处或被用作到达窗户的台阶。

•确保装饰物较小或远离建筑物。

•将数据中心定位在建筑物的核心位置。

•提供长椅和桌子，鼓励人们坐下来四处看看；它们提供了自动监视功能。

•在视野范围内安装摄像头，起到威慑作用。

•保持入口畅通（即没有树木或柱子等障碍物），维持较高的可见性。

•尽量减少入口的数量并在晚上或周末工人较少时将门关闭。

•在入门附近为访客提供停车场。

•确保货物通道和入口对公众而言不那么显眼，例如，将其放置在建筑物的背面，并要求使用备用道路。

CPTED有三种主要策略：

•自然环境访问控制是指通过设置入口，使用围栏和护柱，以及设置灯光，以对进出建筑物的人员进行微妙的引导。

其理念是使建筑物的入口点看起来比较自然，而不必使用上面写着“由此进入！＂的巨大标志牌。

该理念也可在内部扩展，通过创建安全区域来区分一般区域和需要特定级别或工作职责才能进入的更高安全区。

相同访问级别的区域应该是开放的、吸引人的、易于移动的，但那些受到限制或封闭的区域应该更难进入，需要个人具有更弹的意图并付出更多的努力才能进入。

•自然环境监视是一种通过增加罪犯被观察到的机会来使其感到不安的手段。

这可以通过一个开放和无障碍的外部区域来实现，尤其是入口周围，应确保其容易被人看到。

可以提供一个令人愉悦的环境（不是直接对着建筑物），以及大量的座位，从而鼓励员工甚至公众在该区域闲逛。

走道和楼梯应该是开放式的，这样一来，附近的人可以往容易地看到是否有人在场。

所有区域应该全天（尤其是在晚上）都有很好的照明。

•自然环境领域加固旨在使该区域令人感觉它像一个包容、关爱的社区。

该区域的设计应使其看起来是备受关照和尊重的，并受到了积极的保护。

这可以通过装饰、旗帜、灯光、景观、公司标识展示、清晰可见的建筑物编号、装饰性的人行道和其他建筑特征来实现。

这种方法会使入侵者感觉不自在，并且他们的活动被检测到的风险更高。

国际CPTED协会是这一主题很好的信息来源，由HUD政策发展和研究办公室出版的Oscar Newman 所著的《建立防御空间》也是关于该主题的。

CPTED并不能替代实际已有的防护措施，例如上锁的门、保安、栅栏和护柱。

然而，传统的物理屏障和CPTED策略的混合可以提供预防性安全以及检测与威慑安全。

10.2 实现站点与设施安全控制

“物理＂控制分类应被称为“设施“控制，因为保护设施的控制包括：政策、人员管理、计算机技术和物理屏障。

因此，不能简单地称这种分类为物理控制，这种说法并不准确，但物理控制是公认的术语。

•管理类物理安全控制包括：设施建造与选择、站点管理、建筑设计、人员控制、安全意识培训以及应急响应与流程。

•技术类物理安全控制包括：建筑访问控制、入侵检测、警报、视频监控系统、监视、HVAC的电力供应，以及火警探测与消防。

•现场类物理安全控制包括：围栏、照明、门锁、建筑材料。

在为环境设计物理安全时，需要注意各类控制的功能顺序，通常顺序如下：

(1) 威慑

(2) 拒绝

(3) 检测

(4) 延迟

(5) 判定

(6) 决定

安全控制的部署首先要能够“威慑＂（例如使用边界限制）入侵者并抑制其接近物理资产的企图。

如果威慑无效，应“拒绝”（如采用上锁的门）入侵者接触物理资产。

如果拒绝失败，“检测”系统应能及时发现入侵行为（如使用运动传感器）。

如果入侵者入侵成功，＂延迟”措施应尽量延迟入侵者的闯入，以便安保人员有充分时间做出响应（如加固资产）。

安保人员或法律机构应判定事件原因或评估情况，然后根据评估结果决定实施什么应对措施，例如逮捕入侵者或收集进一步调查的证据。

提示：

电缆锁通常用于保护较小的设备，使其更难被盗。大多数便携式系统都是用轻金属和塑料制成的，但窃贼不愿意偷窃电缆锁定的设备，因为当他们试图销赃时，若将电缆锁从安全/锁定插槽中强行取出，设备将很容易被损坏。

10.2.1 设备故障

组织可采用多种形式预防设备故障。

•在一些非关键场景，只要知道在48小时内从哪里能购买到配件，并进行更换即可。

•在其他一些情况下，则必须在现场维修待更换部件。

需要牢记的是，维修系统并将其恢复到可用状态的响应时间与付出的费用是成比例的。

这些费用包括：存储、运输、预购置，以及负责现场安装与恢复工作的专家的费用。

•在另外一些情况下，无法在现场进行维修更换工作。

面对这种情况时，务必与硬件厂商签订服务水平协议(service-level agreement, SLA)。

SLA中清楚写明了发生设备紧急故障时厂商的响应时间。

设备故障是导致可用性丧失的常见原因。

在决定保持可用性的策略时，通常必须了解每项资产和业务流程的关键性以及相关的允许中断窗口(AIW) 、服务交付目标(SDO)和最大允许/容忍中断时间(MTD/MTO)（有关这些概念的更多信息请参阅第3章和第18章）。

这些指标有助于将重点放在必要的策略上，以便在保证可用性、优化成本的同时最小化停机时间。

对于老旧的硬件，应安排其定期进行更换或维修。

维修时间的安排应基于每个硬件预先估计的MTTF与MTTR，或业界最佳实践的硬件管理周期。

•MTTF(mean time to failure, 平均故障时间）是特定操作环境下设备典型的预期寿命。

要确保所有设备在其MTTF失效之前都能得到及时更换。

•MTTR (mean time to repair, 平均恢复时间）是对设备进行修复所需的平均时间长度。

在预计的灾难性故障发生之前，设备常常要经过多次维修。

•另一种度量方法是MTBF(mean time between failures, 平均故障间隔时间），这是第一次与后续的任何故障之间的间隔时间估值。

如果MTTF和MTBF值相同或接近，制造商通常只列出MTTF来同时表示这两个值。

设备送修时，需要有替代件或备份件供临时之用。

通常，等设备出现小故障才进行维修的做法是可以接受的，但是，等设备出现大问题才进行维修更换的安全实践是难以被接受的。

10.2.2 配线间

电缆设备管理策略用于定义设施内网络布线和相关设备的物理结构和部署。

综合布线是互联线缆与连接装置（如跳线箱、接线板和交换机）的集合，它们组建成物理网络。

综合布线的组成要素包括如下几项。

•接入设施(entrance facility)：也被称为分界点或MDF, 这也是（通信）服务商的电缆连接到建筑物内部网络的接入点。

•设备间(equipment room)：这是建筑物的主布线间，通常与接入设施连接或相邻。

•骨干配线系统(backbone distribution system)：为设备间和通信间提供电缆连接，包括跨层连接。

•配线间(wiring closet)：通过为组网设备和布线系统提供空间来满足大型建筑中某一楼层或区域内的连接需要，也充当骨干配线系统和水平配线系统间的连接点。

配线间也被称为布线室、主配线架(MDF) 、中间配线架(IDF)和电信机房，在(ISC)² CISSP考纲3.9.1 中被称为中间配线设施。

•水平配线系统(horizontal distribution system)：提供通信机房与工作区域间的连接，通常包括布线、交叉连接模块、布线板以及硬件支持设施（如电缆槽、电缆挂钩与导管）。

分布电缆保护系统(PDS)是使电缆免受未经授权的访问或损坏的手段。

PDS的目标是阻止违规行为、检测访问尝试并防止电缆受损。

PDS实施的要素可以包括保护导管、密封连接和定期人员检查。

一些PDS的实施需要在管道内进行入侵或危害检测。

配线间也是方便连接多个楼层的地方。

在这种多层建筑中，配线间通常位于不同楼层正对的上下方。

配线间也常用于存放、管理建筑物中其他多种重要设施的布线，包括警报系统、断路器面板、电话信息模块、无线接入点与视频系统（包括安全摄像头）。

配线间的安全非常重要。

配线间的大部分安全措施都旨在防止非法的物理访问。

如果非法的入侵者进入该区域，他们可能会窃取设备、拉断电缆，甚至安装监听没备。

因此，配线间的安全策略应包括如下基本规则：

•永远不要把配线间用作一般的储物区。

•配备充足的门锁，必要时采用生物因素。

•保持该区域的整洁。

•该区域中不能存储易燃品。

•配备视频监控设备以监视配线间内的活动。

•使用开门传感器以进行日志记录。

•钥匙只能由获得授权的管理员保管。

•对配线间进行常规的现场巡视以确保其安全。

•将配线间纳入组织的环境管理和监控中，这样既能够确保合适的环境控制和监视，又能及时发现水灾和火灾之类的危险。

同样重要的是，应将配线间安全策略与访问限制告知大楼的物业管理部门，这样可进一步减少非法的访问企图。

10.2.3 服务器间与数据中心

服务器间、数据中心、通信机房、服务器柜以及IT机柜是封闭的、受限的和受保护的空间，用于放置重要的服务器与网络设备。

集中式服务器间环境不需要适宜人员常驻（与人的相容性不好）。

服务器间是为了放置设备（而不是为员工）而设计的，而且常常为了提高效率而关闭照明。

数据中心可将气化隔氧的哈龙替代物(halon-substitute)用于火警探测及灭火系统、最低1小时耐火级别的墙，以及低温、低照明或无照明、狭窄的设备空间。

服务器机房的设计应充分利用IT基础设施的优点，同时应能阻止非法人员的访问或干预。

服务器间应该位于建筑的核心位置。尽可能避免将服务器间设置在建筑物的一楼、顶楼或地下室。

此外，服务器间应远离水、燃气与污水管道。这些管道存在较大的泄露风险，可导致严重的设备损坏与停机。

对许多组织来说，其数据中心和服务器间是相同的。

对另外一些组织来说，数据中心则是外部的一个单独区域，里面部署了大量的后端PC服务器、数据存储设备与网络管理设备。

数据中心可能靠近主办公区，也可能是位置较远的一栋独立建筑。

数据中心可能由组织单独拥有与管理，也可能租用数据中心提供商的服务（如CSP或托管中心）。

一个数据中心可能是单租户配置，也可能是多租户配置。

在很多数据中心与服务器室中，采用各种技术的访问控制来管理物理访问。

这包括但不限于：智能卡/哑卡、接近式装置及读卡器、生物特征识别、入侵检测系统(IDS)（重点关注物理入侵），以及基于纵深防御的设计。

1. 智能卡和胸卡

•胸卡、身份识别卡和安全ID是物理身份识别或电子访问控制设备的形式。

胸卡可以像姓名标签一样简单，表明你是员工还是访客（有时被称为“无声卡”)。

或者，它可以像智能卡或令牌设备一样复杂，采用多因素身份认证来验证和证明你的身份，并提供身份认证和授权来允许你访问设施、特定房间或安全工作站。

胸卡可以根据设施或分类级别进行颜色编码，通常包括：照片、磁条、二维码或条形码、智能卡芯片、RFID、NFC以及帮助保安验证身份的个人详细信息。

• “智能卡”(smartcard) 既可以是一种信用卡大小的身份标识、胸卡，也可以是带嵌入式磁条、条形码、集成电路芯片的安全通行证。

其中包含授权持有者的信息，用于识别和身份认证的目的。

一些智能卡甚至可进行信息处理，或在记忆芯片中存储一定数量的数据。

下面是几条与智能卡有关的短语与术语：

•包含集成电路(IC) 的身份令牌

•处理器IC卡

•支持ISO 7816接口的IC卡（见图10.1)

图10.1 支持ISO 7816 接口的IC 卡

智能卡通常被视为一种可靠的安全解决方案，但这不意味着单纯依靠智能卡本身就可以高枕无忧。

智能卡是“你所拥有的“身份认证因素。与任何单一的安全机制一样，智能卡也存在弱点与脆弱性。

智能卡可能会成为物理攻击、逻辑攻击、特洛伊木马攻击，或社会工程攻击的牺牲品。

大多数情况下，一张智能卡工作在多因素配置下。如此一来，即使智能卡被盗或遗失，也不会被冒用。

智能卡中最常用的多因素形式是PIN码。有关智能卡的详细内容会在第13章中进行介绍。

智能卡可用于双重（或多重）目的，例如在壁挂式读卡器附近挥动智能卡以访问设施，或将智能卡插入读卡器以访问计算机系统（之后通常会提示输入个人识别码或其他身份认证因素，即MFA) 。

•磁条卡(memory cards)是带机器可读磁条的ID卡。

类似于信用卡、借记卡或ATM卡，磁条卡内可以存储少量的数据，但不能像智能卡一样处理数据。

磁条卡经常用于一类双因素控制：该卡是“你所拥有的“，同时卡的PIN码是“你所知的＂。

但是，记忆卡易于复制，所以不能在安全环境中用于验证的目的。

胸卡可用于识别或身份认证。

•当胸卡用于识别时，应在设备中刷卡，然后胸卡所有者必须提供一个或多个身份认证因素，如密码、密码短语或生物特征（如果使用生物识别设备）。

•当胸卡用于身份认证时，胸卡所有者应提供ID、用户名等，然后滑动胸卡以进行身份认证。

当员工被解雇或以其他方式离开公司时，按照离职流程，应收回并销毁其胸卡。

设施安全部门可能要求每个授权人员在清晰可见的地方佩戴胸卡。

胸卡应设计有安全功能，以尽量降低入侵者进行替换或复制的能力。

应将单日通行证或访客胸卡清楚地标记为明亮的颜色，以便人员从远处识别，对于需要护送的访客，尤其如此。

2. 接近式设备(proxitnity device)

除了智能卡，接近式设备也可以用来控制物理访问。

接近式设备可能是一种无源设备、磁场供电设备或应答器。

接近式设备由授权用户佩戴或持有。

当接近式设备通过读卡器时，读卡器能够确定持有者的身份，也可判断持有者是否获得了进入授权。

•无源设备中没有有源电子器件，它只是一块具有特殊性质的小磁铁（比如零售产品包装中常见的防盗装置）。

无源设备反射或改变读卡器设备产生的电磁场，当读卡器检测到这种变化时，会触发警报，记录日志事件或发送通知。

•磁场供电设备内装有电子器件，当设备通过读卡器产生的电磁场时，电子器件就会启动。

这些设备实际上是利用电磁场产生的电能给自己供电（如读卡器，只需要在离读卡器只有几英寸远的地方将门禁卡晃动儿下，就可打开房门）。

这就是射频识别(RFID) 的概念；有关更多信息，请参阅第11章。

•应答器是一种自供电设备，其发出的信号被读卡器接收。

工作原理类似于常见的按钮（如车库门开关与密钥卡）。

这些设备可能含电池或电容，甚至可能由太阳能供电。

除了智能卡与接近式设备和读卡器，还可通过RFID及生物识别访问控制设备进行物理访问管理。

生物识别设备的内容可参见第13章。此外，还有其他一些设备，如链条锁，加锁机柜和数据中心的大门，也可保护设备的安全。

10.2.4 入侵检测系统

入侵检测系统(IDS)既有自动的，也有人工的。

主要用于探测：

•入侵、破坏或攻击企图；

•是否使用了未经授权的入口；

•是否在未授权及非正常时间内发生了特殊事件。

监视真实活动的入侵检测系统包括：

保安、自动访问控制、动作探测器以及其他专业监视技术。

请参阅第17章，了解各种避免破坏网络或主机的IDS（一种逻辑/技术控制）。

物理入侵检测系统也被称为＂盗贼警报”。

其作用是探测非法活动并通知安保人员（内部保安或外部的执法人员）。

•最常见的一类系统在入口使用一个简单的干式接触开关电路来检测门窗是否被打开。

•窗户通常包括一个内部金属丝网或安装在表面的金属箔条，用于检测玻璃何时破裂。

•一些系统甚至可能使用基于光束的三线机制来检测进入受控区域的行为。

这类似于大多数自动车库门底部的安全机制。所有这些都是检测周边破坏行为的方法示例。

大多数入侵检测系统或防盗报警系统将包括检测周边破坏和内部运动的方法（见下一节“动作探测器”)，这可能触发响应或声音警报（见下一节”入侵警报”)。

任何入侵检测及警报系统都有两个致命的弱点：电源与通信。

如果系统失去电力供应，检测和警报机制将无法工作。

下面两种措施都用于防止入侵者通过切断电源、切断通信电缆或干扰无线电信号来绕过检测与警报系统。

•因此，一个可靠的检测与警报系统，应该配备电力充足的备用电池，以确保系统24小时都能正常工作。

•如果通信线路被切断，警报也会失效，因为无法通知安保人员以请求应急服务。

因此，一个可靠的检测与警报系统应配备“心跳传感器”以进行线路监视。

心跳传感器的功能是通过持续或周期性的测试信号来检查通信线路是否正常。

如果接收站检测不到或者丢失1~2次心跳信号，就自动触发警报。

1. 动作探测器

“动作探测器”或“动作传感器”是一种在特定区域内感知运动或声音的装置，在入侵检测系统中是一种常见的装置。

动作探测器的种类很多，包括下面列出的几种。

•“数字动作探测器”监视受控区域内数字图案的变化。这其实是一个智能安全摄像头。

•“被动红外(PIR)或热量动作探刻器”监视受控区域内热量级别与模式的变化。

•“波动动作探测器“向被监测区域内发射持续的低频超声或高频微波信号，并监视反射信号中的变化与扰动。

•“电容动作探测器“感知被监视对象周围电场或磁场的变化。

•“光电动作探测器“感知受监视区域内可见光级别的变化。光电动作探测器经常部署在没有窗户且没有光线的内部房间中。

•“被动音频动作探测器”监听被监视区域内是否有异常声响。

2. 入侵警报

当动作探测器发现环境中出现异常，会立即触发警报。

”警报”是一种独立的安全措施，能够启动防护机制，并且发出通知信息。

•阻止警报(deterrent alarms) 能启动的阻止手段可能有：关闭附加门锁、关闭房门等。

该警报旨在进一步提升入侵或攻击的难度。

•驱除警报(repellent alarms) 触发的驱除手段通常包括：拉响警报、警铃或打开照明。

该类型的警报旨在警告入侵者或攻击者，阻止其恶意的或穿越的行为，并迫使他们离开。

•通知警报(notification alarms) 被触发时，入侵者/攻击者并无察觉，但系统会记录事件信息并通知管理员、安全警卫与执法人员。

事件记录的信息可能是日志文件或安全摄像头视频记录。

此类警报之所以保持静默，是为了让安全人员能及时赶到，并抓住图谋不轨的入侵者。

也可按照警报安装的位置对警报进行分类：本地的、中心的，或专有的、辅助的。

•本地警报系统(local alarm system) 发出的警报声必须足够强（声音可能高达120 分贝），以保证人员在400英尺以外也能听清。

此外，警报系统通常需要有安全警卫进行保护，以免遭受不法分子的破坏。

本地警报系统若要发挥作用，就必须在其附近部署安全保卫团队，以便在警报响起时能迅速做出反应。

•中心站系统(central station system) 通常在本地是静默的，当发生安全事件时，站区外监视代理会收到通知，同时安全团队会及时做出响应。

大多数居民安保采用的都是此类系统。

大多数中心站系统都是知名的或全国范围的大公司，如Brinks和ADT。

•专有系统(proprietary system) 与中心站系统类似，但是，拥有此类系统的组织会在现场配备其专属的安保人员，并让他们随时待命，以便对安全事件做出响应。

•辅助站(auxiliary station) 系统可附加到本地或中心警报系统中。

当安全边界受到破坏时，应急服务团队收到警报通知，对安全事件做出响应并及时到达现场。

此类服务可能包含消防、警察及医疗救护。

安全方案中可以包含上面所述的两种或多种入侵与警报系统。

3. 二次验证机制

在使用动作探测器、传感器与警报时，还应配备二次验证机制。

随着设备灵敏度的增加，出现误报的情况也日益频繁。

此外，小动物、飞鸟、蚊虫以及授权人员也可能会错误地触发警报。

部署两种或多种探测器及传感器系统，或者在两种或多种触发机制连续动作时才发出警报，这样可大幅减少误报，同时提高警报通知真实入侵或攻击行为的准确性。

安全摄像头是与动作探测器、传感器以及警报相关的安全技术。

然而，安全摄像头不是一种自动化探测——响应系统。

安全摄像头通常需要专门人员紧盯监控视频或者直播画面，来发现可疑恶，意活动并发出警报。

安全摄像头拓展了安全警卫的有效探测距离，因此扩大了监视的范围。

许多情况下，安全摄像头不会被用作主要的探测工具，因为雇用专门的视频监控人员的费用太高。

但是，安全摄像头却可以用于自动系统触发后的二次或后续验证机制。

事实上，安全摄像头与事件记录信息的关系，类似于审计与审计踪迹的关系。

安全摄像头是一种威摄措施，而检查事件记录信息是一种检测措施。

10.2.5 摄像头

视频监视/监控、闭路电视(CCTV)和安全摄像头都是威慑不必要的活动并创建事件数字记录的手段。

摄像头的位置应能监视出入点，以允许授权或访问级别的变化。

摄像机还应该用于监控重要资产和资源周围的活动，并为停车场和人行道等公共区域提供额外保护。

提示：

闭路电视是一种驻留在组织设施内的安全摄像系统，通常与监视器相连，以便保安人员观看，并与记录设备相连。

大多数传统的闭路电视系统已经被远程控制的IP摄像头（又名安全摄像头）所取代。

应确保安全摄像头的位置和功能与设施的内部和外部设计相协调。

摄像机的位置应确保所有外墙、出入口点以及内部走廊的视线清晰。

安全摄像头可以是公开和明显的，以提供威慑效果，也可以是隐蔽的，这样它将主要提供监测效果。

大多数安全摄像头将其捕获的画面记录到本地或基于云的存储中。

摄像头的类型各不相同，包括光学、红外和运动触发记录。

一些摄像头是固定的，而另一些则支持远程控制的自动摇摄、倾斜和变焦(PTZ) 。

一些摄像系统包括系统级芯片(SoC)或嵌入式组件，并且可以执行各种特殊功能，如延时记录、跟踪、面部识别、目标检测、红外或色彩过滤记录。

此类设备可能会成为攻击者的目标，受到恶意软件的感染或受到恶意黑客的远程控制。

假冒或伪装的摄像头可以以最小的成本实现威慑。

许多安全摄像头都是通过联网功能（例如IP 摄像头）进行访问和控制的。

一些摄像头或增强型视频监控(EVS)系统能够检测目标，包括人脸、设备和武器。

检测到物体或人员时可能会触发视频留存、通知安保人员、关门/锁门或发出警报。

一些摄像头则可通过识别运动来激活，运动识别可触发视频留存或将事件通知安全人员。

一些电动汽车服务商甚至可以自动识别个人并跟踪他们在监控区域内的运动。

这可能包括步态分析。

步态分析是对一个人走路方式的评估，是一种生物特征认证或识别的形式。

每个人都有一个独特的行走模式，该模式可以被用来识别他们。

步态分析可用于步行路径认证和入侵检测。

步态分析是一种有效的生物学特征，可用于区分授权个人和未授权入侵者。

简单的运动识别或运动触发摄像头可能会被动物、鸟类、昆虫、天气或树叶所欺骗。

为了区分虚假警报和入侵，应使用辅助验证机制。

许多摄像头解决方案和EVS可以通过机器学习来增强，从而通过自动化、改进的图像、动作识别模式来改进视频监控。

10.2.6 访问滥用

无论使用哪种形式的物理访问控制，都需要配备安保人员或其他监视系统来防止泄用行为，例如未经授权的进入。

物理访问控制的滥用事例包括：支持打开安全大门或者故障开启出口(fail-safe exits) 、绕过门锁或访问控制。

“假冒”（impersonation)和“伪装”(masquerading)是指冒用他人的安全ID来获得访问权限。

＂尾随"(tailgating)和“捎带”(piggybacking) 是利用授权人员获得未经授权进入的手段。

有关假冒、伪装、尾随和捎带的讨论，请参见第2 章。

检测方式：

•创建审计踪迹

•保留访问日志

•使用安全摄像头

•使用保安

即使对于物理访问控制，审计踪迹与访问日志也是有效的技术手段。

日志既可由安保人员手工记录，也可在足够的访问控制技术条件（如智能卡与特定的接近装置）下自动进行记录。

审计踪迹与访问日志记录里的重要信息包括：事件发生的时间、身份认证过程的结果（成功或失败）、安全们打开的持续时间等。

除了电子或纸质记录，还应采用安全摄像头来监视各个入口点。

可以将安全摄像头记录的事件视频信息，与审计踪迹及访问日志信息结合起来进行对比参照。

这对于还原入侵、破坏或攻击事件的全过程至关重要。

10.2.7 介质存储设施

介质存储设施用于安全存储空白介质、可重用介质及安装介质。

无论是硬盘、闪存设备、光盘，还是磁带，各种介质都应受到严格保护，以免其被盗或受损。

带锁的储藏柜或壁橱足以满足此目的，如有必要，还可安装保险箱。

对于新的空白介质，也要防止其被偷或被植入恶意软件。

对于可擦写介质（如U盘、闪存卡或移动硬盘），要防止其被偷或进行数据残余恢复。

“数据残余”是指存储设备经过不充分的清除过程后依然残留的数据（参见第5章）。

标准删除或格式化操作只清除目录结构，并将簇区标记为可用，却并没有将簇区中存储的数据完全删除。

只需要使用简单的反删除工具或数据恢复扫描器，就可以恢复这些数据。

通过限制对介质的访问并使用安全擦除工具，可以减少此类风险。

要保护安装介质，防止其被盗或被植入恶意软件。

这样能够保证在需要安装软件时，有安全的介质可用。

下面列出了实现安全介质存储设施的一些方法。

•将存储介质保存在上锁的柜子或保险箱里，而不是办公用品货架上。

•将介质存放在上锁的柜子里，并指定专人进行管理。

•建立检入/检出制度，跟踪库中介质的查找、使用与归还行为。

•当可重用介质被归还时，执行介质净化与清零过程（使用全零这样的无意义数据进行改写），以清除介质中的数据残余。

•采用基于哈希的完整性检查机制来校验文件的有效性，或验证介质是否得到了彻底净化并不再残留以前的数据。

提示：

保险箱是一种可移动、安全的容器，而且没有与建筑集成。

保险库是一个集成到建筑结构中的永久性保险箱或库房。

对安全要求高的组织有必要在介质上打上安全提示标签，以标识其使用等级，或在介质上使用RFID/NFC 资产追踪标记（参见第11 章）。

更高等级的保护要求还可以包括：防火、防水、防磁以及温度监视与保护。

10.2.8 证据存储

对于所有组织（不仅仅是执法部门）来说，证据存储正变得越来越有必要。

事故响应的一个关键部分是收集证据以进行根本原因分析（见第17 章）。

随着网络安全事件的持续增加，日志、审计记录以及其他数据事件记录的保留变得日益重要。

同时，有必要保存磁盘镜像及虚拟机快照，以便以后对比。

这样不仅有利于公司的内部调查，也有助于执法部门的取证分析。

务必保存可能作为证据的数据，这对公司的内部调查和执法部门的网络犯罪调查都至关重要。

安全证据存储的要求：

•使用与生产网络完全不同的专用存储系统。

•如果没有新数据需要存入，应让存储系统保持离线状态。

•关闭存储系统与互联网的连接。

•跟踪证据存储系统上的所有活动。

•计算存储在系统中的所有数据的哈希值。

•只有安全管理员与法律顾问才能访问。

•对存储在系统中的所有数据进行加密。

此外，根据不同的管理条例、行业要求或合同义务，证据存储系统还应满足其他一些安全要求，详见第19 章。

10.2.9 受限区与工作区安全

对于内部区（包括工作区域与访客区域）的安全，应进行认真的设计与配置。

设施内所有区域的访问等级不能是整齐划一的。

存放高价值或非常重要的资产的区域，应受到更严格的访问限制。

任何进入设施的人可使用休息室及公共电话，但不能进入敏感区域；

只有网络管理员与安全人员才能进入服务器间和配线间。

高价值及保密的资产应处于设施的保护核心或中心。

事实上，你应将注意力集中在物理保护环的中心。

这样的配置要求人员必须不断获得更高级的授权，才能逐级进入设施中更敏感的区域。

•墙与隔断能够用于分隔相似但不同的工作区域。这种分隔可防止无意的肩窥或偷听行为。

肩窥(shoulder surfing)是指通过偷窥显示器及键盘操作来收集信息的行为。

使用封闭墙壁后能够分隔出不同敏感等级及保密等级的区域（墙壁应该避开天花板的悬吊或脆弱部分，墙壁是不同安全等级区域间牢不可破的障碍）。

•清洁办公桌政策（或青洁办公桌空间政策）用于指导员工如何以及为什么在每个工作周期结束时清洁办公桌。

在安全方面，这种政策的主要目标是减少敏感信息的披露。

这可能包括：密码、财务记录、医疗信息、敏感计划或时间表以及其他机密材料。

如果在每天/每班结束时，工人将所有工作材料放入可上锁的办公桌抽屉或文件柜中，可防止这些材料暴露、丢失或被盗。

每个工作区都应按照IT资产分级进行计估与分级。

只允许获得许可或具备工作区访问权限的人员进入。

应为不同目的及用途的区域分配不同的访问及限制级别。

区域内可访问的资产越多，对进入区域的人员及其活动的限制规定就越重要。

设施的安全设计应反映对内部安全实现及运营的支持。

除了对正常工作区内的人员进行管理，还要进行访客管理与控制。

检查一下是否建立了访客陪护制度，现有哪些形式的访客控制措施，除了钥匙门锁这些基本的物理安全工具，是否配备了访问控制前台、视频摄像头、日志记录、安全警卫及RFIDID标签这些安全机制。

一个安全受限工作区的实例是敏感隔间信息设施(sensitive compartmented informationfacility, SCIF) 。

政府与军事承包商经常使用SCIF建立进行高敏感数据存储与计算的安全环境。

SCIF的目的是存储、检查以及更新敏感的隔离信息(sensitive compartmented information,SCI) 。

隔离信息是一种机密信息，对SCIF内数据的访问受到严格限制，只对那些有特定业务需要并获得授权的人员开放。

这通常由人员的许可等级与SCI的准入等级来确定。

大多数情况下，SCIF禁止在安全区内使用拍照、摄像设备或其他记录设备。

SCIF 可以建造在陆地设施、飞行器或飘浮平台里。

SCIF 既可以是一个永久性建筑，也可以是临时性设施。

SCIF通常处于一个建筑中，而完整的建筑也可成为一个SCIF 。

10.2.10 基础设施关注点

IT的可靠运行和持续执行业务任务的能力通常取决于日常实用程序的一致性。

以下各节讨论电力、噪声、温度和湿度的安全问题。

1. 电力

电力公司的电力供应并不是持续和洁净的。大多数电子设备需要洁净的电力才能正常工作。

电压波动引起的设备损坏时有发生。许多组织采用各种方法来改善各自的电力供应。

•电源管理的第一个阶段或级别是使用浪涌保护器。

但是，这些仅提供电源过载保护。

如果出现电源尖峰，浪涌保护器的保险丝将跳闸或熔断（即烧断），此时所有电源将被切断。

只有当瞬间断电不会对设备造成破坏或损失时，才能使用浪涌保护器。

•下一个级别是使用电源或线路调节器。

它是一种先进的浪涌保护器，也能够消除或过滤线路噪声。

•第三级电源保护是使用“不间断电源”(uninterruptible power supply, UPS) 。

UPS是一种自充电电池，可为敏感设备提供持续洁净的电力供应。

除了电池提供的备份电源外，大多数UPS设备还提供浪涌保护和电源调节。

UPS有两种主要类型：（UPS也被称为备份或备用UPS）

•双变换(double conversion)UPS 从墙上的插座里获取电力，并将电力存储在电池里，再将电池里存储的电力供给所连接的设备。

•在线交互式(line-interactive)UPS 有浪涌保护器、电池充电/逆变器以及位于电网电源及设备间的电压调节器。

在正常条件下，电池是离线的。

此类UPS配备三位开关，如果电网停电，设备可以通过电池逆变器及电压调节器获取不间断的电力供应。

当供电中断时，此类UPS 的低端版本可能导致短时中断，尽管大多数系统应能继续运行，但可能会损坏敏感设备或导致其他设备关机或重新启动。

UPS的主要用途是在断电或与电网断开时，使用电池供电以继续支持设备的运行。

UPS可以持续供电数分钟或数小时，具体取决于其电池容量以及连接的设备所需的功率（即负载）。

当设计基于UPS的电源管理解决方案时，应考虑关键系统的持续供电，而对于非关键系统可以在必要时切断供电。

这种方法有助于关键电力的优化和分配。

•另一个电源选项是备用电池或故障转换电池。

这是一个将电力收集到电池中的系统，当电网发生故障时，可以进行切换，以便从电池中提取电力。

一般来说，这种类型的系统用于为整个建筑供电，而不仅仅是为一个或几个设备供电。

许多传统版本的电池备份未作为UPS的一种形式实施，因此，当电网电源发生故障时，设备通常会在一段时间（即使只是一瞬间）

内完全断电，并进行切换，以便用电池恢复供电。

一些现代电池备份更像UPS, 因此不会中断电源。

•最高级别的电力保护是使用发电机。

如果在低压或停电的情况下仍然需要维持一段时间的正常运营，就应该配备发电机。

当检测到电力供应中断时，发电机会自动开启。

大部分发电机都使用液态燃油或气体燃料，并且需要定期进行维护，以确保其使用安全可靠。

发电机可以充当替代或备用电源。

在燃料供应充足的情况下，特别是可以再补给的情况下，发电机可以充当长期替代电源。

即使安装了发电机以提供连续备用电源，也应使用UPS。

UPS的目的是提供足以让系统正常关机的电源，或者持续供电，直至发电机通电并提供稳定的电源。

发电机可能需要几分钟才能触发、启动（即打开）并预热，以提供稳定的电源。

电力术语：

￭故障(fault)：瞬时断电。

￭停电(blackout)：完全失去电力供应。

￭电压骤降(sag)：瞬时低电压。

￭低电压(brownout)：长时低电压。

￭尖峰(spike)：瞬时高电压。

￭浪涌(surge)：长时高电压。

￭合闸电流(inrush)：通常是接入电源（主电源、替代／副电颉）。

￭接地(ground)：电路中接地导线将电流导入大地。

所有这些都可能导致电气设备出现问题。出现电力故障时，必须确定故障点的位置。

如果故障出现在电表箱以外，应该由电力公司来修理，而其他内部问题都需要自己解决。

2. 噪声

噪声是某种形式的紊乱、插入或波动的功率产生的十扰。不连续的噪声被标记为瞬态噪声。

噪声不仅会影响设备电源的正常工作，还可能干扰通信、传输以及播放的质量。

电流产生的噪声能够影响任何使用电磁传轮机制的数据通信，比如电话、手机、电视、音频、广播及网络。

有两种类型的电磁干扰(electromagnetic interference, EMI)：普通模式与穿透模式。

• 普通模式噪声 是由电源火线与地线间的电压差或操作电气设备而产生的。

• 穿透模式噪声 则是由火线与零线间的电压差或操作电气设备产生的。

无线电频率干扰(radio-frequency interference, RFI)是另一种噪声与干扰源，它像EMI一样能够干扰很多系统的正常工作。

会产生RFI的普通电器多种多样，如荧光灯、电缆、电加热器、计算机、电梯、电机以及电磁铁，所以在部署IT系统和其他设施时，一定要注意周围电器的影响。

务必使电源与设备免受噪声的影响，从而为IT基础设施提供正常的生产与工作环境，这十分重要。

保护的措施有：

￭提供充足的电力供应

￭建立正确的接地

￭采用屏蔽电缆

￭将电缆铺设在屏蔽干扰的管道中

￭使用光纤网络

￭使铜缆远离EMI和RFI发射源。

3. 温度、湿度与静电

除了电力因素，对环境的保护还包含对HVAC系统的控制。

放置计算机的房间温度通常要保持在59~89.6℉(15~32°C)之间。

但是，极端环境下，设备的运行温度低于或高于此范围10~20℉。

实际温度并不重要，重要的是防止设备达到可能导致损坏的温度，并优化与设备性能和湿度管理相关的温度。

有些设备在较高或较低的温度下可以更有效地工作。通常，温度管理使用风扇进行优化。

风扇可以直接连接到设备（如CPU、内存银行或视频卡）上的散热器，也可以与机箱或主机存储机柜（如机架安装机柜）连接。

风扇将热空气从设备抽出，并补充冷空气。

冷、热通道 是大型服务器机房中保持最佳工作温度的一种方式。

总体技术是将服务器机架排列成由通道隔开的直线（见图10.2) 。

机房气流系统中上升的热空气被天花板上的进气口捕获，而冷空气则从相反的通道（天花板或地板）送回。

因此，每个通道是冷热循环的。

图10.2 冷热气流通道

提示：

常见的暖通空调(HVAC)是正压送风系统。

正压送凤系统由箱体和管道组成，这些箱体和管道将空调空气分配到整个建筑中。

正压送风系统空间是用于包含HVAC正压送风系统构件的建筑区域。

正压送凤系统空间通常不同于建筑物内的人类居住空间。

根据大多数国家/地区的建筑规范，放置在正压送凤系统空间中的物体都必须具有正压送风系统等级，特别地，如果建筑物是可能聚集气体的密闭空间，这种防火等级要求这些产品产生最低水平的烟雾或有毒气体。

例如，电缆和网络电缆是常用的阻燃型产品。

温度管理的一个重要方面是保持温度稳定，而不是让其上下波动。

这种热振荡会使材料膨胀和收缩，可能会导致芯片蠕变（摩擦配合连接从插槽中脱离）或焊接点出现裂纹。

也建议你在数据中心保持正气压，并保持较高的空气过滤水平。

这些措施将有助于减少灰尘、碎屑、细微颗粒物和其他污染物（如清洁化学品或车辆废气）的渗透。

如果没有这些措施，这些颗粒会随着时间的推移而堆积起来；由于静电作用，灰尘会附着在表面上，而这可能导致腐蚀。

此外，计算机机房内的湿度应保持在20%~80%（新的数据中心标准）。

湿度太高时会发生冷凝作用，腐蚀计算机中的配件；湿度太低时会产生静电，导致静电放电(ESD) 。

即使铺设了防静电地板，低湿度的环境依然可能通过人体产生20000伏的静电放电。

正如表10.1 所示，即使是最低等级的静电放电电压，也足以击毁电子设备。

表10.1 静电电压与破坏力

提示：

环境监测是测量和评估给定建筑结构内环境质量的过程。

这可以关注一般或基本问题，如温度、湿度、灰尘、烟雾和其他废弃物。

更先进的系统可以包括化学、生物、放射性和微生物探测器。

4. 关于水的问题（如漏水、洪水）

水的问题，如漏水和洪水，也应在环境安全策略及程序中得到解决。

水管漏水的情况不是每天都会发生，可是一旦发生就会带来非常大的损失。

水与电不相容，如果计算机进了水，特别是当其处于运行状态时，肯定会对系统造成破坏。

此外，当水、电相遇时，还会增加附近人员的触电风险。

在任何可能的情况下，服务器间、数据中心与关键计算机设备都要位于建筑中远离水源或水管的位置。

在关键系统的周围，还需要在地板或者数据中心的架空地板下面安装漏水探测绳。

如果设备周围发生渗水事故，漏水探测绳会发出警报以提醒相关人员。

如果想减少紧急情况的发生，还需要知道水阀及排水系统的位置。

除了监控水管漏水的情况，还需要评估设施处理大暴雨或附近发生洪水的能力。

￭建筑是位于山上还是在山谷里？

￭是否具备足够的排水能力？

￭本地是否有发洪水或堰塞湖的历史？

￭服务器间是不是设置在地下室或顶楼？

￭建筑物周围是否有可能导致江水或暴雨直接进入建筑物的水景景观？

10.2.11 火灾预防、探测与消防

绝对不能忽视火灾的预防、探测与消防。

任何安全与保护系统的首要目标是保障人身的安全。

除了保护人员的安全，火灾探测与消防系统的设计还应努力将火、烟及热量造成的财产损失降到最低，并减少灭火剂的使用。

标准的火灾预防与灭火知识培训主要涉及火灾三要素，也可称之为火灾三角形（参见图10.3）。

三角形的三个角分别是燃料、热量与氧气。三角形中心表示的是这三个要素间发生的化学反应。

火灾三角形重点揭示出：只要移走三角形中匹项要素的任意一项，火就能被扑灭。

不同的灭火剂解决火不同方面的问题。

￭水降低温度。

￭碳酸钠和其他干粉灭火剂阻断燃料的供应。

￭二氧化碳抑制氧气的供应。

￭哈龙替代物和其他不可燃气体干扰燃烧的化学反应和抑制氧气供应。

图10.3 火灾三角形

在选择灭火剂时，首先要考虑针对的是火灾三角形的哪些方面，该灭火剂的效果如何，

另外，还要考虑灭火剂对环境的影响。

除了理解火灾三角形，还需要理解火灾的发展阶段。火灾会经历很多阶段，图10.4 展示了其中最主要的四个阶段。

图10.4 火灾的四个主要阶段

阶段1: 早期阶段只有空气电离，没有烟雾产生。

阶段2: 在烟雾阶段，可以看见烟雾从着火点冒出。

阶段3: 在火焰阶段，用肉眼就能看见火焰。

阶段4: 在炙热阶段，火场温度沿着时间轴急剧升高，火场中聚集了大量热量，其中的任何可燃物都燃烧起来。

火灾发现得越早，就越容易扑灭，火灾以及灭火剂造成的损失也越小。

防火管理的一个基础是适当的人员防火意识培训。

￭员工需要接受安全和逃生程序方面的培训。

每个人都应非常熟悉设施中的消防原理，也应熟悉所在主工作区至少两条的逃生通道，还应知晓如何在设施中的其他地方发现逃生通道。通常情况下，应将疏散路线张贴在公共或中心区域（如电梯附近）的墙上，由紧急出口标志指示，并在人员培训和参考手册中定义。

￭此外，还应培训人员如何发现与使用灭火器。

其他防火或通用应急响应培训内容还包括：

￭心肺复苏(CPR)

￭紧急关机程序

￭一般急救

￭自动体外除颤器(AED)

￭预设集合点或安全验证机制（如语音邮箱）

员工接受培训后，应通过演练和模拟对培训进行测试。

人身安全的所有要素，特别是与人的生命和安全有关的要素，都应定期进行测试。

（在美国）法律规定必须定期检查灭火器、火灾探测器报警器和电梯。

提示：

数据中心中的大部分火灾都是由电源插座过载引起的。

笫二个常见原因是加热装置（如咖啡壶、热板和空间加热器）靠近易燃材料（如纸、布和纸板）时使用不当。

1.灭火器

如果员工在探测系统探测到火灾之前就发现了火情，那么他们可以使用手持式灭火器灭火。

目前存在着若干种灭火器。了解何种类型的灭火器适用于哪些火灾，对于有效扑灭火灾至关重要。

如果灭火器使用得不正确，或所选灭火器对火灾的类型不合适，结果就会适得其反，不仅无法灭火，还会让火势蔓延。

灭火器在火灾的前三个阶段有效，但在阶段4 （即炙热阶段）作用不大。

幸运的是，当地消防法规和建筑规范通常会规定灭火器的类型。

对于大多数标准的办公环境，多级灭火器（例如ABC 类）适用于办公场所最常见的火灾类型。

表10.2 列出了常见类型的灭火器。

表10.2 灭火器类别

提示：

水和其他液体不能用于B/K类火灾，因为它们会蒸发，导致爆炸，并会让可燃液体扩散到整个区域。

水也不能用于C 类火灾，因为存在触电的危险。氧气抑制剂不能用于金属火灾，因为燃烧的金属会产生氧气。

2. 火灾探测系统

为了使设施免受火灾的影响，需要安装自动火灾探测与消防系统。

火灾探测系统的类型有很多。

￭固定温度探测系统 在环境达到特定温度时会触发灭火装置。

这是最常见的探测器类型，存在于大多数办公楼中。

可见的洒水喷头同时具有检测和释放功能。

触发器通常是一种金属或塑料材质的部件，安装在灭火喷头上。

当温度上升到设定值时，这个部件就会熔化，从而打开喷头以洒水灭火。

另外一种触发器使用小玻璃瓶，其中充满了化学物质。

当温度升高到设定值时，化学物质会快速挥发并粉碎小瓶，产生的过压会启动灭火装置。

这种系统价格低廉，可长时间保持可靠性。

￭上升率探测系统 在温度的上升速率达到特定值时启动灭火功能。

它们通常是数字温度测量装置，在冬季的几个月里，可能会因HVAC加热而产生误报，因此没有得到广泛应用。

￭火焰驱动系统 依靠火焰的红外热能触发灭火装置。

这种系统快速、可靠，但通常相当昂贵，因此，通常仅在高风险环境中使用。

￭烟雾驱动系统 将光电或辐射电离传感器用作触发器。

这两种方法都可以监测空气中的微粒对光或辐射的阻碍。

虽然警报是由烟雾触发的，但灰尘和蒸汽有时也会触发警报。

基于放射性电离的烟雾探测器将销用作a 粒子的来源，并使用盖革(Geiger)计数器来检测这些粒子穿过气隙的传输速率。

这种元素产生的辐射水平很低，人体表面的一层死皮细胞就足以阻止其传播。

早期（火情）烟雾探测系统，也被称为吸气传感器，能够探测出燃烧早期阶段产生的化学物原，此阶段使用其他方法尚不能发现潜在的火情。

这些设备比“火焰驱动“传感器更昂贵，因此仅用于高风险或关键的环境中。

为能充分发挥作用，火灾探头的安装位置也十分重要。

房间的吊顶和活动地板中、服务器间、个人办公室、公共区域中都需要安装， HVAC通风井、电梯井、地下室等地方也不能遗漏。

一旦火灾探测设备发现火灾，就会触发火灾警报。

大多数火灾警报都是响亮、刺耳的哗哗声或警笛声，并伴随着明亮的闪光。

火灾警报应明显、令人震惊、引人注意，应确保不出现误会或“没有注意到“。

一旦发生火灾警报，所有人员都必须按照接受过的安全培训撤离建筑。

大多数火灾探测系统都与火灾响应服务报告系统相连。

在启动灭火装置的同时，该系统也会通知当地消防部门并自动发出消息或警报以请求援助。

对于所采用的灭火系统，可以选择水消防系统，也可以选择气体消防系统。

在人性化的环境中，水是常用灭火剂，而气体消防系统更适合没有人员驻留的机房。

3. 喷水消防系统

主要有四种喷水灭火系统。

￭湿管系统（也被称为封闭喷头系统）的管中一直是充满水的。

当打开灭火功能时，管中的水会立刻喷洒出来进行灭火。

￭干管系统 中充满了压缩的惰性气体。

一旦打开灭火功能，惰性气体就会释放出来，供水阀门会随即打开，管中进水，然后开始喷洒灭火。

￭预响应系统 是干管系统的变体，使用两级检测和释放机制。

如果探测到可能的火灾因素（如烟、热量等），管道会被允许注水（第1 阶段）。

但是只有当环境的热量足以触发喷淋头上的触发器时，管中的水才会释放出来（第2 阶段）。

如果在喷淋头打开之前，火势就被扑灭，可以手动对管道进行排空和复位。

这种机制允许纠织在喷淋头触发前通过人工干预（通常通过安装在墙上的按钮）阻止水管喷水。

￭密集洒水系统 采用更粗的管道，因而可以输送更大的水量。

此外，当一个洒水喷头打开时，这些管道都会打开，用灭火剂完令淹没该区域。

密集洒水系统不适用于存放电子仪器与计算机的环境。

预响应系统是最适合人机共存环境的喷水灭火系统。

因为当发生假警报或错误触发警报时，它们让组织有机会中止放水。

提示：

喷水灭火系统的最常见故障都是由人力错误造成的，比如发生火灾时才发现水原关闭了，或在没有发生火灾时打开了喷水功能。

4.气体消防系统

气体消防系统使用压缩气体高效灭火，但是不能在有人员常驻的环境中使用。

气体消防系统会清除空气中的氧气，因而对人员是十分危险的。

气体灭火的好处包括：

对计算机系统造成的损害最小

通过排除氧气快速灭火

比水基系统更有效、更快

系统常用的是压缩气体灭火剂，如二氧化碳、哈龙或FM-200（一种哈龙替代品）。

￭二氧化碳是一种有效的灭火剂，但它会给人带来危险。

如果二氧化碳被泄漏到封闭空间，浓度达到7.5％就可能导致窒息，而二氧化碳灭火剂的使用浓度通常为34％或更高。

二氧化碳无色、无味，因此在部署二氧化碳系统时必须格外小心。

有一些添加剂可以引起气味。

由于存在风险，二氧化碳只能在无人场所且水基系统不适用的特殊情况下使用，如发动机舱、发电机房、易燃液体周围和大型工业设备。

二氧化碳能够降低温度，并排出火灾现场的氧气。

￭哈龙是一种有效的灭火用化合物（通过耗尽氧气来阻止燃烧），但在900℉下，会分解出有毒气体。

所以，哈龙不是环境友好型的（同时，它会消耗臭氧）。

1989年，《蒙特利尔议定书》开始倡议终止包括哈龙在内的消耗臭氧层的物质的生产。

1994年，EPA在美国禁止了哈龙的生产和进口。

然而，根据《蒙特利尔议定书》，组织还可以向哈龙循环利用机构购买哈龙。

EPA试图在现有库存的哈龙被使用完后停止该物质的使用。

不过在2020年，哈龙的存量仍然很大。

￭由于哈龙存在的缺点，它逐渐被更环保或毒性更小的灭火剂所取代。

目前有许多被EPA许可使用的哈龙替代品。

也可以用低压水雾来取代哈龙替代品，但此类系统不能在电脑机房或电气设备存储间内使用。

低压水雾系统形成的气雾云能快速降低起火区域的温度。

5. 破坏

火灾探测与消防系统的设计还要考虑火灾可能带来的污染与损害。

火灾的主要破坏因素包括：烟、高温，也包括水或碳酸钠这样的灭火剂。

烟尘会损坏大多数存储设备和电脑部件。

高温可能会损坏电子或电脑部件。

例如，在100 ℉下磁带会损坏，在175℉下电脑硬件（如CPU 和内存）会损坏，350℉下纸质文件会损坏（会卷边和褪色）。

灭火剂还可能造成短路、腐蚀或设备报废。

在设计消防系统时，需要将这些因素都考虑进去。即使是轻微火灾，也可能触发IRP、BCP 或DRP。

警告：

发生火灾时，除了火灾本身和灭火剂造成的损害，消防人员在用水管灭火、使用救生斧寻找火源、救援人员的过程中也可能造成损坏。

10.3 物理安全的实现与管理

组织可以在环境中部署多种物理访问控制机制，从而控制、监视和管理对设施的访问。

从威慑到探测，这些机制涵盖的范围很广。

设施与场所中的各部分、分部或区域也应清楚地划分出公共区、专用区或限制区。

每个区域都需要配备侧重点不同的物理访问控制、监视及预防措施。

下面讨论的这些技术手段主要用于多种区域的划分、分隔与访问控制，包括边界安全和内部安全。

标识 可用于向未经授权的人员宣告受控区域，指示该区域正在使用安全摄像头，并展示安全警告。

标识有助于阻止轻微的犯罪活动，建立记录事件的基础，并引导人们遵守规则或安全预防措施。

标识通常是文字或图像的物理显示，但数字标志和警告横幅也应实现本地和远程连接。

如果法规未强制要求，则应对门锁、围栏、大门、门禁前厅、旋转门、摄像头和所有其他物理安全控制装置实施自行制订的测试时间表。

10.3.1 边界安全控制

对于建筑或园区而言，是否方便进出这一点也很重要。

单个出口非常利于安全保卫，但多个出口在发生紧急情况时更便于人员的疏散和逃生。

附近的道路（如住宅街道或高速公路）情况如何？

有哪些便捷的交通方式（火车、高速公路、机场、船舶）？

一天的旅客流量有多少？

出入的方便性受到边界安全需要的制约。

访问与使用的需求也应支持边界安全的实现与运营。

物理访问控制、人员监视、设备进出、发生事件的审计与日志，这些都是维护组织总体安全的关键因素。

1. 围栏、门、旋转门与访问控制门厅

围栏是一种边界界定装置。

围栏清楚地划分出处于特定安全保护级别的内外区域。

建造围栏的部件、材料以及方法多种多样。

它可以是喷涂在地面上的条纹标志，也可以是锁链、铁丝网、水泥墙，甚至可以是使用激光、运动或热能探测器的不可见边界。

不同类型的围栏适用于不同类型的入侵者。

•3~4 英尺的围栏可吓阻无意穿越者。

•6~7 英尺高的围栏难以攀爬，可吓阻大多数入侵者，但对于坚定的入侵者无效。

•8 英尺以上的闱栏，外加带刺的铁丝网，甚至可吓阻坚定的入侵者。

围栏的一种高级形式是周界入侵检测和评估系统(PIDAS)。

PIDAS是协同使用两个或三个围栏以提升安全性的围栏系统。

PIDAS围栏经常出现在军事地点和监狱周围。

通常，PIDAS围栏有一个8~20英尺高的主围栏。

主围栏可能带电，可能有铁丝网，且可能包括触摸检测技术。

然后，主围栏被外部围栏包围，外部围栏可能只有4~6 英尺高。

外部围栏旨在防止动物和临时入侵者进入主围栏。

这降低了有害警报率(NAR)或来自内部围栏上的动物或树叶的误报。

其他围栏可位于主围栏和外部围栏之间。

这些附加围栏可以通电或使用带刺的铁丝网。

围栏之间的空间可以充当警卫巡逻或流浪警犬的走廊。这些走廊没有植被。

“门”是围栏中可控的出入口。

门的威慑级别在功能上必须等同于围栏的威慑级别，这样才能维持围栏整体的有效性。

要对铰链和门锁进行加固以防其被更改、损坏或移除。

当门关闭时，不能有其他额外的可以出入的漏洞。

应该将门的数量降到最低，并且每个门都应该处于警卫的监视之下。

对于没有警卫把守的门，可以使用警犬或安全摄像头进行监控。

“旋转门”（如图10.5 所示）是一种特殊形式的门，其特殊性在于它一次只允许一个人通过，并且只能朝着一个方向转动。

经常用于只能进不能出的场合，或相反的场景。

旋转门在功能上等同于配备了安全转门的围栏。

可将旋转门设计为自由旋转型的，以便人员出入。

入口旋转门可通过锁定机制要求单个人员在进入安全区域之前提供密码或凭证。

旋转门可被用作人流控制装置，以限制进入方向和速度（即有效验证后只能一人通过）。

“访问控制门厅“（“捕人陷阱＂）通常是一种配备警卫的内、外双道门机构（也如图10.5 所示），

或是其他类型的能防止捎带跟入的物理机关，机关可按警卫的意志控制进入的人员。

捕人陷阱的作用是暂时控制目标，以对目标进行身份认计和识别。

如果目标被授权进入，内部的门就会打开，允许目标进入。

如果目标未获授权，内、外两道门都将保持关闭、锁紧状态，直到陪护人员（比较典型的是警卫或者警察）到来，陪同目标离开，或者目标因为擅自闯入而被捕（这被称为“延迟特性”）。

访问控制门厅通常兼具防止逼近和尾随两种功能。

访问控制门厅可用于控制设施的入口或设施内通往更高安全区域（如数据中心或SCIF)的入口。

物理安全的另一个重要部件（尤其对于数据中心、政府设施和高安全组织）是安全隔离桩，其作用是防止车辆的闯入。

这些隔离桩可能是固定的永久设施，也可能是在固定的时间或响起警报时自动从基座升起的设施。

隔离桩经常伪装成植物或其他建筑部件。

可参见前面的“设施设计”一节对CPTED的讨论。

除围栏外，路障也可用于控制行人和车辆。

K型拒马（通常在道路施工期间出现）、大花盆、锯齿阵列、护柱和破胎机都是路障的例子。

如果使用得当，它们可以控制人群，并防止车辆损坏建筑。

应避免长而直且无障碍的车辆道路，以防止车速过快。

如果有发电机和燃料储存则需要额外的路障保护层，以防止撞击或破坏。

图10.5 具备捕人陷阱和旋转门的安全物理边界

2. 照明

照明是最常用的提供安全威慑效果的边界安全控制形式。

照明的主要目的是阻止偶然的闯入者、侵入者、盗贼，或是有偷盗企图的人，比如故意破坏、盗窃和在黑暗中游荡的人。

内部和外部照明都应该用于安全，尤其是停车区、走道和入口的安全。

外部照明一般应在黄昏至黎明期间打开。

内部照明可始终打开、手动切换或按需触发（可能通过运动）。

应在关键区域（如出口和逃生路线）安装应急照明，并使其在断电或火灾警报响起时触发。

照明通常被认为是最常用的物理安全机制。

然而，虽然照明是一种威慑，但它并不是强大的威慑。

除非在低安全等级场所，否则不能将照明用作主要的或单一的安全防护机制。

整个场所，无论内外，都应该照明良好，这样才能便于识别人员，并且更容易发现入侵。

照明不需要用于暴露保安、警犬、巡逻岗或其他类似的安全警卫。

但是，如果要将他们的存在用作威慑，则可以点亮这些照明。

照明应与保安、警犬、安全摄像头以及其他形式的入侵检测或监控机制结合在一起使用。

照明一定不能干扰周围居民的正常生活以及道路、铁路、机场等的正常运行。

也不能直接或间接照射保安、警犬与监视设备，以免在出现闯入情况时，帮了攻击者的忙。

可用强光照亮建筑物的栅栏线以避免隐藏的入侵者观察。

想象一下，当你站在黑暗中，如果有人用手电筒指着你，你将看不见他们，因为光线会淹没你的视线。

用于边界保护的照明，一般业界接受的标准是：关键区域的照明强度应至少达到2尺烛光（约为2流明或20勒克斯）。

关于照明的另一个问题是探照灯的位置，标准建议将灯杆立在照明区域“直径“远的距离。

例如，如果照明区域的直径是40英尺，那么灯杆应该立在40英尺远的位置。

灯杆定位允许地面照明区域的交叉，从而防止入侵者在黑暗的掩护下进入。

3. 安全警卫与警犬

所有的物理安全控制，无论是静态的威慑，还是主动探测与监控机制，最终都需要人员进行干预来阻止真实的入侵与攻击行为。

￭安全警卫 的职责就在于此。警卫可站在边界或内部，时刻监视着出入口，也可能时刻注视着探测与监控画面。

警卫的优点在于他们能够适应各种条件并对各种情况做出反应。

警卫能够学习并识别出攻击活动及模式，可以针对环境的变化做出调整，能够做出决策并发出判断指令。

当现场必须进行快速的情况处理与决策时，安全警卫常常是合适的安全控制机制。

警卫应在内部和外部进行巡逻，以在整个设施和园内寻找安全违规、未经授权的实体或其他异常情况。

巡逻应该是经常性的，但间隔应是随机的。这可以防止入侵者观察巡逻模式，然后相应地确定闯入时间。

￭警卫的缺点：

然而，不幸的是，安全警卫并不是完美无缺的。

部署、维持及依靠安全警卫的策略也存在诸多不利方面。不是所有环境与设施都适合使用安全警卫。

这可能是由于环境与人不相容，也可能是由于设施的布局、设计、位置与构造的限制。

而且，不是所有的安全警卫都可靠。预筛选、团队建设与训练并不能保证安全警卫胜任且可靠。

即使安全警卫最初是可靠的，他们也会受伤或生病，而且会休假，还可能心不在焉，难以抵御社会工程攻击，或者因为滥用药物而被解雇。

此外，安全警卫通常只在他们自身的安全受到威胁的时候才会提供保护。

警卫也并不清楚设施的整体运营，因此无法面面俱到，不能对每一种情况都做出反应。

虽然这被认为是一个缺点，但警卫对设施内操作的不了解也可以被认为是一个优点，因为这支持了这些操作的保密性，所以有助于减少保安人员涉嫌泄露机密信息的可能性。

最后，无论警卫是雇员还是由第三方承包商提供，安全警卫都是很昂贵的。

￭警犬 可以替代安全警卫的作用，经常用于边界安全控制。

警犬是一种非常有效的探测与威慑手段。

然而，警犬的使用也是有代价的，警犬不仅需要精心喂养，还需要昂贵的保险以及认真的看护。

巡逻机器人(robot sentries) 可以用来自动巡逻一个区域，以检查异常情况。

它们通常使用面部识别来确认被授权的个人以及潜在的入侵者。

机器人可以是轮式的，也可以是无人机。

10.3.2 内部安全控制

如果在设施中设计了限制区来控制物理安全，就需要采取针对访客的控制措施。

通常的做法是为访客指定一名陪护人员，这样访客的出入与活动就会受到密切监视。

如果允许外来人员进入保护区，却没有对其行为进行监控，将不利于受保护资产的安全。

钥匙(key)、密码锁(combination lock) 、胸卡(badge) 、动作探测器(motion detector) 、入侵警报(intrusion alarm)等的使用也是控制访客的有效手段。

前台 可作为阻止未经授权的访客进入的点。

应通过锁住的门将接待区与安全区隔离，并用安全摄像头进行监控。

对于获得授权的访客，可以指派陪同人员陪同其参观设施。

如果一个合理的工作人员到达，接待员可以帮其刷开大门。

任何未经授权的访客都可以被要求离开，保安可以架走他们或者报警。

访客日志是一种手动或自动填写的表格，它记录非员工对某个设施或位置的访问。

员工日志还可用于访问跟踪和验证。应维护物理访问日志。

它可以通过智能卡自动创建，也可以由保安手动创建。

物理访问日志可以解释设备访问的逻辑日志，在紧急情况下有助于确定人员是否都已安全逃离建筑物。

1. 钥匙与密码锁

门锁的作用是锁紧关闭的门。门锁的设计与使用是为了防止未授权人员的出入。

￭预置锁

”锁”是一种较原始的识别与认证机制。拥有了正确的钥匙或密码，你就可以被视为获得了授权与进入许可。

钥匙锁是最常见、最便宜的物理安全控制装置，常被称为＂预设锁具＂、插销锁或传统锁。

这些类型的锁具容易打开，这一类针对锁具的攻击，被称为“shimming 攻击“。

传统锁也容易受到名为叩击的攻击。

叩击是通过使用一个特殊的叩打钥匙来完成的，当被正确敲击或叩打时，钥匙会使锁销跳动并允许锁芯转动。

￭可编程锁与密码锁 的控制功能强于预置锁。

有些种类的可编程锁能设置多个开锁密码，还有一些配备了小键盘、智能卡或带加密功能的数字电子装置。

例如，有一种“电子访问控制(EAC)锁“使用了三种部件：一个电磁铁使门保持关闭状态，一个证书阅读器验证访问者，并使电磁铁失效（打开房门），还有一个传感器在门关闭后让电磁铁重新啮合。

EAC可以监控门打开的时间，以便在门打开超过5 秒时触发警告蜂鸣器，并在门打开超过10秒时触发入侵警报（此处的时间是示例，不是建议）。

锁能替代警卫充当边界入口的访问控制设备。

警卫可以查验人员身份，且能打开或关闭大门以控制人员出入。

锁本身也具备验证功能，也可以允许或限制人员的进入。

2. 环境与生命安全

物理访问控制以及设施安全保护的一个重要方面是，保护环境基本要素的完好以及人员生命安全。

在任何场合和条件下，安全方案最重要的方面就是保护人身安全。

因此，防止人身伤害成了所有安全方案的首要目标。

维护设施环境的正常秩序是保护人员安全的一部分。

在矩时间内，失去水、食物、空调及电力供应，人员依然能够生存。

但一些悄况下，如果这些基本要素缺失，可能会产生灾难性后果，也可能预示更紧急、更危险的问题。

洪水、火灾、有毒物质泄漏以及自然灾害都会威胁人员生命安全以及设施的稳定。

物理安全程序应该首先保护人员生命安全，然后恢复环境安全，并使IT设备所需的基础设施恢复正常工作。

人员始终都应该处于第一位。

只有在人员安全的情况下，才能考虑解决业务连续性问题。

￭许多组织采纳居住者紧急计划(occupant emergency plan, OEP)，以便在发生灾难后，利用它指导与协助人员安全的维护。

OEP提供指导或讲授各种方法，来教你如何最大限度地减少安全威胁，防止受伤，缓解压力，提供安全监视以及防止财产遭受灾害的损失。

OEP不解决IT 相关或业务连续性问题，而只针对人员与一般财产安全。

￭业务连续性计划(business continuity plan，BCP)与灾难恢复计划(disaster recovery plan, DRP)解决的是IT及业务连续性与恢复问题。

3. 监管要求

每一个组织都在特定的行业或辖区内运营。

这两个实体或更多的实体都会在其领域中针对组织的行为强制实行法律要求、限制与规定。

这些“法律要求“可能涉及软件的使用许可、雇佣条件限制、对敏感材料的处理以及对安全法规的遵守。

遵守所有适用的法律要求，也是维持安全的关键一环。

一个行业或国家/地区（也可能是一州或一个城市）的法律要求，必须被视为构建安全的基线与基础。

10.3.3 物理安全的关键性能指标

应确定监控、记录和评估物理安全的关键绩效指标(KPI)。

KPI是物理安全各个方面的操作或故障的标准。使用KPI的目的是评估安全工作的有效性。

有了这些信息，管理层才能作出明智的决定并改变现有的安全行动，以实现更高级别的有效安全保护。

请记住，安全的总体目标是降低风险，以便以经济高效的方式实现组织的目标。

以下是物理安全KPI的常见和潜在示例：

•成功入侵的数量

•成功犯罪的数量

•成功事故数

•成功中断的次数

•未成功的入侵次数

•未成功犯罪的数量

•未成功事故数

•未成功中断的次数

•检测事故的时间

•评估事故的时间

•响应事故的时间

•从事故中恢复的时间

•事故发生后恢复正常状态的时间

•事故对组织的影响程度

•误报次数（即错误检测警报）

应为每个KPI建立基线，并保存每个指标的记录。

此历史记录和基线对于执行趋势分析和了解物理安全机制的性能是必要的。

￭自动收集的KPI 通常是首选，因为它们将被可靠地记录。

￭然而，手动KPI测量通常更为重要，但需要关注和集中收集。

每个事故响应操作（即使是BCP和DRP级别的问题）应以经验教训总结阶段结束，在该阶段确定何时何地收集或确定并记录其他KPI相关信息。

通过可靠的KPI评估，组织可以识别缺陷，评估改进，评估响应措施，并对物理安全控制执行安全投资回报(ROSI)和成本/效益分析。