CISSP 物理安全 | 攻击者拿到你的服务器只需要几秒钟
🛡️ Domain 3 安全架构与工程 · 第11章
📌 考试权重:占 Domain 3(13%)的 15%-20%,场景题极高频
⚠️ 一句话记住:物理安全是信息安全的第一道防线,也是最后一道。 加密再强、防火墙再硬,攻击者只要拿到了设备,一切归零。
🔴 四条不可突破的红线
① 人身安全永远是最高优先级
任何场景下,生命安全 > 资产安全 > 业务连续性 > 数据安全。火灾时先撤人,不是先搬服务器。这条是所有场景题的第一判断依据,永远不会错。
② 物理安全必须分层纵深防护
单点防护失效不能让整个体系崩溃。禁止仅靠一道围墙或一套门禁撑全场------就像银行金库,外围围墙→园区门禁→大楼门禁→电梯权限→防尾随门→金库门锁→内部监控,缺一不可。
③ 全生命周期无断点
从设施选址、建设运维,到设备退役、介质销毁,全程覆盖,不能有任何空窗期。
④ 最终责任不可外包
物理安全的最终责任由企业最高管理层承担。机房托管给第三方?不等于甩锅,企业仍然是最终责任人。
📖 核心术语速查(10 个必记)
① 物理安全(Physical Security)
保护人员、设施、设备、介质、数据免受物理威胁的全流程管控体系,覆盖预防→检测→响应→恢复四个闭环环节。
② CPTED(通过环境设计预防犯罪)
第十版重点强化的核心框架。不靠堆安保设备,而是从建筑和场地设计源头降低犯罪风险。三大策略:
- 🔍 自然监视:透明玻璃外墙、无死角照明,让犯罪无处藏身
- 🚶 自然访问控制:停车场远离入口,通过景观围栏引导人流只能走指定入口
- 🏠 领域强化:围墙+标识+绿化明确企业边界,外来人员进入时会被明显识别
③ 安全分区(Security Zoning)
按资产重要性和风险等级将设施划分为不同安全等级的区域,实施差异化防护,是分层防护的核心基础。
④ 防尾随门(Mantrap)
两道互锁门,第一道关闭锁定后第二道才能打开,中间区域配金属探测+监控。高安全区域的强制准入设备,考试极高频。 核心作用就一个字:防尾随。
⑤ UPS(不间断电源)
市电中断后提供短时过渡供电,覆盖备用发电机的启动时间。记住:UPS 是过渡用的,不是长期供电,不能替代发电机。
⑥ 消磁(Degaussing)
通过强磁场破坏磁性介质(机械硬盘、磁带)的数据。对 SSD 固态介质完全无效,SSD 必须物理粉碎。最高频易错点,没有之一。
⑦ 安全边界(Security Perimeter)
分隔企业受控区域与外部公共区域的物理边界,包括围墙、栅栏、大门、建筑外墙,是第一道防线。
⑧ EMI/EMF(电磁干扰/电磁场)
电磁干扰会导致设备异常和数据泄露,高安全场景需要法拉第笼屏蔽。
⑨ 关键作业区(Critical Operations Area)
企业安全等级最高的禁区------数据中心机房、核心主控室、密钥管理室,仅极少数授权人员可进入。
⑩ 入侵检测系统(IDS,物理层面)
检测未授权物理入侵的设备,包括红外探测器、震动传感器、玻璃破碎探测器、门窗接触开关等。
🏗️ 模块一:物理安全核心设计原则
OSG 第十版明确了 6 大设计原则,无优先级高低之分------但"人身安全优先"是不可突破的最高红线。
原则① 人身安全优先
任何物理安全设计的最高红线。应急处置时必须先明确人员疏散路线,再制定资产保护方案。场景题中出现"优先保护资产"的选项?直接排除。
原则② 纵深防御/分层防护
从外到内层层设防,单层被突破还有下一层兜底。考试中仅依赖单一围墙/门禁的设计 = 错误答案。
原则③ CPTED(环境设计预防犯罪)
三大核心策略必须全部落地:
- 自然监视:建筑外墙透明玻璃,园区无遮挡照明,停车场无视觉死角
- 自然访问控制:访客停车场远离大楼入口,员工通道靠近入口
- 领域强化:围墙+标识+绿化明确企业边界
设计时未落地 CPTED 的方案 = 不完整答案。
原则④ 最小授权/最小访问
只授权必需的最小区域。普通员工只能进办公区,运维人员只能进对应机房,访客只能在接待区。过度授权 = 错误答案。
原则⑤ 职责分离
门禁权限与钥匙管理分属不同人员;安保负责监控,不能单独开高安全区门禁;介质领用与销毁必须双人复核。核心目标:防范内部威胁与监守自盗。
原则⑥ 预防-检测-响应-恢复闭环
物理安全不是"装完摄像头就完事了",必须形成完整闭环:
- 🛡️ 预防:围墙、门禁、防尾随门
- 🔍 检测:监控、入侵探测器、震动报警
- 🚨 响应:安保联动、告警处置
- 🔄 恢复:设施修复、设备恢复、业务重启
无响应流程的检测系统 = 无效系统。
🗺️ 模块二:安全分区模型(必考)
企业必须按安全等级从低到高,将设施划分为 5 个标准区域,越靠内部防护越强。
五级分区逐级拆解
① 公共区域 (无安全等级)
企业外部的公共区域,不受企业直接管控。仅通过边界防护隔离,配合 CPTED 设计压缩犯罪空间。
② 接待区/访客区 (低安全等级)
前台、访客等候室。基础门禁 + 前台实名登记 + 全程监控。访客不得自行进入内部区域。
③ 受控区 (中安全等级)
普通办公区、会议室、员工休息区。员工专属门禁 + 常规监控 + 基础巡逻。禁止访客无陪同进入。
④ 受限区 (高安全等级)
财务室、研发实验室、运维中心、工控操作间。严格门禁权限 + 防尾随设计 + 无死角监控 + 全程访问审计。仅对授权的特定部门人员开放。
⑤ 关键区/禁区 (最高安全等级)
数据中心机房、核心金库、主控室。双因素认证 + 防尾随门 + 双人双锁 + 生物识别 + 24 小时专人值守 + 物理隔离 + 禁止任何无线设备进入。仅极少数授权人员可进入。
💡 通俗比喻:就像故宫------天安门广场(公共)→ 午门入口(接待)→ 外朝(受控)→ 内廷(受限)→ 皇家金库(关键区)。越靠里,防护越强,能进去的人越少。
⚠️ 高频考点
- 分区逻辑:从外到内安全等级逐级提升,必考概念题
- 关键区标配:双因素 + 防尾随门 + 双人双锁 + 24 小时值守
- 访客进入受控区及以上必须授权人员全程陪同,禁止自行进入
🔒 模块三:物理访问控制核心措施
🧱 外部边界访问控制
围墙/栅栏
- 普通防护:高度 ≥ 2.4 米(8 英尺)
- 高安全区域:高度 ≥ 3 米,顶部加装带刺铁丝网,底部嵌入地面防挖洞
大门/入口控制
- 主入口:安保值守 + 车辆道闸 + 行人门禁
- 高安全园区:车辆防撞柱 + 防冲撞路障
- 货运入口与人员入口分离,单独管控
照明系统
边界、入口、停车场全覆盖夜间照明,无视觉死角。敏感区域亮度不低于 2 勒克斯。符合 CPTED 自然监视要求。
停车场管控
访客停车场设在园区外围远离建筑入口;员工停车场靠近建筑入口,配车牌识别 + 门禁 + 全覆盖监控。
🚪 内部区域访问控制
防尾随门(Mantrap)------最高频考点 ⭐
双门互锁,第一道关闭锁定后第二道才能打开,中间区域配金属探测+视频监控。核心作用:彻底防范尾随入侵。机房、财务室、关键区的强制准入设备。
门禁系统三要素
- something you know:密码 / PIN 码
- something you have:门禁卡 / 智能令牌
- something you are:指纹 / 人脸 / 虹膜
⚠️ 高安全区域必须双因素认证,禁止单密码或单门禁卡准入。
锁具管理
高安全区域必须防撬高安全等级锁具;钥匙全生命周期管理(领用/归还/复制全程审批登记);丢失立即换锁;离职当日归还全部钥匙+门禁卡。
访客管理
提前预约 → 前台实名登记 → 发放临时凭证 → 授权人员全程陪同 → 临时权限当日有效 → 离开时回收凭证。禁止携带未审批的摄影/存储设备进入敏感区域。
双人双锁/多人控制
关键区/禁区的强制要求:必须两名授权人员同时到场+同时验证身份才能开启门禁。防范单人监守自盗。
🌡️ 模块四:环境与生命安全控制
🔥 消防与火灾安全------人身安全第一红线
消防核心优先级:人员疏散优先,灭火其次。 应急出口必须从内部轻松开启、外部无法打开,且不能成为入侵入口。
灭火剂选择------必考场景题:
🔴 水
- 适用:普通固体可燃物(纸张、木材)
- ⛔ 绝对禁用于机房和电气设备间------会损坏精密设备,残留水分导致永久损坏,哪怕断电后也禁止
🟢 二氧化碳(CO₂)
- 适用:电气火灾、精密设备火灾
- 优势:不损坏设备,灭火后无残留
- ⚠️ 密闭空间人员聚集区慎用(会导致窒息)
🟡 干粉灭火剂
- 适用:配电室、仓库、化学品火灾
- ⛔ 不适用于核心机房------干粉会损坏精密设备,且极难清理
🟢 FM-200 / 洁净气体灭火剂
- 适用:数据中心机房、封闭空间精密设备
- 优势:替代哈龙,环保安全,对人体无害,不损坏设备
- ✅ 机房火灾的首选方案
⚡ 电力供应安全
三层冗余架构(高频考点:三者区别和互补关系):
🔌 双路市电
核心业务区域必须采用来自不同变电站的双路市电供电,避免单路中断导致停电。
🔋 UPS(不间断电源)
市电中断 → UPS 立即接管 → 发电机启动完成 → 切换发电机。电池容量至少 15 分钟,高安全场景需 1-4 小时。UPS ≠ 发电机,不能相互替代。
⛽ 备用发电机
长时间停电的持续供电方案。必须储备至少 72 小时燃油,定期启动测试,安装在远离洪水/火灾风险的通风位置。
💡 一句话记忆:UPS 是"过渡桥",发电机是"长跑选手",市电是"主路",三条路互补不能替代。
🌡️ 温湿度与电磁防护
标准环境参数(必考数值):
- 数据中心/机房标准温度:18℃ - 24℃
- 标准相对湿度:40% - 60%
- 湿度过高 → 腐蚀 + 短路
- 湿度过低 → 静电 → 击穿电子元件
静电防护
机房必须铺设防静电地板,进入前释放静电,禁止穿着易产生静电的衣物。
电磁防护
核心设备远离强电磁源(变压器、电机、雷达);机房做电磁屏蔽;高安全场景配置法拉第笼。
防水/防洪
机房必须设置在地上楼层,⛔ 禁止地下室/低洼区域;配置漏水检测系统;建筑周边设置防洪排水设施。
📷 模块五:监控、检测与告警
视频监控(CCTV)
- 全覆盖所有入口、边界、敏感区域,无死角
- 必须具备低照度 + 红外夜视能力
- 录像不可篡改、不可删除 ,留存至少 30 天,高安全区域 ≥ 90 天
- 监控室 24 小时专人值守
物理入侵检测系统
边界防护:震动传感器 + 红外对射探测器 + 围栏防攀爬探测器
建筑防护:门窗接触开关 + 玻璃破碎探测器 + 室内红外移动探测器
高安全区:门禁异常告警 + 防尾随门异常告警 + 金属探测告警
⚠️ 关键要求 :所有检测系统告警必须实时联动安保人员和应急响应流程。无联动处置的检测系统 = 无效系统,这是高频错误选项。
安保巡逻
定期 + 随机巡逻计划,高安全区域提高频次;全程打卡记录可审计;配备应急通讯和处置设备。
💾 模块六:设备与存储介质物理安全
设备物理防护
- 核心设备部署在高安全等级机房,严格访问控制
- 设备加装物理锁,防盗防非法拆卸
- BIOS/UEFI 设置密码,防止被盗后非法启动
- 必须配置全磁盘加密(BitLocker 等),设备被盗后数据无法被读取
存储介质全生命周期管控
入库/领用:统一登记编号,领用审批,明确责任人
使用中:按数据分级标注密级,存放保险柜,禁止随意带出
销毁------最高频考点 ⭐:
🖥️ 机械硬盘 / 磁带 (磁性介质)
→ 消磁 + 物理粉碎,两步都要做才彻底
💾 SSD / U盘 / 闪存 (固态介质)
→ 必须工业级物理粉碎
→ ⛔ 消磁对 SSD 完全无效------最高频易错点
📄 纸质文件
→ 交叉切碎机销毁,禁止整张投入普通垃圾桶
便携式设备安全
- 必须加密 + 强密码
- 开启远程定位 + 远程擦除功能,丢失后立即清除数据
- 禁止存储高敏感数据
- 禁止未经审批的个人设备接入企业核心网络
设备退役处置
退役前彻底清除所有数据;高敏感设备必须物理销毁存储介质;禁止未经数据清除的设备转售/捐赠/丢弃。
⚠️ 七大高频误区纠正
误区① 发生火灾要先抢救核心设备和数据
✅ 人身安全永远第一。先疏散人员,再考虑资产。优先保护资产的选项永远是错误答案。
误区② 加密做好了,设备被盗也没关系
✅ 物理安全是所有技术防护的基础。攻击者拿到设备可以用冷启动攻击、硬件拆解等方式突破加密。没有物理安全,技术防护无法提供绝对保障。
误区③ 消磁可以销毁 SSD 的数据
✅ 消磁仅对机械硬盘/磁带有效。SSD 没有磁性存储元件,消磁完全无效,必须物理粉碎。考试最高频错题。
误区④ 访客在前台登记后,可以自行进入办公区
✅ 访客仅能在接待区活动,进入内部区域必须授权人员全程陪同,禁止自行活动。
误区⑤ UPS 可以替代备用发电机
✅ UPS 短时过渡,发电机长时持续,二者互补,不可替代。
误区⑥ 机房火灾只要先断电,就可以用水灭火
✅ 哪怕断电后也绝对禁止用水。水会损坏精密设备且残留水分导致永久损坏。机房必须用 CO₂ 或洁净气体灭火剂。
误区⑦ 普通员工只要有运维人员陪同,就可以进入机房
✅ 机房属于高安全等级的受限区/关键区,仅授权运维人员可进入。非授权人员(包括普通员工、高管)无业务必需理由,禁止进入,即使有人陪同也不行。
🔗 跨域关联速查
- Domain 1 安全与风险管理:物理威胁是企业核心风险,物理防护是风险缓解的落地手段,最终责任由最高管理层承担
- Domain 2 资产安全:介质物理安全、设备安全、数据销毁是资产全生命周期管理的收尾闭环,资产分级决定物理防护强度
- Domain 3 安全架构与工程:物理安全是安全架构的底层基础,与系统安全、密码学、安全模型深度绑定
- Domain 4 通信与网络安全:物理边界防护是网络边界防护的基础,电磁防护是通信安全的底层保障
- Domain 5 身份与访问管理:物理访问权限与数字访问权限统一管理,遵循相同的最小特权原则
- Domain 6 安全评估与测试:物理安全审计、渗透测试、应急演练有效性验证
- Domain 7 安全运营:物理监控告警处置、变更管理、应急响应是安全运营的日常工作
- Domain 8 软件开发安全:开发环境物理隔离、源代码存储介质物理安全是软件供应链安全的底层基础
⚡ 考前速记总结
人身安全三条铁律
- 人身安全 > 资产安全,永远不会错
- 应急出口:内部轻松开启,外部无法打开
- 消防首要任务:疏散人员,不是灭火
物理访问控制四件套
- 防尾随门 = 高安全区域强制准入(双门互锁)
- 双因素认证 = 高安全区域门禁标配
- 双人双锁 = 关键区/禁区强制要求
- 全程陪同 = 访客进入内部区域的必须条件
灭火剂三选一
- 机房 → CO₂ / 洁净气体 ✅
- 机房 → 水 ❌(哪怕断电也不行)
- 机房 → 干粉 ❌(损坏设备难清理)
介质销毁两个必记
- 磁性介质(机械硬盘/磁带)→ 消磁 + 物理粉碎
- 固态介质(SSD/U盘)→ 只能物理粉碎,消磁无效
UPS vs 发电机
- UPS = 短时过渡(15 分钟 ~ 4 小时)
- 发电机 = 长时持续(72 小时以上)
- 两者互补,不可替代
温湿度标准数值
- 机房温度:18℃ - 24℃
- 机房湿度:40% - 60%
分区模型记忆口诀
- 公共 → 接待 → 受控 → 受限 → 关键区
- 越靠里,防护越强,人越少