[CISSP] Domain7_Security Operations (5/6)

5. 물리적 보안 영역

 

 

 1. 물리적 보안 주제

   - 물리적 보안은 정보보안의 제1 방어선

   - 모바일기기에 대한 보안이 중요 => 무선기술의 발전 및 모바일 기기 사용 증가로 물리적 절차 보안 중요

   - 자산 : 사람, 시설, 데이터, 저장매체

 

 

 2. 물리적 보안 위협과 대응

   - 계층적 아키텍처(Tired Acrhitecture)

    1) 계층적 보안 대책의 조합 또는 심층보안(DID)은 물리적 보안 대책 설계의 중요한 전략

    2) 울타리-경비원-시설-벽 …. 등등

 

 

 3. 물리적 보안의 목표 및 대책

   - 억제(Deter) : 심리적 위축                       ex) 담장, 조명, 경고간판, 보안요원, 경비견, CCTV

   - 지연(Delay) : 침입 노력 증대, 지연            ex) 접근통제, 자물쇠, 보안요원, 경비견

   - 탐지(Detect) : 내/외부 침입자 탐지           ex) CCTV, 보안요원, 경비견, 침입경보기, 화재탐지기

   - 평가(Assess) : 보안요원 절차, 연락망        ex) 보안요원

   - 대응(Respond) : 침입 및 중단에 대한 대응 ex) 보안요원, 경찰 등

 

   <CCTV 유형>

   비공개 녹화 : 탐지

   비공개 비녹화 : X

   공개 녹화 : 탐지, 억제

   공개 비녹화 : 억제

 

 

 4. 물리적 보안 통제의 3가지 유형

   - 관리적통제 : 사람(경비원, 경비견), 절차

   - 기술적통제 : 자동화, CCTV, 경보기

   - 물리적통제 : 재료, 담장, 잠금장치, 조명

 

 

 5. 물리적 보안 프로그램의 설계

   - 보안 프로그램의 목표 : 잔여위험 =< 용인 가능한 위험레벨(Acceptable Risk Level)

   - 계층화된 방어모델에서 통신 채널은 물리적 케이블을 의미

 

 

 6. 부지 선정 시 고려사항

   6.1 부지의 위치

    (1) 부지의 위치는 시스템의 물리적 보안의 요구사항 충족

    (2) 지리적인 위치는 자연재해, 각종범죄 및 파업, 방화, 테러 등의 영향을 받으며, 비상시의 물류 지원에도 영향

    (3) 외곽 위치 : 물리적보안(담장, CCTV 등)을 자체적으로 구현

    (4) 내곽 위치 : 낮은 담장을 사용하여 조직의 경계를 명확히 함

 

   6.2 고려사항

    (1) 낮은 가시성(visibility)

      - 불필요하게 눈에 띄지 않도록 해야함

      - 경계선 지역, 주변 지형 및 지세

    (2) 도시위장(urban camouflage)

      - 외부에서 식별되지 않도록 명칭을 바꾸기도 함

    (3) 주변 지역 및 외부 기관

      - 경찰, 소방서, 의료기관과의 인접성

      - 주위환경의 가능한 위험

      - 범죄 발생률, 폭동, 테러리스트 공격

    (4) 접근성 - 도로 접근성

    (5) 자연재해 - 과거데이터를 통해 자연재해 발생가능성

    (6) 임대차시 - 건물자체 공유

 

 

 7. 설계/건축 시 고려사항

   7.1 벽(Walls)

      - 전산실의 벽은 안전영역을 위해 강화

      - 벽(문 및 천장 포함)은 적절한 화재등급을 지녀야 한다.

       > 문서나 기록매체들이 저장된 방의 벽 : 최소 2시간 이상

       > 이를 제외한 모든 벽 : 최소 1시간 이상

 

   7.2 문(Doors)

      - 방향성 개방(directional open, 특정방향으로 열림) -> 보안관점에서는 당기는 문이 좋음

      - 자동문의 기본 값

       > Fail safe(=open) : 전략 중단 시 자동 열림 -> 인명 중시

       > Fail secure(=close) : 전략 중단 시 자동 닫힘 -> 자산 중시

 

   7.3 창문(Windows)

      - 전산실에는 창문을 만들지 않는 것이 일반적이다.

      - 보안센서가 창문 틀에 적용 되어야 한다.

      - 창문 재질

       > 표준형 : 가격 저렴, 최저 보안, 파편 발생

       > 경화형(tempered window) : 급랭, 강도강화, 미세한 파편

       > 아크릴형 : 플라스틱

       > 철선형(wired) : 유리사이에 철선망 내장, 파괴방지

 

   7.4 천장(Ceilings)

      - 하중과 무게 지탱 등급을 지녀야 한다.

      - 달천장(Suspended Ceiling) : 천장 붕괴(환기, 조명)에 대해 고려해야 한다.

 

   7.5 바닥(Flooring)

      - 슬라브(Slab) : 전산실의 맨바닥은 하중과 무게 지탱 등급을 지녀야 한다.

      - 올림바닥(Raised Floor) : 부도체 표면, 화재에 대한 대비, 배선 등

 

   7.6 난방/통풍/공기조절(HVAC : Heating, ventilation and air conditioning)

      - 양성공기압(Positive Air Pressure) : 공기를 안에서 밖으로 흐르게

      - 흡기구보호(Protected intake vents)

 

   7.7 CPTED(Crime Prevention Through Environmental Design)

      - 적절한 물리적 환경(시설, 조경, 환경) 설계를 통해 사람의 행동에 영향을 주어 범죄 예방

      - 자연스런 감시, 자연스러운 접근통제, 관할영역 강화

 

 

 8. 랩톱 절도(Laptop Theft) -> 모바일 절도

      - 장비 자체 보다 내부정보가 중요

      - 도난 분실 주의, 암호화, 동기화 등 교육 실천

      - 데이터 보호 : 첫째로 모든 랩톱의 재고조사

 

 

 9. 전력 관련 용어

   9.1 순수전력(Clean power) : 지속적이며 안정적인 전력

 

   9.2 고전력

      - Inrush : 전력공급 초기의 순간 고압

      - Spike : 일시적 고압

      - Surge : 지속적 고압

      - Surge 대책 : (1) Surge Protector -> Metal oxied varistor(금속 산화 바리스터)

                            (2) 접지(Grounding)

                            (3) UPS

 

   9.3 저전력

      - Sag/Dip : 일시적 저압

      - Brownout : 지속적 저전압

      - 대책 : (1) UPS

 

   9.4 전력 공급 중지

      - Fault(누전) : 일시적 전력공급 중지

      - Blackout(정전) : 지속적인 전력공급 중지

      - Blackout 대책 : (1) UPS, (2) 발전기

 

   9.5 Noise : 순수전력공급을 방해하는 전자기나 주파수 간섭

     - 전자파장애(EMI: electromagnetic interference)

     - 고주파 방해 잡음(RFI : radio Frequency interface)

     - 대책 : (1) Power line conditioning

                (2) 접지(grounding)

                (3) 케이블 차폐(cable shielding)

                (4) 거리제한 -> 가장효과적

 

 

 10. 대체 전원의 구비

     - 1차전원(primary power source) : 변전소로부터 직접 공급

     - 2차전원(alternative power source) : UPS(단기), 발전기(장기)

     - 무정전 전원장치(UPS:Uninterruptable Power Source) : 일시적 전력 공급

 

 

 11. 난방, 환기, 공기조절

     - HVAC(Heating, Ventilation and Air Conditioning)

     - 온도, 습도, 오염물질을 통제

     - 정보처리시설의 HVAC시스템은 반드시 전용 설치

     - 양성공기압(Positive Pressurization) 특성 유지

 

   11.1 온도

     - 컴퓨터 시스템 적절 온도 : 70~74F(21~23C)

 

   11.2 정전기(Static electricity)

     - 방지책 : (1) 컴퓨터 영역에 정전기 방지(Anti-Static) 바닥재 사용

                   (2) 적절한 습도를 유지 -> HVAC -> 가장효과적

                   (3) 정전기 차단 스프레이

                   (4) 접지(Grounding)

                   (5) 사무기기 정전방지 처리, 일할 때 정전기 밴드 착용

 

   11.3 습도(humidity)

     - 컴퓨터 영역의 적정 습도 : 40 ~ 60%, 상대습도

     - 습도 60% 초과 : 부식, 전기 분해 도금(corrosion)현상 발생

     - 습도 40% 미만 : 정전기 발생

 

 

 12. 화재

     - 화재의 3(4) 요소 : 열, 연료, 산소(화학반응)

 

   12.1 화재 탐지기

     - 연기 탐지기(smoked activated detector) : 연기탐지, 초기 경보장치로 우수

      > 이온화(lonization) : 연기에 반응

      > 광학탐지기, 광전자장치 : 빛이 연기에 의하여 차단되면 경보

    - 열 활성 탐지기(heat activated detector) : 온도를 탐지

    - 화염 탐지기(flame activated detector) : 불꽃의 파동 또는 연소와 관련된 적외선 에너지 탐지

 

   12.2 화재 종류 및 진압 방법

화재 등급	화재 유형	화재 요소	진압 방법
A	일반 가연성 물질	목재, 종이	물, 포말
B	유류제품(액체)	가솔린, 윤활유	포말, CO2, Halon대체
C	전기, 배선	전기장치, 철선	CO2, Halon대체
D	가연성 금속	마그네슘, 나트륨	드라이 파우더
K	주방용 기름	부엌 기름	습식화공약품

    - 고체 : 드라이 파우더(산소와 연료를 분리) -> 산소억제, 결합억제, 화학작용 억제

    - 액체 : 물(온도낮춤), 포말(온도 및 산소 억제)

    - 기체 : CO2(산소억제), Halon 대체물(화학작용 억제)

               FM200, CEA-410, NAF-S-III, FE-13, Argon, argonite, Inergen, Carbon dioxide, Halotron I, 물

              무색/무취, 인체에 미치는 영향 고려, 사람이 없는 장소에 한하여 설치

 

      가. 물분사기(Water Sprinklers)  

        - 습식 파이프(Wet Pipe) : 물이 항상 차 있음 / 신뢰성 / 누수와 동파 우려

        - 건식 파이프(Dry Pipe) : 물이 없음 / 추운 지방 사용 / 시간 지연

        - 사전작동식(Preaction) : 습식과 건식의 결함 / 전산실 적합 / 온도상승 시 물분사

 

 

 13. 경계 보안

    - 경계보안(Perimeter Security)의 특징

     > 시설 운영 시 : 인가자와 비인가자 구분

     > 시설 닫힌 경우 : 수상한 행동 경계, 감시

     > 접근통제, 감시 모니터링, 침입탐지 및 교정 등

 

   13.1 자물쇠(Locks)

     - 가장 저렴

     - 지연 효과

     - Combination Lock : 숫자화된 자물쇠(자전거) / 보기 쉬운 곳에 적어 둠/ 엿보기 위험 / 이직 후 변경하지 않음

     - Programmable Lock(cipher lock) : 키패드 이용(도어락) / 엿보기 위험

 

   13.2 인적 접근 통제(Personal Access Control)

     - 식별(Identification) 기법 : 물리적 접근 통제에서는 식별과 인증이 동시에 일어남

     - 전자 접근 제어(EAC: Electronic Access Contro) Token : 근접 인증장치 -> 책임 추적성 향상

     - 2 Factor authentication : 2가지 요인 이상 인증

     - 침투테스트 : 물리적(담장), 논리적(네트워크), 운영적(앞사람 따라가기, 사회공학적)

     - 사이트 내 방문자 : 에스코트(동행)을 통해 대응

 

   13.3 출입구(Doorway)

     - Tailgating or Piggybacking : 통제된 접근방법을 통해 직원을 따라 들어가는 것

     - 예방책 : Mantrap -> 두 개의 문 사이에 있는 작은 방

     - 1인용 회전문(Turnstile) : 지하철 통과하는 문

 

   13.4 울타리(Fencing)

     - 시위대에 대한 가장 효과적인 접근통제

     - 3~4피트 : 우발적 침입차단

     - 6~7피트 : 너무 높아 오를 수 없다고 간주

     - 가시 철망 : 재산보호에 강력함 인식, 심각한 침입자 저지, 중요 지역 보호에 적합

     - 가시철망의 설치 각도 : 45도

 

   13.5 조명(Lighting)

     - 침입자에게 심리적 위축(억제>탐지)을 제공

 

   13.6 CCTV

     - 렌즈의 좌/우, 상/하, 줌 기능 보유

     - 용량줄이는 방법 : 동작탐지기(Motion Detector), MPEG-4압축기술

     - CCTV 구성요소 : 카메라, 트랜스미터, 리시버, 레코딩 시스템, 모니터, 멀티플렉서(중계기)

     - CCDs(Charged Coupled Devices Sensor 전하결합소자) : CCTV센서

     - 피사계심도 결정 세가지 요소 : 초점거리, 카메라와 피사체간의 거리, 조리개 유효구경

     - 특정 대상이 아니라 넓은 지역을 모니터링 하고자 할때 -> Wide-angle lens and a small lens opening

                                                                                  (렌즈 앵글 넓게, 조리개를 닫아 심도를 올림)

 

   13.7 침입경보시스템(Intrusion Detection System)

     - 동작 탐지기(Motion Detector)

      > 파장 패턴(Wave Pattern) : 수신부로 반사되는 파장이 교란되면 경보

      > 전하량(Capacitance) : 전기장 모니터링 / 객체와의 거리가 정확히 지정된 경우 보호

      > 오디오 탐지기(Audio Detectors) : 이상한 소리 감시 / 주변에 소리 통제된 곳에서만