5. 물리적 보안 영역
1. 물리적 보안 주제
- 물리적 보안은 정보보안의 제1 방어선
- 모바일기기에 대한 보안이 중요 => 무선기술의 발전 및 모바일 기기 사용 증가로 물리적 절차 보안 중요
- 자산 : 사람, 시설, 데이터, 저장매체
2. 물리적 보안 위협과 대응
- 계층적 아키텍처(Tired Acrhitecture)
1) 계층적 보안 대책의 조합 또는 심층보안(DID)은 물리적 보안 대책 설계의 중요한 전략
2) 울타리-경비원-시설-벽 …. 등등
3. 물리적 보안의 목표 및 대책
- 억제(Deter) : 심리적 위축 ex) 담장, 조명, 경고간판, 보안요원, 경비견, CCTV
- 지연(Delay) : 침입 노력 증대, 지연 ex) 접근통제, 자물쇠, 보안요원, 경비견
- 탐지(Detect) : 내/외부 침입자 탐지 ex) CCTV, 보안요원, 경비견, 침입경보기, 화재탐지기
- 평가(Assess) : 보안요원 절차, 연락망 ex) 보안요원
- 대응(Respond) : 침입 및 중단에 대한 대응 ex) 보안요원, 경찰 등
<CCTV 유형>
비공개 녹화 : 탐지
비공개 비녹화 : X
공개 녹화 : 탐지, 억제
공개 비녹화 : 억제
4. 물리적 보안 통제의 3가지 유형
- 관리적통제 : 사람(경비원, 경비견), 절차
- 기술적통제 : 자동화, CCTV, 경보기
- 물리적통제 : 재료, 담장, 잠금장치, 조명
5. 물리적 보안 프로그램의 설계
- 보안 프로그램의 목표 : 잔여위험 =< 용인 가능한 위험레벨(Acceptable Risk Level)
- 계층화된 방어모델에서 통신 채널은 물리적 케이블을 의미
6. 부지 선정 시 고려사항
6.1 부지의 위치
(1) 부지의 위치는 시스템의 물리적 보안의 요구사항 충족
(2) 지리적인 위치는 자연재해, 각종범죄 및 파업, 방화, 테러 등의 영향을 받으며, 비상시의 물류 지원에도 영향
(3) 외곽 위치 : 물리적보안(담장, CCTV 등)을 자체적으로 구현
(4) 내곽 위치 : 낮은 담장을 사용하여 조직의 경계를 명확히 함
6.2 고려사항
(1) 낮은 가시성(visibility)
- 불필요하게 눈에 띄지 않도록 해야함
- 경계선 지역, 주변 지형 및 지세
(2) 도시위장(urban camouflage)
- 외부에서 식별되지 않도록 명칭을 바꾸기도 함
(3) 주변 지역 및 외부 기관
- 경찰, 소방서, 의료기관과의 인접성
- 주위환경의 가능한 위험
- 범죄 발생률, 폭동, 테러리스트 공격
(4) 접근성 - 도로 접근성
(5) 자연재해 - 과거데이터를 통해 자연재해 발생가능성
(6) 임대차시 - 건물자체 공유
7. 설계/건축 시 고려사항
7.1 벽(Walls)
- 전산실의 벽은 안전영역을 위해 강화
- 벽(문 및 천장 포함)은 적절한 화재등급을 지녀야 한다.
> 문서나 기록매체들이 저장된 방의 벽 : 최소 2시간 이상
> 이를 제외한 모든 벽 : 최소 1시간 이상
7.2 문(Doors)
- 방향성 개방(directional open, 특정방향으로 열림) -> 보안관점에서는 당기는 문이 좋음
- 자동문의 기본 값
> Fail safe(=open) : 전략 중단 시 자동 열림 -> 인명 중시
> Fail secure(=close) : 전략 중단 시 자동 닫힘 -> 자산 중시
7.3 창문(Windows)
- 전산실에는 창문을 만들지 않는 것이 일반적이다.
- 보안센서가 창문 틀에 적용 되어야 한다.
- 창문 재질
> 표준형 : 가격 저렴, 최저 보안, 파편 발생
> 경화형(tempered window) : 급랭, 강도강화, 미세한 파편
> 아크릴형 : 플라스틱
> 철선형(wired) : 유리사이에 철선망 내장, 파괴방지
7.4 천장(Ceilings)
- 하중과 무게 지탱 등급을 지녀야 한다.
- 달천장(Suspended Ceiling) : 천장 붕괴(환기, 조명)에 대해 고려해야 한다.
7.5 바닥(Flooring)
- 슬라브(Slab) : 전산실의 맨바닥은 하중과 무게 지탱 등급을 지녀야 한다.
- 올림바닥(Raised Floor) : 부도체 표면, 화재에 대한 대비, 배선 등
7.6 난방/통풍/공기조절(HVAC : Heating, ventilation and air conditioning)
- 양성공기압(Positive Air Pressure) : 공기를 안에서 밖으로 흐르게
- 흡기구보호(Protected intake vents)
7.7 CPTED(Crime Prevention Through Environmental Design)
- 적절한 물리적 환경(시설, 조경, 환경) 설계를 통해 사람의 행동에 영향을 주어 범죄 예방
- 자연스런 감시, 자연스러운 접근통제, 관할영역 강화
8. 랩톱 절도(Laptop Theft) -> 모바일 절도
- 장비 자체 보다 내부정보가 중요
- 도난 분실 주의, 암호화, 동기화 등 교육 실천
- 데이터 보호 : 첫째로 모든 랩톱의 재고조사
9. 전력 관련 용어
9.1 순수전력(Clean power) : 지속적이며 안정적인 전력
9.2 고전력
- Inrush : 전력공급 초기의 순간 고압
- Spike : 일시적 고압
- Surge : 지속적 고압
- Surge 대책 : (1) Surge Protector -> Metal oxied varistor(금속 산화 바리스터)
(2) 접지(Grounding)
(3) UPS
9.3 저전력
- Sag/Dip : 일시적 저압
- Brownout : 지속적 저전압
- 대책 : (1) UPS
9.4 전력 공급 중지
- Fault(누전) : 일시적 전력공급 중지
- Blackout(정전) : 지속적인 전력공급 중지
- Blackout 대책 : (1) UPS, (2) 발전기
9.5 Noise : 순수전력공급을 방해하는 전자기나 주파수 간섭
- 전자파장애(EMI: electromagnetic interference)
- 고주파 방해 잡음(RFI : radio Frequency interface)
- 대책 : (1) Power line conditioning
(2) 접지(grounding)
(3) 케이블 차폐(cable shielding)
(4) 거리제한 -> 가장효과적
10. 대체 전원의 구비
- 1차전원(primary power source) : 변전소로부터 직접 공급
- 2차전원(alternative power source) : UPS(단기), 발전기(장기)
- 무정전 전원장치(UPS:Uninterruptable Power Source) : 일시적 전력 공급
11. 난방, 환기, 공기조절
- HVAC(Heating, Ventilation and Air Conditioning)
- 온도, 습도, 오염물질을 통제
- 정보처리시설의 HVAC시스템은 반드시 전용 설치
- 양성공기압(Positive Pressurization) 특성 유지
11.1 온도
- 컴퓨터 시스템 적절 온도 : 70~74F(21~23C)
11.2 정전기(Static electricity)
- 방지책 : (1) 컴퓨터 영역에 정전기 방지(Anti-Static) 바닥재 사용
(2) 적절한 습도를 유지 -> HVAC -> 가장효과적
(3) 정전기 차단 스프레이
(4) 접지(Grounding)
(5) 사무기기 정전방지 처리, 일할 때 정전기 밴드 착용
11.3 습도(humidity)
- 컴퓨터 영역의 적정 습도 : 40 ~ 60%, 상대습도
- 습도 60% 초과 : 부식, 전기 분해 도금(corrosion)현상 발생
- 습도 40% 미만 : 정전기 발생
12. 화재
- 화재의 3(4) 요소 : 열, 연료, 산소(화학반응)
12.1 화재 탐지기
- 연기 탐지기(smoked activated detector) : 연기탐지, 초기 경보장치로 우수
> 이온화(lonization) : 연기에 반응
> 광학탐지기, 광전자장치 : 빛이 연기에 의하여 차단되면 경보
- 열 활성 탐지기(heat activated detector) : 온도를 탐지
- 화염 탐지기(flame activated detector) : 불꽃의 파동 또는 연소와 관련된 적외선 에너지 탐지
12.2 화재 종류 및 진압 방법
화재 등급 |
화재 유형 |
화재 요소 |
진압 방법 |
A |
일반 가연성 물질 |
목재, 종이 |
물, 포말 |
B |
유류제품(액체) |
가솔린, 윤활유 |
포말, CO2, Halon대체 |
C |
전기, 배선 |
전기장치, 철선 |
CO2, Halon대체 |
D |
가연성 금속 |
마그네슘, 나트륨 |
드라이 파우더 |
K |
주방용 기름 |
부엌 기름 |
습식화공약품 |
- 고체 : 드라이 파우더(산소와 연료를 분리) -> 산소억제, 결합억제, 화학작용 억제
- 액체 : 물(온도낮춤), 포말(온도 및 산소 억제)
- 기체 : CO2(산소억제), Halon 대체물(화학작용 억제)
FM200, CEA-410, NAF-S-III, FE-13, Argon, argonite, Inergen, Carbon dioxide, Halotron I, 물
무색/무취, 인체에 미치는 영향 고려, 사람이 없는 장소에 한하여 설치
가. 물분사기(Water Sprinklers)
- 습식 파이프(Wet Pipe) : 물이 항상 차 있음 / 신뢰성 / 누수와 동파 우려
- 건식 파이프(Dry Pipe) : 물이 없음 / 추운 지방 사용 / 시간 지연
- 사전작동식(Preaction) : 습식과 건식의 결함 / 전산실 적합 / 온도상승 시 물분사
13. 경계 보안
- 경계보안(Perimeter Security)의 특징
> 시설 운영 시 : 인가자와 비인가자 구분
> 시설 닫힌 경우 : 수상한 행동 경계, 감시
> 접근통제, 감시 모니터링, 침입탐지 및 교정 등
13.1 자물쇠(Locks)
- 가장 저렴
- 지연 효과
- Combination Lock : 숫자화된 자물쇠(자전거) / 보기 쉬운 곳에 적어 둠/ 엿보기 위험 / 이직 후 변경하지 않음
- Programmable Lock(cipher lock) : 키패드 이용(도어락) / 엿보기 위험
13.2 인적 접근 통제(Personal Access Control)
- 식별(Identification) 기법 : 물리적 접근 통제에서는 식별과 인증이 동시에 일어남
- 전자 접근 제어(EAC: Electronic Access Contro) Token : 근접 인증장치 -> 책임 추적성 향상
- 2 Factor authentication : 2가지 요인 이상 인증
- 침투테스트 : 물리적(담장), 논리적(네트워크), 운영적(앞사람 따라가기, 사회공학적)
- 사이트 내 방문자 : 에스코트(동행)을 통해 대응
13.3 출입구(Doorway)
- Tailgating or Piggybacking : 통제된 접근방법을 통해 직원을 따라 들어가는 것
- 예방책 : Mantrap -> 두 개의 문 사이에 있는 작은 방
- 1인용 회전문(Turnstile) : 지하철 통과하는 문
13.4 울타리(Fencing)
- 시위대에 대한 가장 효과적인 접근통제
- 3~4피트 : 우발적 침입차단
- 6~7피트 : 너무 높아 오를 수 없다고 간주
- 가시 철망 : 재산보호에 강력함 인식, 심각한 침입자 저지, 중요 지역 보호에 적합
- 가시철망의 설치 각도 : 45도
13.5 조명(Lighting)
- 침입자에게 심리적 위축(억제>탐지)을 제공
13.6 CCTV
- 렌즈의 좌/우, 상/하, 줌 기능 보유
- 용량줄이는 방법 : 동작탐지기(Motion Detector), MPEG-4압축기술
- CCTV 구성요소 : 카메라, 트랜스미터, 리시버, 레코딩 시스템, 모니터, 멀티플렉서(중계기)
- CCDs(Charged Coupled Devices Sensor 전하결합소자) : CCTV센서
- 피사계심도 결정 세가지 요소 : 초점거리, 카메라와 피사체간의 거리, 조리개 유효구경
- 특정 대상이 아니라 넓은 지역을 모니터링 하고자 할때 -> Wide-angle lens and a small lens opening
(렌즈 앵글 넓게, 조리개를 닫아 심도를 올림)
13.7 침입경보시스템(Intrusion Detection System)
- 동작 탐지기(Motion Detector)
> 파장 패턴(Wave Pattern) : 수신부로 반사되는 파장이 교란되면 경보
> 전하량(Capacitance) : 전기장 모니터링 / 객체와의 거리가 정확히 지정된 경우 보호
> 오디오 탐지기(Audio Detectors) : 이상한 소리 감시 / 주변에 소리 통제된 곳에서만
'STUDY > CISSP' 카테고리의 다른 글
[CISSP] Domain8_Software Development Security (1/4) (0) | 2019.04.01 |
---|---|
[CISSP] Domain7_Security Operations (6/6) (0) | 2019.04.01 |
[CISSP] Domain7_Security Operations (4/6) (0) | 2019.04.01 |
[CISSP] Domain7_Security Operations (3/6) (0) | 2019.03.29 |
[CISSP] Domain7_Security Operations (2/6) (0) | 2019.03.29 |