1、 關鍵任務設施的物理安全第 82 號白皮書版本 2作者 Suzanne Niles目錄 點擊內(nèi)容即可跳轉至具體章節(jié)摘要357101011問題的定義物理安全 控制人員對設施的訪問對實現(xiàn)數(shù)據(jù)中心可用性目標來說的至關重要。隨著像生物識別技術和對安保數(shù)據(jù)進行遠程管理等技術被越來越廣泛地應用，傳統(tǒng)的門禁卡和門衛(wèi)構成的安保架構正逐漸被能夠在數(shù)據(jù)中心內(nèi)部和周圍提供主動識別和追蹤人員活動的安保系統(tǒng)所取代。 在對設備進行投資之前，IT 經(jīng)理們必須仔細評估具體安保需求并為自己負責管理的設施選擇最合適和最經(jīng)濟的安保措施。本白皮書將概述人員身份驗證的基本原理并介紹安保系統(tǒng)的基本要素和流程。 技術的應用門禁裝置選擇合適

2、的解決方案： 風險承受能力vs.成本 12131415結論資源附錄術語表白皮書現(xiàn)收錄于施耐德電氣白皮書資料庫由施耐德電氣數(shù)據(jù)中心科研中心發(fā)表， DCSCSchneider-E 關鍵任務設施的物理安全簡介人員：一項亟待管理的風險 當提及數(shù)據(jù)中心安全時，人們的第一反應通常是要防止惡意破壞、陰謀活動或是數(shù)據(jù)。抵御外部闖入者以及他們的蓄意破壞行為，其必要性不言而喻。然而，數(shù)據(jù)中心內(nèi)工作人員的日常工作也有可能造成傷害，對于大多數(shù)設施來說，這種隨時可能出現(xiàn)的風險往往更大。 人員對數(shù)據(jù)中心的運營至關重要，但是也有研究顯示， 60%的意外和失誤造成的數(shù)據(jù)中心宕機都是直接人為造成的 程序不

3、當、設備標識錯誤、物品墜落或飛濺、命令輸入錯誤、以及其它或大或小的意外。有人存在的地方，就不可避免地可能出現(xiàn)人為失誤，因此盡量控制和減少人員進出設施是風險管理的一個關鍵環(huán)節(jié)，即使是惡意破壞的可能性非常小的時候。 數(shù)據(jù)中心物理基礎設施 物理安全是數(shù)據(jù)中心物理基礎設施（DCPI）的一部分，因為它直接關系著系統(tǒng)可用性（“正常運行時間”）能否得到最大化。它可以減少由于無關人員或有不良企圖的人員進入數(shù)據(jù)中心而導致的事故或破壞，從而減少宕機。 識別技術伴隨其所保護的設施、信息和通信的發(fā)展也在同步快速變化更新。隨著新設備和新技術的不斷涌現(xiàn)， 很容易讓一個長期存在的問題變得模糊起來，那就是如何禁止未經(jīng)許可或是

4、有不良企圖的人員進入他們本不應該進入的場所，這種技術所要解決的問題既不含有技術性，操作起來也并不復雜。第一步：在劃定設施內(nèi)的安 其它 DCPI 元素是電源、制冷、機柜、線纜和消防。 全區(qū)域和制定準入制度時是需要制作分層的和較復雜的布局圖，但是這并不是非常困難的事情。IT 經(jīng)理通常都知道人員的準入權限。真正的挑戰(zhàn)在于第二步：決定應用何種合適的技術讓整個計劃以最好方式得以實現(xiàn)。 你是誰，以及你為什么出現(xiàn)在這里？ 盡管各種安保技術層出不窮并且看似神秘，比如和手部掃描、瞳孔掃描、智能識別卡、面部幾何識別等，安全保護的目的卻自始自終從未發(fā)生改變，它既不復雜而且為我們大家所熟悉：那就是回答這樣一個問題“你

5、是誰，以及你為什么出現(xiàn)在這里？” 第一個問題“你是誰”，在設計自動化安保系統(tǒng)時可謂是頭號難題。當前流行的技術都試圖通過某種方法評估人員的身份。根據(jù)成本投入的不同，其精確度也相應不同。比如，門禁卡的成本較低，但其身份識別結果相對模糊（不能確定是誰在使用這張卡）；而虹膜掃描儀非常昂貴，但卻可以準確識別人員身份。在精確性和購買成本之間找到恰當?shù)钠胶恻c是安保系統(tǒng)設計的核心所 在。 第二個問題“你為什么出現(xiàn)在這里？”，這個問題也可以理解為“你進入這個場所是要做什 么？”，問題的答案可以是身份識別后所給出的提示（“這是 Alice Wilson，我們的布線專家， 她負責線纜敷設相關的工作，讓她進來”），也

6、可以以許多不同方式出現(xiàn)：一個人“是誰”和 “為什么出現(xiàn)在此”的信息可以同時寫入門禁卡的磁條里，比如，一個人的身份信息可以激活其在電腦文件里相對應的準入權限信息；或者進入設施內(nèi)的不同區(qū)域可以實施不同的準入措施，根據(jù)不同進入目的決定是否放行。有時“為什么出現(xiàn)在這里？”是唯一的問題，“你是誰”其實無關緊要，這種情況主要針對維修和清潔人員。 結合各種專業(yè)知識，尋求最佳解決方案 IT 經(jīng)理們了解其設施內(nèi)都有“誰”以及這些人員“為什么出現(xiàn)在此”，但是他們可能并不熟悉如何使用當前的安保方法或技術的細節(jié)，其實他們也不需要知道。而他們所知道的是自己的預算限制，也了解在自己所管理的設施內(nèi)各種安全違規(guī)行為的潛在風險

7、。 第 82 號白皮書 版本 12施耐德電氣 數(shù)據(jù)中心科研中心 關鍵任務設施的物理安全另一方面，安保系統(tǒng)顧問，雖然他們不知道設施內(nèi)的具體狀況，但是他們熟悉當前安保技術的功能、缺點和成本。他們也擁有在其它安保系統(tǒng)設計上積累的豐富經(jīng)驗，因此能夠通過提出針對性的問題幫助澄清、提煉或簡化對“誰” 和“為什么”的要求。 只有結合來自 IT 經(jīng)理和安保系統(tǒng)顧問這兩方面的專業(yè)知識才能夠平衡準入的要求、可接受的風險、可應用得方法和預算限制，完成對安保系統(tǒng)解決方案的設計。 問題的定義安全禁區(qū)：哪些區(qū)域需要受到保護？ 第一步，我們需要制定一個安保規(guī)劃 繪制一張物理設施地圖，然后標識出各個區(qū)域和入口的相應準入規(guī)則，

8、或者叫安保級別。 這些區(qū)域可能是層層相套的邊界： 場地周邊樓宇周邊IT 區(qū)域機房 “物理安全”還意味著物理安全也包括防止設備設施免遭（水災、火災、地震、爆設備機柜炸）或設備失效或故障（停電， 暖通空調(diào)故障）。 也可能是并排相連的邊界 本文內(nèi)容僅涉及對人員進出現(xiàn)場所造成的風險的保護。.訪客區(qū)辦公區(qū)動力間層層相套的區(qū)域能夠采取不同或嚴格程度漸進明細的門禁規(guī)則，提供層層累加的保護，稱之為 “安?？v深”。具有安保縱深，使內(nèi)部的區(qū)域不僅受到本區(qū)域的準入措施的保護，而且受到包圍這個區(qū)域的其它區(qū)域的措施的保護。此外，任何人員在違規(guī)進入外層區(qū)域后，仍將受到下一內(nèi)層區(qū)域的門禁管束。 第 82 號白皮書 版本 1

9、3施耐德電氣 數(shù)據(jù)中心科研中心 關鍵任務設施的物理安全 圖 1安保示意圖： “安?？v深” 機柜級安保：“安?？v深”的最里層 比數(shù)據(jù)機房還要更近一層 就是機柜。機柜鎖還沒有被廣泛地應用，但是如果使用的話，它們將是阻止未經(jīng)授權訪問關鍵設備的最后一道屏障。不是所 有進入機房內(nèi)的人員都有必要被授權接觸每一個機柜，機柜鎖可以讓只有管理服務器的人員能夠接觸到服務器，只有通信人員能夠接觸到通信設備，等等?？晒芾淼摹睓C柜鎖可以實現(xiàn)遠程配 置，從而只有在必要時才同意指定的人員在指定的時間進行訪問。這樣就減少意外、蓄意破壞或在未經(jīng)授權的情況下安裝額外通信設備，其可能導致耗電量異常增加和機柜溫度異常升高。 基礎設施

10、安保：安保地圖不僅需要包含設施內(nèi)放置 IT 功能設備的區(qū)域，同時也應包含放置物理基礎設施的區(qū)域。這些設備如果存在風險，也將可能導致宕機。比如，暖通空調(diào)設備可能突然意外停機或被蓄意關停，發(fā)電機的電池可能被防噴淋器。 ，或者系統(tǒng)管理控制臺可能被惡意誤導而激活消 第 82 號白皮書 版本 14施耐德電氣 數(shù)據(jù)中心科研中心 關鍵任務設施的物理安全準入規(guī)則：哪些地方允許哪些人進入?一個人進入安全禁區(qū)的權限可以建立在不同基礎上。除了常見的“身份”和“目的”，下列兩個也是常常作為權限確定的基礎 當然此外還有一些需要特殊處理的其它情況，比如“知道的必要性” 個人身份：設施內(nèi)的某個人需要進入設施內(nèi)與其工作相關的

11、區(qū)域。比如，安保主管可以在設施內(nèi)的大部分區(qū)域活動，但是不能進入存儲客戶數(shù)據(jù)的地方。計算機操作部的主管可以進入計算機機房和操作系統(tǒng)，但是卻無權進入放置電源和 HVAC 設備的房間。公司 CEO 可以進入安保主管和 IT 工作人員的辦公區(qū)以及公共區(qū)域，但是不能進入計算機機房或支持區(qū)。 在場的原因 ：市電維修人員，無論其是 Joe Smith 還是Mary Jones，都可能只有權限進入支持區(qū)和公共區(qū)域。而對于清潔人員來說，由于人員經(jīng)常變化，它們只有權 限進入公用區(qū)，而不能進入其它任何地方。網(wǎng)絡交換機專家只有權限接觸放置交換設備的機柜，而不能接觸放置服務器或存儲設備的機柜。在網(wǎng)絡服務器設施內(nèi)，客戶的

12、系統(tǒng)維護人員可能只有權限進入“客戶網(wǎng)絡訪問 室”，他們可以在這里連接到他們的個人服務器進行管理工作。 對問題分而治之 識別技術不應干擾安保地圖最初制定的規(guī)則。首先，請劃定您設施內(nèi)的安全區(qū)域并制定安保規(guī) 則，然后進行成本/效果/風險分析，需找它們之間的平衡點，并最終確定最佳技術執(zhí)行方案。.知道的必要性：進入特別敏感區(qū)域的權限可以出于特殊目的授予特殊人員 也就是說，如果他們“有必要知道”時，可以授予他們進入權限，同時也僅限于他們在這種需求下?lián)碛写藱嘞蕖?技術的應用識別方法：可靠性 vs.成本 人員身份識別的方法現(xiàn)在主要分為三類，它們的可靠性依次增強，但設備成本也成正比升高： 你有什么你知道什么你是

13、誰你有什么：可靠性最低（可被借用或盜用） “你有什么”是指你穿的或攜帶的某種物品 比如鑰匙、卡片或小物品（憑證），這些東西可以戴在身上或掛在鑰匙圈里。它可以是老式的金屬鑰匙，也可以是能夠與讀卡器交換信息的“智能”識別卡（智能卡）。它可以是寫有您個人信息的磁條卡（比如我們所熟悉的銀行 ATM卡）；也可以是帶有發(fā)射器和/或能夠與讀卡器近距離交換信息的卡片和證件（感應卡或感應憑證 比如 Mobil Speedpass） “你有什么”是可靠性最低的一種識別形式，因為它不能保證被正確的人使用 可以借給別人，被他人盜用，或在丟失后被他人撿到使用。 你知道什么：可靠性較佳（不能被，但是可能會被告知他人或被記

14、錄下來） “你知道什么”是用于某個裝置的一組、代碼或程序，比如開啟鎖，讀卡器驗證，或計 算機的鍵盤輸入。/代碼在安保方面處于兩難局面：如果太容易被記住，那么很可能被他人猜出；如果很難記住，可能不容易被猜出 但是很可能會被寫下來，安保作用也會降低。 “你知道什么”比“你有什么”的可靠性高一些，但是如果被記錄下來，也存在安保風險。 和代碼仍然可能會被告知他人，并且 你是誰：可靠性最高（基于某些只屬于你的身體特征） 第 82 號白皮書 版本 15施耐德電氣 數(shù)據(jù)中心科研中心 關鍵任務設施的物理安全“你是誰”是指通過唯一身體特征進行的身份識別 也就是人員識別其他人的自然方式，幾乎不會出現(xiàn)差錯。當用技術

15、來執(zhí)行這一識別過程時，它被稱作“生物識別方法”。通過大量測量和分析，我們已經(jīng)針對人類多種特征開發(fā)出生物識別掃描技術。 虹膜（色素） 視網(wǎng)膜（血管形狀） 聲音 手掌（手指形狀和手掌厚度） 面部（眼睛、鼻子和嘴巴的位置） 筆跡（用筆的力度） 圖 2“你有什么”，“你知道什么”和“你是誰” 可靠性（能不能確定是你？） 生物識別裝置一般非?？煽浚绻R別通過 也就是說，如果生物識別裝置認為是你，那么基本上可以肯定就是你。生物識別技術的不可靠性主要不是源自識別失敗或者冒名頂替，而是合法用戶可能不被識別通過（即“錯誤拒絕”）。 多種方法綜合使用，提高可靠性 常見的安保方案是從外層（敏感度最低）區(qū)域到內(nèi)層（

16、敏感度最高）區(qū)域采用不同安保方法，其可靠性和成本逐漸提高和增加。比如，樓宇入口可能需要刷卡+PIN 碼；計算機機房門口可能需要使用鍵盤+生物識別。在一個入口結合使用多種識別方法可以提高可靠性；在一個區(qū)域使用多種識別方法可以很大程度上提升內(nèi)層區(qū)域的安 全，因為每個區(qū)域不但受到自身識別方法的保護同時 對問題分而治之 識別技術不應干擾安保地圖最初制定的規(guī)則。首先，請劃定您設施內(nèi)的安全區(qū)域并制定安保規(guī) 則，然后進行成本/效果/風險分析，需找它們之間的平衡點，并最終確定最佳技術執(zhí)行方案。 也受到外層識別方法的預先保護。 安保系統(tǒng)管理 一些門禁裝置 比如讀卡器和生物識別掃描儀 能夠捕捉人員出入的數(shù)據(jù)，包括

17、出入人員的身份以及他們出入的時間。如果聯(lián)網(wǎng)，這些裝置還能將這些信息 傳送到遠程管理系統(tǒng)以供監(jiān)控和記錄（誰在進出這個區(qū)域），設備控制（允許某人在某時可以進 出），以及發(fā)出告警（有人在驗證失敗后重復嘗試進入該區(qū)域或設備故障）。 第 82 號白皮書 版本 16施耐德電氣 數(shù)據(jù)中心科研中心 你是誰 你知道什么 你有什么 身體特征PINID # SSN #和PIN碼鑰匙，卡，證件 關鍵任務設施的物理安全門禁裝置卡和憑證: “你有什么” 目前用于門禁的卡片和憑證有很多種類，從簡單的到復雜的都有，其功能也有高有低： 能夠重新編程防偽技術與讀卡器的互動方式：刷卡式，插入式，平面接觸式，非接觸式（“感應”） 方

18、便性：物理形態(tài)以及如何攜帶/佩戴所攜帶的數(shù)據(jù)大小 計算能力卡片成本讀卡器成本無論這些技術本身的安保作用和可靠性如何，這些實體“物品”都不能保證一定能夠被正確授權 的人員使用。因此，通常會將其與其它識別技術結合使用，比如或生物識別方法。 磁條卡是最常見的卡片種類，磁條上面寫有識別數(shù)據(jù)。當在讀卡器前面刷卡時，磁條上的信息就會被讀取，并與數(shù)據(jù)庫上的信息進行核對。這個系統(tǒng)價格不貴并且易于使用；缺點是卡片相對容 易復制以及卡片上的信息容易被盜取。 鋇鐵氧體卡（也稱“磁點卡”），它與磁條卡類似，但是能夠提供更高安全性，并且無需增加太多成本。它包含一張磁性材料制成的薄片，上面用圓點組成一定圖案。這種卡無需掃

19、描或刷卡， 只需接觸讀卡器即可。 韋根卡是磁條卡的演變，卡上內(nèi)置有一組經(jīng)過特殊處理并攜帶獨特磁性簽名的電線。當在讀卡器前刷卡時，感應線圈就會探測到這個簽名，并將其轉換成比特串。這種卡的復雜設計有一個優(yōu) 點，那就是卡不能被復制；缺點則是也不能重新編程。利用這種技術，卡無需與讀卡器直接接 觸；因此讀卡器的磁頭可以密封，從而支持戶外安裝。和感應卡以及磁條卡的讀卡器不同，韋根卡的讀卡器不受射頻或電磁場的干擾。讀卡器的這種穩(wěn)定性以及卡片難以復制的特點讓韋根卡系統(tǒng)非常安全（就“你有什么”安保方法范圍內(nèi)而言），但是也更昂貴。 條碼卡攜帶一組條碼，當卡片從讀卡器掃過時可以被讀取。這種系統(tǒng)價格非常低廉，但是也非

20、常容易 一臺普通的復印機就可以復制條碼并騙過條碼讀卡器。條碼卡適用于安保要求較低 的應用，特別是需要在設施內(nèi)遍布大量讀卡器時或者交通流量特別大的入口。它不太像是一個安保系統(tǒng)，而只能說是一種便宜的進出監(jiān)控方法。（有種說法是條碼卡只適用于“防君子而不防小人”。） 紅影卡通過在 PVC 塑料層之間設置條碼增強了條碼卡的安全性。讀卡器發(fā)射紅外光穿透卡片，條碼的陰影就會被另一側的感應器讀取。 感應卡提升了卡片的方便易用性，無需刷卡或解除讀卡器。和它的名字一樣，感應卡只需靠近讀卡器即可。這種卡采用了 RFID（射頻識別）技術，讀卡器的電磁場會作用于卡片。目前最流行的設計是距離讀卡器 10 厘米（4 英寸）

21、讀卡；還有一種設計 稱為近距型卡 其讀卡距離可達到約 1 米（3 英尺）。 智能卡是最新開發(fā)的門禁卡技術，并且正快速被許多新裝置所用。卡片內(nèi)置有硅片，可以存儲數(shù)據(jù)和/或進行計算。芯片可以接觸讀卡器（接觸式智能卡），也可遠距離與讀卡器互動（即非接觸式或感應智能卡，其所采用的技術與感應卡和近距型卡的技術相同），從而實現(xiàn)與讀卡器的數(shù)據(jù)交換。芯片的直徑約一厘米，它不一定要裝在卡片上，而是可以附帶在帶照片身份卡上，安裝在鑰匙鏈里，或者紐扣或首飾上（比如 iButton）。攜帶這種芯片的物體從術語上講一般稱作“智能媒體”。 第 82 號白皮書 版本 17施耐德電氣 數(shù)據(jù)中心科研中心 關鍵任務設施的物理安全

22、智能卡為門禁提供極大的靈活性。比如，芯片可以被安裝在老式卡片上與已有系統(tǒng)完全整合，或 者可以將持卡人的或虹膜掃描數(shù)據(jù)保存在芯片以供讀卡器進行生物特征驗證從而將識別水平從“您有什么”提高到“你是誰”。非接觸式智能卡支持“近距”讀取，可以最大程度的方便用戶：卡片無需取出錢包，瞬間即可完成讀取工作。 小鍵盤和鎖：“你知道什么” 小鍵盤和性有限，因為鎖被廣泛應用于門禁系統(tǒng)。它們非?？煽浚覍儆谟脩粲押眯图夹g，但是其安全容易被告知和破解。它們采用和手機一樣的按鈕，用戶通過按鈕輸入代碼如果每個用戶擁有自己的唯一代碼，那么可以稱之為個人訪問代碼（PAC）或者個人識別代碼 （PIN）。小鍵盤通常可以接受大量

23、不同代碼，每個用戶一個；鎖通常只有一個供所有用鍵盤如果結合生物識別來確認用戶身份，其安全性得到提高。 生物識別：“你是誰” 生物識別技術目前發(fā)展很快，并且越來越成熟，價格也越來越便宜。高可靠性且價格合理的生物識別技術 特別是識別 正逐漸成為安保解決方案的主流技術。許多供應商現(xiàn)在可以提供種類繁多的生物識別裝置供用戶選擇，當生物識別 技術與傳統(tǒng)的“你有什么”和“你知道什么”安保方法結合使用時，可以使現(xiàn)有安保措施得到最優(yōu) 化。 為什么不只使用生物識別技術？ 問：如果入口既使用了門禁卡，PIN 碼又使用了生物識別技術，既然生物識別技術如此可靠，為什么不干脆只使用生物識別技術呢？ 生物識別技術一般通過與

24、用戶數(shù)據(jù)庫的信息搜索匹配完成身份識別，但是不用先使用“你有什么”或“你知道什么”安保措施，然后再驗證結果 比如，先使用門禁卡/PIN 碼，然后用掃描儀驗 答：因為（1）如果需要在數(shù)據(jù)庫里掃描大量用戶而不是單個用戶，生物識別的處理時間不在可接受的范圍內(nèi)（2）如果數(shù)據(jù)庫內(nèi)不只一個用戶，生物識別可能出現(xiàn)錯誤拒絕和錯誤準入的情況，結合其它安保方法使用，可以降低這種風 險。 證結果。隨著生物識別技術的性能和可靠性的提高，它現(xiàn)在已經(jīng)成為可以獨立使用的身份識別技 術，無需攜帶卡片或記住。 生物識別技術的故障主要有兩個： 錯誤拒絕：無法識別合法用戶。雖然有人會爭辯說這樣可以高度保證受保護區(qū)域的安 全，但是合法

25、用戶因為掃描儀無法識別他們而不能進入安全區(qū)域，也是讓人無法忍受的錯誤。 雖然生物特征幾乎不可能被種技術存在匹配錯誤的風險。 ，但這 錯誤準入：識別發(fā)生錯誤，或者是將一個用戶認作另一個用戶，或者是將非法用戶認作合 法用戶。 錯誤率可以通過調(diào)節(jié)匹配精確度臨界值（“精確度達到多少可以被接受”）進行調(diào)整，但是一個錯誤率降低了，另一個錯誤率又會增加。 在選擇生物測量技術時需要考慮的因素包括設備成本、錯誤率（錯誤拒絕和錯誤準入）、用戶可接受程度，即可感知的干擾程度，不方便性，或者危險性。比如，視網(wǎng)膜掃描儀的用戶可接受程度通常較低，因此眼睛需要靠近掃描儀至 1-2 英尺的位置并接受 LED 光源的照射。 第

26、 82 號白皮書 版本 18施耐德電氣 數(shù)據(jù)中心科研中心 關鍵任務設施的物理安全圖 3手部掃描儀其它安保系統(tǒng)要素 安保系統(tǒng)設計的重點在于放在入口處對人員個體進行識別和篩選的裝置，即“門禁”。如果識別可靠性能達到 100%，人員的進入意圖安全可信，并且墻壁、門窗、鎖具和天花板牢不可破，那你將無任何后顧之憂。但是鑒于自身缺陷或惡意皮壞，事情往往并不能如此完美。因此，安保系統(tǒng)一般還需要結合其它保護、監(jiān)控和災備等措施一起發(fā)揮作用。 樓宇設計 當新建一處設施或翻新原有設施時，物理安全可以徹底重新做起，綜合利用建筑和施工措施預防或阻止惡意行為。在建筑的結構和布局方面，安保需要考慮的事項主要與潛在的進入路線

27、和離開路線以及進入關鍵物理基礎設施的通道有關，比如 HVAC 和布線，還有就是可供惡意進入者藏身的場所。請參見附錄羅列了一些相關設計考慮因素。 伴隨和尾隨：雙門互鎖裝置 門禁系統(tǒng)的一個常見的漏洞是未經(jīng)授權人員可能會跟在一名得到授權人員的后面從檢查點進入安全區(qū)域。（如果獲得授權的人員知情，這種行為稱之為“伴隨”，即，他會幫助開門；如果獲得授權的人員不知情，則稱為“尾隨”，即未經(jīng)授權人員趁人不察時悄悄溜入）。傳統(tǒng)的解決方案是一種氣閘式的雙門互鎖裝置，叫做“捕獲裝置”，上面分別安裝了入口門和出口門，兩扇門之間的空間只能容納一個人。雙門互鎖裝置可在入口門和出口門都設置門禁，或者只在出口門設置門禁。這種

28、情況下，如果無法從這個裝置中出去，入口門也會鎖閉，同時裝置會發(fā)出警報，未經(jīng)授權的闖入者已經(jīng)被控制。此外還可以安裝專門的腳印探測地坪，以確認一次只有一個人通過。 現(xiàn)在已經(jīng)開發(fā)出一種解決這個問題的新技術，即在天花板上安裝攝像頭，在人員通過檢查點時進行跟蹤和標記，一旦發(fā)現(xiàn)一次通過多人的情況就會發(fā)出警報。 攝像監(jiān)控 固定攝像機可以用于在車輛駛入點記錄汽車牌照，或者結合腳步感應器使用以記錄關鍵位置的進出人員。 閉路電視（CCTV）攝像機，采用暗裝或明裝可以提供內(nèi)部或外部監(jiān)督、發(fā)揮威懾作用以及在發(fā)生事故后進行追溯檢查。攝像機的種類多樣，包括有固定式，旋轉式或遠程控制。在安裝攝像頭時需要注意的一些事項： 攝

29、像機畫面里的人是否需要清晰可辨？ 是否只需要確定房間內(nèi)有沒有人？ 是否需要能夠監(jiān)督資產(chǎn)有沒有被搬走？ 第 82 號白皮書 版本 19施耐德電氣 數(shù)據(jù)中心科研中心 關鍵任務設施的物理安全 攝像頭是不是只需要發(fā)揮威懾作用？ 如果 CCTV 信號存有記錄，那么就以下事項制定相應程序：如何編號和分類以便檢索查看？ 在現(xiàn)場內(nèi)保存還是在現(xiàn)場外保存？ 誰有權接觸這些？ 使用這些需要辦理什么手續(xù)？ 需保存多久才能被銷毀?目前正在開發(fā)一種新技術，它可以自動完成之前由保安進行的工作 觀看 TV 監(jiān)控器 即使用軟件探測屏幕上的圖像變化（活動）。 安保警衛(wèi) 就物理安全而言，除運用先進技術外，專家們認為高素質(zhì)的警衛(wèi)團隊

30、是為門禁系統(tǒng)提供支持和補充的最佳手段。安保警衛(wèi)人員可以充分利用所有感官進行安全監(jiān)督，同時還能夠運用智慧靈活應對和處理可疑、異?；蛐?。 國際保安（IFPO）是一個非盈利組織，旨在促進保安人員的培訓和認證。他們的保安培訓手冊可作為保安及其雇主的參考指南。 傳感器和告警器 我們每個人都熟悉傳統(tǒng)的房屋和建筑警報系統(tǒng)及其傳感器 動作傳感器，熱量傳感器，接觸 （閉門）傳感器等等。數(shù)據(jù)中心警報系統(tǒng)可能還會使用其它種類的傳感器 激光傳感器、腳步傳感器、觸摸傳感器和振動傳感器。數(shù)據(jù)中心內(nèi)的一些區(qū)域可能會選用靜音告警器而不是發(fā)聲傳感器以便抓獲作案中的犯罪份子。 如果傳感器聯(lián)網(wǎng)，它們可由管理系統(tǒng)遠程監(jiān)控，也包括來自

31、門禁裝置的個人活動數(shù)據(jù)（參見之前的安保系統(tǒng)管理章節(jié)）。 訪客 安保系統(tǒng)設計時必須考慮如何處理訪客。一般的解決方案是發(fā)放可進入低安全級別區(qū)域的臨時胸牌或通行卡并在陪同下進入高安全級別區(qū)域。如果使用雙門互鎖裝置（防止兩個人使用同一授權通過入口），則需要提供臨時證或提供訪客證才能通行。 人為因素技術不能自行完成所有工作，特別是一些最好由人來完成的工作：評估人員身份和意圖。人是安保問題的一個重要成因，同時人也是解決方案中不可或缺的要素 容易出錯的特性使我們即是最薄弱的安保環(huán)節(jié)，但是同時人的智慧也能夠為安保提供最強大的支持。 人員：最薄弱的環(huán)節(jié) 除了錯誤和事故，人類天性中的友好和信任也伴隨著固有的風險。

32、一個你認識的人進入設施，而安保防線 他們往往非常狡猾聰明，擅長利用詭計和欺騙手段來獲取通行，它還有正式稱呼 第 82 號白皮書 版本 110施耐德電氣 數(shù)據(jù)中心科研中心 關鍵任務設施的物理安全“社交途徑”。安全保護區(qū)域的人員應當接受相關培訓，不僅針對操作和安保規(guī)則，還應了解如何抵御層出不窮的通過人際交往進行突破的手段。 人員：最強大的支持 安全防護措施往往被意外因素所干擾，任何技術手段都不如保持高度警惕的人可靠。如果時刻警惕縱利用并且堅決不走捷徑，這樣的人對安保來說將是技術之外的無價補充。 除了保持警惕性之外，工作人員的眼睛、耳朵、大腦和靈活性也非常有用，因此人是安保計劃中不可忽略的要素之一。

33、傳統(tǒng)的警衛(wèi)人員。在入口設置門衛(wèi)以及在物業(yè)和建筑內(nèi)設施巡邏崗，雖然花費較貴，但可以在安保技術手段發(fā)生故障或被入侵時提供保護。警衛(wèi)人員在感到“事情不妙” 時的快速反應可能是抵抗?jié)撛诎脖５淖詈蠓谰€。 在防止意外和蓄意傷害方面，警衛(wèi)人員的貢獻也同樣重要：時刻保持警惕并且嚴格遵守規(guī)章制 度。只允許相關人員進入設施，工作人員均經(jīng)過完善培訓，遵循預定規(guī)則和程序是一個有效物理安全系統(tǒng)最后的“”。 選擇合適的解決方案：風險承受能力 vs.成本 恰當?shù)陌脖Ｏ到y(tǒng)是可以想到的最佳折中方案，它應當能夠盡可能的平衡因人員誤入而引起的風險和潛在的損壞與安保措施的成本和繁復程度之間的關系。 安保違規(guī)的潛在成本 盡管每個數(shù)據(jù)中

34、心都有其獨特的特點，加上可能受損失的具體情況也各有不同，大部分的數(shù)據(jù)中心還是都需要考慮以下幾點： 物理損失 意外，蓄意破壞或對房間和設備的損害。 IT 生產(chǎn)力損失 設備維修或重置，數(shù)據(jù)重建或清理系統(tǒng)問題時會分散工作人員對主要工作的注意力 公司業(yè)務損失 由于宕機造成業(yè)務中斷 信息損失 數(shù)據(jù)丟失，被誤用或 聲譽和客戶好感度損失 嚴重或反復安保失效的后果：業(yè)務損失、股價下滑、涉訴。 安保系統(tǒng)設計中的考慮事項 安保系統(tǒng)設計需要考慮許多變量，非常復雜。雖然安保系統(tǒng)設計的具體策略不在本白皮書的討論范圍內(nèi)，但是任何設計方案都需要考慮以下事項： 設備成本 預算限制通常會使選用昂貴的高保密級別識別設備受到限制。

35、通常的解決辦法是針對不同的安保級別選用相應保密級別的的技術。 多種技術結合使用 對于任何安保級別的區(qū)域，結合使用低成本技術都可以提高識別結果的可靠性。最內(nèi)層的安全區(qū)域可以受益于所有同心外層區(qū)域的技術保護。 花錢不一定就能解決問題 即使成本不是問題，盲目在設施內(nèi)布置最先進的安保技術，大多數(shù)情況下，其結果往往是不受認可，生硬和繁瑣。每個受保護的區(qū)域都應當實事求是地根據(jù)該區(qū)域內(nèi)有什么以及什么人需要進入該區(qū)域評估其具體的安保需求。 用戶接受程度 (“損害”因素)。識別技術的簡單易用和可靠性非常重要，這可以避免讓安保系統(tǒng)成為制造麻煩的源頭或者讓人認為有機可乘。 可擴展性 設計是否可以根據(jù)需要，投入成本和

36、技術的安全等級進行擴展?第 82 號白皮書 版本 111施耐德電氣 數(shù)據(jù)中心科研中心 關鍵任務設施的物理安全逆向兼容性 新設計是否可以與舊系統(tǒng)中的已有要素兼容？保留使用全部或部分現(xiàn)有系統(tǒng)可以極大降低部署成本。 圖 4潛在損失和已知安保成本之間的平衡 實行安保的 已知成本 人員誤入的 潛在損失 結論隨著數(shù)據(jù)中心和托管服務設施的不斷增加，設施的物理安全需求變得和網(wǎng)絡計算機安全需求一樣 強烈和迫切。身份或有所企圖的闖入者可能造成巨大的破壞，比如破壞關鍵物理設備或者攻擊軟件。即使正常工作人員的普通失誤也對數(shù)據(jù)中心的運行存在威脅?？刂七@些風險的辦法就是盡量只讓相關人員在安全控制區(qū)域內(nèi)進出。 基于“你有什

37、么”，“你知道什么”和“你是誰”的識別原則，我們可以綜合運用各種技術，在優(yōu)化成本的基礎上，構建各種不同的解決方案。通過風險接受度評估以及對門禁要求和可用技術的綜合分析，我們可以設計出在保護力度和成本之間力求平衡的有效安保系統(tǒng)。 關于作者 Suzanne Niles 是施耐德電氣數(shù)據(jù)中心科研中心的高級戰(zhàn)略研究員，加入數(shù)據(jù)中心科研中心之前，Suzzane 在衛(wèi)斯理女子學院（Wellesley College）從事數(shù)學方面的研究，而后 在麻省理工學院（MIT）獲得計算機科學學士學位，并發(fā)表關于手寫輸入識別的畢業(yè)論文。Suzzane 擁有超過30 年針對不同階層聽眾，包括上至軟件說明書，攝影圖片，下至

38、兒歌的多元化的教學經(jīng)驗。 第 82 號白皮書 版本 112施耐德電氣 數(shù)據(jù)中心科研中心 宕機期間的業(yè)務損失 安保措施帶來的的日常不便之處 聲譽損失或 客戶好感度損失 安保設備的維護成本 數(shù)據(jù)丟失或損壞 安保設備的初始成本 蓄意破壞或 造成的損失 關鍵任務設施的物理安全資源 點擊圖標打開相應參考資源鏈接 數(shù)據(jù)中心設施選址第 81 號白皮書 瀏覽所有白皮書 瀏覽所有 TradeOff Tools 權衡工具聯(lián)系我們 關于本白皮書內(nèi)容的反饋和建議請聯(lián)系：數(shù)據(jù)中心科研中心 DCSCSchneider-E如果您是我們的客

39、戶并對數(shù)據(jù)中心項目有任何疑問：請與您的 施耐德電氣銷售代表聯(lián)系第 82 號白皮書 版本 113施耐德電氣 數(shù)據(jù)中心科研中心 關鍵任務設施的物理安全附錄建筑設計中需要考慮的安保事項 當新建一處設施或翻新原有設施時，物理安全可以徹底重新做起，綜合利用建筑和施工措施預防或阻止惡意行為。在建筑的結構和布局方面，安保需要考慮的事項主要與潛在的進入路線和離開路線以及進入關鍵物理基礎設施的通道有關，比如 HVAC 和布線，還有就是可供惡意進入者藏身的場所。請參見附錄羅列了一些相關設計考慮因素。 資源連接 第 81 號白皮書數(shù)據(jù)中心設施選址 設施選址時需要考慮的安保事項，請參見第 81 號白皮書數(shù)據(jù)中心設施選

40、址。 數(shù)據(jù)中心門的位置應當巧妙設計，僅供授權人員靠近。 使用鋼制門和門框，利用實心門代替中空門。確保門的鉸鏈或合頁不能從外面被拆除。 數(shù)據(jù)中心的墻壁應當使用比一般內(nèi)墻板更堅固的材質(zhì)。感應器應當埋入墻體內(nèi)，以探測惡意行為。 用作數(shù)據(jù)中心的房間不能鄰接外墻。.門衛(wèi)室或數(shù)據(jù)中心內(nèi)的攝像頭應當確保視線監(jiān)控范圍大且清晰。.設置障礙物，確保從外面不能看見入口或者其他敏感區(qū)域。這樣做可以防止惡意人員從遠處窺察建筑的布局或安保措施。 注意通風管、維修通道、貨梯以及其它可能的開口位置，確保其不會被惡意人員用作進入安全區(qū)域的途徑。所有寬度超過 30 厘米的開口都應安裝防護格柵以防止惡意人員進入。 避免創(chuàng)造能夠供人

41、或物隱藏的空間。比如，高架地板下面的空間就容易被用作隱蔽場所。確保所有潛在隱藏位置都經(jīng)過安保處理，并且不會被經(jīng)過設施的人員輕易發(fā)現(xiàn)。 屋頂上所有可被闖入的位置都必須安裝鎖和門告警器，以便有人試圖闖入時可以立即發(fā)出告警。盡量不要在屋頂設置入口。.留意所有外部水管、電線、HVAC 管路等，并提供相應的保護。如果不部署保護措施，惡意人員無須越過安保措施即可破壞這些基礎設施。 切斷接觸設施內(nèi)的電線、水管和通風管的路徑。即使您的數(shù)據(jù)中心得到了徹底的保護，如果惡意人員在走廊里行走就能找到通往電力電纜和數(shù)據(jù)電纜的途徑，數(shù)據(jù)中心也將處于危險中。 無論翻新現(xiàn)有設施還是在已有建筑內(nèi)新建數(shù)據(jù)中心，都應當仔細考慮位置

42、布局。注意避免選擇易受攻擊的位置或者人為風險大的位置。比如，避免將數(shù)據(jù)中心設置在廚房、大型生產(chǎn)設備、停車場或者人流量或車流量大的位置的下方或附近。廚房起火、汽車事故等等，這些都可能造成威脅。 、交通用防彈玻璃包圍中央安保監(jiān)控臺，保護其不受損害。 如果數(shù)據(jù)中心位于單獨的建筑內(nèi)，請注意建筑的外墻上應當保持素凈。不要使用識別標記，比如公司名稱或標識，那樣會暗示數(shù)據(jù)中心就在里面。 使用混凝土路障或其它障礙物防止未經(jīng)許可的車輛靠近建筑，將其擋在規(guī)定距離之外。 第 82 號白皮書 版本 114施耐德電氣 數(shù)據(jù)中心科研中心 關鍵任務設施的物理安全術語表文中用粗體字顯示的術語定義如下。 門禁 利用自動化設備讀

43、取物體上的信息，比如卡片（你有什么），接收代碼或（你知道什么）或通過生物分析識別身體特征（你是誰），從而人員進入建筑、房間和機柜以及使用鍵盤和設備。 入口 安全區(qū)域邊界上的一處位置，裝有門或者一些準入措施，用于篩選試圖進入該區(qū)域的用戶。 可用性 網(wǎng)絡的“正常運行時間”百分比。對于關鍵任務設施來說，目標是達到 99.999%相當于每年的宕機時間少于 5 分鐘。 條碼卡 一種使用條碼存儲信息的門禁卡；在讀卡器上刷卡讀取信息。 鋇鐵氧體卡 一種利用磁點圖案存儲信息的門禁卡；將卡平放在讀卡器上讀取信息。也稱作“磁點卡”。 生物識別鎖 由生物識別掃描儀控制的鎖。 生物識別技術 利用身體或行為特征識別人員

44、身份的技術，比如。 鎖 以特定順序按鍵開啟的鎖具。不同于編碼鎖，它只有 4-5 個按鍵的，每個按鍵只能按一次。鎖使用金屬按鍵，是今天采用類似手機鍵盤的電子編碼鎖的先驅， 編碼鎖 在鍵盤上輸入代碼進行開啟的鎖。 接觸式智能卡 必須與讀卡器接觸的智能，與其相對的是非接觸式智能卡。 第 82 號白皮書 版本 115施耐德電氣 數(shù)據(jù)中心科研中心 關鍵任務設施的物理安全非接觸式智能卡 智能卡使用 RFID 技術，因此無需接觸讀卡器也能使用。根據(jù)所使用的 RFID 標準的不同，與讀卡器的最大距離分別為 10 厘米/4 英寸（感應卡）或者 1 米/3 英尺（近距型卡）。 安?？v深 層層相套的安保分區(qū)，各區(qū)采

45、取不同或嚴格程度不斷漸進的門禁規(guī)則。內(nèi)層區(qū)域既受本區(qū)域門禁規(guī)則的約束，同時也受外圍區(qū)域門禁規(guī)則的約束，必須先進入外層區(qū)域才能進入內(nèi)層區(qū)域。 面部幾何識別 可通過生物識別技術測定的身體特征之一，例如眼睛、鼻子和嘴巴的相對位置。 錯誤準入 在生物識別中，將不在數(shù)據(jù)庫中的某人誤認的結果。它是兩種生物識別出錯的其中一種；另一種是錯誤拒絕。 錯誤拒絕 在生物識別中，無法識別數(shù)據(jù)庫中已知人員的結果。它是兩種生物識別出錯的其中一種；另一種是錯誤準入。 FAR錯誤準入率。對一臺生物識別裝置來說，錯誤準入的發(fā)生率。 FRR錯誤拒絕率、對一臺生物識別裝置來說，錯誤拒絕的發(fā)生率。 手部掃描 一種測量手部三維幾何圖形

46、的生物識別技術 手指的形狀和手的厚度。iButton一種與智能卡中所用芯片類似的微型芯片，但是它裝在一個直徑約半寸的圓形不銹鋼紐扣內(nèi)，可以別在鑰匙鏈或首飾上。iButtons 非常堅固耐用，但是（截止 2004 年 5 月）還不能結合 RFID 技術支持非接觸式應用。 IFPO國際保安。它是一個非盈利組織，旨在促進保安人員的培訓和認證。他們的保安培訓手 冊是保安及其雇主的參考指南。 第 82 號白皮書 版本 116施耐德電氣 數(shù)據(jù)中心科研中心 關鍵任務設施的物理安全紅影卡 門禁卡的一種，塑料夾層間有一組條形碼。讀卡器向卡片發(fā)射紅外光，另一側的感應器就會讀取到卡上條形碼的陰影。 虹膜掃描 一種測

47、定眼睛虹膜色素分布的生物識別技術。 安保等級 安全保衛(wèi)的范圍，從低到高，以疊層的安全分區(qū)為例 最外層的區(qū)域安保等級最低（比如建筑入口），最內(nèi)層的區(qū)域安保等級最高（比如機柜通道）。 磁條卡 門禁卡的一種，利用磁條存儲信息；刷卡以便讀卡器讀取上面的數(shù)據(jù)。 可管理性 可被遠程監(jiān)控?？晒芾淼拈T禁裝置能夠與遠程管理通信以促進監(jiān)督（出入人員及其相應時間），控制（讓設備在特定時間允許特定人員進入），和發(fā)出告警（ 入該區(qū)域或設備故障）。 有人在驗證失敗后重復嘗試進管理 與遠程裝置進行自動化通信以促進監(jiān)督、控制和發(fā)出警報。傳統(tǒng)的叫法是“樓宇自動化”或“住宅自動化”，新的術語“管理”表達的是數(shù)據(jù)中心內(nèi)所有元素基于網(wǎng)絡的通信，包括 IT 設備本身（服務器、存儲裝置、通信裝置、和網(wǎng)絡設備）以及物理基礎設施（電源、制冷、消防、和安保）。 捕獲裝置 一種氣閘式的雙門互鎖裝置，上面分別安裝了入口門和出口門，兩扇門之間的空間只能容納一個人。它主要是解決安保漏洞 “伴隨”或“尾隨”，即未經(jīng)授權人員跟隨授權人員通過門禁進入安全區(qū)域。 DCPI數(shù)據(jù)中心物理基礎設施。確保數(shù)據(jù)中心物理基礎設施（不同于 IT 基礎設施，比如路由器和存儲管理器）保持不間斷運行，可以直接有助于提高可用性。DCPI 包括電源、制冷、消防和物理安全。 知道必要性