物理服务器安全

很多时间和专栏讨论了如何保护服务器免受外部攻击。这是完全有效的，因为攻击者使用Internet破坏服务器要比获得物理访问权容易。

但是，一些IT专业人员忽略了物理服务器安全性的重要性。许多（如果不是大多数）最严重的安全破坏都是从组织内部执行的。

• 您如何保护服务器免受那些不需要访问服务器或服务器机房本身的具有现场访问权限的用户的侵害？

它是位于小隔间中IT经理办公桌旁边，还是通过电子卡和生物识别功能被锁在几扇门后面？

一旦有人对服务器进行了物理访问，将采取哪些保护措施阻止或至少记录对他们没有合理需要查看的敏感数据的访问？

当然，每个组织的情况会有所不同，业务需求和业务需求也会有所不同，但是即使是打印服务器也可以访问正在打印的敏感数据（合同和员工信息），因此，所涉及的内容比乍看之下要多。

我们所有的生产服务器都存储在一个可靠的数据中心的世界另一端。人陷阱，生物识别扫描仪，整个盒子和骰子。

对于我们办公室中的机器，它们位于服务器机房中，只能通过刷卡访问。只有系统管理员拥有可访问该区域的刷卡。

简而言之，如果有人亲自把手放在您的工具包上，那么您的数据就是他们的。如果这是一个足够的问题，那么pgp有价值的任何东西并即时解密它是一个繁重但必不可少的要求。

编辑：您可以将其扩展到备份媒体的物理安全性问题。如果您的站点不那么安全或更安全，那么可靠的物理安全性有什么好处？

您所需的物理安全性取决于您企业，IT员工等的性质和规模。对于大多数小型公司而言，上锁的门和廉价的安全摄像头将可以解决问题。

确保进入电柜的通道也很重要。投掷断路器有助于关闭计算机系统。

各种形式的物理安全保护都可以通过智能卡访问，代理传感器，沉重的门，脚踏板，照相机，强密码和生物识别技术来实现。

问题是，当电工需要接线时，用砖头将门撑开，然后不做任何通知便去吃午餐。它曾经发生过一次。幸运的是我过了一会儿才来。有趣的是，一块砖如何规避$ 10k +的安全性。

另一件事。提防非技术用户及其愚蠢行为。

我们的生产服务器在托管中心安全，但在办公室开发服务器。一旦清洁工找不到免费的电源插座，然后将吸尘器插入服务器的UPS。幸运的是，它有一个很大的过载警报，因此我们可以及时做出反应。

另一种情况（不知道它是多少真实的或城市的传说），每天清晨那里其中一台服务器发生神秘停机。没有人能找出问题所在。结果，保安人员在值班开始时将拔出其中一台服务器的电源，并插入咖啡机。他尽管说“没有人会注意到，只有3分钟”。

我们的建筑物曾经是银行，所以我们将服务器保存在库中。散热不是很好，但是我们只有六打，而且它们都没有强大的功能，所以这并不是问题。

这一部分是城市传奇，一部分是事实。

UL：一家公司正在建造一个新的计算机房，IT管理员向他的一个朋友展示了安全措施（人工陷阱，刷卡等）。朋友点了点头，似乎很受感动。几分钟后，当朋友知道一个主意时，两个人在门外聊天。他转身向墙靠，给它一个好的脚踢，在墙上打了一个大口子。不用说，管理员在搬进来之前加固了墙壁。

真相：小公司在多租户建筑物中的租赁空间。卡片密钥等。整个周末，有人在门旁的石膏板上打了一个洞，偷走了20台计算机（包括带有所有许可证密钥的服务器）

我们的计算机房的石膏板下面有一层金属。

我们的服务器机房通过钥匙卡保护。只有IT人员具有会打开门的钥匙卡，只有安全部门才能控制您的钥匙卡的访问权限。

进入服务器机房后，所有服务器都放在封闭的机架中。每个机架的前后门均已锁定，只有IT人员才能获得机架钥匙。

我们还将所有楼层的网络壁橱保持锁定状态，只有设施团队的成员才能拥有这些门的钥匙。

如果是中小型公司，则可能将其服务器放置在托管中心内；如果是大公司，则将拥有自己的服务器。

这通常提供您提到的物理安全性手段。您没有提到的是电磁屏蔽，可以防止窃听（市售产品可以从数百英尺左右的距离窃听双绞线以太网）。在银行的情况下，它们是类似掩体的结构，甚至可以承受EMP攻击。

对于数据中心来说，通常也要有至少两个物理位置，以备某种自然灾害（洪水，火灾等）时进行备份。当然，它是自己的电源，不仅是UPS，还包括发电机。

有一天让您的IT员工（如果可能的话，请警务人员/后备朋友或安全领域的某人）坐在房间里。观看运动鞋，不可能的任务和海洋11。

然后提出有人闯入房间的每种情况。在地板下面，穿过墙壁，击败门锁，穿过天花板，穿过通风孔。

然后，增强安全性。

使用门，锁，混凝土和金属条/格栅使房间尽可能不透水。

然后，假设您的第一道安全线已被破坏。

运动传感器，静音警报，声音警报都很好。

所有机架上的锁都将人们拒之门外（或使其减速）。

几台摄像机（门外和服务器机房中）可以记录到单独的房间/站点，这是很好的威慑力。

作为附带说明，请不要忘记保护备份。

我的工作围绕的是啊，不是那么关键...因此安全性不如“ 铁山 ”之类的东西那么严格。然而...

服务器机房位于使用6英寸混凝土板墙的建筑物的第二层。外面的初始入口点需要一个钥匙（并且要经过前台柜台员工）。第二个入口点需要一个不同的钥匙。第三个入口点需要第三个钥匙，门上使用金属丝网玻璃来防止偶然的袭击，尽管我猜有人会用电锯，喷灯或其他嘈杂/令人讨厌/明显的袭击手段通过。记录运动24/7的DVR上的DVR和DVR本身以类似的方式固定。

备份存储在服务器机房的防火等级插入式存储介质中，然后将其放置在附加的防火保险箱中。异地备份由IT经理直接进行，IT经理住在一个受惊的屋子里（我敢肯定也有现场保险箱）。

不，我没有设计物理安全性，也没有确定物理安全性的策略。这个地方卖盒装的白菜和橘子之类的东西，所以这好像我们不是在处理军事或国家机密...

根据您的数据，您不妨考虑进行监督。

我知道一个数据中心-我没有访问它，但我的队友却访问了。您需要具有照片的身份证件和授权才能访问。因此，对于我们的团队来说，很少访问它的情况下，我们必须得到主管的来信才能访问我们的服务器。

一旦他们决定让您进去，他们会留下拇指印并将标准徽章/门禁卡挂在您身上。然后，您在两个人的陪同下，分别是技术陪同和一名警卫。我知道这个想法是，如果技术人员看到您做他不喜欢的事情，他不愿意设置安全卫士来阻止您做任何事情。

这是一个数据中心，为伦敦市的主要国际银行提供服务器。

哈哈，我知道人们很重视安全性，但是生物识别技术呢？心理。我想它确实取决于您存储的数据的性质。我不得不为我们的设计公司研究一个小型装置，我们在GuruOnline上找到了一些好东西，很多关于网络安全性的视频。这很基本，但是可能是一个不错的开始...

有一个胡佛的清洁女工和有咖啡机的治安警卫。哈哈。至少他们没有薪水以了解所有IT知识。这是真正的万圣节故事。

我们的IT经理决定继续前进并退出。公司常务董事雇用了一些对IT不了解的人，但是他们去了同一所豪华学校，所以我想在面试中他们谈论的是旧时光，划船挑战，豪饮和女孩。

在他的第二个星期，新的IT经理去了服务器机房，下班后呆了一会儿，以使自己熟悉安装程序（我仍然不知道他在那儿做什么）。因为那里的空调很强，所以他把它们关了。在开个玩笑几个小时后，他回家了（也许很满意，甚至从字面上看-我不排除他在那儿看p0rn的可能性）。当然，他很累（长时间的喧闹等），所以自然而然地忘记将空调切换回原处。

到了早上，数据库服务器已完全煮熟，无法运行，而接下来的2天中还有2台服务器发生故障。

你说清洁女工 她肯定会做得更好（尤其是他的薪水）。那个故事中唯一的好东西是整个IT部门，我们每个人都一步一步地去了MD，并告诉他，如果他留下来将会是一场灾难。幸运的是，医学博士意识到，如果每个人都这样说，那真是不对劲，并解雇了那个白痴。