保护物理硬件的方式很简单:限制接近硬件并记录序列号。
限制接近
在上锁的限制接近区域安装交换机。
如果设备安装在有带锁门的机架中,请始终保持门的安全。
限制接近交换机光纤结构和网络连接。除了保护交换机,这也会保护对等节点。
限制接近交换机本身的串行控制台,不越过安全边界。不使用终端服务器或端口集线器。串行控制台允许更大的用户管理以及错误和调试消息传递特权。这些消息会无意中提供线索,促成恶意侵入及破坏安全。串行控制台未加密,在该方面的安全性弱于 SSH 连接。
尤其要限制接近电源、风扇模块和收发器,因为这些东西可以轻松拆卸。
在上锁的机柜内存储备用的可更换组件。仅允许授权人员接近上锁的机柜。
记录序列号
对包括可更换组件在内的所有重要物品进行安全标记。使用特殊的紫外线笔或压纹标签。
保存所有硬件的序列号记录。
将发票、采购记录和许可证副本保存在系统出现紧急状况时系统管理员容易获取的安全位置。这些打印的文档可能是证明所有权的唯一证据。