實體安全與物理防護

1、第2章 實體安全與硬件防護,本章學習目標,1）了解實體安全的定義、目的和內(nèi)容。 2）掌握計算機房場地環(huán)境的安全要求。包括機房建筑和結構要求、三度要求、防靜電措施、供電要求、接地與防雷、防火、防水等的技術、方法與措施。 3）掌握安全管理技術的內(nèi)容和方法。 4）理解電磁防護和硬件防護的基本方法,2.1實體安全技術概述,2.1.1影響實體安全的主要因素 2.1.2實體安全的內(nèi)容,2.1.1影響實體安全的主要因素,影響計算機網(wǎng)絡實體安全的主要因素如下： 1）計算機及其網(wǎng)絡系統(tǒng)自身存在的脆弱性因素。 2）各種自然災害導致的安全問題。 3）由于人為的錯誤操作及各種計算機犯罪導致的安全問題,2.1.2實體安

2、全的內(nèi)容,1) 環(huán)境安全 (2) 電源系統(tǒng)安全 (3) 設備安全 (4) 通信線路安全 (5) 存儲媒體安全,2.2計算機房場地環(huán)境的安全防護,2.2.1計算機房場地的安全要求 2.2.2設備防盜 2.2.3機房的三度要求 2.2.4 防靜電措施 2.2.5電源 2.2.6接地與防雷 2.2.7計算機場地的防火、防水措施,根據(jù)GB/T 9361-1988的規(guī)定，計算機機房環(huán)境的安全等級可分為A類、B類和C類三個基本類別，其安全要求也由高到低依次排列。 A類機房對計算機機房的安全有嚴格的要求，有最為完善的計算機機房安全措施；C類機房對計算機機房的安全是基本的要求，有基本的計算機機房安全措施,2.

3、2.1計算機房場地的安全要求,機房建筑和結構從安全的角度，還應該考慮： 電梯和樓梯不能直接進入機房。 建筑物周圍應有足夠亮度的照明設施和防止非法進入 的設施。 外部容易接近的進出口，而周邊應有物理屏障和監(jiān)視報警系統(tǒng)，窗口應采取防范措施，必要時安裝自動報警設備。 機房進出口須設置應急電話,機房供電系統(tǒng)應將動力照明用電與計算機系統(tǒng)供電線路分開，機房及疏散通道應配備應急照明裝置。 計算機中心周圍100m內(nèi)不能有危險建筑物。 進出機房時要更衣、換鞋，機房的門窗在建造時應考慮封閉性能。 照明應達到規(guī)定標準,2.2.2設備防盜,增加質(zhì)量或粘膠的方法。 將設備與固定底盤用鎖連接的防盜方法。 通過光纖電纜保護

4、重要設備。 通過磁性標簽保護設備。 視頻監(jiān)視系統(tǒng),2.2.3機房的三度要求,1溫度 ：1822 2濕度 ：4060 3潔凈度 ：塵埃顆粒直徑小于0.5m，平均每升空氣含塵量少于1萬顆,2.2.4 防靜電措施,靜電是由物體間的相互磨擦、接觸而產(chǎn)生的。靜電產(chǎn)生后，由于它不能泄放而保留在物體內(nèi)，產(chǎn)生很高的電位（能量不大），而靜電放電時發(fā)生火花，造成火災或損壞芯片。計算機信息系統(tǒng)的各個關鍵電路，諸如CPU、ROM、RAM等大都采用MOS工藝的大規(guī)模集成電路，對靜電極為敏感，容易因靜電而損壞。這種損壞可能是不知不覺造成的。 機房內(nèi)一般應采用乙烯材料裝修，避免使用掛毯、地毯等吸塵、容易產(chǎn)生靜電的材料,2.

5、2.5電源,1電源線干擾 有六類電源線干擾：中斷、異常中斷、電壓瞬變、沖擊、噪聲、突然失效事件。 2保護裝置 電源保護裝置有金屬氧化物可變電阻（MOV）、硅雪崩二極管（SAZD）、氣體放電管（GDT）、濾波器、電壓調(diào)整變壓器（VRT）和不間斷電源（UPS）等,3緊急情況供電 重要的計算機房應配置預防電壓不足（電源下跌）的設備，這種設備有如下兩種： （1）UPS （2）應急電源 4調(diào)整電壓和緊急開關 電源電壓波動超過設備安全操作允許的范圍時，需要進行電壓調(diào)整。允許波動的范圍通常在5%的范圍內(nèi)。緊急開關用于在發(fā)生緊急情況時迅速斷開總電源，使設備停止工作,2.2.6接地與防雷,1地線 接地線通過與大

6、地層連接進行放電保護。當連接的設備漏電或感應帶電時，能夠快速通過接地線將電流引入大地，從而使設備外殼不再帶電。 （1）保護地 （2）直流地 （3）屏蔽地 （4）靜電地 （5）雷擊地,2接地系統(tǒng) 計算機房的接地系統(tǒng)是指計算機系統(tǒng)本身和場地的各種接地的設計和具體實施。 （1）各自獨立的接地系統(tǒng) （2）交、直流分開的接地系統(tǒng) （3）共地接地系統(tǒng) （4）直流地、保護地共用地線系統(tǒng) （5）建筑物內(nèi)共地系統(tǒng),3接地體 直接與土壤接觸，作為一定的流散電阻，用以與大地進行電氣連接的金屬導體或?qū)щ娊M稱為接地體，通常由金屬管制成。 （1）地樁 （2）水平柵網(wǎng) （3）金屬接地板 （4）建筑物基礎鋼筋,4防雷措施 機

7、房的外部防雷應使用接閃器、引下線和接地裝置，吸引雷電流，并為其泄放提供一條低阻值通道。 機器設備應有專用地線，機房本身有避雷設施，設備(包括通信設備和電源設備)有防雷擊的技術設施，機房的內(nèi)部防雷主要采取屏蔽、等電位連接、合理布線或防閃器、過電壓保護等技術措施以及攔截、屏蔽、均壓、分流、接地等方法，達到防雷的目的。機房的設備本身也應有避雷裝置和設施,2.2.7計算機場地的防火、防水措施,1. 機房防火 建筑材料防火 報警和滅火系統(tǒng) 區(qū)域隔離防火,2. 機房防水與防潮 水管安裝要求 水害防護 防水檢測 排水要求,2.3安全管理,2.3.1硬件資源的安全管理 2.3.2信息資源的安全與管理 2.3.

8、3健全機構和崗位責任制 2.3.4完善的安全管理規(guī)章制度,2.3.1硬件資源的安全管理,1硬件設備的使用管理 制定切實可行的硬件設備的操作使用規(guī)程 建立設備使用情況日志 建立硬件設備故障情況登記表 堅持對設備進行例行維護和保養(yǎng),2常用硬件設備的維護和保養(yǎng) 主機、顯示器、軟盤、軟驅(qū)、打印機、硬盤的維護保養(yǎng) ； 網(wǎng)絡設備的維護保養(yǎng)； 定期檢查供電系統(tǒng)的各種保護裝置及地線是否正常 ； 所有的計算機網(wǎng)絡設備都應當置于上鎖且有空調(diào)的房間內(nèi)； 注意電源插座附近 ； 將對設備的物理訪問權限限制在最小范圍內(nèi),2.3.2信息資源的安全與管理,1信息存儲的安全管理 計算機處理的結果（信息）要存儲在某種媒體上，常用

9、的媒體有：磁盤、磁帶、打印紙、光盤。信息存儲的管理實際上就是對存放有信息的具體媒體的管理。 2信息的使用管理 計算機中的信息是文字記錄、數(shù)據(jù)在計算機中的表示形式，對它的安全控制關系到國家、集體、個人的安全利益。必須加強對信息的使用管理，防止非法使用,2.3.3健全機構和崗位責任制,計算機系統(tǒng)的安全問題是涉及整個系統(tǒng)、整個單位的大問題。一般來說，系統(tǒng)安全保密是由單位主要領導負責，必要時設置專門機構，協(xié)助主要領導管理。重要單位、要害部門的安全保密工作應分別由安全、保密、保衛(wèi)和技術部門分工負責。所有領導機構、重要計算機系統(tǒng)的安全組織機構（包括安全審查機構、安全決策機構、安全管理機構）都要建立和健全各

10、項規(guī)章制度,2.3.4完善的安全管理規(guī)章制度,1系統(tǒng)運行維護管理制度 2計算機處理控制管理制度 3文檔資料管理制度 4操作人員及管理人員的管理制度 5計算機機房的安全管理規(guī)章制度 6其他的重要管理制度 7詳細的工作手冊和工作記錄,2.4電磁防護,2.4.1 電磁干擾和電磁兼容 2.4.2 計算機通過電磁發(fā)射引起的信息泄漏 2.4.3 電磁防護的措施,2.4.1 電磁干擾和電磁兼容,電磁防護技術是為了保證電子設備在復雜的電磁環(huán)境中也能夠正常的工作。 1. 電磁干擾 電磁干擾可通過電磁輻射和傳導兩條途徑影響設備的工作,2. 電磁兼容 電磁兼容表現(xiàn)為在一個系統(tǒng)中各種用電設備能夠正常工作而不致相互發(fā)生

11、電磁干擾造成性能改變和設備的損壞，也就是說這個系統(tǒng)中的用電設備就是相互兼容的,2.4.2 計算機通過電磁發(fā)射引起的信息泄漏,對電磁泄漏信號中所攜帶的敏感信息進行分析、測試、接收、還原以及防護的一系列技術稱為TEMPEST技術，即“瞬時電磁脈沖發(fā)射標準” （Transient Electromagnetic Pulse Emanation Standard） 或者“瞬時電磁脈沖發(fā)射監(jiān)測技術” （Transient Electromagnetic Pulse Emanation Surveillance Technology,Tempest技術是綜合性很強的技術，包括泄漏信息的分析、預測、接收、識

12、別、復原、防護、測試、安全評估等項技術，涉及到多個學科領域。它基本上是在傳統(tǒng)的電磁兼容理論的基礎上發(fā)展起來的，但比傳統(tǒng)的抑制電磁干擾的要求要高得多，技術實現(xiàn)上也更復雜,2.4.3 電磁防護的措施,1. 對傳導發(fā)射的防護 主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合； 2. 對輻射的防護 為提高電子設備的抗干擾能力，除在芯片、部件上提高抗干擾能力外，主要的措施有屏蔽、隔離、濾波、吸波、接地等，其中屏蔽是應用最多的方法,2.5硬件防護,2.5.1存儲器保護 2.5.2虛擬存儲保護 2.5.3輸入/輸出通道控制,2.5.1存儲器保護,硬件是計算機系統(tǒng)的基礎。硬件防護一

13、般是指在計算機硬件（CPU、存儲器、外設等）上采取措施或通過增加硬件來防護。如計算機加鎖，加專門的信息保護卡（如防病毒卡、防拷貝卡），加插座式的數(shù)據(jù)變換硬件（如安裝在并行口上的加密狗等），輸入輸出通道控制，以及用界限寄存器對內(nèi)存單元進行保護等措施,界限寄存器提供保護的方法簡單、可靠。由于界限寄存器對用戶確定的存儲區(qū)域并不為用戶所知，因此，非法用戶即使可以進入系統(tǒng)，但由于界限寄存器的保護，使它不知道要竊取信息的存放地點，并且它的活動范圍也只限于界限寄存器規(guī)定的范圍。這樣就保護了信息的安全。界限寄存器原理如圖2.1所示。 但是這種方法也有一定的局限。首先對大的系統(tǒng)，特別是多重處理的系統(tǒng)，必須提供多

14、對界限寄存器，因為每次處理所調(diào)用的程序可能在不同的區(qū)域，這就勢必增加界限寄存器的數(shù)量，增加開銷。如果寄存器數(shù)量不夠，則要不斷更新內(nèi)容，使系統(tǒng)的處理速度降低,圖2.1 界限寄存器原理,2.5.2虛擬存儲保護,虛擬存儲是操作系統(tǒng)中的策略。當多用戶共享資源時，為合理分配內(nèi)存、外存空間，設置一個比內(nèi)存大得多的虛擬存儲器。用戶程序和數(shù)據(jù)只是在需要時，才通過動態(tài)地址翻譯并調(diào)到內(nèi)存（實存）中，供CPU調(diào)用，用后馬上就退出。 虛擬存儲保護應用較多的是段頁式保護。 段頁式保護應用于段頁式地址轉(zhuǎn)換表格結構的虛擬存儲器，如圖2.2所示。虛擬地址分為虛段號、虛頁號和頁內(nèi)地址，其中頁內(nèi)地址可直接轉(zhuǎn)為實際地址，虛擬地址主要由段號和頁號表示,圖2.2段頁式虛擬存儲結構,圖2.2 段頁式虛擬儲存結構,2.5.3輸入/輸出通道控制,輸入/輸出設備是計算機系統(tǒng)的重要組成部分。為使這一過程安全，要采取一定的措施來進行通道控制，這不僅可使系統(tǒng)安全保密，而且還可避免意外的操作失誤而造