實體安全防護(hù)

1、計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)實體安全防護(hù)與安全管理技術(shù)實體安全防護(hù)與安全管理技術(shù)計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)本章學(xué)習(xí)目標(biāo)物理安全的定義、目的和內(nèi)容計算機房場地環(huán)境的安全要求電磁干擾及電磁防護(hù)的措施，重點關(guān)注屏蔽技術(shù)和濾波技術(shù)物理隔離技術(shù)計算機網(wǎng)絡(luò)安全管理的定義、功能、邏輯結(jié)構(gòu)模型。簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）。計算機網(wǎng)絡(luò)安全管理的基本原則與工作規(guī)范。 計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)定義實體安全（Physical Security）又叫物理安全，是保護(hù)計算機設(shè)備、設(shè)施（含網(wǎng)絡(luò)）免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故（如電

2、磁污染等）破壞的措施和過程。實體安全主要考慮的問題是環(huán)境、場地和設(shè)備的安全以及實體訪問控制和應(yīng)急處置計劃等。實體安全技術(shù)主要是指對計算機及網(wǎng)絡(luò)系統(tǒng)的環(huán)境、場地、設(shè)備和人員等采取的安全技術(shù)措施。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)2.1物理安全技術(shù)概述實體安全的目的是保護(hù)計算機、網(wǎng)絡(luò)服務(wù)器、交換機、路由器、打印機等硬件實體和通信設(shè)施免受自然災(zāi)害、人為失誤、犯罪行為的破壞；確保系統(tǒng)有一個良好的電磁兼容工作環(huán)境；把有害的攻擊隔離。實體安全的內(nèi)容主要包括：環(huán)境安全電磁防護(hù)物理隔離安全管理。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)實體安全的內(nèi)容 環(huán)境安全：環(huán)境安全：計算機網(wǎng)絡(luò)

3、通信系統(tǒng)的運行環(huán)境應(yīng)按照國家有關(guān)標(biāo)準(zhǔn)設(shè)計實施，應(yīng)具備消防報警、安全照明、不間斷供電、溫濕度控制系統(tǒng)和防盜報警，以保護(hù)系統(tǒng)免受水、火、有害氣體、地震、靜電的危害。物理隔離：物理隔離：物理隔離技術(shù)就是把有害的攻擊隔離，在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)絡(luò)間數(shù)據(jù)的安全交換電磁防護(hù)：電磁防護(hù)：計算機網(wǎng)絡(luò)系統(tǒng)工作時產(chǎn)生的電磁發(fā)射可被高靈敏度的接收設(shè)備接收并進(jìn)行分析、還原，造成系統(tǒng)信息泄漏。外界的電磁干擾也能使計算機網(wǎng)絡(luò)系統(tǒng)工作不正常，甚至癱瘓。必須通過屏蔽、隔離、濾波、吸波、接地等措施，提高計算機網(wǎng)絡(luò)系統(tǒng)的抗干擾能力，使之能抵抗強電磁干擾；同時將計算機的電磁泄漏發(fā)射降到最低。安全

4、管理：安全管理：安全管理包含了二方面的內(nèi)容：一是對計算機網(wǎng)絡(luò)系統(tǒng)的管理；二是涉及法規(guī)建設(shè)，建立、健全各項管理制度等內(nèi)容的安全管理。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)2.2計算機房場地環(huán)境的安全防護(hù)2.2.1計算機房場地的安全要求為保證物理安全，應(yīng)對計算機及其網(wǎng)絡(luò)系統(tǒng)的實體訪問進(jìn)行控制。計算機房的設(shè)計應(yīng)考慮減少無關(guān)人員進(jìn)入機房的機會。同時，計算機房應(yīng)避免靠近公共區(qū)域，避免窗戶直接鄰街，應(yīng)安排機房在內(nèi)（室內(nèi)靠中央位置），輔助工作區(qū)域在外（室內(nèi)周邊位置）。在一個高大的建筑內(nèi)，計算機房最好不要建在潮濕的底層，也盡量避免建在頂層，因頂層可能會有漏雨和雷電穿窗而入的危險。在有多個辦公室的

5、樓層內(nèi)，計算機機房應(yīng)至少占據(jù)半層，或靠近一邊。這樣既便于防護(hù)，又利于發(fā)生火警時的撤離。所有進(jìn)出計算機房的人都必須通過管理人員控制的地點。應(yīng)有一個對外的接待室，訪問人員一般不進(jìn)入數(shù)據(jù)區(qū)或機房，而在接待室接待。特殊需要進(jìn)入控制區(qū)的，應(yīng)辦理手續(xù)。每個訪問者和帶入、帶出的物品都應(yīng)接受檢查。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)機房建筑和結(jié)構(gòu)從安全角度考慮： 電梯和樓梯不能直接進(jìn)入機房。建筑物周圍應(yīng)有足夠亮度的照明設(shè)施和防止非法進(jìn)入的設(shè)施。外部容易接近的進(jìn)出口應(yīng)有柵欄或監(jiān)控措施，而周邊應(yīng)有物理屏障（隔墻、帶刺鐵絲網(wǎng)等）和監(jiān)視報警系統(tǒng)，窗口應(yīng)采取防范措施，必要時安裝自動報警設(shè)備。機房進(jìn)出口須

6、設(shè)置應(yīng)急電話。機房供電系統(tǒng)應(yīng)將動力照明用電與計算機系統(tǒng)供電線路分開，機房及疏散通道應(yīng)配備應(yīng)急照明裝置。計算機中心周圍100m內(nèi)不能有危險建筑物。進(jìn)出機房時要更衣、換鞋，機房的門窗在建造時應(yīng)考慮封閉性能。照明應(yīng)達(dá)到規(guī)定標(biāo)準(zhǔn)。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)2.2.2設(shè)備防盜措施早期的防盜，采取增加質(zhì)量和膠粘的方法，即將設(shè)備長久固定或粘接在一個地點?，F(xiàn)在某些便攜機也采用機殼加鎖扣的方法。國外一家公司發(fā)明了一種光纖電纜保護(hù)設(shè)備。這種方法是將光纖電纜連接到每臺重要的設(shè)備上，光束沿光纖傳輸，如果通道受阻，則報警。一種更方便的防護(hù)措施類似于圖書館、超級市場使用的保護(hù)系統(tǒng)。每臺重要的設(shè)備

7、、每個重要存儲媒體和硬件貼上特殊標(biāo)簽（如磁性標(biāo)簽），一旦被盜或未被授權(quán)攜帶外出，檢測器就會發(fā)出報警信號。視頻監(jiān)視系統(tǒng)是一種更為可靠的防護(hù)設(shè)備，能對系統(tǒng)運行的外圍環(huán)境、操作環(huán)境實施監(jiān)控（視）。對重要的機房，還應(yīng)采取特別的防盜措施，如值班守衛(wèi)，出入口安裝金屬防護(hù)裝置保護(hù)安全門、窗戶。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)2.2.3機房的三度要求機房內(nèi)的空調(diào)系統(tǒng)、去濕機、除塵器是保證計算機系統(tǒng)正常運行的重要設(shè)備之一。通過這三種設(shè)備使機房的三度要求：溫度、濕度和潔凈度得到保證，溫度：溫度：機房溫度一般應(yīng)控制在1822，即（202）。溫度過低會導(dǎo)致硬盤無法啟動，過高會使元器件性能發(fā)生變化，

8、耐壓降低，導(dǎo)致不能工作。濕度：濕度：相對濕度過高會使電氣部分絕緣性降低，加速金屬器件的腐蝕，引起絕緣性能下降；而相對濕度過低、過于干燥會導(dǎo)致計算機中某些器件龜裂，印刷電路板變形，特別是靜電感應(yīng)增加，使計算機內(nèi)信息丟失、損壞芯片，對計算機帶來嚴(yán)重危害。機房內(nèi)的相對濕度一般控制在40%60為好，即（5010）。潔凈度：潔凈度：清潔度要求機房塵埃顆粒直徑小于0.5，平均每升空氣含塵量小于1萬顆?；覊m會造成接插件的接觸不良、發(fā)熱元件的散熱效率降低、絕緣破壞，甚至造成擊穿；灰塵還會增加機械磨損，尤其對驅(qū)動器和盤片。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)2.2.4防靜電措施靜電是由物體間的相

9、互磨擦、接觸而產(chǎn)生的。靜電產(chǎn)生后，由于它不能泄放而保留在物體內(nèi)，產(chǎn)生很高的電位（能量不大），而靜電放電時發(fā)生火花，造成火災(zāi)或損壞芯片。計算機信息系統(tǒng)的各個關(guān)鍵電路，諸如CPU、ROM、RAM等大都采用MOS工藝的大規(guī)模集成電路，對靜電極為敏感，容易因靜電而損壞。這種損壞可能是不知不覺造成的。機房內(nèi)一般應(yīng)采用乙烯材料裝修，避免使用掛毯、地毯等吸塵、容易產(chǎn)生靜電的材料。為了防靜電機房一般安裝防靜電地板，并將地板和設(shè)備接地以便將物體積聚的靜電迅速排泄到大地。機房內(nèi)的專用工作臺或重要的操作臺應(yīng)有接地平板。此外，工作人員的服裝和鞋最好用低阻值的材料制作，機房內(nèi)應(yīng)保持一定濕度，在北方干燥季節(jié)應(yīng)適當(dāng)加濕，以

10、免因干燥而產(chǎn)生靜電。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)2.2.5電 源電源是計算機網(wǎng)絡(luò)系統(tǒng)正常工作的重要因素。供電設(shè)備容量應(yīng)有一定的富裕量，所提供的功率一般應(yīng)是全部設(shè)備負(fù)載的125。計算機房設(shè)備最好是采取專線供電，應(yīng)與其他電感設(shè)備（如馬達(dá)），以及空調(diào)、照明、動力等分開；至少應(yīng)從變壓器單獨輸出一路給計算機使用。為保證設(shè)備用電質(zhì)量和用電安全，電源應(yīng)至少有兩路供電，并應(yīng)有自動轉(zhuǎn)換開關(guān)，當(dāng)一路供電有問題時，可迅速切換到備用線路供電。應(yīng)安裝備用電源，如長時間不間斷電源（UPS），停電后可供電8小時或更長時間。關(guān)鍵的設(shè)備應(yīng)有備用發(fā)電機組和應(yīng)急電源。同時為防止、限制瞬態(tài)過壓和引導(dǎo)浪涌電流，

11、應(yīng)配備電涌保護(hù)器（過壓保護(hù)器）。為防止保護(hù)器的老化、壽命終止或雷擊時造成的短路，在電涌保護(hù)器的前端應(yīng)有諸如熔斷器等過電流保護(hù)裝置。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)電源線干擾 有六類電源線干擾：中斷：三相線中任何一相或多相因故障而停止供電為中斷，長時間中斷即為關(guān)閉。異常中斷：是指電壓連續(xù)過載或連續(xù)低電壓。 電壓瞬變：瞬變浪涌是指電壓幅值在幾個正弦波范圍內(nèi)快速增加或降低.。沖擊：沖擊又稱瞬變脈沖或尖峰電壓，它是指在0.5s100s內(nèi)過高或過低的電壓。尖峰一般指瞬時電壓超過400V，而下垂電壓指瞬時向下的窄脈沖。噪聲：電磁干擾EMI（Electromagnetic Interfe

12、rence）是由電源線輻射產(chǎn)生的電磁噪聲干擾，射頻干擾（RFI）是發(fā)射頻率30kHz時的電磁干擾。突然失效事件：指由雷擊等引起的快速升起的電磁脈沖沖擊，致使設(shè)備失效。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)保護(hù)裝置 電源保護(hù)裝置有金屬氧化物可變電阻（MOV）、硅雪崩二極管（SAZD）、氣體放電管（GDT）、濾波器、電壓調(diào)整變壓器（VRT）和不間斷電源（UPS）等。金屬氧化物可變電阻可吸收尖峰和沖擊電壓，工作時間1s5ns。SAZD和GDT可使浪涌和尖峰電壓分流，從而保護(hù)電路。SAZD的工作速度快（10-12s），但不能處理大的浪涌；GDT能處理大的浪涌，但工作速度較慢（只能達(dá)10-

13、6s）。濾波器通過保護(hù)電路使噪聲分流并使浪涌衰減。VRT可在秒級進(jìn)行異常狀態(tài)保護(hù)。UPS可保護(hù)系統(tǒng)，避免斷電、下跌、下垂、電源故障、供電不足和其他低電壓狀態(tài)的影響。連續(xù)工作的UPS可使計算機不受電源線耦合的影響，保護(hù)它們避免災(zāi)難的干擾。避雷針和浪涌濾波器可幫助抵抗強電磁脈沖。此外，安裝設(shè)備時應(yīng)遠(yuǎn)離建筑的金屬結(jié)構(gòu)，以避免雷擊影響。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)緊急情況供電 UPS：正常供電時，UPS可使交流電源整流并不間斷地使電池充電。在斷電時，由電池組通過逆變器向機房設(shè)備提供交流電。從而有效地保護(hù)系統(tǒng)及數(shù)據(jù)。在特別重要的場合，應(yīng)考慮此種措施。應(yīng)急電源：主要通過汽油機或柴油

14、機帶動發(fā)電機，在斷電時啟動，為系統(tǒng)提供較長時間的緊急供電。它需要有自己的燃料支持。應(yīng)急發(fā)電機只對最重要的設(shè)備提供支持，包括空調(diào)、最必須的計算機、照明燈、報警系統(tǒng)、通信設(shè)備等。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)調(diào)整電壓和緊急開關(guān) 電源電壓波動超過設(shè)備安全操作允許的范圍時，需要進(jìn)行電壓調(diào)整。允許波動的范圍通常在5%的范圍內(nèi)。當(dāng)供電減少或不正常工作時，電壓調(diào)整設(shè)備應(yīng)能響應(yīng)1s的電壓波動，自動調(diào)整電壓并連續(xù)工作。如果機房設(shè)備直接與電網(wǎng)連接，則要有一個電壓調(diào)節(jié)變壓器，以保持電壓穩(wěn)定。這個變壓器安裝在機房附近時，需要在機房周圍設(shè)置防火隔離帶。計算機系統(tǒng)的電源開關(guān)（主控開關(guān)）應(yīng)安裝在計算機

15、主控制開關(guān)柜附近。這些開關(guān)要清楚地標(biāo)注出它們的功能。操作者應(yīng)接受在緊急情況下如何操作它們的訓(xùn)練。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)2.2.6接地與防雷地線種類保護(hù)地：保護(hù)地：計算機系統(tǒng)內(nèi)的所有電氣設(shè)備，包括輔助設(shè)備，外殼均應(yīng)接地。保護(hù)地一般是為大電流泄放而接地。機房內(nèi)保護(hù)地的接地電阻4。 直流地直流地，又稱邏輯地，是計算機系統(tǒng)的邏輯參考地，即計算機中數(shù)字電路的低電位參考地。直流地的接地電阻一般要求2屏蔽地：屏蔽地：為避免信息處理設(shè)備的電磁干擾，防止電磁信息泄漏，重要的設(shè)備和重要的機房要采取屏蔽措施，即用金屬體來屏蔽設(shè)備和整個機房。一般屏蔽地的接地電阻要求4。靜電地：靜電地：機

16、房內(nèi)人體本身、人體在機房內(nèi)的運動、設(shè)備的運行等均可能產(chǎn)生靜電。將地板金屬基體與地線相連，以使設(shè)備運行中產(chǎn)生的靜電隨時泄放掉。雷擊地：雷擊地：雷電具有很大的能量，雷擊產(chǎn)生的瞬態(tài)電壓可高達(dá)10MV以上。單獨建設(shè)的機房或機房所在的建筑物，必須設(shè)置專門的雷擊保護(hù)地（簡稱雷擊地），以防雷擊產(chǎn)生的設(shè)備和人身事故。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)接地體 通常采用的接地體有地樁、水平柵網(wǎng)、金屬板、建筑物基礎(chǔ)鋼筋等。地樁：地樁：垂直打入地下的接地金屬棒或金屬管，是常用的接地體。它用在土壤層超過3m厚的地方。金屬棒的材料為鋼或銅，直徑一般應(yīng)為15mm以上。為防止腐蝕、增大接觸面積并承受打擊力，

17、地樁通常采用較粗的鍍鋅鋼管。水平柵網(wǎng)：水平柵網(wǎng)：在土質(zhì)情況較差，特別是巖層接近地表面無法打樁的情況下，可采用水平埋設(shè)金屬條帶、電纜的方法。金屬條帶應(yīng)埋在地下0.5m1m深處，水平方向構(gòu)成星形或柵格網(wǎng)形，在每個交叉處，條帶應(yīng)焊接在一起，且?guī)чg距離1m。金屬接地板：金屬接地板：將金屬板與地面垂直埋在地下，與土壤形成至少0.2m2的雙面接觸。深度要求在永久性潮土壤以下30cm，一般至少在地下埋1.5m深。金屬板的材料通常為銅板，也可分為鐵板或鋼板。建筑物基礎(chǔ)鋼筋建筑物基礎(chǔ)鋼筋 計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)2.2.7計算機場地的防火、防水措施隔離：隔離：建筑內(nèi)的計算機房四周應(yīng)設(shè)

18、計一個隔離帶，以使外部的火災(zāi)至少可隔離一個小時。 火災(zāi)報警系統(tǒng)：火災(zāi)報警系統(tǒng)：在火災(zāi)初期就能檢測到并及時發(fā)出警報。火災(zāi)報警系統(tǒng)按傳感器的不同，分為煙報警和溫度報警兩種類型。滅火設(shè)施滅火設(shè)施 ：滅火器 ；滅火工具及輔助設(shè)備如液壓千斤頂、手提式鋸、鐵锨、鎬、榔頭、應(yīng)急燈等。 管理措施：管理措施：機房應(yīng)有應(yīng)急計劃及相關(guān)制度，要嚴(yán)格執(zhí)行計算機房環(huán)境和設(shè)備維護(hù)的各項規(guī)章制度，加強對火災(zāi)隱患部位的檢查。如電源線路要經(jīng)常檢查是否有短路處，防止出現(xiàn)火花引起火災(zāi)。要制定滅火的應(yīng)急計劃并對所屬人員進(jìn)行培訓(xùn)。此外，還應(yīng)定期對防火設(shè)施和工作人員的掌握情況進(jìn)行測試。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)2

19、.3電磁防護(hù)計算機及網(wǎng)絡(luò)系統(tǒng)和其它電子設(shè)備一樣，工作時要產(chǎn)生電磁發(fā)射，電磁發(fā)射可被高靈敏度的接收設(shè)備接收并進(jìn)行分析、還原，造成系統(tǒng)信息泄漏。另一方面，計算機及網(wǎng)絡(luò)系統(tǒng)又處在復(fù)雜的電磁干擾的環(huán)境中，這種電磁干擾有時很強（如電子戰(zhàn)中的強電磁干擾或核輻射脈沖干擾），使計算機及網(wǎng)絡(luò)系統(tǒng)不能正常工作，甚至被摧毀。電磁防護(hù)的主要目的是通過屏蔽、隔離、濾波、吸波、接地等措施，提高計算機及網(wǎng)絡(luò)系統(tǒng)、其它電子設(shè)備的抗干擾能力，使之能抵抗強電磁干擾；同時將計算機的電磁泄漏發(fā)射降到最低。從而在未來的電子戰(zhàn)、信息戰(zhàn)中、商戰(zhàn)中立于不敗之地。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)2.3.1 電磁干擾電磁干擾

20、的分類：在一個系統(tǒng)內(nèi)，兩個或兩個以上電子元器件處于同一環(huán)境時，就會產(chǎn)生電磁干擾。電磁干擾是電子設(shè)備或通信設(shè)備中最主要的干擾。按干擾的耦合方式不同，可將電磁干擾分為傳導(dǎo)干擾和輻射可將電磁干擾分為傳導(dǎo)干擾和輻射干擾兩類。干擾兩類。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)電磁干擾的危害 計算機電磁輻射的危害信息泄漏防護(hù)技術(shù)（TEMPEST技術(shù)）。TEMPEST技術(shù)是綜合性的技術(shù)，包括泄漏信息的分析、預(yù)測、接收、識別、復(fù)原、防護(hù)、測試、安全評估等項技術(shù)，涉及到多個學(xué)科領(lǐng)域。它基本上是在傳統(tǒng)的電磁兼容理論基礎(chǔ)上發(fā)展起來的，但比傳統(tǒng)的抑制電磁干擾的要求要高得多，技術(shù)實現(xiàn)上也更為復(fù)雜。抑制和防止

21、電磁泄漏現(xiàn)已成為物理安全策略的一個主要問題。 計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)2.3.2 電磁防護(hù)的措施目前主要防護(hù)措施有兩類：一類是對傳導(dǎo)發(fā)射的防護(hù)，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合；另一類是對輻射的防護(hù)，這類防護(hù)措施又可分為以下兩種：一種是采用各種電磁屏蔽措施，如對設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離；第二種是干擾的防護(hù)措施，即在計算機系統(tǒng)工作的同時，利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。為提高電子設(shè)備的抗干擾能力，除在芯

22、片、部件上提高抗干擾能力外，主要的措施有屏蔽、隔離、濾波、吸波、接地等。其中屏蔽是應(yīng)用最多的方法。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)屏蔽 屏蔽可以有效地抑制電磁信息向外泄漏，衰減外界強電磁干擾，保護(hù)內(nèi)部的設(shè)備、器件或電路，使其能在惡劣的電磁環(huán)境下正常工作。屏蔽體一般是用導(dǎo)電和導(dǎo)磁性能較好的金屬板制成。正確設(shè)計的屏蔽體，配合濾吸、隔離、接地等技術(shù)措施，可以達(dá)到80db以上的屏蔽效能（頻率范圍為10KHz10000MHz）。屏蔽的三種類型：電屏蔽：電屏蔽：電屏蔽是將電子元器件或設(shè)備用金屬屏蔽層包封起來，避免它們之間通過耦合引起干擾而采取的措施。磁屏蔽：磁屏蔽：磁屏蔽是采用導(dǎo)磁性好

23、的材料包封起被屏蔽物，為屏蔽體內(nèi)外的磁場提供低磁阻的通路來分流磁場，避免磁場干擾，抑制磁場輻射。電磁屏蔽：電磁屏蔽：電磁屏蔽是對電磁場進(jìn)行屏蔽。因為電場和磁場一般不孤立存在，所以這也是主要的屏蔽措施。平時所說屏蔽，一般指電磁屏蔽。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)濾波技術(shù) 濾波器是由電阻、電容、電感等器件構(gòu)成的一種無源網(wǎng)絡(luò)，它可讓一定頻率范圍內(nèi)的電信號通過而阻止其他頻率的電信號，從而起到濾波作用。在有導(dǎo)線連接或阻抗耦合的情況下，進(jìn)出線采用濾波器可阻止強干擾。從限制帶寬的種類看，濾波器可分為低通、帶通和高通濾波器，其中使用較多的是低通濾波器。最簡單的低通濾波器是由電感或電容組成

24、。將電阻、電容、電感一起使用，可構(gòu)成性能更好的型、型和T型低通濾波器。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)電磁防護(hù)的其他措施 接地：接地對電磁兼容來說十分重要，它不僅可起到保護(hù)作用，而且可使屏蔽體、濾波器等集聚的電荷迅速排放到大地，從而減小干擾。作為電磁兼容要求的地線最好單獨埋放，對其地阻、接地點等均有很高的要求?？稍陔娎|入口處增加一個浪涌抑制器。這種浪涌抑制器與地線直接連接，平時阻抗很高，與大地絕緣，電纜通過它正常地向計算機傳輸動力或信號。一旦強電磁脈沖到來，浪涌抑制器自動變?yōu)榈妥杩?，使電磁能量泄放到大地。除此之外，還應(yīng)盡量減小天線和連接電纜長度，盡量減少感應(yīng)環(huán)路面積，從而降

25、低感應(yīng)電壓?？刹扇〗g扭信號線、導(dǎo)線貼近地面等措施。由于電子性能靈敏的器件更易受瞬時感應(yīng)電壓的影響，在電路設(shè)計時，如果不靈敏的器件可滿足功能要求，就盡量采用不太靈敏器件，而必須采用的靈敏器件要采取屏蔽、浪涌保護(hù)等措施。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)2.4 物理隔離技術(shù)我國2000年1月1日起實施的計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定第二章第六條規(guī)定，“涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相連接，必須實行物理隔離”。因此，“物理隔離技術(shù)”應(yīng)運而生。物理隔離技術(shù)的目標(biāo)是確保把有害的攻擊隔離，在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下

26、，完成網(wǎng)間數(shù)據(jù)的安全交換。物理隔離技術(shù)是在原有安全技術(shù)的基礎(chǔ)上發(fā)展起來的、一種全新的安全防護(hù)技術(shù)。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)2.4.1 物理隔離的安全要求物理隔離，在安全上的要求主要有三點：在物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷，確保外部網(wǎng)不能通過網(wǎng)絡(luò)連接而侵入內(nèi)部網(wǎng)；同時防止內(nèi)部網(wǎng)信息通過網(wǎng)絡(luò)連接泄漏到外部網(wǎng)。在物理輻射上隔斷內(nèi)部網(wǎng)與外部網(wǎng)，確保內(nèi)部網(wǎng)信息不會通過電磁輻射或耦合方式泄漏到外部網(wǎng)。在物理存儲上隔斷兩個網(wǎng)絡(luò)環(huán)境，對于斷電后會遺失信息的部件，如內(nèi)存、處理器等暫存部件，要在網(wǎng)絡(luò)轉(zhuǎn)換時作清除處理，防止殘留信息出網(wǎng)；對于斷電非遺失性設(shè)備如磁帶機、硬盤等存儲設(shè)備，內(nèi)部網(wǎng)與外部

27、網(wǎng)信息要分開存儲。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)2.4.2 物理隔離技術(shù)的發(fā)展歷程第一階段徹底的物理隔離利用物理隔離卡、安全隔離計算機和隔離集線器（交換機）所產(chǎn)生的網(wǎng)絡(luò)隔離，是徹底的物理隔離，兩個網(wǎng)絡(luò)之間沒有信息交流，所以也就可以抵御所有的網(wǎng)絡(luò)攻擊，它們適用于一臺終端（或一個用戶）需要分時訪問兩個不同的、物理隔離的網(wǎng)絡(luò)的應(yīng)用環(huán)境。 第二階段協(xié)議隔離 協(xié)議隔離是采用專用協(xié)議（非公共協(xié)議）來對兩個網(wǎng)絡(luò)進(jìn)行隔離，并在此基礎(chǔ)上實現(xiàn)兩個網(wǎng)絡(luò)之間的信息交換。協(xié)議隔離技術(shù)由于存在直接的物理和邏輯連接，仍然是數(shù)據(jù)包的轉(zhuǎn)發(fā)，一些攻擊依然出現(xiàn)。 第三階段物理隔離網(wǎng)閘技術(shù) 能夠?qū)崿F(xiàn)高速的網(wǎng)絡(luò)隔

28、離，高效的內(nèi)外網(wǎng)數(shù)據(jù)交換，且應(yīng)用支持做到全透明。它創(chuàng)建一個這樣的環(huán)境：內(nèi)、外網(wǎng)絡(luò)在物理上斷開，但卻邏輯地相連，通過分時操作來實現(xiàn)兩個網(wǎng)絡(luò)之間更安全的信息交換。該技術(shù)在國外稱之為Gap Technology，意為物理隔離。 計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)技術(shù)手段優(yōu) 點缺 點典型產(chǎn)品徹底的物理隔離能夠抵御所有的網(wǎng)絡(luò)攻擊兩個網(wǎng)絡(luò)之間沒有信息交流聯(lián)想網(wǎng)御物理隔離卡、開天雙網(wǎng)安全電腦以及偉思網(wǎng)絡(luò)安全隔離集線器協(xié)議隔離 能抵御基于TCP/IP協(xié)議的網(wǎng)絡(luò)掃描與攻擊等行為有些攻擊可穿越網(wǎng)絡(luò)京泰安全信息交流系統(tǒng)2.0、東方DF-NS310物理隔離網(wǎng)關(guān)物理隔離網(wǎng)閘不但實現(xiàn)了高速的數(shù)據(jù)交換，還

29、有效地杜絕了基于網(wǎng)絡(luò)的攻擊行為應(yīng)用種類受到限制偉思ViGAP、天行安全隔離網(wǎng)閘(TopWalk-GAP)和聯(lián)想網(wǎng)御SIS3000系列安全隔離網(wǎng)閘計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)2.4.3 物理隔離的性能要求任何安全都是有代價的，由于物理隔離導(dǎo)致的使用不方便、內(nèi)外數(shù)據(jù)交換不方便是難以避免的。但物理隔離技術(shù)應(yīng)該做到以下幾點，才能滿足市場的需求。高度安全：物理隔離要從物理鏈路上切斷網(wǎng)絡(luò)連接，才能有別于“軟”安全技術(shù)，達(dá)到一個更高的安全層次。較低成本：如果物理隔離的成本超過了兩套網(wǎng)絡(luò)的建設(shè)費用，那么相當(dāng)程度上就失去了意義。容易部署：這和降低成本是相輔相成的。操作簡單：物理隔離技術(shù)應(yīng)

30、用的對象是普通的工作人員，因此，客戶端的操作要簡單，用戶才能方便的使用。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)2.5 安全管理2.5.1 安全管理概述定義：安全管理是指計算機網(wǎng)絡(luò)的系統(tǒng)管理。包括了應(yīng)用管理、可用性管理、性能管理、服務(wù)管理、系統(tǒng)管理、存儲/數(shù)據(jù)管理等內(nèi)容。所以，安全管理功能可概括為OAMP，即計算機網(wǎng)絡(luò)的運行（Operation）、處理（Administration）、維護(hù)（Maintenance）、服務(wù)提供（Provisioning）等所需要的各種活動。有時也考慮前三種，即把安全管理功能歸結(jié)為OAM。計算機網(wǎng)絡(luò)安全管理的主要功能：國際標(biāo)準(zhǔn)化組織（ISO）在ISO/

31、IEC 7498-4文檔中定義了開放系統(tǒng)的計算機網(wǎng)絡(luò)管理的五大功能，它們是：故障管理故障管理功能，配置管理功能，性功能，配置管理功能，性能管理功能，安全管理功能管理功能，安全管理功能和計費管理功能。能和計費管理功能。其他一些管理功能，比如網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)管理者的管理等均不在這五個功能之內(nèi)。 計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)故障管理 故障管理（Fault Management）是網(wǎng)絡(luò)管理中最基本的功能之一，即對網(wǎng)絡(luò)非正常的操作引起的故障進(jìn)行檢查、診斷和排除。保證網(wǎng)絡(luò)能夠提供連續(xù)、可靠的服務(wù)。它的功能包括：檢測被管對象的差錯，或接收被管對象的錯誤檢測報告并做出響應(yīng)；當(dāng)存在空閑設(shè)備

32、或迂回路由時，提供新的網(wǎng)絡(luò)資源用于服務(wù)；創(chuàng)建和維護(hù)差錯日志庫，并對差錯日志進(jìn)行分析；進(jìn)行診斷和測試，以追蹤和確定故障位置、故障性質(zhì)；糾正錯誤：通過資源更換或維護(hù)，以及其他恢復(fù)措施使其重新開始服務(wù)。故障管理功能是利用標(biāo)準(zhǔn)協(xié)議SNMP和RMON來實現(xiàn)的。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)配置管理 配置管理（Configuration Management）就是定義、收集、監(jiān)測和管理系統(tǒng)的配置參數(shù)，使得網(wǎng)絡(luò)性能達(dá)到最優(yōu)。配置參數(shù)包括（但不局限于）設(shè)備資源、它們的容量和屬性，以及它們之間的關(guān)系。 配置管理需要進(jìn)行的操作內(nèi)容包括：鑒別被管對象，標(biāo)識被管對象；設(shè)置被管對象的參數(shù)，如初始化

33、被管對象，路由操作的參數(shù)；改變被管對象的操作特性，報告被管對象的狀態(tài)變化；關(guān)閉、刪除被管對象。配置管理的目的是為了隨時了解系統(tǒng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)以及所交換的信息，包括連接前靜態(tài)設(shè)定的和連接后動態(tài)更新的；實現(xiàn)某個特定功能或使網(wǎng)絡(luò)性能達(dá)到最佳。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)性能管理 性能管理（Performance Management）用于收集分析有關(guān)被管網(wǎng)絡(luò)當(dāng)前狀況的數(shù)據(jù)信息，并維持和分析性能日志。典型的網(wǎng)絡(luò)性能管理分成性能監(jiān)測和網(wǎng)絡(luò)控制兩部分。性能管理以網(wǎng)絡(luò)性能為準(zhǔn)則收集、分析和調(diào)整被管對象的狀態(tài)，其目的是保證網(wǎng)絡(luò)可以提供可靠、連續(xù)的通信能力并使用最少網(wǎng)絡(luò)資源和具有最少時延

34、。功能包括：收集和分發(fā)、統(tǒng)計與性能有關(guān)的數(shù)據(jù)信息；維護(hù)系統(tǒng)性能的歷史記錄；模擬各種操作的系統(tǒng)模型；分析當(dāng)前統(tǒng)計數(shù)據(jù)，以檢測性能故障，產(chǎn)生性能告警、報告性能事件；確定自然和人工狀況下系統(tǒng)的性能；改變系統(tǒng)操作模式以進(jìn)行系統(tǒng)性能管理的操作。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)安全管理 安全管理（Security Management）是指監(jiān)視、審查和控制用戶對網(wǎng)絡(luò)的訪問，并產(chǎn)生安全日志，以保證合法用戶對網(wǎng)絡(luò)的訪問。在內(nèi)聯(lián)網(wǎng)中，安全管理一般是由專門的軟件分擔(dān)，如防火墻軟件。網(wǎng)絡(luò)安全管理應(yīng)包括對授權(quán)機制、訪問控制、加密和密鑰的管理，另外還要維護(hù)和檢查安全日志。安全管理的功能包括：支持安全

35、服務(wù)。維護(hù)安全日志。向其他開放系統(tǒng)分發(fā)有關(guān)安全方面的信息和相關(guān)事件的通報。創(chuàng)建、刪除、控制安全服務(wù)和機制。 計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)計費管理 計費管理（Accounting Management）記錄網(wǎng)絡(luò)資源的使用，目的是控制和監(jiān)測網(wǎng)絡(luò)操作的費用和代價。它可以估算出用戶使用網(wǎng)絡(luò)資源可能需要的費用和代價，以及已經(jīng)使用的資源。網(wǎng)絡(luò)管理者還可以規(guī)定用戶可使用的最大費用，從而控制用戶過多占用和使用網(wǎng)絡(luò)資源。計費管理功能應(yīng)包括：統(tǒng)計網(wǎng)絡(luò)的利用率等效益數(shù)據(jù)，以使網(wǎng)絡(luò)管理人員確定不同時期和時間段的費率；設(shè)置計費的閥值點：根據(jù)用戶使用的特定業(yè)務(wù)在若干用戶之間公平、合理地分?jǐn)傎M用；通

36、知用戶使用費用或使用的資源，允許采用信用記帳方式收取費用，包括提供有關(guān)資源使用的帳單審查；當(dāng)用戶使用多種資源時，將有關(guān)的費用綜合在一起。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)2.5.2 計算機網(wǎng)絡(luò)管理系統(tǒng)的邏輯結(jié)構(gòu)模型計算機網(wǎng)絡(luò)管理系統(tǒng)邏輯模型 計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)OSI網(wǎng)絡(luò)管理結(jié)構(gòu)模型 計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)Internet網(wǎng)絡(luò)管理邏輯模型 計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)網(wǎng)絡(luò)管理系統(tǒng)的基本模型 計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)2.5.3 安全管理協(xié)議：SNMP和CMIP在網(wǎng)絡(luò)

37、管理系統(tǒng)的四個組成部分中，網(wǎng)絡(luò)管理協(xié)議最重要。它定義了網(wǎng)絡(luò)管理器與被管代理間的通信方法，規(guī)定了管理信息庫的存儲結(jié)構(gòu)，信息庫中關(guān)鍵字的含義以及各種事件的處理方法。目前最有影響的網(wǎng)絡(luò)管理協(xié)議是SNMP和CMIS/CMIP，它們也代表了目前兩大網(wǎng)絡(luò)管理解決方案。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)簡單網(wǎng)絡(luò)管理協(xié)議（SNMP） 簡單網(wǎng)絡(luò)管理協(xié)議，是使用戶能夠通過輪詢、設(shè)置關(guān)鍵字和監(jiān)視網(wǎng)絡(luò)事件來達(dá)到網(wǎng)絡(luò)管理目的的一種網(wǎng)絡(luò)協(xié)議。它是一個應(yīng)用級的協(xié)議，而且是TCP/IP協(xié)議族的一部分，工作于用戶數(shù)據(jù)報文協(xié)議（UDP）上。SNMP已發(fā)展成為各種網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)。SNMP發(fā)展簡史如下：1990年，SNMPv1（RFC1157）和MIBv1（RFC1156）；1996年，SNMPv2（RFC1905）和MIBv2（RFC1904）；1998年，SNMPv3（RFC2273）和MIBv3（RFC2272）。計計 算算 機機 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)SN