計(jì)算機(jī)系統(tǒng)的物理安全

1、.1信息安全與管理信息安全與管理第二章 計(jì)算機(jī)系統(tǒng)的物理安全.2一、物理安全概述一、物理安全概述 物理安全:信息系統(tǒng)安全的前提 保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施免遭自然災(zāi)害和環(huán)境事故（如電磁污染等）以及人為操作失誤及計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。例：2001年2月9日中美之間的海底光纜被阻斷的影響。人為的對物理安全的威脅包括：偷竊 廢物搜尋 間諜活動(dòng)第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .3n12月26日晚20點(diǎn)25分，臺灣發(fā)生7.2級地震，使眾多路由經(jīng)過臺灣的海光纜系統(tǒng)陸續(xù)發(fā)生中斷，其中有亞太一號、亞太二號、中美、亞歐三號、Flag、C2C等，和中國電信相關(guān)的海纜中斷情況如下： n中美海纜于12月26日 20:25

2、 距離臺灣枋山登陸站 9.7公里左右發(fā)生中斷； n亞歐三號海纜于12月26日 20:25 距離臺灣枋山登陸站 9.7公里左右發(fā)生中斷； n亞太二號海纜S7于12月27日 00:06 距離臺灣淡水登陸站904公里左右發(fā)生中斷； n亞太二號海纜S3于12月27日 02:00 距離崇明登陸站2100公里左右（靠近臺灣處）發(fā)生中斷； nFlag光纜亞太系統(tǒng)于12月26日 20:43 在韓國到香港段中斷； nFlag光纜亞歐段于12月27日 04:56 在香港到上海段中斷。 n以上情況使中國電信到北美、臺灣等方向的互聯(lián)網(wǎng)電路大量中斷，到歐洲、亞太等方向的專線、話音電路部分中斷。.4物理安全包括三個(gè)方面：

3、環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護(hù)。 區(qū)域保護(hù)：電子監(jiān)控 災(zāi)難保護(hù)：災(zāi)難的預(yù)警、應(yīng)急處理、恢復(fù)設(shè)備安全： 防盜：上鎖，報(bào)警器；防毀：接地保護(hù)，外殼 防電磁信息泄漏：屏蔽，吸收，干擾 第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .5一、物理安全概述一、物理安全概述 防止線路截獲：預(yù)防，探測，定位，對抗 抗電磁干擾：對抗外界，消除內(nèi)部 電源保護(hù)：UPS，紋波抑制器媒體安全 ：對媒體及媒體數(shù)據(jù)的安全保護(hù)。 媒體的安全 ： 媒體的安全保管。 防盜；防毀、防霉等。 媒體數(shù)據(jù)安全：防拷貝，消磁，丟失。 第二講 計(jì)算機(jī)系統(tǒng)的物理安全.6二、場地與機(jī)房二、場地與機(jī)房 計(jì)算機(jī)系統(tǒng)的安全與外界環(huán)境有密切的關(guān)系，用戶無法改變系統(tǒng)

4、器件、工藝、材料等因素，但能決定工作環(huán)境。計(jì)算機(jī)安裝和運(yùn)行的各種條件包括：工作場地：配電與接地、環(huán)境干擾、環(huán)境破壞運(yùn)行條件：溫度、濕度、電源人為影響：誤操作、盜竊、破壞等自然影響：災(zāi)害、雷擊、火災(zāi)、鼠害等第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .7二、場地與機(jī)房二、場地與機(jī)房 1. 機(jī)房位置機(jī)房位置避開場所：有害氣體，存放腐蝕、易燃、易爆。潮濕，落雷區(qū)域。如在高層、地下室，用水設(shè)備下層或隔壁。強(qiáng)振動(dòng)源和強(qiáng)噪音源。強(qiáng)電磁場干擾。2.潔凈與溫濕度潔凈與溫濕度 機(jī)房溫度：22。C，濕度：50%。溫濕度對元器件影響較大，使其參數(shù)變化，接觸不良，氧化斷裂，產(chǎn)生靜電等?；覊m、浮飄微粒少，具有通風(fēng)或增濕去濕保證第二講

5、 計(jì)算機(jī)系統(tǒng)的物理安全 .83.災(zāi)害防御系統(tǒng)災(zāi)害防御系統(tǒng) 包括供、配電系統(tǒng)、火災(zāi)報(bào)警及消防設(shè)施。 防御考慮：防水、防靜電、防雷擊、防鼠害。 4. 屏蔽處理：屏蔽處理：對主機(jī)房及重要信息存儲部門防止磁鼓，磁帶與高輻射設(shè)備等的信號外泄。屏蔽室與外界的所有連接均要采取隔離措施，如信號線、電話線、空調(diào)等。由于電纜傳輸輻射信息的不可避免性，可采用光纜傳輸。第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .9三、電磁泄漏三、電磁泄漏信息泄漏的兩種表現(xiàn)形式： 從網(wǎng)絡(luò)進(jìn)入的攻擊所造成的信息泄漏； 電磁襲擊所造成的電磁泄漏。電磁泄漏的危害：危害計(jì)算機(jī)周圍的人體健康；對周圍電子設(shè)備形成電磁干擾；導(dǎo)致信息泄密，造成重大損失。1985

6、年荷蘭人的實(shí)驗(yàn)，是人們認(rèn)識到電磁泄漏的危害。第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .10n1985年，在法國召開的一次國際計(jì)算機(jī)安全會議上，年輕的荷蘭人范艾克當(dāng)著各國代表的面，公開了他竊取微機(jī)信息的技術(shù)。他用價(jià)值僅幾百美元的器件對普通電視機(jī)進(jìn)行改造，然后安裝在汽車?yán)?，這樣就從樓下的街道上，接收到了放置在8層樓上的計(jì)算機(jī)電磁波的信息，并顯示出計(jì)算機(jī)屏幕上顯示的圖像。他的演示給與會的各國代表以巨大的震動(dòng)。據(jù)報(bào)道，目前在距離微機(jī)百米乃至千米的地方，都可以收到并還原微機(jī)屏幕上顯示的圖像。 .11三、電磁泄漏三、電磁泄漏計(jì)算機(jī)及其外備工作時(shí)，伴隨著信息的輸入、傳輸、存儲、處理、輸出過程，有用信息會通過寄生信號向

7、外泄漏。主機(jī)：各種數(shù)字電路的電磁泄漏顯示器：視頻信號的電磁泄漏鍵盤：按鍵開關(guān)引起的電磁泄漏打印機(jī)：低頻電磁泄漏通信設(shè)備和電源線：也會產(chǎn)生電磁泄漏。第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .12三、電磁泄漏三、電磁泄漏二種泄漏方式：輻射泄漏：以電磁波的形式輻射出去。由計(jì)算機(jī)內(nèi)部的各種傳輸線、印刷板線路產(chǎn)生。電磁波的發(fā)射借助于上述起天線作用的傳輸來實(shí)現(xiàn)。傳導(dǎo)泄漏：通過各種線路和金屬管傳導(dǎo)出去。例如，電源線，機(jī)房內(nèi)的電話線，上、下水管道和暖氣管道，地線等媒介。金屬導(dǎo)體有時(shí)也起著天線作用，將傳導(dǎo)的信號輻射出去。最大量和最基本的輻射源是載流導(dǎo)線。第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .13三、電磁泄漏三、電磁泄漏影響計(jì)算

8、機(jī)輻射強(qiáng)度的因素主要有：1功率和頻率理論分析和計(jì)算表明，載流導(dǎo)線中的電流強(qiáng)度越大，輻射源輻射的強(qiáng)度越大；反之則越小。實(shí)際測試表明，設(shè)備的功率越大，輻射的強(qiáng)度越高。對于傳導(dǎo)場來說，信號頻率越高，輻射泄漏強(qiáng)度越高。第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .14三、電磁泄漏三、電磁泄漏2與輻射源的距離一般說來，在其它條件相同的情況下，與輻射源越遠(yuǎn)，場衰減越大，其場強(qiáng)與距離成反比。為此可在機(jī)房附近設(shè)立隔離帶或警戒區(qū)，使計(jì)算機(jī)向本單位以外的輻射場衰減到最小。3屏蔽狀況輻射源是否設(shè)置屏蔽措施，對其輻射強(qiáng)度影響很大。.15四、四、TEMPEST 1、TEMPEST概述概述Transient Electro Magne

9、tic Pulse Emanation Standard Technology（瞬時(shí)電磁脈沖放射標(biāo)準(zhǔn)技術(shù)）尚未列入IEEE標(biāo)準(zhǔn)詞匯，但其內(nèi)含可界定為：計(jì)算機(jī)和信息電子設(shè)備的信息電磁泄漏的機(jī)理、預(yù)測分析、檢測、防護(hù)和管理技術(shù)及標(biāo)準(zhǔn)。這是美國國家安全局(NSAT)和國防部(DOD)聯(lián)合進(jìn)行研究與開發(fā)的一個(gè)極其重要的項(xiàng)目。第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .16研究內(nèi)容主要有：1電磁泄漏機(jī)理：有用信息是通過何種途徑、以何種方式載荷到輻射信號上去的，以及信息處理設(shè)備的電氣特性和物理結(jié)構(gòu)對泄漏的影響等。2信息輻射泄漏的防護(hù)技術(shù)：電氣元件、電路的布局、設(shè)備結(jié)構(gòu)、連線和接地對輻射泄漏的影響、各種屏蔽材料、屏蔽結(jié)

10、構(gòu)的屏蔽效果等。3有用信息的提取技術(shù)：信號接收和還原技術(shù)。4測試技術(shù)和標(biāo)準(zhǔn)：測試的內(nèi)容、方法、要求、條件、儀器及結(jié)果分析，制定測試標(biāo)準(zhǔn)。第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .17四、四、TEMPEST抑制信息泄漏的技術(shù)途徑有2條：第二講 計(jì)算機(jī)系統(tǒng)的物理安全 電子隱蔽物理抑制干擾跳頻包容抑源抑制信息泄露.18四、四、TEMPEST 干擾技術(shù)：用強(qiáng)噪聲來掩護(hù)有用的信號跳頻技術(shù)：經(jīng)常改變信號傳輸頻率、調(diào)制方式或其它傳輸參數(shù)包容法：對元器件、設(shè)備甚至整個(gè)系統(tǒng)進(jìn)行屏蔽。 成本高抑源法：從線路、元器件入手，消除輻射源。第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .192、計(jì)算機(jī)的、計(jì)算機(jī)的TEMPEST措施措施a）利用噪聲

11、干擾源：將產(chǎn)生噪音的干擾器放在計(jì)算機(jī)設(shè)備旁邊，或者在處理重要信息的計(jì)算機(jī)設(shè)備周圍放置其它信息處理設(shè)備，使干擾噪聲與計(jì)算機(jī)設(shè)備產(chǎn)生的信息輻射一起向外泄漏。b）采用屏蔽技術(shù)屏蔽是TEMPEST技術(shù)中的一項(xiàng)基本措施。目的：（1）限制內(nèi)部輻射的電磁信息外泄； （2）防止外來的射頻干擾。第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .20c）“紅”“黑”隔離 “紅”，是指有信息泄漏的危險(xiǎn)；紅區(qū)（紅線），指未加密的信息區(qū)域或傳輸線。 “黑”，則表示安全。不含未加密的有用信息的區(qū)域和傳輸線路稱為黑區(qū)和黑線?！凹t”與“黑”隔離，防止其耦合。合理布線，減少其耦合，紅線和黑線分別供電；減小紅信號環(huán)路面積、線路走線和元器件引線長度

12、。第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .21四、四、TEMPEST d）濾波技術(shù)濾波器能有效地減少和抑制電磁泄漏。包括在信號傳輸線、公共地線及電源線上加濾波器。 e）布線與元器件選擇印制板和整機(jī)的元器件布局和線路排列、隔離措施，使載有不同源電流的導(dǎo)線遠(yuǎn)離，以減少各導(dǎo)線之間的有害耦合。 第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .223、外部設(shè)備的、外部設(shè)備的TEMPEST措施措施外設(shè)具有元器件多、設(shè)備開口、有觀察窗等特點(diǎn)，比主機(jī)有更大的TEMPEST脆弱性。因此，防電磁泄漏的重點(diǎn)應(yīng)放在外設(shè)上，進(jìn)行隔離，抑制輻射源。CRT顯示器是一個(gè)很強(qiáng)的電磁泄漏源，必須采用TEMPEST技術(shù)進(jìn)行防護(hù)。 4、計(jì)算機(jī)的簡易防泄漏措

13、施、計(jì)算機(jī)的簡易防泄漏措施選擇低輻射設(shè)備；距離防護(hù)；在電纜的兩端套上鐵氧體磁環(huán)；選用合適的電纜(最好是光纜)計(jì)算機(jī)的位置：遠(yuǎn)離電話線、金屬管道。第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .23第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .24第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .25五、磁盤的安全五、磁盤的安全媒體安全媒體安全 磁盤屬于磁介質(zhì)，存在剩磁效應(yīng)的問題，保存在磁介質(zhì)中的信息會使磁介質(zhì)不同程度地永久性磁化，所以磁介質(zhì)上記載的信息在一定程度上是抹除不凈的，使用高靈敏度的磁頭和放大器可以將已抹除信息的磁盤上的原有信息提取出來。即使磁盤已改寫了12次，第一次寫入的信息仍有可能復(fù)原出來。 在許多計(jì)算機(jī)操作系統(tǒng)中，刪除一個(gè)文件

14、，僅僅是刪除該文件的文件指針，釋放其存儲空間，而并無真正將該文件刪除或覆蓋。 第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .26磁盤信息加密技術(shù)包括文件名加密、目錄加密、程序加密、數(shù)據(jù)庫加密、和整盤數(shù)據(jù)加密等不同保密強(qiáng)度。 磁盤信息清除技術(shù)：直流消磁法和交流消磁法。直流消磁法：使用直流磁頭將磁盤上原先記錄信息的剩余磁通，全部以一種形式的恒定值所代替。如：完全格式化磁盤。交流消磁法：使用交流磁頭將磁盤上原先所記錄信息的剩余磁通變得極小，這種方法的消磁效果比直流消磁法要好。第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .27六、通信線路的安全六、通信線路的安全 1、無線傳輸 防止無線傳輸信號泄密的技術(shù)：跳頻、干擾、加密。跳頻技術(shù)：一種防止竊收方跟蹤接收的通信保密技術(shù)，其原理是在通信過程中經(jīng)常改變信號傳輸頻率、調(diào)制方式或其它的傳輸參數(shù)，從而改變信號的傳輸方式，使竊收方無法正常收聽。在無線電臺和對講機(jī)中常用。干擾技術(shù)：以功率很強(qiáng)的噪音信號去掩護(hù)有用信號，使竊聽設(shè)備被強(qiáng)信號覆蓋堵塞而無法收聽。主要應(yīng)用于軍事上。加密技術(shù)：使用最多、最為有效的保密措施。 第二講 計(jì)算機(jī)系統(tǒng)的物理安全 .28六、通信線路的安全六、通信線路的安全 2、有線傳輸有線傳輸主要的竊密方法有：搭線竊聽：在傳輸線路上的任