《計(jì)算機(jī)網(wǎng)絡(luò)與信息安全技術(shù)》電子CH13物理安全和ppt課件

1、物理平安和系統(tǒng)隔離技術(shù)第 13 章.根本內(nèi)容網(wǎng)絡(luò)和信息平安離不開設(shè)備平安，只需確保實(shí)體的平安才干談得上運(yùn)用平安。本章引見物理實(shí)體平安與隔離技術(shù)相關(guān)知識(shí)。.13.1 物理平安技術(shù)13.1 概述 物理平安又叫實(shí)體平安Physical Security，是維護(hù)計(jì)算機(jī)設(shè)備、設(shè)備網(wǎng)絡(luò)及通訊線路免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故如電磁污染等破壞的措施和過程。 實(shí)體平安技術(shù)主要是指對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的環(huán)境、場地、設(shè)備和通訊線路等采取的平安技術(shù)措施。 物理平安技術(shù)實(shí)施的目的是維護(hù)計(jì)算機(jī)及通訊線路免遭水、火、有害氣體和其他不利要素(人為失誤、犯罪行為 )的損壞。 . 影響計(jì)算機(jī)網(wǎng)絡(luò)實(shí)體平安的主要要素如

2、下： 1計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)本身存在的脆弱性要素。 2各種自然災(zāi)禍導(dǎo)致的平安問題。 3由于人為的錯(cuò)誤操作及各種計(jì)算機(jī)犯罪導(dǎo)致的平安問題。 13.1.2 影響物理平安的要素 物理平安包括：環(huán)境平安、電源系統(tǒng)平安、設(shè)備平安和通訊線路平安。 13.1 物理平安技術(shù).13.1.3 物理平安的內(nèi)容 1)環(huán)境平安：應(yīng)具備消防報(bào)警、平安照明、不延續(xù)供電、溫濕度控制系統(tǒng)和防盜報(bào)警。 2)電源系統(tǒng)平安：電源平安主要包括電力能源供應(yīng)、輸電線路平安、堅(jiān)持電源的穩(wěn)定性等。 3)設(shè)備平安：要保證硬件設(shè)備隨時(shí)處于良好的任務(wù)形狀，建立健全運(yùn)用管理規(guī)章制度，建立設(shè)備運(yùn)轉(zhuǎn)日志。同時(shí)要留意維護(hù)存儲(chǔ)媒體的平安性，包括存儲(chǔ)媒體本身和數(shù)

3、據(jù)的平安。 4)通訊線路平安：包括防止電磁信息的走漏、線路截獲，以及抗電磁干擾。 13.1 物理平安技術(shù). 物理平安包括以下主要內(nèi)容: 1計(jì)算機(jī)機(jī)房的場地、環(huán)境及各種要素對(duì)計(jì)算機(jī)設(shè)備的影響。 2計(jì)算機(jī)機(jī)房的平安技術(shù)要求。 3計(jì)算機(jī)的實(shí)體訪問控制。 4計(jì)算機(jī)設(shè)備及場地的防火與防水。 5計(jì)算機(jī)系統(tǒng)的靜電防護(hù)。 6計(jì)算機(jī)設(shè)備及軟件、數(shù)據(jù)的防盜防破壞措施。 7計(jì)算機(jī)中重要信息的磁介質(zhì)的處置、存儲(chǔ)和處置手續(xù)的有關(guān)問題。 13.1.3 物理平安的內(nèi)容(續(xù)) 13.1 物理平安技術(shù).13.1.4 物理平安涉及的主要技術(shù)規(guī)范 1GB/T 2887-2000 2GB/T 9361-1988 3GB/T 1471

4、5-1993 4GB 50174-1993 計(jì)算機(jī)機(jī)房建立至少應(yīng)遵照國標(biāo)GB/T 2887-2000和GB/T 9361-1988，滿足防火、防磁、防水、防盜、防電擊、防蟲害等要求，并配備相應(yīng)的設(shè)備。 13.1 物理平安技術(shù).13.2 電磁防護(hù)與通訊線路平安13.2.1 電磁兼容和電磁輻射的防護(hù) 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的各種設(shè)備都屬于電子設(shè)備，在任務(wù)時(shí)都不可防止地會(huì)向外輻射電磁波，同時(shí)也會(huì)遭到其他電子設(shè)備的電磁波干擾，當(dāng)電磁干擾到達(dá)一定的程度就會(huì)影響設(shè)備的正常任務(wù)。 電磁輻射泄密的危險(xiǎn)。.13.2 電磁防護(hù)與通訊線路平安13.2.1 電磁兼容和電磁輻射的防護(hù) 電磁輻射防護(hù)的措施： (1)一類是對(duì)傳導(dǎo)發(fā)

5、射的防護(hù)，主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合； (2)對(duì)輻射的防護(hù)可分為： 1)采用各種電磁屏蔽措施，如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時(shí)對(duì)機(jī)房的下水管、暖氣管和金屬門窗進(jìn)展屏蔽和隔離； 2)干擾的防護(hù)措施，即在計(jì)算機(jī)系統(tǒng)任務(wù)的同時(shí)，利用干擾安裝產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計(jì)算機(jī)系統(tǒng)的任務(wù)頻率和信息特征。 .13.2 電磁防護(hù)與通訊線路平安13.2.1 電磁兼容和電磁輻射的防護(hù) 抗干擾措施： 1屏蔽 2濾波 3隔離 4接地. 用一種簡單但很昂貴的高技術(shù)加壓電纜，可以獲得通訊線路上的物理平安。 通訊電纜密封在塑料套管中，并在

6、線纜的兩端充氣加壓。線上銜接了帶有報(bào)警器的監(jiān)示器，用來丈量壓力。假設(shè)壓力下降，那么意味電纜能夠被破壞了，技術(shù)人員還可以進(jìn)一步檢測(cè)出破壞點(diǎn)的位置，以便及時(shí)進(jìn)展修復(fù)。 間隔大于最大長度限制的系統(tǒng)之間，不采用光纖線通訊；或加強(qiáng)復(fù)制器的平安，如用加壓電纜、警報(bào)系統(tǒng)和加強(qiáng)警衛(wèi)等措施。 Modem的平安性。13.2 電磁防護(hù)與通訊線路平安13.2.2 通訊線路平安技術(shù) .13.3 系統(tǒng)隔離技術(shù)13.3.1 隔離的概念 平安域是以信息涉密程度劃分的網(wǎng)絡(luò)空間。涉密域就是涉及國家的網(wǎng)絡(luò)空間。非涉密域就是不涉及國家的，但是涉及本單位，本部門或者本系統(tǒng)的任務(wù)的網(wǎng)絡(luò)空間。公共效力域是指既不涉及國家也不涉及任務(wù)，是一個(gè)

7、向因特網(wǎng)絡(luò)完全開放的公共信息交換空間。 1、平安域 電子政務(wù)的內(nèi)網(wǎng)和外網(wǎng)要實(shí)行嚴(yán)厲的物理隔離。政務(wù)的外網(wǎng)和因特網(wǎng)絡(luò)要實(shí)行邏輯隔離，按照平安域的劃分，政府的內(nèi)網(wǎng)就是涉密域，政府的外網(wǎng)就是非涉密域，因特網(wǎng)就是公共效力域。 . 網(wǎng)絡(luò)隔離Network Isolation，主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)如TCP/IP經(jīng)過不可路由的協(xié)議如IPX/SPX、NetBEUI等進(jìn)展數(shù)據(jù)交換而到達(dá)隔離目的。由于其原理主要是采用了不同的協(xié)議，所以通常也叫協(xié)議隔離Protocol Isolation。 2、網(wǎng)絡(luò)隔離 第一代隔離技術(shù)完全的隔離第二代隔離技術(shù)硬件卡隔離 第三代隔離技術(shù)數(shù)據(jù)轉(zhuǎn)播隔離 第四代隔離技術(shù)空氣

8、開關(guān)隔離 第五代隔離技術(shù)平安通道隔離 13.3 系統(tǒng)隔離技術(shù)13.3.1 隔離的概念. 右圖表示沒有銜接時(shí)內(nèi)外網(wǎng)的運(yùn)用情況，從銜接特征可以看出這樣的構(gòu)造從物理上完全分別。 13.3 系統(tǒng)隔離技術(shù)13.3.2 網(wǎng)絡(luò)隔離的原理. 當(dāng)外網(wǎng)需求有數(shù)據(jù)到達(dá)內(nèi)網(wǎng)的時(shí)候，以電子郵件為例，外部的效力器立刻發(fā)起對(duì)隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)銜接，隔離設(shè)備將一切的協(xié)議剝離，將原始的數(shù)據(jù)寫入存儲(chǔ)介質(zhì)。13.3 系統(tǒng)隔離技術(shù)13.3.2 網(wǎng)絡(luò)隔離的原理. 一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲(chǔ)介質(zhì)，隔離設(shè)備立刻中斷與外網(wǎng)的銜接。轉(zhuǎn)而發(fā)起對(duì)內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)銜接。隔離設(shè)備將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)

9、據(jù)后，立刻進(jìn)展TCP/IP的封裝和運(yùn)用協(xié)議的封裝，并交給運(yùn)用系統(tǒng)。 在控制臺(tái)收到完好的交換信號(hào)之后，隔離設(shè)備立刻切斷隔離設(shè)備于內(nèi)網(wǎng)的直接銜接 13.3 系統(tǒng)隔離技術(shù)13.3.2 網(wǎng)絡(luò)隔離的原理. 內(nèi)網(wǎng)有電子郵件要發(fā)出，隔離設(shè)備收到內(nèi)網(wǎng)建立銜接的懇求之后，建立與內(nèi)網(wǎng)之間的非TCP/IP協(xié)議的數(shù)據(jù)銜接。隔離設(shè)備剝離一切的TCP/IP協(xié)議和運(yùn)用協(xié)議，得到原始的數(shù)據(jù)，將數(shù)據(jù)寫入隔離設(shè)備的存儲(chǔ)介質(zhì)。 13.3 系統(tǒng)隔離技術(shù)13.3.2 網(wǎng)絡(luò)隔離的原理. 一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲(chǔ)介質(zhì)，隔離設(shè)備立刻中斷與內(nèi)網(wǎng)的銜接。轉(zhuǎn)而發(fā)起對(duì)外網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)銜接。隔離設(shè)備將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向外網(wǎng)。外網(wǎng)

10、收到數(shù)據(jù)后，立刻進(jìn)展TCP/IP的封裝和運(yùn)用協(xié)議的封裝，并交給系統(tǒng) 13.3 系統(tǒng)隔離技術(shù)13.3.2 網(wǎng)絡(luò)隔離的原理. 每一次數(shù)據(jù)交換，隔離設(shè)備閱歷了數(shù)據(jù)的接受、存儲(chǔ)和轉(zhuǎn)發(fā)三個(gè)過程。由于這些規(guī)那么都是在內(nèi)存和內(nèi)核中完成的，因此速度上有保證，可以到達(dá)100%的總線處置才干。物理隔離的一個(gè)特征，就是內(nèi)網(wǎng)與外網(wǎng)永不銜接，內(nèi)網(wǎng)和外網(wǎng)在同一時(shí)間最多只需一個(gè)同隔離設(shè)備建立非TCP/IP協(xié)議的數(shù)據(jù)銜接。其數(shù)據(jù)傳輸機(jī)制是存儲(chǔ)和轉(zhuǎn)發(fā)。物理隔離的益處是明顯的，即使外網(wǎng)在處在最壞的情況下，內(nèi)網(wǎng)也不會(huì)有任何破壞，修復(fù)外網(wǎng)系統(tǒng)也非常容易。13.3 系統(tǒng)隔離技術(shù)13.3.2 網(wǎng)絡(luò)隔離的原理. 1基于代碼、內(nèi)容等隔離的反

11、病毒和內(nèi)容過濾技術(shù) 2基于網(wǎng)絡(luò)層隔離的防火墻技術(shù) 3基于物理鏈路層的物理隔離技術(shù) 13.3 系統(tǒng)隔離技術(shù)13.3.2 網(wǎng)絡(luò)隔離技術(shù)分類.1網(wǎng)絡(luò)隔離技術(shù)需求具有的平安要點(diǎn)2網(wǎng)絡(luò)隔離的關(guān)鍵點(diǎn) 隔離的關(guān)鍵點(diǎn)就成了要盡量提高網(wǎng)間數(shù)據(jù)交換的速度，并且對(duì)運(yùn)用可以透明支持，以順應(yīng)復(fù)雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換。 要具有高度的本身平安性要確保網(wǎng)絡(luò)之間是隔離的 要保證網(wǎng)間交換的只是運(yùn)用數(shù)據(jù) 要對(duì)網(wǎng)間的訪問進(jìn)展嚴(yán)厲的控制和檢查 要在堅(jiān)持隔離的前提下保證網(wǎng)絡(luò)暢通和運(yùn)用透明 13.3 系統(tǒng)隔離技術(shù)13.3.4 網(wǎng)絡(luò)隔離技術(shù)要點(diǎn)與開展方向.3隔離技術(shù)的未來開展方向 經(jīng)過公用通訊設(shè)備、專有平安協(xié)議和加密驗(yàn)證機(jī)制及運(yùn)用層數(shù)

12、據(jù)提取和鑒別認(rèn)證技術(shù)，進(jìn)展不同平安級(jí)別網(wǎng)絡(luò)之間的數(shù)據(jù)交換，徹底阻斷網(wǎng)絡(luò)間的直接TCP/IP銜接，同時(shí)對(duì)網(wǎng)間通訊的雙方、內(nèi)容、過程施以嚴(yán)厲的身份認(rèn)證、內(nèi)容過濾、平安審計(jì)等多種平安防護(hù)機(jī)制，從而保證了網(wǎng)間數(shù)據(jù)交換的平安、可控，杜絕了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議本身破綻帶來的平安風(fēng)險(xiǎn)。13.3 系統(tǒng)隔離技術(shù)13.3.4 網(wǎng)絡(luò)隔離技術(shù)要點(diǎn)與開展方向. 網(wǎng)閘是運(yùn)用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)銜接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息平安設(shè)備。 物理隔離網(wǎng)閘所銜接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間不存在通訊的物理銜接、邏輯銜接、信息傳輸命令、信息傳輸協(xié)議，不存在根據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只需數(shù)據(jù)文件的無協(xié)議“擺渡，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只需“

13、讀和“寫兩個(gè)命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊能夠的一切銜接，使“黑客無法入侵、無法攻擊、無法破壞，實(shí)現(xiàn)了真正的平安。 13.4 隔離網(wǎng)閘.13.4.1 網(wǎng)閘的開展 網(wǎng)閘，又稱平安隔離與信息交換系統(tǒng)，是新一代高平安度的企業(yè)級(jí)信息平安防護(hù)設(shè)備，它依托平安隔離技術(shù)為信息網(wǎng)絡(luò)提供了更高層次的平安防護(hù)才干，不僅使得信息網(wǎng)絡(luò)的抗攻擊才干大大加強(qiáng)，而且有效地防備了信息外泄事件的發(fā)生。 第一代網(wǎng)閘的技術(shù)原理是利用單刀雙擲開關(guān)使得內(nèi)外網(wǎng)的處置單元分時(shí)存取共享存儲(chǔ)設(shè)備來完成數(shù)據(jù)交換的。平安原理是經(jīng)過運(yùn)用層數(shù)據(jù)提取與平安審查到達(dá)杜絕基于協(xié)議層的攻擊和加強(qiáng)運(yùn)用層平安的效果。 第二代網(wǎng)閘正是在汲

14、取了第一代網(wǎng)閘優(yōu)點(diǎn)的根底上，利用公用交換通道PETPrivate Exchange Tunnel技術(shù)，在不降低平安性的前提下可以完成內(nèi)外網(wǎng)之間高速的數(shù)據(jù)交換，有效地抑制了第一代網(wǎng)閘的弊端。第二代網(wǎng)閘的平安數(shù)據(jù)交換過程是經(jīng)過公用硬件通訊卡、私有通訊協(xié)議和加密簽名機(jī)制來實(shí)現(xiàn)。13.4 隔離網(wǎng)閘.13.4.2 網(wǎng)閘的任務(wù)原理 隔離網(wǎng)閘平安隔離與信息交換,GAP，是在保證兩個(gè)網(wǎng)絡(luò)平安隔離的根底上實(shí)現(xiàn)平安信息交換和資源共享的技術(shù)。13.4 隔離網(wǎng)閘.13.4.3 隔離網(wǎng)閘的特點(diǎn) 1公用硬件設(shè)計(jì)保證了物理隔離下的信息交流。GAP均采用公用隔離硬件的設(shè)計(jì)完成隔離功能，硬件設(shè)計(jì)保證在恣意時(shí)辰網(wǎng)絡(luò)間的鏈路層斷開

15、，阻斷TCP/IP協(xié)議以及其他網(wǎng)絡(luò)協(xié)議；同時(shí)該硬件不提供編程軟接口，不受系統(tǒng)控制，僅提供物理上的控制開關(guān)。這樣黑客無法從遠(yuǎn)程獲得硬件的控制權(quán)。 2集合多種平安技術(shù)消除數(shù)據(jù)交換中的平安隱患。在公用硬件根底上，嚴(yán)密集成了內(nèi)核防護(hù)、協(xié)議轉(zhuǎn)化、病毒查殺、身份驗(yàn)證、訪問控制、平安審計(jì)等模塊。這些模塊可以與隔離硬件結(jié)合構(gòu)成整體的防御體系。 3網(wǎng)閘以平安隔離為根底，并集成多種防護(hù)技術(shù)，其軟硬一體設(shè)計(jì)構(gòu)成整體多層面的平安防護(hù)。 4靈敏高效數(shù)據(jù)交換方式確保運(yùn)用需求。GAP產(chǎn)品都提供了多種數(shù)據(jù)交換方式以滿足業(yè)務(wù)運(yùn)用。如公安部信息通訊局與天行網(wǎng)安公司結(jié)合研制的天行平安隔離網(wǎng)閘Topwalk-GAP提供了文件交換、郵

16、件交換、數(shù)據(jù)庫交換和提供API運(yùn)用接口的音訊模塊，同時(shí)具有較高的傳輸速率和低延遲性。 13.4 隔離網(wǎng)閘.13.5 典型產(chǎn)品引見 天御6000網(wǎng)絡(luò)物理隔離系統(tǒng) .13.5 典型產(chǎn)品引見 天御6000系列網(wǎng)絡(luò)物理隔離系統(tǒng)是由北京和信網(wǎng)安科技與中國科學(xué)院中力機(jī)電新技術(shù)結(jié)合開發(fā)的網(wǎng)絡(luò)平安產(chǎn)品。在保證內(nèi)外網(wǎng)物理隔離的情況下，實(shí)現(xiàn)平安高效的數(shù)據(jù)交換，為處理內(nèi)網(wǎng)的平安問題提供了全新的處理方案。在保證必需平安的前提下，盡能夠互聯(lián)互通。 13.5.1 產(chǎn)品概略 13.5.2 平安戰(zhàn)略 外網(wǎng)效力器的TCP/IP協(xié)議棧封鎖，內(nèi)外網(wǎng)效力器之間采用純數(shù)據(jù)進(jìn)展傳輸內(nèi)網(wǎng)和外網(wǎng)之間采用專有的通訊協(xié)議，有效防止黑客從外網(wǎng)攻入內(nèi)網(wǎng)內(nèi)網(wǎng)向外發(fā)起的銜接需經(jīng)過內(nèi)網(wǎng)效力器的身份認(rèn)證外網(wǎng)自動(dòng)發(fā)起的銜接無法建立，只需內(nèi)網(wǎng)懇求的回應(yīng)數(shù)據(jù)可以進(jìn)入內(nèi)網(wǎng) .13.5 典型產(chǎn)品引見 產(chǎn)品的安裝部署 . 物理平安在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)平安體系中占有重要位置，也是其他平安措施得以實(shí)施并發(fā)揚(yáng)正常作用的根