第二章 實體安全與硬件防護技術

第二章實體安全與硬件防護技術第1頁，課件共32頁，創(chuàng)作于2023年2月本章學習目標（1）了解實體安全的定義、目的和內容。（2）掌握計算機房場地環(huán)境的安全要求。包括機房建筑和結構要求、三度要求、防靜電措施、供電要求、接地與防雷、防火、防水等的技術、方法與措施。（3）掌握安全管理技術的內容和方法。（4）理解電磁防護和硬件防護的基本方法。第2頁，課件共32頁，創(chuàng)作于2023年2月2.1實體安全技術概述

2.1.1影響實體安全的主要因素2.1.2實體安全的內容返回本章首頁第3頁，課件共32頁，創(chuàng)作于2023年2月2.1.1影響實體安全的主要因素影響計算機網絡實體安全的主要因素如下：1）計算機及其網絡系統(tǒng)自身存在的脆弱性因素。2）各種自然災害導致的安全問題。3）由于人為的錯誤操作及各種計算機犯罪導致的安全問題。返回本節(jié)第4頁，課件共32頁，創(chuàng)作于2023年2月2.1.2實體安全的內容（1）環(huán)境安全

（2）設備安全

（3）存儲媒體安全

（4）硬件防護

返回本節(jié)第5頁，課件共32頁，創(chuàng)作于2023年2月2.2計算機房場地環(huán)境的安全防護2.2.1計算機房場地的安全要求2.2.2設備防盜

2.2.3機房的三度要求2.2.4

防靜電措施2.2.5電源2.2.6接地與防雷2.2.7計算機場地的防火、防水措施返回本章首頁第6頁，課件共32頁，創(chuàng)作于2023年2月2.2.1計算機房場地的安全要求機房建筑和結構從安全的角度，還應該考慮：1）電梯和樓梯不能直接進入機房。2）建筑物周圍應有足夠亮度的照明設施和防止非法進入的設施。3）外部容易接近的進出口，而周邊應有物理屏障和監(jiān)視報警系統(tǒng)，窗口應采取防范措施，必要時安裝自動報警設備。4）機房進出口須設置應急電話。5）機房供電系統(tǒng)應將動力照明用電與計算機系統(tǒng)供電線路分開，機房及疏散通道應配備應急照明裝置。6）計算機中心周圍100m內不能有危險建筑物。7）進出機房時要更衣、換鞋，機房的門窗在建造時應考慮封閉性能。8）照明應達到規(guī)定標準。

返回本節(jié)第7頁，課件共32頁，創(chuàng)作于2023年2月2.2.2設備防盜早期的防盜，采取增加質量和膠粘的方法，即將設備長久固定或粘接在一個地點。

視頻監(jiān)視系統(tǒng)是一種更為可靠的防護設備，能對系統(tǒng)運行的外圍環(huán)境、操作環(huán)境實施監(jiān)控（視）。對重要的機房，還應采取特別的防盜措施，如值班守衛(wèi)，出入口安裝金屬防護裝置保護安全門、窗戶。返回本節(jié)第8頁，課件共32頁，創(chuàng)作于2023年2月2.2.3機房的三度要求1．溫度

2．濕度

3．潔凈度

返回本節(jié)第9頁，課件共32頁，創(chuàng)作于2023年2月2.2.4

防靜電措施

靜電是由物體間的相互磨擦、接觸而產生的。靜電產生后，由于它不能泄放而保留在物體內，產生很高的電位（能量不大），而靜電放電時發(fā)生火花，造成火災或損壞芯片。計算機信息系統(tǒng)的各個關鍵電路，諸如CPU、ROM、RAM等大都采用MOS工藝的大規(guī)模集成電路，對靜電極為敏感，容易因靜電而損壞。這種損壞可能是不知不覺造成的。機房內一般應采用乙烯材料裝修，避免使用掛毯、地毯等吸塵、容易產生靜電的材料。

返回本節(jié)第10頁，課件共32頁，創(chuàng)作于2023年2月2.2.5電源1．電源線干擾有六類電源線干擾：中斷、異常中斷、電壓瞬變、沖擊、噪聲、突然失效事件。2．保護裝置電源保護裝置有金屬氧化物可變電阻（MOV）、硅雪崩二極管（SAZD）、氣體放電管（GDT）、濾波器、電壓調整變壓器（VRT）和不間斷電源（UPS）等。第11頁，課件共32頁，創(chuàng)作于2023年2月3．緊急情況供電重要的計算機房應配置御防電壓不足（電源下跌）的設備，這種設備有如下兩種：（1）UPS（2）應急電源

4．調整電壓和緊急開關電源電壓波動超過設備安全操作允許的范圍時，需要進行電壓調整。允許波動的范圍通常在±5%的范圍內。

返回本節(jié)第12頁，課件共32頁，創(chuàng)作于2023年2月2.2.6接地與防雷1．地線種類（1）保護地（2）直流地（3）屏蔽地（4）靜電地（5）雷擊地第13頁，課件共32頁，創(chuàng)作于2023年2月2．接地系統(tǒng)計算機房的接地系統(tǒng)是指計算機系統(tǒng)本身和場地的各種接地的設計和具體實施。（1）各自獨立的接地系統(tǒng)（2）交、直流分開的接地系統(tǒng)（3）共地接地系統(tǒng)（4）直流地、保護地共用地線系統(tǒng)（5）建筑物內共地系統(tǒng)第14頁，課件共32頁，創(chuàng)作于2023年2月3．接地體（1）地樁（2）水平柵網（3）金屬接地板（4）建筑物基礎鋼筋第15頁，課件共32頁，創(chuàng)作于2023年2月4．防雷措施機房的外部防雷應使用接閃器、引下線和接地裝置，吸引雷電流，并為其泄放提供一條低阻值通道。機器設備應有專用地線，機房本身有避雷設施，設備(包括通信設備和電源設備)有防雷擊的技術設施，機房的內部防雷主要采取屏蔽、等電位連接、合理布線或防閃器、過電壓保護等技術措施以及攔截、屏蔽、均壓、分流、接地等方法，達到防雷的目的。機房的設備本身也應有避雷裝置和設施。返回本節(jié)第16頁，課件共32頁，創(chuàng)作于2023年2月2.2.7計算機場地的防火、防水措施為避免火災、水災，應采取如下具體措施：1．隔離

2．火災報警系統(tǒng)

3．滅火設施

4．管理措施

返回本節(jié)第17頁，課件共32頁，創(chuàng)作于2023年2月2.3安全管理2.3.1硬件資源的安全管理2.3.2信息資源的安全與管理2.3.3健全機構和崗位責任制2.3.4完善的安全管理規(guī)章制度返回本章首頁第18頁，課件共32頁，創(chuàng)作于2023年2月2.3.1硬件資源的安全管理1．硬件設備的使用管理2．常用硬件設備的維護和保養(yǎng)返回本節(jié)第19頁，課件共32頁，創(chuàng)作于2023年2月2.3.2信息資源的安全與管理1．信息存儲的安全管理計算機處理的結果（信息）要存儲在某種媒體上，常用的媒體有：磁盤、磁帶、打印紙、光盤。信息存儲的管理實際上就是對存放有信息的具體媒體的管理。2．信息的使用管理計算機中的信息是文字記錄、數(shù)據(jù)在計算機中的表示形式，對它的安全控制關系到國家、集體、個人的安全利益。必須加強對信息的使用管理，防止非法使用。返回本節(jié)第20頁，課件共32頁，創(chuàng)作于2023年2月2.3.3健全機構和崗位責任制計算機系統(tǒng)的安全問題是涉及整個系統(tǒng)、整個單位的大問題。一般來說，系統(tǒng)安全保密是由單位主要領導負責，必要時設置專門機構，協(xié)助主要領導管理。重要單位、要害部門的安全保密工作應分別由安全、保密、保衛(wèi)和技術部門分工負責。所有領導機構、重要計算機系統(tǒng)的安全組織機構（包括安全審查機構、安全決策機構、安全管理機構）都要建立和健全各項規(guī)章制度。返回本節(jié)第21頁，課件共32頁，創(chuàng)作于2023年2月2.3.4完善的安全管理規(guī)章制度1．系統(tǒng)運行維護管理制度

2．計算機處理控制管理制度

3．文檔資料管理制度

4．操作人員及管理人員的管理制度

5．計算機機房的安全管理規(guī)章制度

6．其他的重要管理制度

7．詳細的工作手冊和工作記錄

返回本節(jié)第22頁，課件共32頁，創(chuàng)作于2023年2月2.4電磁防護1．電磁干擾和電磁兼容

電磁干擾可通過電磁輻射和傳導兩條途徑影響設備的工作。

2．計算機通過電磁發(fā)射引起的信息泄漏

Tempest技術是綜合性很強的技術，包括泄漏信息的分析、預測、接收、識別、復原、防護、測試、安全評估等項技術，涉及到多個學科領域。它基本上是在傳統(tǒng)的電磁兼容理論的基礎上發(fā)展起來的，但比傳統(tǒng)的抑制電磁干擾的要求要高得多，技術實現(xiàn)上也更復雜。

返回本章首頁第23頁，課件共32頁，創(chuàng)作于2023年2月3．電磁防護的措施

目前主要防護措施有兩類：一類是對傳導發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合；另一類是對輻射的防護，為提高電子設備的抗干擾能力，除在芯片、部件上提高抗干擾能力外，主要的措施有屏蔽、隔離、濾波、吸波、接地等。其中屏蔽是應用最多的方法。返回本節(jié)第24頁，課件共32頁，創(chuàng)作于2023年2月2.5硬件防護2.5.1存儲器保護2.5.2虛擬存儲保護2.5.3輸入/輸出通道控制返回本章首頁第25頁，課件共32頁，創(chuàng)作于2023年2月2.5.1存儲器保護

硬件是計算機系統(tǒng)的基礎。硬件防護一般是指在計算機硬件（CPU、存儲器、外設等）上采取措施或通過增加硬件來防護。如計算機加鎖，加專門的信息保護卡（如防病毒卡、防拷貝卡），加插座式的數(shù)據(jù)變換硬件（如安裝在并行口上的加密狗等），輸入／輸出通道控制，以及用界限寄存器對內存單元進行保護等措施。第26頁，課件共32頁，創(chuàng)作于2023年2月界限寄存器提供保護的方法簡單、可靠。由于界限寄存器對用戶確定的存儲區(qū)域并不為用戶所知，因此，非法用戶即使可以進入系統(tǒng)，但由于界限寄存器的保護，使它不知道要竊取信息的存放地點，并且它的活動范圍也只限于界限寄存器規(guī)定的范圍。這樣就保護了信息的安全。界限寄存器原理如圖2.1所示。

但是這種方法也有一定的局限。首先對大的系統(tǒng)，特別是多重處理的系統(tǒng)，必須提供多對界限寄存器，因為每次處理所調用的程序可能在不同的區(qū)域，這就勢必增加界限寄存器的數(shù)量，增加開銷。如果寄存器數(shù)量不夠，則要不斷更新內容，使系統(tǒng)的處理速度降低。第27頁，課件共32頁，創(chuàng)作于2023年2月圖2.1界限寄存器原理返回本節(jié)第28頁，課件共32頁，創(chuàng)作于2023年2月2.5.2虛擬存儲保護

虛擬存儲是操作系統(tǒng)中的策略。當多用戶共享資源時，為合理分配內存、外存空間，設置一個比內存大得多的虛擬存儲器。用戶程序和數(shù)據(jù)只是在需要時，才通過動態(tài)地址翻譯并調到內存（實存）中，供CPU調用，用后馬上就退出。

虛擬存儲保護應用較多的是段頁式保護。段頁式保護應用于段頁式地址轉換表格結構的虛擬存儲器，如圖2.2所示。虛擬地址分為虛段號、虛頁號和頁內地址，其中頁內地址可直接轉為實際地址，虛擬地址主要由段號和頁號表示。第29頁，課件共32頁，創(chuàng)作于2023年2月圖2.2段頁式虛擬存儲結構返回本節(jié)第30頁，課件共32頁，創(chuàng)作于2023年2月2.5.3輸入/輸出通道控制輸入/輸出設備是計算機系統(tǒng)的重要組成部分。為使這一過程安全