第二章 实体安全与硬件防护技术 2.1 实体安全技术概述 2.2 计算机房场地环境的安全防护 2.3 安全管理 2.4 电磁防护 第二章 实体安全与硬件防护技术 2.1 实体安全技术概述 2.2 计算机房场地环境的安全防护 2.3 安全管理 2.4 电磁防护 2.5 硬件防护
本章学习目标 (1)了解实体安全的定义、目的和内容。 (2)掌握计算机房场地环境的安全要求。包括机房建筑和结构要求、三度要求、防静电措施、供电要求、接地与防雷、防火、防水等的技术、方法与措施。 (3)掌握安全管理技术的内容和方法。 (4)理解电磁防护和硬件防护的基本方法。
2.1 实体安全技术概述 2.1.1 影响实体安全的主要因素 2.1.2 实体安全的内容 返回本章首页
2.1.1 影响实体安全的主要因素 影响计算机网络实体安全的主要因素如下: 1)计算机及其网络系统自身存在的脆弱性因素。 2.1.1 影响实体安全的主要因素 影响计算机网络实体安全的主要因素如下: 1)计算机及其网络系统自身存在的脆弱性因素。 2)各种自然灾害导致的安全问题。 3)由于人为的错误操作及各种计算机犯罪导致的安全问题。 返回本节
2.1.2 实体安全的内容 (1)环境安全 (2)设备安全 (3)存储媒体安全 (4)硬件防护 返回本节
2.2 计算机房场地环境的安全防护 2.2.1 计算机房场地的安全要求 2.2.2 设备防盗 2.2.3 机房的三度要求 2.2 计算机房场地环境的安全防护 2.2.1 计算机房场地的安全要求 2.2.2 设备防盗 2.2.3 机房的三度要求 2.2.4 防静电措施 2.2.5 电源 2.2.6 接地与防雷 2.2.7 计算机场地的防火、防水措施 返回本章首页
2.2.1 计算机房场地的安全要求 机房建筑和结构从安全的角度,还应该考虑: 1)电梯和楼梯不能直接进入机房。 2.2.1 计算机房场地的安全要求 机房建筑和结构从安全的角度,还应该考虑: 1)电梯和楼梯不能直接进入机房。 2)建筑物周围应有足够亮度的照明设施和防止非法进入的设施。 3)外部容易接近的进出口,而周边应有物理屏障和监视报警系统,窗口应采取防范措施,必要时安装自动报警设备。 4)机房进出口须设置应急电话。 5)机房供电系统应将动力照明用电与计算机系统供电线路分开,机房及疏散通道应配备应急照明装置。 6)计算机中心周围100m内不能有危险建筑物。 7)进出机房时要更衣、换鞋,机房的门窗在建造时应考虑封闭性能。 8)照明应达到规定标准。 返回本节
2.2.2 设备防盗 早期的防盗,采取增加质量和胶粘的方法,即将设备长久固定或粘接在一个地点。 2.2.2 设备防盗 早期的防盗,采取增加质量和胶粘的方法,即将设备长久固定或粘接在一个地点。 视频监视系统是一种更为可靠的防护设备,能对系统运行的外围环境、操作环境实施监控(视)。对重要的机房,还应采取特别的防盗措施,如值班守卫,出入口安装金属防护装置保护安全门、窗户。 返回本节
2.2.3 机房的三度要求 1.温度 2.湿度 3.洁净度 返回本节
2.2.4 防静电措施 静电是由物体间的相互磨擦、接触而产生的。静电产生后,由于它不能泄放而保留在物体内,产生很高的电位(能量不大),而静电放电时发生火花,造成火灾或损坏芯片。计算机信息系统的各个关键电路,诸如CPU、ROM、RAM等大都采用MOS工艺的大规模集成电路,对静电极为敏感,容易因静电而损坏。这种损坏可能是不知不觉造成的。 机房内一般应采用乙烯材料装修,避免使用挂毯、地毯等吸尘、容易产生静电的材料。 返回本节
2.2.5 电源 1.电源线干扰 有六类电源线干扰:中断、异常中断、电压瞬变、冲击、噪声、突然失效事件。 2.保护装置 2.2.5 电源 1.电源线干扰 有六类电源线干扰:中断、异常中断、电压瞬变、冲击、噪声、突然失效事件。 2.保护装置 电源保护装置有金属氧化物可变电阻(MOV)、硅雪崩二极管(SAZD)、气体放电管(GDT)、滤波器、电压调整变压器(VRT)和不间断电源(UPS)等。
重要的计算机房应配置御防电压不足(电源下跌)的设备,这种设备有如下两种: 3.紧急情况供电 重要的计算机房应配置御防电压不足(电源下跌)的设备,这种设备有如下两种: (1)UPS (2)应急电源 4.调整电压和紧急开关 电源电压波动超过设备安全操作允许的范围时,需要进行电压调整。允许波动的范围通常在±5%的范围内。 返回本节
2.2.6 接地与防雷 1.地线种类 (1)保护地 (2)直流地 (3)屏蔽地 (4)静电地 (5)雷击地
2.接地系统 计算机房的接地系统是指计算机系统本身和场地的各种接地的设计和具体实施。 (1)各自独立的接地系统 (2)交、直流分开的接地系统 (3)共地接地系统 (4)直流地、保护地共用地线系统 (5)建筑物内共地系统
3.接地体 (1)地桩 (2)水平栅网 (3)金属接地板 (4)建筑物基础钢筋
机房的外部防雷应使用接闪器、引下线和接地装置,吸引雷电流,并为其泄放提供一条低阻值通道。 4.防雷措施 机房的外部防雷应使用接闪器、引下线和接地装置,吸引雷电流,并为其泄放提供一条低阻值通道。 机器设备应有专用地线,机房本身有避雷设施,设备(包括通信设备和电源设备)有防雷击的技术设施,机房的内部防雷主要采取屏蔽、等电位连接、合理布线或防闪器、过电压保护等技术措施以及拦截、屏蔽、均压、分流、接地等方法,达到防雷的目的。机房的设备本身也应有避雷装置和设施。 返回本节
2.2.7 计算机场地的防火、防水措施 为避免火灾、水灾,应采取如下具体措施: 1.隔离 2.火灾报警系统 3.灭火设施 4.管理措施 2.2.7 计算机场地的防火、防水措施 为避免火灾、水灾,应采取如下具体措施: 1.隔离 2.火灾报警系统 3.灭火设施 4.管理措施 返回本节
2.3 安全管理 2.3.1 硬件资源的安全管理 2.3.2 信息资源的安全与管理 2.3.3 健全机构和岗位责任制 2.3 安全管理 2.3.1 硬件资源的安全管理 2.3.2 信息资源的安全与管理 2.3.3 健全机构和岗位责任制 2.3.4 完善的安全管理规章制度 返回本章首页
2.3.1 硬件资源的安全管理 1.硬件设备的使用管理 2.常用硬件设备的维护和保养 返回本节
2.3.2 信息资源的安全与管理 1.信息存储的安全管理 2.3.2 信息资源的安全与管理 1.信息存储的安全管理 计算机处理的结果(信息)要存储在某种媒体上,常用的媒体有:磁盘、磁带、打印纸、光盘。信息存储的管理实际上就是对存放有信息的具体媒体的管理。 2.信息的使用管理 计算机中的信息是文字记录、数据在计算机中的表示形式,对它的安全控制关系到国家、集体、个人的安全利益。必须加强对信息的使用管理,防止非法使用。 返回本节
2.3.3 健全机构和岗位责任制 计算机系统的安全问题是涉及整个系统、整个单位的大问题。一般来说,系统安全保密是由单位主要领导负责,必要时设置专门机构,协助主要领导管理。重要单位、要害部门的安全保密工作应分别由安全、保密、保卫和技术部门分工负责。所有领导机构、重要计算机系统的安全组织机构(包括安全审查机构、安全决策机构、安全管理机构)都要建立和健全各项规章制度。 返回本节
2.3.4 完善的安全管理规章制度 1.系统运行维护管理制度 2.计算机处理控制管理制度 3.文档资料管理制度 2.3.4 完善的安全管理规章制度 1.系统运行维护管理制度 2.计算机处理控制管理制度 3.文档资料管理制度 4.操作人员及管理人员的管理制度 5.计算机机房的安全管理规章制度 6.其他的重要管理制度 7.详细的工作手册和工作记录 返回本节
2.4 电磁防护 1.电磁干扰和电磁兼容 电磁干扰可通过电磁辐射和传导两条途径影响设备的工作。 2.计算机通过电磁发射引起的信息泄漏 2.4 电磁防护 1.电磁干扰和电磁兼容 电磁干扰可通过电磁辐射和传导两条途径影响设备的工作。 2.计算机通过电磁发射引起的信息泄漏 Tempest技术是综合性很强的技术,包括泄漏信息的分析、预测、接收、识别、复原、防护、测试、安全评估等项技术,涉及到多个学科领域。它基本上是在传统的电磁兼容理论的基础上发展起来的,但比传统的抑制电磁干扰的要求要高得多,技术实现上也更复杂。 返回本章首页
3.电磁防护的措施 目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;另一类是对辐射的防护 ,为提高电子设备的抗干扰能力,除在芯片、部件上提高抗干扰能力外,主要的措施有屏蔽、隔离、滤波、吸波、接地等。其中屏蔽是应用最多的方法。 返回本节
2.5 硬件防护 2.5.1 存储器保护 2.5.2 虚拟存储保护 2.5.3 输入/输出通道控制 返回本章首页
2.5.1 存储器保护 硬件是计算机系统的基础。硬件防护一般是指在计算机硬件(CPU、存储器、外设等)上采取措施或通过增加硬件来防护。如计算机加锁,加专门的信息保护卡(如防病毒卡、防拷贝卡),加插座式的数据变换硬件(如安装在并行口上的加密狗等),输入/输出通道控制,以及用界限寄存器对内存单元进行保护等措施。
界限寄存器提供保护的方法简单、可靠。由于界限寄存器对用户确定的存储区域并不为用户所知,因此,非法用户即使可以进入系统,但由于界限寄存器的保护,使它不知道要窃取信息的存放地点,并且它的活动范围也只限于界限寄存器规定的范围。这样就保护了信息的安全。界限寄存器原理如图2.1所示。 但是这种方法也有一定的局限。首先对大的系统,特别是多重处理的系统,必须提供多对界限寄存器,因为每次处理所调用的程序可能在不同的区域,这就势必增加界限寄存器的数量,增加开销。如果寄存器数量不够,则要不断更新内容,使系统的处理速度降低。
图2.1 界限寄存器原理 返回本节
2.5.2 虚拟存储保护 虚拟存储是操作系统中的策略。当多用户共享资源时,为合理分配内存、外存空间,设置一个比内存大得多的虚拟存储器。用户程序和数据只是在需要时,才通过动态地址翻译并调到内存(实存)中,供CPU调用,用后马上就退出。 虚拟存储保护应用较多的是段页式保护。 段页式保护应用于段页式地址转换表格结构的虚拟存储器,如图2.2所示。虚拟地址分为虚段号、虚页号和页内地址,其中页内地址可直接转为实际地址,虚拟地址主要由段号和页号表示。
图2.2 段页式虚拟存储结构 返回本节
2.5.3 输入/输出通道控制 输入/输出设备是计算机系统的重要组成部分。为使这一过程安全,要采取一定的措施来进行通道控制,这不仅可使系统安全保密,而且还可避免意外的操作失误而造成的损失。 此外,针对输入/输出特性,编写通道控制程序,说明更多的输入/输出细节,并由输入/输出控制器执行,使输入/输出操作有更多的限制,从而保证通道安全。 返回本节
THANK YOU VERY MUCH ! 本章到此结束, 谢谢您的光临! 结 束放映 返回本章首页