实体安全与物理防护

第2章实体安全与硬件防护第2章实体安全与硬件防护2.1实体安全技术概述2.2计算机房场地环境的安全防护2.3安全管理2.4电磁防护2.5硬件防护习题与思考题第2章实体安全与硬件防护本章学习目标1）了解实体安全的定义、目的和内容。2）掌握计算机房场地环境的安全要求。包括机房建筑和结构要求、三度要求、防静电措施、供电要求、接地与防雷、防火、防水等的技术、方法与措施。3）掌握安全管理技术的内容和方法。4）理解电磁防护和硬件防护的基本方法。第2章实体安全与硬件防护2.1实体安全技术概述2.1.1影响实体安全的主要因素2.1.2实体安全的内容第2章实体安全与硬件防护2.1.1影响实体安全的主要因素影响计算机网络实体安全的主要因素如下：1）计算机及其网络系统自身存在的脆弱性因素。2）各种自然灾害导致的安全问题。3）由于人为的错误操作及各种计算机犯罪导致的安全问题。第2章实体安全与硬件防护2.1.2实体安全的内容(1)环境安全(2)电源系统安全(3)设备安全(4)通信线路安全(5)存储媒体安全第2章实体安全与硬件防护2.2计算机房场地环境的安全防护2.2.1计算机房场地的安全要求2.2.2设备防盗2.2.3机房的三度要求2.2.4防静电措施2.2.5电源2.2.6接地与防雷2.2.7计算机场地的防火、防水措施第2章实体安全与硬件防护根据GB/T9361-1988的规定，计算机机房环境的安全等级可分为A类、B类和C类三个基本类别，其安全要求也由高到低依次排列。A类机房对计算机机房的安全有严格的要求，有最为完善的计算机机房安全措施；C类机房对计算机机房的安全是基本的要求，有基本的计算机机房安全措施。第2章实体安全与硬件防护2.2.1计算机房场地的安全要求机房建筑和结构从安全的角度，还应该考虑：1.电梯和楼梯不能直接进入机房。2.建筑物周围应有足够亮度的照明设施和防止非法进入的设施。3.外部容易接近的进出口，而周边应有物理屏障和监视报警系统，窗口应采取防范措施，必要时安装自动报警设备。4.机房进出口须设置应急电话。第2章实体安全与硬件防护5.机房供电系统应将动力照明用电与计算机系统供电线路分开，机房及疏散通道应配备应急照明装置。6.计算机中心周围100m内不能有危险建筑物。7.进出机房时要更衣、换鞋，机房的门窗在建造时应考虑封闭性能。8.照明应达到规定标准。第2章实体安全与硬件防护2.2.2设备防盗1.增加质量或粘胶的方法。2.将设备与固定底盘用锁连接的防盗方法。3.通过光纤电缆保护重要设备。4.通过磁性标签保护设备。5.视频监视系统。第2章实体安全与硬件防护2.2.3机房的三度要求1．温度：18～22℃2．湿度：40％～60％3．洁净度：尘埃颗粒直径小于0.5μm，平均每升空气含尘量少于1万颗第2章实体安全与硬件防护2.2.4防静电措施静电是由物体间的相互磨擦、接触而产生的。静电产生后，由于它不能泄放而保留在物体内，产生很高的电位（能量不大），而静电放电时发生火花，造成火灾或损坏芯片。计算机信息系统的各个关键电路，诸如CPU、ROM、RAM等大都采用MOS工艺的大规模集成电路，对静电极为敏感，容易因静电而损坏。这种损坏可能是不知不觉造成的。机房内一般应采用乙烯材料装修，避免使用挂毯、地毯等吸尘、容易产生静电的材料。第2章实体安全与硬件防护2.2.5电源1．电源线干扰有六类电源线干扰：中断、异常中断、电压瞬变、冲击、噪声、突然失效事件。2．保护装置电源保护装置有金属氧化物可变电阻（MOV）、硅雪崩二极管（SAZD）、气体放电管（GDT）、滤波器、电压调整变压器（VRT）和不间断电源（UPS）等。第2章实体安全与硬件防护3．紧急情况供电重要的计算机房应配置预防电压不足（电源下跌）的设备，这种设备有如下两种：（1）UPS（2）应急电源4．调整电压和紧急开关电源电压波动超过设备安全操作允许的范围时，需要进行电压调整。允许波动的范围通常在±5%的范围内。紧急开关用于在发生紧急情况时迅速断开总电源，使设备停止工作。第2章实体安全与硬件防护2.2.6接地与防雷1．地线接地线通过与大地层连接进行放电保护。当连接的设备漏电或感应带电时，能够快速通过接地线将电流引入大地，从而使设备外壳不再带电。（1）保护地（2）直流地（3）屏蔽地（4）静电地（5）雷击地第2章实体安全与硬件防护2．接地系统计算机房的接地系统是指计算机系统本身和场地的各种接地的设计和具体实施。（1）各自独立的接地系统（2）交、直流分开的接地系统（3）共地接地系统（4）直流地、保护地共用地线系统（5）建筑物内共地系统第2章实体安全与硬件防护3．接地体直接与土壤接触，作为一定的流散电阻，用以与大地进行电气连接的金属导体或导电组称为接地体，通常由金属管制成。（1）地桩（2）水平栅网（3）金属接地板（4）建筑物基础钢筋第2章实体安全与硬件防护4．防雷措施机房的外部防雷应使用接闪器、引下线和接地装置，吸引雷电流，并为其泄放提供一条低阻值通道。机器设备应有专用地线，机房本身有避雷设施，设备(包括通信设备和电源设备)有防雷击的技术设施，机房的内部防雷主要采取屏蔽、等电位连接、合理布线或防闪器、过电压保护等技术措施以及拦截、屏蔽、均压、分流、接地等方法，达到防雷的目的。机房的设备本身也应有避雷装置和设施。第2章实体安全与硬件防护2.2.7计算机场地的防火、防水措施1.机房防火①建筑材料防火②报警和灭火系统③区域隔离防火第2章实体安全与硬件防护2.机房防水与防潮①水管安装要求②水害防护③防水检测④排水要求第2章实体安全与硬件防护2.3安全管理2.3.1硬件资源的安全管理2.3.2信息资源的安全与管理2.3.3健全机构和岗位责任制2.3.4完善的安全管理规章制度第2章实体安全与硬件防护2.3.1硬件资源的安全管理1．硬件设备的使用管理①制定切实可行的硬件设备的操作使用规程②建立设备使用情况日志③建立硬件设备故障情况登记表④坚持对设备进行例行维护和保养第2章实体安全与硬件防护2．常用硬件设备的维护和保养①主机、显示器、软盘、软驱、打印机、硬盘的维护保养；②网络设备的维护保养；③定期检查供电系统的各种保护装置及地线是否正常；④所有的计算机网络设备都应当置于上锁且有空调的房间内；⑤注意电源插座附近；⑥将对设备的物理访问权限限制在最小范围内。第2章实体安全与硬件防护2.3.2信息资源的安全与管理1．信息存储的安全管理计算机处理的结果（信息）要存储在某种媒体上，常用的媒体有：磁盘、磁带、打印纸、光盘。信息存储的管理实际上就是对存放有信息的具体媒体的管理。2．信息的使用管理计算机中的信息是文字记录、数据在计算机中的表示形式，对它的安全控制关系到国家、集体、个人的安全利益。必须加强对信息的使用管理，防止非法使用。第2章实体安全与硬件防护2.3.3健全机构和岗位责任制计算机系统的安全问题是涉及整个系统、整个单位的大问题。一般来说，系统安全保密是由单位主要领导负责，必要时设置专门机构，协助主要领导管理。重要单位、要害部门的安全保密工作应分别由安全、保密、保卫和技术部门分工负责。所有领导机构、重要计算机系统的安全组织机构（包括安全审查机构、安全决策机构、安全管理机构）都要建立和健全各项规章制度。第2章实体安全与硬件防护2.3.4完善的安全管理规章制度1．系统运行维护管理制度2．计算机处理控制管理制度3．文档资料管理制度4．操作人员及管理人员的管理制度5．计算机机房的安全管理规章制度6．其他的重要管理制度7．详细的工作手册和工作记录第2章实体安全与硬件防护2.4电磁防护2.4.1电磁干扰和电磁兼容2.4.2计算机通过电磁发射引起的信息泄漏2.4.3电磁防护的措施第2章实体安全与硬件防护2.4.1电磁干扰和电磁兼容电磁防护技术是为了保证电子设备在复杂的电磁环境中也能够正常的工作。1.电磁干扰电磁干扰可通过电磁辐射和传导两条途径影响设备的工作。第2章实体安全与硬件防护2.电磁兼容电磁兼容表现为在一个系统中各种用电设备能够正常工作而不致相互发生电磁干扰造成性能改变和设备的损坏，也就是说这个系统中的用电设备就是相互兼容的。第2章实体安全与硬件防护2.4.2计算机通过电磁发射引起的信息泄漏对电磁泄漏信号中所携带的敏感信息进行分析、测试、接收、还原以及防护的一系列技术称为TEMPEST技术，即“瞬时电磁脉冲发射标准”（TransientElectromagneticPulseEmanationStandard）或者“瞬时电磁脉冲发射监测技术”（TransientElectromagneticPulseEmanationSurveillanceTechnology）。第2章实体安全与硬件防护Tempest技术是综合性很强的技术，包括泄漏信息的分析、预测、接收、识别、复原、防护、测试、安全评估等项技术，涉及到多个学科领域。它基本上是在传统的电磁兼容理论的基础上发展起来的，但比传统的抑制电磁干扰的要求要高得多，技术实现上也更复杂。第2章实体安全与硬件防护2.4.3电磁防护的措施1.对传导发射的防护主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；2.对辐射的防护为提高电子设备的抗干扰能力，除在芯片、部件上提高抗干扰能力外，主要的措施有屏蔽、隔离、滤波、吸波、接地等，其中屏蔽是应用最多的方法。第2章实体安全与硬件防护2.5硬件防护2.5.1存储器保护2.5.2虚拟存储保护2.5.3输入/输出通道控制第2章实体安全与硬件防护2.5.1存储器保护硬件是计算机系统的基础。硬件防护一般是指在计算机硬件（CPU、存储器、外设等）上采取措施或通过增加硬件来防护。如计算机加锁，加专门的信息保护卡（如防病毒卡、防拷贝卡），加插座式的数据变换硬件（如安装在并行口上的加密狗等），输入／输出通道控制，以及用界限寄存器对内存单元进行保护等措施。第2章实体安全与硬件防护界限寄存器提供保护的方法简单、可靠。由于界限寄存器对用户确定的存储区域并不为用户所知，因此，非法用户即使可以进入系统，但由于界限寄存器的保护，使它不知道要窃取信息的存放地点，并且它的活动范围也只限于界限寄存器规定的范围。这样就保护了信息的安全。界限寄存器原理如图2.1所示。但是这种方法也有一定的局限。首先对大的系统，特别是多重处理的系统，必须提供多对界限寄存器，因为每次处理所调用的程序可能在不同的区域，这就势必增加界限寄存器的数量，增加开销。如果寄存器数量不够，则要不断更新内容，使系统的处理速度降低。第2章实体安全与硬件防护EDCBA操作系统20000存储器B130000存储器B2内存区80000650006000050000200001000000000图2.1界限寄存器原理第2章实体安全与硬件防护2.5.2虚拟存储保护虚拟存储是操作系统中的策略。当多用户共享资源时，为合理分配内存、外存空间，设置一个比内存大得多的虚拟存储器。用户程序和数据只是在需要时，才通过动态地址翻译并调到内存（实存）中，供CPU调用，用后马上就退出。虚拟存储保护应用较多的是段页式保护。段页式保护应用于段页式地址转换表格结构的虚拟存储器，如图2.2所示。虚拟地址分为虚段号、虚页号和页内地址，其中页内地址可直接转为实际地址，虚拟地址主要由段号和页号表示。第2章实体安全与硬件防护虚段号虚页号页内地址段表基址段号实页号页内地址段表地址段表保护位页表基址页表基址页号页表控制位实页号虚拟地址实际地址寄存器图2.2段页式虚拟存储结构图2.2段页式虚拟储存结构第2章实体安全与硬件防护2.5.3输入/输出通道控制输入/输出设备是计算机系统的重要组成部分。为使这一过程安全，要采取一定的措施来进行通道控制，这不仅可使系统安全保密，而且还可避免意外的操作失误而造成的损失。此外，针对输入/输出特性，编写通道控制程序，说明更多的输入/输出细节，并由输入/输出控制器执行，使输入/输出操作有更多的限制，从而保证通道安全。第2章实体安全与硬件防护习题与思考题1.简述实体安全的定义、目的与内容。2.计算机房场地的安全要求有哪些？3.机房