3.-信息安全导论：第三讲-物理安全基础知识

大型主机与网络安全工程系赵洋2014-2015学年第2学期电子科技大学信息与软件工程学院本科教学课件信息安全导论第三讲物理安全基础知识电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第1页/共30页第三讲物理安全主要内容物理安全基本概念设备安全防护防范信息泄露物理隔离容错与容灾电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第2页/共30页第三讲物理安全物理安全实例物理安全案例一自然灾害电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第3页/共30页第三讲物理安全物理安全实例物理安全案例二意外事故电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第4页/共30页第三讲物理安全物理安全实例物理安全案例三人为破坏911恐怖袭击造成800多家公司数据丢失，很多公司从此销声匿迹。摩根斯坦利（MorganStanley）这家当时执金融业之牛耳的公司，全球营业部第二天即可照常工作。因为先前建立的远程容灾系统保护了重要的数据。不得不承认，远程容灾系统在这时挽救了摩根斯坦利，同时也在一定程度上挽救了当时的全球金融行业。——IBM技术中心电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第5页/共30页第三讲物理安全物理安全基本概念物理安全实体安全和环境安全解决两个问题一、对信息系统实体的保护二、对可能造成信息泄漏的物理问题进行防电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第6页/共30页第三讲物理安全物理安全基本概念物理安全技术范畴防盗、防火、防静电、防雷击、防信息泄漏、物理隔离；基于物理环境的容灾技术和物理隔离技术也属于物理安全技术范畴。物理安全的意义物理安全是信息安全的必要前提如果不能保证信息系统的物理安全，其他一切安全内容均没有意义。电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第7页/共30页第三讲物理安全设备安全防护设备防盗计算机也是偷窃者的目标，计算机偷窃行为所造成的损失可能远远超过计算机本身的价值。安全保护设备设备防盗技术防止非法接触和盗取设备的报警系统；计算机系统是否安装报警系统，安装什么样的报警系统，要根据系统的安全等级及计算机中心信息与设备的重要性来确定在计算机系统和外部设备上加无法去除的标识；使用一种防盗接线板，一旦有人拔电源插头，就会报警；可以利用火灾报警系统，增加防盗报警功能；利用闭路电视系统对计算机中心的各部位进行监视保护等电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第8页/共30页第三讲物理安全设备安全防护防火火灾因素：电气原因、人为因素或外部火灾蔓延引起的消除火灾隐患（机房选址、建筑物的耐火等级、机房建筑材料）设置火灾报警系统配置灭火设备加强防火管理和操作规范（严禁存放易燃易爆物品、禁止吸烟）防火步骤火灾预防：减少火灾起因火灾检测：在火灾发生前，接受火灾警报灭火：将火灾带来的损失降低到最小防火措施电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第9页/共30页第三讲物理安全设备安全防护防静电静电是一种电能，具有高电位、低电量、小电流和作用时间短的特点。静电产生接触→电荷→转移→偶电层形成→电荷分离静电危害静电放电火花造成火灾，还能使大规模集成电损坏，这种损坏可能是不知不觉造成的。静电防范静电的泄漏和耗散、静电中和、静电屏蔽与接地、增湿等。防范静电的基本原则是“抑制或减少静电荷的产生，严格控制静电源”。电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第10页/共30页第三讲物理安全设备安全防护防雷电根据电气及微电子设备的不同功能及不同受保护程序和所属保护层来确定防护要点做分类保护。防雷主要措施接闪让闪电能量按照人们设计的通道泄放到大地中去接地让已经纳入防雷系统的闪电能量泄放入大地分流一切从室外来的导线与接地线之间并联一种适当的避雷器，将闪电电流分流入地屏蔽屏蔽就是用金属网、箔、壳、管等导体把需要保护的对象包围起来，阻隔闪电的脉冲电磁场从空间入侵的通道电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第11页/共30页第三讲物理安全防范信息泄露防电磁泄露与干扰基本概念电磁干扰EMI是指一切与有用信号无关的、不希望有的或对电器及电子设备产生不良影响的电磁发射电磁兼容性EMC电子设备在自己正常工作时产生的电磁环境，与其它电子设备之间相互不影响的电磁特性电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第12页/共30页第三讲物理安全防范信息泄露电磁泄露的途径与危害辐射泄漏以电磁波的形式辐射出去。由计算机内部的各种传输线、印刷板线路产生。电磁波的发射借助于上述起天线作用的传输来实现传导泄漏通过各种线路和金属管传导出去。例如，电源线，机房内的电话线，上、下水管道和暖气管道，地线等媒介。金属导体有时也起着天线作用，将传导的信号辐射出去危害：使各系统设备相互干扰，降低设备性能；造成信息暴露电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第13页/共30页第三讲物理安全防范信息泄露电磁泄露的案例范·艾克实验1985年，在法国召开的一次国际计算机安全会议上，年轻的荷兰人范·艾克用价值仅几百美元的器件对普通电视机进行改造，然后安装在汽车里，这样就从楼下的街道上，接收到了放置在8层楼上的计算机电磁波的信息，并显示出计算机屏幕上显示的图像电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第14页/共30页第三讲物理安全防范信息泄露TEMPEST技术TransientElectromagneticPulseEmanationStandard）瞬时电磁辐射标准计算机信息泄漏安全防护技术，是一项综合性的技术，包括泄露信息的分析、预测、接收、识别、复原、防护、测试、安全评估等项技术，涉及到多个学科领域。通常我们把输入、输出的信息数据信号及它们的变换称为核心红信号，那些可以造成核心红信号泄密的控制信号称为关键红信号，红信号的传输通道或单元电路称为红区。所谓的“TEMPEST”要解决的问题就是防止红信号发生电磁信息泄漏。电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第15页/共30页第三讲物理安全防范信息泄露防电磁信息泄漏措施抑制电磁发射防止电磁发射干扰电磁发射电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第16页/共30页第三讲物理安全防范信息泄露常见防电磁干扰技术方法一屏蔽法（空域法）屏蔽法主要用来屏蔽辐射及干扰信号。采用各种屏蔽材料和结构，合理地将辐射电磁场与接收器隔离开，使辐射电磁场在到达接收器时强度降低到最低限度，从而达到控制辐射的目的。空域防护是对空间辐射电磁场控制的最有效和最基本的方法，机房屏蔽室就是这种方法的典型例子。铜网式机房屏蔽室电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第17页/共30页第三讲物理安全防范信息泄露常见防电磁干扰技术方法二频域法频域法主要解决正常的电磁发射受干扰问题。不论是辐射电磁场，还是传导的干扰电压和电流都具有一定的频谱，即由一定的频率成分组成。因此可以通过频域控制的方法来抑制电磁干扰辐射的影响，即利用系统的频率特性将需要的频率成分(信号、电源的工作交流频率)加以接收，而将干扰的频率加以剔除。总之，利用要接收的信号与干扰所占有的频域不同，对频域进行控制。频谱分析电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第18页/共30页第三讲物理安全防范信息泄露常见防电磁干扰技术方法三空域法与频域法相似，时域法也是用来回避干扰信号。当干扰非常强，不易受抑制、但又在一定时间内阵发存在时，通常采用时间回避方法，即信号的传输在时间上避开干扰。跳频通信电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第19页/共30页第三讲物理安全防范信息泄露窃听窃听是指通过非法的手段获取未经授权的信息防窃听基本概念窃听技术指窃听行动所使用的窃听设备和窃听方法的总称防窃听指搜索发现窃听装置及对原始信息进行特殊处理，以达到消除窃听行为或使窃听者无法获得特定原始信息防窃听技术检测主要指主动检查是否存在窃听器，可以采用电缆加压技术、电磁辐射检测技术以及激光探测技术等；防御主要是采用基于密码编码技术对原始信息进行加密处理，确保信息即使被截获也无法还原出原始信息，另外电磁信号屏蔽也属于窃听防御技术电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第20页/共30页第三讲物理安全我国主要的物理安全参照标准GB9361-88计算站场地安全要求1GB2887-2000计算站场地技术要求2GA173-98计算机信息系统防雷保安器3GB6650-86计算机机房用活动地板技术条件4GJZB663军用通信设备及系统安全要求5GB50174-93电子计算机机房设计规范6GB9254-1988信息技术的无线电干扰极限值7SJ/T30003-93电子计算机机房施工及验收规范8电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第21页/共30页第三讲物理安全物理隔离物理隔离的基本概念物理隔离是指在同一时间、空间范围内，内部计算机及网络与外部计算机及网络之间没有任何直接或间接的连接通道（含任何光、电以及存储载体等传输通路），无法进行直接或间接地访问和数据交换，两个系统在物理上完全独立。物理隔离的目的是保护路由器、网络服务器、网络存储系统和工作主机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击，保证一个网络中的信息不无法通过网络泄漏到另一个网络中。外网（如Internet）内部网络内网信息交换系统外网信息交换系统安全开关存储介质电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第22页/共30页第三讲物理安全物理隔离网络物理隔离的基本形式一、内外网络无连接，内网与外网之间任何时刻均不存在连接，是最安全的物理隔离形式二、客户端物理隔离，采用隔离卡使一台计算机既连接内网又连接外网，可以在不同网络上分时地工作，在保证内外网络隔离的同时节省资源、方便工作三、网络设备端物理隔离，在网络设备处的物理隔离常常要与客户端的物理隔离相结合，它可以使客户端通过一条网线由远端切换器连接双网，实现一台工作站连接两个网络的目的四、服务器端物理隔离，它采用复杂的软硬件技术。实现在服务器端的数据过滤和传输，使内外网之间同一时刻没有连线，能快速、分时地传递数据电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/6第23页/共30页第三讲物理安全物理隔离外网（如Internet）内部网络内网信息交换系统外网信息交换系统安全开关存储介质安全开关断开（a）存储介质、外网、内网三者之间完全断开外网（如Internet）内部网络内网信息交换系统外网信息交换系统安全开关存储介质与外网连接开关合上（b）从外网向存储介质写入数据向存储介质写入数据外网（如Internet）内部网络内网信息交换系统外网信息交换系统安全开关存储介质与内网连