ch3载体安全

载体安全主要内容概述机房安全存储介质安全传输载体安全概念载体是承载数据的实体物理载体是指承载数据的物理实体，例如计算机磁盘、磁带、光盘、移动硬盘、存储系统、主机、网线、光纤等逻辑载体是指承载数据的逻辑实体也称为逻辑介质，例如，操作系统、支撑平台系统、应用软件、网络系统、应用程序等范畴载体安全的内容包括：载体可用性载体完整性载体机密性一、物理安全概述5物理安全:系统安全的前提保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故（如电磁污染等）以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。例：2001年2月9日中美之间的海底光缆被阻断的影响。现在网通和联通的光缆被破坏事件完全的物理安全代价很高6物理安全包括三个方面：（1）、环境安全：是指系统所在环境的安全，主要是场地与机房（2）、设备安全：主要指设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等（3）、媒体安全：包括媒体数据的安全及媒体本身的安全。基本知识机房是一种物理环境，是计算机系统、网络、存储等载体和环境所处的外部条件，为这些载体提供安全的保障。这里，机房环境不仅包含机房的场所，还包含确保机房安全及维护机房正常运转的配电、照明、供水等各类系统、设备及措施等支撑设施。12345678基本知识机房建设的主要内容环境安全供配电系统安全保安系统安全消防安全12345678基本知识机房的设计选址空间与面积配电与照明系统空调系统12345678基本知识机房的验收机房的安全管理出入管理机房登记审查制度12345678物理安全问题常见物理安全问题供电质量雷击静电温湿度、洁净度防火、防水、防生物电磁干扰电磁泄漏防盗三、设备安全121、设备安全主要包括设备的防盗和防毁，防止电磁信息泄漏，防止线路截获，抗电磁干扰以及电源保护。2、TEMPEST技术1985年，荷兰学者艾克在第三届计算机通信安全防护大会上，发表关于计算机视频显示单元电磁辐射的研究报告其它外部设备如键盘、磁盘和打印机在工作中同样辐射带信号的电磁波人体健康+电磁干扰+信息泄密13电磁泄露的两种方式：1、辐射泄漏：以电磁波的形式辐射出去2、传导泄漏：通过各种线路和金属管传导出去的辐射强度的因素主要有功率和频率、与辐射源的距离、屏蔽状况TEMPEST技术是美国国家安全局和国防部联合进行研究与开发的，主要内容：电磁泄漏机理、防护技术、有用信息的提取技术、测试技术和标准TEMPEST技术的主要目的是减少计算机中信息的外泄。抑制信息泄漏的途径一是电子隐蔽技术，二是物理抑制技术（包容法和抑源法）。14TEMPEST技术主要采用的技术措施：（1）、利用噪声干扰源（2）、采用屏蔽技术（3）、“红”“黑”隔离（4）、滤波技术（5）、布线与元器件选择电子战系统15电子战系统是一种信息对抗系统，是为了削弱、破坏敌方电子设备的使用效能、保障己方电子设备正常工作的系统（1）电子侦察系统由星载电子、机载、舰载电子侦察设备和陆基及相应的人员组成，并与其它系统相连，从而了解敌方电磁威胁、监视敌方各种电磁活动。（2）电子进攻系统包括电子干扰和电子摧毁。（3）电子防卫系统是削弱敌方电子战武器的作用，保护己方电子设施的一个分系统相关标准基本知识相关规范1)GB50174-2008《电子信息系统机房设计规范》；2)GB50462-2008《电子信息系统机房施工及验收规范》；3)CECS72-97《建筑与建筑群综合布线系统工程设计规范》；4)GBJ16-87《建筑设计防火规范》；5)GB50116-98《火灾自动报警系统设计规范》；6)GB2887-89《计算机场地安全要求》；7)GB50057-94《建筑物防雷设计规范》；8)GB50054-95《低压配电设计规范》；……安全案例2013年2月25日，台北市数字通国际网络公司因机房内机电设施起火，整栋楼断电救火。导致同楼的大型网络交换中心、企业主机托管服务商“是方电讯”受到波及。最后造成台湾全岛网络瘫痪，甚至台湾多数电信运营商海外光缆出现问题，Yahoo、台湾高铁、微软MSN、中华电信、远传、台湾大宽频、威宝电信等都受其影响，许多知名网站也因此停运。当地民众更明显感受到网络连接异常缓慢，连3G网络都受到影响。应用实例应用实例应用实例应用实例应用实例3.2介质安全存储介质安全相关概念磁盘低级格式化就是把一张空白的磁盘划分成一个个小区域并编号，供计算机储存，读取数据。分区为了便于管理和使用，将大容量的硬盘分成一个一个的逻辑分区，表现为一个个逻辑盘符。磁盘高级格式化在磁盘分区上建立文件系统的过程。相关概念文件系统文件系统是操作系统用于明确磁盘或分区上的文件的方法和数据结构,即在磁盘上组织文件的方法数据恢复把遭受破坏，或由介质缺陷导致不可访问或不可获得，或由于误操作等各种原因导致丢失数据还原成正常数据存储介质种类计算机存储介质按存储速度从高到低的排列包括内存储器（半导体芯片组成）、磁盘、后援存储器（光盘机、光盘库、磁带库）和脱机存储器（磁带机，磁带库）。按存储技术原理分为以下3类：•电存储、如内存、闪存等；•磁存储，如磁盘、磁带等；•光存储，如光盘、DVD等。数码存储介质存储卡：包括小型闪存卡（CF卡）、智慧卡（SM卡）、记忆棒（MS卡）、多媒体卡（MMC卡）和安全数字卡（SD卡）。微型硬盘计算机存储介质特点磁存储器：包括硬盘，软磁盘和磁带存储器1.被删除文件可恢复在许多计算机操作系统中，删除一个文件，仅仅删除了该文件的文件指针，也就是删除了该文件的标记，释放了该文件的存储空间，而并非真正将该文件删除或覆盖计算机删除磁盘文件的这种方式，可以提高文件处理的速度和效率，但也方便了被删除文件的恢复。计算机存储介质特点2.永久性磁化磁存储器属于磁介质，磁介质存在剩磁效应的问题，保存在磁介质中的数据会使磁介质不同程度地永久性磁化，所以磁介质上记载的信息在一定程度上是抹除不干净的，使用高灵敏度的磁头和放大器可以将已抹除的信息的磁盘上的原有信息提取出来。因此涉密和重要磁介质的管理、废弃是很重要的问题。介质数据安全删除销毁技术磁盘信息清除技术直流消磁法和交流消磁法。•直流消磁法–使用直流磁头将磁盘上原先记录的信息剩余磁通，全部以一种形式的恒定值所代替。如：完全格式化磁盘。•交流消磁法–使用交流磁头将磁盘上原先所记录信息的剩余磁通变得极小，这种方法的消磁效果比直流消磁法要好。磁介质的销毁物理销毁•机械粉碎法、化学溶蚀法•高温消磁软件擦除光存储介质特点光存储介质记录密度高存储量大存储速度慢介质数据存储结构介质数据存储结构都是由介质所使用的文件系统的格式所决定的硬盘的文件格式windows文件系统：FAT16、FAT32、NTFSlinux文件系统：EXT系列、Reiser4、ReiserFS、xfs、JFS等unix文件系统：GPFS、UFS等光盘文件系统格式ISO-9660、Joliet、Romeo等软盘的文件格式仅限于FAT16数码介质的文件格式UFS、exFAT等FAT32文件系统MBR系统保留扇区DBR2个FAT表FDTDATA一个扇区62个扇区32个扇区根据分区容量变化剩余扇区数NTFS文件系统MFT元数据文件MFT分配空间文件存储区MFT前16个文件备份文件存储区UNIX文件系统引导块超级块i节点表数据区典型技术介质防震技术介质故障检测技术介质数据安全删除销毁技术介质数据防盗技术介质数据恢复技术介质防震技术介质防震是防止介质由于震动造成不能正常读取介质数据。是在硬盘受到冲击时保持磁头不受震动。主要方法是使冲击能量被硬盘的其它部分吸收或者使用减震保护膜。介质防震技术有SPS技术、ShockBlock技术、DST技术等。介质故障检测技术对于机械性质产生的硬盘故障通过检测、分析，发出报警的技术。主要有SMART技术、DPS技术、DFT技术等。介质防盗技术主要通过密码技术的应用来实现的。介质数据一旦使用密码技术进行加密，即具有很高的保密程度，介质即使被盗窃或被复制，其记录的数据也难以被读懂泄露。具体的介质数据加密技术又细分为文件加密、目录加密、程序加密、数据库加密、整盘数据加密等。传输安全数据传输涉及传输介质、传输设备和要完成传输功能的通信协议。安全传输数据的前提是确保传输介质的安全、传输设备的安全以及起着通信核心作用的传输协议的安全传输介质传输介质指的是在传输数据的物理实体。有线传输介质双绞线、同轴电缆以及传输光信号的光纤。无线传输介质无线电波、微波、红外线、激光等传输设备传输设备就是指由传输介质连接起来，能够将数据从一个地方送到另一个地方的设备传输协议常用协议包括TCP/IP协议、局域网的NETBEUI和IPX/SPX协议以及无线通信协议IEEE802.11系列协议等典型技术传输介质安全技术传输设备安全技术传输协议相关安全技术传输介质安全技术物理层的角度看，传输介质最大的安全问题就是电磁信号的屏蔽问题，以及传输介质本身的防盗问题逻辑安全相关技术信道加密技术•指在信号的物理层对信号进行加密信道编码技术•在信号传输过程中，针对所处的不同信道特点，采取不同信道编码技术，以便提高信道传输信号的可靠性传输协议安全技术传输协议安全是传输载体逻辑层面的安全。协议的安全问题主要源于协议自身的脆弱性，即协议在设计之初带来的天生的缺陷，从而使得协议面临着假冒、重演（重放）、中间人攻击、抵赖等威胁。安全协议安全协议的功能将安全协议分为以下四类：1.密钥交换协议：密钥交换协议能够使得参与协议的两个或者多个实体建立共享的秘密信息，常用于建立在本次通信中所使用的会话密钥；2.认证协议：认证协议一般用来向一个实体进行对另一个实体身份的某种程度的确认，包括身份认证协议、消息认证协议、数据源认证协议和数据目的认证协议等；3.应用安全协议：针对某个领域而设计的安全协议，如电子交易协议SET；4.安全传输协议：如IPSec系列协议、SSL、HTTPS等。VPN的优点建网快速投资低节约使用成本安全可靠简化用户对网络的维护及管理工作易于扩展虚拟专用网依靠ISP和其他NSP在公用网络中建立专用的数据通信网络的技术。虚拟：任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台上的逻辑网络，用户数据在逻辑链路中传输虚拟专用网（VirtualPrivateNetwork，VPN）实现的最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的概述远程访问Internet内部网合作伙伴分支机构虚拟私有网VPN是企业网在因特网上的延伸VPN的典型应用概述远程访问Internet内部网分支机构安全网关安全网关ISP接入设备端到端数据通路的典型构成拨入段外部段（公共因特网）内部段公司的内部网络VPN的安全风险VPN的安全风险主要包括：拨入段数据泄漏风险、因特网上数据泄漏的风险、安全网关中数据泄漏的风险和内部网中数据泄漏的风险拨入段数据泄漏风险主要体现在：1)攻击者可以很容易的在拨入链路上实施监听；2)ISP很容易检查用户的数据；3)可以通过链路加密来防止被动的监听，但无法防范恶意窃取数据的ISP因特网上数据泄露风险主要体现在：1)数据在到达终点之前要经过许多路由器，明文传输的报文很容易在路由器上被查看和修改；2)监听者可以在其中任一段链路上监听数据；3)逐段加密不能防范在路由器上查看报文，因为路由器需要解密报文选择路由信息，然后再重新加密发送；4)恶意的ISP可以修改通道的终点到一台假冒的网关安全网关数据泄漏风险主要体现在：1)数据在安全网关中是明文的，因而网关管理员可以直接查看机密数据；2)网关本身可能会受到攻击，一旦被攻破，流经安全网关的数据将面临风险内部网数据泄漏风险主要体现在：1)内部网中可能存在不信任的主