搜索
第5章物理与环境安全技术第5章物理与环境安全技术5.1物理安全概述5.2物理安全常见方法5.3网络机房安全5.4网络通信安全5.5存储介质安全5.6本章小结本章思考与练习第5章物理与环境安全技术5.1物理安全概述物理安全也称实体安全,是指包括环境、设备和记录介质在内的所有支持信息系统运行的硬件的总体安全,是网络系统安全、可靠、不间断运行的基本保证,并且确保在对网上信息进行加工处理、公众服务、决策支持过程中,不致因设备、介质和环境条件受到人为和自然因素的危害,而引起网上信息丢失、泄露或破坏。因此,必须采取一定的保护措施,实现网络系统物理安全,防止威胁发生。物理安全威胁可以分为两大类,即自然威胁和人为威胁。各种物理安全威胁如图5-1所示。第5章物理与环境安全技术图5-1物理威胁示范图地震洪水火灾鼠害雷电自然威胁人为威胁物理威胁盗窃爆炸毁坏第5章物理与环境安全技术目前,物理安全防范日益重要,特别是对于大型数据中心和网络系统的安全防范。为此,国家针对物理安全防范需求,制定了详细的技术标准,主要有:*GB50173—93《电子计算机机房设计规范》;*《计算机站场地技术条件》;*GB9361—88《计算机站场安全要求》;*《计算机信息系统安全通用技术规范》。第5章物理与环境安全技术5.2物理安全常见方法5.2.1防火火灾是网络机房比较普遍的、危害较大的灾害之一。火灾的原因主要有:电线破损、电气短路、抽烟失误、蓄意放火、接线错误、外部火情蔓延到机房内,以及技术上或管理上的原因等。通常应采取以下的防火措施:(1)消除火灾隐患。(2)设置火灾报警系统。(3)配置灭火设备。(4)加强防火管理和操作规范。第5章物理与环境安全技术5.2.2防水水灾不仅会浸泡电缆,破坏绝缘,而且会导致计算机设备短路或损坏,为此应采取一定的防护措施:(1)机房内不得铺设水管和蒸汽管道。(2)机房墙壁、天花板、地面应有防水、防潮性能。(3)通有水管的地方应设置止水阀和排水沟。(4)不要把机房设置在楼房底层或地下室,以防水浸蚀或受潮。(5)如有通往机房的电缆沟,要防止下雨时电缆沟进水漫到机房。通往机房地沟的墙壁和地面应能防水渗透。第5章物理与环境安全技术5.2.3防震震动对网络设备会造成不同程度的损坏,特别是一些高速运转的设备。因此,防震也是保护网络设备的重要措施之一。通常防震的安全措施有:(1)网络机房所在的建筑物应具有抗地震能力。(2)网络机柜和设备要固定牢靠,并安装防震装置。(3)加强安全操作管理,例如禁止搬动在线运行的网络设备。第5章物理与环境安全技术5.2.4防盗当网络系统设备被盗时,损失难以估计,有的能造成系统瘫痪。因此,防盗是网络系统物理安全防护的又一个重要内容。通常采取的防盗措施主要有:(1)设置报警器。(2)锁定装置。(3)摄像监控。(4)严格物理访问控制。第5章物理与环境安全技术5.2.5防鼠虫害鼠虫害也是造成设备故障的因素之一,其主要危害是窜入机房内的鼠虫会咬坏电缆或引起电源短路。据日本IECC对该国2000个用户的调查,在计算机事故中,10%是由鼠害造成的。其受害情况如下:(1)啃食电缆,造成漏电、电源短路。(2)筑窝、排粪,造成断线、短路,部件腐蚀,接触不良。第5章物理与环境安全技术解决鼠虫害的办法有:(1)尽量减少不必要的洞口或用后予以堵塞,封堵鼠虫出口洞口。(2)在机房中可利用超声波驱鼠,或设置一些捕鼠器械。(3)投放杀鼠药物,或在电缆上涂上环己基类防鼠剂。(4)还可在电缆外施加毒饵,以消灭鼠虫。第5章物理与环境安全技术5.2.6防雷雷击对网络设备以及网络运行有着直接的影响,雷击有时会损害网络设备,中断网络通信。因此,防雷是网络物理安全的重要内容之一。常见的防雷措施有三种:(1)在网络设备所处的环境中安装避雷针。(2)网络设备安全接地,并将该“地线”连通机房的地线网,以确保其安全保护作用。(3)对重要网络设备安装专用防雷设施。第5章物理与环境安全技术5.2.7防电磁电磁辐射危险不仅会造成设备无法运行,而且还会引起信息的泄露。因此,电磁防护包含两个方面的内容:一是防止电磁干扰网络设备的正常运行;二是防止信息通过电磁泄露。一般电磁防护的安全措施有:(1)采用接地的方法,防止外界电磁干扰和设备寄生耦合干扰。(2)采用屏蔽的方法,对信号线、重要设备进行电磁屏蔽,减少外部电器设备的瞬间干扰,防止电磁信号的泄露。(3)选择合适场地,远离电磁干扰源。第5章物理与环境安全技术5.2.8防静电为了防止静电损坏网络设备,通常应采取以下的安全措施:(1)人员服装采用不易产生静电的衣料,工作鞋选用低阻值材料制作。(2)控制机房温、湿度,使其保持在不易产生静电的范围内。(3)机房地板从地板表面到接地系统的阻值,应能保证防止人身触电和产生静电。(4)机房中使用的各种工作台、柜等,应选择产生静电小的材料。(5)在进行网络设备操作时,应戴防静电手套。第5章物理与环境安全技术5.2.9安全供电电源直接影响着网络系统的可靠运转,造成电源不可靠的因素有电压瞬变、瞬时停电和电压不足等。为了确保网络不间断运行,通常应采取下面的安全措施:(1)专用供电线路。重要的网络设备、服务器使用专用供电线路,避免干扰。(2)不间断电源(UPS)。使用UPS为网络中的重要设备供电,不仅能解决停电问题,而且能应对各种瞬变、噪声、电压下降。但是,UPS蓄电池的供电时间有限,不能长时间供电。(3)备用发电机。在发生长时间的断电,而网络必须运转时,应启动备用发电机。第5章物理与环境安全技术5.3网络机房安全5.3.1网络机房安全等级网络机房中的实体是由电子设备、机电设备和光磁材料组成的复杂的系统。这些设备的可靠性和安全性与环境条件有着密切的关系。如果环境条件不能满足设备对环境的使用要求,就会降低计算机、网络设备的可靠性和安全性,轻则造成数据或程序出错、损坏,重则会加速元器件老化,缩短机器寿命,或发生故障使系统不能正常运行,严重时还会危害设备和人员的安全。根据GB9361—88,计算机机房分为A、B、C三个基本安全等级,下面分别介绍各级的特点和指标。第5章物理与环境安全技术A级:对计算机机房的安全有严格的要求,有完善的计算机机房安全设施。也就是把具有最高安全性和可靠性的系统及其设备应实施的内容和条件规定为A级机房。B级:对计算机机房安全有严格的要求,有较完善的计算机机房安全设施。它介于A级和C级之间。C级:对计算机机房的安全有基本的要求,有基本的计算机机房安全设施,即为确保系统做一般运行而要求的最低限度的安全性和可靠性所实施的内容及其条件。第5章物理与环境安全技术不同等级的计算机机房安全指标要求如表5-1所示,其中:“—”表示无要求;“○”表示有要求或增加要求;“△”表示要求与前级相同。有关计算机机房的安全级别的详细要求,可参阅GB9361—88《计算机站场安全要求》。第5章物理与环境安全技术表5-1GB9361—88机房安全等级要求指标安全项目C级B级A级场地选择—○○防火○○○内部装修—○△供配电系统○○△空调系统○○△防火报警及消防设施○○△防水—○△防静电—○△防雷击—○△防鼠害—○○防电磁波干扰—○○第5章物理与环境安全技术5.3.2网络机房场地选择1.环境安全性(1)为了防止计算机机房遭到周围不利环境的意外侵害,应尽量避免将机房建在易燃易爆的场所,如化工库、油料库、液化气站或煤气站等火源附近。(2)应避开环境污染区,如化工污染区和有毒气体、腐蚀性气体污染区及尘埃较多的区域,如石灰厂、水泥厂、矿山等附近。(3)应避开盐雾区,如靠近海的区域或产盐区。(4)应避开落雷区域。第5章物理与环境安全技术2.地质可靠性(1)不要建在杂填土、淤泥、流砂层以及地层断裂的地质区域上。(2)建在山区的计算机机房,应避开滑坡、泥石流、雪崩、溶洞等地质不牢靠的区域。(3)建在矿区的计算机机房,应避开采矿崩落区地段,也应避开有开采价值的矿区。(4)应避开低洼、潮湿区域。第5章物理与环境安全技术3.场地抗电磁干扰性(1)应避开或远离无线电干扰源和微波线路的强电磁场干扰场所,如广播电视发射台、雷达站。根据国标GB2887—82《计算机场地条件》,机房附近的无线电干扰应小于126dB(0.15~500MHz),磁场强度应小于800A/m(相当于高斯制的10Oe)。150kW广播电视发射台在1000m以外,基本上可以避免电磁场干扰。(2)应避开强电流冲击和强电磁场干扰的场所,如离开电气化铁路、高压传输线、高频炉、大电机、大功率开关等设备200m以上。第5章物理与环境安全技术4.应避开强振动源和强噪声源(1)应避开振动源,如冲床、锻床、爆炸成形的场所。(2)应避开机场、火车站和车辆往来比较频繁的区域以及建筑工地、影剧院及其他噪声区。(3)应远离主要通道,并避免机房窗户直接邻街。第5章物理与环境安全技术5.机房应避免设在建筑物的高层以及用水设备的下层或隔壁计算机机房应选用专用的建筑物。如果机房是大楼的一部分,应选用二层为宜,一层作为动力、配电、空调间等。同时,应尽量选择电力、水源充足,环境清洁,交通和通信方便的地方。此外,进行机房场地选择时,还要同时考虑计算机的功能与要求。对于机要部门信息系统的机房,还应考虑机房中的信息射频不易泄露和被窃取。在机房场地的选择中,如果不能避开上述不利因素,则应采取相应的防护措施。第5章物理与环境安全技术5.3.3网络机房组成机房的组成是根据计算机系统的性质、任务、业务量大小、所选用计算机设备的类型以及计算机对供电、空调、空间等方面的要求和管理体制而确定的。按照计算机场地技术要求(GB2887—82)的规定,计算机机房一般应由主机房、生产用房、辅助用房和办公用房四部分组成,各部分的用途如下:(1)主机房:用以安装主机及其外部设备。第5章物理与环境安全技术(2)生产用房:包括用户工作室、终端室、数据录入室、维护技术室(分软件维护组和硬件维护组)、维修工作室等。(3)辅助用房:包括电源、空调、消防、器材、库房(存放零备件、记录介质、消耗材料和维护工具、设备等)、卫生间等。(4)办公用房:包括主任室、调度室、会计室、值班室等。第5章物理与环境安全技术5.4网络通信安全通信是网络系统中各节点信息交换的基础,因此,通信的安全直接影响到网络系统的正常运行。目前,为了实现网络通信安全,一般从两个方面采取安全措施,一是网络通信设备,二是网络通信线路。对于重要的核心网络通信设备,例如路由器、交换机,为了防止这些核心设备出现单点安全故障,一般采取设备冗余措施,即设备之间进行相互备份。而对于通信线路的安全措施也是采取多路通信方式,例如网络的连接可以通过DDN专线和电话线。某ISP的网络拓扑结构如图5-2所示。由图可知,该ISP在网络通信上采取了冗余解决办法,首先是核心的交换机器和路由器都实现了交叉互连;其次,ISP与外部网络的连接有两个出口。第5章物理与环境安全技术图5-2某ISP网络拓扑结构图DialAccessServicesNOCLeaseLineAccessBackbone2Gateway2Gateway1Backbone1OtherISPsUpstreamISP第5章物理与环境安全技术5.5存储介质安全(1)强化安全管理:*设有专门区域用于存放介质,并有专人负责保管维护。*有关介质借用,必须办理审批和登记手续。*介质分类存放,重要数据应进行复制备份两份以上,分开备份,以备不时之需。*对敏感和重要数据及关键数据,应采取贴密封条或其他安全有效措施,防止被非法拷贝。*报废的光盘、磁盘、磁带、硬盘、移动盘必须按规定程序完全消除敏感数据信息。第5章物理与环境安全技术(2)数据加密保存。系统中有很高使用价值或很高机密程度的重要数据,应采用加密等方法进行保护。目前,Windows2000支持加密文件系统。(3)磁盘阵列。(4)存储网络SAN。SAN能够实现高性能、远距离的传输,从而达到高速、异地容灾的目的。第5章物理与环境安全技术5.6本章小结物理安全是网络系统安全、可靠、不间断运行的基础。本章首先引入了物理安全的概