《第二章 实体安全与硬件防护技术精选文档.ppt》由会员分享,可在线阅读,更多相关《第二章 实体安全与硬件防护技术精选文档.ppt(32页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第二章第二章 实体安全与硬件防护技术实体安全与硬件防护技术本讲稿第一页,共三十二页本章学习目标本章学习目标(1)了解实体安全的定义、目的和内容。)了解实体安全的定义、目的和内容。(2)掌掌握握计计算算机机房房场场地地环环境境的的安安全全要要求求。包包括括机机房房建建筑筑和和结结构构要要求求、三三度度要要求求、防防静静电电措措施施、供供电电要要求求、接接地地与与防防雷雷、防防火火、防防水水等等的的技技术术、方法与措施。方法与措施。(3)掌握安全管理技术的内容和方法。)掌握安全管理技术的内容和方法。(4)理解电磁防护和硬件防护的基本方法。)理解电磁防护和硬件防护的基本方法。本讲稿第二页,共三十二页
2、2.1实体安全技术概述实体安全技术概述2.1.1影响实体安全的主要因素影响实体安全的主要因素2.1.2实体安全的内容实体安全的内容返回本章首页返回本章首页本讲稿第三页,共三十二页2.1.1影响实体安全的主要因素影响实体安全的主要因素影响计算机网络实体安全的主要因素如下:影响计算机网络实体安全的主要因素如下:1)计算机及其网络系统自身存在的脆弱性因素。)计算机及其网络系统自身存在的脆弱性因素。2)各种自然灾害导致的安全问题。)各种自然灾害导致的安全问题。3)由由于于人人为为的的错错误误操操作作及及各各种种计计算算机机犯犯罪罪导导致致的安全问题。的安全问题。返回本节返回本节本讲稿第四页,共三十二页
3、2.1.2实体安全的内容实体安全的内容(1)环境安全)环境安全(2)设备安全)设备安全(3)存储媒体安全)存储媒体安全(4)硬件防护)硬件防护 返回本节返回本节本讲稿第五页,共三十二页2.2计算机房场地环境的安全防护计算机房场地环境的安全防护2.2.1计算机房场地的安全要求计算机房场地的安全要求2.2.2设备防盗设备防盗2.2.3机房的三度要求机房的三度要求2.2.4 防静电措施防静电措施2.2.5电源电源2.2.6接地与防雷接地与防雷2.2.7计算机场地的防火、防水措施计算机场地的防火、防水措施返回本章首页返回本章首页本讲稿第六页,共三十二页2.2.1计算机房场地的安全要求计算机房场地的安全
4、要求机房建筑和结构从安全的角度,还应该考虑:机房建筑和结构从安全的角度,还应该考虑:1)电梯和楼梯不能直接进入机房。)电梯和楼梯不能直接进入机房。2)建筑物周围应有足够亮度的照明设施和防止非法进入的设施。)建筑物周围应有足够亮度的照明设施和防止非法进入的设施。3)外外部部容容易易接接近近的的进进出出口口,而而周周边边应应有有物物理理屏屏障障和和监监视视报报警警系系统统,窗窗口口应应采采取防范措施,必要时安装自动报警设备。取防范措施,必要时安装自动报警设备。4)机房进出口须设置应急电话。)机房进出口须设置应急电话。5)机机房房供供电电系系统统应应将将动动力力照照明明用用电电与与计计算算机机系系统
5、统供供电电线线路路分分开开,机机房房及及疏疏散散通通道应配备应急照明装置。道应配备应急照明装置。6)计算机中心周围)计算机中心周围100m内不能有危险建筑物。内不能有危险建筑物。7)进出机房时要更衣、换鞋,机房的门窗在建造时应考虑封闭性能。)进出机房时要更衣、换鞋,机房的门窗在建造时应考虑封闭性能。8)照明应达到规定标准。)照明应达到规定标准。返回本节返回本节本讲稿第七页,共三十二页2.2.2设备防盗设备防盗 早期的防盗,采取增加质量和胶粘的方法,早期的防盗,采取增加质量和胶粘的方法,即将设备长久固定或粘接在一个地点。即将设备长久固定或粘接在一个地点。视视频频监监视视系系统统是是一一种种更更为
6、为可可靠靠的的防防护护设设备备,能能对对系系统统运运行行的的外外围围环环境境、操操作作环环境境实实施施监监控控(视视)。对对重重要要的的机机房房,还还应应采采取取特特别别的的防防盗盗措措施施,如如值值班班守守卫卫,出出入入口口安安装装金金属属防防护护装装置置保保护护安全门、窗户。安全门、窗户。返回本节返回本节本讲稿第八页,共三十二页2.2.3机房的三度要求机房的三度要求1温度温度 2湿度湿度 3洁净度洁净度 返回本节返回本节本讲稿第九页,共三十二页2.2.4 防静电措施防静电措施 静静电电是是由由物物体体间间的的相相互互磨磨擦擦、接接触触而而产产生生的的。静静电电产产生生后后,由由于于它它不不
7、能能泄泄放放而而保保留留在在物物体体内内,产产生生很很高高的的电电位位(能能量量不不大大),而而静静电电放放电电时时发发生生火火花花,造造成成火火灾灾或或损损坏坏芯芯片片。计计算算机机信信息息系系统统的的各各个个关关键键电电路路,诸诸如如CPU、ROM、RAM等等大大都都采采用用MOS工工艺艺的的大大规规模模集集成成电电路路,对对静静电电极极为为敏敏感感,容容易易因因静静电电而而损损坏坏。这这种损坏可能是不知不觉造成的。种损坏可能是不知不觉造成的。机房内一般应采用乙烯材料装修,避免使用挂毯、地毯等吸尘、机房内一般应采用乙烯材料装修,避免使用挂毯、地毯等吸尘、容易产生静电的材料。容易产生静电的材
8、料。返回本节返回本节本讲稿第十页,共三十二页2.2.5电源电源1电源线干扰电源线干扰有有六六类类电电源源线线干干扰扰:中中断断、异异常常中中断断、电电压压瞬瞬变变、冲击、噪声、突然失效事件。冲击、噪声、突然失效事件。2保护装置保护装置电电源源保保护护装装置置有有金金属属氧氧化化物物可可变变电电阻阻(MOV)、硅硅雪雪崩崩二二极极管管(SAZD)、气气体体放放电电管管(GDT)、滤滤波波器器、电电压压调调整整变变压压器器(VRT)和和不不间间断断电电源源(UPS)等。)等。本讲稿第十一页,共三十二页3紧急情况供电紧急情况供电重重要要的的计计算算机机房房应应配配置置御御防防电电压压不不足足(电电源
9、源下下跌跌)的的设设备备,这这种种设设备有如下两种:备有如下两种:(1)UPS(2)应急电源)应急电源 4调整电压和紧急开关调整电压和紧急开关电源电压波动超过设备安全操作允许的范围时,需要进行电压电源电压波动超过设备安全操作允许的范围时,需要进行电压调整。允许波动的范围通常在调整。允许波动的范围通常在5%的范围内。的范围内。返回本节返回本节本讲稿第十二页,共三十二页2.2.6接地与防雷接地与防雷1地线种类地线种类(1)保护地)保护地(2)直流地)直流地(3)屏蔽地)屏蔽地(4)静电地)静电地(5)雷击地)雷击地本讲稿第十三页,共三十二页2接地系统接地系统计计算算机机房房的的接接地地系系统统是是
10、指指计计算算机机系系统统本本身身和和场场地地的各种接地的设计和具体实施。的各种接地的设计和具体实施。(1)各自独立的接地系统)各自独立的接地系统(2)交、直流分开的接地系统)交、直流分开的接地系统(3)共地接地系统)共地接地系统(4)直流地、保护地共用地线系统)直流地、保护地共用地线系统(5)建筑物内共地系统)建筑物内共地系统本讲稿第十四页,共三十二页3接地体接地体(1)地桩)地桩(2)水平栅网)水平栅网(3)金属接地板)金属接地板(4)建筑物基础钢筋)建筑物基础钢筋本讲稿第十五页,共三十二页4防雷措施防雷措施 机机房房的的外外部部防防雷雷应应使使用用接接闪闪器器、引引下下线线和和接接地地装装
11、置置,吸吸引引雷雷电流,并为其泄放提供一条低阻值通道。电流,并为其泄放提供一条低阻值通道。机机器器设设备备应应有有专专用用地地线线,机机房房本本身身有有避避雷雷设设施施,设设备备(包包括括通通信信设设备备和和电电源源设设备备)有有防防雷雷击击的的技技术术设设施施,机机房房的的内内部部防防雷雷主主要要采采取取屏屏蔽蔽、等等电电位位连连接接、合合理理布布线线或或防防闪闪器器、过过电电压压保保护护等等技技术术措措施施以以及及拦拦截截、屏屏蔽蔽、均均压压、分分流流、接接地地等等方方法法,达到防雷的目的。机房的设备本身也应有避雷装置和设施。达到防雷的目的。机房的设备本身也应有避雷装置和设施。返回本节返回
12、本节本讲稿第十六页,共三十二页2.2.7计算机场地的防火、防水措施计算机场地的防火、防水措施为避免火灾、水灾,应采取如下具体措施:为避免火灾、水灾,应采取如下具体措施:1隔离隔离 2火灾报警系统火灾报警系统 3灭火设施灭火设施 4管理措施管理措施 返回本节返回本节本讲稿第十七页,共三十二页2.3安全管理安全管理2.3.1硬件资源的安全管理硬件资源的安全管理2.3.2信息资源的安全与管理信息资源的安全与管理2.3.3健全机构和岗位责任制健全机构和岗位责任制2.3.4完善的安全管理规章制度完善的安全管理规章制度返回本章首页返回本章首页本讲稿第十八页,共三十二页2.3.1硬件资源的安全管理硬件资源的
13、安全管理1硬件设备的使用管理硬件设备的使用管理2常用硬件设备的维护和保养常用硬件设备的维护和保养返回本节返回本节本讲稿第十九页,共三十二页2.3.2信息资源的安全与管理信息资源的安全与管理1信息存储的安全管理信息存储的安全管理计计算算机机处处理理的的结结果果(信信息息)要要存存储储在在某某种种媒媒体体上上,常常用用的的媒媒体体有有:磁磁盘盘、磁磁带带、打打印印纸纸、光光盘盘。信信息息存存储储的的管管理理实实际际上上就就是是对对存存放放有有信息的具体媒体的管理。信息的具体媒体的管理。2信息的使用管理信息的使用管理计计算算机机中中的的信信息息是是文文字字记记录录、数数据据在在计计算算机机中中的的表
14、表示示形形式式,对对它它的的安安全全控控制制关关系系到到国国家家、集集体体、个个人人的的安安全全利利益益。必必须须加加强强对对信信息的使用管理,防止非法使用。息的使用管理,防止非法使用。返回本节返回本节本讲稿第二十页,共三十二页2.3.3健全机构和岗位责任制健全机构和岗位责任制 计计算算机机系系统统的的安安全全问问题题是是涉涉及及整整个个系系统统、整整个个单单位位的的大大问问题题。一一般般来来说说,系系统统安安全全保保密密是是由由单单位位主主要要领领导导负负责责,必必要要时时设设置置专专门门机机构构,协协助助主主要要领领导导管管理理。重重要要单单位位、要要害害部部门门的的安安全全保保密密工工作
15、作应应分分别别由由安安全全、保保密密、保保卫卫和和技技术术部部门门分分工工负负责责。所所有有领领导导机机构构、重重要要计计算算机机系系统统的的安安全全组组织织机机构构(包包括括安安全全审审查查机机构构、安安全全决决策策机机构构、安安全管理机构)都要建立和健全各项规章制度。全管理机构)都要建立和健全各项规章制度。返回本节返回本节本讲稿第二十一页,共三十二页2.3.4完善的安全管理规章制度完善的安全管理规章制度1系统运行维护管理制度系统运行维护管理制度 2计算机处理控制管理制度计算机处理控制管理制度 3文档资料管理制度文档资料管理制度 4操作人员及管理人员的管理制度操作人员及管理人员的管理制度 5
16、计算机机房的安全管理规章制度计算机机房的安全管理规章制度 6其他的重要管理制度其他的重要管理制度 7详细的工作手册和工作记录详细的工作手册和工作记录 返回本节返回本节本讲稿第二十二页,共三十二页2.4电磁防护电磁防护1电磁干扰和电磁兼容电磁干扰和电磁兼容 电磁干扰可通过电磁辐射和传导两条途径影响设备的工作。电磁干扰可通过电磁辐射和传导两条途径影响设备的工作。2计算机通过电磁发射引起的信息泄漏计算机通过电磁发射引起的信息泄漏 Tempest技术是综合性很强的技术,包括泄漏信息的分析、预测、技术是综合性很强的技术,包括泄漏信息的分析、预测、接收、识别、复原、防护、测试、安全评估等项技术,涉及到多接
17、收、识别、复原、防护、测试、安全评估等项技术,涉及到多个学科领域。它基本上是在传统的电磁兼容理论的基础上发展起个学科领域。它基本上是在传统的电磁兼容理论的基础上发展起来的,但比传统的抑制电磁干扰的要求要高得多,技术实现上也来的,但比传统的抑制电磁干扰的要求要高得多,技术实现上也更复杂。更复杂。返回本章首页返回本章首页本讲稿第二十三页,共三十二页3电磁防护的措施电磁防护的措施 目前主要防护措施有两类:一类是对传导发射的目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;的滤波器,减
18、小传输阻抗和导线间的交叉耦合;另一类是对辐射的防护另一类是对辐射的防护,为提高电子设备的抗干为提高电子设备的抗干扰能力,除在芯片、部件上提高抗干扰能力外,扰能力,除在芯片、部件上提高抗干扰能力外,主要的措施有屏蔽、隔离、滤波、吸波、接地等。主要的措施有屏蔽、隔离、滤波、吸波、接地等。其中屏蔽是应用最多的方法。其中屏蔽是应用最多的方法。返回本节返回本节本讲稿第二十四页,共三十二页2.5硬件防护硬件防护2.5.1存储器保护存储器保护2.5.2虚拟存储保护虚拟存储保护2.5.3输入输入/输出通道控制输出通道控制返回本章首页返回本章首页本讲稿第二十五页,共三十二页2.5.1存储器保护存储器保护 硬硬件
19、件是是计计算算机机系系统统的的基基础础。硬硬件件防防护护一一般般是是指指在在计计算算机机硬硬件件(CPU、存存储储器器、外外设设等等)上上采采取取措措施施或或通通过过增增加加硬硬件件来来防防护护。如如计计算算机机加加锁锁,加加专专门门的的信信息息保保护护卡卡(如如防防病病毒毒卡卡、防防拷拷贝贝卡卡),加加插插座座式式的的数数据据变变换换硬硬件件(如如安安装装在在并并行行口口上上的的加加密密狗狗等等),输输入入输输出出通通道道控控制制,以以及及用用界界限限寄存器对内存单元进行保护等措施。寄存器对内存单元进行保护等措施。本讲稿第二十六页,共三十二页 界限寄存器提供保护的方法简单、可靠。由于界限寄存
20、器对用界限寄存器提供保护的方法简单、可靠。由于界限寄存器对用户确定的存储区域并不为用户所知,因此,非法用户即使可以进入户确定的存储区域并不为用户所知,因此,非法用户即使可以进入系统,但由于界限寄存器的保护,使它不知道要窃取信息的存放地系统,但由于界限寄存器的保护,使它不知道要窃取信息的存放地点,并且它的活动范围也只限于界限寄存器规定的范围。这样就保点,并且它的活动范围也只限于界限寄存器规定的范围。这样就保护了信息的安全。界限寄存器原理如图护了信息的安全。界限寄存器原理如图2.1所示。所示。但但是是这这种种方方法法也也有有一一定定的的局局限限。首首先先对对大大的的系系统统,特特别别是是多多重重处
21、处理理的的系系统统,必必须须提提供供多多对对界界限限寄寄存存器器,因因为为每每次次处处理理所所调调用用的的程程序序可可能能在在不不同同的的区区域域,这这就就势势必必增增加加界界限限寄寄存存器器的的数数量量,增增加加开开销销。如如果果寄寄存存器器数数量量不不够够,则则要要不不断断更更新新内内容容,使使系系统统的的处处理速度降低。理速度降低。本讲稿第二十七页,共三十二页图图2.1界限寄存器原理界限寄存器原理返回本节返回本节本讲稿第二十八页,共三十二页2.5.2虚拟存储保护虚拟存储保护 虚拟存储是操作系统中的策略。当多用户共享资源时,虚拟存储是操作系统中的策略。当多用户共享资源时,为合理分配内存、外
22、存空间,设置一个比内存大得多的虚拟为合理分配内存、外存空间,设置一个比内存大得多的虚拟存储器。用户程序和数据只是在需要时,才通过动态地址翻存储器。用户程序和数据只是在需要时,才通过动态地址翻译并调到内存(实存)中,供译并调到内存(实存)中,供CPU调用,用后马上就退出。调用,用后马上就退出。虚拟存储保护应用较多的是段页式保护。虚拟存储保护应用较多的是段页式保护。段段页页式式保保护护应应用用于于段段页页式式地地址址转转换换表表格格结结构构的的虚虚拟拟存存储储器器,如如图图2.2所所示示。虚虚拟拟地地址址分分为为虚虚段段号号、虚虚页页号号和和页页内内地地址址,其其中中页页内内地地址址可可直直接接转
23、转为为实实际际地地址址,虚虚拟拟地地址址主主要要由由段段号号和页号表示。和页号表示。本讲稿第二十九页,共三十二页图图2.2段页式虚拟存储结构段页式虚拟存储结构返回本节返回本节本讲稿第三十页,共三十二页2.5.3输入输入/输出通道控制输出通道控制 输入输入/输出设备是计算机系统的重要组成部输出设备是计算机系统的重要组成部分。为使这一过程安全,要采取一定的措施来进分。为使这一过程安全,要采取一定的措施来进行通道控制,这不仅可使系统安全保密,而且还行通道控制,这不仅可使系统安全保密,而且还可避免意外的操作失误而造成的损失。可避免意外的操作失误而造成的损失。此此外外,针针对对输输入入/输输出出特特性性,编编写写通通道道控控制制程程序序,说说明明更更多多的的输输入入/输输出出细细节节,并并由由输输入入/输输出出控控制制器器执执行行,使使输输入入/输输出出操操作作有有更更多多的的限限制制,从而保证通道安全。从而保证通道安全。返回本节返回本节本讲稿第三十一页,共三十二页THANK YOU VERY MUCH!本章到此结束,本章到此结束,谢谢您的光临!谢谢您的光临!返回本章首页返回本章首页结结 束放映束放映本讲稿第三十二页,共三十二页