实体安全和物理防护.pptVIP

第2章 实体安全与硬件防护 ;本章学习目标;2.1　实体安全技术概述 ;2.1.1　影响实体安全的主要因素;2.1.2　实体安全的内容;2.2　计算机房场地环境的安全防护; 根据GB/T 9361-1988的规定，计算机机房环境的安全等级可分为A类、B类和C类三个基本类别，其安全要求也由高到低依次排列。 A类机房对计算机机房的安全有严格的要求，有最为完善的计算机机房安全措施；C类机房对计算机机房的安全是基本的要求，有基本的计算机机房安全措施。;2.2.1　计算机房场地的安全要求;机房供电系统应将动力照明用电与计算机系统供电线路分开，机房及疏散通道应配备应急照明装置。 计算机中心周围100m内不能有危险建筑物。 进出机房时要更衣、换鞋，机房的门窗在建造时应考虑封闭性能。 照明应达到规定标准。 ;2.2.2　设备防盗;2.2.3　机房的三度要求;2.2.4　 防静电措施;2.2.5　电源; 3．紧急情况供电 重要的计算机房应配置预防电压不足（电源下跌）的设备，这种设备有如下两种： （1）UPS （2）应急电源 4．调整电压和紧急开关 电源电压波动超过设备安全操作允许的范围时，需要进行电压调整。允许波动的范围通常在±5%的范围内。紧急开关用于在发生紧急情况时迅速断开总电源，使设备停止工作。 ;2.2.6　接地与防雷; 2．接地系统 计算机房的接地系统是指计算机系统本身和场地的各种接地的设计和具体实施。 （1）各自独立的接地系统 （2）交、直流分开的接地系统 （3）共地接地系统 （4）直流地、保护地共用地线系统 （5）建筑物内共地系统;3．接地体 直接与土壤接触，作为一定的流散电阻，用以与大地进行电气连接的金属导体或导电组称为接地体，通常由金属管制成。 （1）地桩 （2）水平栅网 （3）金属接地板 （4）建筑物基础钢筋;4．防雷措施 机房的外部防雷应使用接闪器、引下线和接地装置，吸引雷电流，并为其泄放提供一条低阻值通道。 机器设备应有专用地线，机房本身有避雷设施，设备(包括通信设备和电源设备)有防雷击的技术设施，机房的内部防雷主要采取屏蔽、等电位连接、合理布线或防闪器、过电压保护等技术措施以及拦截、屏蔽、均压、分流、接地等方法，达到防雷的目的。机房的设备本身也应有避雷装置和设施。;2.2.7　计算机场地的防火、防水措施;2. 机房防水与防潮 水管安装要求 水害防护 防水检测 排水要求 ;2.3　安全管理;2.3.1　硬件资源的安全管理;2．常用硬件设备的维护和保养 主机、显示器、软盘、软驱、打印机、硬盘的维护保养 ； 网络设备的维护保养； 定期检查供电系统的各种保护装置及地线是否正常 ； 所有的计算机网络设备都应当置于上锁且有空调的房间内； 注意电源插座附近 ； 将对设备的物理访问权限限制在最小范围内。 ;2.3.2　信息资源的安全与管理;2.3.3　健全机构和岗位责任制;2.3.4　完善的安全管理规章制度;2.4　电磁防护;2.4.1 电磁干扰和电磁兼容;2. 电磁兼容 电磁兼容表现为在一个系统中各种用电设备能够正常工作而不致相互发生电磁干扰造成性能改变和设备的损坏，也就是说这个系统中的用电设备就是相互兼容的。 ;2.4.2 计算机通过电磁发射引起的信息泄漏; Tempest技术是综合性很强的技术，包括泄漏信息的分析、预测、接收、识别、复原、防护、测试、安全评估等项技术，涉及到多个学科领域。它基本上是在传统的电磁兼容理论的基础上发展起来的，但比传统的抑制电磁干扰的要求要高得多，技术实现上也更复杂。;2.4.3 电磁防护的措施;2.5　硬件防护;2.5.1　存储器保护; 界限寄存器提供保护的方法简单、可靠。由于界限寄存器对用户确定的存储区域并不为用户所知，因此，非法用户即使可以进入系统，但由于界限寄存器的保护，使它不知道要窃取信息的存放地点，并且它的活动范围也只限于界限寄存器规定的范围。这样就保护了信息的安全。界限寄存器原理如图2.1所示。 但是这种方法也有一定的局限。首先对大的系统，特别是多重处理的系统，必须提供多对界限寄存器，因为每次处理所调用的程序可能在不同的区域，这就势必增加界限寄存器的数量，增加开销。如果寄存器数量不够，则要不断更新内容，使系统的处理速度降低。;图2.1 界限寄存器原理;2.5.2　虚拟存储保护;图2.2　段页式虚拟存储结构;2.5.3　输入/