信息安全保障体系讲义.ppt

4.2.1 硬件访问控制技术 3、结合软件技术的硬件访问控制系统 一些公司已经开发出各种硬件与软件结合的访问控制系统，可称为固件 通常，硬件部分处理加密、验证等核心计算功能，软件部分处理其它的辅助功能。 具备的主要功能有： 用户身份认证功能 文件存取权限管理功能 审计功能 系统自动对文件进行加密 时间检查、自动暂停、机器识别 */83 4.2.2 防拷贝技术 到目前为止已经研究出许多PC机文件的保护技术，这些保护技术可以分为软件保护技术和硬件保护技术。 对PC机文件的保护通常有以下四种形式： 计算机资源的访问控制功能 由个人用户对文件进行加密 防止对文件的非法拷贝 对整体环境进行保护 下面举几例 */83 4.2.2 防拷贝技术 （1）软件狗 软件狗是一个存储在磁盘介质上的认证和监控软件，被保护软件运行时将在某些时刻与软件狗通信认证，如果通过则继续运行，否则终止运行 不足之处： 当一台计算机上运行多个需要保护的软件时，就需要多个“软件狗”，运行时需更换不同的“软件狗”，这给用户增加了不方便 这种保护方法也容易被破解，方法是跟踪程序的执行，找出和“软件狗”通讯的模块，然后设法将其跳过，使程序的执行不需要和“软件狗”通讯 为了提高不可破解性，最好对存放程序的软盘增加反跟踪措施，例如一旦发现被跟踪，就停机或使系统瘫痪 */83 4.2.2 防拷贝技术 （2）与机器硬件配套保护法 在计算机内部芯片（如ROM）里存放该机器唯一的标志信息，软件和具体的机器是配套的，如果软件检测到不是在特定机器上运行便拒绝执行。 为了防止跟踪破解，还可以在计算机中安装一个专门的加密、解密处理芯片，密钥也封装于芯片中。 软件以加密形式分发，加密的密钥要和用户机器独有的密钥相同，这样可以保证一个机器上的软件在另一台机器上不能运行。 这种方法的缺点是软件每次运行前都要解密，会降低机器运行速度。 防止逆向工程的技术 */83 4.2.3 硬件防辐射技术(电磁泄露) 计算机是一种非常复杂的机电一体化设备，工作状态下不但产生电磁辐射泄漏保密信息，而且还可以引入电磁干扰影响系统正常工作。 尤其是在微电子技术和卫星通信技术飞速发展的今天，计算机电磁辐射泄密的危险越来越大。 比如：对DES密码算法的破解的一种能量分析技术，就是通过DES芯片辐射的信号来破解DES密钥 国际上把防信息辐射泄漏技术简称为TEMPEST技术 瞬时电磁脉冲发射标准技术 美国国家安全局（NSA）和国防部（DoD）制定 这种技术主要研究与解决计算机和外部设备工作时因电磁辐射和传导产生的信息外漏问题。 */83 TEMPEST研究的范围包括理论、工程和管理等方面，涉及电子、电磁、测量、信号处理、材料和化学等多学科的理论与技术。 TEMPEST技术减少计算机信息向外泄漏的技术可以分为电子隐藏技术和物理抑制技术两大类。 其中电子隐藏技术是利用干扰方法扰乱计算机辐射出来的信息、利用跳频技术变化计算机的辐射频率； 物理抑制技术是采用包括结构、工艺、材料和屏蔽等物理措施防止计算机有用信息的泄漏。 */83 4.2.3 硬件防辐射技术(电磁泄露) 4.2.3 硬件防辐射技术(电磁泄露) 计算机设备的一些防泄漏措施 对计算机与外部设备究竟要采取哪些防泄漏措施，要根据计算机中的信息的重要程度而定。 对于企业而言，需要考虑这些信息的经济效益 对于军队则需要考虑这些信息的保密级别。 防护的基本方法一般有如下几种 整体屏蔽 距离防护 使用干扰器 利用铁氧体磁环 */83 4.2.3 硬件防辐射技术(电磁泄露) (1)整体屏蔽 对于需要高度保密的信息，如军、政首脑机关的信息中心和驻外使馆等地方，应该将信息中心的机房整个屏蔽起来。 屏蔽的方法是采用金属网把整个房间屏蔽起来，为了保证良好的屏蔽效果，金属网接地要良好，要经过严格的测试验收。 整个房间屏蔽的费用比较高，可以采用设备屏蔽的方法 */83 4.2.3 硬件防辐射技术(电磁泄露) (2)距离防护 让计算机房远离可能被侦测的地点，这是因为计算机辐射的距离有一定限制。 对于一个单位而言，计算机房尽量建在单位辖区的中央地区。若一个单位辖区的半径少于300米，距离防护的效果就有限 */83 4.2.3 硬件防辐射技术(电磁泄露) (3)使用干扰器 在计算机旁边放置一个辐射干扰器，不断的向外辐射干扰电磁波，该电磁波可以扰乱计算机发出的信息电磁波，使远处侦测设备无法还原计算机信号。 挑选干扰器时要注意干扰器的带宽是否与计算机的辐射带宽相近，否则起不到干扰作用，这需要通过测试验证。 */83 4.2.3 硬件防辐射技术(电磁泄露) (4)利用铁氧体磁环 在屏蔽的电缆线的两端套上铁氧体磁环可以进一步减少电缆的辐射强度。 计算机的键盘、磁盘、显示器等输入输出设备的辐射泄漏