ch3計算機網(wǎng)絡(luò)實體安全.ppt

第3章 計算機網(wǎng)絡(luò)實體安全,本章主要內(nèi)容： 計算機網(wǎng)絡(luò)機房及環(huán)境安全 機房的自然與人為災(zāi)害的防護 機房靜電和電磁輻射的防護 存儲介質(zhì)的保護 軟件和數(shù)據(jù)文件的保護 網(wǎng)絡(luò)系統(tǒng)的日常安全管理。,本章要求: 了解計算機機房的安全等級，機房場地及環(huán)境安全要考慮的問題和管理方面的要求 了解機房火災(zāi)、水災(zāi)、電磁干擾、 電磁輻射、靜電、雷擊產(chǎn)生的原因及防護措施 了解對機房存儲介質(zhì)的保護 了解軟件和數(shù)據(jù)文件的保護策略 掌握對網(wǎng)絡(luò)系統(tǒng)的日常安全管理,計算機網(wǎng)絡(luò)實體是網(wǎng)絡(luò)系統(tǒng)的核心，它既是對數(shù)據(jù)進行加工處理的中心，也是信息傳輸控制中心。它包括網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和數(shù)據(jù)資源。因此保證計算機網(wǎng)絡(luò)實體安全，即是保證網(wǎng)絡(luò)硬件和環(huán)境、存儲介質(zhì)、軟件和數(shù)據(jù)安全保護。,本章分為六小節(jié)： 31 網(wǎng)絡(luò)機房及環(huán)境安全 32 自然與人為災(zāi)害的防護 33 靜電和電磁輻射的防護 34 存儲介質(zhì)的保護 35 軟件和數(shù)據(jù)文件的保護 36 網(wǎng)絡(luò)系統(tǒng)安全的日常管理,3.1 網(wǎng)絡(luò)機房及環(huán)境安全,3.1.1. 機房的安全等級 機房的安全按計算機系統(tǒng)要求可分為三級：A級、B級和C級。 A級要求具有最高的安全性和可靠性 C級則可確保系統(tǒng)一般運行時的最低安全性和可靠性,3.1.2. 機房的安全保護 機房環(huán)境及場地安全 良好的自然環(huán)境：周圍無大工廠、震動源和易燃易爆品倉庫等，以免有強大的電磁干擾、噪聲、震動及污染等 機房周圍有安全保障：多層屏障、圍墻、柵欄和安全入口等，防止非法暴力入侵。,安裝監(jiān)視和報警裝置：在機房內(nèi)通風(fēng)孔、隱蔽地方安裝監(jiān)視和報警裝置，用來監(jiān)視和檢測入侵者，預(yù)報意外災(zāi)害等； 機房裝飾：防靜電活動地板，防塵和非易燃材料墻面，封閉門窗或雙層密封玻璃等；,機房的出入管理 出入驗證：通過特殊標(biāo)志、口令、指紋、通行證等對進入人員進行識別和驗證； 出入管理：完善的安全出入管理制度，關(guān)鍵通道加鎖和設(shè)置警衛(wèi)，防止非法用戶進入。,機房內(nèi)部管理與維護 機房的空氣要經(jīng)過凈化處理，要經(jīng)常排除廢氣，換入新風(fēng)； 工作人員要經(jīng)常保護機房清潔衛(wèi)生； 工作人員進入機房要穿工作服，配戴標(biāo)志或標(biāo)識牌； 機房要制定一整套可行的管理制度和操作人員守則，并嚴(yán)格監(jiān)督執(zhí)行。,3.1.3. 機房溫度、濕度和潔凈度 溫度的影響 溫度過高：集成電路器件性能不穩(wěn)定，存儲信息的磁介質(zhì)損壞，信息丟失 溫度過低：設(shè)備表面容易結(jié)露，潮濕現(xiàn)象導(dǎo)致設(shè)備絕緣不好，機器銹蝕,濕度的影響 濕度過高：使電路和元器件的絕緣性能變壞，機器金屬生銹，影響磁頭的高速運轉(zhuǎn)，降低紙介質(zhì)強度 濕度過低：易于產(chǎn)生靜電 一般情況下，溫度要求在222度，變化率為2度/小時；相對濕度為4060%，變化率為25%/小時,潔凈度 灰塵會造成機器接插件的接觸不良、發(fā)熱元器件的散熱效率降低、電子元件的絕緣性能下降等；增加機械磨損，尤其對驅(qū)動器和盤片；使磁盤數(shù)據(jù)的讀寫出現(xiàn)錯誤，而且可能劃傷盤片，甚至導(dǎo)致磁頭損壞。因此機房必須有防塵、除塵措施，保持機房內(nèi)的清潔衛(wèi)生。一般機房的潔凈度要求灰塵顆粒直徑小于0.5m，平均每升空氣含塵少于1萬粒。,3.1.4機房接地系統(tǒng) 為保證設(shè)備可靠運行、防止干擾、保護設(shè)備及人身安全，機房必須提供良好的接地系統(tǒng)。包括直流地、交流地、安全保護地和防雷保護地。 接地是以接地電流易于流動為目的，接地電阻越小，電流越易于流動。 直流地、交流地、安全保護地的接地電阻一般都不大于4,直流地：邏輯地，零電位參考點。每個設(shè)備都有直流地。把多個直流地焊在一起或一個銅條上，埋在建筑物附近地下； 交流地：機房中交流電源的中性線作為工作地處理。把穩(wěn)壓電源、空調(diào)等使用交流供電的設(shè)備中性點用絕緣導(dǎo)線連到配電柜的中線上；,安全保護地：將電力設(shè)備的金屬外殼接地，防止由于線路絕緣損壞可能使機器外殼帶有危險的相電壓。 靜電地：消除計算機系統(tǒng)運行過程中產(chǎn)生的靜電電荷采取的接地； 屏蔽地：在設(shè)備屏蔽體和大地之間由低阻導(dǎo)線連接，為高頻干擾信號提供通路。,3.1.5機房的電源保護 電源是計算機網(wǎng)絡(luò)系統(tǒng)的命脈，電源系統(tǒng)電壓的波動、浪涌電流或突然斷電等意外事件的發(fā)生不僅可能使系統(tǒng)不能正常工作或存儲信息的丟失、存儲設(shè)備損壞等。,在國標(biāo)GB2887-2000和GB9361-88中對機房的安全供電做了明確要求。國標(biāo)GB2887-2000將供電方式分三類： 一類供電：需建立不間斷供電系統(tǒng)； 二類供電：需要建立帶備用的供電系統(tǒng)； 三類供電：按一般用戶供電要求考慮。,電源系統(tǒng)安全不僅包括外部供電線路的安全，更重要的室內(nèi)電源設(shè)備的安全。計算機網(wǎng)絡(luò)機房可采用以下措施保證電源的安全工作： 隔離和自動穩(wěn)壓 穩(wěn)壓穩(wěn)頻器 不間斷電源（UPS）,3.1.6機房的環(huán)境設(shè)備監(jiān)控系統(tǒng) 機房的環(huán)境設(shè)備監(jiān)控系統(tǒng)主要是對機房設(shè)備（如供配電系統(tǒng)、UPS電源、防雷器、空調(diào)系統(tǒng)、消防系統(tǒng)、保安系統(tǒng)等）的運行狀態(tài)、溫度、濕度，供電的電壓、電流、頻率，配電系統(tǒng)的開關(guān)狀態(tài)、測漏系統(tǒng)等進行實時監(jiān)控并記錄歷史數(shù)據(jù)，實現(xiàn)對機房遙測、遙信、遙控、遙調(diào)的管理功能，為機房高效的管理和安全運行提供有力的保證。,3.1.7機房的空調(diào)系統(tǒng) 機房應(yīng)采用專用空調(diào)設(shè)備。最好采用風(fēng)冷式空調(diào)設(shè)備，空調(diào)設(shè)備的室外部分應(yīng)安裝在安全及便于維修的地方?？照{(diào)設(shè)備的管道、消聲器、防火閥接頭、襯墊以及管道和配管用的隔熱材料應(yīng)采用難燃材料或非燃材料。 采用水冷式空調(diào)設(shè)備時，應(yīng)設(shè)置漏水報警裝置，并設(shè)置防水小堤，還應(yīng)注意冷卻塔、泵、水箱等供水設(shè)備的防凍、防火措施。,3.2 自然與人為災(zāi)害的防護,網(wǎng)絡(luò)系統(tǒng)可能受到火災(zāi)水災(zāi)、風(fēng)雹、地震、雷電、電磁等自然與人為災(zāi)害的侵襲，因此對網(wǎng)絡(luò)系統(tǒng)在這方面要有相應(yīng)的防護。,3.1.1機房的防火 火源：頂棚之上、地板之下、開關(guān)等處 火災(zāi)原因：電器設(shè)備或電線起火，空調(diào)電加熱器起火，人為事故起火，建筑物起火等,防火措施： 建筑物防火：對主機房、電源室、終端室、空調(diào)室、介質(zhì)存放室等處采取消防措施；采用難燃或非燃建筑材料進行機房裝飾；機房遠(yuǎn)離易燃、易爆物品儲存地； 配備滅火器材：配置消防器材并置于有明顯標(biāo)志處；,設(shè)置報警系統(tǒng)和緊急出口：報警系統(tǒng)有完整的聲光報警、24小時不間斷監(jiān)視能力；緊急出口在發(fā)生火災(zāi)時便于人員和重要資源的撤出； 絕緣材料：采用絕緣好的電器材料或燃點高的絕緣材料；,加強防火安全管理：對工作人員進行防火安全教育和防火器材使用教育；明確防火安全責(zé)任制；磁帶和紙張等易燃品專門存放等。,3.1.2機房的防水 機房一旦受到水浸，將使電纜和電氣設(shè)備的絕緣性能大大降低，甚至不能工作。因此，機房應(yīng)有相應(yīng)的預(yù)防、隔離和排除措施。,防水措施： 機房的地面和墻壁使用防滲水和防潮材料處理； 對機房屋頂要進行防水處理，或?qū)ι弦粚咏ㄖ锏乃醋⒁獗Ｗo，防止積水滲入機房；,地板下面區(qū)域要有合適的排水設(shè)施； 機房內(nèi)或附近及樓上房間一般不應(yīng)有用水設(shè)備； 地下室機房必須備有水泵或帶有檢驗閥的排水管及水淹報警裝置。,3.1.3機房的電磁干擾防護 電磁場干擾的影響：機房周圍電磁場的干擾會增加電路噪聲，使機器產(chǎn)生錯誤動作，嚴(yán)重時將導(dǎo)致系統(tǒng)不能正常工作 電磁場干擾的來源：計算機系統(tǒng)本身和外部。,系統(tǒng)外部的電磁干擾主要來自無線電廣播天線、雷達(dá)天線、工業(yè)電氣設(shè)備、高壓電力線和變電設(shè)備，以及大自然中的雷擊和閃電等； 計算機本身的各種電子組件和導(dǎo)線通過電流時，會產(chǎn)生不同程度的電磁干擾，這種影響可在機器制做時采用相應(yīng)工藝降低和解決。,防止和減少電磁干擾的措施： 選址遠(yuǎn)離干擾源：如無線電廣播發(fā)射塔、雷達(dá)站、工業(yè)電氣設(shè)備、高壓電力線和變電站等； 采用接地和屏蔽措施：,3.1.4機房的雷電防護 雷電的危害：每年全球因雷擊至少造成100億美元的電子設(shè)備損失。雷電不僅破壞系統(tǒng)設(shè)備，還可使通信中斷、系統(tǒng)癱瘓，其間接損失不可估量。,雷電的防護 根據(jù)電子電氣設(shè)備的不同功能做分類保護；根據(jù)雷電和操作瞬間過壓危害從電源線到數(shù)據(jù)通信線做分層保護；,外部無源保護：主要是避雷針(網(wǎng)、線、帶)和接地裝置(地線、地網(wǎng)； 內(nèi)部防護： 電源部分防護(低壓線的過壓保護，三級保護，加裝避雷器) 信號部分防護(根據(jù)密級和敏感程度對信號系統(tǒng)采用粗保護和精細(xì)保護) 接地處理(建筑物地、邏輯地、防雷地),雷電侵入的形式 雷電直擊：直接擊中線路和設(shè)備 感應(yīng)雷擊：雷云之間或?qū)Φ胤烹姇r對信號線、電力線或設(shè)備連線產(chǎn)生的電磁感應(yīng)侵入 雷電波侵入：雷電電流在其周圍將出現(xiàn)瞬變電磁場，其瞬變時間極短或感應(yīng)的電壓很高，以至產(chǎn)生電火花，其磁脈沖可超過2.4GS。 球形雷擊：球形雷是一種橙色或紅色火焰的發(fā)光球體，一種特殊的雷電現(xiàn)象。,3.3 機房靜電和電磁輻射的防護 3.3.1機房的靜電防護 靜電是機房發(fā)生最頻繁、最難消除的危害之一。它不僅會使計算機運行出現(xiàn)隨即故障，而且會導(dǎo)致某些元器件(如CMOS /MOS /雙極性電路等)被擊穿和損壞，還會影響操作和維護人員的的身心健康。,靜電故障特點 靜電故障具有與季節(jié)有關(guān)；偶發(fā)性強，多為隨即故障；與地板、家具和工作服有關(guān)等特點； 靜電對信號線和電源線產(chǎn)生感應(yīng)噪聲，產(chǎn)生高壓，引起機殼地、安全地電位變化，靜電放電時產(chǎn)生輻射噪聲等。,靜電影響 主要體現(xiàn)在半導(dǎo)體器件上。半導(dǎo)體對靜電的反應(yīng)很靈敏，一是可能造成元器件損壞，二是可引起計算機誤操作或運算錯誤；,靜電對計算機外設(shè)也有明顯的影響，如陰極射線顯示器在受到靜電影響時將使圖象紊亂，模糊不清；還可造成Modem、網(wǎng)卡、Fax卡等工作失常，打印機走紙不順等。,靜電的防護 鋪設(shè)防靜電地板 穿戴防靜電衣服和鞋帽 拆裝和檢修機器時戴防靜電手環(huán) 保持機房內(nèi)相應(yīng)的溫度和濕度,3.3.2 電磁輻射的防護 (1) 電磁輻射的形成與危害 電子設(shè)備在工作時能通過地線、電源線、信號線等將所處理的信息以電磁波或諧波形式放射出去，形成電磁輻射。這些輻射信號若被攻擊者接收，可通過提取處理等過程恢復(fù)原信息，造成信息泄露。,(2) 電磁輻射的保護措施 設(shè)備保護：使用低輻射力的設(shè)備 建筑保護：建筑或裝飾時采用屏蔽措施 區(qū)域保護：機房關(guān)鍵部位在輻射保護區(qū)內(nèi) 線路保護：數(shù)據(jù)加密和線路屏蔽,TEMPEST(電磁輻射防護和抑制技術(shù) )： 抑制和屏蔽電磁輻射：設(shè)備加金屬屏蔽，改善電路布局，設(shè)備接地，使用屏蔽插件； 干擾性防護：系統(tǒng)工作時施放偽噪聲，掩蓋真正的系統(tǒng)工作頻率和信息特性。,3.4 存儲介質(zhì)的保護,存儲介質(zhì)通常指磁盤、磁帶、光盤。存儲介質(zhì)或其存儲信息的丟失，都將對網(wǎng)絡(luò)系統(tǒng)造成不同程度的損失。因此要保護存儲介質(zhì)及其存儲信息的安全。,1. 存儲介質(zhì)的保護 建立專門的存儲介質(zhì)庫(柜)并進行如下管理： 限制少數(shù)人接觸存儲介質(zhì)庫(柜) 存儲介質(zhì)庫(柜)內(nèi)帶盤的目錄清單要標(biāo)明相關(guān)參數(shù)，并定期檢查 舊存儲介質(zhì)銷毀前進行消磁和清除數(shù)據(jù) 存儲介質(zhì)庫(柜)房要保持合適的溫、濕度,2. 存儲介質(zhì)信息的保護 為存儲介質(zhì)的信息分級： 對重要信息要備份并存放于防火、防水、防電磁場的保護設(shè)備中 對存儲介質(zhì)信息的復(fù)制和備份要有嚴(yán)格的權(quán)限控制,3.5 軟件和數(shù)據(jù)文件保護,危害 非法復(fù)制、非授權(quán)侵入和修改是對軟件和數(shù)據(jù)文件的主要危害，這些危害在工商業(yè)、金融及軍政部門的網(wǎng)絡(luò)系統(tǒng)中的危害不可估量。,2. 保護策略 目前主要使用市場策略、法律策略和技術(shù)策略這三種策略抵抗非法復(fù)制 市場策略：以優(yōu)惠價格和后續(xù)的技術(shù)支持使得用戶愿意購買； 法律策略：軟件保護相應(yīng)法規(guī)的約束和威懾使人們?nèi)ベ徺I軟件； 技術(shù)策略：如抗軟件分析法、唯一簽名法和軟件加密法,抗軟件分析法可使攻擊者不能動態(tài)跟蹤與分析軟件程序； 唯一簽名法可保證軟件不被非法拷貝； 軟件加密后使得即使是拷貝了該軟件也無法讀懂，也就無法分析和使用它。,3.6 網(wǎng)絡(luò)安全的日常管理,對于網(wǎng)絡(luò)系統(tǒng)的安全管理和維護，不僅需要有配套的安全防御措施，還需要規(guī)范的管理制度和流程，更需要高素質(zhì)的安全管理和操作人員。 一般網(wǎng)絡(luò)管理人員所面對的網(wǎng)絡(luò)管理環(huán)境大都已經(jīng)采取了某些安全措施，構(gòu)成了一定的防御體系。如：,1. 口令（密碼）管理 口令問題容易被人忽視。一般人們常犯的口令錯誤有：多個賬號使用同一個密碼；密碼全部采用數(shù)字組合或字母組合；密碼從不更新；密碼被記錄于易見的媒體上；遠(yuǎn)程登錄系統(tǒng)時，賬號和密碼在網(wǎng)絡(luò)中以明文形式傳輸?shù)取?作為網(wǎng)絡(luò)安全管理人員，在口令管理上應(yīng)該養(yǎng)成好習(xí)慣，比如：選取數(shù)字、字母、符號相間的口令；口令不隨便書寫在易見的媒體上；適時更新口令；及時刪除已撤消的賬號和口令；遠(yuǎn)程登錄時使用加密口令；更嚴(yán)格情況可采用口令鑒別和PKI驗證過程。,2. 病毒防護 機房管理和使用人員均應(yīng)有防護病毒意識。網(wǎng)絡(luò)系統(tǒng)的所有計算機都安裝相關(guān)的防病毒軟件。在日常維護中，最好是每隔兩三天就檢查一次是否需要升級病毒庫，在必要時及時進行升級。,3. 漏洞掃描 網(wǎng)絡(luò)管理員應(yīng)通過漏洞掃描系統(tǒng)對網(wǎng)絡(luò)系統(tǒng)進行掃描，查找網(wǎng)絡(luò)上存在哪些漏洞并及時修補。比如：對IIS打補丁可避免紅色代碼蠕蟲問題；對SQL Server打補丁就可避免SQL蠕蟲問題；及時加強口令的控制，關(guān)閉不必要的服務(wù)，就不會發(fā)生被他人遠(yuǎn)程控制問題；如果在出口進行源路由控制，就不會有DDoS攻擊從本網(wǎng)發(fā)動。,4. 邊界控制 通?？衫寐酚善骶W(wǎng)絡(luò)對邊界訪問進行控制，特別是連接Internet的邊界。邊界訪問控制得比較好，就能有效地減少來自Internet的攻擊風(fēng)險。比如采用源路由器控制方法，過濾非本地的IP報文發(fā)送到Internet上，可避免黑客的IP欺騙，也可控制DDoS攻擊。加強局域網(wǎng)之間的邊界控制，可以減少攻擊威脅的范圍。,5. 實時監(jiān)控 網(wǎng)絡(luò)訪問是動態(tài)的，網(wǎng)絡(luò)管理員要時刻監(jiān)視網(wǎng)絡(luò)的訪問情況，密切注意潛在的攻擊行為，采取必要手段進行及時控制；對已攻擊成功的事件，應(yīng)啟動應(yīng)急響應(yīng)流程，分析網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，考慮應(yīng)如何調(diào)整和加強安全措施等。 利用IDS建立全網(wǎng)的監(jiān)控系統(tǒng)，可以實施對網(wǎng)絡(luò)的實時全面監(jiān)控和對某個或某些安全事件進行特別監(jiān)