計算機硬件與環(huán)境安全.ppt

《計算機硬件與環(huán)境安全.ppt》由會員分享，可在線閱讀，更多相關《計算機硬件與環(huán)境安全.ppt（85頁珍藏版）》請在裝配圖網上搜索。

2019 12 30 信息安全原理與技術 1 第3章計算機硬件與環(huán)境安全 2019 12 30 信息安全原理與技術 2 本章主要內容 對計算機硬件的安全威脅計算機硬件安全技術環(huán)境安全技術 2019 12 30 信息安全原理與技術 3 計算機硬件及其運行環(huán)境是計算機網絡信息系統(tǒng)運行的基礎 它們的安全直接影響著網絡信息的安全 由于自然災害 設備自然損壞和環(huán)境干擾等自然因素以及人為的竊取與破壞等原因 計算機設備和其中信息的安全受到很大的威脅 本章討論計算機設備及其運行環(huán)境以及計算機中的信息面臨的各種安全威脅和防護方法 并介紹利用硬件技術實現信息安全的一些方法 2019 12 30 信息安全原理與技術 4 3 1對計算機硬件的安全威脅 3 1 1計算機硬件安全缺陷3 1 2環(huán)境對計算機的安全威脅 2019 12 30 信息安全原理與技術 5 3 1 1計算機硬件安全缺陷 重點討論PC機的安全PC機的一個重要用途是建立個人辦公環(huán)境 可以放在辦公室的辦公桌上 這樣既提供了方便 也產生了安全方面的問題 與大型計算機相比 大多數PC機無硬件級的保護 他人很容易操縱控制機器 2019 12 30 信息安全原理與技術 6 即使有保護機制也很簡單 或者很容易被繞過 例如 CMOS中的口令機制可以通過把CMOS的供電電池短路 使CMOS電路失去記憶功能 而繞過口令的控制 由于PC機的機箱很容易打開 有的機器甚至連螺絲刀也不需要 做到這一點是很容易 2019 12 30 信息安全原理與技術 7 PC機的硬件是很容易安裝的 當然也是很容易拆卸的 硬盤是很容易被偷盜的 其中的信息自然也就不安全了 存儲在硬盤上的文件幾乎沒有任何保護措施 DOS的文件系統(tǒng)的存儲結構與管理方法幾乎是人所皆知的 對文件附加的安全屬性 如隱藏 只讀 獨占等屬性 很容易被修改 對磁盤文件目錄區(qū)的修改既沒有軟件保護 也沒有硬件保護 掌握磁盤管理工具的人 很容易更改磁盤文件目錄區(qū) 造成整個系統(tǒng)的信息紊亂 2019 12 30 信息安全原理與技術 8 在硬盤或軟盤的磁介質表面的殘留磁信息也是重要的信息泄漏渠道 文件刪除操作僅僅在文件目錄中作了一個標記 并沒有刪除文件本身數據存區(qū) 有經驗的用戶可以很容易恢復被刪除的文件 保存在軟盤上的數據很容易因不小心劃壞 各種硬碰傷或受潮霉變而無法利用 2019 12 30 信息安全原理與技術 9 內存空間之間沒有保護機制 即使簡單的界限寄存器也沒有 也沒有只可供操作系統(tǒng)使用的監(jiān)控程序或特權指令 任何人都可以編制程序訪問內存的任何區(qū)域 甚至連系統(tǒng)工作區(qū) 如系統(tǒng)的中斷向量區(qū) 也可以修改 用戶的數據區(qū)得不到硬件提供的安全保障 2019 12 30 信息安全原理與技術 10 有些軟件中包含用戶身份認證功能 如口令 軟件狗等都很容易被有經驗的程序員繞過或修改認證數據 有的微機處理器芯片雖然提供硬件保護功能 但這些功能還未被操作系統(tǒng)有效利用 2019 12 30 信息安全原理與技術 11 計算機硬件的尺寸越來越小 容易搬移 尤其是便攜機更是如此 這既是優(yōu)點 也是弱點 這樣小的機器并未設計固定裝置 使機器能方便地固定在桌面上 盜竊者能夠很容易地搬走整個機器 其中的各種文件也就談不上安全問題了 2019 12 30 信息安全原理與技術 12 計算機的外部設備是不受操作系統(tǒng)安全控制的 任何人都可以利用系統(tǒng)提供的輸出命令打印文件內容 輸出設備是最容易造成信息泄漏或被竊取的地方 2019 12 30 信息安全原理與技術 13 計算機中的顯示器 中央處理器 CPU 和總線等部件在運行過程中能夠向外部輻射電磁波 電磁波反映了計算機內部信息的變化 經實際儀器測試 在幾百米以外的距離可以接受與復現顯示器上顯示的信息 計算機屏幕上的信息可以在其所有者毫不知曉的情況下泄漏出去 計算機電磁泄漏是一種很嚴重的信息泄漏途徑 2019 12 30 信息安全原理與技術 14 計算機的中央處理器 CPU 中常常還包括許多未公布的指令代碼 例如DOS操作系統(tǒng)中就利用了許多未公開的80X86系列的指令 這些指令常常被廠家用于系統(tǒng)的內部診斷或可能被作為探視系統(tǒng)內部的信息的 陷門 有的甚至可能被作為破壞整個系統(tǒng)運轉的 炸彈 2019 12 30 信息安全原理與技術 15 計算機硬件故障也會對計算機中的信息造成威脅 硬件故障常常會使正常的信息流中斷 在實時控制系統(tǒng)中 這將造成歷史信息的永久丟失 磁盤存儲器磁介質的磨損或機械故障使磁盤文件遭到損壞 這些情況都會破壞信息的完整性 2019 12 30 信息安全原理與技術 16 3 1 2環(huán)境對計算機的安全威脅 1 溫度2 濕度3 灰塵4 電磁干擾 2019 12 30 信息安全原理與技術 17 計算機的電子元器件 芯片都密封在機箱中 有的芯片工作時表面溫度相當高 例如586CPU芯片需要帶一個小風扇散熱 電源部件也是一個大的熱源 雖然機箱后面有小型排風扇 但計算機工作時 箱內的溫度仍然相當的高 如果周邊溫度也比較高的話 機箱內的溫度很難降下來 溫度 2019 12 30 信息安全原理與技術 18 一般電子元器件的工作溫度的范圍是0 45 當環(huán)境溫度超過60 時 計算機系統(tǒng)就不能正常工作 溫度每升高10 電子元器件的可靠性就會降低25 元器件可靠性降低無疑將影響計算機的正確運算 影響結果的正確性 2019 12 30 信息安全原理與技術 19 溫度對磁介質的導磁率影響很大 溫度過高或過低都會使導磁率降低 影響磁頭讀寫的正確性 溫度還會使磁帶 磁盤表面熱脹冷縮發(fā)生變化 造成數據的讀寫錯誤 影響信息的正確性 溫度過高會使插頭 插座 計算機主版 各種信號線腐蝕速度加快 容易造成接觸不良 溫度過高也會使顯示器各線圈骨架尺寸發(fā)生變化 使圖象質量下降 溫度過低會使絕緣材料變硬 變脆 使漏電流增大 也會使磁記錄媒體性能變差 也會影響顯示器的正常工作 計算機工作的環(huán)境溫度最好是可調節(jié)的 一般控制在21 3 2019 12 30 信息安全原理與技術 20 環(huán)境的相對濕度若低于40 時 環(huán)境相對是干燥的 若相對濕度若高于60 時 環(huán)境相對是潮濕的 濕度過高過低對計算機的可靠性與安全性都有影響 當相對濕度超過65 以后 就會在元器件的表面附著一層很薄的水膜 會造成元器件各引腳之間的漏電 甚至可能出現電弧現象 當水膜中含有雜質時 它們會附著在元器件引腳 導線 接頭表面 會造成這些表面發(fā)霉和觸點腐蝕 磁性介質是多孔材料 在相對濕度高的情況下 它會吸收空氣中的水分變潮 使其導磁率發(fā)生明顯變化 造成磁介質上的信息讀寫錯誤 濕度 2019 12 30 信息安全原理與技術 21 在高濕度的情況下 打印紙會吸潮變厚 也會影響正常的打印操作 當相對濕度低于20 時 空氣相當干燥 這種情況下極易產生很高的靜電 實驗測量可達10kV 如果這時有人去碰MOS器件 會造成這些器件的擊穿或產生誤動作 過分干燥的空氣也會破壞磁介質上的信息 會使紙張變脆 印刷電路板變形 如果對計算機運行環(huán)境沒有任何控制 溫度與濕度高低交替大幅度變化 會加速對計算機中的各種器件與材料腐蝕與破壞作用 嚴重影響計算機的正常運行與壽命 計算機正常的工作濕度應該是40 與60 之間 2019 12 30 信息安全原理與技術 22 空氣中的灰塵對計算機中的精密機械裝置 如磁盤 光盤驅動器影響很大 磁盤機與光盤機的讀頭與盤片之間的距離很小 不到一個微米 在高速旋轉過程各種灰塵 其中包括纖維性灰塵會附著在盤片表面 當讀頭靠近盤片表面讀信號的時候 就可能擦傷盤片表面或者磨損讀頭 造成數據讀寫錯誤或數據丟失 放在無防塵措施空氣中平滑的光盤表面經常會帶有許多看不見的灰塵 即使用干凈的布梢微用點力去擦抹 也會在盤面上形成一道道劃痕 灰塵 2019 12 30 信息安全原理與技術 23 如果灰塵中還包括導電塵埃和腐蝕性塵埃的話 它們會附著在元器件與電子線路的表面 此時機房若空氣濕度較大的話 會造成短路或腐蝕裸露的金屬表面 灰塵在器件表面的堆積 會降低器件的散熱能力 因此 對進入機房的新鮮空氣應進行一次或兩次過濾 要采取嚴格的機房衛(wèi)生制度 降低機房灰塵含量 2019 12 30 信息安全原理與技術 24 電氣與電磁干擾是指電網電壓和計算機內外的電磁場引起的干擾 常見的電氣干擾是指電壓的瞬間較大幅度的變化 突發(fā)的尖脈沖或電壓不足甚至掉電 例如 計算機房內使用較大功率的吸塵器 電鉆 機房外使用電鋸 電焊機等大用電量設備 這些情況都容易在附近的計算機電源中產生電氣噪音信號干擾 電磁干擾 2019 12 30 信息安全原理與技術 25 這些干擾一般容易破壞信息的完整性 有時還會損壞計算機設備 防止電氣干擾的辦法是采用穩(wěn)壓電源或不間斷電源 為了防止突發(fā)的電源尖脈沖 對電源還要增加濾波和隔離措施 2019 12 30 信息安全原理與技術 26 對計算機正常運轉影響較大的電磁干擾是靜電干擾與周邊環(huán)境的強電磁場干擾 由于計算機中的芯片大部分都是MOS器件 靜電電壓過高會破壞這些MOS器件 據統(tǒng)計50 以上的計算機設備的損害直接或間接與靜電有關 2019 12 30 信息安全原理與技術 27 防靜電的主要方法有 機房應該按防靜電要求裝修 如使用防靜電地板 整個機房應該有一個獨立的和良好的接地系統(tǒng) 機房中各種電氣和用電設備都接在統(tǒng)一的地線上 周邊環(huán)境的強電磁場干擾主要指可能的無線電發(fā)射裝置 微波線路 高壓線路 電氣化鐵路 大型電機 高頻設備等產生的強電磁干擾 這些強電磁干擾輕則會使計算機工作不穩(wěn)定 重則對計算機造成損壞 2019 12 30 信息安全原理與技術 28 3 2計算機硬件安全技術 計算機硬件安全技術是指用硬件的手段保障計算機系統(tǒng)或網絡系統(tǒng)中的信息安全的各種技術 其中也包括為保障計算機安全可靠運行對機房環(huán)境的要求 本小節(jié)將介紹用硬件技術實現的訪問控制技術和防拷貝技術和防輻射技術 2019 12 30 信息安全原理與技術 29 3 2 1硬件訪問控制技術 訪問控制的對象主要是計算機系統(tǒng)的軟件與數據資源 這兩種資源平時一般都是以文件的形式存放在硬盤或軟盤上 所謂訪問控制技術主要是保護這些文件不被非法訪問的技術 PC機中文件是以整體為單位被保護的 要么可以訪問整個文件 要么無權訪問 2019 12 30 信息安全原理與技術 30 對PC機文件的保護通常有以下四種形式 計算機資源的訪問控制功能 由個人用戶對文件進行加密 防止對文件的非法拷貝 對整體環(huán)境進行保護 表面對文件不保護 實際上在某種范圍內保護 2019 12 30 信息安全原理與技術 31 可能是因為過于考慮PC機的個人特性和使用的方便性的緣故 PC機操作系統(tǒng)沒有提供基本的文件訪問控制機制 在DOS系統(tǒng)和Windows系統(tǒng)中的文件的隱藏 只讀 只執(zhí)行等屬性以及Windows中的文件共享與非共享等機制是一種很弱的文件訪問控制機制 2019 12 30 信息安全原理與技術 32 1 令牌或智能卡 這里講的令牌是一種能標識其持有人身份的特殊標志 例如 可以利用圖章認證一個人的身份 公民身份證也是一種認證令牌 為了起到認證作用 令牌必須與持有人之間是一一對應的 要求令牌是唯一的和不能偽造的 身份證應該是不能偽造的 否則身份證就無意義 2019 12 30 信息安全原理與技術 33 各種磁卡 如郵政儲蓄卡 電話磁卡等是用網絡通信令牌的一種形式 這種磁卡后面記錄了一些磁記錄信息 通常磁卡讀出器讀出磁卡信息后 還要求用戶輸入通行字以便確認持卡人的身份 因此 如果磁卡丟失 拾到者也無法通過磁卡進入系統(tǒng) 2019 12 30 信息安全原理與技術 34 還有一種更為復雜的信用卡形式 智能卡或芯片卡 這種卡中嵌入了一個微處理器 智能卡不僅可以保存用于辨別持有者的身份信息 還可以保存諸如存款余額的信息 這種卡不僅有存儲能力 而且還有計算能力 例如 它可以計算詢問 應答系統(tǒng)的回答函數或者實現鏈路級的加密處理 2019 12 30 信息安全原理與技術 35 智能卡的使用過程大致如下 一個用戶在網絡終端上輸入自己的名字 當系統(tǒng)提示他輸入通行字時 把智能卡插入槽中并輸入其通行字 通行字不以明文形式回顯 也不以明文方式傳輸 這是因為智能卡對它加密的結果 在接收端對通行字進行解密 身份得到確認后 該用戶便可以進行他希望的網上操作了 2019 12 30 信息安全原理與技術 36 2 生物特征認證方法 一般而言 生物統(tǒng)計學設備是用于保證某種安全的有效和簡單的設備 它可以測量與識別某個人的具體的生理特征 如指紋 聲音圖象 筆跡 打字手法或視網膜圖象等特征 生物統(tǒng)計學設備通常用于極重要的安全場合 用以嚴格而仔細地識別人員身份 2019 12 30 信息安全原理與技術 37 指紋識別技術是一種已經被接受的可以唯一識別一個人的方法 每個人都有唯一的指紋圖象 把一個人的指紋圖象保存在計算機中 當這個人想進入系統(tǒng)時 便將其指紋與計算機中的指紋匹配比較 有些復雜的系統(tǒng)甚至可以指出指紋是否是一個活著的人的指紋 指紋識別 2019 12 30 信息安全原理與技術 38 手印識別與指紋識別有所不同 手印識別器需要讀取整個手而不僅是手指的特征圖象 一個人把他的手按在手印讀入設備上 同時該手印與計算機中的手印圖象進行比較 手印識別 2019 12 30 信息安全原理與技術 39 每個人的聲音都有細微的差別 沒有兩個人是相同的 在每個人的說話中都有唯一的音質和聲音圖象 甚至兩個說話聲音相似的人也是這樣 識別聲音圖象的能力使人們可以基于某個短語的發(fā)音對人進行識別 聲音識別技術已經商用化了 但當一個人的聲音發(fā)生很大變化的時候 如患感冒 聲音識別器可能會發(fā)生錯誤 聲音 2019 12 30 信息安全原理與技術 40 筆跡或簽名 分析某人的筆跡或簽名不僅包括字母和符號的組合方式 還包括在書寫簽名或單詞的某些部分用力的大小 或筆接觸紙的時間長短和筆移動中的停頓等細微的差別 分析是通過一支生物統(tǒng)計學筆和板設備進行的 可將書寫特征與存儲的信息相比較 2019 12 30 信息安全原理與技術 41 文件打印出來后看起來是一樣的 但它們被打印出來的方法是不一樣的 這是擊鍵分析系統(tǒng)的基礎 該系統(tǒng)分析一個人的打字速度和節(jié)奏等細節(jié)特征 擊鍵分析 2019 12 30 信息安全原理與技術 42 視網膜識別技術 視網膜識別技術是一種可用技術 但還沒有象其他技術那樣得到廣泛的利用 視網膜掃描器用紅外線檢查人眼的血管圖象 并和計算機中存儲的圖象信息比較 由于個人的視網膜是互不相同的 利用這種方法可以區(qū)別每一個人 由于害怕掃描設備出故障傷害人的眼睛 所以這種技術使用不廣泛 2019 12 30 信息安全原理與技術 43 3 結合軟件技術的硬件訪問控制系統(tǒng) 一些公司已經開發(fā)出各種硬件與軟件結合的訪問控制系統(tǒng) 具備的主要功能有 用戶身份認證功能 文件存取權限管理功能 審計功能 系統(tǒng)自動對文件進行加密 時間檢查 自動暫停 機器識別 2019 12 30 信息安全原理與技術 44 3 2 2防復制技術 由于PC機結構的統(tǒng)一性使得PC機上的各種軟件不經移植便可以在各個PC機上運行 而且PC機操作系統(tǒng)提供的復制功能以及各種使用便捷的復制軟件使得軟件的復制變得非常容易 這既給用戶帶來了方便 也給文件的保護帶來了困難 到目前為止已經研究出許多PC機文件的保護技術 這些保護技術可以分為軟件保護技術和硬件保護技術 2019 12 30 信息安全原理與技術 45 軟件防復制技術硬件防復制技術 2019 12 30 信息安全原理與技術 46 軟件狗 的不足 當一臺計算機上運行多個需要保護的軟件時 就需要多個 軟件狗 運行時需要更換不同的 軟件狗 這給用戶增加了不方便 這種保護方法也容易被破解 方法是跟蹤程序的執(zhí)行 找出和 軟件狗 通訊的模塊 然后設法將其跳過 使程序的執(zhí)行不需要和 軟件狗 通訊 為了提高不可破解性 最好對存放程序的軟盤增加反跟蹤措施 例如一旦發(fā)現被跟蹤 就停機或使系統(tǒng)癱瘓 2019 12 30 信息安全原理與技術 47 與機器硬件配套保護法 在計算機內部芯片 如ROM 里存放該機器唯一的標志信息 軟件和具體的機器是配套的 如果軟件檢測到不是在特定機器上運行便拒絕執(zhí)行 為了防止跟蹤破解 還可以在計算機中安裝一個專門的加密 解密處理芯片 密鑰也封裝于芯片中 2019 12 30 信息安全原理與技術 48 軟件以加密形式分發(fā) 加密的密鑰要和用戶機器獨有的密鑰相同 這樣可以保證一個機器上的軟件在另一臺機器上不能運行 這種方法的缺點是軟件每次運行前都要解密 會降低機器運行速度 2019 12 30 信息安全原理與技術 49 兩個實際保護系統(tǒng)的例子 加拿大Winnipeg的I S 國際軟件公司生產的Iri lock保護系統(tǒng)在一張軟盤上形成一種不可復制的簽名 用專門技術把要保護的程序隱蔽存放在該軟盤上 當程序運行時 首先驗證軟盤上是否帶有簽名 若無則不開始運行程序 這種方法只適用保護可執(zhí)行程序 不適合保護各種正文文件和數據文件 由于原始軟盤是不可復制的 它損壞后 也使軟件無法運行 2019 12 30 信息安全原理與技術 50 加尼福利亞的彩虹技術公司生產了一種軟件監(jiān)視器 它用一個 軟件狗 打開匹配的軟件模塊 這個 軟件狗 也是插在計算機并行口上的 程序在執(zhí)行時 周期性的向 軟件狗 發(fā)出詢問 而 軟件狗 根據不同的詢問給出不同的回答 使破解者無法預測下一個回答是什么 2019 12 30 信息安全原理與技術 51 3 2 3可信計算機與安全芯片 1 可信計算的概念 可信計算 的概念開始在世界范圍內被提出是在1999年 主要是通過增強現有的PC終端體系結構的安全性來保證整個系統(tǒng)的安全 2019 12 30 信息安全原理與技術 52 2 基于安全芯片的可信計算機功能 主要安全功能包括 平臺身份識別平臺完整性校驗芯片級的安全 2019 12 30 信息安全原理與技術 53 3 可信計算機的應用前景 據預測 2006年全球將有一半以上的PC機都將植入安全芯片 未來3 5年內 全球85 的計算機都將是采用可信計算技術的 安全PC 這昭示著這樣一個事實 內嵌TPM安全芯片的PC將成為新一代安全終端的主流 2019 12 30 信息安全原理與技術 54 3 2 4硬件防電磁泄露 計算機是一種非常復雜的機電一體化設備 工作在高速脈沖狀態(tài)的計算機就像是一臺很好的小型無線電發(fā)射機和接收機 不但產生電磁輻射泄漏保密信息 而且還可以引入電磁干擾影響系統(tǒng)正常工作 尤其是在微電子技術和衛(wèi)星通信技術飛速發(fā)展的今天 計算機電磁輻射泄密的危險越來越大 2019 12 30 信息安全原理與技術 55 國際上把防信息輻射泄漏技術簡稱為TEMPEST TransientElectroMagneticPulseEmanationsStandardTechnology 技術 這種技術主要研究與解決計算機和外部設備工作時因電磁輻射和傳導產生的信息外漏問題 1 TEMPEST概念 2019 12 30 信息安全原理與技術 56 計算機的TEMPEST技術是美國國家安全局 NSA 和國防部 DoD 共同組織領導研究與開發(fā)的項目 該項目研究如何減少或防止計算機及其他電子信息設備向外輻射造成信息泄漏的各種技術與措施 TEMPEST研究的范圍包括理論 工程和管理等方面 涉及電子 電磁 測量 信號處理 材料和化學等多學科的理論與技術 2019 12 30 信息安全原理與技術 57 主要研究內容有以下幾方面 電子信息設備是如何輻射泄漏的 研究電子設備輻射的途徑與方式 研究設備的電氣特性和物理結構對輻射的影響 電子信息設備輻射泄漏的如何防護 研究設備整體結構和各功能模塊的布局 系統(tǒng)的接地 元器件的布局與連線以及各種屏蔽材料 屏蔽方法與結構的效果等問題 2019 12 30 信息安全原理與技術 58 如何從輻射信息中提取有用信息 研究輻射信號的接受與還原技術 由于輻射信號弱小 頻帶寬等特點 需要研究低噪音 寬頻帶 高增益的接收與解調技術 進行信號分析和相關分析 信息輻射的測試技術與測試標準 研究測試內容 測試方法 測試要求 測試儀器以及測試結果的分析方法并制定相應的測試標準 2019 12 30 信息安全原理與技術 59 TEMPEST技術減少計算機信息向外泄漏的技術可以分為電子隱藏技術和物理抑制技術兩大類 其中電子隱藏技術是利用干擾方法擾亂計算機輻射出來的信息 利用跳頻技術變化計算機的輻射頻率 物理抑制技術是采用包括結構 工藝 材料和屏蔽等物理措施防止計算機有用信息的泄漏 2019 12 30 信息安全原理與技術 60 2 TEMPEST威脅 信息設備的電磁泄漏威脅計算機系統(tǒng)的電磁泄漏其它信息設備的電磁泄漏HIJACKSOFTTEMPEST 2019 12 30 信息安全原理與技術 61 2 聲光的泄漏威脅光的泄漏威脅 如果計算機顯示器直接面對窗外 它發(fā)出的光可以在直線很遠的距離上接收到 即使沒有直接的通路 接收顯示器通過墻面反射的光線仍然能再現顯示屏幕信息 這種光泄漏和電磁泄漏異曲同工 在目前復雜的電磁環(huán)境下 光信號的接收還原更容易實現 聲音信號也存在泄漏現象 例如通過點陣式打印機擊打打印紙發(fā)出的聲音能夠復原出打印的字符 2019 12 30 信息安全原理與技術 62 3 計算機設備的一些防泄漏措施 對計算機與外部設備究竟要采取哪些防泄漏措施 要根據計算機中的信息的重要程度而定 對于企業(yè)而言 需要考慮這些信息的經濟效益 對于軍隊則需要考慮這些信息的保密級別 在選擇保密措施時 不應該花費100萬元去保護價值10萬元的信息 2019 12 30 信息安全原理與技術 63 1 整體屏蔽 對于需要高度保密的信息 如軍 政首腦機關的信息中心和駐外使館等地方 應該將信息中心的機房整個屏蔽起來 屏蔽的方法是采用金屬網把整個房間屏蔽起來 為了保證良好的屏蔽效果 金屬網接地要良好 要經過嚴格的測試驗收 2019 12 30 信息安全原理與技術 64 整個房間屏蔽的費用比較高 如果用戶承擔不起 可以采用設備屏蔽的方法 把需要屏蔽的計算機和外部設備放在體積較小的屏蔽箱內 該屏蔽箱要很好的接地 對于從屏蔽箱內引出的導線也要套上金屬屏蔽網 2019 12 30 信息安全原理與技術 65 2 距離防護 讓計算機房遠離可能被偵測的地點 這是因為計算機輻射的距離有一定限制 對于一個單位而言 計算機房盡量建在單位轄區(qū)的中央地區(qū) 若一個單位轄區(qū)的半徑少于300米 距離防護的效果就有限 2019 12 30 信息安全原理與技術 66 3 使用干擾器 在計算機旁邊放置一個輻射干擾器 不斷的向外輻射干擾電磁波 該電磁波可以擾亂計算機發(fā)出的信息電磁波 使遠處偵測設備無法還原計算機信號 挑選干擾器時要注意干擾器的帶寬是否與計算機的輻射帶寬相近 否則起不到干擾作用 這需要通過測試驗證 2019 12 30 信息安全原理與技術 67 4 利用鐵氧體磁環(huán) 在屏蔽的電纜線的兩端套上鐵氧體磁環(huán)可以進一步減少電纜的輻射強度 計算機的鍵盤 磁盤 顯示器等輸入輸出設備的輻射泄漏問題比計算機主機的泄漏更嚴重 需要采用多種防護技術 2019 12 30 信息安全原理與技術 68 TEMPEST標準 為了評估計算機設備的輻射泄漏的嚴重程度程度 評價TEMPEST設備的性能好壞 制定相應的評估標準是必要的 TEMPEST標準中一般包含規(guī)定計算機設備電磁泄漏的極限和規(guī)定對輻射泄漏的方法與設備 2019 12 30 信息安全原理與技術 69 3 3環(huán)境安全技術 3 3 1機房安全等級3 3 2機房環(huán)境基本要求3 3 3機房場地環(huán)境 2019 12 30 信息安全原理與技術 70 3 3 1機房安全等級 為了確保計算機硬件和計算機中信息的安全 機房安全是重要的因素 本節(jié)將討論有關機房的安全問題 先討論機房的安全等級 然后再討論機房對場地環(huán)境的要求 2019 12 30 信息安全原理與技術 71 計算機系統(tǒng)中的各種數據依據其重要性和保密性 可以劃分為不同等級 需要提供不同級別的保護 對于高等級數據采取低水平的保護會造成不應有的損失 對不重要的信息提供多余的保護 又會造成不應有的浪費 因此 應對計算機機房規(guī)定不同的安全等級 2019 12 30 信息安全原理與技術 72 計算機機房的安全等級可以分為三級 A級要求具有最高安全性和可靠性的機房 C級則是為確保系統(tǒng)作一般運行而要求的最低限度的安全性 可靠性的機房 介于A級和C級之間的則是B級 2019 12 30 信息安全原理與技術 73 應該根據所處理的信息及運用場合的重要程度來選擇適合本系統(tǒng)特點的相應安全等級的機房 而不應該要求一個機房內的所有設施都達到某一安全級別的所有要求 可以按不同級別的要求建設機房 計算機房安全等級的劃分如表所示 2019 12 30 信息安全原理與技術 74 安全項目 指標 機房安全級別 表3 2機房的安全等級 2019 12 30 信息安全原理與技術 75 3 3 2機房環(huán)境基本要求 計算機系統(tǒng)實體是由電子設備 機電設備和光磁材料組成的復雜的系統(tǒng) 這些設備的可靠性和安全性與環(huán)境條件有著密功的關系 如果環(huán)境條件不能滿足設備對環(huán)境的使用要求 就會降低計算機的可靠性和安全性 輕則造成數據或程序出錯 破壞 重則加速元器件老化 縮短機器壽命 或發(fā)生故障使系統(tǒng)不能正常運行 嚴重時還會危害設備和人員的安全 2019 12 30 信息安全原理與技術 76 實踐表明 有些計算機系統(tǒng)不穩(wěn)定或經常出錯 除了機器本身的原因之外 機房環(huán)境條件是一個重要因素 因此 充分認識機房環(huán)境條件的作用和影響 找出解決問題的辦法并付諸實施是十分重要的 1993年2月17日國家技術監(jiān)督局 中華人民共和國建設部聯(lián)合發(fā)布了 中華人民共和國國家標準 電子計算機機房設計規(guī)范 GB50174 93 該標準于1993年9月1日實施 2019 12 30 信息安全原理與技術 77 3 3 3機房場地環(huán)境 機房外部環(huán)境要求機房場地的選擇應以能否保證計算機長期穩(wěn)定 可靠 安全地工作為主要目標 在外部環(huán)境的選擇上 應考慮環(huán)境安全性 地質可靠性 場地抗電磁干擾性 應避開強振動源和強噪聲源 應避免設在建筑物的高層以及用水設備的下層或隔壁 2019 12 30 信息安全原理與技術 78 同時 應盡量選擇電力 水源充足 環(huán)境清潔 交通和通信方便的地方 對于機要部門信息系統(tǒng)的機房 還應考慮機房中的信息射頻不易被泄漏和竊取 為了防止計算機硬件輻射造成信息泄漏 機房最好建設在單位的中央地區(qū) 2019 12 30 信息安全原理與技術 79 2 機房內部環(huán)境要求 機房應辟為專用和獨立的房間 經常使用的進出口應限于一處 以便于出入管理 機房內應留有必要的空間 其目的是確保災害發(fā)生時人員和設備的撤離和維護 機房應設在建筑物的最內層 而輔助區(qū) 工作區(qū)和辦公用房設在其外圍 如圖6 1 2019 12 30 信息安全原理與技術 80 3 機房面積要求 機房面積的大小與需要安裝的設備有關 另外還要考慮人在其中工作是否舒適 通常有兩種估算方法 一種是按機房內設備總面積M計算 計算公式如下 機房面積 5 7 M這里的設備面積是指設備的最大外形尺寸 要把所有的設備包括在內 如所有的計算機 網絡設備 I O設備 電源設備 資料柜 耗材柜 空調設備等 系數5 7是根據我國現有機房的實際使用面積與設備所占面積之間關系的統(tǒng)計數據確定的 實際應用時肯定是要受到本單位具體情況的限制 2019 12 30 信息安全原理與技術 81 第二種方法是根據機房內設備的總數進行機房面積的估算 設設備的總臺數為K 則估算公式為 機房面積 4 5 5 5 K m2 在這種計算方法中 估算的準確與否和各種設備的尺寸是否大致相同有密切關系 一般的參考標準是按臺式計算機的尺寸為一臺設備進行估算 如果一臺設備占地面積太大 最好把它按兩臺或多臺臺式計算機去計算 這樣可能更會準確 2019 12 30 信息安全原理與技術 82 系數4 5 5 5也是根據我國具體情況的統(tǒng)計參數 按照國家標準 計算機中心 站 場地技術要求 工作間 輔助間與機房所占面積應有合適的比例 其他各類用房依據人員和設備的多少而定 通常 辦公室 用戶工作室 終端室按每人3 5 4 5m2進行計算 在此基礎上 再考慮15 30 的備用面積 以便適應今后發(fā)展的需要 2019 12 30 信息安全原理與技術 83 小結 計算機硬件安全是信息系統(tǒng)安全的基礎 硬件安全手段的優(yōu)點是不易受到被修改的攻擊威脅 除了注意計算機硬件本身的安全外 輻射泄漏也是硬件系統(tǒng)的重要安全問題 硬件的安全依賴機房環(huán)境的標準符合要求 安全的機房有利于保護計算機系統(tǒng)的安全運行 2019 12 30 信息安全原理與技術 84 思考與練習 3 1計算機硬件有哪些有礙信息安全方面的缺陷 書中列舉了一些 你能否再列舉一些 3 2環(huán)境可能對計算機安全造成哪些威脅 如何防護 3 3由硬件支持的訪問控制和認證技術有哪些 目前有哪些新技術 3 4硬件防復制有哪些方法 除此以外 你還知道哪些 并說明它們的局限性 3 5計算機哪些部件容易產生輻射 如何防護 2019 12 30 信息安全原理與技術 85 3 6TEMPEST技術主要研究內容是什么 3 7計算機設備防泄漏的主要措施有哪些 它們各自的主要內容是什么 3 8為了保證計算機安全穩(wěn)定地運行 對計算機機房有哪些主要要求 機房的安全等級有哪些 根據什么因素劃分的 3 9安全適用的機房要符合哪些條件