計(jì)算機(jī)硬件與環(huán)境安全.ppt

《計(jì)算機(jī)硬件與環(huán)境安全.ppt》由會員分享，可在線閱讀，更多相關(guān)《計(jì)算機(jī)硬件與環(huán)境安全.ppt（85頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

2019 12 30 信息安全原理與技術(shù) 1 第3章計(jì)算機(jī)硬件與環(huán)境安全 2019 12 30 信息安全原理與技術(shù) 2 本章主要內(nèi)容 對計(jì)算機(jī)硬件的安全威脅計(jì)算機(jī)硬件安全技術(shù)環(huán)境安全技術(shù) 2019 12 30 信息安全原理與技術(shù) 3 計(jì)算機(jī)硬件及其運(yùn)行環(huán)境是計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行的基礎(chǔ) 它們的安全直接影響著網(wǎng)絡(luò)信息的安全 由于自然災(zāi)害 設(shè)備自然損壞和環(huán)境干擾等自然因素以及人為的竊取與破壞等原因 計(jì)算機(jī)設(shè)備和其中信息的安全受到很大的威脅 本章討論計(jì)算機(jī)設(shè)備及其運(yùn)行環(huán)境以及計(jì)算機(jī)中的信息面臨的各種安全威脅和防護(hù)方法 并介紹利用硬件技術(shù)實(shí)現(xiàn)信息安全的一些方法 2019 12 30 信息安全原理與技術(shù) 4 3 1對計(jì)算機(jī)硬件的安全威脅 3 1 1計(jì)算機(jī)硬件安全缺陷3 1 2環(huán)境對計(jì)算機(jī)的安全威脅 2019 12 30 信息安全原理與技術(shù) 5 3 1 1計(jì)算機(jī)硬件安全缺陷 重點(diǎn)討論P(yáng)C機(jī)的安全PC機(jī)的一個重要用途是建立個人辦公環(huán)境 可以放在辦公室的辦公桌上 這樣既提供了方便 也產(chǎn)生了安全方面的問題 與大型計(jì)算機(jī)相比 大多數(shù)PC機(jī)無硬件級的保護(hù) 他人很容易操縱控制機(jī)器 2019 12 30 信息安全原理與技術(shù) 6 即使有保護(hù)機(jī)制也很簡單 或者很容易被繞過 例如 CMOS中的口令機(jī)制可以通過把CMOS的供電電池短路 使CMOS電路失去記憶功能 而繞過口令的控制 由于PC機(jī)的機(jī)箱很容易打開 有的機(jī)器甚至連螺絲刀也不需要 做到這一點(diǎn)是很容易 2019 12 30 信息安全原理與技術(shù) 7 PC機(jī)的硬件是很容易安裝的 當(dāng)然也是很容易拆卸的 硬盤是很容易被偷盜的 其中的信息自然也就不安全了 存儲在硬盤上的文件幾乎沒有任何保護(hù)措施 DOS的文件系統(tǒng)的存儲結(jié)構(gòu)與管理方法幾乎是人所皆知的 對文件附加的安全屬性 如隱藏 只讀 獨(dú)占等屬性 很容易被修改 對磁盤文件目錄區(qū)的修改既沒有軟件保護(hù) 也沒有硬件保護(hù) 掌握磁盤管理工具的人 很容易更改磁盤文件目錄區(qū) 造成整個系統(tǒng)的信息紊亂 2019 12 30 信息安全原理與技術(shù) 8 在硬盤或軟盤的磁介質(zhì)表面的殘留磁信息也是重要的信息泄漏渠道 文件刪除操作僅僅在文件目錄中作了一個標(biāo)記 并沒有刪除文件本身數(shù)據(jù)存區(qū) 有經(jīng)驗(yàn)的用戶可以很容易恢復(fù)被刪除的文件 保存在軟盤上的數(shù)據(jù)很容易因不小心劃壞 各種硬碰傷或受潮霉變而無法利用 2019 12 30 信息安全原理與技術(shù) 9 內(nèi)存空間之間沒有保護(hù)機(jī)制 即使簡單的界限寄存器也沒有 也沒有只可供操作系統(tǒng)使用的監(jiān)控程序或特權(quán)指令 任何人都可以編制程序訪問內(nèi)存的任何區(qū)域 甚至連系統(tǒng)工作區(qū) 如系統(tǒng)的中斷向量區(qū) 也可以修改 用戶的數(shù)據(jù)區(qū)得不到硬件提供的安全保障 2019 12 30 信息安全原理與技術(shù) 10 有些軟件中包含用戶身份認(rèn)證功能 如口令 軟件狗等都很容易被有經(jīng)驗(yàn)的程序員繞過或修改認(rèn)證數(shù)據(jù) 有的微機(jī)處理器芯片雖然提供硬件保護(hù)功能 但這些功能還未被操作系統(tǒng)有效利用 2019 12 30 信息安全原理與技術(shù) 11 計(jì)算機(jī)硬件的尺寸越來越小 容易搬移 尤其是便攜機(jī)更是如此 這既是優(yōu)點(diǎn) 也是弱點(diǎn) 這樣小的機(jī)器并未設(shè)計(jì)固定裝置 使機(jī)器能方便地固定在桌面上 盜竊者能夠很容易地搬走整個機(jī)器 其中的各種文件也就談不上安全問題了 2019 12 30 信息安全原理與技術(shù) 12 計(jì)算機(jī)的外部設(shè)備是不受操作系統(tǒng)安全控制的 任何人都可以利用系統(tǒng)提供的輸出命令打印文件內(nèi)容 輸出設(shè)備是最容易造成信息泄漏或被竊取的地方 2019 12 30 信息安全原理與技術(shù) 13 計(jì)算機(jī)中的顯示器 中央處理器 CPU 和總線等部件在運(yùn)行過程中能夠向外部輻射電磁波 電磁波反映了計(jì)算機(jī)內(nèi)部信息的變化 經(jīng)實(shí)際儀器測試 在幾百米以外的距離可以接受與復(fù)現(xiàn)顯示器上顯示的信息 計(jì)算機(jī)屏幕上的信息可以在其所有者毫不知曉的情況下泄漏出去 計(jì)算機(jī)電磁泄漏是一種很嚴(yán)重的信息泄漏途徑 2019 12 30 信息安全原理與技術(shù) 14 計(jì)算機(jī)的中央處理器 CPU 中常常還包括許多未公布的指令代碼 例如DOS操作系統(tǒng)中就利用了許多未公開的80X86系列的指令 這些指令常常被廠家用于系統(tǒng)的內(nèi)部診斷或可能被作為探視系統(tǒng)內(nèi)部的信息的 陷門 有的甚至可能被作為破壞整個系統(tǒng)運(yùn)轉(zhuǎn)的 炸彈 2019 12 30 信息安全原理與技術(shù) 15 計(jì)算機(jī)硬件故障也會對計(jì)算機(jī)中的信息造成威脅 硬件故障常常會使正常的信息流中斷 在實(shí)時控制系統(tǒng)中 這將造成歷史信息的永久丟失 磁盤存儲器磁介質(zhì)的磨損或機(jī)械故障使磁盤文件遭到損壞 這些情況都會破壞信息的完整性 2019 12 30 信息安全原理與技術(shù) 16 3 1 2環(huán)境對計(jì)算機(jī)的安全威脅 1 溫度2 濕度3 灰塵4 電磁干擾 2019 12 30 信息安全原理與技術(shù) 17 計(jì)算機(jī)的電子元器件 芯片都密封在機(jī)箱中 有的芯片工作時表面溫度相當(dāng)高 例如586CPU芯片需要帶一個小風(fēng)扇散熱 電源部件也是一個大的熱源 雖然機(jī)箱后面有小型排風(fēng)扇 但計(jì)算機(jī)工作時 箱內(nèi)的溫度仍然相當(dāng)?shù)母?如果周邊溫度也比較高的話 機(jī)箱內(nèi)的溫度很難降下來 溫度 2019 12 30 信息安全原理與技術(shù) 18 一般電子元器件的工作溫度的范圍是0 45 當(dāng)環(huán)境溫度超過60 時 計(jì)算機(jī)系統(tǒng)就不能正常工作 溫度每升高10 電子元器件的可靠性就會降低25 元器件可靠性降低無疑將影響計(jì)算機(jī)的正確運(yùn)算 影響結(jié)果的正確性 2019 12 30 信息安全原理與技術(shù) 19 溫度對磁介質(zhì)的導(dǎo)磁率影響很大 溫度過高或過低都會使導(dǎo)磁率降低 影響磁頭讀寫的正確性 溫度還會使磁帶 磁盤表面熱脹冷縮發(fā)生變化 造成數(shù)據(jù)的讀寫錯誤 影響信息的正確性 溫度過高會使插頭 插座 計(jì)算機(jī)主版 各種信號線腐蝕速度加快 容易造成接觸不良 溫度過高也會使顯示器各線圈骨架尺寸發(fā)生變化 使圖象質(zhì)量下降 溫度過低會使絕緣材料變硬 變脆 使漏電流增大 也會使磁記錄媒體性能變差 也會影響顯示器的正常工作 計(jì)算機(jī)工作的環(huán)境溫度最好是可調(diào)節(jié)的 一般控制在21 3 2019 12 30 信息安全原理與技術(shù) 20 環(huán)境的相對濕度若低于40 時 環(huán)境相對是干燥的 若相對濕度若高于60 時 環(huán)境相對是潮濕的 濕度過高過低對計(jì)算機(jī)的可靠性與安全性都有影響 當(dāng)相對濕度超過65 以后 就會在元器件的表面附著一層很薄的水膜 會造成元器件各引腳之間的漏電 甚至可能出現(xiàn)電弧現(xiàn)象 當(dāng)水膜中含有雜質(zhì)時 它們會附著在元器件引腳 導(dǎo)線 接頭表面 會造成這些表面發(fā)霉和觸點(diǎn)腐蝕 磁性介質(zhì)是多孔材料 在相對濕度高的情況下 它會吸收空氣中的水分變潮 使其導(dǎo)磁率發(fā)生明顯變化 造成磁介質(zhì)上的信息讀寫錯誤 濕度 2019 12 30 信息安全原理與技術(shù) 21 在高濕度的情況下 打印紙會吸潮變厚 也會影響正常的打印操作 當(dāng)相對濕度低于20 時 空氣相當(dāng)干燥 這種情況下極易產(chǎn)生很高的靜電 實(shí)驗(yàn)測量可達(dá)10kV 如果這時有人去碰MOS器件 會造成這些器件的擊穿或產(chǎn)生誤動作 過分干燥的空氣也會破壞磁介質(zhì)上的信息 會使紙張變脆 印刷電路板變形 如果對計(jì)算機(jī)運(yùn)行環(huán)境沒有任何控制 溫度與濕度高低交替大幅度變化 會加速對計(jì)算機(jī)中的各種器件與材料腐蝕與破壞作用 嚴(yán)重影響計(jì)算機(jī)的正常運(yùn)行與壽命 計(jì)算機(jī)正常的工作濕度應(yīng)該是40 與60 之間 2019 12 30 信息安全原理與技術(shù) 22 空氣中的灰塵對計(jì)算機(jī)中的精密機(jī)械裝置 如磁盤 光盤驅(qū)動器影響很大 磁盤機(jī)與光盤機(jī)的讀頭與盤片之間的距離很小 不到一個微米 在高速旋轉(zhuǎn)過程各種灰塵 其中包括纖維性灰塵會附著在盤片表面 當(dāng)讀頭靠近盤片表面讀信號的時候 就可能擦傷盤片表面或者磨損讀頭 造成數(shù)據(jù)讀寫錯誤或數(shù)據(jù)丟失 放在無防塵措施空氣中平滑的光盤表面經(jīng)常會帶有許多看不見的灰塵 即使用干凈的布梢微用點(diǎn)力去擦抹 也會在盤面上形成一道道劃痕 灰塵 2019 12 30 信息安全原理與技術(shù) 23 如果灰塵中還包括導(dǎo)電塵埃和腐蝕性塵埃的話 它們會附著在元器件與電子線路的表面 此時機(jī)房若空氣濕度較大的話 會造成短路或腐蝕裸露的金屬表面 灰塵在器件表面的堆積 會降低器件的散熱能力 因此 對進(jìn)入機(jī)房的新鮮空氣應(yīng)進(jìn)行一次或兩次過濾 要采取嚴(yán)格的機(jī)房衛(wèi)生制度 降低機(jī)房灰塵含量 2019 12 30 信息安全原理與技術(shù) 24 電氣與電磁干擾是指電網(wǎng)電壓和計(jì)算機(jī)內(nèi)外的電磁場引起的干擾 常見的電氣干擾是指電壓的瞬間較大幅度的變化 突發(fā)的尖脈沖或電壓不足甚至掉電 例如 計(jì)算機(jī)房內(nèi)使用較大功率的吸塵器 電鉆 機(jī)房外使用電鋸 電焊機(jī)等大用電量設(shè)備 這些情況都容易在附近的計(jì)算機(jī)電源中產(chǎn)生電氣噪音信號干擾 電磁干擾 2019 12 30 信息安全原理與技術(shù) 25 這些干擾一般容易破壞信息的完整性 有時還會損壞計(jì)算機(jī)設(shè)備 防止電氣干擾的辦法是采用穩(wěn)壓電源或不間斷電源 為了防止突發(fā)的電源尖脈沖 對電源還要增加濾波和隔離措施 2019 12 30 信息安全原理與技術(shù) 26 對計(jì)算機(jī)正常運(yùn)轉(zhuǎn)影響較大的電磁干擾是靜電干擾與周邊環(huán)境的強(qiáng)電磁場干擾 由于計(jì)算機(jī)中的芯片大部分都是MOS器件 靜電電壓過高會破壞這些MOS器件 據(jù)統(tǒng)計(jì)50 以上的計(jì)算機(jī)設(shè)備的損害直接或間接與靜電有關(guān) 2019 12 30 信息安全原理與技術(shù) 27 防靜電的主要方法有 機(jī)房應(yīng)該按防靜電要求裝修 如使用防靜電地板 整個機(jī)房應(yīng)該有一個獨(dú)立的和良好的接地系統(tǒng) 機(jī)房中各種電氣和用電設(shè)備都接在統(tǒng)一的地線上 周邊環(huán)境的強(qiáng)電磁場干擾主要指可能的無線電發(fā)射裝置 微波線路 高壓線路 電氣化鐵路 大型電機(jī) 高頻設(shè)備等產(chǎn)生的強(qiáng)電磁干擾 這些強(qiáng)電磁干擾輕則會使計(jì)算機(jī)工作不穩(wěn)定 重則對計(jì)算機(jī)造成損壞 2019 12 30 信息安全原理與技術(shù) 28 3 2計(jì)算機(jī)硬件安全技術(shù) 計(jì)算機(jī)硬件安全技術(shù)是指用硬件的手段保障計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的信息安全的各種技術(shù) 其中也包括為保障計(jì)算機(jī)安全可靠運(yùn)行對機(jī)房環(huán)境的要求 本小節(jié)將介紹用硬件技術(shù)實(shí)現(xiàn)的訪問控制技術(shù)和防拷貝技術(shù)和防輻射技術(shù) 2019 12 30 信息安全原理與技術(shù) 29 3 2 1硬件訪問控制技術(shù) 訪問控制的對象主要是計(jì)算機(jī)系統(tǒng)的軟件與數(shù)據(jù)資源 這兩種資源平時一般都是以文件的形式存放在硬盤或軟盤上 所謂訪問控制技術(shù)主要是保護(hù)這些文件不被非法訪問的技術(shù) PC機(jī)中文件是以整體為單位被保護(hù)的 要么可以訪問整個文件 要么無權(quán)訪問 2019 12 30 信息安全原理與技術(shù) 30 對PC機(jī)文件的保護(hù)通常有以下四種形式 計(jì)算機(jī)資源的訪問控制功能 由個人用戶對文件進(jìn)行加密 防止對文件的非法拷貝 對整體環(huán)境進(jìn)行保護(hù) 表面對文件不保護(hù) 實(shí)際上在某種范圍內(nèi)保護(hù) 2019 12 30 信息安全原理與技術(shù) 31 可能是因?yàn)檫^于考慮PC機(jī)的個人特性和使用的方便性的緣故 PC機(jī)操作系統(tǒng)沒有提供基本的文件訪問控制機(jī)制 在DOS系統(tǒng)和Windows系統(tǒng)中的文件的隱藏 只讀 只執(zhí)行等屬性以及Windows中的文件共享與非共享等機(jī)制是一種很弱的文件訪問控制機(jī)制 2019 12 30 信息安全原理與技術(shù) 32 1 令牌或智能卡 這里講的令牌是一種能標(biāo)識其持有人身份的特殊標(biāo)志 例如 可以利用圖章認(rèn)證一個人的身份 公民身份證也是一種認(rèn)證令牌 為了起到認(rèn)證作用 令牌必須與持有人之間是一一對應(yīng)的 要求令牌是唯一的和不能偽造的 身份證應(yīng)該是不能偽造的 否則身份證就無意義 2019 12 30 信息安全原理與技術(shù) 33 各種磁卡 如郵政儲蓄卡 電話磁卡等是用網(wǎng)絡(luò)通信令牌的一種形式 這種磁卡后面記錄了一些磁記錄信息 通常磁卡讀出器讀出磁卡信息后 還要求用戶輸入通行字以便確認(rèn)持卡人的身份 因此 如果磁卡丟失 拾到者也無法通過磁卡進(jìn)入系統(tǒng) 2019 12 30 信息安全原理與技術(shù) 34 還有一種更為復(fù)雜的信用卡形式 智能卡或芯片卡 這種卡中嵌入了一個微處理器 智能卡不僅可以保存用于辨別持有者的身份信息 還可以保存諸如存款余額的信息 這種卡不僅有存儲能力 而且還有計(jì)算能力 例如 它可以計(jì)算詢問 應(yīng)答系統(tǒng)的回答函數(shù)或者實(shí)現(xiàn)鏈路級的加密處理 2019 12 30 信息安全原理與技術(shù) 35 智能卡的使用過程大致如下 一個用戶在網(wǎng)絡(luò)終端上輸入自己的名字 當(dāng)系統(tǒng)提示他輸入通行字時 把智能卡插入槽中并輸入其通行字 通行字不以明文形式回顯 也不以明文方式傳輸 這是因?yàn)橹悄芸▽λ用艿慕Y(jié)果 在接收端對通行字進(jìn)行解密 身份得到確認(rèn)后 該用戶便可以進(jìn)行他希望的網(wǎng)上操作了 2019 12 30 信息安全原理與技術(shù) 36 2 生物特征認(rèn)證方法 一般而言 生物統(tǒng)計(jì)學(xué)設(shè)備是用于保證某種安全的有效和簡單的設(shè)備 它可以測量與識別某個人的具體的生理特征 如指紋 聲音圖象 筆跡 打字手法或視網(wǎng)膜圖象等特征 生物統(tǒng)計(jì)學(xué)設(shè)備通常用于極重要的安全場合 用以嚴(yán)格而仔細(xì)地識別人員身份 2019 12 30 信息安全原理與技術(shù) 37 指紋識別技術(shù)是一種已經(jīng)被接受的可以唯一識別一個人的方法 每個人都有唯一的指紋圖象 把一個人的指紋圖象保存在計(jì)算機(jī)中 當(dāng)這個人想進(jìn)入系統(tǒng)時 便將其指紋與計(jì)算機(jī)中的指紋匹配比較 有些復(fù)雜的系統(tǒng)甚至可以指出指紋是否是一個活著的人的指紋 指紋識別 2019 12 30 信息安全原理與技術(shù) 38 手印識別與指紋識別有所不同 手印識別器需要讀取整個手而不僅是手指的特征圖象 一個人把他的手按在手印讀入設(shè)備上 同時該手印與計(jì)算機(jī)中的手印圖象進(jìn)行比較 手印識別 2019 12 30 信息安全原理與技術(shù) 39 每個人的聲音都有細(xì)微的差別 沒有兩個人是相同的 在每個人的說話中都有唯一的音質(zhì)和聲音圖象 甚至兩個說話聲音相似的人也是這樣 識別聲音圖象的能力使人們可以基于某個短語的發(fā)音對人進(jìn)行識別 聲音識別技術(shù)已經(jīng)商用化了 但當(dāng)一個人的聲音發(fā)生很大變化的時候 如患感冒 聲音識別器可能會發(fā)生錯誤 聲音 2019 12 30 信息安全原理與技術(shù) 40 筆跡或簽名 分析某人的筆跡或簽名不僅包括字母和符號的組合方式 還包括在書寫簽名或單詞的某些部分用力的大小 或筆接觸紙的時間長短和筆移動中的停頓等細(xì)微的差別 分析是通過一支生物統(tǒng)計(jì)學(xué)筆和板設(shè)備進(jìn)行的 可將書寫特征與存儲的信息相比較 2019 12 30 信息安全原理與技術(shù) 41 文件打印出來后看起來是一樣的 但它們被打印出來的方法是不一樣的 這是擊鍵分析系統(tǒng)的基礎(chǔ) 該系統(tǒng)分析一個人的打字速度和節(jié)奏等細(xì)節(jié)特征 擊鍵分析 2019 12 30 信息安全原理與技術(shù) 42 視網(wǎng)膜識別技術(shù) 視網(wǎng)膜識別技術(shù)是一種可用技術(shù) 但還沒有象其他技術(shù)那樣得到廣泛的利用 視網(wǎng)膜掃描器用紅外線檢查人眼的血管圖象 并和計(jì)算機(jī)中存儲的圖象信息比較 由于個人的視網(wǎng)膜是互不相同的 利用這種方法可以區(qū)別每一個人 由于害怕掃描設(shè)備出故障傷害人的眼睛 所以這種技術(shù)使用不廣泛 2019 12 30 信息安全原理與技術(shù) 43 3 結(jié)合軟件技術(shù)的硬件訪問控制系統(tǒng) 一些公司已經(jīng)開發(fā)出各種硬件與軟件結(jié)合的訪問控制系統(tǒng) 具備的主要功能有 用戶身份認(rèn)證功能 文件存取權(quán)限管理功能 審計(jì)功能 系統(tǒng)自動對文件進(jìn)行加密 時間檢查 自動暫停 機(jī)器識別 2019 12 30 信息安全原理與技術(shù) 44 3 2 2防復(fù)制技術(shù) 由于PC機(jī)結(jié)構(gòu)的統(tǒng)一性使得PC機(jī)上的各種軟件不經(jīng)移植便可以在各個PC機(jī)上運(yùn)行 而且PC機(jī)操作系統(tǒng)提供的復(fù)制功能以及各種使用便捷的復(fù)制軟件使得軟件的復(fù)制變得非常容易 這既給用戶帶來了方便 也給文件的保護(hù)帶來了困難 到目前為止已經(jīng)研究出許多PC機(jī)文件的保護(hù)技術(shù) 這些保護(hù)技術(shù)可以分為軟件保護(hù)技術(shù)和硬件保護(hù)技術(shù) 2019 12 30 信息安全原理與技術(shù) 45 軟件防復(fù)制技術(shù)硬件防復(fù)制技術(shù) 2019 12 30 信息安全原理與技術(shù) 46 軟件狗 的不足 當(dāng)一臺計(jì)算機(jī)上運(yùn)行多個需要保護(hù)的軟件時 就需要多個 軟件狗 運(yùn)行時需要更換不同的 軟件狗 這給用戶增加了不方便 這種保護(hù)方法也容易被破解 方法是跟蹤程序的執(zhí)行 找出和 軟件狗 通訊的模塊 然后設(shè)法將其跳過 使程序的執(zhí)行不需要和 軟件狗 通訊 為了提高不可破解性 最好對存放程序的軟盤增加反跟蹤措施 例如一旦發(fā)現(xiàn)被跟蹤 就停機(jī)或使系統(tǒng)癱瘓 2019 12 30 信息安全原理與技術(shù) 47 與機(jī)器硬件配套保護(hù)法 在計(jì)算機(jī)內(nèi)部芯片 如ROM 里存放該機(jī)器唯一的標(biāo)志信息 軟件和具體的機(jī)器是配套的 如果軟件檢測到不是在特定機(jī)器上運(yùn)行便拒絕執(zhí)行 為了防止跟蹤破解 還可以在計(jì)算機(jī)中安裝一個專門的加密 解密處理芯片 密鑰也封裝于芯片中 2019 12 30 信息安全原理與技術(shù) 48 軟件以加密形式分發(fā) 加密的密鑰要和用戶機(jī)器獨(dú)有的密鑰相同 這樣可以保證一個機(jī)器上的軟件在另一臺機(jī)器上不能運(yùn)行 這種方法的缺點(diǎn)是軟件每次運(yùn)行前都要解密 會降低機(jī)器運(yùn)行速度 2019 12 30 信息安全原理與技術(shù) 49 兩個實(shí)際保護(hù)系統(tǒng)的例子 加拿大Winnipeg的I S 國際軟件公司生產(chǎn)的Iri lock保護(hù)系統(tǒng)在一張軟盤上形成一種不可復(fù)制的簽名 用專門技術(shù)把要保護(hù)的程序隱蔽存放在該軟盤上 當(dāng)程序運(yùn)行時 首先驗(yàn)證軟盤上是否帶有簽名 若無則不開始運(yùn)行程序 這種方法只適用保護(hù)可執(zhí)行程序 不適合保護(hù)各種正文文件和數(shù)據(jù)文件 由于原始軟盤是不可復(fù)制的 它損壞后 也使軟件無法運(yùn)行 2019 12 30 信息安全原理與技術(shù) 50 加尼福利亞的彩虹技術(shù)公司生產(chǎn)了一種軟件監(jiān)視器 它用一個 軟件狗 打開匹配的軟件模塊 這個 軟件狗 也是插在計(jì)算機(jī)并行口上的 程序在執(zhí)行時 周期性的向 軟件狗 發(fā)出詢問 而 軟件狗 根據(jù)不同的詢問給出不同的回答 使破解者無法預(yù)測下一個回答是什么 2019 12 30 信息安全原理與技術(shù) 51 3 2 3可信計(jì)算機(jī)與安全芯片 1 可信計(jì)算的概念 可信計(jì)算 的概念開始在世界范圍內(nèi)被提出是在1999年 主要是通過增強(qiáng)現(xiàn)有的PC終端體系結(jié)構(gòu)的安全性來保證整個系統(tǒng)的安全 2019 12 30 信息安全原理與技術(shù) 52 2 基于安全芯片的可信計(jì)算機(jī)功能 主要安全功能包括 平臺身份識別平臺完整性校驗(yàn)芯片級的安全 2019 12 30 信息安全原理與技術(shù) 53 3 可信計(jì)算機(jī)的應(yīng)用前景 據(jù)預(yù)測 2006年全球?qū)⒂幸话胍陨系腜C機(jī)都將植入安全芯片 未來3 5年內(nèi) 全球85 的計(jì)算機(jī)都將是采用可信計(jì)算技術(shù)的 安全PC 這昭示著這樣一個事實(shí) 內(nèi)嵌TPM安全芯片的PC將成為新一代安全終端的主流 2019 12 30 信息安全原理與技術(shù) 54 3 2 4硬件防電磁泄露 計(jì)算機(jī)是一種非常復(fù)雜的機(jī)電一體化設(shè)備 工作在高速脈沖狀態(tài)的計(jì)算機(jī)就像是一臺很好的小型無線電發(fā)射機(jī)和接收機(jī) 不但產(chǎn)生電磁輻射泄漏保密信息 而且還可以引入電磁干擾影響系統(tǒng)正常工作 尤其是在微電子技術(shù)和衛(wèi)星通信技術(shù)飛速發(fā)展的今天 計(jì)算機(jī)電磁輻射泄密的危險越來越大 2019 12 30 信息安全原理與技術(shù) 55 國際上把防信息輻射泄漏技術(shù)簡稱為TEMPEST TransientElectroMagneticPulseEmanationsStandardTechnology 技術(shù) 這種技術(shù)主要研究與解決計(jì)算機(jī)和外部設(shè)備工作時因電磁輻射和傳導(dǎo)產(chǎn)生的信息外漏問題 1 TEMPEST概念 2019 12 30 信息安全原理與技術(shù) 56 計(jì)算機(jī)的TEMPEST技術(shù)是美國國家安全局 NSA 和國防部 DoD 共同組織領(lǐng)導(dǎo)研究與開發(fā)的項(xiàng)目 該項(xiàng)目研究如何減少或防止計(jì)算機(jī)及其他電子信息設(shè)備向外輻射造成信息泄漏的各種技術(shù)與措施 TEMPEST研究的范圍包括理論 工程和管理等方面 涉及電子 電磁 測量 信號處理 材料和化學(xué)等多學(xué)科的理論與技術(shù) 2019 12 30 信息安全原理與技術(shù) 57 主要研究內(nèi)容有以下幾方面 電子信息設(shè)備是如何輻射泄漏的 研究電子設(shè)備輻射的途徑與方式 研究設(shè)備的電氣特性和物理結(jié)構(gòu)對輻射的影響 電子信息設(shè)備輻射泄漏的如何防護(hù) 研究設(shè)備整體結(jié)構(gòu)和各功能模塊的布局 系統(tǒng)的接地 元器件的布局與連線以及各種屏蔽材料 屏蔽方法與結(jié)構(gòu)的效果等問題 2019 12 30 信息安全原理與技術(shù) 58 如何從輻射信息中提取有用信息 研究輻射信號的接受與還原技術(shù) 由于輻射信號弱小 頻帶寬等特點(diǎn) 需要研究低噪音 寬頻帶 高增益的接收與解調(diào)技術(shù) 進(jìn)行信號分析和相關(guān)分析 信息輻射的測試技術(shù)與測試標(biāo)準(zhǔn) 研究測試內(nèi)容 測試方法 測試要求 測試儀器以及測試結(jié)果的分析方法并制定相應(yīng)的測試標(biāo)準(zhǔn) 2019 12 30 信息安全原理與技術(shù) 59 TEMPEST技術(shù)減少計(jì)算機(jī)信息向外泄漏的技術(shù)可以分為電子隱藏技術(shù)和物理抑制技術(shù)兩大類 其中電子隱藏技術(shù)是利用干擾方法擾亂計(jì)算機(jī)輻射出來的信息 利用跳頻技術(shù)變化計(jì)算機(jī)的輻射頻率 物理抑制技術(shù)是采用包括結(jié)構(gòu) 工藝 材料和屏蔽等物理措施防止計(jì)算機(jī)有用信息的泄漏 2019 12 30 信息安全原理與技術(shù) 60 2 TEMPEST威脅 信息設(shè)備的電磁泄漏威脅計(jì)算機(jī)系統(tǒng)的電磁泄漏其它信息設(shè)備的電磁泄漏HIJACKSOFTTEMPEST 2019 12 30 信息安全原理與技術(shù) 61 2 聲光的泄漏威脅光的泄漏威脅 如果計(jì)算機(jī)顯示器直接面對窗外 它發(fā)出的光可以在直線很遠(yuǎn)的距離上接收到 即使沒有直接的通路 接收顯示器通過墻面反射的光線仍然能再現(xiàn)顯示屏幕信息 這種光泄漏和電磁泄漏異曲同工 在目前復(fù)雜的電磁環(huán)境下 光信號的接收還原更容易實(shí)現(xiàn) 聲音信號也存在泄漏現(xiàn)象 例如通過點(diǎn)陣式打印機(jī)擊打打印紙發(fā)出的聲音能夠復(fù)原出打印的字符 2019 12 30 信息安全原理與技術(shù) 62 3 計(jì)算機(jī)設(shè)備的一些防泄漏措施 對計(jì)算機(jī)與外部設(shè)備究竟要采取哪些防泄漏措施 要根據(jù)計(jì)算機(jī)中的信息的重要程度而定 對于企業(yè)而言 需要考慮這些信息的經(jīng)濟(jì)效益 對于軍隊(duì)則需要考慮這些信息的保密級別 在選擇保密措施時 不應(yīng)該花費(fèi)100萬元去保護(hù)價值10萬元的信息 2019 12 30 信息安全原理與技術(shù) 63 1 整體屏蔽 對于需要高度保密的信息 如軍 政首腦機(jī)關(guān)的信息中心和駐外使館等地方 應(yīng)該將信息中心的機(jī)房整個屏蔽起來 屏蔽的方法是采用金屬網(wǎng)把整個房間屏蔽起來 為了保證良好的屏蔽效果 金屬網(wǎng)接地要良好 要經(jīng)過嚴(yán)格的測試驗(yàn)收 2019 12 30 信息安全原理與技術(shù) 64 整個房間屏蔽的費(fèi)用比較高 如果用戶承擔(dān)不起 可以采用設(shè)備屏蔽的方法 把需要屏蔽的計(jì)算機(jī)和外部設(shè)備放在體積較小的屏蔽箱內(nèi) 該屏蔽箱要很好的接地 對于從屏蔽箱內(nèi)引出的導(dǎo)線也要套上金屬屏蔽網(wǎng) 2019 12 30 信息安全原理與技術(shù) 65 2 距離防護(hù) 讓計(jì)算機(jī)房遠(yuǎn)離可能被偵測的地點(diǎn) 這是因?yàn)橛?jì)算機(jī)輻射的距離有一定限制 對于一個單位而言 計(jì)算機(jī)房盡量建在單位轄區(qū)的中央地區(qū) 若一個單位轄區(qū)的半徑少于300米 距離防護(hù)的效果就有限 2019 12 30 信息安全原理與技術(shù) 66 3 使用干擾器 在計(jì)算機(jī)旁邊放置一個輻射干擾器 不斷的向外輻射干擾電磁波 該電磁波可以擾亂計(jì)算機(jī)發(fā)出的信息電磁波 使遠(yuǎn)處偵測設(shè)備無法還原計(jì)算機(jī)信號 挑選干擾器時要注意干擾器的帶寬是否與計(jì)算機(jī)的輻射帶寬相近 否則起不到干擾作用 這需要通過測試驗(yàn)證 2019 12 30 信息安全原理與技術(shù) 67 4 利用鐵氧體磁環(huán) 在屏蔽的電纜線的兩端套上鐵氧體磁環(huán)可以進(jìn)一步減少電纜的輻射強(qiáng)度 計(jì)算機(jī)的鍵盤 磁盤 顯示器等輸入輸出設(shè)備的輻射泄漏問題比計(jì)算機(jī)主機(jī)的泄漏更嚴(yán)重 需要采用多種防護(hù)技術(shù) 2019 12 30 信息安全原理與技術(shù) 68 TEMPEST標(biāo)準(zhǔn) 為了評估計(jì)算機(jī)設(shè)備的輻射泄漏的嚴(yán)重程度程度 評價TEMPEST設(shè)備的性能好壞 制定相應(yīng)的評估標(biāo)準(zhǔn)是必要的 TEMPEST標(biāo)準(zhǔn)中一般包含規(guī)定計(jì)算機(jī)設(shè)備電磁泄漏的極限和規(guī)定對輻射泄漏的方法與設(shè)備 2019 12 30 信息安全原理與技術(shù) 69 3 3環(huán)境安全技術(shù) 3 3 1機(jī)房安全等級3 3 2機(jī)房環(huán)境基本要求3 3 3機(jī)房場地環(huán)境 2019 12 30 信息安全原理與技術(shù) 70 3 3 1機(jī)房安全等級 為了確保計(jì)算機(jī)硬件和計(jì)算機(jī)中信息的安全 機(jī)房安全是重要的因素 本節(jié)將討論有關(guān)機(jī)房的安全問題 先討論機(jī)房的安全等級 然后再討論機(jī)房對場地環(huán)境的要求 2019 12 30 信息安全原理與技術(shù) 71 計(jì)算機(jī)系統(tǒng)中的各種數(shù)據(jù)依據(jù)其重要性和保密性 可以劃分為不同等級 需要提供不同級別的保護(hù) 對于高等級數(shù)據(jù)采取低水平的保護(hù)會造成不應(yīng)有的損失 對不重要的信息提供多余的保護(hù) 又會造成不應(yīng)有的浪費(fèi) 因此 應(yīng)對計(jì)算機(jī)機(jī)房規(guī)定不同的安全等級 2019 12 30 信息安全原理與技術(shù) 72 計(jì)算機(jī)機(jī)房的安全等級可以分為三級 A級要求具有最高安全性和可靠性的機(jī)房 C級則是為確保系統(tǒng)作一般運(yùn)行而要求的最低限度的安全性 可靠性的機(jī)房 介于A級和C級之間的則是B級 2019 12 30 信息安全原理與技術(shù) 73 應(yīng)該根據(jù)所處理的信息及運(yùn)用場合的重要程度來選擇適合本系統(tǒng)特點(diǎn)的相應(yīng)安全等級的機(jī)房 而不應(yīng)該要求一個機(jī)房內(nèi)的所有設(shè)施都達(dá)到某一安全級別的所有要求 可以按不同級別的要求建設(shè)機(jī)房 計(jì)算機(jī)房安全等級的劃分如表所示 2019 12 30 信息安全原理與技術(shù) 74 安全項(xiàng)目 指標(biāo) 機(jī)房安全級別 表3 2機(jī)房的安全等級 2019 12 30 信息安全原理與技術(shù) 75 3 3 2機(jī)房環(huán)境基本要求 計(jì)算機(jī)系統(tǒng)實(shí)體是由電子設(shè)備 機(jī)電設(shè)備和光磁材料組成的復(fù)雜的系統(tǒng) 這些設(shè)備的可靠性和安全性與環(huán)境條件有著密功的關(guān)系 如果環(huán)境條件不能滿足設(shè)備對環(huán)境的使用要求 就會降低計(jì)算機(jī)的可靠性和安全性 輕則造成數(shù)據(jù)或程序出錯 破壞 重則加速元器件老化 縮短機(jī)器壽命 或發(fā)生故障使系統(tǒng)不能正常運(yùn)行 嚴(yán)重時還會危害設(shè)備和人員的安全 2019 12 30 信息安全原理與技術(shù) 76 實(shí)踐表明 有些計(jì)算機(jī)系統(tǒng)不穩(wěn)定或經(jīng)常出錯 除了機(jī)器本身的原因之外 機(jī)房環(huán)境條件是一個重要因素 因此 充分認(rèn)識機(jī)房環(huán)境條件的作用和影響 找出解決問題的辦法并付諸實(shí)施是十分重要的 1993年2月17日國家技術(shù)監(jiān)督局 中華人民共和國建設(shè)部聯(lián)合發(fā)布了 中華人民共和國國家標(biāo)準(zhǔn) 電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 GB50174 93 該標(biāo)準(zhǔn)于1993年9月1日實(shí)施 2019 12 30 信息安全原理與技術(shù) 77 3 3 3機(jī)房場地環(huán)境 機(jī)房外部環(huán)境要求機(jī)房場地的選擇應(yīng)以能否保證計(jì)算機(jī)長期穩(wěn)定 可靠 安全地工作為主要目標(biāo) 在外部環(huán)境的選擇上 應(yīng)考慮環(huán)境安全性 地質(zhì)可靠性 場地抗電磁干擾性 應(yīng)避開強(qiáng)振動源和強(qiáng)噪聲源 應(yīng)避免設(shè)在建筑物的高層以及用水設(shè)備的下層或隔壁 2019 12 30 信息安全原理與技術(shù) 78 同時 應(yīng)盡量選擇電力 水源充足 環(huán)境清潔 交通和通信方便的地方 對于機(jī)要部門信息系統(tǒng)的機(jī)房 還應(yīng)考慮機(jī)房中的信息射頻不易被泄漏和竊取 為了防止計(jì)算機(jī)硬件輻射造成信息泄漏 機(jī)房最好建設(shè)在單位的中央地區(qū) 2019 12 30 信息安全原理與技術(shù) 79 2 機(jī)房內(nèi)部環(huán)境要求 機(jī)房應(yīng)辟為專用和獨(dú)立的房間 經(jīng)常使用的進(jìn)出口應(yīng)限于一處 以便于出入管理 機(jī)房內(nèi)應(yīng)留有必要的空間 其目的是確保災(zāi)害發(fā)生時人員和設(shè)備的撤離和維護(hù) 機(jī)房應(yīng)設(shè)在建筑物的最內(nèi)層 而輔助區(qū) 工作區(qū)和辦公用房設(shè)在其外圍 如圖6 1 2019 12 30 信息安全原理與技術(shù) 80 3 機(jī)房面積要求 機(jī)房面積的大小與需要安裝的設(shè)備有關(guān) 另外還要考慮人在其中工作是否舒適 通常有兩種估算方法 一種是按機(jī)房內(nèi)設(shè)備總面積M計(jì)算 計(jì)算公式如下 機(jī)房面積 5 7 M這里的設(shè)備面積是指設(shè)備的最大外形尺寸 要把所有的設(shè)備包括在內(nèi) 如所有的計(jì)算機(jī) 網(wǎng)絡(luò)設(shè)備 I O設(shè)備 電源設(shè)備 資料柜 耗材柜 空調(diào)設(shè)備等 系數(shù)5 7是根據(jù)我國現(xiàn)有機(jī)房的實(shí)際使用面積與設(shè)備所占面積之間關(guān)系的統(tǒng)計(jì)數(shù)據(jù)確定的 實(shí)際應(yīng)用時肯定是要受到本單位具體情況的限制 2019 12 30 信息安全原理與技術(shù) 81 第二種方法是根據(jù)機(jī)房內(nèi)設(shè)備的總數(shù)進(jìn)行機(jī)房面積的估算 設(shè)設(shè)備的總臺數(shù)為K 則估算公式為 機(jī)房面積 4 5 5 5 K m2 在這種計(jì)算方法中 估算的準(zhǔn)確與否和各種設(shè)備的尺寸是否大致相同有密切關(guān)系 一般的參考標(biāo)準(zhǔn)是按臺式計(jì)算機(jī)的尺寸為一臺設(shè)備進(jìn)行估算 如果一臺設(shè)備占地面積太大 最好把它按兩臺或多臺臺式計(jì)算機(jī)去計(jì)算 這樣可能更會準(zhǔn)確 2019 12 30 信息安全原理與技術(shù) 82 系數(shù)4 5 5 5也是根據(jù)我國具體情況的統(tǒng)計(jì)參數(shù) 按照國家標(biāo)準(zhǔn) 計(jì)算機(jī)中心 站 場地技術(shù)要求 工作間 輔助間與機(jī)房所占面積應(yīng)有合適的比例 其他各類用房依據(jù)人員和設(shè)備的多少而定 通常 辦公室 用戶工作室 終端室按每人3 5 4 5m2進(jìn)行計(jì)算 在此基礎(chǔ)上 再考慮15 30 的備用面積 以便適應(yīng)今后發(fā)展的需要 2019 12 30 信息安全原理與技術(shù) 83 小結(jié) 計(jì)算機(jī)硬件安全是信息系統(tǒng)安全的基礎(chǔ) 硬件安全手段的優(yōu)點(diǎn)是不易受到被修改的攻擊威脅 除了注意計(jì)算機(jī)硬件本身的安全外 輻射泄漏也是硬件系統(tǒng)的重要安全問題 硬件的安全依賴機(jī)房環(huán)境的標(biāo)準(zhǔn)符合要求 安全的機(jī)房有利于保護(hù)計(jì)算機(jī)系統(tǒng)的安全運(yùn)行 2019 12 30 信息安全原理與技術(shù) 84 思考與練習(xí) 3 1計(jì)算機(jī)硬件有哪些有礙信息安全方面的缺陷 書中列舉了一些 你能否再列舉一些 3 2環(huán)境可能對計(jì)算機(jī)安全造成哪些威脅 如何防護(hù) 3 3由硬件支持的訪問控制和認(rèn)證技術(shù)有哪些 目前有哪些新技術(shù) 3 4硬件防復(fù)制有哪些方法 除此以外 你還知道哪些 并說明它們的局限性 3 5計(jì)算機(jī)哪些部件容易產(chǎn)生輻射 如何防護(hù) 2019 12 30 信息安全原理與技術(shù) 85 3 6TEMPEST技術(shù)主要研究內(nèi)容是什么 3 7計(jì)算機(jī)設(shè)備防泄漏的主要措施有哪些 它們各自的主要內(nèi)容是什么 3 8為了保證計(jì)算機(jī)安全穩(wěn)定地運(yùn)行 對計(jì)算機(jī)機(jī)房有哪些主要要求 機(jī)房的安全等級有哪些 根據(jù)什么因素劃分的 3 9安全適用的機(jī)房要符合哪些條件