ch3計算機網絡實體安全PPT課件

1、ch3計算機網絡實體安全1第第3章章 計算機網絡實體安全計算機網絡實體安全ch3計算機網絡實體安全2本章主要內容：本章主要內容： 計算機網絡機房及環(huán)境安全 機房的自然與人為災害的防護 機房靜電和電磁輻射的防護 存儲介質的保護 軟件和數據文件的保護 網絡系統(tǒng)的日常安全管理。ch3計算機網絡實體安全3本章要求本章要求: 了解計算機機房的安全等級，機房場地及環(huán)境安全要考慮的問題和管理方面的要求 了解機房火災、水災、電磁干擾、 電磁輻射、靜電、雷擊產生的原因及防護措施 了解對機房存儲介質的保護 了解軟件和數據文件的保護策略 掌握對網絡系統(tǒng)的日常安全管理 ch3計算機網絡實體安全4計算機網絡實體是網絡系

2、統(tǒng)的核心，它既是對數據進行加工處理的中心，也是信息傳輸控制中心。它包括網絡系統(tǒng)的硬件、軟件和數據資源。因此保證計算機網絡實體安全，即是保證網絡硬件和環(huán)境、存儲介質、軟件和數據安全保護。ch3計算機網絡實體安全5本章分為六小節(jié)：本章分為六小節(jié)：31 網絡機房及環(huán)境安全32 自然與人為災害的防護33 靜電和電磁輻射的防護34 存儲介質的保護35 軟件和數據文件的保護36 網絡系統(tǒng)安全的日常管理ch3計算機網絡實體安全63.1 網絡機房及環(huán)境安全網絡機房及環(huán)境安全3.1.1. 機房的安全等級機房的安全等級機房的安全按計算機系統(tǒng)要求可分為三級：A級、B級和C級。A級要求具有最高的安全性和可靠性C級則可

3、確保系統(tǒng)一般運行時的最低安全性和可靠性ch3計算機網絡實體安全73.1.2. 機房的安全保護機房的安全保護 機房環(huán)境及場地安全機房環(huán)境及場地安全良好的自然環(huán)境：周圍無大工廠、震動源和易燃易爆品倉庫等，以免有強大的電磁干擾、噪聲、震動及污染等機房周圍有安全保障：多層屏障、圍墻、柵欄和安全入口等，防止非法暴力入侵。ch3計算機網絡實體安全8安裝監(jiān)視和報警裝置：在機房內通風孔、隱蔽地方安裝監(jiān)視和報警裝置，用來監(jiān)視和檢測入侵者，預報意外災害等；機房裝飾：防靜電活動地板，防塵和非易燃材料墻面，封閉門窗或雙層密封玻璃等；ch3計算機網絡實體安全9 機房的出入管理機房的出入管理 出入驗證：通過特殊標志、口令

4、、指紋、通行證等對進入人員進行識別和驗證； 出入管理：完善的安全出入管理制度，關鍵通道加鎖和設置警衛(wèi)，防止非法用戶進入。ch3計算機網絡實體安全10 機房內部管理與維護機房內部管理與維護 機房的空氣要經過凈化處理，要經常排除廢氣，換入新風； 工作人員要經常保護機房清潔衛(wèi)生； 工作人員進入機房要穿工作服，配戴標志或標識牌； 機房要制定一整套可行的管理制度和操作人員守則，并嚴格監(jiān)督執(zhí)行。 ch3計算機網絡實體安全113.1.3. 機房溫度、濕度和潔凈度機房溫度、濕度和潔凈度 溫度的影響溫度的影響 溫度過高：集成電路器件性能不穩(wěn)定，存儲信息的磁介質損壞，信息丟失 溫度過低：設備表面容易結露，潮濕現象

5、導致設備絕緣不好，機器銹蝕ch3計算機網絡實體安全12 濕度的影響濕度的影響 濕度過高：使電路和元器件的絕緣性能變壞，機器金屬生銹，影響磁頭的高速運轉，降低紙介質強度 濕度過低：易于產生靜電 一般情況下，溫度要求在222度，變化率為2度/小時；相對濕度為4060%，變化率為25%/小時ch3計算機網絡實體安全13 潔凈度潔凈度 灰塵會造成機器接插件的接觸不良、發(fā)熱元器件的散熱效率降低、電子元件的絕緣性能下降等；增加機械磨損，尤其對驅動器和盤片；使磁盤數據的讀寫出現錯誤，而且可能劃傷盤片，甚至導致磁頭損壞。因此機房必須有防塵、除塵措施，保持機房內的清潔衛(wèi)生。一般機房的潔凈度要求灰塵顆粒直徑小于0

6、.5m，平均每升空氣含塵少于1萬粒。ch3計算機網絡實體安全143.1.4機房接地系統(tǒng)機房接地系統(tǒng)為保證設備可靠運行、防止干擾、保護設備及人身安全，機房必須提供良好的接地系統(tǒng)。包括直流地、交流地、安全保護地和防雷保護地。接地是以接地電流易于流動為目的，接地電阻越小，電流越易于流動。直流地、交流地、安全保護地的接地電阻一般都不大于4ch3計算機網絡實體安全15 直流地：邏輯地，零電位參考點。每個設備都有直流地。把多個直流地焊在一起或一個銅條上，埋在建筑物附近地下； 交流地：機房中交流電源的中性線作為工作地處理。把穩(wěn)壓電源、空調等使用交流供電的設備中性點用絕緣導線連到配電柜的中線上；ch3計算機網

7、絡實體安全16 安全保護地：將電力設備的金屬外殼接地，防止由于線路絕緣損壞可能使機器外殼帶有危險的相電壓。 靜電地：消除計算機系統(tǒng)運行過程中產生的靜電電荷采取的接地； 屏蔽地：在設備屏蔽體和大地之間由低阻導線連接，為高頻干擾信號提供通路。ch3計算機網絡實體安全173.1.5機房的電源保護機房的電源保護 電源是計算機網絡系統(tǒng)的命脈，電源系統(tǒng)電壓的波動、浪涌電流或突然斷電等意外事件的發(fā)生不僅可能使系統(tǒng)不能正常工作或存儲信息的丟失、存儲設備損壞等。ch3計算機網絡實體安全18 在國標GB2887-2000和GB9361-88中對機房的安全供電做了明確要求。國標GB2887-2000將供電方式分三類

8、： 一類供電：需建立不間斷供電系統(tǒng)； 二類供電：需要建立帶備用的供電系統(tǒng)； 三類供電：按一般用戶供電要求考慮。ch3計算機網絡實體安全19電源系統(tǒng)安全不僅包括外部供電線路的安全，更重要的室內電源設備的安全。計算機網絡機房可采用以下措施保證電源的安全工作： 隔離和自動穩(wěn)壓 穩(wěn)壓穩(wěn)頻器 不間斷電源（UPS）ch3計算機網絡實體安全203.1.6機房的環(huán)境設備監(jiān)控系統(tǒng)機房的環(huán)境設備監(jiān)控系統(tǒng) 機房的環(huán)境設備監(jiān)控系統(tǒng)主要是對機房設備（如供配電系統(tǒng)、UPS電源、防雷器、空調系統(tǒng)、消防系統(tǒng)、保安系統(tǒng)等）的運行狀態(tài)、溫度、濕度，供電的電壓、電流、頻率，配電系統(tǒng)的開關狀態(tài)、測漏系統(tǒng)等進行實時監(jiān)控并記錄歷史數據，

9、實現對機房遙測、遙信、遙控、遙調的管理功能，為機房高效的管理和安全運行提供有力的保證。ch3計算機網絡實體安全213.1.7機房的空調系統(tǒng)機房的空調系統(tǒng) 機房應采用專用空調設備。最好采用風冷式空調設備，空調設備的室外部分應安裝在安全及便于維修的地方。空調設備的管道、消聲器、防火閥接頭、襯墊以及管道和配管用的隔熱材料應采用難燃材料或非燃材料。 采用水冷式空調設備時，應設置漏水報警裝置，并設置防水小堤，還應注意冷卻塔、泵、水箱等供水設備的防凍、防火措施。 ch3計算機網絡實體安全223.2 自然與人為災害的防護自然與人為災害的防護網絡系統(tǒng)可能受到火災水災、風雹、地震、雷電、電磁等自然與人為災害的侵

10、襲，因此對網絡系統(tǒng)在這方面要有相應的防護。ch3計算機網絡實體安全233.1.1機房的防火機房的防火火源：火源：頂棚之上、地板之下、開關等處火災原因：火災原因：電器設備或電線起火，空調電加熱器起火，人為事故起火，建筑物起火等ch3計算機網絡實體安全24 防火措施：防火措施：建筑物防火：對主機房、電源室、終端室、空調室、介質存放室等處采取消防措施；采用難燃或非燃建筑材料進行機房裝飾；機房遠離易燃、易爆物品儲存地；配備滅火器材：配置消防器材并置于有明顯標志處；ch3計算機網絡實體安全25 設置報警系統(tǒng)和緊急出口：報警系統(tǒng)有完整的聲光報警、24小時不間斷監(jiān)視能力；緊急出口在發(fā)生火災時便于人員和重要資

11、源的撤出； 絕緣材料：采用絕緣好的電器材料或燃點高的絕緣材料；ch3計算機網絡實體安全26 加強防火安全管理：對工作人員進行防火安全教育和防火器材使用教育；明確防火安全責任制；磁帶和紙張等易燃品專門存放等。ch3計算機網絡實體安全273.1.2機房的防水機房的防水機房一旦受到水浸，將使電纜和電氣設備的絕緣性能大大降低，甚至不能工作。因此，機房應有相應的預防、隔離和排除措施。ch3計算機網絡實體安全28 防水措施：防水措施： 機房的地面和墻壁使用防滲水和防潮材料處理； 對機房屋頂要進行防水處理，或對上一層建筑物的水源注意保護，防止積水滲入機房；ch3計算機網絡實體安全29 地板下面區(qū)域要有合適的

12、排水設施； 機房內或附近及樓上房間一般不應有用水設備； 地下室機房必須備有水泵或帶有檢驗閥的排水管及水淹報警裝置。ch3計算機網絡實體安全303.1.3機房的電磁干擾防護機房的電磁干擾防護 電磁場干擾的影響：電磁場干擾的影響：機房周圍電磁場的干擾會增加電路噪聲，使機器產生錯誤動作，嚴重時將導致系統(tǒng)不能正常工作 電磁場干擾的來源：電磁場干擾的來源：計算機系統(tǒng)本身和外部。ch3計算機網絡實體安全31 系統(tǒng)外部的電磁干擾主要來自無線電廣播天線、雷達天線、工業(yè)電氣設備、高壓電力線和變電設備，以及大自然中的雷擊和閃電等； 計算機本身的各種電子組件和導線通過電流時，會產生不同程度的電磁干擾，這種影響可在機

13、器制做時采用相應工藝降低和解決。ch3計算機網絡實體安全32 防止和減少電磁干擾的措施：防止和減少電磁干擾的措施：選址遠離干擾源：如無線電廣播發(fā)射塔、雷達站、工業(yè)電氣設備、高壓電力線和變電站等；采用接地和屏蔽措施：ch3計算機網絡實體安全33接地：良好的接地可防止外界電磁場干擾和設備間寄生電容的耦合干擾屏蔽：對設備進行電屏蔽、磁屏蔽和電磁屏蔽可減少外界的電磁干擾。 國家規(guī)定機房內無線電干擾場強在頻率范圍為0.15500MHz時不大于126dB。ch3計算機網絡實體安全343.1.4機房的雷電防護機房的雷電防護 雷電的危害：雷電的危害：每年全球因雷擊至少造成100億美元的電子設備損失。雷電不僅破

14、壞系統(tǒng)設備，還可使通信中斷、系統(tǒng)癱瘓，其間接損失不可估量。ch3計算機網絡實體安全35 雷電的防護雷電的防護 根據電子電氣設備的不同功能做分類保護；根據雷電和操作瞬間過壓危害從電源線到數據通信線做分層保護；ch3計算機網絡實體安全36 外部無源保護：主要是避雷針(網、線、帶)和接地裝置(地線、地網； 內部防護： 電源部分防護(低壓線的過壓保護，三級保護，加裝避雷器) 信號部分防護(根據密級和敏感程度對信號系統(tǒng)采用粗保護和精細保護) 接地處理(建筑物地、邏輯地、防雷地)ch3計算機網絡實體安全37 雷電侵入的形式 雷電直擊：直接擊中線路和設備 感應雷擊：雷云之間或對地放電時對信號線、電力線或設備

15、連線產生的電磁感應侵入 雷電波侵入：雷電電流在其周圍將出現瞬變電磁場，其瞬變時間極短或感應的電壓很高，以至產生電火花，其磁脈沖可超過2.4GS。 球形雷擊：球形雷是一種橙色或紅色火焰的發(fā)光球體，一種特殊的雷電現象。ch3計算機網絡實體安全383.3 機房靜電和電磁輻射的防護機房靜電和電磁輻射的防護3.3.1機房的靜電防護機房的靜電防護 靜電是機房發(fā)生最頻繁、最難消除的危害之一。它不僅會使計算機運行出現隨即故障，而且會導致某些元器件(如CMOS /MOS /雙極性電路等)被擊穿和損壞，還會影響操作和維護人員的的身心健康。ch3計算機網絡實體安全39 靜電故障特點靜電故障特點靜電故障具有與季節(jié)有關

16、；偶發(fā)性強，多為隨即故障；與地板、家具和工作服有關等特點；靜電對信號線和電源線產生感應噪聲，產生高壓，引起機殼地、安全地電位變化，靜電放電時產生輻射噪聲等。ch3計算機網絡實體安全40靜電影響靜電影響主要體現在半導體器件上。半導體對靜電的反應很靈敏，一是可能造成元器件損壞，二是可引起計算機誤操作或運算錯誤；ch3計算機網絡實體安全41 靜電對計算機外設也有明顯的影響，如陰極射線顯示器在受到靜電影響時將使圖象紊亂，模糊不清；還可造成Modem、網卡、Fax卡等工作失常，打印機走紙不順等。ch3計算機網絡實體安全42靜電的防護靜電的防護鋪設防靜電地板穿戴防靜電衣服和鞋帽拆裝和檢修機器時戴防靜電手環(huán)

17、保持機房內相應的溫度和濕度ch3計算機網絡實體安全433.3.2 電磁輻射的防護電磁輻射的防護(1) 電磁輻射的形成與危害電磁輻射的形成與危害 電子設備在工作時能通過地線、電源線、信號線等將所處理的信息以電磁波或諧波形式放射出去，形成電磁輻射。這些輻射信號若被攻擊者接收，可通過提取處理等過程恢復原信息，造成信息泄露。ch3計算機網絡實體安全44(2) 電磁輻射的保護措施電磁輻射的保護措施 設備保護：設備保護：使用低輻射力的設備 建筑保護：建筑保護：建筑或裝飾時采用屏蔽措施 區(qū)域保護：區(qū)域保護：機房關鍵部位在輻射保護區(qū)內 線路保護：線路保護：數據加密和線路屏蔽ch3計算機網絡實體安全45 TEM

18、PEST(電磁輻射防護和抑制技術電磁輻射防護和抑制技術 )： 抑制和屏蔽電磁輻射：設備加金屬屏蔽，改善電路布局，設備接地，使用屏蔽插件； 干擾性防護：系統(tǒng)工作時施放偽噪聲，掩蓋真正的系統(tǒng)工作頻率和信息特性。ch3計算機網絡實體安全463.4 存儲介質的保護存儲介質的保護 存儲介質通常指磁盤、磁帶、光盤。存儲介質或其存儲信息的丟失，都將對網絡系統(tǒng)造成不同程度的損失。因此要保護存儲介質及其存儲信息的安全。ch3計算機網絡實體安全471. 存儲介質的保護存儲介質的保護建立專門的存儲介質庫(柜)并進行如下管理： 限制少數人接觸存儲介質庫(柜) 存儲介質庫(柜)內帶盤的目錄清單要標明相關參數，并定期檢查

19、 舊存儲介質銷毀前進行消磁和清除數據 存儲介質庫(柜)房要保持合適的溫、濕度ch3計算機網絡實體安全482. 存儲介質信息的保護存儲介質信息的保護為存儲介質的信息分級：對重要信息要備份并存放于防火、防水、防電磁場的保護設備中對存儲介質信息的復制和備份要有嚴格的權限控制ch3計算機網絡實體安全493.5 軟件和數據文件保護軟件和數據文件保護危害危害非法復制、非授權侵入和修改是對軟件和數據文件的主要危害，這些危害在工商業(yè)、金融及軍政部門的網絡系統(tǒng)中的危害不可估量。ch3計算機網絡實體安全502. 保護策略保護策略 目前主要使用市場策略、法律策略和技術策略這三種策略抵抗非法復制 市場策略：以優(yōu)惠價格

20、和后續(xù)的技術支持使得用戶愿意購買； 法律策略：軟件保護相應法規(guī)的約束和威懾使人們去購買軟件； 技術策略：如抗軟件分析法、唯一簽名法和軟件加密法ch3計算機網絡實體安全51 抗軟件分析法可使攻擊者不能動態(tài)跟蹤與分析軟件程序； 唯一簽名法可保證軟件不被非法拷貝； 軟件加密后使得即使是拷貝了該軟件也無法讀懂，也就無法分析和使用它。ch3計算機網絡實體安全523.6 網絡安全的日常管理網絡安全的日常管理 對于網絡系統(tǒng)的安全管理和維護，不僅需要有配套的安全防御措施，還需要規(guī)范的管理制度和流程，更需要高素質的安全管理和操作人員。 一般網絡管理人員所面對的網絡管理環(huán)境大都已經采取了某些安全措施，構成了一定的

21、防御體系。如： ch3計算機網絡實體安全531. 口令（密碼）管理口令（密碼）管理 口令問題容易被人忽視。一般人們常犯的口令錯誤有：多個賬號使用同一個密碼；密碼全部采用數字組合或字母組合；密碼從不更新；密碼被記錄于易見的媒體上；遠程登錄系統(tǒng)時，賬號和密碼在網絡中以明文形式傳輸等。ch3計算機網絡實體安全54 作為網絡安全管理人員，在口令管理上應該養(yǎng)成好習慣，比如：選取數字、字母、符號相間的口令；口令不隨便書寫在易見的媒體上；適時更新口令；及時刪除已撤消的賬號和口令；遠程登錄時使用加密口令；更嚴格情況可采用口令鑒別和PKI驗證過程。 ch3計算機網絡實體安全552. 病毒防護病毒防護 機房管理和使用人員均應有防護病毒意識。網絡系統(tǒng)的所有計算機都安裝相關的防病毒軟件。在日常維護中，最好是每隔兩三天就檢查一次是否需要升級病毒庫，在必要時及時進行升級。 ch3計算機網絡實體安全563. 漏洞掃描漏洞掃描網絡管理員應通過漏洞掃描系統(tǒng)對網絡系統(tǒng)進行掃描，查找網絡上存在哪些漏洞并及時修補。比如：對IIS打補丁可避免紅色代碼蠕蟲問題；對SQL Server打補丁就可避免SQL蠕蟲問題；及時加強口令的控制，關閉不必要的服務，就不會發(fā)生被他人遠程控制問題