第二章_物理環(huán)境安全

1、計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)第第2章實體安全防護與安全管理技術(shù)章實體安全防護與安全管理技術(shù)計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l物理安全的定義、目的和內(nèi)容l計算機房場地環(huán)境的安全要求l電磁干擾及電磁防護的措施l物理隔離技術(shù)l計算機網(wǎng)絡安全管理的定義、功能、邏輯結(jié)構(gòu)模型。l簡單網(wǎng)絡管理協(xié)議（SNMP）。l計算機網(wǎng)絡安全管理的基本原則與工作規(guī)范。 計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l實體安全（Physical Security）又叫物理安全，是保護計算機設(shè)備、設(shè)施（含網(wǎng)絡）免遭地震、水災、火災、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措

2、施和過程。實體安全主要考慮的問題是環(huán)境、場地和設(shè)備的安全以及實體訪問控制和應急處置計劃等。實體安全技術(shù)主要是指對計算機及網(wǎng)絡系統(tǒng)的環(huán)境、場地、設(shè)備和人員等采取的安全技術(shù)措施。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l實體安全的目的是保護計算機、網(wǎng)絡服務器、交換機、路由器、打印機等硬件實體和通信設(shè)施免受自然災害、人為失誤、犯罪行為的破壞；確保系統(tǒng)有一個良好的電磁兼容工作環(huán)境；把有害的攻擊隔離。l實體安全的內(nèi)容主要包括：環(huán)境安全電磁防護物理隔離安全管理。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l環(huán)境安全：環(huán)境安全：計算機網(wǎng)絡通信系統(tǒng)的運行環(huán)境應按照國家有關(guān)標準設(shè)計實施，應具

3、備消防報警、安全照明、不間斷供電、溫濕度控制系統(tǒng)和防盜報警，以保護系統(tǒng)免受水、火、有害氣體、地震、靜電的危害。l物理隔離：物理隔離：物理隔離技術(shù)就是把有害的攻擊隔離，在可信網(wǎng)絡之外和保證可信網(wǎng)絡內(nèi)部信息不外泄的前提下，完成網(wǎng)絡間數(shù)據(jù)的安全交換l電磁防護：電磁防護：計算機網(wǎng)絡系統(tǒng)工作時產(chǎn)生的電磁發(fā)射可被高靈敏度的接收設(shè)備接收并進行分析、還原，造成系統(tǒng)信息泄漏。外界的電磁干擾也能使計算機網(wǎng)絡系統(tǒng)工作不正常，甚至癱瘓。必須通過屏蔽、隔離、濾波、吸波、接地等措施，提高計算機網(wǎng)絡系統(tǒng)的抗干擾能力，使之能抵抗強電磁干擾；同時將計算機的電磁泄漏發(fā)射降到最低。l安全管理：安全管理：安全管理包含了二方面的內(nèi)容：

4、一是對計算機網(wǎng)絡系統(tǒng)的管理；二是涉及法規(guī)建設(shè)，建立、健全各項管理制度等內(nèi)容的安全管理。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l為保證物理安全，應對計算機及其網(wǎng)絡系統(tǒng)的實體訪問進行控制。l計算機房的設(shè)計應考慮減少無關(guān)人員進入機房的機會。同時，計算機房應避免靠近公共區(qū)域，避免窗戶直接鄰街，應安排機房在內(nèi)（室內(nèi)靠中央位置），輔助工作區(qū)域在外（室內(nèi)周邊位置）。在一個高大的建筑內(nèi)，計算機房最好不要建在潮濕的底層，也盡量避免建在頂層，因頂層可能會有漏雨和雷電穿窗而入的危險。在有多個辦公室的樓層內(nèi)，計算機機房應至少占據(jù)半層，或靠近一邊。這樣既便于防護，又利于發(fā)生火警時的撤離。l所有進出計算機房

5、的人都必須通過管理人員控制的地點。應有一個對外的接待室，訪問人員一般不進入數(shù)據(jù)區(qū)或機房，而在接待室接待。特殊需要進入控制區(qū)的，應辦理手續(xù)。每個訪問者和帶入、帶出的物品都應接受檢查。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l電梯和樓梯不能直接進入機房。l建筑物周圍應有足夠亮度的照明設(shè)施和防止非法進入的設(shè)施。l外部容易接近的進出口應有柵欄或監(jiān)控措施，而周邊應有物理屏障（隔墻、帶刺鐵絲網(wǎng)等）和監(jiān)視報警系統(tǒng)，窗口應采取防范措施，必要時安裝自動報警設(shè)備。l機房進出口須設(shè)置應急電話。l機房供電系統(tǒng)應將動力照明用電與計算機系統(tǒng)供電線路分開，機房及疏散通道應配備應急照明裝置。l計算機中心周圍100

6、m內(nèi)不能有危險建筑物。l進出機房時要更衣、換鞋，機房的門窗在建造時應考慮封閉性能。l照明應達到規(guī)定標準。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l早期的防盜，采取增加質(zhì)量和膠粘的方法，即將設(shè)備長久固定或粘接在一個地點?，F(xiàn)在某些便攜機也采用機殼加鎖扣的方法。l國外一家公司發(fā)明了一種光纖電纜保護設(shè)備。這種方法是將光纖電纜連接到每臺重要的設(shè)備上，光束沿光纖傳輸，如果通道受阻，則報警。l一種更方便的防護措施類似于圖書館、超級市場使用的保護系統(tǒng)。每臺重要的設(shè)備、每個重要存儲媒體和硬件貼上特殊標簽（如磁性標簽），一旦被盜或未被授權(quán)攜帶外出，檢測器就會發(fā)出報警信號。l視頻監(jiān)視系統(tǒng)是一種更為可靠的

7、防護設(shè)備，能對系統(tǒng)運行的外圍環(huán)境、操作環(huán)境實施監(jiān)控（視）。對重要的機房，還應采取特別的防盜措施，如值班守衛(wèi)，出入口安裝金屬防護裝置保護安全門、窗戶。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l機房內(nèi)的空調(diào)系統(tǒng)、去濕機、除塵器是保證計算機系統(tǒng)正常運行的重要設(shè)備之一。通過這三種設(shè)備使機房的三度要求：溫度、濕度和潔凈度得到保證，l溫度：溫度：機房溫度一般應控制在1822，即（202）。溫度過低會導致硬盤無法啟動，過高會使元器件性能發(fā)生變化，耐壓降低，導致不能工作。l濕度：濕度：相對濕度過高會使電氣部分絕緣性降低，加速金屬器件的腐蝕，引起絕緣性能下降；而相對濕度過低、過于干燥會導致計算機中某

8、些器件龜裂，印刷電路板變形，特別是靜電感應增加，使計算機內(nèi)信息丟失、損壞芯片，對計算機帶來嚴重危害。機房內(nèi)的相對濕度一般控制在40%60為好，即（5010）。l潔凈度：潔凈度：清潔度要求機房塵埃顆粒直徑小于0.5，平均每升空氣含塵量小于1萬顆?；覊m會造成接插件的接觸不良、發(fā)熱元件的散熱效率降低、絕緣破壞，甚至造成擊穿；灰塵還會增加機械磨損，尤其對驅(qū)動器和盤片。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l靜電是由物體間的相互磨擦、接觸而產(chǎn)生的。靜電產(chǎn)生后，由于它不能泄放而保留在物體內(nèi)，產(chǎn)生很高的電位（能量不大），而靜電放電時發(fā)生火花，造成火災或損壞芯片。計算機信息系統(tǒng)的各個關(guān)鍵電路，諸

9、如CPU、ROM、RAM等大都采用MOS工藝的大規(guī)模集成電路，對靜電極為敏感，容易因靜電而損壞。這種損壞可能是不知不覺造成的。l機房內(nèi)一般應采用乙烯材料裝修，避免使用掛毯、地毯等吸塵、容易產(chǎn)生靜電的材料。為了防靜電機房一般安裝防靜電地板，并將地板和設(shè)備接地以便將物體積聚的靜電迅速排泄到大地。機房內(nèi)的專用工作臺或重要的操作臺應有接地平板。此外，工作人員的服裝和鞋最好用低阻值的材料制作，機房內(nèi)應保持一定濕度，在北方干燥季節(jié)應適當加濕，以免因干燥而產(chǎn)生靜電。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l電源是計算機網(wǎng)絡系統(tǒng)正常工作的重要因素。供電設(shè)備容量應有一定的富裕量，所提供的功率一般應是

10、全部設(shè)備負載的125。計算機房設(shè)備最好是采取專線供電，應與其他電感設(shè)備（如馬達），以及空調(diào)、照明、動力等分開；至少應從變壓器單獨輸出一路給計算機使用。l為保證設(shè)備用電質(zhì)量和用電安全，電源應至少有兩路供電，并應有自動轉(zhuǎn)換開關(guān)，當一路供電有問題時，可迅速切換到備用線路供電。應安裝備用電源，如長時間不間斷電源（UPS），停電后可供電8小時或更長時間。關(guān)鍵的設(shè)備應有備用發(fā)電機組和應急電源。同時為防止、限制瞬態(tài)過壓和引導浪涌電流，應配備電涌保護器（過壓保護器）。為防止保護器的老化、壽命終止或雷擊時造成的短路，在電涌保護器的前端應有諸如熔斷器等過電流保護裝置。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技

11、 術(shù)術(shù)l有六類電源線干擾：中斷：三相線中任何一相或多相因故障而停止供電為中斷，長時間中斷即為關(guān)閉。異常中斷：是指電壓連續(xù)過載或連續(xù)低電壓。 電壓瞬變：瞬變浪涌是指電壓幅值在幾個正弦波范圍內(nèi)快速增加或降低.。沖擊：沖擊又稱瞬變脈沖或尖峰電壓，它是指在0.5s100s內(nèi)過高或過低的電壓。尖峰一般指瞬時電壓超過400V，而下垂電壓指瞬時向下的窄脈沖。噪聲：電磁干擾EMI（Electromagnetic Interference）是由電源線輻射產(chǎn)生的電磁噪聲干擾，射頻干擾（RFI）是發(fā)射頻率30kHz時的電磁干擾。突然失效事件：指由雷擊等引起的快速升起的電磁脈沖沖擊，致使設(shè)備失效。計計 算算 機機 網(wǎng)

12、網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)lUPS：正常供電時，UPS可使交流電源整流并不間斷地使電池充電。在斷電時，由電池組通過逆變器向機房設(shè)備提供交流電。從而有效地保護系統(tǒng)及數(shù)據(jù)。在特別重要的場合，應考慮此種措施。l應急電源：主要通過汽油機或柴油機帶動發(fā)電機，在斷電時啟動，為系統(tǒng)提供較長時間的緊急供電。它需要有自己的燃料支持。應急發(fā)電機只對最重要的設(shè)備提供支持，包括空調(diào)、最必須的計算機、照明燈、報警系統(tǒng)、通信設(shè)備等。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l地線種類保護地：保護地：計算機系統(tǒng)內(nèi)的所有電氣設(shè)備，包括輔助設(shè)備，外殼均應接地。保護地一般是為大電流泄放而接地。機房內(nèi)保護地的接地電

13、阻4。 直流地直流地，又稱邏輯地，是計算機系統(tǒng)的邏輯參考地，即計算機中數(shù)字電路的低電位參考地。直流地的接地電阻一般要求2屏蔽地：屏蔽地：為避免信息處理設(shè)備的電磁干擾，防止電磁信息泄漏，重要的設(shè)備和重要的機房要采取屏蔽措施，即用金屬體來屏蔽設(shè)備和整個機房。一般屏蔽地的接地電阻要求4。靜電地：靜電地：機房內(nèi)人體本身、人體在機房內(nèi)的運動、設(shè)備的運行等均可能產(chǎn)生靜電。將地板金屬基體與地線相連，以使設(shè)備運行中產(chǎn)生的靜電隨時泄放掉。雷擊地：雷擊地：雷電具有很大的能量，雷擊產(chǎn)生的瞬態(tài)電壓可高達10MV以上。單獨建設(shè)的機房或機房所在的建筑物，必須設(shè)置專門的雷擊保護地（簡稱雷擊地），以防雷擊產(chǎn)生的設(shè)備和人身事故

14、。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l各自獨立的接地系統(tǒng)l交、直流分開的接地系統(tǒng)l共地接地系統(tǒng)l直流地、保護地共用地線系統(tǒng)這種接地系統(tǒng)的直流地和保護地共用接地體，屏蔽地、交流地、雷擊地單獨埋設(shè)。它主要考慮，許多計算機系統(tǒng)內(nèi)部已將直流地和保護地連在一起，對外只有一條引線，在這種情況下，直流地與保護地分開已無實際意義。由于直流地與交流地分開，使計算機系統(tǒng)仍具有較好抗干擾能力。這種接地方式在國內(nèi)外均有廣泛應用。l建筑物內(nèi)共地系統(tǒng)計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l通常采用的接地體有地樁、水平柵網(wǎng)、金屬板、建筑物基礎(chǔ)鋼筋等。l地樁：地樁：垂直打入地下的接地金屬棒或金

15、屬管，是常用的接地體。它用在土壤層超過3m厚的地方。金屬棒的材料為鋼或銅，直徑一般應為15mm以上。為防止腐蝕、增大接觸面積并承受打擊力，地樁通常采用較粗的鍍鋅鋼管。l水平柵網(wǎng)：水平柵網(wǎng)：在土質(zhì)情況較差，特別是巖層接近地表面無法打樁的情況下，可采用水平埋設(shè)金屬條帶、電纜的方法。金屬條帶應埋在地下0.5m1m深處，水平方向構(gòu)成星形或柵格網(wǎng)形，在每個交叉處，條帶應焊接在一起，且?guī)чg距離1m。l金屬接地板：金屬接地板：將金屬板與地面垂直埋在地下，與土壤形成至少0.2m2的雙面接觸。深度要求在永久性潮土壤以下30cm，一般至少在地下埋1.5m深。金屬板的材料通常為銅板，也可分為鐵板或鋼板。l建筑物基礎(chǔ)

16、鋼筋建筑物基礎(chǔ)鋼筋 計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l隔離：隔離：建筑內(nèi)的計算機房四周應設(shè)計一個隔離帶，以使外部的火災至少可隔離一個小時。 l火災報警系統(tǒng)：火災報警系統(tǒng)：在火災初期就能檢測到并及時發(fā)出警報?；馂膱缶到y(tǒng)按傳感器的不同，分為煙報警和溫度報警兩種類型。l滅火設(shè)施滅火設(shè)施 ：滅火器 ；滅火工具及輔助設(shè)備如液壓千斤頂、手提式鋸、鐵锨、鎬、榔頭、應急燈等。 l管理措施：管理措施：機房應有應急計劃及相關(guān)制度，要嚴格執(zhí)行計算機房環(huán)境和設(shè)備維護的各項規(guī)章制度，加強對火災隱患部位的檢查。如電源線路要經(jīng)常檢查是否有短路處，防止出現(xiàn)火花引起火災。要制定滅火的應急計劃并對所屬人員進

17、行培訓。此外，還應定期對防火設(shè)施和工作人員的掌握情況進行測試。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l計算機及網(wǎng)絡系統(tǒng)和其它電子設(shè)備一樣，工作時要產(chǎn)生電磁發(fā)射，電磁發(fā)射可被高靈敏度的接收設(shè)備接收并進行分析、還原，造成系統(tǒng)信息泄漏。另一方面，計算機及網(wǎng)絡系統(tǒng)又處在復雜的電磁干擾的環(huán)境中，這種電磁干擾有時很強（如電子戰(zhàn)中的強電磁干擾或核輻射脈沖干擾），使計算機及網(wǎng)絡系統(tǒng)不能正常工作，甚至被摧毀。l電磁防護的主要目的是通過屏蔽、隔離、濾波、吸波、接地等措施，提高計算機及網(wǎng)絡系統(tǒng)、其它電子設(shè)備的抗干擾能力，使之能抵抗強電磁干擾；同時將計算機的電磁泄漏發(fā)射降到最低。從而在未來的電子戰(zhàn)、信息

18、戰(zhàn)中、商戰(zhàn)中立于不敗之地。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l電磁干擾的分類：在一個系統(tǒng)內(nèi)，兩個或兩個以上電子元器件處于同一環(huán)境時，就會產(chǎn)生電磁干擾。電磁干擾是電子設(shè)備或通信設(shè)備中最主要的干擾。按干擾的耦合方式不同，可將電磁干擾分為傳導干擾可將電磁干擾分為傳導干擾和輻射干擾兩類。和輻射干擾兩類。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l輻射干擾是通過介質(zhì)以電磁場的形式傳播的干擾。輻射電磁場從輻射源通過天線效應向空間輻射電磁波，按照波的規(guī)律向空間傳播，被干擾電路經(jīng)耦合將干擾引入到電路中來。輻射干擾源可以是載流導線，如信號線、電源線等，也可為芯片、電路等。l當干擾源靠

19、近被干擾電路，兩者的距離為小于/2（為干擾波長）的近場時，干擾通過電感或電容耦合而引入。這時可通過上述的感性、容性傳導耦合干擾來分析，分析時可忽略相位差的影響。l當干擾源與被干擾電路相距較遠，兩者距離為大于2的遠場時，電磁能量通過空間傳播，稱為電磁輻射。在分析時要考慮相位差的影響。l總之，傳導干擾和輻射干擾主要取決于干擾源的頻率（頻率對應著波長）。低頻時，/2較大，干擾往往屬于傳導耦合；高頻時，/2較小，干擾往往屬于電磁輻射。例如，頻率為30MHz，距離大于2m時，其干擾均為電磁輻射。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l計算機電磁輻射的危害信息泄漏防護技術(shù)（TEMPEST技術(shù)

20、）。lTEMPEST技術(shù)是綜合性的技術(shù)，包括泄漏信息的分析、預測、接收、識別、復原、防護、測試、安全評估等項技術(shù)，涉及到多個學科領(lǐng)域。它基本上是在傳統(tǒng)的電磁兼容理論基礎(chǔ)上發(fā)展起來的，但比傳統(tǒng)的抑制電磁干擾的要求要高得多，技術(shù)實現(xiàn)上也更為復雜。抑制和防止電磁泄漏現(xiàn)已成為物理安全策略的一個主要問題。 計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l目前主要防護措施有兩類：一類是對傳導發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合；另一類是對輻射的防護，這類防護措施又可分為以下兩種：一種是采用各種電磁屏蔽措施，如對設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時

21、對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；第二種是干擾的防護措施，即在計算機系統(tǒng)工作的同時，利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。l為提高電子設(shè)備的抗干擾能力，除在芯片、部件上提高抗干擾能力外，主要的措施有屏蔽、隔離、濾波、吸波、接地等。其中屏蔽是應用最多的方法。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l屏蔽可以有效地抑制電磁信息向外泄漏，衰減外界強電磁干擾，保護內(nèi)部的設(shè)備、器件或電路，使其能在惡劣的電磁環(huán)境下正常工作。屏蔽體一般是用導電和導磁性能較好的金屬板制成。正確設(shè)計的屏蔽體，配合濾吸、隔離、接地等技術(shù)措施，可以

22、達到80db以上的屏蔽效能（頻率范圍為10KHz10000MHz）。l屏蔽的三種類型：電屏蔽：電屏蔽：電屏蔽是將電子元器件或設(shè)備用金屬屏蔽層包封起來，避免它們之間通過耦合引起干擾而采取的措施。磁屏蔽：磁屏蔽：磁屏蔽是采用導磁性好的材料包封起被屏蔽物，為屏蔽體內(nèi)外的磁場提供低磁阻的通路來分流磁場，避免磁場干擾，抑制磁場輻射。電磁屏蔽：電磁屏蔽：電磁屏蔽是對電磁場進行屏蔽。因為電場和磁場一般不孤立存在，所以這也是主要的屏蔽措施。平時所說屏蔽，一般指電磁屏蔽。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l金屬板屏蔽 l金屬柵網(wǎng)屏蔽：金屬板制作的屏蔽體可以獲得理想的屏蔽效能，但許多場合不能用金

23、屬板做屏蔽材料，如需要透光、通風和需柔性安裝、折疊運輸?shù)奶厥鈭龊?，需要采用柔性金屬柵網(wǎng)做屏蔽體。一般來說，金屬柵網(wǎng)做屏蔽體對電磁波的衰減作用比金屬板要差得多。因為金屬絲很細，又充滿孔洞，金屬網(wǎng)的屏蔽作用主要是反射損耗。試驗表明，孔越多，孔的面積越大，所起的屏蔽作用越小。 l多層屏蔽：多層屏蔽是為了得到更好的屏蔽效能而采取的措施。有時需要對電場和磁場兩者都有較好的防護，有時需要柔性屏蔽，但單層金屬柵網(wǎng)的屏蔽效能又不能滿足要求。在這些特殊情況下，采用雙層或多層屏蔽材料做屏蔽體，可得到更好的效果。 l薄膜屏蔽：在不便構(gòu)造屏蔽室的場合可采用金屬箔粘貼方式屏蔽；還可采用噴涂的方式在基體上覆蓋一層薄金屬涂

24、層起到吸波、屏蔽作用；為防射頻輻射，可采用金屬薄膜包裝材料，在運輸和儲存期間保護重要的電子媒體和電子器件等。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l濾波器是由電阻、電容、電感等器件構(gòu)成的一種無源網(wǎng)絡，它可讓一定頻率范圍內(nèi)的電信號通過而阻止其他頻率的電信號，從而起到濾波作用。在有導線連接或阻抗耦合的情況下，進出線采用濾波器可阻止強干擾。從限制帶寬的種類看，濾波器可分為低通、帶通和高通濾波器，其中使用較多的是低通濾波器。l最簡單的低通濾波器是由電感或電容組成。將電阻、電容、電感一起使用，可構(gòu)成性能更好的型、型和T型低通濾波器。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l接地

25、：接地對電磁兼容來說十分重要，它不僅可起到保護作用，而且可使屏蔽體、濾波器等集聚的電荷迅速排放到大地，從而減小干擾。作為電磁兼容要求的地線最好單獨埋放，對其地阻、接地點等均有很高的要求。l可在電纜入口處增加一個浪涌抑制器。這種浪涌抑制器與地線直接連接，平時阻抗很高，與大地絕緣，電纜通過它正常地向計算機傳輸動力或信號。一旦強電磁脈沖到來，浪涌抑制器自動變?yōu)榈妥杩?，使電磁能量泄放到大地。l除此之外，還應盡量減小天線和連接電纜長度，盡量減少感應環(huán)路面積，從而降低感應電壓?？刹扇〗g扭信號線、導線貼近地面等措施。由于電子性能靈敏的器件更易受瞬時感應電壓的影響，在電路設(shè)計時，如果不靈敏的器件可滿足功能要求

26、，就盡量采用不太靈敏器件，而必須采用的靈敏器件要采取屏蔽、浪涌保護等措施。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l我國2000年1月1日起實施的計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定第二章第六條規(guī)定，“涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡相連接，必須實行物理隔離”。因此，“物理隔離技術(shù)”應運而生。l物理隔離技術(shù)的目標是確保把有害的攻擊隔離，在可信網(wǎng)絡之外和保證可信網(wǎng)絡內(nèi)部信息不外泄的前提下，完成網(wǎng)間數(shù)據(jù)的安全交換。物理隔離技術(shù)是在原有安全技術(shù)的基礎(chǔ)上發(fā)展起來的、一種全新的安全防護技術(shù)。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l物理隔

27、離，在安全上的要求主要有三點：在物理傳導上使內(nèi)外網(wǎng)絡隔斷，確保外部網(wǎng)不能通過網(wǎng)絡連接而侵入內(nèi)部網(wǎng)；同時防止內(nèi)部網(wǎng)信息通過網(wǎng)絡連接泄漏到外部網(wǎng)。在物理輻射上隔斷內(nèi)部網(wǎng)與外部網(wǎng)，確保內(nèi)部網(wǎng)信息不會通過電磁輻射或耦合方式泄漏到外部網(wǎng)。在物理存儲上隔斷兩個網(wǎng)絡環(huán)境，對于斷電后會遺失信息的部件，如內(nèi)存、處理器等暫存部件，要在網(wǎng)絡轉(zhuǎn)換時作清除處理，防止殘留信息出網(wǎng)；對于斷電非遺失性設(shè)備如磁帶機、硬盤等存儲設(shè)備，內(nèi)部網(wǎng)與外部網(wǎng)信息要分開存儲。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l第一階段徹底的物理隔離利用物理隔離卡、安全隔離計算機和隔離集線器（交換機）所產(chǎn)生的網(wǎng)絡隔離，是徹底的物理隔離，兩個

28、網(wǎng)絡之間沒有信息交流，所以也就可以抵御所有的網(wǎng)絡攻擊，它們適用于一臺終端（或一個用戶）需要分時訪問兩個不同的、物理隔離的網(wǎng)絡的應用環(huán)境。 l第二階段協(xié)議隔離 協(xié)議隔離是采用專用協(xié)議（非公共協(xié)議）來對兩個網(wǎng)絡進行隔離，并在此基礎(chǔ)上實現(xiàn)兩個網(wǎng)絡之間的信息交換。協(xié)議隔離技術(shù)由于存在直接的物理和邏輯連接，仍然是數(shù)據(jù)包的轉(zhuǎn)發(fā)，一些攻擊依然出現(xiàn)。 l第三階段物理隔離網(wǎng)閘技術(shù) 能夠?qū)崿F(xiàn)高速的網(wǎng)絡隔離，高效的內(nèi)外網(wǎng)數(shù)據(jù)交換，且應用支持做到全透明。它創(chuàng)建一個這樣的環(huán)境：內(nèi)、外網(wǎng)絡在物理上斷開，但卻邏輯地相連，通過分時操作來實現(xiàn)兩個網(wǎng)絡之間更安全的信息交換。該技術(shù)在國外稱之為Gap Technology，意為物理

29、隔離。 計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)技術(shù)手段優(yōu) 點缺 點典型產(chǎn)品徹底的物理隔離能夠抵御所有的網(wǎng)絡攻擊兩個網(wǎng)絡之間沒有信息交流聯(lián)想網(wǎng)御物理隔離卡、開天雙網(wǎng)安全電腦以及偉思網(wǎng)絡安全隔離集線器協(xié)議隔離 能抵御基于TCP/IP協(xié)議的網(wǎng)絡掃描與攻擊等行為有些攻擊可穿越網(wǎng)絡京泰安全信息交流系統(tǒng)2.0、東方DF-NS310物理隔離網(wǎng)關(guān)物理隔離網(wǎng)閘不但實現(xiàn)了高速的數(shù)據(jù)交換，還有效地杜絕了基于網(wǎng)絡的攻擊行為應用種類受到限制偉思ViGAP、天行安全隔離網(wǎng)閘(TopWalk-GAP)和聯(lián)想網(wǎng)御SIS3000系列安全隔離網(wǎng)閘計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l任何安全都是有代

30、價的，由于物理隔離導致的使用不方便、內(nèi)外數(shù)據(jù)交換不方便是難以避免的。但物理隔離技術(shù)應該做到以下幾點，才能滿足市場的需求。高度安全：物理隔離要從物理鏈路上切斷網(wǎng)絡連接，才能有別于“軟”安全技術(shù)，達到一個更高的安全層次。較低成本：如果物理隔離的成本超過了兩套網(wǎng)絡的建設(shè)費用，那么相當程度上就失去了意義。容易部署：這和降低成本是相輔相成的。操作簡單：物理隔離技術(shù)應用的對象是普通的工作人員，因此，客戶端的操作要簡單，用戶才能方便的使用。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l定義：安全管理是指計算機網(wǎng)絡的系統(tǒng)管理。包括了應用管理、可用性管理、性能管理、服務管理、系統(tǒng)管理、存儲/數(shù)據(jù)管理等內(nèi)

31、容。所以，安全管理功能可概括為OAMP，即計算機網(wǎng)絡的運行（Operation）、處理（Administration）、維護（Maintenance）、服務提供（Provisioning）等所需要的各種活動。有時也考慮前三種，即把安全管理功能歸結(jié)為OAM。l計算機網(wǎng)絡安全管理的主要功能：國際標準化組織（ISO）在ISO/IEC 7498-4文檔中定義了開放系統(tǒng)的計算機網(wǎng)絡管理的五大功能，它們是：故障管理功能，配置管故障管理功能，配置管理功能，性能管理功能理功能，性能管理功能，安全管理功能和計費，安全管理功能和計費管理功能。管理功能。其他一些管理功能，比如網(wǎng)絡規(guī)劃、網(wǎng)絡管理者的管理等均不在這五個

32、功能之內(nèi)。 計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l故障管理（Fault Management）是網(wǎng)絡管理中最基本的功能之一，即對網(wǎng)絡非正常的操作引起的故障進行檢查、診斷和排除。保證網(wǎng)絡能夠提供連續(xù)、可靠的服務。它的功能包括：檢測被管對象的差錯，或接收被管對象的錯誤檢測報告并做出響應；當存在空閑設(shè)備或迂回路由時，提供新的網(wǎng)絡資源用于服務；創(chuàng)建和維護差錯日志庫，并對差錯日志進行分析；進行診斷和測試，以追蹤和確定故障位置、故障性質(zhì)；糾正錯誤：通過資源更換或維護，以及其他恢復措施使其重新開始服務。l故障管理功能是利用標準協(xié)議SNMP和RMON來實現(xiàn)的。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安

33、 全全 技技 術(shù)術(shù)l配置管理（Configuration Management）就是定義、收集、監(jiān)測和管理系統(tǒng)的配置參數(shù)，使得網(wǎng)絡性能達到最優(yōu)。配置參數(shù)包括（但不局限于）設(shè)備資源、它們的容量和屬性，以及它們之間的關(guān)系。 l配置管理需要進行的操作內(nèi)容包括：鑒別被管對象，標識被管對象；設(shè)置被管對象的參數(shù)，如初始化被管對象，路由操作的參數(shù)；改變被管對象的操作特性，報告被管對象的狀態(tài)變化；關(guān)閉、刪除被管對象。l配置管理的目的是為了隨時了解系統(tǒng)網(wǎng)絡的拓撲結(jié)構(gòu)以及所交換的信息，包括連接前靜態(tài)設(shè)定的和連接后動態(tài)更新的；實現(xiàn)某個特定功能或使網(wǎng)絡性能達到最佳。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)

34、l性能管理（Performance Management）用于收集分析有關(guān)被管網(wǎng)絡當前狀況的數(shù)據(jù)信息，并維持和分析性能日志。典型的網(wǎng)絡性能管理分成性能監(jiān)測和網(wǎng)絡控制兩部分。性能管理以網(wǎng)絡性能為準則收集、分析和調(diào)整被管對象的狀態(tài)，其目的是保證網(wǎng)絡可以提供可靠、連續(xù)的通信能力并使用最少網(wǎng)絡資源和具有最少時延。l功能包括：收集和分發(fā)、統(tǒng)計與性能有關(guān)的數(shù)據(jù)信息；維護系統(tǒng)性能的歷史記錄；模擬各種操作的系統(tǒng)模型；分析當前統(tǒng)計數(shù)據(jù)，以檢測性能故障，產(chǎn)生性能告警、報告性能事件；確定自然和人工狀況下系統(tǒng)的性能；改變系統(tǒng)操作模式以進行系統(tǒng)性能管理的操作。計計 算算 機機 網(wǎng)網(wǎng) 絡絡 安安 全全 技技 術(shù)術(shù)l安全管理（Security Management）是指監(jiān)視、審查和控制用戶對網(wǎng)絡的訪問，并產(chǎn)生安全日志，以保證合法用戶對網(wǎng)絡的訪問。在內(nèi)聯(lián)網(wǎng)中，安全管理一般是由專門的軟件分擔，如防火墻軟件。l網(wǎng)絡安全管理應包括對授權(quán)機制、訪問控制、加密和密鑰的管理，另外還