《計算機網(wǎng)絡(luò)與信息安全技術(shù)》電子課件CH13物理安全和_第1頁
《計算機網(wǎng)絡(luò)與信息安全技術(shù)》電子課件CH13物理安全和_第2頁
《計算機網(wǎng)絡(luò)與信息安全技術(shù)》電子課件CH13物理安全和_第3頁
《計算機網(wǎng)絡(luò)與信息安全技術(shù)》電子課件CH13物理安全和_第4頁
《計算機網(wǎng)絡(luò)與信息安全技術(shù)》電子課件CH13物理安全和_第5頁
已閱讀5頁,還剩55頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

物理安全和系統(tǒng)隔離技術(shù)第13章物理安全和系統(tǒng)隔離技術(shù)第13章基本內(nèi)容網(wǎng)絡(luò)和信息安全離不開設(shè)備安全,只有確保實體的安全才能談得上使用安全。本章介紹物理實體安全與隔離技術(shù)相關(guān)知識?;緝?nèi)容網(wǎng)絡(luò)和信息安全離不開設(shè)備安全,只有確保實體的安全才能13.1物理安全技術(shù)13.1概述

物理安全又叫實體安全(PhysicalSecurity),是保護計算機設(shè)備、設(shè)施(網(wǎng)絡(luò)及通信線路)免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故(如電磁污染等)破壞的措施和過程。實體安全技術(shù)主要是指對計算機及網(wǎng)絡(luò)系統(tǒng)的環(huán)境、場地、設(shè)備和通信線路等采取的安全技術(shù)措施。物理安全技術(shù)實施的目的是保護計算機及通信線路免遭水、火、有害氣體和其他不利因素(人為失誤、犯罪行為)的損壞。13.1物理安全技術(shù)13.1概述物理安全又叫實體影響計算機網(wǎng)絡(luò)實體安全的主要因素如下:1)計算機及其網(wǎng)絡(luò)系統(tǒng)自身存在的脆弱性因素。2)各種自然災(zāi)害導(dǎo)致的安全問題。3)由于人為的錯誤操作及各種計算機犯罪導(dǎo)致的安全問題。13.1.2影響物理安全的因素

物理安全包括:環(huán)境安全、電源系統(tǒng)安全、設(shè)備安全和通信線路安全。13.1物理安全技術(shù)影響計算機網(wǎng)絡(luò)實體安全的主要因素如下:13.1.213.1.3物理安全的內(nèi)容

1)環(huán)境安全:應(yīng)具備消防報警、安全照明、不間斷供電、溫濕度控制系統(tǒng)和防盜報警。2)電源系統(tǒng)安全:電源安全主要包括電力能源供應(yīng)、輸電線路安全、保持電源的穩(wěn)定性等。3)設(shè)備安全:要保證硬件設(shè)備隨時處于良好的工作狀態(tài),建立健全使用管理規(guī)章制度,建立設(shè)備運行日志。同時要注意保護存儲媒體的安全性,包括存儲媒體自身和數(shù)據(jù)的安全。4)通信線路安全:包括防止電磁信息的泄漏、線路截獲,以及抗電磁干擾。13.1物理安全技術(shù)13.1.3物理安全的內(nèi)容1)環(huán)境安全:應(yīng)具備物理安全包括以下主要內(nèi)容:1)計算機機房的場地、環(huán)境及各種因素對計算機設(shè)備的影響。2)計算機機房的安全技術(shù)要求。3)計算機的實體訪問控制。4)計算機設(shè)備及場地的防火與防水。5)計算機系統(tǒng)的靜電防護。6)計算機設(shè)備及軟件、數(shù)據(jù)的防盜防破壞措施。7)計算機中重要信息的磁介質(zhì)的處理、存儲和處理手續(xù)的有關(guān)問題。

13.1.3物理安全的內(nèi)容(續(xù))13.1物理安全技術(shù)物理安全包括以下主要內(nèi)容:13.1.3物13.1.4物理安全涉及的主要技術(shù)標準

(1)GB/T2887-2000

《電子計算機場地通用規(guī)范》

(2)GB/T9361-1988

《計算站場地安全要求》

(3)GB/T14715-1993

《信息技術(shù)設(shè)備用UPS通用技術(shù)條件》

(4)GB50174-1993

《電子計算機機房設(shè)計規(guī)范》

計算機機房建設(shè)至少應(yīng)遵循國標GB/T2887-2000和GB/T9361-1988,滿足防火、防磁、防水、防盜、防電擊、防蟲害等要求,并配備相應(yīng)的設(shè)備。13.1物理安全技術(shù)13.1.4物理安全涉及的主要技術(shù)標準(1)GB/T13.2電磁防護與通信線路安全13.2.1電磁兼容和電磁輻射的防護

計算機網(wǎng)絡(luò)系統(tǒng)的各種設(shè)備都屬于電子設(shè)備,在工作時都不可避免地會向外輻射電磁波,同時也會受到其他電子設(shè)備的電磁波干擾,當(dāng)電磁干擾達到一定的程度就會影響設(shè)備的正常工作。電磁輻射泄密的危險。13.2電磁防護與通信線路安全13.2.1電磁兼容和電磁13.2電磁防護與通信線路安全13.2.1電磁兼容和電磁輻射的防護

電磁輻射防護的措施:(1)一類是對傳導(dǎo)發(fā)射的防護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導(dǎo)線間的交叉耦合;(2)對輻射的防護可分為:

1)采用各種電磁屏蔽措施,如對設(shè)備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;

2)干擾的防護措施,即在計算機系統(tǒng)工作的同時,利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。

13.2電磁防護與通信線路安全13.2.1電磁兼容和電磁13.2電磁防護與通信線路安全13.2.1電磁兼容和電磁輻射的防護

抗干擾措施:(1)屏蔽(2)濾波(3)隔離(4)接地13.2電磁防護與通信線路安全13.2.1電磁兼容和電磁

用一種簡單(但很昂貴)的高技術(shù)加壓電纜,可以獲得通信線路上的物理安全。

通信電纜密封在塑料套管中,并在線纜的兩端充氣加壓。線上連接了帶有報警器的監(jiān)示器,用來測量壓力。如果壓力下降,則意味電纜可能被破壞了,技術(shù)人員還可以進一步檢測出破壞點的位置,以便及時進行修復(fù)。

距離大于最大長度限制的系統(tǒng)之間,不采用光纖線通信;或加強復(fù)制器的安全,如用加壓電纜、警報系統(tǒng)和加強警衛(wèi)等措施。

Modem的安全性。13.2電磁防護與通信線路安全13.2.2通信線路安全技術(shù)用一種簡單(但很昂貴)的高技術(shù)加壓電纜,可以13.3系統(tǒng)隔離技術(shù)13.3.1隔離的概念

安全域是以信息涉密程度劃分的網(wǎng)絡(luò)空間。涉密域就是涉及國家秘密的網(wǎng)絡(luò)空間。非涉密域就是不涉及國家的秘密,但是涉及本單位,本部門或者本系統(tǒng)的工作秘密的網(wǎng)絡(luò)空間。公共服務(wù)域是指既不涉及國家秘密也不涉及工作秘密,是一個向因特網(wǎng)絡(luò)完全開放的公共信息交換空間。

1、安全域電子政務(wù)的內(nèi)網(wǎng)和外網(wǎng)要實行嚴格的物理隔離。政務(wù)的外網(wǎng)和因特網(wǎng)絡(luò)要實行邏輯隔離,按照安全域的劃分,政府的內(nèi)網(wǎng)就是涉密域,政府的外網(wǎng)就是非涉密域,因特網(wǎng)就是公共服務(wù)域。13.3系統(tǒng)隔離技術(shù)13.3.1隔離的概念安全域網(wǎng)絡(luò)隔離(NetworkIsolation),主要是指把兩個或兩個以上可路由的網(wǎng)絡(luò)(如TCP/IP)通過不可路由的協(xié)議(如IPX/SPX、NetBEUI等)進行數(shù)據(jù)交換而達到隔離目的。由于其原理主要是采用了不同的協(xié)議,所以通常也叫協(xié)議隔離(ProtocolIsolation)。

2、網(wǎng)絡(luò)隔離

第一代隔離技術(shù)——完全的隔離第二代隔離技術(shù)——硬件卡隔離第三代隔離技術(shù)——數(shù)據(jù)轉(zhuǎn)播隔離第四代隔離技術(shù)——空氣開關(guān)隔離第五代隔離技術(shù)——安全通道隔離13.3系統(tǒng)隔離技術(shù)13.3.1隔離的概念網(wǎng)絡(luò)隔離(NetworkIsolation),主要右圖表示沒有連接時內(nèi)外網(wǎng)的應(yīng)用狀況,從連接特征可以看出這樣的結(jié)構(gòu)從物理上完全分離。

13.3系統(tǒng)隔離技術(shù)13.3.2網(wǎng)絡(luò)隔離的原理右圖表示沒有連接時內(nèi)外網(wǎng)的應(yīng)用狀況,從連接特征可以看

當(dāng)外網(wǎng)需要有數(shù)據(jù)到達內(nèi)網(wǎng)的時候,以電子郵件為例,外部的服務(wù)器立即發(fā)起對隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接,隔離設(shè)備將所有的協(xié)議剝離,將原始的數(shù)據(jù)寫入存儲介質(zhì)。13.3系統(tǒng)隔離技術(shù)13.3.2網(wǎng)絡(luò)隔離的原理當(dāng)外網(wǎng)需要有數(shù)據(jù)到達內(nèi)網(wǎng)的時候,以電子郵件為例,外部

一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì),隔離設(shè)備立即中斷與外網(wǎng)的連接。轉(zhuǎn)而發(fā)起對內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)后,立即進行TCP/IP的封裝和應(yīng)用協(xié)議的封裝,并交給應(yīng)用系統(tǒng)。

在控制臺收到完整的交換信號之后,隔離設(shè)備立即切斷隔離設(shè)備于內(nèi)網(wǎng)的直接連接

13.3系統(tǒng)隔離技術(shù)13.3.2網(wǎng)絡(luò)隔離的原理一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì),隔離設(shè)備立即中斷

內(nèi)網(wǎng)有電子郵件要發(fā)出,隔離設(shè)備收到內(nèi)網(wǎng)建立連接的請求之后,建立與內(nèi)網(wǎng)之間的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備剝離所有的TCP/IP協(xié)議和應(yīng)用協(xié)議,得到原始的數(shù)據(jù),將數(shù)據(jù)寫入隔離設(shè)備的存儲介質(zhì)。

13.3系統(tǒng)隔離技術(shù)13.3.2網(wǎng)絡(luò)隔離的原理內(nèi)網(wǎng)有電子郵件要發(fā)出,隔離設(shè)備收到內(nèi)網(wǎng)建立連接的請求

一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì),隔離設(shè)備立即中斷與內(nèi)網(wǎng)的連接。轉(zhuǎn)而發(fā)起對外網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲介質(zhì)內(nèi)的數(shù)據(jù)推向外網(wǎng)。外網(wǎng)收到數(shù)據(jù)后,立即進行TCP/IP的封裝和應(yīng)用協(xié)議的封裝,并交給系統(tǒng)

13.3系統(tǒng)隔離技術(shù)13.3.2網(wǎng)絡(luò)隔離的原理一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì),隔離設(shè)備立即中斷

每一次數(shù)據(jù)交換,隔離設(shè)備經(jīng)歷了數(shù)據(jù)的接受、存儲和轉(zhuǎn)發(fā)三個過程。由于這些規(guī)則都是在內(nèi)存和內(nèi)核中完成的,因此速度上有保證,可以達到100%的總線處理能力。物理隔離的一個特征,就是內(nèi)網(wǎng)與外網(wǎng)永不連接,內(nèi)網(wǎng)和外網(wǎng)在同一時間最多只有一個同隔離設(shè)備建立非TCP/IP協(xié)議的數(shù)據(jù)連接。其數(shù)據(jù)傳輸機制是存儲和轉(zhuǎn)發(fā)。物理隔離的好處是明顯的,即使外網(wǎng)在處在最壞的情況下,內(nèi)網(wǎng)也不會有任何破壞,修復(fù)外網(wǎng)系統(tǒng)也非常容易。13.3系統(tǒng)隔離技術(shù)13.3.2網(wǎng)絡(luò)隔離的原理每一次數(shù)據(jù)交換,隔離設(shè)備經(jīng)歷了數(shù)據(jù)的接受、存儲和轉(zhuǎn)發(fā)1.基于代碼、內(nèi)容等隔離的反病毒和內(nèi)容過濾技術(shù)

2.基于網(wǎng)絡(luò)層隔離的防火墻技術(shù)3.基于物理鏈路層的物理隔離技術(shù)

13.3系統(tǒng)隔離技術(shù)13.3.2網(wǎng)絡(luò)隔離技術(shù)分類1.基于代碼、內(nèi)容等隔離的反病毒和內(nèi)容過濾技術(shù)2.1.網(wǎng)絡(luò)隔離技術(shù)需要具有的安全要點2.網(wǎng)絡(luò)隔離的關(guān)鍵點

隔離的關(guān)鍵點就成了要盡量提高網(wǎng)間數(shù)據(jù)交換的速度,并且對應(yīng)用能夠透明支持,以適應(yīng)復(fù)雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換。

要具有高度的自身安全性要確保網(wǎng)絡(luò)之間是隔離的要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù)要對網(wǎng)間的訪問進行嚴格的控制和檢查要在堅持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明

13.3系統(tǒng)隔離技術(shù)13.3.4網(wǎng)絡(luò)隔離技術(shù)要點與發(fā)展方向1.網(wǎng)絡(luò)隔離技術(shù)需要具有的安全要點2.網(wǎng)絡(luò)隔離的關(guān)鍵點3.隔離技術(shù)的未來發(fā)展方向

通過專用通信設(shè)備、專有安全協(xié)議和加密驗證機制及應(yīng)用層數(shù)據(jù)提取和鑒別認證技術(shù),進行不同安全級別網(wǎng)絡(luò)之間的數(shù)據(jù)交換,徹底阻斷網(wǎng)絡(luò)間的直接TCP/IP連接,同時對網(wǎng)間通信的雙方、內(nèi)容、過程施以嚴格的身份認證、內(nèi)容過濾、安全審計等多種安全防護機制,從而保證了網(wǎng)間數(shù)據(jù)交換的安全、可控,杜絕了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身漏洞帶來的安全風(fēng)險。13.3系統(tǒng)隔離技術(shù)13.3.4網(wǎng)絡(luò)隔離技術(shù)要點與發(fā)展方向3.隔離技術(shù)的未來發(fā)展方向通過專用通信設(shè)備、專有安網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。物理隔離網(wǎng)閘所連接的兩個獨立主機系統(tǒng)之間不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議,不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā),只有數(shù)據(jù)文件的無協(xié)議“擺渡”,且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。所以,物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使“黑客”無法入侵、無法攻擊、無法破壞,實現(xiàn)了真正的安全。13.4隔離網(wǎng)閘網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個13.4.1網(wǎng)閘的發(fā)展網(wǎng)閘,又稱安全隔離與信息交換系統(tǒng),是新一代高安全度的企業(yè)級信息安全防護設(shè)備,它依托安全隔離技術(shù)為信息網(wǎng)絡(luò)提供了更高層次的安全防護能力,不僅使得信息網(wǎng)絡(luò)的抗攻擊能力大大增強,而且有效地防范了信息外泄事件的發(fā)生。第一代網(wǎng)閘的技術(shù)原理是利用單刀雙擲開關(guān)使得內(nèi)外網(wǎng)的處理單元分時存取共享存儲設(shè)備來完成數(shù)據(jù)交換的。安全原理是通過應(yīng)用層數(shù)據(jù)提取與安全審查達到杜絕基于協(xié)議層的攻擊和增強應(yīng)用層安全的效果。第二代網(wǎng)閘正是在吸取了第一代網(wǎng)閘優(yōu)點的基礎(chǔ)上,利用專用交換通道PET(PrivateExchangeTunnel)技術(shù),在不降低安全性的前提下能夠完成內(nèi)外網(wǎng)之間高速的數(shù)據(jù)交換,有效地克服了第一代網(wǎng)閘的弊端。第二代網(wǎng)閘的安全數(shù)據(jù)交換過程是通過專用硬件通信卡、私有通信協(xié)議和加密簽名機制來實現(xiàn)。13.4隔離網(wǎng)閘13.4.1網(wǎng)閘的發(fā)展網(wǎng)閘,又稱安全隔離與信息13.4.2網(wǎng)閘的工作原理隔離網(wǎng)閘(安全隔離與信息交換,GAP),是在保證兩個網(wǎng)絡(luò)安全隔離的基礎(chǔ)上實現(xiàn)安全信息交換和資源共享的技術(shù)。13.4隔離網(wǎng)閘13.4.2網(wǎng)閘的工作原理隔離網(wǎng)閘(安全隔離與13.4.3隔離網(wǎng)閘的特點

1)專用硬件設(shè)計保證了物理隔離下的信息交流。GAP均采用專用隔離硬件的設(shè)計完成隔離功能,硬件設(shè)計保證在任意時刻網(wǎng)絡(luò)間的鏈路層斷開,阻斷TCP/IP協(xié)議以及其他網(wǎng)絡(luò)協(xié)議;同時該硬件不提供編程軟接口,不受系統(tǒng)控制,僅提供物理上的控制開關(guān)。這樣黑客無法從遠程獲得硬件的控制權(quán)。

2)集合多種安全技術(shù)消除數(shù)據(jù)交換中的安全隱患。在專用硬件基礎(chǔ)上,緊密集成了內(nèi)核防護、協(xié)議轉(zhuǎn)化、病毒查殺、身份驗證、訪問控制、安全審計等模塊。這些模塊可以與隔離硬件結(jié)合形成整體的防御體系。

3)網(wǎng)閘以安全隔離為基礎(chǔ),并集成多種防護技術(shù),其軟硬一體設(shè)計形成整體多層面的安全防護。

4)靈活高效數(shù)據(jù)交換形式確保應(yīng)用需求。GAP產(chǎn)品都提供了多種數(shù)據(jù)交換方式以滿足業(yè)務(wù)應(yīng)用。如公安部信息通信局與天行網(wǎng)安公司聯(lián)合研制的天行安全隔離網(wǎng)閘(Topwalk-GAP)提供了文件交換、郵件交換、數(shù)據(jù)庫交換和提供API應(yīng)用接口的消息模塊,同時具有較高的傳輸速率和低延遲性。

13.4隔離網(wǎng)閘13.4.3隔離網(wǎng)閘的特點1)專用硬件設(shè)計保13.5典型產(chǎn)品介紹

天御6000網(wǎng)絡(luò)物理隔離系統(tǒng)13.5典型產(chǎn)品介紹天御6000網(wǎng)絡(luò)物理隔離系統(tǒng)13.5典型產(chǎn)品介紹

天御6000系列網(wǎng)絡(luò)物理隔離系統(tǒng)是由北京和信網(wǎng)安科技有限公司與中國科學(xué)院中力機電新技術(shù)有限公司聯(lián)合開發(fā)的網(wǎng)絡(luò)安全產(chǎn)品。在保證內(nèi)外網(wǎng)物理隔離的情況下,實現(xiàn)安全高效的數(shù)據(jù)交換,為解決內(nèi)網(wǎng)的安全問題提供了全新的解決方案。在保證必須安全的前提下,盡可能互聯(lián)互通。

13.5.1產(chǎn)品概況13.5.2安全策略外網(wǎng)服務(wù)器的TCP/IP協(xié)議棧關(guān)閉,內(nèi)外網(wǎng)服務(wù)器之間采用純數(shù)據(jù)進行傳輸內(nèi)網(wǎng)和外網(wǎng)之間采用專有的通訊協(xié)議,有效防止黑客從外網(wǎng)攻入內(nèi)網(wǎng)內(nèi)網(wǎng)向外發(fā)起的連接需經(jīng)過內(nèi)網(wǎng)服務(wù)器的身份認證外網(wǎng)主動發(fā)起的連接無法建立,只有內(nèi)網(wǎng)請求的回應(yīng)數(shù)據(jù)可以進入內(nèi)網(wǎng)13.5典型產(chǎn)品介紹天御6000系列網(wǎng)絡(luò)物理隔13.5典型產(chǎn)品介紹

產(chǎn)品的安裝部署

13.5典型產(chǎn)品介紹產(chǎn)品的安裝部署

物理安全在整個計算機網(wǎng)絡(luò)信息系統(tǒng)安全體系中占有重要地位,也是其他安全措施得以實施并發(fā)揮正常作用的基礎(chǔ)和前提條件。計算機信息系統(tǒng)物理安全的內(nèi)涵是保護計算機信息系統(tǒng)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞。包含的主要內(nèi)容為機房安全技術(shù)、電源系統(tǒng)安全技術(shù)、通信線路安全技術(shù)、計算機系統(tǒng)設(shè)備安全技術(shù)等。

隔離技術(shù)的發(fā)展、現(xiàn)狀及工作原理,重點應(yīng)掌握安全隔離網(wǎng)閘(GAP)的工作原理:協(xié)議控制、數(shù)據(jù)轉(zhuǎn)換、安全審查、身份認證等。同時應(yīng)將安全隔離網(wǎng)閘與傳統(tǒng)防火墻對比地學(xué)習(xí),理解它們間的異同,特別是在安全機制、硬件設(shè)計、網(wǎng)絡(luò)協(xié)議處理、遭攻擊后果等方面的區(qū)別。

本章小結(jié)

物理安全在整個計算機網(wǎng)絡(luò)信息系統(tǒng)安全體系中占有重要地物理安全和系統(tǒng)隔離技術(shù)第13章物理安全和系統(tǒng)隔離技術(shù)第13章基本內(nèi)容網(wǎng)絡(luò)和信息安全離不開設(shè)備安全,只有確保實體的安全才能談得上使用安全。本章介紹物理實體安全與隔離技術(shù)相關(guān)知識?;緝?nèi)容網(wǎng)絡(luò)和信息安全離不開設(shè)備安全,只有確保實體的安全才能13.1物理安全技術(shù)13.1概述

物理安全又叫實體安全(PhysicalSecurity),是保護計算機設(shè)備、設(shè)施(網(wǎng)絡(luò)及通信線路)免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故(如電磁污染等)破壞的措施和過程。實體安全技術(shù)主要是指對計算機及網(wǎng)絡(luò)系統(tǒng)的環(huán)境、場地、設(shè)備和通信線路等采取的安全技術(shù)措施。物理安全技術(shù)實施的目的是保護計算機及通信線路免遭水、火、有害氣體和其他不利因素(人為失誤、犯罪行為)的損壞。13.1物理安全技術(shù)13.1概述物理安全又叫實體影響計算機網(wǎng)絡(luò)實體安全的主要因素如下:1)計算機及其網(wǎng)絡(luò)系統(tǒng)自身存在的脆弱性因素。2)各種自然災(zāi)害導(dǎo)致的安全問題。3)由于人為的錯誤操作及各種計算機犯罪導(dǎo)致的安全問題。13.1.2影響物理安全的因素

物理安全包括:環(huán)境安全、電源系統(tǒng)安全、設(shè)備安全和通信線路安全。13.1物理安全技術(shù)影響計算機網(wǎng)絡(luò)實體安全的主要因素如下:13.1.213.1.3物理安全的內(nèi)容

1)環(huán)境安全:應(yīng)具備消防報警、安全照明、不間斷供電、溫濕度控制系統(tǒng)和防盜報警。2)電源系統(tǒng)安全:電源安全主要包括電力能源供應(yīng)、輸電線路安全、保持電源的穩(wěn)定性等。3)設(shè)備安全:要保證硬件設(shè)備隨時處于良好的工作狀態(tài),建立健全使用管理規(guī)章制度,建立設(shè)備運行日志。同時要注意保護存儲媒體的安全性,包括存儲媒體自身和數(shù)據(jù)的安全。4)通信線路安全:包括防止電磁信息的泄漏、線路截獲,以及抗電磁干擾。13.1物理安全技術(shù)13.1.3物理安全的內(nèi)容1)環(huán)境安全:應(yīng)具備物理安全包括以下主要內(nèi)容:1)計算機機房的場地、環(huán)境及各種因素對計算機設(shè)備的影響。2)計算機機房的安全技術(shù)要求。3)計算機的實體訪問控制。4)計算機設(shè)備及場地的防火與防水。5)計算機系統(tǒng)的靜電防護。6)計算機設(shè)備及軟件、數(shù)據(jù)的防盜防破壞措施。7)計算機中重要信息的磁介質(zhì)的處理、存儲和處理手續(xù)的有關(guān)問題。

13.1.3物理安全的內(nèi)容(續(xù))13.1物理安全技術(shù)物理安全包括以下主要內(nèi)容:13.1.3物13.1.4物理安全涉及的主要技術(shù)標準

(1)GB/T2887-2000

《電子計算機場地通用規(guī)范》

(2)GB/T9361-1988

《計算站場地安全要求》

(3)GB/T14715-1993

《信息技術(shù)設(shè)備用UPS通用技術(shù)條件》

(4)GB50174-1993

《電子計算機機房設(shè)計規(guī)范》

計算機機房建設(shè)至少應(yīng)遵循國標GB/T2887-2000和GB/T9361-1988,滿足防火、防磁、防水、防盜、防電擊、防蟲害等要求,并配備相應(yīng)的設(shè)備。13.1物理安全技術(shù)13.1.4物理安全涉及的主要技術(shù)標準(1)GB/T13.2電磁防護與通信線路安全13.2.1電磁兼容和電磁輻射的防護

計算機網(wǎng)絡(luò)系統(tǒng)的各種設(shè)備都屬于電子設(shè)備,在工作時都不可避免地會向外輻射電磁波,同時也會受到其他電子設(shè)備的電磁波干擾,當(dāng)電磁干擾達到一定的程度就會影響設(shè)備的正常工作。電磁輻射泄密的危險。13.2電磁防護與通信線路安全13.2.1電磁兼容和電磁13.2電磁防護與通信線路安全13.2.1電磁兼容和電磁輻射的防護

電磁輻射防護的措施:(1)一類是對傳導(dǎo)發(fā)射的防護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導(dǎo)線間的交叉耦合;(2)對輻射的防護可分為:

1)采用各種電磁屏蔽措施,如對設(shè)備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;

2)干擾的防護措施,即在計算機系統(tǒng)工作的同時,利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。

13.2電磁防護與通信線路安全13.2.1電磁兼容和電磁13.2電磁防護與通信線路安全13.2.1電磁兼容和電磁輻射的防護

抗干擾措施:(1)屏蔽(2)濾波(3)隔離(4)接地13.2電磁防護與通信線路安全13.2.1電磁兼容和電磁

用一種簡單(但很昂貴)的高技術(shù)加壓電纜,可以獲得通信線路上的物理安全。

通信電纜密封在塑料套管中,并在線纜的兩端充氣加壓。線上連接了帶有報警器的監(jiān)示器,用來測量壓力。如果壓力下降,則意味電纜可能被破壞了,技術(shù)人員還可以進一步檢測出破壞點的位置,以便及時進行修復(fù)。

距離大于最大長度限制的系統(tǒng)之間,不采用光纖線通信;或加強復(fù)制器的安全,如用加壓電纜、警報系統(tǒng)和加強警衛(wèi)等措施。

Modem的安全性。13.2電磁防護與通信線路安全13.2.2通信線路安全技術(shù)用一種簡單(但很昂貴)的高技術(shù)加壓電纜,可以13.3系統(tǒng)隔離技術(shù)13.3.1隔離的概念

安全域是以信息涉密程度劃分的網(wǎng)絡(luò)空間。涉密域就是涉及國家秘密的網(wǎng)絡(luò)空間。非涉密域就是不涉及國家的秘密,但是涉及本單位,本部門或者本系統(tǒng)的工作秘密的網(wǎng)絡(luò)空間。公共服務(wù)域是指既不涉及國家秘密也不涉及工作秘密,是一個向因特網(wǎng)絡(luò)完全開放的公共信息交換空間。

1、安全域電子政務(wù)的內(nèi)網(wǎng)和外網(wǎng)要實行嚴格的物理隔離。政務(wù)的外網(wǎng)和因特網(wǎng)絡(luò)要實行邏輯隔離,按照安全域的劃分,政府的內(nèi)網(wǎng)就是涉密域,政府的外網(wǎng)就是非涉密域,因特網(wǎng)就是公共服務(wù)域。13.3系統(tǒng)隔離技術(shù)13.3.1隔離的概念安全域網(wǎng)絡(luò)隔離(NetworkIsolation),主要是指把兩個或兩個以上可路由的網(wǎng)絡(luò)(如TCP/IP)通過不可路由的協(xié)議(如IPX/SPX、NetBEUI等)進行數(shù)據(jù)交換而達到隔離目的。由于其原理主要是采用了不同的協(xié)議,所以通常也叫協(xié)議隔離(ProtocolIsolation)。

2、網(wǎng)絡(luò)隔離

第一代隔離技術(shù)——完全的隔離第二代隔離技術(shù)——硬件卡隔離第三代隔離技術(shù)——數(shù)據(jù)轉(zhuǎn)播隔離第四代隔離技術(shù)——空氣開關(guān)隔離第五代隔離技術(shù)——安全通道隔離13.3系統(tǒng)隔離技術(shù)13.3.1隔離的概念網(wǎng)絡(luò)隔離(NetworkIsolation),主要右圖表示沒有連接時內(nèi)外網(wǎng)的應(yīng)用狀況,從連接特征可以看出這樣的結(jié)構(gòu)從物理上完全分離。

13.3系統(tǒng)隔離技術(shù)13.3.2網(wǎng)絡(luò)隔離的原理右圖表示沒有連接時內(nèi)外網(wǎng)的應(yīng)用狀況,從連接特征可以看

當(dāng)外網(wǎng)需要有數(shù)據(jù)到達內(nèi)網(wǎng)的時候,以電子郵件為例,外部的服務(wù)器立即發(fā)起對隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接,隔離設(shè)備將所有的協(xié)議剝離,將原始的數(shù)據(jù)寫入存儲介質(zhì)。13.3系統(tǒng)隔離技術(shù)13.3.2網(wǎng)絡(luò)隔離的原理當(dāng)外網(wǎng)需要有數(shù)據(jù)到達內(nèi)網(wǎng)的時候,以電子郵件為例,外部

一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì),隔離設(shè)備立即中斷與外網(wǎng)的連接。轉(zhuǎn)而發(fā)起對內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)后,立即進行TCP/IP的封裝和應(yīng)用協(xié)議的封裝,并交給應(yīng)用系統(tǒng)。

在控制臺收到完整的交換信號之后,隔離設(shè)備立即切斷隔離設(shè)備于內(nèi)網(wǎng)的直接連接

13.3系統(tǒng)隔離技術(shù)13.3.2網(wǎng)絡(luò)隔離的原理一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì),隔離設(shè)備立即中斷

內(nèi)網(wǎng)有電子郵件要發(fā)出,隔離設(shè)備收到內(nèi)網(wǎng)建立連接的請求之后,建立與內(nèi)網(wǎng)之間的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備剝離所有的TCP/IP協(xié)議和應(yīng)用協(xié)議,得到原始的數(shù)據(jù),將數(shù)據(jù)寫入隔離設(shè)備的存儲介質(zhì)。

13.3系統(tǒng)隔離技術(shù)13.3.2網(wǎng)絡(luò)隔離的原理內(nèi)網(wǎng)有電子郵件要發(fā)出,隔離設(shè)備收到內(nèi)網(wǎng)建立連接的請求

一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì),隔離設(shè)備立即中斷與內(nèi)網(wǎng)的連接。轉(zhuǎn)而發(fā)起對外網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲介質(zhì)內(nèi)的數(shù)據(jù)推向外網(wǎng)。外網(wǎng)收到數(shù)據(jù)后,立即進行TCP/IP的封裝和應(yīng)用協(xié)議的封裝,并交給系統(tǒng)

13.3系統(tǒng)隔離技術(shù)13.3.2網(wǎng)絡(luò)隔離的原理一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì),隔離設(shè)備立即中斷

每一次數(shù)據(jù)交換,隔離設(shè)備經(jīng)歷了數(shù)據(jù)的接受、存儲和轉(zhuǎn)發(fā)三個過程。由于這些規(guī)則都是在內(nèi)存和內(nèi)核中完成的,因此速度上有保證,可以達到100%的總線處理能力。物理隔離的一個特征,就是內(nèi)網(wǎng)與外網(wǎng)永不連接,內(nèi)網(wǎng)和外網(wǎng)在同一時間最多只有一個同隔離設(shè)備建立非TCP/IP協(xié)議的數(shù)據(jù)連接。其數(shù)據(jù)傳輸機制是存儲和轉(zhuǎn)發(fā)。物理隔離的好處是明顯的,即使外網(wǎng)在處在最壞的情況下,內(nèi)網(wǎng)也不會有任何破壞,修復(fù)外網(wǎng)系統(tǒng)也非常容易。13.3系統(tǒng)隔離技術(shù)13.3.2網(wǎng)絡(luò)隔離的原理每一次數(shù)據(jù)交換,隔離設(shè)備經(jīng)歷了數(shù)據(jù)的接受、存儲和轉(zhuǎn)發(fā)1.基于代碼、內(nèi)容等隔離的反病毒和內(nèi)容過濾技術(shù)

2.基于網(wǎng)絡(luò)層隔離的防火墻技術(shù)3.基于物理鏈路層的物理隔離技術(shù)

13.3系統(tǒng)隔離技術(shù)13.3.2網(wǎng)絡(luò)隔離技術(shù)分類1.基于代碼、內(nèi)容等隔離的反病毒和內(nèi)容過濾技術(shù)2.1.網(wǎng)絡(luò)隔離技術(shù)需要具有的安全要點2.網(wǎng)絡(luò)隔離的關(guān)鍵點

隔離的關(guān)鍵點就成了要盡量提高網(wǎng)間數(shù)據(jù)交換的速度,并且對應(yīng)用能夠透明支持,以適應(yīng)復(fù)雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換。

要具有高度的自身安全性要確保網(wǎng)絡(luò)之間是隔離的要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù)要對網(wǎng)間的訪問進行嚴格的控制和檢查要在堅持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明

13.3系統(tǒng)隔離技術(shù)13.3.4網(wǎng)絡(luò)隔離技術(shù)要點與發(fā)展方向1.網(wǎng)絡(luò)隔離技術(shù)需要具有的安全要點2.網(wǎng)絡(luò)隔離的關(guān)鍵點3.隔離技術(shù)的未來發(fā)展方向

通過專用通信設(shè)備、專有安全協(xié)議和加密驗證機制及應(yīng)用層數(shù)據(jù)提取和鑒別認證技術(shù),進行不同安全級別網(wǎng)絡(luò)之間的數(shù)據(jù)交換,徹底阻斷網(wǎng)絡(luò)間的直接TCP/IP連接,同時對網(wǎng)間通信的雙方、內(nèi)容、過程施以嚴格的身份認證、內(nèi)容過濾、安全審計等多種安全防護機制,從而保證了網(wǎng)間數(shù)據(jù)交換的安全、可控,杜絕了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身漏洞帶來的安全風(fēng)險。13.3系統(tǒng)隔離技術(shù)13.3.4網(wǎng)絡(luò)隔離技術(shù)要點與發(fā)展方向3.隔離技術(shù)的未來發(fā)展方向通過專用通信設(shè)備、專有安網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。物理隔離網(wǎng)閘所連接的兩個獨立主機系統(tǒng)之間不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議,不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā),只有數(shù)據(jù)文件的無協(xié)議“擺渡”,且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。所以,物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使“黑客”無法入侵、無法攻擊、無法破壞,實現(xiàn)了真正的安全。13.4隔離網(wǎng)閘網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個13.4.1網(wǎng)閘的發(fā)展網(wǎng)閘,又稱安全隔離與信息交換系統(tǒng),是新一代高安全度的企業(yè)級信息安全防護設(shè)備,它依托安全隔離技術(shù)為信息網(wǎng)絡(luò)提供了更高層次的安全防護能力,不僅使得信息網(wǎng)絡(luò)的抗攻擊能力大大增強,而且有效地防范了信息外泄事件的發(fā)生。第一代網(wǎng)閘的技術(shù)原理是利用單刀雙擲開關(guān)使得內(nèi)外網(wǎng)的處理單元分時存取共享存儲設(shè)備來完成數(shù)據(jù)交換的。安全原理是通過應(yīng)用層數(shù)據(jù)提取與安全審查達到杜絕基于協(xié)議層的攻擊和增強應(yīng)用層安全的效果。第二代網(wǎng)閘正是在吸取了第一代網(wǎng)閘優(yōu)點的基礎(chǔ)上,利用專用交換通道PET(PrivateExchangeTunnel)技術(shù),在不降低安全性的前提下能夠完成內(nèi)外網(wǎng)之間高速的數(shù)據(jù)交換,有效地克服了第一代網(wǎng)閘的弊端。第二代網(wǎng)閘的安全數(shù)據(jù)交換過程是通過專用硬件通信卡、私有通信協(xié)議和加密簽名機制來實現(xiàn)。13.4隔離網(wǎng)閘13.4.1網(wǎng)閘的發(fā)展網(wǎng)閘,又稱安全隔離與信息13.4.2網(wǎng)閘的工作原理隔離網(wǎng)閘(安全隔離與信息交換,GAP),是在保證兩個網(wǎng)絡(luò)安全隔離的基礎(chǔ)上實現(xiàn)安全信息交換和資源共

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論