計算機網(wǎng)絡信息安全第5章

第5章物理與環(huán)境平安技術5.1物理平安概述5.2物理平安常見方法5.3網(wǎng)絡機房平安5.4網(wǎng)絡通信平安5.5存儲介質(zhì)平安5.6本章小結(jié)本章思考與練習5.1物理平安概述物理平安也稱實體平安，是指包括環(huán)境、設備和記錄介質(zhì)在內(nèi)的所有支持信息系統(tǒng)運行的硬件的總體平安，是網(wǎng)絡系統(tǒng)平安、可靠、不間斷運行的根本保證，并且確保在對網(wǎng)上信息進行加工處理、公眾效勞、決策支持過程中，不致因設備、介質(zhì)和環(huán)境條件受到人為和自然因素的危害，而引起網(wǎng)上信息喪失、泄露或破壞。因此，必須采取一定的保護措施，實現(xiàn)網(wǎng)絡系統(tǒng)物理平安，防止威脅發(fā)生。物理平安威脅可以分為兩大類，即自然威脅和人為威脅。各種物理平安威脅如圖5-1所示。圖5-1物理威脅示范圖

目前，物理平安防范日益重要，特別是對于大型數(shù)據(jù)中心和網(wǎng)絡系統(tǒng)的平安防范。為此，國家針對物理平安防范需求，制定了詳細的技術標準，主要有：*GB50173—93?電子計算機機房設計標準?；*?計算機站場地技術條件?；*GB9361—88?計算機站場平安要求?；*?計算機信息系統(tǒng)平安通用技術標準?。5.2物理平安常見方法5.2.1防火火災是網(wǎng)絡機房比較普遍的、危害較大的災害之一?；馂牡脑蛑饕校弘娋€破損、電氣短路、抽煙失誤、蓄意放火、接線錯誤、外部火情蔓延到機房內(nèi)，以及技術上或管理上的原因等。通常應采取以下的防火措施：(1)消除火災隱患。(2)設置火災報警系統(tǒng)。(3)配置滅火設備。(4)加強防火管理和操作標準。5.2.2防水水災不僅會浸泡電纜，破壞絕緣，而且會導致計算機設備短路或損壞，為此應采取一定的防護措施：(1)機房內(nèi)不得鋪設水管和蒸汽管道。(2)機房墻壁、天花板、地面應有防水、防潮性能。(3)通有水管的地方應設置止水閥和排水溝。(4)不要把機房設置在樓房底層或地下室，以防水浸蝕或受潮。(5)如有通往機房的電纜溝，要防止下雨時電纜溝進水漫到機房。通往機房地溝的墻壁和地面應能防水滲透。

5.2.3防震震動對網(wǎng)絡設備會造成不同程度的損壞，特別是一些高速運轉(zhuǎn)的設備。因此，防震也是保護網(wǎng)絡設備的重要措施之一。通常防震的平安措施有：(1)網(wǎng)絡機房所在的建筑物應具有抗地震能力。(2)網(wǎng)絡機柜和設備要固定牢靠，并安裝防震裝置。(3)加強平安操作管理，例如禁止搬動在線運行的網(wǎng)絡設備。5.2.4防盜當網(wǎng)絡系統(tǒng)設備被盜時，損失難以估計，有的能造成系統(tǒng)癱瘓。因此，防盜是網(wǎng)絡系統(tǒng)物理平安防護的又一個重要內(nèi)容。通常采取的防盜措施主要有：(1)設置報警器。(2)鎖定裝置。(3)攝像監(jiān)控。(4)嚴格物理訪問控制。5.2.5防鼠蟲害鼠蟲害也是造成設備故障的因素之一，其主要危害是竄入機房內(nèi)的鼠蟲會咬壞電纜或引起電源短路。據(jù)日本IECC對該國2000個用戶的調(diào)查，在計算機事故中，10%是由鼠害造成的。其受害情況如下：(1)啃食電纜，造成漏電、電源短路。(2)筑窩、排糞，造成斷線、短路，部件腐蝕，接觸不良。

解決鼠蟲害的方法有：(1)盡量減少不必要的洞口或用后予以堵塞，封堵鼠蟲出口洞口。(2)在機房中可利用超聲波驅(qū)鼠，或設置一些捕鼠器械。(3)投放殺鼠藥物，或在電纜上涂上環(huán)己基類防鼠劑。(4)還可在電纜外施加毒餌，以消滅鼠蟲。5.2.6防雷雷擊對網(wǎng)絡設備以及網(wǎng)絡運行有著直接的影響，雷擊有時會損害網(wǎng)絡設備，中斷網(wǎng)絡通信。因此，防雷是網(wǎng)絡物理平安的重要內(nèi)容之一。常見的防雷措施有三種：(1)在網(wǎng)絡設備所處的環(huán)境中安裝避雷針。(2)網(wǎng)絡設備平安接地，并將該“地線〞連通機房的地線網(wǎng)，以確保其平安保護作用。(3)對重要網(wǎng)絡設備安裝專用防雷設施。5.2.7防電磁電磁輻射危險不僅會造成設備無法運行，而且還會引起信息的泄露。因此，電磁防護包含兩個方面的內(nèi)容：一是防止電磁干擾網(wǎng)絡設備的正常運行；二是防止信息通過電磁泄露。一般電磁防護的平安措施有：(1)采用接地的方法，防止外界電磁干擾和設備寄生耦合干擾。(2)采用屏蔽的方法，對信號線、重要設備進行電磁屏蔽，減少外部電器設備的瞬間干擾，防止電磁信號的泄露。(3)選擇適宜場地，遠離電磁干擾源。5.2.8防靜電為了防止靜電損壞網(wǎng)絡設備，通常應采取以下的平安措施：(1)人員服裝采用不易產(chǎn)生靜電的衣料，工作鞋選用低阻值材料制作。(2)控制機房溫、濕度，使其保持在不易產(chǎn)生靜電的范圍內(nèi)。(3)機房地板從地板外表到接地系統(tǒng)的阻值，應能保證防止人身觸電和產(chǎn)生靜電。(4)機房中使用的各種工作臺、柜等，應選擇產(chǎn)生靜電小的材料。(5)在進行網(wǎng)絡設備操作時，應戴防靜電手套。5.2.9平安供電電源直接影響著網(wǎng)絡系統(tǒng)的可靠運轉(zhuǎn)，造成電源不可靠的因素有電壓瞬變、瞬時停電和電壓缺乏等。為了確保網(wǎng)絡不間斷運行，通常應采取下面的平安措施：(1)專用供電線路。重要的網(wǎng)絡設備、效勞器使用專用供電線路，防止干擾。(2)不間斷電源(UPS)。使用UPS為網(wǎng)絡中的重要設備供電，不僅能解決停電問題，而且能應對各種瞬變、噪聲、電壓下降。但是，UPS蓄電池的供電時間有限，不能長時間供電。(3)備用發(fā)電機。在發(fā)生長時間的斷電，而網(wǎng)絡必須運轉(zhuǎn)時，應啟動備用發(fā)電機。5.3網(wǎng)絡機房平安5.3.1網(wǎng)絡機房平安等級網(wǎng)絡機房中的實體是由電子設備、機電設備和光磁材料組成的復雜的系統(tǒng)。這些設備的可靠性和平安性與環(huán)境條件有著密切的關系。如果環(huán)境條件不能滿足設備對環(huán)境的使用要求，就會降低計算機、網(wǎng)絡設備的可靠性和平安性，輕那么造成數(shù)據(jù)或程序出錯、損壞，重那么會加速元器件老化，縮短機器壽命，或發(fā)生故障使系統(tǒng)不能正常運行，嚴重時還會危害設備和人員的平安。根據(jù)GB9361—88，計算機機房分為A、B、C三個根本平安等級，下面分別介紹各級的特點和指標。A級：對計算機機房的平安有嚴格的要求，有完善的計算機機房平安設施。也就是把具有最高平安性和可靠性的系統(tǒng)及其設備應實施的內(nèi)容和條件規(guī)定為A級機房。B級：對計算機機房平安有嚴格的要求，有較完善的計算機機房平安設施。它介于A級和C級之間。C級：對計算機機房的平安有根本的要求，有根本的計算機機房平安設施，即為確保系統(tǒng)做一般運行而要求的最低限度的平安性和可靠性所實施的內(nèi)容及其條件。不同等級的計算機機房平安指標要求如表5-1所示，其中：“—〞表示無要求；“○〞表示有要求或增加要求；“△〞表示要求與前級相同。有關計算機機房的平安級別的詳細要求，可參閱GB9361—88?計算機站場平安要求?。表5-1GB9361—88機房平安等級要求5.3.2網(wǎng)絡機房場地選擇

1．環(huán)境平安性(1)為了防止計算機機房遭到周圍不利環(huán)境的意外侵害，應盡量防止將機房建在易燃易爆的場所，如化工庫、油料庫、液化氣站或煤氣站等火源附近。(2)應避開環(huán)境污染區(qū)，如化工污染區(qū)和有毒氣體、腐蝕性氣體污染區(qū)及塵埃較多的區(qū)域，如石灰廠、水泥廠、礦山等附近。(3)應避開鹽霧區(qū)，如靠近海的區(qū)域或產(chǎn)鹽區(qū)。(4)應避開落雷區(qū)域。2．地質(zhì)可靠性(1)不要建在雜填土、淤泥、流砂層以及地層斷裂的地質(zhì)區(qū)域上。(2)建在山區(qū)的計算機機房，應避開滑坡、泥石流、雪崩、溶洞等地質(zhì)不牢靠的區(qū)域。(3)建在礦區(qū)的計算機機房，應避開采礦崩落區(qū)地段，也應避開有開采價值的礦區(qū)。(4)應避開低洼、潮濕區(qū)域。

3．場地抗電磁干擾性(1)應避開或遠離無線電干擾源和微波線路的強電磁場干擾場所，如播送電視發(fā)射臺、雷達站。根據(jù)國標GB2887—82?計算機場地條件?，機房附近的無線電干擾應小于126dB(0.15～500MHz)，磁場強度應小于800A/m(相當于高斯制的10Oe)。150kW播送電視發(fā)射臺在1000m以外，根本上可以防止電磁場干擾。(2)應避開強電流沖擊和強電磁場干擾的場所，如離開電氣化鐵路、高壓傳輸線、高頻爐、大電機、大功率開關等設備200m以上。4．應避開強振動源和強噪聲源(1)應避開振動源，如沖床、鍛床、爆炸成形的場所。(2)應避開機場、火車站和車輛往來比較頻繁的區(qū)域以及建筑工地、影劇院及其他噪聲區(qū)。(3)應遠離主要通道，并防止機房窗戶直接鄰街。5．機房應防止設在建筑物的高層以及用水設備的下層或隔壁計算機機房應選用專用的建筑物。如果機房是大樓的一局部，應選用二層為宜，一層作為動力、配電、空調(diào)間等。同時，應盡量選擇電力、水源充足，環(huán)境清潔，交通和通信方便的地方。此外，進行機房場地選擇時，還要同時考慮計算機的功能與要求。對于機要部門信息系統(tǒng)的機房，還應考慮機房中的信息射頻不易泄露和被竊取。在機房場地的選擇中，如果不能避開上述不利因素，那么應采取相應的防護措施。5.3.3網(wǎng)絡機房組成機房的組成是根據(jù)計算機系統(tǒng)的性質(zhì)、任務、業(yè)務量大小、所選用計算機設備的類型以及計算機對供電、空調(diào)、空間等方面的要求和管理體制而確定的。按照計算機場地技術要求(GB2887—82)的規(guī)定，計算機機房一般應由主機房、生產(chǎn)用房、輔助用房和辦公用房四局部組成，各局部的用途如下：(1)主機房：用以安裝主機及其外部設備。(2)生產(chǎn)用房：包括用戶工作室、終端室、數(shù)據(jù)錄入室、維護技術室(分軟件維護組和硬件維護組)、維修工作室等。(3)輔助用房：包括電源、空調(diào)、消防、器材、庫房(存放零備件、記錄介質(zhì)、消耗材料和維護工具、設備等)、衛(wèi)生間等。(4)辦公用房：包括主任室、調(diào)度室、會計室、值班室等。

5.4網(wǎng)絡通信平安通信是網(wǎng)絡系統(tǒng)中各節(jié)點信息交換的根底，因此，通信的平安直接影響到網(wǎng)絡系統(tǒng)的正常運行。目前，為了實現(xiàn)網(wǎng)絡通信平安，一般從兩個方面采取平安措施，一是網(wǎng)絡通信設備，二是網(wǎng)絡通信線路。對于重要的核心網(wǎng)絡通信設備，例如路由器、交換機，為了防止這些核心設備出現(xiàn)單點平安故障，一般采取設備冗余措施，即設備之間進行相互備份。而對于通信線路的平安措施也是采取多路通信方式，例如網(wǎng)絡的連接可以通過DDN專線和線。某ISP的網(wǎng)絡拓撲結(jié)構(gòu)如圖5-2所示。由圖可知，該ISP在網(wǎng)絡通信上采取了冗余解決方法，首先是核心的交換機器和路由器都實現(xiàn)了交叉互連；其次，ISP與外部網(wǎng)絡的連接有兩個出口。圖5-2某ISP網(wǎng)絡拓撲結(jié)構(gòu)圖

5.5存儲介質(zhì)平安(1)強化平安管理：*設有專門區(qū)域用于存放介質(zhì)，并有專人負責保管維護。*有關介質(zhì)借用，必須辦理審批和登記手續(xù)。*介質(zhì)分類存放，重要數(shù)據(jù)應進行復制備份兩份以上，分開備份，以備不時之需。*對敏感和重要數(shù)據(jù)及關鍵數(shù)據(jù)，應采取貼密封條或其他平安有效措施，防止被非法拷貝。*報廢的光盤、磁盤、磁帶、硬盤、移動盤必須按規(guī)定程序完全消除敏感數(shù)據(jù)信息。(2)數(shù)據(jù)加密保存。系統(tǒng)中有很高使用價值或很高機密程度的重要數(shù)據(jù)，應采用加密等方法進行保護。目前，Windows2000支持加密文件系統(tǒng)。(3)磁盤陣列。(4)存儲網(wǎng)絡SAN。SAN能夠?qū)崿F(xiàn)高性能、遠距離的傳輸，從而到達高速、異地容災的目的。5.6本

章

小

結(jié)

物理平安是網(wǎng)絡系統(tǒng)平安、可靠、不間斷運行的根底。本章首先引