广东省大学生实验室安全与环保知识竞赛信息安全

1、2011年广东省大学生实验室安全与环保知识竞赛计算机信息安全1竞赛内容防火防爆危险化学品的安全使用及防护实验室生物安全与防护电气安全与防护放射性安全与防护计算机信息安全三废处理验室安全事故的紧急处理与救援食品安全2计算机信息系统安全计算机信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。 计算机信息系统安全包括人的安全、实

2、体安全、信息安全、运行安全。3信息安全竞赛主要内容信息安全包括3 个方面:安全法规安全管理安全技术信息安全法律法规信息安全物理安全日常安全意识4刑法的规定（1）刑法（1997年3月14日修订）第285、第286条分别规定了非法入侵计算机信息系统罪和破坏计算机信息系统罪，共两条四款。第285条 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。5刑法的规定（2）第286条 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。 违

3、反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。 6问题近年来，计算机犯罪的特点已经超越了刑法第285和286条标注的范围。主要是通过，技术手段非法侵入法律规定以外的计算机信息系统，窃取他人账号、密码、虚拟财产（如 游戏装备）等信息，或者对大范围的他人计算机实施非法控制（如 僵尸网络）。这些犯罪行为，都超出了285和286条管辖的范围，刑法原有的规定使司法机关在打击“黑客”犯罪时面临法律困扰。7刑法修正案（1）2009年2

4、月28日上午，十一届全国人大常委会第七次会议在北京人民大会堂举行闭幕会，以161票赞成、4票弃权表决通过中华人民共和国刑法修正案(七)。对于惩治网络“黑客”的违法犯罪行为，刑法增加了相关条款 8刑法修正案（2）（第二款、第三款）：违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。9刑法修正案（3）鉴于之前所述情况，刑法修正案（七）在刑法第285条中增加两款（第二款、第三款）： 提供专

5、门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。10修订带来的变化（1）1、范畴变化。对于军事、金融、政府以外的计算机系统，发生的计算机犯罪进行了界定，尤其是明确刑罚的内容。对于保护商业企业的计算机信息系统，尤为重要。2、刑罚变化。对于计算机犯罪的惩处量刑出现变化，比以前实施更大的惩罚力度。（处三年以上七年以下有期徒刑）11修订带来的变化（2）3、内容变化。（1）在内容上与时俱进，兼顾了对新型计算机犯罪行为的界定和内容描述。关注点从以前的关注入侵，转到新型犯罪行为的描述。（2）对提供

6、黑客工具，编写黑客工具行为，界定为违法行为。总体看这次刑法的变更，解决了长期以来“计算机（互联网）犯罪成本”的问题，为行政司法处罚提供了依据。12计算机信息网络国际联网安全保护管理办法第五条 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息：（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；第二十条 违反法律、行政法规，有本办法第五条、第六条所列行为之一的，由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款13信息安全法律法规14信息安全竞赛主要内容信息安全法律法规信息安全物理安全日常安全意识15信息

7、安全物理安全物理安全（Physical Security）是保护计算机设备、设施（含网络）免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁干扰等）破坏的措施和过程，也称实体安全。物理安全内容环境安全物理隔离电磁防护16环境安全计算机网络通信系统的运行环境应按照国家有关标准设计实施，应具备消防报警、安全照明、不间断供电、温湿度控制系统和防盗报警，以保护系统免受水、火、有害气体、地震、静电的危害。17计算机房场地的安全要求（1）应对计算机及其网络系统的实体访问进行控制。计算机房的设计应考虑减少无关人员进入机房的机会。所有进出计算机房的人都必须通过管理人员控制的地点。特殊需要进入控制区的，应办理

8、手续。每个访问者和带入、带出的物品都应接受检查。同时，计算机房应避免靠近公共区域，避免窗户直接邻街，应安排机房在内（室内靠中央位置），辅助工作区域在外（室内周边位置）。在一个高大的建筑内，计算机房最好不要建在潮湿的底层，也尽量避免建在顶层，因顶层可能会有漏雨和雷电穿窗而入的危险。在有多个办公室的楼层内，计算机机房应至少占据半层，或靠近一边。这样既便于防护，又利于发生火警时的撤离。18计算机房场地的安全要求（2）电梯和楼梯不能直接进入机房。建筑物周围应有足够亮度的照明设施和防止非法进入的设施。外部容易接近的进出口应有栅栏或监控措施，而周边应有物理屏障（隔墙、带刺铁丝网等）和监视报警系统，窗口应采

9、取防范措施，必要时安装自动报警设备。机房进出口须设置应急电话。机房供电系统应将动力照明用电与计算机系统供电线路分开，机房及疏散通道应配备应急照明装置。计算机中心周围100m内不能有危险建筑物。进出机房时要更衣、换鞋，机房的门窗在建造时应考虑封闭性能。照明应达到规定标准。19设备防盗措施早期的防盗，采取增加质量和胶粘的方法。之后又出现了将设备与固定底盘用锁连接。现在某些便携机也采用机壳加锁扣的方法。国外一家公司发明了一种光纤电缆保护设备。这种方法是将光纤电缆连接到每台重要的设备上，光束沿光纤传输，如果通道受阻，则报警。一种更方便的防护措施类似于图书馆、超级市场使用的保护系统。每台重要的设备、每个

10、重要存储媒体和硬件贴上特殊标签（如磁性标签），一旦被盗或未被授权携带外出，检测器就会发出报警信号。视频监视系统是一种更为可靠的防护设备，能对系统运行的外围环境、操作环境实施监控（视）。对重要的机房，还应采取特别的防盗措施，如值班守卫，出入口安装金属防护装置，如安全门、防护窗户。20机房的三度要求机房内的空调系统、去湿机、除尘器是保证计算机系统正常运行的重要设备之一。通过这三种设备使机房的三度要求：温度、湿度和洁净度得到保证，温度：机房温度一般应控制在1822，即（202）。温度过低会导致硬盘无法启动，过高会使元器件性能发生变化，耐压降低，导致不能工作。湿度：相对湿度过高会使电气部分绝缘性降低，

11、加速金属器件的腐蚀，引起绝缘性能下降；而相对湿度过低、过于干燥会导致计算机中某些器件龟裂，印刷电路板变形，特别是静电感应增加，使计算机内信息丢失、损坏芯片，对计算机带来严重危害。机房内的相对湿度一般控制在40%60为好，即（5010）。洁净度：清洁度要求机房尘埃颗粒直径小于0.5，平均每升空气含尘量小于1万颗。灰尘会造成接插件的接触不良、发热元件的散热效率降低、绝缘破坏，甚至造成击穿；灰尘还会增加机械磨损，尤其对驱动器和盘片。21防静电措施静电是由物体间的相互磨擦、接触而产生的。静电产生后，由于它不能泄放而保留在物体内，产生很高的电位（能量不大），而静电放电时发生火花，造成火灾或损坏芯片。计算

12、机信息系统的各个关键电路，诸如CPU、ROM、RAM等大都采用MOS工艺的大规模集成电路，对静电极为敏感，容易因静电而损坏。这种损坏可能是不知不觉造成的。机房内一般应采用乙烯材料装修，避免使用挂毯、地毯等吸尘、容易产生静电的材料。为了防静电机房一般安装防静电地板，并将地板和设备接地以便将物体积聚的静电迅速排泄到大地。机房内的专用工作台或重要的操作台应有接地平板。此外，工作人员的服装和鞋最好用低阻值的材料制作，机房内应保持一定湿度，在北方干燥季节应适当加湿，以免因干燥而产生静电。22电源电源是计算机网络系统正常工作的重要因素。供电设备容量应有一定的富裕量，所提供的功率一般应是全部设备负载的125

13、。计算机房设备最好是采取专线供电，应与其他电感设备（如马达），以及空调、照明、动力等分开；至少应从变压器单独输出一路给计算机使用。为保证设备用电质量和用电安全，电源应至少有两路供电，并应有自动转换开关，当一路供电有问题时，可迅速切换到备用线路供电。应安装备用电源，如长时间不间断电源（UPS），停电后可供电8小时或更长时间。关键的设备应有备用发电机组和应急电源。同时为防止、限制瞬态过压和引导浪涌电流，应配备电涌保护器（过压保护器）。为防止保护器的老化、寿命终止或雷击时造成的短路，在电涌保护器的前端应有诸如熔断器等过电流保护装置。23接地接地是指系统中各处电位均以大地为参考点地线种类保护地：计算机

14、系统内的所有电气设备，包括辅助设备，外壳均应接地。保护地一般是为大电流泄放而接地。机房内保护地的接地电阻4。 直流地，又称逻辑地，是计算机系统的逻辑参考地，即计算机中数字电路的低电位参考地。直流地的接地电阻一般要求2屏蔽地：为避免信息处理设备的电磁干扰，防止电磁信息泄漏，重要的设备和重要的机房要采取屏蔽措施，即用金属体来屏蔽设备和整个机房。一般屏蔽地的接地电阻要求4。静电地：机房内人体本身、人体在机房内的运动、设备的运行等均可能产生静电。将地板金属基体与地线相连，以使设备运行中产生的静电随时泄放掉。雷击地：雷电具有很大的能量，雷击产生的瞬态电压可高达10MV以上。单独建设的机房或机房所在的建筑

15、物，必须设置专门的雷击保护地（简称雷击地），以防雷击产生的设备和人身事故。24接地体通常采用的接地体有地桩、水平栅网、金属板、建筑物基础钢筋等。地桩：垂直打入地下的接地金属棒或金属管，是常用的接地体。它用在土壤层超过3m厚的地方。金属棒的材料为钢或铜，直径一般应为15mm以上。为防止腐蚀、增大接触面积并承受打击力，地桩通常采用较粗的镀锌钢管。水平栅网：在土质情况较差，特别是岩层接近地表面无法打桩的情况下，可采用水平埋设金属条带、电缆的方法。金属条带应埋在地下0.5m1m深处，水平方向构成星形或栅格网形，在每个交叉处，条带应焊接在一起，且带间距离1m。保持水分和增加化学盐分的方法。金属接地板：将

16、金属板与地面垂直埋在地下，与土壤形成至少0.2m2的双面接触。深度要求在永久性潮土壤以下30cm，一般至少在地下埋1.5m深。金属板的材料通常为铜板，也可分为铁板或钢板。建筑物基础钢筋：发展方向25防雷措施机房外部防雷应使用接闪器、引下线和接地装置，吸引雷电流，并为其泄放提供一条低阻值通道。机房内部防雷主要采取屏蔽、等电位连接、合理布线或防闪器、过电压保护等技术措施以及拦截、屏蔽、均压、分流、接地等方法，达到防雷的目的。机房的设备本身也应有避雷装置和设施。26计算机场地的防火措施火灾：电气原因、人为事故、外部火灾蔓延隔离：建筑内的计算机房四周应设计一个隔离带，以使外部的火灾至少可隔离一个小时。

17、 防火门火灾报警系统：在火灾初期就能检测到并及时发出警报。火灾报警系统按传感器的不同，分为烟报警和温度报警两种类型。CO报警器灭火设施 ：灭火器如自动喷水、气体灭火器等 ；灭火工具及辅助设备如液压千斤顶、手提式锯、铁锨、镐、榔头、应急灯等。 避免二次破坏！管理措施：机房应有应急计划及相关制度，要严格执行计算机房环境和设备维护的各项规章制度，加强对火灾隐患部位的检查。如电源线路要经常检查是否有短路处，防止出现火花引起火灾。要制定灭火的应急计划并对所属人员进行培训。27物理隔离物理隔离技术就是把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网络间数据的安全交换。我国200

18、0年1月1日起实施的计算机信息系统国际联网保密管理规定第二章第六条规定，“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连接，必须实行物理隔离”。因此，“物理隔离技术”应运而生。物理隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。物理隔离技术是在原有安全技术的基础上发展起来的、一种全新的安全防护技术。28物理隔离的安全要求在物理传导上使内外网络隔断，确保外部网不能通过网络连接而侵入内部网；同时防止内部网信息通过网络连接泄漏到外部网。在物理辐射上隔断内部网与外部网，确保内部网信息不会通过电磁辐射或耦

19、合方式泄漏到外部网。在物理存储上隔断两个网络环境，对于断电后会遗失信息的部件，如内存、处理器等暂存部件，要在网络转换时作清除处理，防止残留信息出网；对于断电非遗失性设备如磁带机、硬盘等存储设备，内部网与外部网信息要分开存储。29物理隔离技术的发展历程（1）第一阶段彻底的物理隔离各个专用网络自成体系，网络为信息孤岛。技术：物理隔离卡：不依赖于操作系统 安全隔离计算机: 内外网切换功能植入BIOS中 隔离集线器（交换机）：依据数据包包头标记信息所产生的网络隔离，是彻底的物理隔离，两个网络之间没有信息交流，所以也就可以抵御所有的网络攻击，它们适用于一台终端（或一个用户）需要分时访问两个不同的、物理隔

20、离的网络的应用环境。 30物理隔离技术的发展历程（2）第二阶段协议隔离（Protocol Isolation） 满足适度信息交换要求的隔离，即更高安全要求的网络连接。eg. 数据转播隔离系统：分时复制文件协议隔离是采用专用协议（非公共协议）来对两个网络进行隔离，并在此基础上实现两个网络之间的信息交换，链路层上是互通的。协议隔离技术由于存在直接的物理和逻辑连接，仍然是数据包的转发，一些攻击依然出现。31物理隔离技术的发展历程（3）第三阶段物理隔离网闸技术(Gap Technology)能够实现高速的网络隔离，高效的内外网数据交换，且应用支持做到全透明。它创建一个这样的环境：内、外网络在物理上断开

21、，但却逻辑地相连，通过分时操作来实现两个网络之间更安全的信息交换。使用带有多种控制功能的固态开关读写介质，实现数据文件的无协议摆渡。纯数据交换。32物理隔离技术对比技术手段优 点缺 点典型产品彻底的物理隔离能够抵御所有的网络攻击两个网络之间没有信息交流联想网御物理隔离卡、开天双网安全电脑以及伟思网络安全隔离集线器协议隔离能抵御基于TCP/IP协议的网络扫描与攻击等行为有些攻击可穿越网络京泰安全信息交流系统2.0、东方DF-NS310物理隔离网关物理隔离网闸不但实现了高速的数据交换，还有效地杜绝了基于网络的攻击行为应用种类受到限制伟思ViGAP、天行安全隔离网闸(TopWalk-GAP)和联想网

22、御SIS3000系列安全隔离网闸33电磁防护计算机及网络系统和其它电子设备一样，工作时要产生电磁发射，电磁发射可被高灵敏度的接收设备接收并进行分析、还原，造成系统信息泄漏。另一方面，计算机及网络系统又处在复杂的电磁干扰的环境中，这种电磁干扰有时很强（如电子战中的强电磁干扰或核辐射脉冲干扰），使计算机及网络系统不能正常工作，甚至被摧毁。电磁防护的主要目的是通过屏蔽、隔离、滤波、吸波、接地等措施，提高计算机及网络系统、其它电子设备的抗干扰能力，使之能抵抗强电磁干扰；同时将计算机的电磁泄漏发射降到最低。从而在未来的电子战、信息战中、商战中立于不败之地。计算机电磁辐射的危害：电磁干扰和信息泄露34电磁

23、防护的措施目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；另一类是对辐射的防护，这类防护措施又可分为以下两种：一种是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；第二种是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。为提高电子设备的抗干扰能力，除在芯片、部件上提高抗干扰能力外，主要的措施有屏蔽、隔离、滤波、吸波、接地等。其中屏蔽是应用最多的方法。35信息泄漏防护技术TEMPEST技术抑制信息处理设备的噪声泄露技术。它是综合性的技术，包括泄漏信息的分析、预测、接收、识别、复原、防护、测试、安全评估等多项技术，涉及到多个学科领域。它基本上是在传统的电磁兼容理论基础上发展起来