ch3计算机网络实体安全课件

1、第3章 计算机网络实体安全1第3章 计算机网络实体安全1本章主要内容：计算机网络机房及环境安全机房的自然与人为灾害的防护机房静电和电磁辐射的防护存储介质的保护软件和数据文件的保护网络系统的日常安全管理。2本章主要内容：2本章要求:了解计算机机房的安全等级，机房场地及环境安全要考虑的问题和管理方面的要求了解机房火灾、水灾、电磁干扰、 电磁辐射、静电、雷击产生的原因及防护措施了解对机房存储介质的保护了解软件和数据文件的保护策略掌握对网络系统的日常安全管理 3本章要求:3计算机网络实体是网络系统的核心，它既是对数据进行加工处理的中心，也是信息传输控制中心。包括网络系统的硬件、软件和数据资源。保证计算

2、机网络实体安全，即是保证网络硬件和环境、存储介质、软件和数据安全保护。4计算机网络实体是网络系统的核心，它既是对数据进行加工处理的中本章分为六小节：31 网络机房及环境安全32 自然与人为灾害的防护33 静电和电磁辐射的防护34 存储介质的保护35 软件和数据文件的保护36 网络系统安全的日常管理5本章分为六小节：53.1 网络机房及环境安全3.1.1. 机房的安全等级机房的安全按计算机系统要求可分为三级：A级、B级和C级。A级要求具有最高的安全性和可靠性C级则可确保系统一般运行时的最低安全性和可靠性63.1 网络机房及环境安全3.1.1. 机房的安全等级63.1.2. 机房的安全保护 机房环

3、境及场地安全良好的自然环境：周围无大工厂、震动源和易燃易爆品仓库等，以免有强大的电磁干扰、噪声、震动及污染等机房周围有安全保障：多层屏障、围墙、栅栏和安全入口等，防止非法暴力入侵。73.1.2. 机房的安全保护7安装监视和报警装置：在机房内通风孔、隐蔽地方安装监视和报警装置，用来监视和检测入侵者，预报意外灾害等；机房装饰：防静电活动地板，防尘和非易燃材料墙面，封闭门窗或双层密封玻璃等；8安装监视和报警装置：在机房内通风孔、隐蔽地方安装监视和报警装 机房的出入管理出入验证：通过特殊标志、口令、指纹、通行证等对进入人员进行识别和验证；出入管理：完善的安全出入管理制度，关键通道加锁和设置警卫，防止非

4、法用户进入。9 机房的出入管理9 机房内部管理与维护机房的空气要经过净化处理，要经常排除废气，换入新风；工作人员要经常保护机房清洁卫生；工作人员进入机房要穿工作服，配戴标志或标识牌；机房要制定一整套可行的管理制度和操作人员守则，并严格监督执行。 10 机房内部管理与维护103.1.3. 机房温度、湿度和洁净度 温度的影响温度过高：集成电路器件性能不稳定，存储信息的磁介质损坏，信息丢失温度过低：设备表面容易结露，潮湿现象导致设备绝缘不好，机器锈蚀113.1.3. 机房温度、湿度和洁净度11 湿度的影响湿度过高：使电路和元器件的绝缘性能变坏，机器金属生锈，影响磁头的高速运转，降低纸介质强度湿度过低

5、：易于产生静电一般情况下，温度要求在222度，变化率为2度/小时；相对湿度为4060%，变化率为25%/小时12 湿度的影响12洁净度 灰尘会造成机器接插件的接触不良、发热元器件的散热效率降低、电子元件的绝缘性能下降等；增加机械磨损，尤其对驱动器和盘片；使磁盘数据的读写出现错误，而且可能划伤盘片，甚至导致磁头损坏。机房必须有防尘、除尘措施，保持机房内的清洁卫生。一般机房的洁净度要求灰尘颗粒直径小于0.5m，平均每升空气含尘少于1万粒。13洁净度133.1.4机房接地系统直流地、交流地、安全保护地和防雷保护地。接地是以接地电流易于流动为目的，接地电阻越小，电流越易于流动。直流地、交流地、安全保护

6、地的接地电阻一般都不大于4143.1.4机房接地系统14直流地：逻辑地，零电位参考点。每个设备都有直流地。把多个直流地焊在一起或一个铜条上，埋在建筑物附近地下；交流地：机房中交流电源的中性线作为工作地处理。把稳压电源、空调等使用交流供电的设备中性点用绝缘导线连到配电柜的中线上；15直流地：逻辑地，零电位参考点。每个设备都有直流地。把多个直流安全保护地：将电力设备的金属外壳接地，防止由于线路绝缘损坏可能使机器外壳带有危险的相电压。静电地：消除计算机系统运行过程中产生的静电电荷采取的接地；屏蔽地：在设备屏蔽体和大地之间由低阻导线连接，为高频干扰信号提供通路。16安全保护地：将电力设备的金属外壳接地

7、，防止由于线路绝缘损坏可3.1.5机房的电源保护电源是计算机网络系统的命脉，电源系统电压的波动、浪涌电流或突然断电等意外事件的发生可能使系统不能正常工作或存储信息的丢失、存储设备损坏等。173.1.5机房的电源保护17在国标GB2887-2000和GB9361-88中对机房的安全供电做了明确要求。国标GB2887-2000将供电方式分三类：一类供电：需建立不间断供电系统；二类供电：需要建立带备用的供电系统；三类供电：按一般用户供电要求考虑。18在国标GB2887-2000和GB9361-88中对机房的安电源系统安全不仅包括外部供电线路的安全，更重要的室内电源设备的安全。计算机网络机房可采用以下

8、措施保证电源的安全工作：隔离和自动稳压稳压稳频器不间断电源（UPS）19电源系统安全不仅包括外部供电线路的安全，更重要的室内电源设备3.1.6机房的环境设备监控系统机房的环境设备监控系统主要是对机房设备（如供配电系统、UPS电源、防雷器、空调系统、消防系统、保安系统等）的运行状态、温度、湿度，供电的电压、电流、频率，配电系统的开关状态、测漏系统等进行实时监控并记录历史数据，实现对机房遥测、遥信、遥控、遥调的管理功能，为机房高效的管理和安全运行提供有力的保证。203.1.6机房的环境设备监控系统203.1.7机房的空调系统机房应采用专用空调设备。最好采用风冷式空调设备，空调设备的室外部分应安装在

9、安全及便于维修的地方。空调设备的管道、消声器、防火阀接头、衬垫以及管道和配管用的隔热材料应采用难燃材料或非燃材料。采用水冷式空调设备时，应设置漏水报警装置，并设置防水小堤，还应注意冷却塔、泵、水箱等供水设备的防冻、防火措施。 213.1.7机房的空调系统213.2 自然与人为灾害的防护火灾、水灾、风雹、地震、雷电、电磁等。223.2 自然与人为灾害的防护火灾、水灾、风雹、地震、雷电、3.1.1机房的防火火源：顶棚之上、地板之下、开关等处火灾原因：电器设备或电线起火，空调电加热器起火，人为事故起火，建筑物起火等233.1.1机房的防火23防火措施：建筑物防火：对主机房、电源室、终端室、空调室、介

10、质存放室等处采取消防措施；采用难燃或非燃建筑材料进行机房装饰；机房远离易燃、易爆物品储存地；配备灭火器材：配置消防器材并置于有明显标志处；24防火措施：24设置报警系统和紧急出口：报警系统有完整的声光报警、24小时不间断监视能力；紧急出口在发生火灾时便于人员和重要资源的撤出；绝缘材料：采用绝缘好的电器材料或燃点高的绝缘材料；25设置报警系统和紧急出口：报警系统有完整的声光报警、24小时不加强防火安全管理：对工作人员进行防火安全教育和防火器材使用教育；明确防火安全责任制；磁带和纸张等易燃品专门存放等。26加强防火安全管理：对工作人员进行防火安全教育和防火器材使用教3.1.2机房的防水机房一旦受到

11、水浸，将使电缆和电气设备的绝缘性能大大降低，甚至不能工作。机房应有相应的预防、隔离和排除措施。273.1.2机房的防水27防水措施：机房的地面和墙壁使用防渗水和防潮材料处理；对机房屋顶要进行防水处理，或对上一层建筑物的水源注意保护，防止积水渗入机房；28防水措施：28地板下面区域要有合适的排水设施；机房内或附近及楼上房间一般不应有用水设备；地下室机房必须备有水泵或带有检验阀的排水管及水淹报警装置。29地板下面区域要有合适的排水设施；293.1.3机房的电磁干扰防护电磁场干扰的影响：机房周围电磁场的干扰会增加电路噪声，使机器产生错误动作，严重时将导致系统不能正常工作电磁场干扰的来源：计算机系统本

12、身和外部。303.1.3机房的电磁干扰防护30系统外部的电磁干扰主要来自无线电广播天线、雷达天线、工业电气设备、高压电力线和变电设备，以及大自然中的雷击和闪电等；计算机本身的各种电子组件和导线通过电流时，会产生不同程度的电磁干扰，这种影响可在机器制做时采用相应工艺降低和解决。31系统外部的电磁干扰主要来自无线电广播天线、雷达天线、工业电气 防止和减少电磁干扰的措施：选址远离干扰源：如无线电广播发射塔、雷达站、工业电气设备、高压电力线和变电站等；采用接地和屏蔽措施：32 防止和减少电磁干扰的措施：32接地：良好的接地可防止外界电磁场干扰和设备间寄生电容的耦合干扰屏蔽：对设备进行电屏蔽、磁屏蔽和电

13、磁屏蔽可减少外界的电磁干扰。国家规定机房内无线电干扰场强在频率范围为0.15500MHz时不大于126dB。33接地：良好的接地可防止外界电磁场干扰和设备间寄生电容的耦合干3.1.4机房的雷电防护雷电的危害：每年全球因雷击至少造成100亿美元的电子设备损失。雷电不仅破坏系统设备，还可使通信中断、系统瘫痪，其间接损失不可估量。343.1.4机房的雷电防护34雷电的防护根据电子电气设备的不同功能做分类保护；根据雷电和操作瞬间过压危害从电源线到数据通信线做分层保护；35雷电的防护35外部无源保护：主要是避雷针(网、线、带)和接地装置(地线、地网)；内部防护：电源部分防护(低压线的过压保护，三级保护，

14、加装避雷器)信号部分防护(根据密级和敏感程度对信号系统采用粗保护和精细保护)接地处理(建筑物地、逻辑地、防雷地)36外部无源保护：主要是避雷针(网、线、带)和接地装置(地线、地雷电侵入的形式雷电直击：直接击中线路和设备感应雷击：雷云之间或对地放电时对信号线、电力线或设备连线产生的电磁感应侵入雷电波侵入：雷电电流在其周围将出现瞬变电磁场，其瞬变时间极短或感应的电压很高，以至产生电火花，其磁脉冲可超过2.4GS。 球形雷击：球形雷是一种橙色或红色火焰的发光球体，一种特殊的雷电现象。37雷电侵入的形式373.3 机房静电和电磁辐射的防护3.3.1机房的静电防护 静电是机房发生最频繁、最难消除的危害之

15、一。它不仅会使计算机运行出现随即故障，而且会导致某些元器件(如CMOS /MOS /双极性电路等)被击穿和损坏，还会影响操作和维护人员的的身心健康。383.3 机房静电和电磁辐射的防护38静电故障特点静电故障具有与季节有关；偶发性强，多为随即故障；与地板、家具和工作服有关等特点；静电对信号线和电源线产生感应噪声，产生高压，引起机壳地、安全地电位变化，静电放电时产生辐射噪声等。39静电故障特点39静电影响主要体现在半导体器件上。半导体对静电的反应很灵敏，一是可能造成元器件损坏，二是可引起计算机误操作或运算错误；40静电影响40静电对计算机外设也有明显的影响，如阴极射线显示器在受到静电影响时将使图

16、象紊乱，模糊不清；还可造成Modem、网卡、Fax卡等工作失常，打印机走纸不顺等。41静电对计算机外设也有明显的影响，如阴极射线显示器在受到静电影静电的防护铺设防静电地板穿戴防静电衣服和鞋帽拆装和检修机器时戴防静电手环保持机房内相应的温度和湿度42静电的防护423.3.2 电磁辐射的防护(1) 电磁辐射的形成与危害电子设备在工作时能通过地线、电源线、信号线等将所处理的信息以电磁波或谐波形式放射出去，形成电磁辐射。这些辐射信号若被攻击者接收，可通过提取处理等过程恢复原信息，造成信息泄露。433.3.2 电磁辐射的防护43(2) 电磁辐射的保护措施设备保护：使用低辐射力的设备建筑保护：建筑或装饰时

17、采用屏蔽措施区域保护：机房关键部位在辐射保护区内线路保护：数据加密和线路屏蔽44(2) 电磁辐射的保护措施44TEMPEST(电磁辐射防护和抑制技术 )：抑制和屏蔽电磁辐射：设备加金属屏蔽，改善电路布局，设备接地，使用屏蔽插件；干扰性防护：系统工作时施放伪噪声，掩盖真正的系统工作频率和信息特性。45TEMPEST(电磁辐射防护和抑制技术 )：453.4 存储介质的保护存储介质通常指磁盘、磁带、光盘。463.4 存储介质的保护存储介质通常指磁盘、磁带、光盘。461. 存储介质的保护建立专门的存储介质库(柜)并进行如下管理：限制少数人接触存储介质库(柜)存储介质库(柜)内带盘的目录清单要标明相关参

18、数，并定期检查旧存储介质销毁前进行消磁和清除数据存储介质库(柜)房要保持合适的温、湿度471. 存储介质的保护472. 存储介质信息的保护为存储介质的信息分级：对重要信息要备份并存放于防火、防水、防电磁场的保护设备中对存储介质信息的复制和备份要有严格的权限控制482. 存储介质信息的保护483.5 软件和数据文件保护危害非法复制、非授权侵入和修改是对软件和数据文件的主要危害，这些危害在工商业、金融及军政部门的网络系统中的危害不可估量。493.5 软件和数据文件保护危害492. 保护策略 目前主要使用市场策略、法律策略和技术策略这三种策略抵抗非法复制市场策略：以优惠价格和后续的技术支持使得用户愿

19、意购买；法律策略：软件保护相应法规的约束和威慑使人们去购买软件；技术策略：如抗软件分析法、唯一签名法和软件加密法502. 保护策略50抗软件分析法可使攻击者不能动态跟踪与分析软件程序；唯一签名法可保证软件不被非法拷贝；软件加密后使得即使是拷贝了该软件也无法读懂，也就无法分析和使用它。51抗软件分析法可使攻击者不能动态跟踪与分析软件程序；513.6 网络安全的日常管理 对于网络系统的安全管理和维护，不仅需要有配套的安全防御措施，还需要规范的管理制度和流程，更需要高素质的安全管理和操作人员。一般网络管理人员所面对的网络管理环境大都已经采取了某些安全措施，构成了一定的防御体系。如： 523.6 网络

20、安全的日常管理 对于网络系统的安全管理和维护，1. 口令（密码）管理口令问题容易被人忽视。一般人们常犯的口令错误有：多个账号使用同一个密码；密码全部采用数字组合或字母组合；密码从不更新；密码被记录于易见的媒体上；远程登录系统时，账号和密码在网络中以明文形式传输等。531. 口令（密码）管理53作为网络安全管理人员，在口令管理上应该养成好习惯，比如：选取数字、字母、符号相间的口令；口令不随便书写在易见的媒体上；适时更新口令；及时删除已撤消的账号和口令；远程登录时使用加密口令；更严格情况可采用口令鉴别和PKI验证过程。 54作为网络安全管理人员，在口令管理上应该养成好习惯，比如：选取2. 病毒防护 机房管理和使用人员均应有防护病毒意识。网络系统的所有计算机都安装相关的防病毒软件。在日常维护中，最好是每隔两三天就检查一次是否需要升级病毒库，在必要时及时进行升级。 552. 病毒防护 553. 漏洞扫描网络管理员应通过漏洞扫描系统对网络系统进行扫描，查找网络上存在哪些漏洞并及时修补。比如：对IIS打补丁可避免红色代码蠕虫问题；对SQL Server打补丁就可避免SQL蠕虫问题；及时加强口令的控制，关闭不必要的服务，就不会发生被他人远程控制问题；如果