第二章实体安全与可靠性

第二章实体安全与可靠性2.1实体安全的概念实体安全（PhysicalSecurity）又叫物理安全，是保护计算机设备、设施（含网络）以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故（如电磁污染等）破坏的措施、过程。（中华人民共和国公共安全行业标准GA163-1997）。实体安全包括环境安全，设备安全和媒体安全三个方面。影响计算机网络实体安全的主要因素如下：计算机及其网络系统自身存在的脆弱性因素。各种自然灾害导致的安全问题。由于人为的错误操作及各种计算机犯罪导致的安全问题。第二章计算机实体安全与可靠性

实体安全主要考虑的问题是环境、场地和设备的安全，及实体访问控制和应急处置计划等。实体安全技术主要是指对计算机及网络系统的环境、场地、设备和人员等采取的安全技术措施。硬件是组成计算机及其网络系统的基础。硬件防护，一方面指在计算机硬件上采取的安全防护措施；另一方面是指通过增加硬件而达到安全保密的措施。硬件防护是实体安全的一个重要组成部分。保护计算机设备、设施（含网络）以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故（如电磁污染等）破坏的措施、过程。第二章计算机实体安全与可靠性2.2环境安全环境对计算机信息安全有着至关重要的作用，它影响着计算机系统是否能够安全稳定地运行，甚至影响到计算机系统的使用寿命。由于自然灾害、设备自然损坏和环境干扰等自然因素以及人为的窃取与破坏等原因，计算机设备和其中信息的安全受到很大的威胁。环境的安全主要包括受灾防护的能力和区域防护的能力。受灾防护区域防护第二章计算机实体安全与可靠性受灾防护

受灾防护的目的是保护计算机信息系统免受水、火、有害气体、地震、雷击和静电的危害。必须做到(1)灾难发生前，对灾难的检测和报警；

(2)灾难发生时，对正遭受破坏的计算机信息系统，采取紧急措施，进行现场实时保护；

(3)灾难发生后，对已经遭受某种破坏的计算机信息系统进行灾后恢复。

第二章计算机实体安全与可靠性

计算机机房建设至少应遵循国标GB/T2887-2000和GB/T9361-1988，满足防火、防磁、防水、防盗、防电击、防虫害等要求，并配备相应的设备。

全保卫技术是环境安全技术的重要一环，主要的安全技术措施包括：防盗报警、实时监控、安全门禁等。计算机机房的温度、湿度等环境条件保持技术可以通过加装通风设备、排烟设备、专业空调设备来实现。计算机机房的用电安全技术主要包括不同用途电源分离技术、电源和设备有效接地技术、电源过载保护技术和防雷击技术等。

计算机机房安全管理技术是指制定严格的计算机机房工作管理制度，并要求所有入机房的人员严格遵守管理制度，将制度落到实处。

第二章计算机实体安全与可靠性区域防护

区域防护是对特定区域边界实施控制提供某种形式的保护和隔离，来达到保护区域内部系统安全性的目的。如通过电子手段（如红外扫描等）或其它手段对特定区域（如机房等）进行某种形式的保护（如监测和控制等）。

实施边界控制，应定义出清晰、明确的边界范畴及边界安全需求。一般包括安全区域外围诸如防护墙、周边监视控制系统、外部接待访问区域设置等等。

第二章计算机实体安全与可靠性2.2设备安全设备安全主要包括设备的防盗和防毁，防止电磁信息泄漏，防止线路截获，抗电磁干扰以及电源保护。第二章计算机实体安全与可靠性受灾防护

受灾防护的目的是保护计算机信息系统免受水、火、有害气体、地震、雷击和静电的危害。必须做到(1)灾难发生前，对灾难的检测和报警；

(2)灾难发生时，对正遭受破坏的计算机信息系统，采取紧急措施，进行现场实时保护；

(3)灾难发生后，对已经遭受某种破坏的计算机信息系统进行灾后恢复。

第二章计算机实体安全与可靠性

计算机机房建设至少应遵循国标GB/T2887-2000和GB/T9361-1988，满足防火、防磁、防水、防盗、防电击、防虫害等要求，并配备相应的设备。

全保卫技术是环境安全技术的重要一环，主要的安全技术措施包括：防盗报警、实时监控、安全门禁等。计算机机房的温度、湿度等环境条件保持技术可以通过加装通风设备、排烟设备、专业空调设备来实现。计算机机房的用电安全技术主要包括不同用途电源分离技术、电源和设备有效接地技术、电源过载保护技术和防雷击技术等。

计算机机房安全管理技术是指制定严格的计算机机房工作管理制度，并要求所有入机房的人员严格遵守管理制度，将制度落到实处。

第二章计算机实体安全与可靠性区域防护

区域防护是对特定区域边界实施控制提供某种形式的保护和隔离，来达到保护区域内部系统安全性的目的。如通过电子手段（如红外扫描等）或其它手段对特定区域（如机房等）进行某种形式的保护（如监测和控制等）。

实施边界控制，应定义出清晰、明确的边界范畴及边界安全需求。一般包括安全区域外围诸如防护墙、周边监视控制系统、外部接待访问区域设置等等。

2.3.1设备安全的保护内容设备安全主要包括设备的防盗和防毁，防止电磁信息泄漏，防止线路截获，抗电磁干扰以及电源保护。（1）设备防盗

可以使用一定的防盗手段（如移动报警器、数字探测报警和部件上锁）用于计算机信息系统设备和部件，以提高计算机信息系统设备和部件的安全性。（2）设备防毁

一是对抗自然力的破坏，如使用接地保护等措施保护计算机信息系统设备和部件；二是对抗人为的破坏，如使用防砸外壳等措施。2.3.1设备安全的保护内容（3）防止线路截获

主要防止对计算机信息系统通信线路的截获与干扰。重要技术可归纳为四个方面：预防线路截获（使线路截获设备无法正常工作）；探测线路截获（发现线路截获并报警）；定位线路截获（发现线路截获设备工作的位置）；对抗线路截获（阻止线路截获设备的有效使用）。2.3.1设备安全的保护内容(4)电源保护

为计算机信息系统设备的可靠运行提供能源保障，例如使用不间断电源、纹波抑制器、电源调节软件等。可归纳为两个方面：对工作电源的工作连续性的保护（如不间断电源UPS，UninterruptiblePowerSupply）；对工作电源的工作稳定性的保护（如纹波抑制器）。2.3.2电磁防护2.3.2电磁防护计算机是一种电子设备，在工作时都不可避免地会向外辐射电磁波，同时也会受到其他电子设备的电磁波干扰，当电磁干扰达到一定的程度就会影响设备的正常工作。电磁辐射泄密的危险。2.3.2电磁防护电磁信息泄漏

电磁泄漏是指电子设备的杂散(寄生)电磁能量通过导线或空间向外扩散。任何处于工作状态的电磁信息设备，如：计算机、打印机、传真机、电话机等，都存在不同程度的电磁泄漏，这是无法摆脱的电磁学现象。如果这些泄漏“夹带”着设备所处理的信息，就构成了所谓的电磁信息泄漏。在满足一定条件的前提下，运用特定的仪器均可以接收并还原这些信息。因此，一旦所涉及的信息是保密的，这些泄漏，就威胁到了信息安全。

2.3.2电磁防护TEMPEST技术

TransientElectroMagneticPulseEmanationStandardTechnology（瞬时电磁脉冲放射标准技术）是美国国家安全局(NSAT)和国防部(DOD)联合进行研究与开发的一个极其重要的项目。TEMPEST指对信息设备的电磁泄漏发射信号中所携带的敏感信息进行分析、测试、接收、还原以及防护的一系列技术。2.3.2电磁防护电磁辐射防护的措施：

(1)一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；

(2)对辐射的防护可分为：采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

2.4媒体安全2.4媒体安全

媒体安全是指媒体数据和媒体本身的安全。媒体安全目的是保护存储在媒体上的信息。包括媒体的防盗；媒体的防毁，如防霉和防砸等。2.4媒体安全媒体安全可归纳为三个方面：媒体数据的防盗，如防止媒体数据被非法拷贝；媒体数据的销毁，包括媒体的物理销毁（如媒体粉碎等）和媒体数据的彻底销毁（如消磁等），防止媒体数据删除或销毁后被他人恢复而泄露信息；媒体数据的防毁，防止意外或故意的破坏使媒体数据的丢失。2.4、媒体安全磁盘的安全防护

计算机磁盘是最主要和最常用的计算机信息载体，磁盘存储信息的密度极高，目前常用的硬磁盘都是几百个G容量的，存储密度这样高而体积很小的磁盘很容易丢失和被窃走，也很容易遭受有意或无意的损坏。有些重要数据甚至是秘密的或价值连城的，一旦发生大量信息数据的丢失或泄密，就会造成不可估量的损失。--2.4媒体安全磁盘的安全防护计算机磁盘属于磁介质，所有磁介质都存在剩磁效应的问题，保存在磁介质中的信息会使磁介质不同程度地永久性磁化，所以磁介质上记载的信息在一定程度上是抹除不净的，使用高灵敏度的磁头和放大器可以将已抹除信息的磁盘上的原有信息提取出来。据一些资料的介绍，即使磁盘已改写了12次，但第一次写入的信息仍有可能复原出来。这使涉密和重要磁介质的管理，废弃磁介质的处理，都成为很重要的问题。2.4、媒体安全磁盘信息保密的措施：（1）统一管理软件磁盘（2）标明密级（3）磁盘信息加密技术（4）载密磁盘维修时要有专人监督（5）磁盘信息清除技术2.5.1可靠性、可用性和可维修性2.5.1可靠性、可用性和可维修性计算机系统的可靠性(Reliability)用平均无故障时间（MTTF）来度量，指从它开始运行（t=0）到某时刻t这段时间内能够正常运行的概率。系统的可靠性越高，平均无故障时间越长。平均无故障时间MTBF(MeantimeBetweenFailures)是指两次故障之间能正常工作的平均值。故障即可能是元器件故障、软件故障、也可能是人为攻击造成的系统故障。2.5.1可靠性、可用性和可维修性可维修性：指计算机的维修效率，通常用平均修复时间（MTRF）来表示。MTRF是指从故障发生到系统恢复平均所需要的时间。可用性（Availability）：系统在执行任务的任意时刻能正常工作的概率。系统可用性用可用度来度量。系统在t时刻处于正确状态的概率称为可用度，用A(t)来表示。A=MTBF/(MTBF+MTRF)，即：A=平均无故障时间/(平均无故障时间+平均修复时间)2.5.1可靠性、可用性和可维修性提高可靠性的方法：完美性（perfection）：提高软硬件的质量，抵御故障的发生。追求一种避错技术。要求各个部件具有高可靠性，容错性（FaultTolerance）：在故障发生时，系统仍能继续运行，提供服务与资源。这就是所说的“容错能力”。2.5.1可靠性、可用性和可维修性可靠性┌──────┴──────┐

容错性完美性(faulttolerance)(perfection)│┌───┴───┐

冗余技术─┬硬件冗余完美硬件完美软件(redundancy)├软件冗余├整机完美性│|├时间冗余├部件完美性可信软件|└信息冗余└器件完美性||静态冗余（部件冗余）可用硬件动态重组|--被动重组（后备stand-by）

|--主动重组（优美降级gracefuldegradation)容错理论容错技术容错重组272.5.3.数据备份2.5.3.数据备份

数据备份是指将计算机系统中，硬盘上的一部分数据通过恰当的形式转录到可脱机保存的介质（如磁带库、光盘库）上，以便需要时输入计算机系统使用。数据备份可以防止自然或人为因素使计算机系统中的数据丢失，或由于硬件故障、操作失误、病毒等造成联机数据丢失而带来的损失。它对计算机的安全性、可靠性十分重要。282.5.3.数据备份数据备份的必要性信息存储系统的可靠性和可用性、数据备份和灾难恢复能力往往是企业用户首先要考虑的问题。为防止灾难事件对数据的毁坏，关键数据还要考虑异地备份和容灾问题。数据的灾难恢复是保证系统安全可靠的基础。292.5.3.数据备份数据备份的策略与相关技术(1)备份的策略有三种：完全备份增量备份差分备份。2.5.3.数据备份完全备份策略每次都对自己的系统进行完全备份。

312.5.3.数据备份增量备份策略增量备份(Incremental

Backup)就是开始进行一次完全备份，然后在接下来的只对新的或被修改过的数据进行备份

322.5.3.数据备份差分备份策略(DifferentialBackup)

管理员定期（周、月）进行一次系统完全备份，然后在接下来的几天里，管理员再将当天所有与周、月不同的数据（新的或修改过的）备份到磁带上。332.5.3.数据备份(2)备份介质存放位置：本地备份异地备份(3)数据更改性：活备份死备份（3）备份软件功能动态备份静态备份342.5.3.数据备份备份和恢复的设备与介质 备份系统中用于备份与恢复的介质主要的有：磁带介质和光学介质。1．磁带介质具有较好的磁化特性，容易在它上面读写数据；磁带具有很好的抗拉强度，不容易被拉断；磁带具有很好的柔软度，这样确保了通过磁带机时可以卷得很紧并可以很容易地被弯曲。成本低、容量大。352.5.3.数据备份 2．光学介质

光学介质技术是将从介质表面反射回来的激光识别成信息。光学介质上的0和1以不同的方式反射激光，这样光驱就可以向光轨上发射一束激光并检测反射光的不同。常见的光学介质有：磁光盘和可读写CD-ROM。 磁光盘，或称MO（Magnetic-Optical），MO特别适合于分级存储管理应用。但由于MO的容量至今仍不能与磁带相比，因此未被广泛用于备份系统。

CD-ROM目前因为速度太慢和进行多进程介质写入困难，目前还不能适应于网络备份。362.5.3.数据备份备份方案的设计备份软件：备份软件的选择对一个网络备份系统来说是至关重要的，它的选择必须满足用户的全部需求。备份介质：常见的备份介质首选是磁带，当然，根据实际情况也可以考虑其它的介质，如磁光盘、可读写CD等。日常备份制度：如果决定采用磁带作为备份的介质，那么，必须建立一种或几种轮换模式作为日常备份制度。

372.5.3.数据备份382.5.4双机容错与集群系统2.5.4双机容错与集群系统一、双机容错系统双机容错系统通过软硬件的紧密配合，将两台独立服务器在网络中表现为单一的系统，提供给客户一套具有单点故障容错能力，且性价比优越的用户应用系统运行平台。双机容错技术能够自动检测应用或服务器故障，并可将其在另一台可用的服务器上快速重新启动；而用户只会觉察到瞬间的服务暂停。。392.5.4双机容错与集群系统1.双机互备援（DualActive）基本简介

所谓双机热备互援就是两台主机均为工作机，在正常情况下，两台工作机均为信息系统提供支持，并互相监视对方的运行情况。当一台主机出现异常时，不能支持信息系统正常运营，另一主机则主动接管异常机的工作，继续主持信息的运营，从而保证信息系统能够不间断的运行，而达到不停机的功能。402.5.4双机容错与集群系统2.双机热备份（HotStandby）基本简介

所谓双机热备份就是一台主机为工作机，另一台主机为备份机，在系统正常情况下，工作机为信息系统提供支持，备份机监视工作机的运行情况。当工作机出现异常，不能支持信息系统运营时，备份机主动接管工作机的工作，继续支持信息的运营，从而保证信息系统能够不间断的运行。412.5.4双机容错与集群系统二、集群系统集群，英文名称为Cluster，通俗地说，集群是这样一种技术：它至少将两个系统连接到一起，使多台服务器能够像一台机器那样工作或者看起来好像一台机器。用户从来不会意识到集群系统底层的节点，在他/她们看来，集群是一个系统，而非多个计算机系统。并且集群系统的管理员可以随意增加和删改集群系统的节点。采用集群系统通常是为了提高系统的稳定性和网络中心的数据处理能力及服务能力。422.5.4双机容错与集群系统集群系统在集群系统中，所有的计算机拥有一个共同的名称，集群内任一系统上运行的服务可被所有的网络客户所使用。集群必须可以协调管理各分离组件的错误和失败，若其中一台服务器失效，其它的服务器就会接管这台服务器所运行的应用，并将共享磁盘柜上的相应数据区接管过来。其接管过程如下图所示2.6.1磁盘阵列存储器的编码容错方案2.6.1磁盘阵列存储器的编码容错方案廉价冗余磁盘阵列RAID（RedundentArrayofInexpensiveDisks）是由美国加州大学伯克利分校的D.A.Patterson教授在1988年提出的。也简称为“磁盘阵列”。RAID将一组磁盘驱动器用某种逻辑方式联系起来，作为逻辑上的一个磁盘驱动器来使用。一般情况下，组成的逻辑磁盘驱动器的容量要小于各个磁盘驱动器容量的总和。RAID一般是在SCSI或SATA磁盘接口实现的。2.6.1磁盘阵列存储器的编码容错方案RAID提供了服务器中接入多个磁盘（专指硬盘）时，以磁盘阵列方式组成一个超大容量、响应速度快、可靠性高的存储子系统。通过对数据分块和交叉存储两项技术的使用，使CPU实现通过硬件方式对数据的分块控制和对磁盘阵列中数据的并行调度等功能。使用RAID可大大加快磁盘的访问速度，缩短磁盘读写的平均排队与等待时间，并以并行方式在多个硬盘驱动器上工作，被系统视作一个单一的硬盘，以冗余技术增加其可靠性，以多个低成本磁盘构成磁盘子系统，提供比单一硬盘更完备的可靠性和高性能，目前工业界公认的标准是RAID0-RAID6。RAID被广泛地应用在服务器体系中。2.6.1磁盘阵列存储器的编码容错方案RAID的优点包括以下几点：一是成本低，功耗小，传输速率高。在RAID中，可以让很多磁盘驱动器同时传输数据，而这些磁盘驱动器在逻辑上又是一个磁盘驱动器，所以使用RAID可以达到单个的磁盘驱动器几倍、几十倍甚至上百倍的速率。二是可以提供容错功能。这是使用RAID的第二个原因，因为普通磁盘驱动器无法提供容错功能，RAID的容错是建立在每个磁盘驱动器的硬件容错功能之上的，所以它提供更高的安全性。三是在同样的容量下，RAID比起传统的大直径磁盘驱动器来，价格要低许多。2.6.1磁盘阵列存储器的编码容错方案一、RAID0冗余无校验的磁盘阵列

数据同时分布在各个磁盘驱动器上，分块无校验，无冗余存储，不提供真正容错性。带区化至少需要2个硬盘，可支持8/16/32个磁盘。读写速度在RAID中最快，但任何一个磁盘驱动器损坏都会使整个RAID系统失效。一般用在对数据安全要求不高，但对速度要求很高的场合。优点：允许多个小区组合成一个大分区，更好地利用磁盘空间，延长磁盘寿命，多个硬盘并行工作，提高了读写性能。缺点：不提供数据保护，任一磁盘失效，数据可能丢失，且不能自动恢复。2.6.1磁盘阵列存储器的编码容错方案二、RAID1镜象磁盘阵列

每一组盘至少两台，数据同时以同样的方式写到两个盘上，两个盘互为镜象。磁盘镜象可以是分区镜象、全盘镜象。容错方式以空间换取，实施可以采用镜象或者双工技术。主要用在对数据安全性要求很高，而且要求能够快速恢复被损坏的数据的场合。优点：具有最高可靠性，策略简单，恢复数据时不必停机。缺点：有效容量只有总容量的1/2，利用率50%。由于磁盘冗余，硬件开销较大，成本较高。2.6.1磁盘阵列存储器的编码容错方案三、RAID0+1

RAID0+1结合了RAID0的性能和RAID1的可靠性。它不是成对地组织磁盘，而是把按照RAID0方式产生的磁盘组全部映象到另一备份磁盘组中。2.6.1磁盘阵列存储器的编码容错方案四、RAID2并行海明纠错阵列

存储型ECC纠错类，采用海明冗余纠错码(HammingCodeErrorCorrection)、跨接技术和存储纠错数据方法，数据按位分布到磁盘上。磁盘台数由纠错码和数据盘数决定。磁盘驱动器组中的第一个、第二个、第四个……第2n个磁盘驱动器是专门的校验盘，用于校验和纠错，例如七个磁盘驱动器的RAID2，第一、二、四个磁盘驱动器是纠错盘，其余的用于存放数据。使用的磁盘驱动器越多，校验盘在其中占的百分比越少。RAID2对大数据量的输入输出有很高的性能，但少量数据的输入输出时性能不好。RAID2很少实际使用。2.6.1磁盘阵列存储器的编码容错方案五、RAID3奇偶校验并行位交错阵列RAID3是在RAID2基础上发展而来的，主要的变化是用相对简单的异或逻辑运算（XOR，eXclusiveOR）校验代替了相对复杂的汉明码校验，从而也大幅降低了成本。RAID3校验盘只有一个，而数据与RAID0一样是分成条带（Stripe）存入数据阵列中，这个条带的深度的单位为字节而不再是bit