计算机网络安全技术ch.ppt

计 算 机 网 络 安 全 技 术 第二篇 实体安全防护与 安全管理技术 第2章 实体安全防护与安全管理技术 计 算 机 网 络 安 全 技 术 本章学习目标 l物理安全的定义、目的和内容 l计算机房场地环境的安全要求 l电磁干扰及电磁防护的措施，重点关注屏蔽技 术和滤波技术 l物理隔离技术 l计算机网络安全管理的定义、功能、逻辑结构 模型。 l简单网络管理协议（SNMP）和公共管理信息 协议（CMIP）。 l计算机网络安全管理的基本原则与工作规范。 计 算 机 网 络 安 全 技 术 定义 l实体安全（Physical Security）又叫物理安全， 是保护计算机设备、设施（含网络）免遭地震 、水灾、火灾、有害气体和其他环境事故（如 电磁污染等）破坏的措施和过程。实体安全主 要考虑的问题是环境、场地和设备的安全以及 实体访问控制和应急处置计划等。实体安全技 术主要是指对计算机及网络系统的环境、场地 、设备和人员等采取的安全技术措施。 计 算 机 网 络 安 全 技 术 2.1 物理安全技术概述 l实体安全的目的是保护计算机、网络服务 器、交换机、路由器、打印机等硬件实体 和通信设施免受自然灾害、人为失误、犯 罪行为的破坏；确保系统有一个良好的电 磁兼容工作环境；把有害的攻击隔离。 l实体安全的内容主要包括： 环境安全 电磁防护 物理隔离 安全管理。 计 算 机 网 络 安 全 技 术 实体安全的内容 l环境安全：计算机网络 通信系统的运行环境应 按照国家有关标准设计 实施，应具备消防报警 、安全照明、不间断供 电、温湿度控制系统和 防盗报警，以保护系统 免受水、火、有害气体 、地震、静电的危害。 l物理隔离：物理隔离技 术就是把有害的攻击隔 离，在可信网络之外和 保证可信网络内部信息 不外泄的前提下，完成 网络间数据的安全交换 l电磁防护：计算机网络系统工 作时产生的电磁发射可被高灵 敏度的接收设备接收并进行分 析、还原，造成系统信息泄漏 。外界的电磁干扰也能使计算 机网络系统工作不正常，甚至 瘫痪。必须通过屏蔽、隔离、 滤波、吸波、接地等措施，提 高计算机网络系统的抗干扰能 力，使之能抵抗强电磁干扰； 同时将计算机的电磁泄漏发射 降到最低。 l安全管理：安全管理包含了二 方面的内容：一是对计算机网 络系统的管理；二是涉及法规 建设，建立、健全各项管理制 度等内容的安全管理。 计 算 机 网 络 安 全 技 术 2.2 计算机房场地环境的安全防护 2.2.1 计算机房场地的安全要求 l为保证物理安全，应对计算机及其网络系统的实体访问 进行控制。 l计算机房的设计应考虑减少无关人员进入机房的机会。 同时，计算机房应避免靠近公共区域，避免窗户直接邻 街，应安排机房在内（室内靠中央位置），辅助工作区 域在外（室内周边位置）。在一个高大的建筑内，计算 机房最好不要建在潮湿的底层，也尽量避免建在顶层， 因顶层可能会有漏雨和雷电穿窗而入的危险。在有多个 办公室的楼层内，计算机机房应至少占据半层，或靠近 一边。这样既便于防护，又利于发生火警时的撤离。 l所有进出计算机房的人都必须通过管理人员控制的地点 。应有一个对外的接待室，访问人员一般不进入数据区 或机房，而在接待室接待。特殊需要进入控制区的，应 办理手续。每个访问者和带入、带出的物品都应接受检 查。 计 算 机 网 络 安 全 技 术 机房建筑和结构从安全角度考虑： l电梯和楼梯不能直接进入机房。 l建筑物周围应有足够亮度的照明设施和防止非法进入的 设施。 l外部容易接近的进出口应有栅栏或监控措施，而周边应 有物理屏障（隔墙、带刺铁丝网等）和监视报警系统， 窗口应采取防范措施，必要时安装自动报警设备。 l机房进出口须设置应急电话。 l机房供电系统应将动力照明用电与计算机系统供电线路 分开，机房及疏散通道应配备应急照明装置。 l计算机中心周围100m内不能有危险建筑物。 l进出机房时要更衣、换鞋，机房的门窗在建造时应考虑 封闭性能。 l照明应达到规定标准。 计 算 机 网 络 安 全 技 术 2.2.2 设备防盗措施 l早期的防盗，采取增加质量和胶粘的方法，即将设备长 久固定或粘接在一个地点。现在某些便携机也采用机壳 加锁扣的方法。 l国外一家公司发明了一种光纤电缆保护设备。这种方法 是将光纤电缆连接到每台重要的设备上，光束沿光纤传 输，如果通道受阻，则报警。 l一种更方便的防护措施类似于图书馆、超级市场使用的 保护系统。每台重要的设备、每个重要存储媒体和硬件 贴上特殊标签（如磁性标签），一旦被盗或未被授权携 带外出，检测器就会发出报警信号。 l视频监视系统是一种更为可靠的防护设备，能对系统运 行的外围环境、操作环境实施监控（视）。对重要的机 房，还应采取特别的防盗措施，如值班守卫，出入口安 装金属防护装置保护安全门、窗户。 计 算 机 网 络 安 全 技 术 2.2.3 机房的三度要求 l机房内的空调系统、去湿机、除尘器是保证计算机系统正 常运行的重要设备之一。通过这三种设备使机房的三度要 求：温度、湿度和洁净度得到保证， l温度：机房温度一般应控制在1822，即（202） 。温度过低会导致硬盘无法启动，过高会使元器件性能发 生变化，耐压降低，导致不能工作。 l湿度：相对湿度过高会使电气部分绝缘性降低，加速金属 器件的腐蚀，引起绝缘性能下降；而相对湿度过低、过于 干燥会导致计算机中某些器件龟裂，印刷电路板变形，特 别是静电感应增加，使计算机内信息丢失、损坏芯片，对 计算机带来严重危害。机房内的相对湿度一般控制在 40%60为好，即（5010）。 l洁净度：清洁度要求机房尘埃颗粒直径小于0.5，平均 每升空气含尘量小于1万颗。灰尘会造成接插件的接触不 良、发热元件的散热效率降低、绝缘破坏，甚至造成击穿 ；灰尘还会增加机械磨损，尤其对驱动器和盘片。 计 算 机 网 络 安 全 技 术 2.2.4 防静电措施 l静电是由物体间的相互磨擦、接触而产生的。静电产生 后，由于它不能泄放而保留在物体内，产生很高的电位 （能量不大），而静电放电时发生火花，造成火灾或损 坏芯片。计算机信息系统的各个关键电路，诸如CPU、 ROM、RAM等大都采用MOS工艺的大规模集成电路， 对静电极为敏感，容易因静电而损坏。这种损坏可能是 不知不觉造成的。 l机房内一般应采用乙烯材料装修，避免使用挂毯、地毯 等吸尘、容易产生静电的材料。为了防静电机房一般安 装防静电地板，并将地板和设备接地以便将物体积聚的 静电迅速排泄到大地。机房内的专用工作台或重要的操 作台应有接地平板。此外，工作人员的服装和鞋最好用 低阻值的材料制作，机房内应保持一定湿度，在北方干 燥季节应适当加湿，以免因干燥而产生静电。 计 算 机 网 络 安 全 技 术 2.2.5 电 源 l电源是计算机网络系统正常工作的重要因素。供电设备 容量应有一定的富裕量，所提供的功率一般应是全部设 备负载的125。计算机房设备最好是采取专线供电， 应与其他电感设备（如马达），以及空调、照明、动力 等分开；至少应从变压器单独输出一路给计算机使用。 l为保证设备用电质量和用电安全，电源应至少有两路供 电，并应有自动转换开关，当一路供电有问题时，可迅 速切换到备用线路供电。应安装备用电源，如长时间不 间断电源（UPS），停电后可供电8小时或更长时间。 关键的设备应有备用发电机组和应急电源。同时为防止 、限制瞬态过压和引导浪涌电流，应配备电涌保护器（ 过压保护器）。为防止保护器的老化、寿命终止或雷击 时造成的短路，在电涌保护器的前端应有诸如熔断器等 过电流保护装置。 计 算 机 网 络 安 全 技 术 电源线干扰 l有六类电源线干扰： 中断：三相线中任何一相或多相因故障而停止供电为中断，长 时间中断即为关闭。 异常中断：是指电压连续过载或连续低电压。 电压瞬变：瞬变浪涌是指电压幅值在几个正弦波范围内快速增 加或降低.。 冲击：冲击又称瞬变脉冲或尖峰电压，它是指在0.5s100s内 过高或过低的电压。尖峰一般指瞬时电压超过400V，而下垂电 压指瞬时向下的窄脉冲。 噪声：电磁干扰EMI（Electromagnetic Interference）是由电源 线辐射产生的电磁噪声干扰，射频干扰（RFI）是发射频率 30kHz时的电磁干扰。 突然失效事件：指由雷击等引起的快速升起的电磁脉冲冲击， 致使设备失效。 计 算 机 网 络 安 全 技 术 保护装置 l电源保护装置有金属氧化物可变电阻（MOV）、硅雪 崩二极管（SAZD）、气体放电管（GDT）、滤波器、 电压调整变压器（VRT）和不间断电源（UPS）等。 l金属氧化物可变电阻可吸收尖峰和冲击电压，工作时间 1s5ns。SAZD和GDT可使浪涌和尖峰电压分流，从 而保护电路。SAZD的工作速度快（10-12s），但不能 处理大的浪涌；GDT能处理大的浪涌，但工作速度较 慢（只能达10-6s）。滤波器通过保护电路使噪声分流 并使浪涌衰减。VRT可在秒级进行异常状态保护。UPS 可保护系统，避免断电、下跌、下垂、电源故障、供电 不足和其他低电压状态的影响。连续工作的UPS可使计 算机不受电源线耦合的影响，保护它们避免灾难的干扰 。避雷针和浪涌滤波器可帮助抵抗强电磁脉冲。此外， 安装设备时应远离建筑的金属结构，以避免雷击影响。 计 算 机 网 络 安 全 技 术 紧急情况供电 lUPS：正常供电时，UPS可使交流电源整 流并不间断地使电池充电。在断电时，由 电池组通过逆变器向机房设备提供交流电 。从而有效地保护系统及数据。在特别重 要的场合，应考虑此种措施。 l应急电源：主要通过汽油机或柴油机带动 发电机，在断电时启动，为系统提供较长 时间的紧急供电。它需要有自己的燃料支 持。应急发电机只对最重要的设备提供支 持，包括空调、最必须的计算机、照明灯 、报警系统、通信设备等。 计 算 机 网 络 安 全 技 术 调整电压和紧急开关 l电源电压波动超过设备安全操作允许的范围时 ，需要进行电压调整。允许波动的范围通常在 5%的范围内。当供电减少或不正常工作时， 电压调整设备应能响应1s的电压波动，自动调 整电压并连续工作。 l如果机房设备直接与电网连接，则要有一个电 压调节变压器，以保持电压稳定。这个变压器 安装在机房附近时，需要在机房周围设置防火 隔离带。 l计算机系统的电源开关（主控开关）应安装在 计算机主控制开关柜附近。这些开关要清楚地 标注出它们的功能。操作者应接受在紧急情况 下如何操作它们的训练。 计 算 机 网 络 安 全 技 术 2.2.6 接地与防雷 l地线种类 保护地：计算机系统内的所有电气设备，包括辅助设备，外壳 均应接地。保护地一般是为大电流泄放而接地。机房内保护地 的接地电阻4。 直流地，又称逻辑地，是计算机系统的逻辑参考地，即计算机 中数字电路的低电位参考地。直流地的接地电阻一般要求2 屏蔽地：为避免信息处理设备的电磁干扰，防止电磁信息泄漏 ，重要的设备和重要的机房要采取屏蔽措施，即用金属体来屏 蔽设备和整个机房。一般屏蔽地的接地电阻要求4。 静电地：机房内人体本身、人体在机房内的运动、设备的运行 等均可能产生静电。将地板金属基体与地线相连，以使设备运 行中产生的静电随时泄放掉。 雷击地：雷电具有很大的能量，雷击产生的瞬态电压可高达 10MV以上。单独建设的机房或机房所在的建筑物，必须设置专 门的雷击保护地（简称雷击地），以防雷击产生的设备和人身 事故。 计 算 机 网 络 安 全 技 术 接地系统 l各自独立的接地系统 l交、直流分开的接地系统 l共地接地系统 l直流地、保护地共用地线系统 这种接地系统的直流地和保护地共用接地体，屏蔽地、交流地 、雷击地单独埋设。它主要考虑，许多计算机系统内部已将直 流地和保护地连在一起，对外只有一条引线，在这种情况下， 直流地与保护地分开已无实际意义。由于直流地与交流地分开 ，使计算机系统仍具有较好抗干扰能力。这种接地方式在国内 外均有广泛应用。 l建筑物内共地系统 计 算 机 网 络 安 全 技 术 接地体 l通常采用的接地体有地桩、水平栅网、金属板、建筑物基 础钢筋等。 l地桩：垂直打入地下的接地金属棒或金属管，是常用的接 地体。它用在土壤层超过3m厚的地方。金属棒的材料为 钢或铜，直径一般应为15mm以上。为防止腐蚀、增大接 触面积并承受打击力，地桩通常采用较粗的镀锌钢管。 l水平栅网：在土质情况较差，特别是岩层接近地表面无法 打桩的情况下，可采用水平埋设金属条带、电缆的方法。 金属条带应埋在地下0.5m1m深处，水平方向构成星形或 栅格网形，在每个交叉处，条带应焊接在一起，且带间距 离1m。 l金属接地板：将金属板与地面垂直埋在地下，与土壤形成 至少0.2m2的双面接触。深度要求在永久性潮土壤以下 30cm，一般至少在地下埋1.5m深。金属板的材料通常为 铜板，也可分为铁板或钢板。 l建筑物基础钢筋 计 算 机 网 络 安 全 技 术 2.2.7计算机场地的防火、防水措施 l隔离：建筑内的计算机房四周应设计一个隔离带，以使 外部的火灾至少可隔离一个小时。 l火灾报警系统：在火灾初期就能检测到并及时发出警报 。火灾报警系统按传感器的不同，分为烟报警和温度报 警两种类型。 l灭火设施 ：灭火器 ；灭火工具及辅助设备如液压千斤 顶、手提式锯、铁锨、镐、榔头、应急灯等。 l管理措施：机房应有应急计划及相关制度，要严格执行 计算机房环境和设备维护的各项规章制度，加强对火灾 隐患部位的检查。如电源线路要经常检查是否有短路处 ，防止出现火花引起火灾。要制定灭火的应急计划并对 所属人员进行培训。此外，还应定期对防火设施和工作 人员的掌握情况进行测试。 计 算 机 网 络 安 全 技 术 2.3 电磁防护 l计算机及网络系统和其它电子设备一样，工作时要产生 电磁发射，电磁发射可被高灵敏度的接收设备接收并进 行分析、还原，造成系统信息泄漏。另一方面，计算机 及网络系统又处在复杂的电磁干扰的环境中，这种电磁 干扰有时很强（如电子战中的强电磁干扰或核辐射脉冲 干扰），使计算机及网络系统不能正常工作，甚至被摧 毁。 l电磁防护的主要目的是通过屏蔽、隔离、滤波、吸波、 接地等措施，提高计算机及网络系统、其它电子设备的 抗干扰能力，使之能抵抗强电磁干扰；同时将计算机的 电磁泄漏发射降到最低。从而在未来的电子战、信息战 中、商战中立于不败之地。 计 算 机 网 络 安 全 技 术 2.3.1 电磁干扰 l电磁干扰的分类：在一个系统内，两个或 两个以上电子元器件处于同一环境时，就 会产生电磁干扰。电磁干扰是电子设备或 通信设备中最主要的干扰。按干扰的耦合 方式不同，可将电磁干扰分为传导干扰和 辐射干扰两类。 计 算 机 网 络 安 全 技 术 传导干扰 l传导干扰是通过干扰源和被干扰电路之间存在的一个公 共阻抗而产生的干扰。 l公共阻抗有各种形式，一般可分为阻性干扰、感性和容 性干扰。如图（1）所示，两台设备（R1、R2）采用共 用电源供电，每台设备负载的变化都会引起电流的变化 ，进而引起另一台设备供电的变化，相当于通过阻抗将 干扰传至另一台设备。 l又如，两条平行导线a、b相距很近时，如图（2）所示 ，一条导线上的电流变化会产生交变磁场，交变磁场又 会在另一条导线上产生感应电流，这是通过互感耦合引 起的干扰，也称为感性干扰。同样，两根导线间有容抗 存在，由于电位差的影响，经电容耦合到另一条导线而 产生的干扰，称为容性干扰。 计 算 机 网 络 安 全 技 术 计 算 机 网 络 安 全 技 术 辐射干扰 l辐射干扰是通过介质以电磁场的形式传播的干扰。辐射电 磁场从辐射源通过天线效应向空间辐射电磁波，按照波的 规律向空间传播，被干扰电路经耦合将干扰引入到电路中 来。辐射干扰源可以是载流导线，如信号线、电源线等， 也可为芯片、电路等。 l当干扰源靠近被干扰电路，两者的距离为小于/2（为干 扰波长）的近场时，干扰通过电感或电容耦合而引入。这 时可通过上述的感性、容性传导耦合干扰来分析，分析时 可忽略相位差的影响。 l当干扰源与被干扰电路相距较远，两者距离为大于2的远 场时，电磁能量通过空间传播，称为电磁辐射。在分析时 要考虑相位差的影响。 l总之，传导干扰和辐射干扰主要取决于干扰源的频率（频 率对应着波长）。低频时，/2较大，干扰往往属于传导耦 合；高频时，/2较小，干扰往往属于电磁辐射。例如，频 率为30MHz，距离大于2m时，其干扰均为电磁辐射。 计 算 机 网 络 安 全 技 术 电磁干扰的危害 l计算机电磁辐射的危害信息泄漏防护 技术（TEMPEST技术）。 lTEMPEST技术是综合性的技术，包括泄 漏信息的分析、预测、接收、识别、复原 、防护、测试、安全评估等项技术，涉及 到多个学科领域。它基本上是在传统的电 磁兼容理论基础上发展起来的，但比传统 的抑制电磁干扰的要求要高得多，技术实 现上也更为复杂。抑制和防止电磁泄漏现 已成为物理安全策略的一个主要问题。 计 算 机 网 络 安 全 技 术 外部电磁场对计算机正常工作的影响 l磁场感应：对于磁场，根据 法拉第电磁感应定律，感应 环在变化的磁场中产生的感 应电压正比于通过导体环路 中总磁通量的时间变化速率 。假设有一个圆形环路，电 磁脉冲为均匀的平面波，其 变化磁场的方向相对于环路 平面成夹角，则环中产生的 等效电压为： l电场感应：对于电场， 一个小的电偶极子对辐 射的电磁脉冲的响应与 磁环路类似，如图2.2所 示。对于一个长度为l的 阻性负载电偶极子（导 线），电场与它的夹角 为，则对于大负载电 阻，近似的感应电压为 计 算 机 网 络 安 全 技 术 2.3.2 电磁防护的措施 l目前主要防护措施有两类：一类是对传导发射的防护， 主要采取对电源线和信号线加装性能良好的滤波器，减 小传输阻抗和导线间的交叉耦合；另一类是对辐射的防 护，这类防护措施又可分为以下两种：一种是采用各种 电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏 蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽 和隔离；第二种是干扰的防护措施，即在计算机系统工 作的同时，利用干扰装置产生一种与计算机系统辐射相 关的伪噪声向空间辐射来掩盖计算机系统的工作频率和 信息特征。 l为提高电子设备的抗干扰能力，除在芯片、部件上提高 抗干扰能力外，主要的措施有屏蔽、隔离、滤波、吸波 、接地等。其中屏蔽是应用最多的方法。 计 算 机 网 络 安 全 技 术 屏蔽 l屏蔽可以有效地抑制电磁信息向外泄漏，衰减 外界强电磁干扰，保护内部的设备、器件或电 路，使其能在恶劣的电磁环境下正常工作。屏 蔽体一般是用导电和导磁性能较好的金属板制 成。正确设计的屏蔽体，配合滤吸、隔离、接 地等技术措施，可以达到80db以上的屏蔽效能 （频率范围为10KHz10000MHz）。 l屏蔽的三种类型： 电屏蔽：电屏蔽是将电子元器件或设备用金属屏蔽层包封起来 ，避免它们之间通过耦合引起干扰而采取的措施。 磁屏蔽：磁屏蔽是采用导磁性好的材料包封起被屏蔽物，为屏 蔽体内外的磁场提供低磁阻的通路来分流磁场，避免磁场干扰 ，抑制磁场辐射。 电磁屏蔽：电磁屏蔽是对电磁场进行屏蔽。因为电场和磁场一 般不孤立存在，所以这也是主要的屏蔽措施。平时所说屏蔽， 一般指电磁屏蔽。 计 算 机 网 络 安 全 技 术 屏蔽效能 屏蔽体的屏蔽效能可用屏蔽前后空间同一点处电磁场的 衰减程度确定。如图2.3所示，空间中的P点在屏蔽前电 场强度为E1（或磁场强度H1），采用屏蔽后，对同一 点的测量值为E2（或H2），则屏蔽效能SE为： 由于这个比值范围很大，表达很不方便，故实际应用中 常采用分贝（db）来表示屏蔽效能： 计 算 机 网 络 安 全 技 术 式中SEP点的屏蔽效能（db） E1P点无屏蔽时的电场强度 E2P点屏蔽后的电场强度 H1P点无屏蔽时的磁场强度 H2P点屏蔽后的磁场强度 计 算 机 网 络 安 全 技 术 几种特殊的屏蔽措施 l金属板屏蔽 l金属栅网屏蔽：金属板制作 的屏蔽体可以获得理想的屏 蔽效能，但许多场合不能用 金属板做屏蔽材料，如需要 透光、通风和需柔性安装、 折叠运输的特殊场合，需要 采用柔性金属栅网做屏蔽体 。一般来说，金属栅网做屏 蔽体对电磁波的衰减作用比 金属板要差得多。因为金属 丝很细，又充满孔洞，金属 网的屏蔽作用主要是反射损 耗。试验表明，孔越多，孔 的面积越大，所起的屏蔽作 用越小。 l多层屏蔽：多层屏蔽是为了得到 更好的屏蔽效能而采取的措施。 有时需要对电场和磁场两者都有 较好的防护，有时需要柔性屏蔽 ，但单层金属栅网的屏蔽效能又 不能满足要求。在这些特殊情况 下，采用双层或多层屏蔽材料做 屏蔽体，可得到更好的效果。 l薄膜屏蔽：在不便构造屏蔽室的 场合可采用金属箔粘贴方式屏蔽 ；还可采用喷涂的方式在基体上 覆盖一层薄金属涂层起到吸波、 屏蔽作用；为防射频辐射，可采 用金属薄膜包装材料，在运输和 储存期间保护重要的电子媒体和 电子器件等。 计 算 机 网 络 安 全 技 术 滤波技术 l滤波器是由电阻、电容、电感等器件构成的一 种无源网络，它可让一定频率范围内的电信号 通过而阻止其他频率的电信号，从而起到滤波 作用。在有导线连接或阻抗耦合的情况下，进 出线采用滤波器可阻止强干扰。从限制带宽的 种类看，滤波器可分为低通、带通和高通滤波 器，其中使用较多的是低通滤波器。 l最简单的低通滤波器是由电感或电容组成。将 电阻、电容、电感一起使用，可构成性能更好 的型、型和T型低通滤波器。 计 算 机 网 络 安 全 技 术 滤波器的主要技术指标 l滤波器的主要技术指标有： 频率特性 额定电压 额定电流 绝缘电阻 计 算 机 网 络 安 全 技 术 电磁防护的其他措施 l接地：接地对电磁兼容来说十分重要，它不仅可起到保 护作用，而且可使屏蔽体、滤波器等集聚的电荷迅速排 放到大地，从而减小干扰。作为电磁兼容要求的地线最 好单独埋放，对其地阻、接地点等均有很高的要求。 l可在电缆入口处增加一个浪涌抑制器。这种浪涌抑制器 与地线直接连接，平时阻抗很高，与大地绝缘，电缆通 过它正常地向计算机传输动力或信号。一旦强电磁脉冲 到来，浪涌抑制器自动变为低阻抗，使电磁能量泄放到 大地。 l除此之外，还应尽量减小天线和连接电缆长度，尽量减 少感应环路面积，从而降低感应电压。可采取绞扭信号 线、导线贴近地面等措施。由于电子性能灵敏的器件更 易受瞬时感应电压的影响，在电路设计时，如果不灵敏 的器件可满足功能要求，就尽量采用不太灵敏器件，而 必须采用的灵敏器件要采取屏蔽、浪涌保护等措施。 计 算 机 网 络 安 全 技 术 2.4 物理隔离技术 l我国2000年1月1日起实施的计算机信息系统 国际联网保密管理规定第二章第六条规定，“ 涉及国家秘密的计算机信息系统，不得直接或 间接地与国际互联网或其它公共信息网络相连 接，必须实行物理隔离”。因此，“物理隔离技 术”应运而生。 l物理隔离技术的目标是确保把有害的攻击隔离 ，在可信网络之外和保证可信网络内部信息不 外泄的前提下，完成网间数据的安全交换。物 理隔离技术是在原有安全技术的基础上发展起 来的、一种全新的安全防护技术。 计 算 机 网 络 安 全 技 术 2.4.1 物理隔离的安全要求 l物理隔离，在安全上的要求主要有三点： 在物理传导上使内外网络隔断，确保外部网不能通 过网络连接而侵入内部网；同时防止内部网信息通 过网络连接泄漏到外部网。 在物理辐射上隔断内部网与外部网，确保内部网信 息不会通过电磁辐射或耦合方式泄漏到外部网。 在物理存储上隔断两个网络环境，对于断电后会遗 失信息的部件，如内存、处理器等暂存部件，要在 网络转换时作清除处理，防止残留信息出网；对于 断电非遗失性设备如磁带机、硬盘等存储设备，内 部网与外部网信息要分开存储。 计 算 机 网 络 安 全 技 术 2.4.2 物理隔离技术的发展历程 l第一阶段彻底的物理隔离 利用物理隔离卡、安全隔离计算机和隔离集线器（交换机）所 产生的网络隔离，是彻底的物理隔离，两个网络之间没有信息 交流，所以也就可以抵御所有的网络攻击，它们适用于一台终 端（或一个用户）需要分时访问两个不同的、物理隔离的网络 的应用环境。 l第二阶段协议隔离 协议隔离是采用专用协议（非公共协议）来对两个网络进行隔 离，并在此基础上实现两个网络之间的信息交换。协议隔离技 术由于存在直接的物理和逻辑连接，仍然是数据包的转发，一 些攻击依然出现。 l第三阶段物理隔离网闸技术 能够实现高速的网络隔离，高效的内外网数据交换，且应用支 持做到全透明。它创建一个这样的环境：内、外网络在物理上 断开，但却逻辑地相连，通过分时操作来实现两个网络之间更 安全的信息交换。该技术在国外称之为Gap Technology，意为 物理隔离。 计 算 机 网 络 安 全 技 术 技术手段优 点缺 点典型产品 彻底的 物理隔离 能够抵御所有的网 络攻击 两个网络之间 没有信息交流 联想网御物理隔离卡、开天 双网安全电脑以及伟思网络 安全隔离集线器 协议隔离 能抵御基于TCP/IP 协议的网络扫描与 攻击等行为 有些攻击 可穿越网络 京泰安全信息交流系统2.0 、东方DF-NS310物理隔离 网关 物理隔离 网闸 不但实现了高速的 数据交换，还有效 地杜绝了基于网络 的攻击行为 应用种类 受到限制 伟思ViGAP、天行安全隔离 网闸(TopWalk-GAP)和联想 网御SIS3000系列安全隔离 网闸 计 算 机 网 络 安 全 技 术 2.4.3 物理隔离的性能要求 l任何安全都是有代价的，由于物理隔离导 致的使用不方便、内外数据交换不方便是 难以避免的。但物理隔离技术应该做到以 下几点，才能满足市场的需求。 高度安全：物理隔离要从物理链路上切断网络连接 ，才能有别于“软”安全技术，达到一个更高的安全 层次。 较低成本：如果物理隔离的成本超过了两套网络的 建设费用，那么相当程度上就失去了意义。 容易部署：这和降低成本是相辅相成的。 操作简单：物理隔离技术应用的对象是普通的工作 人员，因此，客户端的操作要简单，用户才能方便 的使用。 计 算 机 网 络 安 全 技 术 2.5 安全管理 2.5.1 安全管理概述 l定义：安全管理是指计 算机网络的系统管理。 包括了应用管理、可用 性管理、性能管理、服 务管理、系统管理、存 储/数据管理等内容。所 以，安全管理功能可概 括为OAM P，即计算 机网络的运行（ Operation）、处理（ Administration）、维护 （Maintenance）、服务 提供（Provisioning）等 所需要的各种活动。有 时也考虑前三种，即把 安全管理功能归结为 OAM。 l计算机网络安全管理的 主要功能：国际标准化 组织（ISO）在ISO/IEC 7498-4文档中定义了开放 系统的计算机网络管理 的五大功能，它们是： 故障管理功能，配置管 理功能，性能管理功能 ，安全管理功能和计费 管理功能。其他一些管 理功能，比如网络规划 、网络管理者的管理等 均不在这五个功能之内 。 计 算 机 网 络 安 全 技 术 故障管理 l故障管理（Fault Management）是网络管理中最 基本的功能之一，即对网络非正常的操作引起 的故障进行检查、诊断和排除。保证网络能够 提供连续、可靠的服务。它的功能包括： 检测被管对象的差错，或接收被管对象的错误检测报告并做出 响应； 当存在空闲设备或迂回路由时，提供新的网络资源用于服务； 创建和维护差错日志库，并对差错日志进行分析； 进行诊断和测试，以追踪和确定故障位置、故障性质； 纠正错误：通过资源更换或维护，以及其他恢复措施使其重新 开始服务。 l故障管理功能是利用标准协议SNMP和RMON 来实现的。 计 算 机 网 络 安 全 技 术 配置管理 l配置管理（Configuration Management）就是定 义、收集、监测和管理系统的配置参数，使得 网络性能达到最优。配置参数包括（但不局限 于）设备资源、它们的容量和属性，以及它们 之间的关系。 l配置管理需要进行的操作内容包括： 鉴别被管对象，标识被管对象； 设置被管对象的参数，如初始化被管对象，路由操作的参数； 改变被管对象的操作特性，报告被管对象的状态变化； 关闭、删除被管对象。 l配置管理的目的是为了随时了解系统网络的拓 扑结构以及所交换的信息，包括连接前静态设 定的和连接后动态更新的；实现某个特定功能 或使网络性能达到最佳。 计 算 机 网 络 安 全 技 术 性能管理 l性能管理（Performance Management）用于收集 分析有关被管网络当前 状况的数据信息，并维 持和分析性能日志。典 型的网络性能管理分成 性能监测和网络控制两 部分。性能管理以网络 性能为准则收集、分析 和调整被管对象的状态 ，其目的是保证网络可 以提供可靠、连续的通 信能力并使用最少网络 资源和具有最少时延。 l功能包括： 收集和分发、统计与性能有 关的数据信息； 维护系统性能的历史记录； 模拟各种操作的系统模型； 分析当前统计数据，以检测 性能故障，产生性能告警、 报告性能事件； 确定自然和人工状况下系统 的性能； 改变系统操作模式以进行系 统性能管理的操作。 计 算 机 网 络 安 全 技 术 安全管理 l安全管理（Security Management）是指监视、 审查和控制用户对网络的访问，并产生安全日 志，以保证合法用户对网络的访问。在内联网 中，安全管理一般是由专门的软件分担，如防 火墙软件。 l网络安全管理应包括对授权机制、访问控制、 加密和密钥的管理，另外还要维护和检查安全 日志。安全管理的功能包括： 支持安全服务。 维护安全日志。 向其他开放系统分发有关安全方面的信息和相关事件的通报。 创建、删除、控制安全服务和机制。 计 算 机 网 络 安 全 技 术 计费管理 l计费管理（Accounting Management）记录网络 资源的使用，目的是控制和监测网络操作的费 用和代价。它可以估算出用户使用网络资源可 能需要的费用和代价，以及已经使用的资源。 网络管理者还可以规定用户可使用的最大费用 ，从而控制用户过多占用和使用网络资源。计 费管理功能应包括： 统计网络的利用率等效益数据，以使网络管理人员确定不同时 期和时间段的费率； 设置计费的阀值点：根据用户使用的特定业务在若干用户之间 公平、合理地分摊费用； 通知用户使用费用或使用的资源，允许采用信用记帐方式收取 费用，包括提供有关资源使用的帐单审查； 当用户使用多种资源时，将有关的费用综合在一起。 计 算 机 网 络 安 全 技 术 三维管理空间 计 算 机 网 络 安 全 技 术 2.5.2 计算机网络管理系统的 逻辑结构模型 l计算机网络管理系统逻辑模型 计 算 机 网 络 安 全 技 术 OSI网络管理结构模型 计 算 机 网 络 安 全 技 术 Internet网络管理逻辑模型 计 算 机 网 络 安 全 技 术 网络管理系统的基本模型 计 算 机 网 络 安 全 技 术 2.5.3 安全管理协议： SNMP和CMIP l在网络管理系统的四个组成部分中，网络 管理协议最重要。它定义了网络管理器与 被管代理间的通信方法，规定了管理信息 库的存储结构，信息库中关键字的含义以 及各种事件的处理方法。 l目前最有影响的网络管理协议是SNMP和 CMIS/CMIP，它们也代表了目前两大网 络管理解决方案。 计 算 机 网 络 安 全 技 术 简单网络管理协议（SNMP） l简单网络管理协议，是使用户能够通过轮询、 设置关键字和监视网络事件来达到网络管理目 的的一种网络协议。它是一个应用级的协议， 而且是TCP/IP协议族的一部分，工作于用户数 据报文协议（UDP）上。SNMP已发展成为各 种网络及网络设备的网络管理协议标准。 lSNMP发展简史如下： 1990年，SNMPv1（RFC1157）和MIBv1（RFC1156）； 1996年，SNMPv2（RFC1905）和MIBv2（RFC1904）； 1998年，SNMPv3（RFC2273）和MIBv3（RFC2272）。 计 算 机 网 络 安 全 技 术 SNMP的管理结构模型 lSNMP主要用于OSI七层模型中较低几个层次的管理， 它的基本功能包括监视网络性能、检测分析网络差错和 配置网络。SNMP网络管理模型由多个管理代理（ Management Agents）、至少一个管理工作站（Network Management Station）、一种通用的网络管理协议（ Management Protocol）和一个或多个管理信息库（MIB ）四部分组成。用户主机和网络互联设备等所有被管理 的网络设备称为被管对象（Managed Objects）；驻留 在被管对象上，配合网络管理的处理实体称为管理代理 ；实施管理的处理实体称为管理器（Manager）；管理 器和管理代理通过网络管理协议来实现信息交换。管理 器驻留在管理工作站上，信息分别驻留在被管对象和管 理工作站上的管理信息库中。 l网络管理员利用SNMP配合诸如HP OpenView、No