ch3计算机网络实体安全.ppt

第3章 计算机网络实体安全,本章主要内容： 计算机网络机房及环境安全 机房的自然与人为灾害的防护 机房静电和电磁辐射的防护 存储介质的保护 软件和数据文件的保护 网络系统的日常安全管理。,本章要求: 了解计算机机房的安全等级，机房场地及环境安全要考虑的问题和管理方面的要求 了解机房火灾、水灾、电磁干扰、 电磁辐射、静电、雷击产生的原因及防护措施 了解对机房存储介质的保护 了解软件和数据文件的保护策略 掌握对网络系统的日常安全管理,计算机网络实体是网络系统的核心，它既是对数据进行加工处理的中心，也是信息传输控制中心。它包括网络系统的硬件、软件和数据资源。因此保证计算机网络实体安全，即是保证网络硬件和环境、存储介质、软件和数据安全保护。,本章分为六小节： 31 网络机房及环境安全 32 自然与人为灾害的防护 33 静电和电磁辐射的防护 34 存储介质的保护 35 软件和数据文件的保护 36 网络系统安全的日常管理,3.1 网络机房及环境安全,3.1.1. 机房的安全等级 机房的安全按计算机系统要求可分为三级：A级、B级和C级。 A级要求具有最高的安全性和可靠性 C级则可确保系统一般运行时的最低安全性和可靠性,3.1.2. 机房的安全保护 机房环境及场地安全 良好的自然环境：周围无大工厂、震动源和易燃易爆品仓库等，以免有强大的电磁干扰、噪声、震动及污染等 机房周围有安全保障：多层屏障、围墙、栅栏和安全入口等，防止非法暴力入侵。,安装监视和报警装置：在机房内通风孔、隐蔽地方安装监视和报警装置，用来监视和检测入侵者，预报意外灾害等； 机房装饰：防静电活动地板，防尘和非易燃材料墙面，封闭门窗或双层密封玻璃等；,机房的出入管理 出入验证：通过特殊标志、口令、指纹、通行证等对进入人员进行识别和验证； 出入管理：完善的安全出入管理制度，关键通道加锁和设置警卫，防止非法用户进入。,机房内部管理与维护 机房的空气要经过净化处理，要经常排除废气，换入新风； 工作人员要经常保护机房清洁卫生； 工作人员进入机房要穿工作服，配戴标志或标识牌； 机房要制定一整套可行的管理制度和操作人员守则，并严格监督执行。,3.1.3. 机房温度、湿度和洁净度 温度的影响 温度过高：集成电路器件性能不稳定，存储信息的磁介质损坏，信息丢失 温度过低：设备表面容易结露，潮湿现象导致设备绝缘不好，机器锈蚀,湿度的影响 湿度过高：使电路和元器件的绝缘性能变坏，机器金属生锈，影响磁头的高速运转，降低纸介质强度 湿度过低：易于产生静电 一般情况下，温度要求在222度，变化率为2度/小时；相对湿度为4060%，变化率为25%/小时,洁净度 灰尘会造成机器接插件的接触不良、发热元器件的散热效率降低、电子元件的绝缘性能下降等；增加机械磨损，尤其对驱动器和盘片；使磁盘数据的读写出现错误，而且可能划伤盘片，甚至导致磁头损坏。因此机房必须有防尘、除尘措施，保持机房内的清洁卫生。一般机房的洁净度要求灰尘颗粒直径小于0.5m，平均每升空气含尘少于1万粒。,3.1.4机房接地系统 为保证设备可靠运行、防止干扰、保护设备及人身安全，机房必须提供良好的接地系统。包括直流地、交流地、安全保护地和防雷保护地。 接地是以接地电流易于流动为目的，接地电阻越小，电流越易于流动。 直流地、交流地、安全保护地的接地电阻一般都不大于4,直流地：逻辑地，零电位参考点。每个设备都有直流地。把多个直流地焊在一起或一个铜条上，埋在建筑物附近地下； 交流地：机房中交流电源的中性线作为工作地处理。把稳压电源、空调等使用交流供电的设备中性点用绝缘导线连到配电柜的中线上；,安全保护地：将电力设备的金属外壳接地，防止由于线路绝缘损坏可能使机器外壳带有危险的相电压。 静电地：消除计算机系统运行过程中产生的静电电荷采取的接地； 屏蔽地：在设备屏蔽体和大地之间由低阻导线连接，为高频干扰信号提供通路。,3.1.5机房的电源保护 电源是计算机网络系统的命脉，电源系统电压的波动、浪涌电流或突然断电等意外事件的发生不仅可能使系统不能正常工作或存储信息的丢失、存储设备损坏等。,在国标GB2887-2000和GB9361-88中对机房的安全供电做了明确要求。国标GB2887-2000将供电方式分三类： 一类供电：需建立不间断供电系统； 二类供电：需要建立带备用的供电系统； 三类供电：按一般用户供电要求考虑。,电源系统安全不仅包括外部供电线路的安全，更重要的室内电源设备的安全。计算机网络机房可采用以下措施保证电源的安全工作： 隔离和自动稳压 稳压稳频器 不间断电源（UPS）,3.1.6机房的环境设备监控系统 机房的环境设备监控系统主要是对机房设备（如供配电系统、UPS电源、防雷器、空调系统、消防系统、保安系统等）的运行状态、温度、湿度，供电的电压、电流、频率，配电系统的开关状态、测漏系统等进行实时监控并记录历史数据，实现对机房遥测、遥信、遥控、遥调的管理功能，为机房高效的管理和安全运行提供有力的保证。,3.1.7机房的空调系统 机房应采用专用空调设备。最好采用风冷式空调设备，空调设备的室外部分应安装在安全及便于维修的地方。空调设备的管道、消声器、防火阀接头、衬垫以及管道和配管用的隔热材料应采用难燃材料或非燃材料。 采用水冷式空调设备时，应设置漏水报警装置，并设置防水小堤，还应注意冷却塔、泵、水箱等供水设备的防冻、防火措施。,3.2 自然与人为灾害的防护,网络系统可能受到火灾水灾、风雹、地震、雷电、电磁等自然与人为灾害的侵袭，因此对网络系统在这方面要有相应的防护。,3.1.1机房的防火 火源：顶棚之上、地板之下、开关等处 火灾原因：电器设备或电线起火，空调电加热器起火，人为事故起火，建筑物起火等,防火措施： 建筑物防火：对主机房、电源室、终端室、空调室、介质存放室等处采取消防措施；采用难燃或非燃建筑材料进行机房装饰；机房远离易燃、易爆物品储存地； 配备灭火器材：配置消防器材并置于有明显标志处；,设置报警系统和紧急出口：报警系统有完整的声光报警、24小时不间断监视能力；紧急出口在发生火灾时便于人员和重要资源的撤出； 绝缘材料：采用绝缘好的电器材料或燃点高的绝缘材料；,加强防火安全管理：对工作人员进行防火安全教育和防火器材使用教育；明确防火安全责任制；磁带和纸张等易燃品专门存放等。,3.1.2机房的防水 机房一旦受到水浸，将使电缆和电气设备的绝缘性能大大降低，甚至不能工作。因此，机房应有相应的预防、隔离和排除措施。,防水措施： 机房的地面和墙壁使用防渗水和防潮材料处理； 对机房屋顶要进行防水处理，或对上一层建筑物的水源注意保护，防止积水渗入机房；,地板下面区域要有合适的排水设施； 机房内或附近及楼上房间一般不应有用水设备； 地下室机房必须备有水泵或带有检验阀的排水管及水淹报警装置。,3.1.3机房的电磁干扰防护 电磁场干扰的影响：机房周围电磁场的干扰会增加电路噪声，使机器产生错误动作，严重时将导致系统不能正常工作 电磁场干扰的来源：计算机系统本身和外部。,系统外部的电磁干扰主要来自无线电广播天线、雷达天线、工业电气设备、高压电力线和变电设备，以及大自然中的雷击和闪电等； 计算机本身的各种电子组件和导线通过电流时，会产生不同程度的电磁干扰，这种影响可在机器制做时采用相应工艺降低和解决。,防止和减少电磁干扰的措施： 选址远离干扰源：如无线电广播发射塔、雷达站、工业电气设备、高压电力线和变电站等； 采用接地和屏蔽措施：,3.1.4机房的雷电防护 雷电的危害：每年全球因雷击至少造成100亿美元的电子设备损失。雷电不仅破坏系统设备，还可使通信中断、系统瘫痪，其间接损失不可估量。,雷电的防护 根据电子电气设备的不同功能做分类保护；根据雷电和操作瞬间过压危害从电源线到数据通信线做分层保护；,外部无源保护：主要是避雷针(网、线、带)和接地装置(地线、地网； 内部防护： 电源部分防护(低压线的过压保护，三级保护，加装避雷器) 信号部分防护(根据密级和敏感程度对信号系统采用粗保护和精细保护) 接地处理(建筑物地、逻辑地、防雷地),雷电侵入的形式 雷电直击：直接击中线路和设备 感应雷击：雷云之间或对地放电时对信号线、电力线或设备连线产生的电磁感应侵入 雷电波侵入：雷电电流在其周围将出现瞬变电磁场，其瞬变时间极短或感应的电压很高，以至产生电火花，其磁脉冲可超过2.4GS。 球形雷击：球形雷是一种橙色或红色火焰的发光球体，一种特殊的雷电现象。,3.3 机房静电和电磁辐射的防护 3.3.1机房的静电防护 静电是机房发生最频繁、最难消除的危害之一。它不仅会使计算机运行出现随即故障，而且会导致某些元器件(如CMOS /MOS /双极性电路等)被击穿和损坏，还会影响操作和维护人员的的身心健康。,静电故障特点 静电故障具有与季节有关；偶发性强，多为随即故障；与地板、家具和工作服有关等特点； 静电对信号线和电源线产生感应噪声，产生高压，引起机壳地、安全地电位变化，静电放电时产生辐射噪声等。,静电影响 主要体现在半导体器件上。半导体对静电的反应很灵敏，一是可能造成元器件损坏，二是可引起计算机误操作或运算错误；,静电对计算机外设也有明显的影响，如阴极射线显示器在受到静电影响时将使图象紊乱，模糊不清；还可造成Modem、网卡、Fax卡等工作失常，打印机走纸不顺等。,静电的防护 铺设防静电地板 穿戴防静电衣服和鞋帽 拆装和检修机器时戴防静电手环 保持机房内相应的温度和湿度,3.3.2 电磁辐射的防护 (1) 电磁辐射的形成与危害 电子设备在工作时能通过地线、电源线、信号线等将所处理的信息以电磁波或谐波形式放射出去，形成电磁辐射。这些辐射信号若被攻击者接收，可通过提取处理等过程恢复原信息，造成信息泄露。,(2) 电磁辐射的保护措施 设备保护：使用低辐射力的设备 建筑保护：建筑或装饰时采用屏蔽措施 区域保护：机房关键部位在辐射保护区内 线路保护：数据加密和线路屏蔽,TEMPEST(电磁辐射防护和抑制技术 )： 抑制和屏蔽电磁辐射：设备加金属屏蔽，改善电路布局，设备接地，使用屏蔽插件； 干扰性防护：系统工作时施放伪噪声，掩盖真正的系统工作频率和信息特性。,3.4 存储介质的保护,存储介质通常指磁盘、磁带、光盘。存储介质或其存储信息的丢失，都将对网络系统造成不同程度的损失。因此要保护存储介质及其存储信息的安全。,1. 存储介质的保护 建立专门的存储介质库(柜)并进行如下管理： 限制少数人接触存储介质库(柜) 存储介质库(柜)内带盘的目录清单要标明相关参数，并定期检查 旧存储介质销毁前进行消磁和清除数据 存储介质库(柜)房要保持合适的温、湿度,2. 存储介质信息的保护 为存储介质的信息分级： 对重要信息要备份并存放于防火、防水、防电磁场的保护设备中 对存储介质信息的复制和备份要有严格的权限控制,3.5 软件和数据文件保护,危害 非法复制、非授权侵入和修改是对软件和数据文件的主要危害，这些危害在工商业、金融及军政部门的网络系统中的危害不可估量。,2. 保护策略 目前主要使用市场策略、法律策略和技术策略这三种策略抵抗非法复制 市场策略：以优惠价格和后续的技术支持使得用户愿意购买； 法律策略：软件保护相应法规的约束和威慑使人们去购买软件； 技术策略：如抗软件分析法、唯一签名法和软件加密法,抗软件分析法可使攻击者不能动态跟踪与分析软件程序； 唯一签名法可保证软件不被非法拷贝； 软件加密后使得即使是拷贝了该软件也无法读懂，也就无法分析和使用它。,3.6 网络安全的日常管理,对于网络系统的安全管理和维护，不仅需要有配套的安全防御措施，还需要规范的管理制度和流程，更需要高素质的安全管理和操作人员。 一般网络管理人员所面对的网络管理环境大都已经采取了某些安全措施，构成了一定的防御体系。如：,1. 口令（密码）管理 口令问题容易被人忽视。一般人们常犯的口令错误有：多个账号使用同一个密码；密码全部采用数字组合或字母组合；密码从不更新；密码被记录于易见的媒体上；远程登录系统时，账号和密码在网络中以明文形式传输等。,作为网络安全管理人员，在口令管理上应该养成好习惯，比如：选取数字、字母、符号相间的口令；口令不随便书写在易见的媒体上；适时更新口令；及时删除已撤消的账号和口令；远程登录时使用加密口令；更严格情况可采用口令鉴别和PKI验证过程。,2. 病毒防护 机房管理和使用人员均应有防护病毒意识。网络系统的所有计算机都安装相关的防病毒软件。在日常维护中，最好是每隔两三天就检查一次是否需要升级病毒库，在必要时及时进行升级。,3. 漏洞扫描 网络管理员应通过漏洞扫描系统对网络系统进行扫描，查找网络上存在哪些漏洞并及时修补。比如：对IIS打补丁可避免红色代码蠕虫问题；对SQL Server打补丁就可避免SQL蠕虫问题；及时加强口令的控制，关闭不必要的服务，就不会发生被他人远程控制问题；如果在出口进行源路由控制，就不会有DDoS攻击从本网发动。,4. 边界控制 通常可利用路由器网络对边界访问进行控制，特别是连接Internet的边界。边界访问控制得比较好，就能有效地减少来自Internet的攻击风险。比如采用源路由器控制方法，过滤非本地的IP报文发送到Internet上，可避免黑客的IP欺骗，也可控制DDoS攻击。加强局域网之间的边界控制，可以减少攻击威胁的范围。,5. 实时监控 网络访问是动态的，网络管理员要时刻监视网络的访问情况，密切注意潜在的攻击行为，采取必要手段进行及时控制；对已攻击成功的事件，应启动应急响应流程，分析网络中的薄弱环节，考虑应如何调整和加强安全措施等。 利用IDS建立全网的监控系统，可以实施对网络的实时全面监控和对某个或某些安全事件进行特别监