第3章_计算机系统实体的安全

3.1计算机系统的可靠性,计算机系统实体的安全是指为了保证计算机系统安全、可靠地运行，确保系统在对信息进行采集、传输、存储、处理、显示、分发和利用的过程中，不致受到人为的或自然因素的危害而使信息丢失、泄漏和破坏，对计算机系统设备、通信与网络设备、存储媒体设备和人员所采取的安全技术措施。3.1计算机系统的可靠性要保证计算机系统的安全性，首先必须保证计算机系统实体，即计算机及其外部设备和网络及通信线路可靠、无故障和无差错。,3.1计算机系统的可靠性,3.1.l计算机系统的可靠性可靠性基本指标：可靠度，失效概率，失效密度，平均寿命（或平均无故障时间）等可靠度：是指计算机在规定的条件下和给定的时间内完成预定功能的概率。“平均寿命”也叫故障间隔平均时间（MTBF），或平均无故障工作时间（MTTF）。如果用n个元件进行一次寿命试验，直到全部元件损坏为止，把每个元件损坏以前的工作时间记为t1，t2，tx，其平均寿命公式：,3.1计算机系统的可靠性,计算机系统可靠性各指标的关系,3.1计算机系统的可靠性,影响计算机可靠性的因素有内因和外因内因是指机器本身的因素，包括设计、工艺、结构、调试等因素，元件选择和使用不当、电路和结构设计不合理、生产工艺不良、质量控制不严、调试不当等都会影响计算机的可靠性；外因是指所在环境条件对系统可靠性、稳定性和维护水平的影响。环境条件包括：空气条件、机械条件、电气条件、电磁条件等几个方面。在系统的可靠性工程中，元器件是基础，设计是关键，环境是保证。因此，要提高信息系统的可靠性，除了保证系统的正常工作条件及正确使用和维护外，还要采取以下两种技术：一是容错技术，二是故障诊断。,3.1计算机系统的可靠性,容错技术：是指用增加冗余资源的方法来掩盖故障造成的影响，使系统在元器件或线路有故障或软件有差错时，仍能正确的执行预定算法的功能。容错技术也称为冗余技术或故障掩盖技术。计算机信息系统的容错技术通常采用硬件冗余（多重结构、表决系统、双工系统等）、时间冗余（指令复执、程序重试等）、信息冗余（校验码、纠错码等）、软件冗余（多重模块、阶段表决等）等方法。故障诊断：是通过检测和排除系统元器件或线路故障，或纠正程序的错误来保证和提高系统可靠性的方法。,3.1计算机系统的可靠性,3.1.2计算机系统的故障分析故障（Fault）是失效的根本原因。计算机故障，是指造成计算机功能错误的硬件物理损坏或程序的错误。差错（Error）是计算机故障造成的后果。故障可分为两大类：硬故障、软故障。硬故障：元器件、电路、机械、介质等部分的物理损坏。软故障：因电磁干扰、偶而落入的尘埃、温度变化、电源掉电或病毒感染而导致系统功能不正常，不能正常运行的故障。,3.1计算机系统的可靠性,实践表明，在计算机的运行中，软故障占6070。据试验统计，在硬故障中，电连接方面的断路、短路故障占23.4，虚焊故障占33，孔化故障占28.6，其它类型的电连接故障占15。在元器件方面的故障中，半导体器件占37.65，电容器占20.68，电阻器占17.36，开关接插件占4.99，变压器等电感性元件占2.67，其它元件占16.65。,3.1计算机系统的可靠性,3.1.3计算机系统故障的原因对2000多台微机的故障情况进行分析，可知导致信息系统发生故障的原因大致有以下几种因素：1集成电路本身的缺陷2硬件故障3静电感应使元器件击穿失效4电气干扰使计算机出错5环境条件方面的原因6管理不善,3.2计算机的故障诊断,计算机的故障诊断采用人工诊断和自动诊断两类方法。自动诊断包括功能测试法、结构测试法和故障诊断专家系统等方法。3.2.l人工诊断1拔插法2分段查找法3逻辑测试法4同类比较法5跟踪追击法6压缩隔离法7振动敲击法8拉偏法9背片法10直接判断法,3.2计算机的故障诊断,3.2.2功能测试法计算机规模的扩大和复杂性增加，人工诊断法逐渐由自动诊断法所取代。自动诊断法先后采用功能测试法、结构测试法（也叫故障位测试法）和故障诊断专家系统。1功能测试原理根据莫尔的“思维试验”设计的。功能测试法，按其诊断程序的组成，可分为指令级功能测试和微指令级功能测试。2诊断程序测试（1）高级诊断程序（2）QAPLUS诊断测试,3.2计算机的故障诊断,3.2.3微程序诊断1微诊断测试原理用微指令组成的微诊断程序对计算机执行微程序的功能正确性进行测试，以此来判断机器有无故障。2微诊断方法微诊断方法有手工测试和自动测试两种方法。手工微诊断也叫静态微诊断，它是在机器停机以后，由手工扳动机器开关或按键，进行单条微指令或单脉冲检查。自动微诊断也称动态微诊断，它不需要停机，而是用一条特定的诊断指令就可以调用微诊断程序。,3.2计算机的故障诊断,自动微诊断与手工微诊断不同。第一，自动微诊断进行诊断的时间尽可能地短，否则会丢失某些实时信息，所以它往往只能对某些组件或容易出错的组件进行诊断；第二，自动微诊断必须能保护现场；第三，自动微诊断能区分是暂时性故障还是固定性故障。对固定性故障采用自动切离故障组件，降低使用或停机，由人工更换故障元器件。对暂时性故障，则从最近一个检查基点开始，作指令重执或程序卷回重试来处理，以度过暂时性故障。3.2.4几种故障诊断方法比较P42,3.3计算机的抗电磁干扰,3.3.1来自计算机内部的电磁干扰计算机的电磁干扰（EMI）：计算机及其外部设备工作时产生的寄散（寄生）电磁辐射，在空间以电磁波的形式传输。当辐射出的能量超过一定程度时就会干扰计算机本身和周围的电子设备。包括计算机本身产生的电磁干扰和来自外部的电磁干扰。计算机本身产生的电磁干扰，这类干扰是瞬态的、随机的，表现是多种多样的。1元器件噪声干扰2寄生耦合干扰3信号反射干扰4地线干扰5高频电路辐射干扰,3.3计算机的抗电磁干扰,3.3.2来自计算机外部的电磁干扰指电气设备干扰、自然干扰和静电干扰1电气设备干扰计算机电磁干扰主要来源。按其干扰性质可分为：工频干扰、开关干扰、放电干扰和射频干扰。2自然干扰雷电干扰、宇宙干扰、大气放电干扰、地球热辐射干扰和地爆电磁脉冲干扰。3静电干扰静电危害是计算机、半导体器件的“大敌”，是造成微机半导体损坏的主要原因。,3.3计算机的抗电磁干扰,3.3.3计算机中电磁干扰的耦合形式电磁干扰源产生的电压或电流干扰波，通过耦合进入计算机，使计算机电路损坏或使计算机系统信息丢失。按耦合介质，可将耦合分为以下几种形式：1直接耦合2共阻抗耦合3电场耦合4磁场耦合5电磁感应3.3.4计算机中的干扰抑制技术1滤波去耦2电磁屏蔽3接地系统4电源系统,3.4实体的访问控制,3.4.1访问控制的基本任务1识别与验证所谓“识别”，就是要明确访问者是谁，即识别访问者的身份。所谓“验证”，就是证实用户的身份。目前，最常用的验证手段有口令机制、生物技术、视网膜技术,3.4实体的访问控制,口令机制常用方法：口令需加密后存放在系统数据库中，一般采用单向加密算法对口令进行加密。要使输入口令的次数尽量减少，以防意外泄露。当用户离开系统所属的组织时，要及时更换他的口令。不要将口令存放在文件或程序中，以防其他用户读该文件或程序时发现口令。用户要经常更换口令，使自己的口令不易被猜出来。,3.4实体的访问控制,2决定用户访问权限对于一个已被系统识别与验证了的用户，还要对其访问操作实施一定的限制。(1)特殊的用户：这种用户是系统的管理员，具有最高级别的特权。(2)一般的用户：即系统的一般用户，通常需要由系统管理员对这类用户分配不同的访问操作权力。(3)审计的用户：这类用户负责整个系统范围的安全控制与资源使用情况的审计。(4)作废的用户：这是一类被拒绝访问系统的用户，可能是非法用户。,3.4实体的访问控制,3.4.2实体访问控制首先，物理访问控制必须能够识别来访用户的身份，并对其合法性进行验证，主要通过特殊标识符、口令、指纹等实现。其次，对来访者必须限制其活动范围。第三，要在计算机中心设置高层安全防护圈，以防非法的暴力入侵。第四，计算中心设备所在的建筑物应具有抵御各种自然灾害或人为灾害的设施。第五，设立完备的安全管理制度，培养工作人员良好的风纪，防止各种偷窃与破坏活动的发生。,3.4实体的访问控制,3.4.3身份的鉴别一个是识别；一个是验证。识别信息（识别符）一般是非秘密的，而验证信息必须是秘密的。个人身份验证方法分成四种类型：验证他知道什么；验证他拥有什么；验证他的生物特征；验证他的下意识动作的结果。,3.4实体的访问控制,1口令验证口令两种生成方法：一种是由口令拥有者自己选择口令；另一种是由机器自动生成随时的口令.前者的优点是用户很容易记住，一般不会忘记，但它的缺点是很容易被猜出来；后者的优点是随机性好，要想猜测很困难，它的缺点是用户记起来要困难一些。口令管理：口令保存、口令交换。假如有A、B两人通信，在通信之前他们对对方的身份进行鉴别。为此，他们都有各自的口令，并且还应当保存有对方的口令。,3.4实体的访问控制,设A的口令是P，B的口令是Q。当A向B进行通信时，B对A进行鉴别，那么A就必须首先向B发送他的鉴别信息，但A这时对B的身份也没有进行鉴别，所以他不能直接将他的口令发送给B。问题的关键在于：相互进行身份鉴别的双方都不能直接将他的口令传送给对方，但进行身份鉴别还必须有相应的口令信息。采用一个单向函数O。A要对B的身份进行鉴别时，他首先向B发送一个随机选择的值x1，这个值是非保密的，B在收到x1后，利用单向函数O对x1与B的口令Q进行如下运算：y1O（Q，x1）,3.4实体的访问控制,B再将y1发回A。单向函数O可以保证即使知道了x1与y1，也无法恢复出Q来。这样，在y1中既包括了B的口令，但任何人又无法恢复出B的口令。当A收到B返回的y1后，就利用单向函数O对x1(A选择的值）与Q（A保存的值）进行运算，然后将结果与收到的y1进行比较。如相等，A就认为B是合法的通信方，否则就认为B是非法的。如果A是非法收者，那么他也无法从y1中恢复出B的口令来。,3.4实体的访问控制,同样，B在与A进行真正的通信之前，也必须对A的身份进行鉴别。鉴别的方法如A对B的身份进行鉴别一样，B向A发送一个选择使x2，A收到x2后，利用单向函数O对x2与他的口令P进行如下运算：y2=O(P,x2)然后将y2发给B，B收到y2后，可以对其进行们一的鉴别，以决定对方是否是A。2利用信物进行身份鉴别3利用人类特征进行身份鉴别,3.5记录媒体的保护与管理,3.5.1记录的分类为了对那些必须保护的记录提供足够的数据保护，而对那些不重要的记录不提供多余的保护，应该对所有记录进行评价并作出分类。计算机系统的记录按其重要性和机密程度，可分为四类：1一类记录（关键性记录）2二类记录（重要记录）3三类记录（有用记录）4四类记录（不重要记录）,3.5记录媒体的保护与管理,3.5.2记录媒体的防护要求全部一类记录部应该复制，其复制品应分散存放在安全地方。二类记录也应有类似的复制品和存放办法。记录媒体存放的库房或文件柜应具有以下条件：存放一类、二类记录的保护设备（如金属文件柜）应具有防火、防高温、防水、防震、防电磁场的性能；三类记录应存放在密闭的金属文件箱或柜中。这些保护设备应存在库房内。记录媒体存放条件与计算机的正常工作条件相同。,3.5记录媒体的保护与管理,存放在机房外没有复制的一、二类记录媒体应该存放在能防火的库房（磁带、磁盘库）中。该房间的建筑物耐火等级必须符合GBJ4582中规定的一级耐火等级，或放在能防火、防高温、防水、防震、防电磁场和防盗的保险柜中。如果记录媒体不是存放在密闭的金属文件柜或其它不燃材料的容器中，那么存放记录媒体的房间应提供Halon自动喷射系统。磁记录媒体的存放房间可采用自动Halon1301喷射系统来保护。留在机房内的记录应该是保证系统有效运行的最小记录，不必要的记录不应留在机房内，所有磁记录不用时必须保存在库内。,3.5记录媒体的保护与管理,不同类别的记录应分档管理。对于关键的、敏感的磁记录媒体应采取以下措施：造册登记，编制目录，集中管理。复制、传递、使用、发放要有审批签字手续。销毁必须登记，并由承办人填写销毁记录。拷贝的磁记录文件要和原磁记录文件分类相同。要有防拷贝和信息加密措施。,3.5记录媒体的保护与管理,3.5.3记录媒体的使用与管理状况我国在记录媒体的使用和管理上存在下列问题：引进设备时，对主机性能了解较多，对磁记录设备考虑较少，以致缺少备件，没有维修能力，一旦记录有重要、敏感信息的磁记录设备发生故障，只能冒着泄密的重大危险到国外维修或报销。信息中心、计算中心由于经费和场地等原因，存放磁记录媒体的地点与工作地点混在一起，一旦出现事故（如火灾、水灾），就会造成设备和记录全部报废。,3.5记录媒体的保护与管理,被调查单位有80没有对所用的磁记录媒体进行分类，仅将随机带来的磁记录媒体拷贝放在机房保险柜中。单位内的应用程序，无论其关键性、敏感性如何，拷贝均存于个人手中，造成“应用程序满天飞”，无任何安全性可言。机房计算机磁记录存档、拷贝手续很不完善，没有专人负责，对磁记录的硬拷贝（打印结果），缺乏严格的审批登记签字手续。没有形成一套行之有效的定期拷贝、使用管理、处理、销毁制度，磁记录媒体的进出管理也缺乏一套切实可行的管理办法。,3.5记录媒体的保护与管理,3.5.4磁记录媒体的管理在思想上高度重视，结合本单位实际，委派专人负责，制定出一套切实可行的管理制度。对磁盘、磁带库的访问应当限于库管理员，可以允许由操作管理员或控制管理员指定的人员对磁盘、磁带库作临时性的访问。库管理员负责所有磁记录媒体的接收和发出。在发出任何磁盘、磁带以前，库管理员必须收到一个说明作业控制号、作业名、卷系列号和请求文件人的申请清单，还应该检查用户核准表，确认用户是被核准的，可以使用现在所请求的磁记录媒体。,3.5记录媒体的保护与管理,所有磁盘、磁带的目录清单必须具有下列信息：文件所有者、卷系列号、文件名及其描述、作业或项目编号、建立日期和保留期限。从外面借来的文件应当用所有者、卷系列号、文件名及其描述、接收日期和归还日期进行编号。新的磁介质文件要有完整的归档记录。归档文件要清楚、齐全，一旦投入使用，任何人（包括设计者本人）未经批准不准增、删、改。库管理员负责把备份文件传送到离开现场的安全地方。存放磁记录媒体的库房，必须符合表35规定的条件，使用前应给24h时效时间使其调整到正常使用条件。,3.5记录媒体的保护与管理,当处理非常敏感的信息时，管理员应该在场。旧的磁盘和磁带在销毁前，要进行消磁和清除数据。信息中心的安全负责人应该确保所有已损坏磁盘、磁带的销毁，新磁盘、磁带的定期检查和清洗，并认真登记。改写软盘上的内容，顺序重复写“0”或写“l”，或用消磁器都可以完成磁记录的清洗。对于关键性、敏感性的磁记录媒体，要保证信息不被重新复现，销毁是唯一的选择。,3.5记录媒体的保护与管理,为防止由于雷电通过钢铁材料传播时产生的磁场把磁记录媒体上的信息破坏，磁记录媒体存放时应至少离开用钢铁加强的建筑物柱子和类似柱子的建筑物结构10cm。对于每一种信息资源必须保持足够的备份文件，这样被无意或蓄意清洗掉的或丢失的程序与数据文件场可以重建起来。为了减少由于意外和不希望的事件引起的损害，记录媒体的管理部门应制定出数套应急措施，以对付万一发生的灾难性事件。,3.6计算机的防电磁泄漏,3.6.1计算机的电磁泄漏特性两种途径泄漏出去：一种是以电磁波的形式辐射出去，称为辐射泄漏；另一种是通过各种线路和金属管道传导出去，称为传导泄漏。往