课程熟悉信息安全技术

第一章熟悉信息安全技术杨国信第1章熟悉信息安全技术信息安全是指信息网络的硬件、软件及系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改或泄露，系统连续可靠正常地运行，使信息服务不中断。熟悉信息安全技术，应该了解信息安全技术的网络支持环境、了解信息系统的物理安全、操作系统的系统管理与安全设置等内容。第1章熟悉信息安全技术1.1信息安全技术的计算环境1.2信息系统的物理安全1.3Windows系统管理与安全设置1.1信息安全技术的计算环境信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都属于信息安全的研究领域。1.1信息安全技术的计算环境如今，基于网络的信息安全技术也是未来信息安全技术发展的重要方向。由于因特网(Internet)是一个全开放的信息系统，窃密和反窃密、破坏与反破坏广泛存在于个人、集团甚至国家之间，资源共享和信息安全一直作为一对矛盾体而存在着，网络资源共享的进一步加强以及随之而来的信息安全问题也日益突出。1.1.1信息安全的目标无论是在计算机上存储、处理和应用，还是在通信网络上传输，信息都可能被非授权访问而导致泄密，被篡改破坏而导致不完整，被冒充替换而导致否认，也有可能被阻塞拦截而导致无法存取。这些破坏可能是有意的，如黑客攻击、病毒感染；也可能是无意的，如误操作、程序错误等。因此，普遍认为，信息安全的目标应该是保护信息的机密性、完整性、可用性、可控性和不可抵赖性(即信息安全的五大特性)。1.1.1信息安全的目标1.机密性机密性是指保证信息不被非授权访问，即使非授权用户得到信息也无法知晓信息的内容，因而不能使用。2.完整性完整性是指维护信息的一致性，即在信息生成、传输、存储和使用过程中不发生人为或非人为的非授权篡改。1.1.1信息安全的目标3.可用性可用性是指授权用户在需要时能不受其他因素的影响，方便地使用所需信息。这一目标是对信息系统的总体可靠性要求。4.可控性可控性是指信息在整个生命周期内部可由合法拥有者加以安全的控制。1.1.1信息安全的目标5.不可抵赖性不可抵赖性是指保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为。1.1.1信息安全的目标事实上，安全是—种意识，一个过程，而不仅仅是某种技术。进入21世纪后，信息安全的理念发生了巨大的变化，从不惜一切代价把入侵者阻挡在系统之外的防御思想，开始转变为预防-检测-攻击响应-恢复相结合的思想，出现了PDRR(Protect/Detect/React—响应/Restore)等网络动态防御体系模型(见图1.1)。图1.1信息安安全的的PDRR模型信息安全的的目标PDRR倡导一种综综合的安全全解决方法法，即：针针对信息的的生存周期期，以“信信息保障””模型作为为信息安全全的目标，，以信息的的保护技术术、信息使使用中的检检测技术、、信息受影影响或攻击击时的响应应技术和受受损后的恢恢复技术作作为系统模模型的主要要组成元素素，在设计计信息系统统的安全方方案时，综综合使用多多种技术和和方法，以以取得系统统整体的安安全性。信息安全的的目标PDRR模型强调的的是自动故故障恢复能能力，把信信息的安全全保护作为为基础，将将保护视为为活动过程程，用检测测手段来发发现安全漏漏洞，及时时更正；同同时采用应应急响应措措施对付各各种入侵；；在系统被被入侵后，，采取相应应的措施将将系统恢复复到正常状状态，使信信息的安全全得到全方方位的保障障。信息安全技技术发展的的四大趋势势信息安全技技术的发展展，主要呈呈现四大趋趋势，即可可信化、网网络化、标标准化和集集成化。信息安全技技术发展的的四大趋势势1.可信化可信化是指指从传统计计算机安全全理念过渡渡到以可信信计算理念念为核心的的计算机安安全。面对对愈演愈烈烈的计算机机安全问题题，传统安安全理念很很难有所突突破，而可可信计算的的主要思想想是在硬件件平台上引引入安全芯芯片，从而而将部分或或整个计算算平台变为为“可信””的计算平平台。目前前主要研究究和探索的的问题包括括：基于TCP的访问控制制、基于TCP的安全操作作系统、基基于TCP的安全中间间件、基于于TCP的安全应用用等。信息安全技技术发展的的四大趋势势2.网络化由网络应用用和普及引引发的技术术和应用模模式的变革革，正在进进一步推动动信息安全全关键技术术的创新发发展，并引引发新技术术和应用模模式的出现现。如安全全中间件，，安全管理理与安全监监控等都是是网络化发发展所带来来的必然的的发展方向向。网络病病毒、垃圾圾信息防范范、网络可可生存性、、网络信任任等都是要要继续研究究的领域。。信息安全技技术发展的的四大趋势势3.标准化安全技术术要走向向国际，，也要走走向应用用，政府府、产业业界和学学术界等等必将更更加高度度重视信信息安全全标准的的研究与与制定，，如密码码算法类类标准(例如加密密算法、、签名算算法、密密码算法法接口)、安全认认证与授授权类标标准(例如PKI、PMI、生物认认证-指纹、视视网膜)、安全评评估类标标准(例如安全全评估准准则、方方法、规规范)、系统与与网络类类安全标标准(例如安全全体系结结构、安安全操作作系统、、安全数数据库、、安全路路由器、、可信计计算平台台)、安全管管理类标标准(例如防信信息遗漏漏、质量量保证、、机房设设计)等。PKI——PUBLICKEYINFRASTRUCTURE公钥基础础设施PMI---PROJECTMANAGEMENTINSTITUTE美国项目目管理协协会（PMI指定了项项目管理理、项目目开发过过程的安安全策略略）信息安全技术术发展的四大大趋势4.集成化集成化即从单单一功能的信信息安全技术术与产品，向向多种功能融融于某一个产产品，或者是是几个功能相相结合的集成成化产品发展展。安全产品品呈硬件化/芯片化发展趋趋势，这将带带来更高的安安全度与更高高的运算速率率，也需要发发展更灵活的的安全芯片的的实现技术，，特别是密码码芯片的物理理防护机制。。因特网选择的的几种安全模模式目前，在因特特网应用中采采取的防卫安安全模式归纳纳起来主要有有以下几种。。1.无安全防卫在因特网应用用初期多数采采取此方式，，安全防卫上上不采取任何何措施，只使使用随机提供供的简单安全全防卫措施。。这种方法是是不可取的。。因特网选择的的几种安全模模式2.模糊安全防卫卫采用这种方式式的网站总认认为自己的站站点规模小，，对外无足轻轻重，没人知知道；即使知知道，黑客也也不会对其实实行攻击。事事实上，许多多入侵者并不不是瞄准特定定目标，只是是想闯入尽可可能多的机器器，虽然它们们不会永远驻驻留在你的站站点上，但它们为了掩掩盖闯入你网网站的证据，，常常会对你网网站的有关内内容进行破坏坏，从而给网网站带来重大大损失。因特网选择的的几种安全模模式为此，各个站站点一般要进进行必要的登登记注册。这这样，一旦有有人使用服务务时，提供服服务的人知道道它从哪来，，但是这种站点点防卫信息很很容易被发现现，例如登记记时会有站点点的软、硬件件以及所用操操作系统的信信息，黑客就就能从这发现现安全漏洞，，同样在站点点与其他站点点连机或向别别人发送信息息时，也很容容易被入侵者者获得有关信信息，因此这这种模糊安全全防卫方式也也是不可取的的。因特网选择的的几种安全模模式3.主机安全防卫卫这可能是最常常用的一种防防卫方式，即即每个用户对对自己的机器器加强安全防防卫，尽可能能地避免那些些已知的可能能影响特定主主机安全的问问题，这是主主机安全防卫卫的本质。主机安全防卫卫对小型网站站是很合适的的，但是，由于于环境的复杂杂性和多样性性，例如操作作系统的版本本不同、配置置不同以及不不同的服务和和不同的子系系统等都会带带来各种安全全问题。即使使这些安全问问题都解决了了，主机防卫卫还要受到软软件本身缺陷陷的影响，有有时也缺少有有合适功能和和安全的软件件。因特网选择的的几种安全模模式4.网络安全防卫卫这是目前因特特网中各网站站所采取的安安全防卫方式式，包括建立防防火墙来保护护内部系统和和网络、运用用各种可靠的的认证手段(如：一次性密密码等)，对敏感数据据在网络上传传输时，采用用密码保护的的方式进行。。安全防卫的技技术手段在因特网中，，信息安全主主要是通过计计算机安全和和信息传输安安全这两个技技术环节，来来保证网络中中各种信息的的安全。安全全防防卫卫的的技技术术手手段段1.计算算机机安安全全技技术术(1)健壮壮的的操操作作系系统统。。操操作作系系统统是是计计算算机机和和网网络络中中的的工工作作平平台台，，在选选用用操操作作系系统统时时，，应应注注意意软软件件工工具具齐齐全全和和丰丰富富、、缩缩放放性性强强等等因因素素，，如如果果有有很很多多版版本本可可供供选选择择，，应应选选用用户户群群最最少少的的那那个个版版本本，，这这样样使使入入侵侵者者用用各各种种方方法法攻攻击击计计算算机机的的可可能能性性减减少少，，另外外还还要要有有较较高高访访问问控控制制和和系系统统设设计计等等安安全全功功能能。。W2KS比winxp就有有较较高高的的访访问问控控制制能能力力!安全全防防卫卫的的技技术术手手段段(2)容错错技技术术。。尽尽量量使使计计算算机机具具有有较较强强的的容容错错能能力力，，如如组组件件全全冗冗余余、、没没有有单单点点硬硬件件失失效效、、动动态态系系统统域域、、动动态态重重组组、、错错误误校校正正互互连连；；通过错错误校校正码码和奇奇偶校校验的的结合合保护护数据据和地地址总总线；；在线增增减域域或更更换系系统组组件，，创建建或删删除系系统域域而不不干扰扰系统统应用用的进进行，，也可可以采采取双机备备份同步校校验方方式，，保证证网络络系统统在一一个系系统由由于意意外而而崩溃溃时，，计算算机自自动切切换以以确保保正常常运转转，保保证各各项数数据信信息的的完整整性和和一致致性。。安全防卫的的技术手段段2.防火墙技术术这是一种有有效的网络络安全机制制，用于确确定哪些内内部服务允允许外部访访问，以及及允许哪些些外部服务务访问内部部服务，其其准则就是：一切切未被允许许的就是禁禁止的；一一切未被禁禁止的就是是允许的，，防火墙有有下列几种种类型：安全防卫卫的技术术手段(1)包过滤技技术。通通常安装装在路由由器上，，对数据据进行选选择，它它以IP包信息为为基础，，对IP源地址，，IP目标地址址、封装装协议(如TCP/UDP/ICMP/IPtunnel)、端口号号等进行行筛选，，在OSI协议的网网络层进进行。安全防卫卫的技术术手段(2)代理服务务技术。。通常由由二部分分构成，，服务端端程序和和客户端端程序。。客户端程程序与中中间节点点(ProxyServer)连接，中中间节点点与要访访问的外外部服务务器实际际连接，，与包过过滤防火火墙的不不同之处处在于内内部网和和外部网网之间不不存在直直接连接接，同时时提供审审计和日日志服务务。安全防卫卫的技术术手段(3)复合型技技术。把把包过滤滤和代理理服务两两种方法法结合起起来，可可形成新新的防火火墙，所所用主机机称为堡堡垒主机机，负责责提供代代理服务务。(4)审计技术术。通过过对网络络上发生生的各种种访问过过程进行行记录和和产生日日志，并并对日志志进行统统计分析析，从而而对资源源使用情情况进行行分析，，对异常常现象进进行追踪踪监视。。安全防卫卫的技术术手段(5)路由器加加密技术术。加密密路由器器对通过过路由器器的信息息流进行行加密和和压缩，，然后通通过外部部网络传传输到目目的端进进行解压压缩和解解密。安全防卫卫的技术术手段3.信息确认认技术安全系统统的建立立依赖于于系统用用户之间间存在的的各种信信任关系系，目前前在安全全解决方方案中，，多采用用两种确确认方式式，一种是第三方方信任，，另一种是直接信信任，以以防止信信息被非非法窃取取或伪造造。安全防卫卫的技术术手段可靠的信信息确认认技术应应具有：：身份合合法的用用户可以以校验所所接收的的信息是是否真实实可靠，，并且十十分清楚楚发送方方是谁；；发送信信息者必必须是合合法身份份用户，，任何人人不可能能冒名顶顶替伪造造信息；；出现异异常时，，可由认认证系统统进行处处理。目前，信息确确认技术已较较成熟，如信信息认证，用用户认证和密密钥认证，数数字签名等，，为信息安全全提供了可靠靠保障。安全防卫的技技术手段4.密钥安全技术术网络安全中的的加密技术种种类繁多，它它是保障信息息安全最关键键和最基本的的技术手段和和理论基础，，常用的加密密技术分为软件加密和硬件加密。信息加密的的方法有对称密钥加密密和非对称加密，两种方法各各有所长。安全防卫的技技术手段(1)对称密钥加密密：在此方法法中，加密和和解密使用同同样的密钥，，目前广泛采采用的密钥加加密标准是DES(dataencryptionsystem)算法，其优势在于加密解密密速度快、算算法易实现、、安全性好.缺点是密钥长度短短、密码空间间小，“穷举举”方式进攻攻的代价小，，它的机制就就是采取初始始置换、密钥钥生成、乘积积变换、逆初初始置换等几几个环节。安全防卫的技技术手段(2)非对称密钥加加密：在此方方法中加密和和解密使用不不同密钥，即即公开密钥和和秘密密钥，，公开密钥用用于机密性信信息的加密；；秘密密钥用用于对加密信信息的解密。。一般采用RSA(三个人名)算法，优点在在于易实现密密钥管理，便便于数字签名名。不足是算算法较复杂，，加密解密花花费时间长。。安全防卫的技技术手段在安全防范的的实际应用中中，尤其是信信息量较大，，网络结构复复杂时，采取取对称密钥加密密技术，为了防范密密钥受到各种种形式的黑客客攻击，如基基于因特网的的“联机运算算”，即利用用许多台计算算机采用“穷穷举”方式进进行计算来破破译密码，密密钥的长度越越长越好。目前一般密钥钥的长度为64位、1024位，实践证明明它是安全的的，同时也满满足计算机的的速度。2048位的密钥长度度，也已开始始在某些软件件中应用。安全防卫的技技术手段5.病毒防范技术术计算机病毒实实际上就是一一种在计算机机系统运行过过程中能够实实现传染和侵侵害计算机系系统的功能程序。在系统穿透或或违反授权攻攻击成功后，，攻击者通常常要在系统中中植入一种能能力，为攻击击系统、网络络提供方便。。如向系统中中渗入病毒、、蛀虫、特洛洛依木马、逻逻辑炸弹；或或通过窃听、、冒充等方式式来破坏系统统正常工作。。从因特网上下下载软件和使使用盗版软件件是病毒的主主要来源。安全防卫的技技术手段针对病毒的严严重性，我们们应提高防范范意识，做到到：所有软件必须须经过严格审审查，经过相相应的控制程程序后才能使使用；采用防防病毒软件，，定时对系统统中的所有工工具软件、应应用软件进行行检测，防止止各种病毒的的入侵。实训与思考本节“实训与与思考”的目目的是：(1)熟悉信息安全全技术的基本本概念，了解解信息安全技技术的基本内内容。(2)通过因特网搜搜索与浏览，，了解网络环环境中主流的的信息安全技技术网站，掌掌握通过专业业网站不断丰丰富信息安全全技术最新知知识的学习方方法，尝试通通过专业网站站的辅助与支支持来开展信信息安全技术术应用实践。。P1~p2P1~p2p2窗前明月光，，疑是地上霜霜，举头望明月，，低头思故乡乡。密密码：CHYIJUDI1.2信息系统的物物理安全物理安全也称称实体安全(physicalsecurity)，是指包括环环境、设备和和记录介质在在内的所有支支持信息系统统运行的硬件件的总体安全全，是信息系系统安全、可可靠、不间断断运行的基本本保证。物理安全保保护计算机机设备、设设施(网络及通信信线路)免遭地震、、水灾、火火灾、有害害气体和其其他环境事事故(如电磁污染染等)破坏的措施施和过程，，主要考虑虑的问题是是环境、场场地和设备备的安全及及实体访问问控制和应应急处置计计划等。物理安全的的内容物理安全主主要包括环环境安全、、电源系统统安全、设设备安全和和通信线路路安全等。。物理安全的的内容1.环境安全环境安全是是对系统所所在环境的的安全保护护，如区域域保护和灾灾难保护等等。计算机机网络通信信系统的运运行环境应应按照国家家有关标准准设计实施施，应具备备消防报警警、安全照照明、不间间断供电、、温湿度控控制系统和和防盗报警警等，以保保护系统免免受水、火火、有害气气体、地震震、静电等等的危害。。物理理安安全全的的内内容容2.电源源系系统统安安全全电源源在在信信息息系系统统中中占占有有重重要要地地位位，，主主要要包包括括电电力力能能源源供供应应、、输输电电线线路路安安全全、、保保持持电电源源的的稳稳定定性性等等。。3.设备备安安全全要保保证证硬硬件件设设备备随随时时处处于于良良好好的的工工作作状状态态，，建建立立健健全全使使用用管管理理规规章章制制度度，，建建立立设设备备运运行行日日志志。。物理安全全的内容容4.媒体安全全媒体安全全包括媒媒体数据据的安全全及媒体体本身的的安全。。存储媒媒体本身身的安全全主要是是安全保保管、防防盗、防防毁和防防病毒；；数据安安全是指指防止数数据被非非法复制制和非法法销毁等等。物理安安全的的内容容5.通信线线路安安全通信设设备和和通信信线路路的装装置安安装要要稳固固牢靠靠，具具有一一定对对抗自自然因因素和和人为为因素素破坏坏的能能力，，包括括防止止电磁磁信息息的泄泄漏、、线路路截获获，以以及抗抗电磁磁干扰扰等。。物理安全的的内容具体来说，，物理安全全包括以下下主要内容容：(1)计算机机房房的场地、、环境及各各种因素对对计算机设设备的影响响。(2)计算机机房房的安全技技术要求。。(3)计算机的实实体访问控控制。(4)计算机设备备及场地的的防火与防防水。(5)计算机系统统的静电防防护。物理安全的的内容(6)计算机设备备及软件、、数据的防防盗、防破破坏措施。。(7)计算机中重重要信息的的磁介质的的处理、存存储和处理理手续的有有关问题。。物理安全的的内容与物理安全全相关的国国家标准主主要有：(1)GB/T2887-2000《电子计算机机场地通用用规范》。该标准由由主题内容容与适用范范围、引用用标准、术术语、计算算机场地技技术要求、、测试方法法等五个部部分和一个个附录组成成。物理安全的的内容(2)GB/T9361-1988《计算算站站场场地地安安全全要要求求》。该该标标准准由由中中华华人人民民共共和和国国电电子子工工业业部部批批准准并并于于1988年10月1日正正式式实实施施。。该该标标准准由由适适用用范范围围、、术术语语、、计计算算机机机机房房的的安安全全分分类类、、场场地地的的选选择择、、结结构构防防火火、、计计算算机机机机房房内内部部装装修修、、计计算算机机机机房房专专用用设设备备、、火火灾灾报报警警及及消消防防设设施施、、其其他他防防护护和和安安全全管管理理共共9个部分分组成成。物理安安全的的内容容(3)GB/T14715-1993《《信息技技术设设备用用不间间断电电源通通用技技术条条件》。该标标准主主要针针对UPS系统提提出相相关的的技术术测试试要求求，含含输出出电压压、输输出频频率、、电源源效率率、过过载能能力、、备用用时间间及切切换时时间共共6个项目目的测测试标标准及及方法法。物理安安全的的内容容(4)GB50174-1993《《电子计计算机机机房房设计计规范范》。该标标准由由国家家技术术监督督局和和中华华人民民共和和国建建设部部联合合发布布并于于1993年9月1日正式式实施施。标标准由由总则则、机机房位位置及及设备备布置置、环环境条条件、、建筑筑、空空气调调节、、电气气技术术、给给水排排水、、消防防与安安全共共八章章和两两个附附录组组成。。计算算机机机机房房建建设设至至少少应应遵遵循循GB/T2887-2000和GB/T9361-1988，满满足足防防火火、、防防磁磁、、防防水水、、防防盗盗、、防防电电击击、、防防虫虫害害等等要要求求，，并并配配备备相相应应的的设设备备。。环境境安安全全技技术术环境境安安全全技技术术涵涵盖盖的的范范围围很很广广泛泛。。其其中中：：(1)安全全保保卫卫技技术术措措施施包包括括防防盗盗报报警警、、实实时时监监控控、、安安全全门门禁禁等等。。(2)计算机机机房的温温度、湿湿度等环环境条件件保持技技术可以以通过加加装通风风设备、、排烟设设备、专专业空调调设备来来实现。。环境安全技技术(3)计算机机房房的用电安安全技术主主要包括不不同用途电电源分离技技术、电源源和设备有有效接地技技术、电源源过载保护护技术和防防雷击技术术等。(4)计算机机房房安全管理理技术是指指制定严格格的计算机机机房工作作管理制度度、并要求求所有进入入机房的人人员严格遵遵守管理制制度，将制制度落到实实处。环境安全技技术根据GB/T9361-1988的规定，计计算机机房房环境的安安全等级可可分为A、B和C三个基本类类别。其中中A类机房对计计算机机房房的安全有有严格的要要求，有完完善的计算算机机房安安全措施；；B类机房对计计算机机房房的安全有有较严格的的要求，有有较完善的的计算机机机房安全措措施；C类机房对计计算机机房房的安全有有基本的要要求，有基基本的计算算机机房安安全措施。。见表1.2所示。电源系统安安全技术电源系统安安全包括供供电系统安安全、防静静电措施和和接地与防防雷要求等等。电源系统安安全技术1.供电系统安安全电源系统电电压的波动动、浪涌电电流和突然然断电等意意外情况的的发生，可可能引起计计算机系统统存储信息息的丢失、、存储设备备的损坏等等情况的发发生。因此此，电源系系统的稳定定可靠是计计算机系统统物理安全全的一个重重要组成部部分，是计计算机系统统正常运行行的先决条条件。电源系统安安全技术GB/T2887-2000和GB/T936l-1988都对机房安安全供电做做出了明确确的要求。。例如，GB/T2887-2000将供电方式式分为三类类：一类供电：：需要建立立不间断供供电系统。。二类供电：：需要建立立带备用的的供电系统统。三类供电：：按一般用用户供电考考虑。电源系统安安全不仅包包括外部供供电线路的的安全，更更重要的是是指室内电电源设备的的安全。电源系统安安全技术(1)电力能源的的可靠供应应。为了确确保电力能能源的可靠靠供应，以以防外部供供电线路发发生意外故故障，必须须有详细的的应急预案案和可靠的的应急设备备。应急设设备主要包包括：备用发电机机、大容量量蓄电池和和UPS等。除了要求这这些应急电电源设备具具有高可靠靠性外，还还要求它们们具有较高高的自动化化程度和良良好的可管管理性，以以便在意外外情况发生生时可以保保证电源的的可靠供应应。电源系统安安全技术(2)电源对用电电设备安全全的潜在威威胁。这种种威胁包括括脉动与噪噪声、电磁磁干扰等。。电磁干扰扰会产生电电磁兼容性性问题，当当电源的电电磁干扰比比较强时，，其产生的的电磁场就就会影响到到硬盘等磁磁性存储介介质，久而而久之就会会使存储的的数据受到到损害。电源系统安安全技术2.防静电措施施不同物体间间的相互摩摩擦、接触触会产生能能量不大但但电压非常常高的静电电。如果静静电不能及及时释放，，就可能产产生火花，，容易造成成火灾或损损坏芯片等等意外事故故。计算机系统统的CPU、ROM、RAM等关键部件件大都采用用MOS工艺的大规规模集成电电路，对静静电极为敏敏感，容易易因静电而而损坏。电源系统安安全技术机房的内装装修材料一一般应避免免使用挂毯、、地毯等吸吸尘、容易易产生静电电的材料，，而应采用用乙烯材料料。为了防静静电，机房房一般要安安装防静电电地板，并并将地板和和设备接地地，以便将将设备内积积聚的静电电迅速释放放到大地：：机房内的的专用工作作台或重要要的操作台台应有接地地平板。此此外，工作作人员的服服装和鞋最最好用低阻阻值的材料料制作，机机房内应保保持一定湿湿度，特别别是在于燥燥季节应适适当增加空空气湿度，，以免因干干燥而产生生静电。电源系统安安全技术3.接地与防雷雷要求接地与防雷雷是保护计计算机网络络系统和工工作场所安安全的重要要安全措施施。接地可可以为计算算机系统的的数字电路路提供一个个稳定的0V参考电位，，从而可以以保证设备备和人身的的安全，同同时也是防防止电磁信信息泄漏的的有效手段段。电源系统安安全技术机器设备应应有专用地线，机房本身身有避雷设施，包括通信信设备和电电源设备有有防雷击的的技术设施施，机房的的内部防雷雷主要采取取屏蔽、等等电位连接接、合理布布线或防闪闪器、过电电压保护等等技术措施施以及拦截截、屏蔽、、均压、分分流、接地地等方法，，达到防雷雷的目的。。机房的设设备本身也也应有避雷雷装置和设设施。电磁防护与与设备安全全技术电磁防护与与设备安全全包括硬件件设备的维维护和管理理、电磁兼兼容和电磁磁辐射的防防护以及信信息存储媒媒体的安全全管理等内内容。电磁防护与与设备安全全技术1.硬件设备的的维护和管管理计算机信息息网络系统统的硬件设设备一般价价格昂贵，，一旦被损损坏又不能能及时修复复，不仅会会造成经济济损失，而而且可能导导致整个系系统瘫痪，，产生严重重的不良影影响。因此此，必须加加强对计算算机信息系系统硬件设设备的使用用管理，坚持做好硬硬件设备的的日常维护护和保养工工作。电磁防护与与设备安全全技术2.电磁兼容和和电磁辐射射的防护计算机网络络系统的各各种设备都都属于电子子设备，在在工作时都都不可避免免地会向外外辐射电磁磁波，同时时也会受到到其他电子子设备的电电磁波干扰扰，当电磁磁干扰达到到一定的程程度就会影影响设备的的正常工作作。电磁防护与设设备安全技术术为保证计算机机网络系统的的物理安全，，除在网络规规划和场地、、环境等方面面进行防护之之外，还要防防止数据信息息在空间中的的扩散。为此此，通常是在在物理上采取取一定的防护护措施，以减减少或干扰扩扩散到空间中中电磁信号。。政府、军队队、金融机构构在构建信息息中心时，电磁辐射防扩扩将成为首先要要解决的问题题。电磁防护与设设备安全技术术3.信息存储媒体体的安全管理理计算机网络系系统的信息要要存储在某种种媒体上，常常用的存储媒媒体有磁盘、、磁带、打印印纸、光盘等等：对存储媒媒体的安全管管理主要包括括以下方面：：(1)存放有业务数数据或程序的的磁盘、磁带带或光盘，应应视同文字记记录妥善保管管。必须注意意防磁、防潮潮、防火、防防盗，必须垂垂直放置。电磁防护与设设备安全技术术(2)对硬盘上的数数据要建立有有效的级别、、权限，并严严格管理，必必要时要对数数据进行加密密，以确保硬硬盘数据的安安全。(3)存放业务数据据或程序的磁磁盘、磁带或或光盘，管理必须落实实到人，并分类建立立登记簿、记记录编号、名名称、用途、、规格、制作作日期、有效效期、使用者者、批准者等等信息。电磁防护与设设备安全技术术(4)对存放有重要要信息的磁盘盘、磁带、光光盘，要备份份两份并分两处保管。(5)打印有业务数数据或程序的的打印纸，要要视同档案进进行管理。(6)凡超过数据保保存期的磁盘盘、磁带、光光盘，必须经经过特殊的数数据清除处理理。电磁防护与设设备安全技术术(7)凡不能正常记记录数据的磁磁盘、磁带、、光盘，必须须经过测试确确认后由专人人进行销毁，，并做好登记记工作。(8)对需要长期保保存的有效数数据，应在磁磁盘、磁带、、光盘的质量量保证期内进进行转储，转转储时应确保保内容正确。。通信线路安全全技术尽管从网络通通信线路上提提取信息所需需要的技术比比直接从通信信终端获取数数据的技术要要高几个数量量级，但以目目前的技术水水平也是完全全有可能实现现的。通信线路安全全技术用一种简单(但很昂贵)的高技术加压压电缆，可以以获得通信线线路上的物理理安全。应用用这—技术，通信电电缆被密封在在塑料套管中中，并在线缆的两两端充气加压压。线上连接了了带有报警器器的监视器，，用来测量压压力。如果压压力下降，则则意味电缆可可能被破坏了了，技术人员员还可以进一一步检测出破破坏点的位置置，以便及时时进行修复。。加压电缆屏屏蔽在波纹铝铝钢丝网中，，几乎没有电电磁辐射，从从而大大增强强了通过通信信线路窃听的的难度。通信线路安全全技术光纤通信线被被认为是不可可搭线窃听的的，其断破处处的传输速度度会变得极其其缓慢而立即即会被检测到到。光纤没有有电磁辐射，，所以也不能能用电磁感应应窃密。但是是，光纤通信信对最大长度度有限制，目目前网络覆盖盖范围半径约约100km，大于这一长度度的光纤系统统必须定期地地放大(复制)信号。这就需要将将信号转换成成电脉冲，然然后再恢复成成光脉冲，继继续通过另一一条线路传送送。通信线路安全全技术完成这一操作作的设备(复制器)是光纤通信系系统的安全薄薄弱环节，因因为信号可能能在这一环节节被搭线窃听听。有两个办办法可解决这这一问题：距距离大于最大大长度限制的的系统之间，，不采用光纤纤线通信；或或加强复制器器的安全，如如采用加压电缆、警报系统和和加强警卫等等措施。实训与思考本节“实训与与思考”的目目的是：(1)熟悉物理安全全技术的基本本概念和基本本内容。(2)通过因特网搜搜索与浏览，，掌握通过专专业网站不断断丰富物理安安全技术最新新知识的方法法。1.3Windows系统管理与安安全设置在Windows“控制面板”(见图1.2)的“管理工具具”选项中集集成了许多系系统管理工具具，利用这些些工具，用户户和管理员可可以很容易地地对它们操作作和使用，方方便地实现各各种系统维护护和管理功能能。图1.2WindowsXP的“控制面板板”系统管理默认情况下，，只有一些常常用工具(如服务、计算算机管理、事事件查看器、、数据源(ODBC)、性能和组件件服务等)随Windows系统的安装而而安装，见图图1.3所示。图1.3WindowsXP的管理工具系统管理(1)服务：启动和和停止由Windows系统提供的各各项服务。(2)计算机管理器器：管理磁盘盘以及使用其其他系统工具具来管理本地地或远程计算算机。系统管理(3)事件查看器：：显示来自于于Windows和其他程序的的监视与排错错信息。例如如，在“系统统日志”中包包含各种系统统组件记录的的事件，如使使用驱动器失失败或加载其其他系统组件件；“安全日日志”中包含含有效与无效效的登录尝试试及与资源使使用有关的事事件，如删除除文件或修改改设置等，本本地计算机上上的安全日志志只有本机用用户才能查看看；“应用程程序日志”中中包括由应用用程序记录的的事件等等。。系统管理(4)数据源(ODBC)：添加、删除除以及配置ODBC数据源和驱动动程序。(5)性能：显示系系统性能图表表以及配置数数据日志和警警报。(6)组件服务：配配置并管理COM+应用程序。COM+---componentobjectmoudel组建对象模型型,是一种面向对象的编编程方法,是一种特殊结结构的对象,规范了对象模块之间的通通讯方式.系统管理另外一些工具具则随系统服服务的安装而而添加到系统统中，例如：：(1)Telnet服务器管理：：查看以及修修改Telnet服务器设置和和连接。(2)Internet服务管理器：：管理IIS、因特网(Internet)和内部网(Intranet)Web站点的Web服务器。(3)本地安安全策策略：：查看看和修修改本本地安安全策策略，，诸如如用户户权限限和审审计策策略。。安全特特性Windows为用户户提供供了一一套广广泛的的安全全性防防卫措措施，，以确确保系系统能能够阻阻止非非法访访问、、故意意破坏坏和错错误操操作等等的侵侵害。。安全特特性1.安全区区域通常所所说的的数据据安全全大部部分是是指数数据在在网络络上的的安全全。在在计算算机领领域，，网络络操作作系统统的安安全性性定义义为用用来阻阻止未未授权权用户户的使使用、、访问问、修修改或或毁坏坏，也也就是是对客客户的的信息息进行行保密密，以以防止止他人人的窥窥视和和破坏坏。安全特特性如果将将网络络按区区域划划分，，可分分为四四大区区域。。(1)本地企企业网网：该该区域域包括括不需需要代代理服服务器器的地地址，，其中中包含含的地地址由由系统统管理理员用用InternetExplorer管理工工具包包定义义。本本地企企业网网区域域的默默认安安全级级为中中级。。(2)可信站站点：：该区区域包包含可可信的的站点点，即即可以以直接接从该该站点点下载载或运运行文文件而而不用用担心心会危危害到到用户户的计计算机机或数数据的的安全全，因因此用用户可可以将将某些些站点点分配配到该该区域域。可可信站站点区区域的的默认认安全全级为为低级级。安全特特性(3)受限站站点：：该区区域包包括不不可信信站点点，即即不能能确认认下载载或运运行程程序是是否会会危害害到用用户的的计算算机或或数据据，用用户也也可以以将某某些站站点分分配到到该区区域。。受限限站点点区域域的默默认安安全级级别为为高级级。(4)因特网网：在在默认认情况况下，，该区区域包包括用用户的的计算算机或或因特特网上上的全全部站站点，，因特特网区区域的的默认认安全全级别别为中中级。。安全特特性另外，，本地地计算算机上上所有有文件件都认认为是是安全全的，，不需需进行行安全全设置置。这这样，，打开开和运运行本本机上上的文文件和和程序序时不不会出出现任任何提提示，，而且且用户户也无无法将将本机机上的的文件件夹或或驱动动器分分配到到所谓谓安全全区域域。安全全特特性性2.安全全模模型型Windows安全全模模型型的的主主要要特特性性是是用用户户验验证证和和访访问问控控制制。。(1)用户户验验证证：：它它检检查查尝尝试试登登录录到到域域或或访访问问网网络络资资源源的的所所有有用用户户的的身身份份。。安全全特特性性(2)基于于对对象象的的访访问问控控制制：：允允许许管管理理员员控控制制对对网网络络中中资资源源或或对对象象的的访访问问。。管管理理员员通通过过对对存存储储在在活活动动目目录录中中的的对对象象指指定定安全描述符符的方式来执执行访问控控制。安全描述符符将列出获获得访问许许可权限的的用户和组组以及指定定给这些用用户和组的的特殊权限限。安全描描述符还指指定了针对对对象审核核的各类访访问事件，，对象实例例包括文件件、打印机机和服务等等。通过管理对对象属性，，管理员可可以设置权权限、指定定所有权和和监视用户户访问。安全全特特性性(3)活动动目目录录和和安安全全性性：：活活动动目目录录(activedirectury)通过过使使用用对对象象的的访访问问控控制制和和用用户户凭凭据据提提供供用用户户账账户户和和组组信信息息的的保保护护存存储储。。由于于活活动动目目录录不不仅仅存存储储用用户户凭凭据据，，还还包包括括访访问问控控制制信信息息，，所所以以登登录录到到网网络络的的用用户户可可同同时时获获得得访访问问系系统统资资源源的的验验证证和和授授权权。。安全特性3.公用密钥公用密钥加密密技术是保证证认证和完整整性的安全质质量最高的加加密方法，用用来确定某一一特定电子文文档是否来自自于某一特定定客户机。公公用密钥基本本系统，是一一个进行数字字认证、证书书授权和其他他注册授权的的系统。安全特性通过公用系统统密钥基本体体系，管理员员验证访问信信息人员的身身份，并在验验证身份的前前提下控制其其访问信息的的范围，在组组织中方便安安全地分配和和管理识别凭凭据等安全问问题。安全特性4.数据保护数据的保密性性和完整性从从网络验证开开始，用户可可以使用正确确的凭据登录录到网络，并并在该过程中中获得访问存存储数据的权权限。安全特性Windows支持两种数据据保护类型——存储数据和网网络数据：(1)存储数据保护护：用户可以以使用加密文文件系统(EFS)和数字签名方方法存储数据据。(2)网络数据保护护：站点内的的网络数据由由验证协议保保护。用户可可以用它来保保护传入和传传出站点网络络数据的实用用工具包括：：IPSecurity、路由和远程程访问、代理理服务器。账户和组的安安全性在Windows计算机上建立立安全体系需需要一个管理理员。管理员员为访问Windows计算机的用户户建立账户，，否则此用户户将无法对网网络进行访问问。建立了账账户的用户其其使用权限和和特权都由他他所在的组决定。账户和组的安安全性在域内建立安安全体系需要要域管理员。域管管理员首先需需要为用户和和计算机建立立账户，然后后把用户和计计算机进行分分组并放入账账户数据库中中。域管理员员还可以选择择哪一个组被被包括进哪一一个安全策