广东省大学生实验室安全与环保知识竞赛(信息安全)(精品).ppt

2011年广东省大学生实验室安全与环保知识竞赛计算机信息安全竞赛内容竞赛内容防火防爆防火防爆危险化学品的安全使用及防护危险化学品的安全使用及防护实验室生物安全与防护实验室生物安全与防护电气安全与防护电气安全与防护放射性安全与防护放射性安全与防护计算机信息安全计算机信息安全三废处理三废处理验室安全事故的紧急处理与救援验室安全事故的紧急处理与救援食品安全食品安全计算机信息系统安全计算机信息系统安全n计算机信息系统计算机信息系统，是指由计算机及其相关的和配，是指由计算机及其相关的和配套的设备、设施套的设备、设施(含网络含网络)构成的，按照一定的应构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。输、检索等处理的人机系统。n计算机信息系统的安全保护计算机信息系统的安全保护，应当保障计算机及，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全功能的正常发挥，以维护计算机信息系统的安全运行。运行。n计算机信息系统安全包括计算机信息系统安全包括人的安全人的安全、实体安全实体安全、信息安全信息安全、运行安全运行安全。信息安全竞赛主要内容信息安全竞赛主要内容n信息安全包括信息安全包括3 个方面个方面:q安全法规安全法规q安全管理安全管理q安全技术安全技术n信息安全法律法规信息安全法律法规n信息安全物理安全信息安全物理安全n日常安全意识日常安全意识刑法的规定（刑法的规定（1）n刑法刑法（1997年年3月月14日修订）第日修订）第285、第、第286条分别规定了非法入侵计算机信息系统条分别规定了非法入侵计算机信息系统罪和破坏计算机信息系统罪，共两条四款。罪和破坏计算机信息系统罪，共两条四款。n第第285条条 违反国家规定，违反国家规定，侵入国家事务、国侵入国家事务、国防建设、尖端科学技术领域的计算机信息防建设、尖端科学技术领域的计算机信息系统的系统的，处三年以下有期徒刑或者拘役。，处三年以下有期徒刑或者拘役。刑法的规定（刑法的规定（2）n第第286条条 违反国家规定，对违反国家规定，对计算机信息系统功能计算机信息系统功能进进行删除、修改、增加、干扰，造成计算机信息系行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。期徒刑。n违反国家规定，对计算机信息系统中违反国家规定，对计算机信息系统中存储、处理存储、处理或者传输的数据和应用程序或者传输的数据和应用程序进行删除、修改、增进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。加的操作，后果严重的，依照前款的规定处罚。n故意制作、传播计算机病毒故意制作、传播计算机病毒等破坏性程序，影响等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款计算机系统正常运行，后果严重的，依照第一款的规定处罚。的规定处罚。问题问题n近年来，计算机犯罪的特点已经超越了刑法第近年来，计算机犯罪的特点已经超越了刑法第285和和286条标注的范围。主要是通过，技术手段非法条标注的范围。主要是通过，技术手段非法侵入侵入法律规定以外法律规定以外的计算机信息系统，窃取他人的计算机信息系统，窃取他人账号、密码、虚拟财产（如账号、密码、虚拟财产（如 游戏装备）等信息，游戏装备）等信息，或者对大范围的他人计算机实施非法控制（如或者对大范围的他人计算机实施非法控制（如 僵僵尸网络）。尸网络）。n这些犯罪行为，都超出了这些犯罪行为，都超出了285和和286条管辖的范围，条管辖的范围，刑法原有的规定使司法机关在打击刑法原有的规定使司法机关在打击“黑客黑客”犯罪犯罪时面临法律困扰。时面临法律困扰。刑法修正案（刑法修正案（1）n2009年年2月月28日上午，十一届全国人大常委日上午，十一届全国人大常委会第七次会议在北京人民大会堂举行闭幕会第七次会议在北京人民大会堂举行闭幕会，以会，以161票赞成、票赞成、4票弃权表决通过票弃权表决通过中中华人民共和国刑法修正案华人民共和国刑法修正案(七七)。n对于惩治网络对于惩治网络“黑客黑客”的违法犯罪行为，的违法犯罪行为，刑法增加了相关条款刑法增加了相关条款 刑法修正案（刑法修正案（2）n（第二款、第三款）：（第二款、第三款）：n违反国家规定，违反国家规定，侵入前款规定以外侵入前款规定以外的计算的计算机信息系统或者采用其他技术手段，获取机信息系统或者采用其他技术手段，获取该计算机信息系统中该计算机信息系统中存储、处理或者传输存储、处理或者传输的数据，或者对该计算机信息系统实施非的数据，或者对该计算机信息系统实施非法控制法控制，情节严重的，处三年以下有期徒，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，别严重的，处三年以上七年以下有期徒刑，并处罚金。并处罚金。刑法修正案（刑法修正案（3）n鉴于之前所述情况，刑法修正案（七）在鉴于之前所述情况，刑法修正案（七）在刑法第刑法第285条中增加两款（第二款、第三款）条中增加两款（第二款、第三款）：n提供专门用于侵入、非法控制计算机信息提供专门用于侵入、非法控制计算机信息系统的程序、工具系统的程序、工具，或者明知他人实施侵，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。依照前款的规定处罚。修订带来的变化（修订带来的变化（1）n1、范畴变化。、范畴变化。对于军事、金融、政府以外对于军事、金融、政府以外的计算机系统的计算机系统，发生的计算机犯罪进行了，发生的计算机犯罪进行了界定，尤其是明确刑罚的内容。对于保护界定，尤其是明确刑罚的内容。对于保护商业企业的计算机信息系统，尤为重要。商业企业的计算机信息系统，尤为重要。n2、刑罚变化。对于计算机犯罪的惩处量刑、刑罚变化。对于计算机犯罪的惩处量刑出现变化，比以前实施更大的惩罚力度。出现变化，比以前实施更大的惩罚力度。（处三年以上七年以下有期徒刑处三年以上七年以下有期徒刑）修订带来的变化（修订带来的变化（2）n3、内容变化。、内容变化。q（1）在内容上与时俱进，兼顾了对新型计算机）在内容上与时俱进，兼顾了对新型计算机犯罪行为的界定和内容描述。关注点从以前的犯罪行为的界定和内容描述。关注点从以前的关注入侵，转到新型犯罪行为的描述。关注入侵，转到新型犯罪行为的描述。q（2）对提供黑客工具，编写黑客工具行为，界）对提供黑客工具，编写黑客工具行为，界定为违法行为。定为违法行为。n总体看这次刑法的变更，解决了长期以来总体看这次刑法的变更，解决了长期以来“计算机（互联网）犯罪成本计算机（互联网）犯罪成本”的问题，的问题，为行政司法处罚提供了依据。为行政司法处罚提供了依据。计算机信息网络国际联网安全保护计算机信息网络国际联网安全保护管理办法管理办法n第五条 任何单位和个人不得利用国际联网制作、制作、复制、复制、查阅查阅和传播和传播下列信息：q（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；n第二十条 违反法律、行政法规，有本办法第五条、第六条所列行为之一的，由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款信息安全法律法规信息安全法律法规nhttp:/ Security）是保护计算机）是保护计算机设备、设施（含网络）免遭设备、设施（含网络）免遭地震地震、水灾水灾、火灾火灾、有害气体有害气体和其他环境事故（如和其他环境事故（如电磁电磁干扰干扰等）破坏的措施和过程，也称实体安等）破坏的措施和过程，也称实体安全。全。n物理安全内容物理安全内容q环境安全环境安全q物理隔离物理隔离q电磁防护电磁防护环境安全环境安全n计算机网络通信系统的运行环境应按照国计算机网络通信系统的运行环境应按照国家有关标准设计实施，应具备家有关标准设计实施，应具备消防报警消防报警、安全照明安全照明、不间断供电不间断供电、温湿度控制系统温湿度控制系统和防盗报警和防盗报警，以保护系统免受水、火、有，以保护系统免受水、火、有害气体、地震、静电的危害。害气体、地震、静电的危害。计算机房场地的安全要求（计算机房场地的安全要求（1）n应对计算机及其网络系统的实体访问进行控制。应对计算机及其网络系统的实体访问进行控制。n计算机房的设计应考虑计算机房的设计应考虑减少无关人员进入机房的机会减少无关人员进入机房的机会。n所有进出计算机房的人都必须通过管理人员控制的地点。所有进出计算机房的人都必须通过管理人员控制的地点。特殊需要进入控制区的，特殊需要进入控制区的，应办理手续应办理手续。每个访问者和带入、。每个访问者和带入、带出的物品都应接受检查。带出的物品都应接受检查。n同时，计算机房应避免靠近公共区域，同时，计算机房应避免靠近公共区域，避免窗户直接邻街避免窗户直接邻街，应安排机房在内（室内靠中央位置），辅助工作区域在外应安排机房在内（室内靠中央位置），辅助工作区域在外（室内周边位置）。（室内周边位置）。n在一个高大的建筑内，计算机房最好在一个高大的建筑内，计算机房最好不要建在潮湿的底层，不要建在潮湿的底层，也尽量避免建在顶层也尽量避免建在顶层，因顶层可能会有漏雨和雷电穿窗而，因顶层可能会有漏雨和雷电穿窗而入的危险。在有多个办公室的楼层内，计算机机房应至少入的危险。在有多个办公室的楼层内，计算机机房应至少占据半层，或靠近一边。这样既便于防护，又利于发生火占据半层，或靠近一边。这样既便于防护，又利于发生火警时的撤离。警时的撤离。计算机房场地的安全要求（计算机房场地的安全要求（2）n电梯和楼梯不能直接进入机房。电梯和楼梯不能直接进入机房。n建筑物周围应有足够亮度的照明设施和防止非法进入的设建筑物周围应有足够亮度的照明设施和防止非法进入的设施。施。n外部容易接近的进出口应有栅栏或监控措施，而周边应有外部容易接近的进出口应有栅栏或监控措施，而周边应有物理屏障（隔墙、带刺铁丝网等）和监视报警系统，窗口物理屏障（隔墙、带刺铁丝网等）和监视报警系统，窗口应采取防范措施，必要时安装自动报警设备。应采取防范措施，必要时安装自动报警设备。n机房进出口须设置应急电话。机房进出口须设置应急电话。n机房供电系统应将动力照明用电与计算机系统供电线路分机房供电系统应将动力照明用电与计算机系统供电线路分开，机房及疏散通道应配备应急照明装置。开，机房及疏散通道应配备应急照明装置。n计算机中心周围计算机中心周围100m内不能有危险建筑物。内不能有危险建筑物。n进出机房时要更衣、换鞋，机房的门窗在建造时应考虑封进出机房时要更衣、换鞋，机房的门窗在建造时应考虑封闭性能。闭性能。n照明应达到规定标准。照明应达到规定标准。设备防盗措施设备防盗措施n早期的防盗，采取早期的防盗，采取增加质量和胶粘增加质量和胶粘的方法。之后又出现了的方法。之后又出现了将设备与固定底盘用锁连接。现在某些便携机也采用机壳将设备与固定底盘用锁连接。现在某些便携机也采用机壳加锁扣的方法。加锁扣的方法。n国外一家公司发明了国外一家公司发明了一种光纤电缆一种光纤电缆保护设备。这种方法是保护设备。这种方法是将光纤电缆连接到每台重要的设备上，光束沿光纤传输，将光纤电缆连接到每台重要的设备上，光束沿光纤传输，如果通道受阻，则报警。如果通道受阻，则报警。n一种更方便的防护措施类似于图书馆、超级市场使用的保一种更方便的防护措施类似于图书馆、超级市场使用的保护系统。每台重要的设备、每个重要存储媒体和硬件贴上护系统。每台重要的设备、每个重要存储媒体和硬件贴上特殊标签（如特殊标签（如磁性标签磁性标签），一旦被盗或未被授权携带外出，），一旦被盗或未被授权携带外出，检测器就会发出报警信号。检测器就会发出报警信号。n视频监视系统视频监视系统是一种更为可靠的防护设备，能对系统运行是一种更为可靠的防护设备，能对系统运行的外围环境、操作环境实施监控（视）。对重要的机房，的外围环境、操作环境实施监控（视）。对重要的机房，还应采取特别的防盗措施，如值班守卫，出入口安装金属还应采取特别的防盗措施，如值班守卫，出入口安装金属防护装置，如安全门、防护窗户。防护装置，如安全门、防护窗户。机房的三度要求机房的三度要求n机房内的机房内的空调系统、去湿机、除尘器空调系统、去湿机、除尘器是保证计算机系统正是保证计算机系统正常运行的重要设备之一。通过这三种设备使机房的三度要常运行的重要设备之一。通过这三种设备使机房的三度要求：温度、湿度和洁净度得到保证，求：温度、湿度和洁净度得到保证，n温度：机房温度一般应控制在温度：机房温度一般应控制在1822，即（，即（202）。温度过低会导致硬盘无法启动，过高会使元器件性能发生温度过低会导致硬盘无法启动，过高会使元器件性能发生变化，耐压降低，导致不能工作。变化，耐压降低，导致不能工作。n湿度：相对湿度过高会使电气部分绝缘性降低，加速金属湿度：相对湿度过高会使电气部分绝缘性降低，加速金属器件的腐蚀，引起绝缘性能下降；而相对湿度过低、过于器件的腐蚀，引起绝缘性能下降；而相对湿度过低、过于干燥会导致计算机中某些器件龟裂，印刷电路板变形，特干燥会导致计算机中某些器件龟裂，印刷电路板变形，特别是静电感应增加，使计算机内信息丢失、损坏芯片，对别是静电感应增加，使计算机内信息丢失、损坏芯片，对计算机带来严重危害。机房内的相对湿度一般控制在计算机带来严重危害。机房内的相对湿度一般控制在40%60为好，即（为好，即（5010）。）。n洁净度：清洁度要求机房尘埃颗粒直径小于洁净度：清洁度要求机房尘埃颗粒直径小于0.5，平均，平均每升空气含尘量小于每升空气含尘量小于1万颗。灰尘会造成接插件的万颗。灰尘会造成接插件的接触不接触不良良、发热元件的、发热元件的散热效率降低散热效率降低、绝缘破坏，甚至造成击穿；、绝缘破坏，甚至造成击穿；灰尘还会灰尘还会增加机械磨损增加机械磨损，尤其对驱动器和盘片。，尤其对驱动器和盘片。防静电措施防静电措施n静电是由物体间的相互磨擦、接触而产生的。静电产生后，静电是由物体间的相互磨擦、接触而产生的。静电产生后，由于它不能泄放而保留在物体内，产生很高的电位（能量由于它不能泄放而保留在物体内，产生很高的电位（能量不大），而静电放电时发生火花，造成火灾或损坏芯片。不大），而静电放电时发生火花，造成火灾或损坏芯片。计算机计算机信息系统的信息系统的各个关键电路各个关键电路，诸如，诸如CPU、ROM、RAM等大都采用等大都采用MOS工艺的大规模集成电路，工艺的大规模集成电路，对静电极对静电极为敏感为敏感，容易因静电而损坏。这种损坏可能是不知不觉造，容易因静电而损坏。这种损坏可能是不知不觉造成的。成的。n机房内一般应采用乙烯材料装修，避免使用挂毯、地毯等机房内一般应采用乙烯材料装修，避免使用挂毯、地毯等吸尘、容易产生静电的材料。为了防静电机房一般吸尘、容易产生静电的材料。为了防静电机房一般安装防安装防静电地板静电地板，并将地板和设备接地以便将物体积聚的静电迅，并将地板和设备接地以便将物体积聚的静电迅速排泄到大地。机房内的专用工作台或重要的操作台应有速排泄到大地。机房内的专用工作台或重要的操作台应有接地平板。此外，接地平板。此外，工作人员的服装和鞋工作人员的服装和鞋最好用低阻值的材最好用低阻值的材料制作，机房内应保持一定湿度，在北方干燥季节应适当料制作，机房内应保持一定湿度，在北方干燥季节应适当加湿，以免因干燥而产生静电。加湿，以免因干燥而产生静电。电源电源n电源是计算机网络系统正常工作的重要因素。供电设备容量电源是计算机网络系统正常工作的重要因素。供电设备容量应有一定的富裕量，所提供的功率一般应是全部设备负载的应有一定的富裕量，所提供的功率一般应是全部设备负载的125。计算机房设备最好是采取。计算机房设备最好是采取专线供电专线供电，应与其他电感，应与其他电感设备（如马达），以及空调、照明、动力等分开；至少应从设备（如马达），以及空调、照明、动力等分开；至少应从变压器单独输出一路给计算机使用。变压器单独输出一路给计算机使用。n为保证设备用电质量和用电安全，电源应至少有两路供电，为保证设备用电质量和用电安全，电源应至少有两路供电，并应有自动转换开关，当一路供电有问题时，可迅速切换到并应有自动转换开关，当一路供电有问题时，可迅速切换到备用线路备用线路供电。应安装供电。应安装备用电源备用电源，如长时间不间断电源，如长时间不间断电源（UPS），停电后可供电），停电后可供电8小时或更长时间。关键的设备应有小时或更长时间。关键的设备应有备用发电机组和应急电源。同时为防止、限制瞬态过压和引备用发电机组和应急电源。同时为防止、限制瞬态过压和引导浪涌电流，应配备导浪涌电流，应配备电涌保护器（过压保护器）电涌保护器（过压保护器）。为防止保。为防止保护器的老化、寿命终止或雷击时造成的短路，在电涌保护器护器的老化、寿命终止或雷击时造成的短路，在电涌保护器的前端应有诸如熔断器等过电流保护装置。的前端应有诸如熔断器等过电流保护装置。接地接地n接地是指系统中各处电位均以大地为参考点接地是指系统中各处电位均以大地为参考点n地线种类地线种类q保护地保护地：计算机系统内的所有电气设备，包括辅助设备，外壳均应计算机系统内的所有电气设备，包括辅助设备，外壳均应接地。保护地一般是为接地。保护地一般是为大电流泄放大电流泄放而接地。机房内保护地的接地电而接地。机房内保护地的接地电阻阻4。q直流地直流地，又称逻辑地，是计算机系统的逻辑参考地，即计算机中数，又称逻辑地，是计算机系统的逻辑参考地，即计算机中数字电路的低电位参考地。直流地的接地电阻一般要求字电路的低电位参考地。直流地的接地电阻一般要求2q屏蔽地屏蔽地：为避免信息处理设备的电磁干扰，防止电磁信息泄漏，重为避免信息处理设备的电磁干扰，防止电磁信息泄漏，重要的设备和重要的机房要采取屏蔽措施，即用金属体来屏蔽设备和要的设备和重要的机房要采取屏蔽措施，即用金属体来屏蔽设备和整个机房。一般屏蔽地的接地电阻要求整个机房。一般屏蔽地的接地电阻要求4。q静电地静电地：机房内人体本身、人体在机房内的运动、设备的运行等均机房内人体本身、人体在机房内的运动、设备的运行等均可能产生静电。将地板金属基体与地线相连，以使设备运行中产生可能产生静电。将地板金属基体与地线相连，以使设备运行中产生的静电随时泄放掉。的静电随时泄放掉。q雷击地雷击地：雷电具有很大的能量，雷击产生的瞬态电压可高达雷电具有很大的能量，雷击产生的瞬态电压可高达10MV以上。单独建设的机房或机房所在的建筑物，必须设置专门的雷击以上。单独建设的机房或机房所在的建筑物，必须设置专门的雷击保护地（简称雷击地），以防雷击产生的设备和人身事故。保护地（简称雷击地），以防雷击产生的设备和人身事故。接地体接地体n通常采用的接地体有地桩、水平栅网、金属板、建筑物基通常采用的接地体有地桩、水平栅网、金属板、建筑物基础钢筋等。础钢筋等。n地桩地桩：垂直打入地下的接地金属棒或金属管，是常用的接：垂直打入地下的接地金属棒或金属管，是常用的接地体。它用在土壤层超过地体。它用在土壤层超过3m厚的地方。金属棒的材料为厚的地方。金属棒的材料为钢或铜，直径一般应为钢或铜，直径一般应为15mm以上。为防止腐蚀、增大接以上。为防止腐蚀、增大接触面积并承受打击力，地桩通常采用较粗的镀锌钢管。触面积并承受打击力，地桩通常采用较粗的镀锌钢管。n水平栅网水平栅网：在土质情况较差，特别是岩层接近地表面无法：在土质情况较差，特别是岩层接近地表面无法打桩的情况下，可采用水平埋设金属条带、电缆的方法。打桩的情况下，可采用水平埋设金属条带、电缆的方法。金属条带应埋在地下金属条带应埋在地下0.5m1m深处，水平方向构成星形或深处，水平方向构成星形或栅格网形，在每个交叉处，条带应焊接在一起，且带间距栅格网形，在每个交叉处，条带应焊接在一起，且带间距离离1m。保持水分和增加化学盐分的方法。保持水分和增加化学盐分的方法。n金属接地板金属接地板：将金属板与地面垂直埋在地下，与土壤形成：将金属板与地面垂直埋在地下，与土壤形成至少至少0.2m2的双面接触。深度要求在永久性潮土壤以下的双面接触。深度要求在永久性潮土壤以下30cm，一般至少在地下埋，一般至少在地下埋1.5m深。金属板的材料通常为深。金属板的材料通常为铜板，也可分为铁板或钢板。铜板，也可分为铁板或钢板。n建筑物基础钢筋建筑物基础钢筋：发展方向：发展方向防雷措施防雷措施n机房外部防雷应使用接闪器、引下线和接地装置，吸引雷电流，并为其泄放提供一条低阻值通道。n机房内部防雷主要采取屏蔽、等电位连接、合理布线或防闪器、过电压保护等技术措施以及拦截、屏蔽、均压、分流、接地等方法，达到防雷的目的。机房的设备本身也应有避雷装置和设施。计算机场地的防火措施计算机场地的防火措施n火灾：电气原因、人为事故、外部火灾蔓延火灾：电气原因、人为事故、外部火灾蔓延q隔离隔离：建筑内的计算机房四周应设计一个隔离带，以使外：建筑内的计算机房四周应设计一个隔离带，以使外部的火灾至少可隔离一个小时。部的火灾至少可隔离一个小时。防火门防火门q火灾报警系统火灾报警系统：在火灾初期就能检测到并及时发出警报。：在火灾初期就能检测到并及时发出警报。火灾报警系统按传感器的不同，分为火灾报警系统按传感器的不同，分为烟报警烟报警和和温度报警温度报警两两种类型。种类型。CO报警器报警器q灭火设施灭火设施：灭火器如自动喷水、气体灭火器等：灭火器如自动喷水、气体灭火器等；灭火工具；灭火工具及辅助设备如液压千斤顶、手提式锯、铁锨、镐、榔头、及辅助设备如液压千斤顶、手提式锯、铁锨、镐、榔头、应急灯等。应急灯等。避免二次破坏！避免二次破坏！q管理措施管理措施：机房应有应急计划及相关制度，要严格执行计：机房应有应急计划及相关制度，要严格执行计算机房环境和设备维护的各项规章制度，加强对火灾隐患算机房环境和设备维护的各项规章制度，加强对火灾隐患部位的检查。如电源线路要经常检查是否有短路处，防止部位的检查。如电源线路要经常检查是否有短路处，防止出现火花引起火灾。要制定灭火的应急计划并对所属人员出现火花引起火灾。要制定灭火的应急计划并对所属人员进行培训。进行培训。物理隔离物理隔离n物理隔离技术就是把有害的攻击隔离，在可信网络之外和物理隔离技术就是把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网络间数据保证可信网络内部信息不外泄的前提下，完成网络间数据的安全交换。的安全交换。n我国我国2000年年1月月1日起实施的日起实施的计算机信息系统国际联网保计算机信息系统国际联网保密管理规定密管理规定第二章第六条规定，第二章第六条规定，“涉及国家秘密的计算涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连接，信息网络相连接，必须实行物理隔离必须实行物理隔离”。因此，。因此，“物理隔物理隔离技术离技术”应运而生。应运而生。n物理隔离技术的目标是确保把有害的攻击隔离，在可信网物理隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，络之外和保证可信网络内部信息不外泄的前提下，完成网完成网间数据的安全交换间数据的安全交换。物理隔离技术是在原有安全技术的基。物理隔离技术是在原有安全技术的基础上发展起来的、一种全新的安全防护技术。础上发展起来的、一种全新的安全防护技术。物理隔离的安全要求物理隔离的安全要求n在在物理传导物理传导上使内外网络隔断，确保外部网不能上使内外网络隔断，确保外部网不能通过网络连接而侵入内部网；同时防止内部网信通过网络连接而侵入内部网；同时防止内部网信息通过网络连接泄漏到外部网。息通过网络连接泄漏到外部网。n在在物理辐射物理辐射上隔断内部网与外部网，确保内部网上隔断内部网与外部网，确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。信息不会通过电磁辐射或耦合方式泄漏到外部网。n在在物理存储物理存储上隔断两个网络环境，对于断电后会上隔断两个网络环境，对于断电后会遗失信息的部件，如内存、处理器等暂存部件，遗失信息的部件，如内存、处理器等暂存部件，要在网络转换时作清除处理，防止残留信息出网；要在网络转换时作清除处理，防止残留信息出网；对于断电非遗失性设备如磁带机、硬盘等存储设对于断电非遗失性设备如磁带机、硬盘等存储设备，内部网与外部网信息要分开存储。备，内部网与外部网信息要分开存储。物理隔离技术的发展历程（物理隔离技术的发展历程（1）n第一阶段第一阶段彻底的物理隔离彻底的物理隔离q各个专用网络自成体系，网络为信息孤岛。各个专用网络自成体系，网络为信息孤岛。q技术：技术：物理隔离卡物理隔离卡：不依赖于操作系统：不依赖于操作系统 安全隔离计算机安全隔离计算机:内外网切换功能植入内外网切换功能植入BIOS中中 隔离集线器（交换机）隔离集线器（交换机）：依据数据包包头标记信息：依据数据包包头标记信息q所产生的网络隔离，是彻底的物理隔离，两个网络之间所产生的网络隔离，是彻底的物理隔离，两个网络之间没有信息交流，所以也就可以抵御所有的网络攻击，它没有信息交流，所以也就可以抵御所有的网络攻击，它们适用于一台终端（或一个用户）需要们适用于一台终端（或一个用户）需要分时访问分时访问两个不两个不同的、物理隔离的网络的应用环境。同的、物理隔离的网络的应用环境。物理隔离技术的发展历程（物理隔离技术的发展历程（2）n第二阶段协议隔离（Protocol Isolation）q满足适度信息交换要求的隔离，即更高安全要求的网络连接。qeg.数据转播隔离系统：分时复制文件q协议隔离是采用专用协议（非公共协议）来对两个网络进行隔离，并在此基础上实现两个网络之间的信息交换，链路层上是互通的。协议隔离技术由于存在直接的物理和逻辑连接，仍然是数据包的转发，一些攻击依然出现。物理隔离技术的发展历程（物理隔离技术的发展历程（3）n第三阶段物理隔离网闸技术(Gap Technology)q能够实现高速的网络隔离，高效的内外网数据交换，且应用支持做到全透明。它创建一个这样的环境：内、外网络在物理上断开，但却逻辑地相连，通过分时操作来实现两个网络之间更安全的信息交换。q使用带有多种控制功能的固态开关读写介质，实现数据文件的无协议摆渡。纯数据交换。物理隔离技术对比物理隔离技术对比技术手段技术手段优优 点点缺缺 点点典型产品典型产品彻底的彻底的物理隔离物理隔离能够抵御所有的网能够抵御所有的网络攻击络攻击两个网络之间两个网络之间没有信息交流没有信息交流联想网御物理隔离卡、开天联想网御物理隔离卡、开天双网安全电脑以及伟思网络双网安全电脑以及伟思网络安全隔离集线器安全隔离集线器协议隔离协议隔离 能抵御基于能抵御基于TCP/IP协议的网络扫描与协议的网络扫描与攻击等行为攻击等行为有些攻击有些攻击可穿越网络可穿越网络京泰安全信息交流系统京泰安全信息交流系统2.0、东方、东方DF-NS310物理隔离物理隔离网关网关物理隔离物理隔离网闸网闸不但实现了高速的不但实现了高速的数据交换，还有效数据交换，还有效地杜绝了基于网络地杜绝了基于网络的攻击行为的攻击行为应用种类应用种类受到限制受到限制伟思伟思ViGAP、天行安全隔离、天行安全隔离网闸网闸(TopWalk-GAP)和联想和联想网御网御SIS3000系列安全隔离系列安全隔离网闸网闸电磁防护电磁防护n计算机及网络系统和其它电子设备一样，工作时要产生电计算机及网络系统和其它电子设备一样，工作时要产生电磁发射，电磁发射可被高灵敏度的接收设备接收并进行分磁发射，电磁发射可被高灵敏度的接收设备接收并进行分析、还原，造成析、还原，造成系统信息泄漏系统信息泄漏。另一方面，计算机及网络。另一方面，计算机及网络系统又处在复杂的系统又处在复杂的电磁干扰电磁干扰的环境中，这种电磁干扰有时的环境中，这种电磁干扰有时很强（如电子战中的强电磁干扰或核辐射脉冲干扰），使很强（如电子战中的强电磁干扰或核辐射脉冲干扰），使计算机及网络系统不能正常工作，甚至被摧毁。计算机及网络系统不能正常工作，甚至被摧毁。n电磁防护的主要目的是通过屏蔽、隔离、滤波、吸波、接电磁防护的主要目的是通过屏蔽、隔离、滤波、吸波、接地等措施，提高计算机及网络系统、其它电子设备的抗干地等措施，提高计算机及网络系统、其它电子设备的抗干扰能力，使之能扰能力，使之能抵抗强电磁干扰抵抗强电磁干扰；同时将计算机的；同时将计算机的电磁泄电磁泄漏发射降到最低漏发射降到最低。从而在未来的电子战、信息战中、商战。从而在未来的电子战、信息战中、商战中立于不败之地。中立于不败之地。n计算机电磁辐射的危害：计算机电磁辐射的危害：电磁干扰和信息泄露电磁干扰和信息泄露电磁防护的措施电磁防护的措施n目前主要防护措施有两类：一类是目前主要防护措施有两类：一类是对传导发射的防护对传导发射的防护，主，主要采取对电源线和信号线要采取对电源线和信号线加装性能良好的滤波器加装性能良好的滤波器，减小传，减小传输阻抗和导线间的交叉耦合；另一类是输阻抗和导线间的交叉耦合；另一类是对辐射的防护对辐射的防护，这，这类防护措施又可分为以下两种：类防护措施又可分为以下两种：一种是采用各种电磁屏蔽一种是采用各种电磁屏蔽措施措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；机房的下水管、暖气管和金属门窗进行屏蔽和隔离；第二第二种是干扰的防护措施种是干扰的防护措施，即在计算机系统工作的同时，利用，即在计算机系统工作的同时，利用干扰装置干扰装置产生一种与计算机系统辐射相关的伪噪声向空间产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。辐射来掩盖计算机系统的工作频率和信息特征。n为提高电子设备的抗干扰能力，除在芯片、部件上提高抗为提高电子设备的抗干扰能力，除在芯片、部件上提高抗干扰能力外，主要的措施有干扰能力外，主要的措施有屏蔽、隔离、滤波、吸波、接屏蔽、隔离、滤波、吸波、接地地等。其中屏蔽是应用最多的方法。等。其中屏蔽是应用最多的方法。信息泄漏防护技术信息泄漏防护技术nTEMPEST技术技术抑制信息处理设备的噪声泄抑制信息处理设备的噪声泄露技术。露技术。n它是综合性的技术，包括泄漏信息的分析、预测、它是综合性的技术，包括泄漏信息的分析、预测、接收、识别、复原、防护、测试、安全评估等多接收、识别、复原、防护、测试、安全评估等多项技术，涉及到多个学科领域。它基本上是在传项技术，涉及到多个学科领域。它基本上是在传统的电磁兼容理论基础上发展起来的，但比传统统的电磁兼容理论基础上发展起来的，但比传统的抑制电磁干扰的要求要高得多，技术实现上也的抑制电磁干扰的要求要高得多，技术实现上也更为复杂。抑制和防止电磁泄漏现已成为物理安更为复杂。抑制和防止电磁泄漏现已成为物理安全策略的一个主要问题。全策略的一个主要问题。TEMPEST技术主要采用的技术措施技术主要采用的技术措施 n利用噪声干扰源利用噪声干扰源 n采用屏蔽技术采用屏蔽技术 n“红红”“黑黑”隔离隔离 n滤波技术滤波技术 n布线与元器件选择布线与元器件选择 计算机机房安全要求计算机机房安全要求 安全安全类别类别安全安全项项目目A类类机房机房B类类机房机房C类类机房机房场场地地选择选择防火防火内部装修内部装修供配供配电电系系统统空空调调系系统统火灾火灾报报警和消防警和消防设设施施防水防水防静防静电电防雷防雷击击防鼠害防鼠害防防电电磁泄漏磁泄漏表中符号说明：要求，：有要求或增加要求。表中符号说明：要求，：有要求或增加要求。信息安全竞赛主要内容信息安全竞赛主要内容n信息安全法律法规信息安全法律法规n信息安全物理安全信息安全物理安全n日常安全意识日常安全意识常见信息安全换习惯（解决办法）常见信息安全换习惯（解决办法）n计算机登录密码不设置或者自动登录计算机登录密码不设置或者自动登录q可以将服务器加入可以将服务器加入AD，AD集中部署策略集中部署策略nAdministrator密码为空密码为空q密码设置满足复杂度要求密码设置满足复杂度要求n电脑右下角补丁更新不理会电脑右下角补丁更新不理会q定期抽查定期抽查n离开座位不及时锁屏离开座位不及时锁屏q制度强制离开座位时锁屏制度强制离开座位时锁屏常见信息安全换习惯（解决办法）常见信息安全换习惯（解决办法）n由于经常不记住密码，把密码写到本子上或者桌由于经常不记住密码，把密码写到本子上或者桌面的文件里面的文件里q安全意识持续培训，强制使用安全意识持续培训，强制使用AD域，用户登录，管理域，用户登录，管理员重置员重置n不及时取走打印的文档不及时取走打印的文档q安全意识持续培训安全意识持续培训n废弃纸质文档不用碎纸机粉碎废弃纸质文档不用碎纸机粉碎q安全意识持续培训，安全提醒安全意识持续培训，安全提醒n硬盘报废时候不消磁硬盘报废时候不消磁q强制制定制度，明确各部门职责强制制定制度，明确各部门职责6个安全小贴士个安全小贴士n不应该未锁屏就离开正在工作中的计算机不应该未锁屏就离开正在工作中的计算机n输入的密码应该以加密形式显示输入的密码应该以加密形式显示n警惕未授权人员通过后门进入安全保密区警惕未授权人员通过后门进入安全保密区域域n适当的保护你掌上所承载的敏感信息适当的保护你掌上所承载的敏感信息n通报最新攻击、病毒、扫描等疫情，并立通报最新攻击、病毒、扫描等疫情，并立即采取防护措施即采取防护措施n使用网络安全设备保护你的计算机，阻止使用网络安全设备保护你的计算机，阻止信息被盗。信息被盗。信息安全口诀（一）信息安全口诀（一）n密码设全，文件收好密码设全，文件收好n外出锁屏，下班关机外出锁屏，下班关机n常打补丁，定期杀毒常打补丁，定期杀毒n版权保护，法不容情版权保护，法不容情n便携设备，注意监护便携设备，注意监护n网络内外，品行一致网络内外，品行一致n执行制度，贵在坚持执行制度，贵在坚持n信息安全，人人有责信息安全，人人有责信息安全口诀（二）信息安全口诀（二）n人走机锁文件收，工号密码自己留人走机锁文件收，工号密码自己留n秘密不问也不听，听到只能所心里秘密不问也不听，听到只能所心里n数据不传也不存，用时早早来申请数据不传也不存，用时早早来申请n文件邮件设密级，信息保密要申明文件邮件设密级，信息保密要申明n秘密经手托保存，安全常常记心间秘密经手托保存，安全常常记心间n终端入网别忘记，拿好地址来登录终端入网别忘记，拿好地址来登录n工号权限要审批，机房出入需批准工号权限要审批，机房出入需批准n工作里面常留意，安全隐患快说明工作里面常留意，安全隐患快说明