北航北海学院网络安全教程第5章.ppt

《北航北海学院网络安全教程第5章.ppt》由会员分享，可在线阅读，更多相关《北航北海学院网络安全教程第5章.ppt（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第5章物理与环境安全技术 第5章物理与环境安全技术 5.1 物理安全概述物理安全概述 5.2 物理安全常见方法物理安全常见方法 5.3 网络机房安全网络机房安全 5.4 网络通信安全网络通信安全 5.5 存储介质安全存储介质安全5.6 本章小结本章小结本章思考与练习本章思考与练习 第5章物理与环境安全技术 5.1 物理安全概述物理安全概述 物理安全也称实体安全，是指包括环境、设备和记录介质在内的所有支持信息系统运行的硬件的总体安全，是网络系统安全、可靠、不间断运行的基本保证，并且确保在对网上信息进行加工处理、公众服务、决策支持过程中，不致因设备、介质和环境条件受到人为和自然因素的危害，而引起网

2、上信息丢失、泄露或破坏。因此，必须采取一定的保护措施，实现网络系统物理安全，防止威胁发生。物理安全威胁可以分为两大类，即自然威胁和人为威胁。各种物理安全威胁如图5-1所示。第5章物理与环境安全技术 图5-1 物理威胁示范图 第5章物理与环境安全技术 目前，物理安全防范日益重要，特别是对于大型数据中心和网络系统的安全防范。为此，国家针对物理安全防范需求，制定了详细的技术标准，主要有：*GB5017393电子计算机机房设计规范；*计算机站场地技术条件；*GB936188计算机站场安全要求；*计算机信息系统安全通用技术规范。第5章物理与环境安全技术 5.2 物理安全常见方法物理安全常见方法 5.2.

3、1 5.2.1 防火防火火灾是网络机房比较普遍的、危害较大的灾害之一。火灾的原因主要有：电线破损、电气短路、抽烟失误、蓄意放火、接线错误、外部火情蔓延到机房内，以及技术上或管理上的原因等。通常应采取以下的防火措施：(1)消除火灾隐患。(2)设置火灾报警系统。(3)配置灭火设备。(4)加强防火管理和操作规范。第5章物理与环境安全技术 5.2.2 5.2.2 防水防水水灾不仅会浸泡电缆，破坏绝缘，而且会导致计算机设备短路或损坏，为此应采取一定的防护措施：(1)机房内不得铺设水管和蒸汽管道。(2)机房墙壁、天花板、地面应有防水、防潮性能。(3)通有水管的地方应设置止水阀和排水沟。(4)不要把机房设置

4、在楼房底层或地下室，以防水浸蚀或受潮。(5)如有通往机房的电缆沟，要防止下雨时电缆沟进水漫到机房。通往机房地沟的墙壁和地面应能防水渗透。第5章物理与环境安全技术 5.2.3 5.2.3 防震防震震动对网络设备会造成不同程度的损坏，特别是一些高速运转的设备。因此，防震也是保护网络设备的重要措施之一。通常防震的安全措施有：(1)网络机房所在的建筑物应具有抗地震能力。(2)网络机柜和设备要固定牢靠，并安装防震装置。(3)加强安全操作管理，例如禁止搬动在线运行的网络设备。第5章物理与环境安全技术 5.2.4 5.2.4 防盗防盗当网络系统设备被盗时，损失难以估计，有的能造成系统瘫痪。因此，防盗是网络系

5、统物理安全防护的又一个重要内容。通常采取的防盗措施主要有：(1)设置报警器。(2)锁定装置。(3)摄像监控。(4)严格物理访问控制。第5章物理与环境安全技术 5.2.5 5.2.5 防鼠虫害防鼠虫害鼠虫害也是造成设备故障的因素之一，其主要危害是窜入机房内的鼠虫会咬坏电缆或引起电源短路。据日本IECC对该国2000个用户的调查，在计算机事故中，10%是由鼠害造成的。其受害情况如下：(1)啃食电缆，造成漏电、电源短路。(2)筑窝、排粪，造成断线、短路，部件腐蚀，接触不良。第5章物理与环境安全技术 解决鼠虫害的办法有：(1)尽量减少不必要的洞口或用后予以堵塞，封堵鼠虫出口洞口。(2)在机房中可利用超

6、声波驱鼠，或设置一些捕鼠器械。(3)投放杀鼠药物，或在电缆上涂上环己基类防鼠剂。(4)还可在电缆外施加毒饵，以消灭鼠虫。第5章物理与环境安全技术 5.2.6 5.2.6 防雷防雷雷击对网络设备以及网络运行有着直接的影响，雷击有时会损害网络设备，中断网络通信。因此，防雷是网络物理安全的重要内容之一。常见的防雷措施有三种：(1)在网络设备所处的环境中安装避雷针。(2)网络设备安全接地，并将该“地线”连通机房的地线网，以确保其安全保护作用。(3)对重要网络设备安装专用防雷设施。第5章物理与环境安全技术 5.2.7 5.2.7 防电磁防电磁电磁辐射危险不仅会造成设备无法运行，而且还会引起信息的泄露。因

7、此，电磁防护包含两个方面的内容：一是防止电磁干扰网络设备的正常运行；二是防止信息通过电磁泄露。一般电磁防护的安全措施有：(1)采用接地的方法，防止外界电磁干扰和设备寄生耦合干扰。(2)采用屏蔽的方法，对信号线、重要设备进行电磁屏蔽，减少外部电器设备的瞬间干扰，防止电磁信号的泄露。(3)选择合适场地，远离电磁干扰源。第5章物理与环境安全技术 5.2.8 5.2.8 防静电防静电为了防止静电损坏网络设备，通常应采取以下的安全措施：(1)人员服装采用不易产生静电的衣料，工作鞋选用低阻值材料制作。(2)控制机房温、湿度，使其保持在不易产生静电的范围内。(3)机房地板从地板表面到接地系统的阻值，应能保证

8、防止人身触电和产生静电。(4)机房中使用的各种工作台、柜等，应选择产生静电小的材料。(5)在进行网络设备操作时，应戴防静电手套。第5章物理与环境安全技术 5.2.9 5.2.9 安全供电安全供电电源直接影响着网络系统的可靠运转，造成电源不可靠的因素有电压瞬变、瞬时停电和电压不足等。为了确保网络不间断运行，通常应采取下面的安全措施：(1)专用供电线路。重要的网络设备、服务器使用专用供电线路，避免干扰。(2)不间断电源(UPS)。使用UPS为网络中的重要设备供电，不仅能解决停电问题，而且能应对各种瞬变、噪声、电压下降。但是，UPS蓄电池的供电时间有限，不能长时间供电。(3)备用发电机。在发生长时间

9、的断电，而网络必须运转时，应启动备用发电机。第5章物理与环境安全技术 5.3 网络机房安全网络机房安全 5.3.1 5.3.1 网络机房安全等级网络机房安全等级网络机房中的实体是由电子设备、机电设备和光磁材料组成的复杂的系统。这些设备的可靠性和安全性与环境条件有着密切的关系。如果环境条件不能满足设备对环境的使用要求，就会降低计算机、网络设备的可靠性和安全性，轻则造成数据或程序出错、损坏，重则会加速元器件老化，缩短机器寿命，或发生故障使系统不能正常运行，严重时还会危害设备和人员的安全。根据GB936188，计算机机房分为A、B、C三个基本安全等级，下面分别介绍各级的特点和指标。第5章物理与环境安

10、全技术 A级：对计算机机房的安全有严格的要求，有完善的计算机机房安全设施。也就是把具有最高安全性和可靠性的系统及其设备应实施的内容和条件规定为A级机房。B级：对计算机机房安全有严格的要求，有较完善的计算机机房安全设施。它介于A级和C级之间。C级：对计算机机房的安全有基本的要求，有基本的计算机机房安全设施，即为确保系统做一般运行而要求的最低限度的安全性和可靠性所实施的内容及其条件。第5章物理与环境安全技术 不同等级的计算机机房安全指标要求如表5-1所示，其中：“”表示无要求；“”表示有要求或增加要求；“”表示要求与前级相同。有关计算机机房的安全级别的详细要求，可参阅GB936188计算机站场安全

11、要求。第5章物理与环境安全技术 表表5-1 GB936188机房安全等级要求机房安全等级要求 第5章物理与环境安全技术 5.3.2 网络机房场地选择网络机房场地选择 1 1环境安全性环境安全性(1)为了防止计算机机房遭到周围不利环境的意外侵害，应尽量避免将机房建在易燃易爆的场所，如化工库、油料库、液化气站或煤气站等火源附近。(2)应避开环境污染区，如化工污染区和有毒气体、腐蚀性气体污染区及尘埃较多的区域，如石灰厂、水泥厂、矿山等附近。(3)应避开盐雾区，如靠近海的区域或产盐区。(4)应避开落雷区域。第5章物理与环境安全技术 2 2地质可靠性地质可靠性(1)不要建在杂填土、淤泥、流砂层以及地层断

12、裂的地质区域上。(2)建在山区的计算机机房，应避开滑坡、泥石流、雪崩、溶洞等地质不牢靠的区域。(3)建在矿区的计算机机房，应避开采矿崩落区地段，也应避开有开采价值的矿区。(4)应避开低洼、潮湿区域。第5章物理与环境安全技术 3 3场地抗电磁干扰性场地抗电磁干扰性(1)应避开或远离无线电干扰源和微波线路的强电磁场干扰场所，如广播电视发射台、雷达站。根据国标GB288782计算机场地条件，机房附近的无线电干扰应小于126 dB(0.15500 MHz)，磁场强度应小于800 A/m(相当于高斯制的10 Oe)。150 kW广播电视发射台在1000 m以外，基本上可以避免电磁场干扰。(2)应避开强电

13、流冲击和强电磁场干扰的场所，如离开电气化铁路、高压传输线、高频炉、大电机、大功率开关等设备200 m以上。第5章物理与环境安全技术 4 4应避开强振动源和强噪声源应避开强振动源和强噪声源(1)应避开振动源，如冲床、锻床、爆炸成形的场所。(2)应避开机场、火车站和车辆往来比较频繁的区域以及建筑工地、影剧院及其他噪声区。(3)应远离主要通道，并避免机房窗户直接邻街。第5章物理与环境安全技术 5 5机机房房应应避避免免设设在在建建筑筑物物的的高高层层以以及及用用水水设设备备的的下下层层或或隔壁隔壁计算机机房应选用专用的建筑物。如果机房是大楼的一部分，应选用二层为宜，一层作为动力、配电、空调间等。同时

14、，应尽量选择电力、水源充足，环境清洁，交通和通信方便的地方。此外，进行机房场地选择时，还要同时考虑计算机的功能与要求。对于机要部门信息系统的机房，还应考虑机房中的信息射频不易泄露和被窃取。在机房场地的选择中，如果不能避开上述不利因素，则应采取相应的防护措施。第5章物理与环境安全技术 5.3.3 5.3.3 网络机房组成网络机房组成机房的组成是根据计算机系统的性质、任务、业务量大小、所选用计算机设备的类型以及计算机对供电、空调、空间等方面的要求和管理体制而确定的。按照计算机场地技术要求(GB288782)的规定，计算机机房一般应由主机房、生产用房、辅助用房和办公用房四部分组成，各部分的用途如下：

15、(1)主机房：用以安装主机及其外部设备。第5章物理与环境安全技术(2)生产用房：包括用户工作室、终端室、数据录入室、维护技术室(分软件维护组和硬件维护组)、维修工作室等。(3)辅助用房：包括电源、空调、消防、器材、库房(存放零备件、记录介质、消耗材料和维护工具、设备等)、卫生间等。(4)办公用房：包括主任室、调度室、会计室、值班室等。第5章物理与环境安全技术 5.4 网络通信安全网络通信安全 通信是网络系统中各节点信息交换的基础，因此，通信的安全直接影响到网络系统的正常运行。目前，为了实现网络通信安全，一般从两个方面采取安全措施，一是网络通信设备，二是网络通信线路。对于重要的核心网络通信设备，

16、例如路由器、交换机，为了防止这些核心设备出现单点安全故障，一般采取设备冗余措施，即设备之间进行相互备份。而对于通信线路的安全措施也是采取多路通信方式，例如网络的连接可以通过DDN专线和电话线。某ISP的网络拓扑结构如图5-2所示。由图可知，该ISP在网络通信上采取了冗余解决办法，首先是核心的交换机器和路由器都实现了交叉互连；其次，ISP与外部网络的连接有两个出口。第5章物理与环境安全技术 图5-2 某ISP网络拓扑结构图 第5章物理与环境安全技术 5.5 存储介质安全存储介质安全(1)强化安全管理：*设有专门区域用于存放介质，并有专人负责保管维护。*有关介质借用，必须办理审批和登记手续。*介质

17、分类存放，重要数据应进行复制备份两份以上，分开备份，以备不时之需。*对敏感和重要数据及关键数据，应采取贴密封条或其他安全有效措施，防止被非法拷贝。*报废的光盘、磁盘、磁带、硬盘、移动盘必须按规定程序完全消除敏感数据信息。第5章物理与环境安全技术(2)数据加密保存。系统中有很高使用价值或很高机密程度的重要数据，应采用加密等方法进行保护。目前，Windows 2000支持加密文件系统。(3)磁盘阵列。(4)存储网络SAN。SAN能够实现高性能、远距离的传输，从而达到高速、异地容灾的目的。第5章物理与环境安全技术 5.6 本本 章章 小小 结结 物理安全是网络系统安全、可靠、不间断运行的基础。本章首先引入了物理安全的概念。然后围绕物理安全的需求，分别介绍了网络物理安全常见方法、网络机房安全的、网络通信安全及存储介质安全。第5章物理与环境安全技术 本章思考与练习本章思考与练习 1什么是物理安全？物理威胁有哪几种？2网络物理安全包含哪些内容？3在GB936188标准中，计算机机房的安全等级是如何划分的？各级的技术要求是什么？4如何做到安全供电？5如何实现网络通信安全？6若要建立一个数据中心，应采取哪些安全措施？7如何构建一个物理安全的网络机房？8阅读有关物理安全的国家技术规范。