1、第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.1實體安全技術概述實體安全技術概述2.2計算機房場地環境的安全防護計算機房場地環境的安全防護2.3安全管理安全管理2.4電磁防護電磁防護2.5硬件防護硬件防護第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術本章學習目標本章學習目標（1）了解實體安全的定義、目的和內容。）了解實體安全的定義、目的和內容。（2）掌握計算機房場地環境的安全要求。包括）掌握計算機房場地環境的安全要求。包括機房建筑和結構要求、三度要求、防靜電措施、機房建筑和結構要求、三度要求、防靜電措施、供電要求、

2、接地與防雷、防火、防水等的技術、供電要求、接地與防雷、防火、防水等的技術、方法與措施。方法與措施。（3）掌握安全管理技術的內容和方法。）掌握安全管理技術的內容和方法。（4）理解電磁防護和硬件防護的基本方法。）理解電磁防護和硬件防護的基本方法。第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.1實體安全技術概述實體安全技術概述2.1.1影響實體安全的主要因素影響實體安全的主要因素2.1.2實體安全的內容實體安全的內容返回本章首頁返回本章首頁第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.1.1影響實體安全的主要因素影響實體安全的主要因素影響計算機網絡實體安全的主要因素如下：

3、影響計算機網絡實體安全的主要因素如下：1）計算機及其網絡系統自身存在的脆弱性因素。）計算機及其網絡系統自身存在的脆弱性因素。2）各種自然災害導致的安全問題。）各種自然災害導致的安全問題。3）由于人為的錯誤操作及各種計算機犯罪導致）由于人為的錯誤操作及各種計算機犯罪導致的安全問題。的安全問題。返回本節返回本節第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.1.2實體安全的內容實體安全的內容（1）環境安全）環境安全 （2）設備安全）設備安全 （3）存儲媒體安全）存儲媒體安全 （4）硬件防護）硬件防護 返回本節返回本節第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.2計算機房

4、場地環境的安全防護計算機房場地環境的安全防護2.2.1計算機房場地的安全要求計算機房場地的安全要求2.2.2設備防盜設備防盜2.2.3機房的三度要求機房的三度要求2.2.4 防靜電措施防靜電措施2.2.5電源電源2.2.6接地與防雷接地與防雷2.2.7計算機場地的防火、防水措施計算機場地的防火、防水措施返回本章首頁返回本章首頁第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.2.1計算機房場地的安全要求計算機房場地的安全要求機房建筑和結構從安全的角度，還應該考慮：機房建筑和結構從安全的角度，還應該考慮：1）電梯和樓梯不能直接進入機房。）電梯和樓梯不能直接進入機房。2）建筑物周圍應有足

5、夠亮度的照明設施和防止非法進入的設施。）建筑物周圍應有足夠亮度的照明設施和防止非法進入的設施。3）外部容易接近的進出口，而周邊應有物理屏障和監視報警系統，）外部容易接近的進出口，而周邊應有物理屏障和監視報警系統，窗口應采取防范措施，必要時安裝自動報警設備。窗口應采取防范措施，必要時安裝自動報警設備。4）機房進出口須設置應急電話。）機房進出口須設置應急電話。5）機房供電系統應將動力照明用電與計算機系統供電線路分開，機）機房供電系統應將動力照明用電與計算機系統供電線路分開，機房及疏散通道應配備應急照明裝置。房及疏散通道應配備應急照明裝置。6）計算機中心周圍）計算機中心周圍100m內不能有危險建筑物

6、。內不能有危險建筑物。7）進出機房時要更衣、換鞋，機房的門窗在建造時應考慮封閉性能。）進出機房時要更衣、換鞋，機房的門窗在建造時應考慮封閉性能。8）照明應達到規定標準。）照明應達到規定標準。 返回本節返回本節第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.2.2設備防盜設備防盜 早期的防盜，采取增加質量和膠粘的方法，早期的防盜，采取增加質量和膠粘的方法，即將設備長久固定或粘接在一個地點。即將設備長久固定或粘接在一個地點。 視頻監視系統是一種更為可靠的防護設備，視頻監視系統是一種更為可靠的防護設備，能對系統運行的外圍環境、操作環境實施監控能對系統運行的外圍環境、操作環境實施監控（視）

7、。對重要的機房，還應采取特別的防盜措（視）。對重要的機房，還應采取特別的防盜措施，如值班守衛，出入口安裝金屬防護裝置保護施，如值班守衛，出入口安裝金屬防護裝置保護安全門、窗戶。安全門、窗戶。返回本節返回本節第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.2.3機房的三度要求機房的三度要求1溫度溫度 2濕度濕度 3潔凈度潔凈度 返回本節返回本節第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.2.4 防靜電措施防靜電措施 靜電是由物體間的相互磨擦、接觸而產生的。靜電靜電是由物體間的相互磨擦、接觸而產生的。靜電產生后，由于它不能泄放而保留在物體內，產生很高的產生后，由于它不能

8、泄放而保留在物體內，產生很高的電位（能量不大），而靜電放電時發生火花，造成火災電位（能量不大），而靜電放電時發生火花，造成火災或損壞芯片。計算機信息系統的各個關鍵電路，諸如或損壞芯片。計算機信息系統的各個關鍵電路，諸如CPU、ROM、RAM等大都采用等大都采用MOS工藝的大規模集成工藝的大規模集成電路，對靜電極為敏感，容易因靜電而損壞。這種損壞電路，對靜電極為敏感，容易因靜電而損壞。這種損壞可能是不知不覺造成的。可能是不知不覺造成的。 機房內一般應采用乙烯材料裝修，避免使用掛毯、機房內一般應采用乙烯材料裝修，避免使用掛毯、地毯等吸塵、容易產生靜電的材料。地毯等吸塵、容易產生靜電的材料。 返回本

9、節返回本節第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.2.5電源電源1電源線干擾電源線干擾有六類電源線干擾：中斷、異常中斷、電壓瞬變、有六類電源線干擾：中斷、異常中斷、電壓瞬變、沖擊、噪聲、突然失效事件。沖擊、噪聲、突然失效事件。2保護裝置保護裝置電源保護裝置有金屬氧化物可變電阻（電源保護裝置有金屬氧化物可變電阻（MOV）、）、硅雪崩二極管（硅雪崩二極管（SAZD）、）、氣體放電管（氣體放電管（GDT）、）、濾波器、電壓調整變壓器（濾波器、電壓調整變壓器（VRT）和不間斷電源和不間斷電源（UPS）等。等。第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術3緊急情況供電緊急

10、情況供電重要的計算機房應配置御防電壓不足（電源下跌）的設重要的計算機房應配置御防電壓不足（電源下跌）的設備，這種設備有如下兩種：備，這種設備有如下兩種：（1）UPS （2）應急電源）應急電源 4調整電壓和緊急開關調整電壓和緊急開關電源電壓波動超過設備安全操作允許的范圍時，需要進電源電壓波動超過設備安全操作允許的范圍時，需要進行電壓調整。允許波動的范圍通常在行電壓調整。允許波動的范圍通常在5%的范圍內。的范圍內。 返回本節返回本節第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.2.6接地與防雷接地與防雷1地線種類地線種類（1）保護地）保護地（2）直流地）直流地（3）屏蔽地）屏蔽地（4

11、）靜電地）靜電地（5）雷擊地）雷擊地第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2接地系統接地系統計算機房的接地系統是指計算機系統本身和場地計算機房的接地系統是指計算機系統本身和場地的各種接地的設計和具體實施。的各種接地的設計和具體實施。（1）各自獨立的接地系統）各自獨立的接地系統（2）交、直流分開的接地系統）交、直流分開的接地系統（3）共地接地系統）共地接地系統（4）直流地、保護地共用地線系統）直流地、保護地共用地線系統（5）建筑物內共地系統）建筑物內共地系統第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術3接地體接地體（1）地樁）地樁（2）水平柵網）水平柵網（3）金屬接

12、地板）金屬接地板（4）建筑物基礎鋼筋）建筑物基礎鋼筋第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術4防雷措施防雷措施 機房的外部防雷應使用接閃器、引下線和接地裝置，機房的外部防雷應使用接閃器、引下線和接地裝置，吸引雷電流，并為其泄放提供一條低阻值通道。吸引雷電流，并為其泄放提供一條低阻值通道。 機器設備應有專用地線，機房本身有避雷設施，設機器設備應有專用地線，機房本身有避雷設施，設備備(包括通信設備和電源設備包括通信設備和電源設備)有防雷擊的技術設施，機有防雷擊的技術設施，機房的內部防雷主要采取屏蔽、等電位連接、合理布線或房的內部防雷主要采取屏蔽、等電位連接、合理布線或防閃器、過電壓

13、保護等技術措施以及攔截、屏蔽、均壓、防閃器、過電壓保護等技術措施以及攔截、屏蔽、均壓、分流、接地等方法，達到防雷的目的。機房的設備本身分流、接地等方法，達到防雷的目的。機房的設備本身也應有避雷裝置和設施。也應有避雷裝置和設施。返回本節返回本節第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.2.7計算機場地的防火、防水措施計算機場地的防火、防水措施為避免火災、水災，應采取如下具體措施：為避免火災、水災，應采取如下具體措施：1隔離隔離 2火災報警系統火災報警系統 3滅火設施滅火設施 4管理措施管理措施 返回本節返回本節第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.3安全管

14、理安全管理2.3.1硬件資源的安全管理硬件資源的安全管理2.3.2信息資源的安全與管理信息資源的安全與管理2.3.3健全機構和崗位責任制健全機構和崗位責任制2.3.4完善的安全管理規章制度完善的安全管理規章制度返回本章首頁返回本章首頁第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.3.1硬件資源的安全管理硬件資源的安全管理1硬件設備的使用管理硬件設備的使用管理2常用硬件設備的維護和保養常用硬件設備的維護和保養返回本節返回本節第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.3.2信息資源的安全與管理信息資源的安全與管理1信息存儲的安全管理信息存儲的安全管理計算機處理的結果

15、（信息）要存儲在某種媒體上，常用計算機處理的結果（信息）要存儲在某種媒體上，常用的媒體有：磁盤、磁帶、打印紙、光盤。信息存儲的管的媒體有：磁盤、磁帶、打印紙、光盤。信息存儲的管理實際上就是對存放有信息的具體媒體的管理。理實際上就是對存放有信息的具體媒體的管理。2信息的使用管理信息的使用管理計算機中的信息是文字記錄、數據在計算機中的表示形計算機中的信息是文字記錄、數據在計算機中的表示形式，對它的安全控制關系到國家、集體、個人的安全利式，對它的安全控制關系到國家、集體、個人的安全利益。必須加強對信息的使用管理，防止非法使用。益。必須加強對信息的使用管理，防止非法使用。返回本節返回本節第二章實體安全

16、與硬件防護技術第二章實體安全與硬件防護技術2.3.3健全機構和崗位責任制健全機構和崗位責任制 計算機系統的安全問題是涉及整個系統、整計算機系統的安全問題是涉及整個系統、整個單位的大問題。一般來說，系統安全保密是由個單位的大問題。一般來說，系統安全保密是由單位主要領導負責，必要時設置專門機構，協助單位主要領導負責，必要時設置專門機構，協助主要領導管理。重要單位、要害部門的安全保密主要領導管理。重要單位、要害部門的安全保密工作應分別由安全、保密、保衛和技術部門分工工作應分別由安全、保密、保衛和技術部門分工負責。所有領導機構、重要計算機系統的安全組負責。所有領導機構、重要計算機系統的安全組織機構（包

17、括安全審查機構、安全決策機構、安織機構（包括安全審查機構、安全決策機構、安全管理機構）都要建立和健全各項規章制度。全管理機構）都要建立和健全各項規章制度。返回本節返回本節第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.3.4完善的安全管理規章制度完善的安全管理規章制度1系統運行維護管理制度系統運行維護管理制度 2計算機處理控制管理制度計算機處理控制管理制度 3文檔資料管理制度文檔資料管理制度 4操作人員及管理人員的管理制度操作人員及管理人員的管理制度 5計算機機房的安全管理規章制度計算機機房的安全管理規章制度 6其他的重要管理制度其他的重要管理制度 7詳細的工作手冊和工作記錄詳細的

18、工作手冊和工作記錄 返回本節返回本節第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.4電磁防護電磁防護1電磁干擾和電磁兼容電磁干擾和電磁兼容 電磁干擾可通過電磁輻射和傳導兩條途徑影響設備的工電磁干擾可通過電磁輻射和傳導兩條途徑影響設備的工作。作。 2計算機通過電磁發射引起的信息泄漏計算機通過電磁發射引起的信息泄漏 Tempest技術是綜合性很強的技術，包括泄漏信息的分技術是綜合性很強的技術，包括泄漏信息的分析、預測、接收、識別、復原、防護、測試、安全評估析、預測、接收、識別、復原、防護、測試、安全評估等項技術，涉及到多個學科領域。它基本上是在傳統的等項技術，涉及到多個學科領域。它基

19、本上是在傳統的電磁兼容理論的基礎上發展起來的，但比傳統的抑制電電磁兼容理論的基礎上發展起來的，但比傳統的抑制電磁干擾的要求要高得多，技術實現上也更復雜。磁干擾的要求要高得多，技術實現上也更復雜。 返回本章首頁返回本章首頁第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術3電磁防護的措施電磁防護的措施 目前主要防護措施有兩類：一類是對傳導發射的目前主要防護措施有兩類：一類是對傳導發射的防護，主要采取對電源線和信號線加裝性能良好防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合；的濾波器，減小傳輸阻抗和導線間的交叉耦合；另一類是對輻射的防護另一類是對輻射的防護

20、 ，為提高電子設備的抗為提高電子設備的抗干擾能力，除在芯片、部件上提高抗干擾能力外，干擾能力，除在芯片、部件上提高抗干擾能力外，主要的措施有屏蔽、隔離、濾波、吸波、接地等。主要的措施有屏蔽、隔離、濾波、吸波、接地等。其中屏蔽是應用最多的方法。其中屏蔽是應用最多的方法。返回本節返回本節第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.5硬件防護硬件防護2.5.1存儲器保護存儲器保護2.5.2虛擬存儲保護虛擬存儲保護2.5.3輸入輸入/輸出通道控制輸出通道控制返回本章首頁返回本章首頁第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.5.1存儲器保護存儲器保護 硬件是計算機系統的

21、基礎。硬件防護一般是硬件是計算機系統的基礎。硬件防護一般是指在計算機硬件（指在計算機硬件（CPU、存儲器、外設等）上采存儲器、外設等）上采取措施或通過增加硬件來防護。如計算機加鎖，取措施或通過增加硬件來防護。如計算機加鎖，加專門的信息保護卡（如防病毒卡、防拷貝卡），加專門的信息保護卡（如防病毒卡、防拷貝卡），加插座式的數據變換硬件（如安裝在并行口上的加插座式的數據變換硬件（如安裝在并行口上的加密狗等），輸入輸出通道控制，以及用界限加密狗等），輸入輸出通道控制，以及用界限寄存器對內存單元進行保護等措施。寄存器對內存單元進行保護等措施。第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術 界限

22、寄存器提供保護的方法簡單、可靠。由于界限界限寄存器提供保護的方法簡單、可靠。由于界限寄存器對用戶確定的存儲區域并不為用戶所知，因此，寄存器對用戶確定的存儲區域并不為用戶所知，因此，非法用戶即使可以進入系統，但由于界限寄存器的保護，非法用戶即使可以進入系統，但由于界限寄存器的保護，使它不知道要竊取信息的存放地點，并且它的活動范圍使它不知道要竊取信息的存放地點，并且它的活動范圍也只限于界限寄存器規定的范圍。這樣就保護了信息的也只限于界限寄存器規定的范圍。這樣就保護了信息的安全。界限寄存器原理如圖安全。界限寄存器原理如圖2.1所示。所示。 但是這種方法也有一定的局限。首先對大的系統，但是這種方法也有

23、一定的局限。首先對大的系統，特別是多重處理的系統，必須提供多對界限寄存器，因特別是多重處理的系統，必須提供多對界限寄存器，因為每次處理所調用的程序可能在不同的區域，這就勢必為每次處理所調用的程序可能在不同的區域，這就勢必增加界限寄存器的數量，增加開銷。如果寄存器數量不增加界限寄存器的數量，增加開銷。如果寄存器數量不夠，則要不斷更新內容，使系統的處理速度降低。夠，則要不斷更新內容，使系統的處理速度降低。第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術 E D C B A 操作系統 20000 存儲器 B1 30000 存儲器 B2 內存區 80000 65000 60000 50000 20000 10000 00000 圖圖2.1界限寄存器原理界限寄存器原理返回本節返回本節第二章實體安全與硬件防護技術第二章實體安全與硬件防護技術2.5.2虛擬存儲保護虛擬存儲保護 虛擬存儲是操作系統中的策略。當多用戶共享資源虛擬存儲是操作系統中的策略。當多用戶共享資源時，為合理分配內存、外存空間，設置一個比內存大得時，為合理分配內存、外存空間，設置一個比內存大得多的虛擬存儲器。用戶程序和數據只是在需要時，才通多的虛擬存儲器。用戶程序和數據只是在需要時，才通過動態地址翻譯并調到內存（實存）中，供過動態地址翻譯并調到內存（實存）中，供CPU調用，調用，用后