广东省大学生实验室安全与环保知识竞赛信息安全

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,2011,年广东省大学生实验室安全与环保知识竞赛,计算机信息安全,1,竞赛内容,防火防爆,危险化学品的安全使用及防护,实验室生物安全与防护,电气安全与防护,放射性安全与防护,计算机信息安全,三废处理,验室安全事故的紧急处理与救援,食品安全,2,计算机信息系统安全,计算机信息系统,，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。,计算机信息系统的安全保护,，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。,计算机信息系统安全包括,人的安全,、,实体安全,、,信息安全,、,运行安全,。,3,信息安全竞赛主要内容,信息安全包括3 个方面:,安全法规,安全管理,安全技术,信息安全法律法规,信息安全物理安全,日常安全意识,4,刑法的规定（1）,刑法（1997年3月14日修订）第285、第286条分别规定了非法入侵计算机信息系统罪和破坏计算机信息系统罪，共两条四款。,第285条 违反国家规定，,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,，处三年以下有期徒刑或者拘役。,5,刑法的规定（2）,第286条 违反国家规定，对,计算机信息系统功能,进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。,违反国家规定，对计算机信息系统中,存储、处理或者传输的数据和应用程序,进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。,故意制作、传播计算机病毒,等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。,6,问题,近年来，计算机犯罪的特点已经超越了刑法第285和286条标注的范围。主要是通过，技术手段非法侵入,法律规定以外,的计算机信息系统，窃取他人账号、密码、虚拟财产（如 游戏装备）等信息，或者对大范围的他人计算机实施非法控制（如 僵尸网络）。,这些犯罪行为，都超出了285和286条管辖的范围，刑法原有的规定使司法机关在打击“黑客”犯罪时面临法律困扰。,7,刑法修正案（1）,2009年2月28日上午，十一届全国人大常委会第七次会议在北京人民大会堂举行闭幕会，以161票赞成、4票弃权表决通过中华人民共和国刑法修正案(七)。,对于惩治网络“黑客”的违法犯罪行为，刑法增加了相关条款,8,刑法修正案（2）,（第二款、第三款）：,违反国家规定，,侵入前款规定以外,的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中,存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制,，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。,9,刑法修正案（3）,鉴于之前所述情况，刑法修正案（七）在刑法第285条中增加两款（第二款、第三款）：,提供专门用于侵入、非法控制计算机信息系统的程序、工具,，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。,10,修订带来的变化（1）,1、范畴变化。,对于军事、金融、政府以外的计算机系统,，发生的计算机犯罪进行了界定，尤其是明确刑罚的内容。对于保护商业企业的计算机信息系统，尤为重要。,2、刑罚变化。对于计算机犯罪的惩处量刑出现变化，比以前实施更大的惩罚力度。（,处三年以上七年以下有期徒刑,）,11,修订带来的变化（2）,3、内容变化。,（1）在内容上与时俱进，兼顾了对新型计算机犯罪行为的界定和内容描述。关注点从以前的关注入侵，转到新型犯罪行为的描述。,（2）对提供黑客工具，编写黑客工具行为，界定为违法行为。,总体看这次刑法的变更，解决了长期以来“计算机（互联网）犯罪成本”的问题，为行政司法处罚提供了依据。,12,计算机信息网络国际联网安全保护管理办法,第五条 任何单位和个人不得利用国际联网,制作、复制、,查阅,和传播,下列信息：,（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；,第二十条 违反法律、行政法规，有本办法,第五条、第六条所列行为之一的，,由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款,13,信息安全法律法规,14,信息安全竞赛主要内容,信息安全法律法规,信息安全物理安全,日常安全意识,15,信息安全物理安全,物理安全（Physical Security）是保护计算机设备、设施（含网络）免遭,地震,、,水灾,、,火灾,、,有害气体,和其他环境事故（如,电磁干扰,等）破坏的措施和过程，也称实体安全。,物理安全内容,环境安全,物理隔离,电磁防护,16,环境安全,计算机网络通信系统的运行环境应按照国家有关标准设计实施，应具备,消防报警,、,安全照明,、,不间断供电,、,温湿度控制系统和防盗报警,，以保护系统免受水、火、有害气体、地震、静电的危害。,17,计算机房场地的安全要求（1）,应对计算机及其网络系统的实体访问进行控制。,计算机房的设计应考虑,减少无关人员进入机房的机会,。,所有进出计算机房的人都必须通过管理人员控制的地点。特殊需要进入控制区的，,应办理手续,。每个访问者和带入、带出的物品都应接受检查。,同时，计算机房应避免靠近公共区域，,避免窗户直接邻街,，应安排机房在内（室内靠中央位置），辅助工作区域在外（室内周边位置）。,在一个高大的建筑内，计算机房最好,不要建在潮湿的底层，也尽量避免建在顶层,，因顶层可能会有漏雨和雷电穿窗而入的危险。在有多个办公室的楼层内，计算机机房应至少占据半层，或靠近一边。这样既便于防护，又利于发生火警时的撤离。,18,计算机房场地的安全要求（2）,电梯和楼梯不能直接进入机房。,建筑物周围应有足够亮度的照明设施和防止非法进入的设施。,外部容易接近的进出口应有栅栏或监控措施，而周边应有物理屏障（隔墙、带刺铁丝网等）和监视报警系统，窗口应采取防范措施，必要时安装自动报警设备。,机房进出口须设置应急电话。,机房供电系统应将动力照明用电与计算机系统供电线路分开，机房及疏散通道应配备应急照明装置。,计算机中心周围,100m内不能有危险建筑物。,进出机房时要更衣、换鞋，机房的门窗在建造时应考虑封闭性能。,照明应达到规定标准。,19,设备防盗措施,早期的防盗，采取,增加质量和胶粘,的方法。之后又出现了将设备与固定底盘用锁连接。现在某些便携机也采用机壳加锁扣的方法。,国外一家公司发明了,一种光纤电缆,保护设备。这种方法是将光纤电缆连接到每台重要的设备上，光束沿光纤传输，如果通道受阻，则报警。,一种更方便的防护措施类似于图书馆、超级市场使用的保护系统。每台重要的设备、每个重要存储媒体和硬件贴上特殊标签（如,磁性标签,），一旦被盗或未被授权携带外出，检测器就会发出报警信号。,视频监视系统,是一种更为可靠的防护设备，能对系统运行的外围环境、操作环境实施监控（视）。对重要的机房，还应采取特别的防盗措施，如值班守卫，出入口安装金属防护装置，如安全门、防护窗户。,20,机房的三度要求,机房内的,空调系统、去湿机、除尘器,是保证计算机系统正常运行的重要设备之一。通过这三种设备使机房的三度要求：温度、湿度和洁净度得到保证，,温度：机房温度一般应控制在,1822,，即（202）。温度过低会导致硬盘无法启动，过高会使元器件性能发生变化，耐压降低，导致不能工作。,湿度：相对湿度过高会使电气部分绝缘性降低，加速金属器件的腐蚀，引起绝缘性能下降；而相对湿度过低、过于干燥会导致计算机中某些器件龟裂，印刷电路板变形，特别是静电感应增加，使计算机内信息丢失、损坏芯片，对计算机带来严重危害。机房内的相对湿度一般控制在,40%60,为好，即（5010）。,洁净度：清洁度要求机房尘埃颗粒直径小于0.5，平均每升空气含尘量小于1万颗。灰尘会造成接插件的,接触不良,、发热元件的,散热效率降低,、绝缘破坏，甚至造成击穿；灰尘还会,增加机械磨损,，尤其对驱动器和盘片。,21,防静电措施,静电是由物体间的相互磨擦、接触而产生的。静电产生后，由于它不能泄放而保留在物体内，产生很高的电位（能量不大），而静电放电时发生火花，造成火灾或损坏芯片。,计算机,信息系统的,各个关键电路,，诸如CPU、ROM、RAM等大都采用MOS工艺的大规模集成电路，,对静电极为敏感,，容易因静电而损坏。这种损坏可能是不知不觉造成的。,机房内一般应采用乙烯材料装修，避免使用挂毯、地毯等吸尘、容易产生静电的材料。为了防静电机房一般,安装防静电地板,，并将地板和设备接地以便将物体积聚的静电迅速排泄到大地。机房内的专用工作台或重要的操作台应有接地平板。此外，,工作人员的服装和鞋,最好用低阻值的材料制作，机房内应保持一定湿度，在北方干燥季节应适当加湿，以免因干燥而产生静电。,22,电源,电源是计算机网络系统正常工作的重要因素。供电设备容量应有一定的富裕量，所提供的功率一般应是全部设备负载的,125,。计算机房设备最好是采取,专线供电,，应与其他电感设备（如马达），以及空调、照明、动力等分开；至少应从变压器单独输出一路给计算机使用。,为保证设备用电质量和用电安全，电源应至少有两路供电，并应有自动转换开关，当一路供电有问题时，可迅速切换到,备用线路,供电。应安装,备用电源,，如长时间不间断电源（UPS），停电后可供电8小时或更长时间。关键的设备应有备用发电机组和应急电源。同时为防止、限制瞬态过压和引导浪涌电流，应配备,电涌保护器（过压保护器）,。为防止保护器的老化、寿命终止或雷击时造成的短路，在电涌保护器的前端应有诸如熔断器等过电流保护装置。,23,接地,接地是指系统中各处电位均以大地为参考点,地线种类,保护地,：,计算机系统内的所有电气设备，包括辅助设备，外壳均应接地。保护地一般是为,大电流泄放,而接地。机房内保护地的接地电阻,4,。,直流地,，又称逻辑地，是计算机系统的逻辑参考地，即计算机中数字电路的低电位参考地。直流地的接地电阻一般要求,2,屏蔽地,：,为避免信息处理设备的电磁干扰，防止电磁信息泄漏，重要的设备和重要的机房要采取屏蔽措施，即用金属体来屏蔽设备和整个机房。一般屏蔽地的接地电阻要求,4。,静电地,：,机房内人体本身、人体在机房内的运动、设备的运行等均可能产生静电。将地板金属基体与地线相连，以使设备运行中产生的静电随时泄放掉。,雷击地,：,雷电具有很大的能量，雷击产生的瞬态电压可高达,10MV以上。单独建设的机房或机房所在的建筑物，必须设置专门的雷击保护地（简称雷击地），以防雷击产生的设备和人身事故。,24,接地体,通常采用的接地体有地桩、水平栅网、金属板、建筑物基础钢筋等。,地桩,：垂直打入地下的接地金属棒或金属管，是常用的接地体。它用在土壤层超过3m厚的地方。金属棒的材料为钢或铜，直径一般应为15mm以上。为防止腐蚀、增大接触面积并承受打击力，地桩通常采用较粗的镀锌钢管。,水平栅网,：在土质情况较差，特别是岩层接近地表面无法打桩的情况下，可采用水平埋设金属条带、电缆的方法。金属条带应埋在地下0.5m1m深处，水平方向构成星形或栅格网形，在每个交叉处，条带应焊接在一起，且带间距离1m。保持水分和增加化学盐分的方法。,金属接地板,：将金属板与地面垂直埋在地下，与土壤形成至少0.2m2的双面接触。深度要求在永久性潮土壤以下30cm，一般至少在地下埋1.5m深。金属板的材料通常为铜板，也可分为铁板或钢板。,建筑物基础钢筋,：发展方向,25,防雷措施,机房外部,防雷应使用接闪器、引下线和接地装置，吸引雷电流，并为其泄放提供一条低阻值通道。,机房内部,防雷主要采取屏蔽、等电位连接、合理布线或,防闪器,、过电压保护等技术措施以及拦截、,屏蔽,、均压、分流、,接地,等方法，达到防雷的目的。,机房的设备本身也应有避雷装置和设施,。,26,计算机场地的防火措施,火灾：电气原因、人为事故、外部火灾蔓延,隔离,：建筑内的计算机房四周应设计一个隔离带，以使外部的火灾至少可隔离一个小时。,防火门,火灾报警系统,：在火灾初期就能检测到并及时发出警报。火灾报警系统按传感器的不同，分为,烟报警,和,温度报警,两种类型。CO报警器,灭火设施,：灭火器如自动喷水、气体灭火器等 ；灭火工具及辅助设备如液压千斤顶、手提式锯、铁锨、镐、榔头、应急灯等。,避免二次破坏！,管理措施,：机房应有应急计划及相关制度，要严格执行计算机房环境和设备维护的各项规章制度，加强对火灾隐患部位的检查。如电源线路要经常检查是否有短路处，防止出现火花引起火灾。要制定灭火的应急计划并对所属人员进行培训。,27,物理隔离,物理隔离技术就是把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网络间数据的安全交换。,我国,2000年1月1日起实施的计算机信息系统国际联网保密管理规定第二章第六条规定，“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连接，,必须实行物理隔离,”。因此，“物理隔离技术”应运而生。,物理隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，,完成网间数据的安全交换,。物理隔离技术是在原有安全技术的基础上发展起来的、一种全新的安全防护技术。,28,物理隔离的安全要求,在,物理传导,上使内外网络隔断，确保外部网不能通过网络连接而侵入内部网；同时防止内部网信息通过网络连接泄漏到外部网。,在,物理辐射,上隔断内部网与外部网，确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。,在,物理存储,上隔断两个网络环境，对于断电后会遗失信息的部件，如内存、处理器等暂存部件，要在网络转换时作清除处理，防止残留信息出网；对于断电非遗失性设备如磁带机、硬盘等存储设备，内部网与外部网信息要分开存储。,29,物理隔离技术的发展历程（1）,第一阶段,彻底的物理隔离,各个专用网络自成体系，网络为信息孤岛。,技术：,物理隔离卡,：不依赖于操作系统,安全隔离计算机,: 内外网切换功能植入BIOS中,隔离集线器（交换机）,：依据数据包包头标记信息,所产生的网络隔离，是彻底的物理隔离，两个网络之间没有信息交流，所以也就可以抵御所有的网络攻击，它们适用于一台终端（或一个用户）需要,分时访问,两个不同的、物理隔离的网络的应用环境。,30,物理隔离技术的发展历程（2）,第二阶段,协议隔离（Protocol Isolation）,满足适度信息交换要求的隔离，即更高安全要求的网络连接。,eg. 数据转播隔离系统：分时复制文件,协议隔离是采用,专用协议（非公共协议）,来对两个网络进行隔离，并在此基础上实现两个网络之间的信息交换，,链路层上是互通的,。协议隔离技术由于存在直接的物理和逻辑连接，仍然是,数据包的转发,，一些攻击依然出现。,31,物理隔离技术的发展历程（3）,第三阶段,物理隔离,网闸,技术,(Gap Technology),能够实现高速的网络隔离，高效的内外网数据交换，且应用支持做到全透明。它创建一个这样的环境：内、外网络,在物理上断开，但却逻辑地相连,，通过,分时操作,来实现两个网络之间更安全的信息交换。,使用带有多种控制功能的固态开关读写介质，实现数据文件的无协议摆渡。,纯数据交换,。,32,物理隔离技术对比,技术手段,优,点,缺,点,典型产品,彻底的,物理隔离,能够抵御所有的网络攻击,两个网络之间,没有信息交流,联想网御物理隔离卡、开天双网安全电脑以及伟思网络安全隔离集线器,协议隔离,能抵御基于,TCP/IP,协议的网络扫描与攻击等行为,有些攻击,可穿越网络,京泰安全信息交流系统,2.0,、东方,DF-NS310,物理隔离网关,物理隔离,网闸,不但实现了高速的数据交换，还有效地杜绝了基于网络的攻击行为,应用种类,受到限制,伟思,ViGAP,、天行安全隔离网闸,(TopWalk-GAP),和联想网御,SIS3000,系列安全隔离网闸,33,电磁防护,计算机及网络系统和其它电子设备一样，工作时要产生电磁发射，电磁发射可被高灵敏度的接收设备接收并进行分析、还原，造成,系统信息泄漏,。另一方面，计算机及网络系统又处在复杂的,电磁干扰,的环境中，这种电磁干扰有时很强（如电子战中的强电磁干扰或核辐射脉冲干扰），使计算机及网络系统不能正常工作，甚至被摧毁。,电磁防护的主要目的是通过屏蔽、隔离、滤波、吸波、接地等措施，提高计算机及网络系统、其它电子设备的抗干扰能力，使之能,抵抗强电磁干扰,；同时将计算机的,电磁泄漏发射降到最低,。从而在未来的电子战、信息战中、商战中立于不败之地。,计算机电磁辐射的危害：,电磁干扰和信息泄露,34,电磁防护的措施,目前主要防护措施有两类：一类是,对传导发射的防护,，主要采取对电源线和信号线,加装性能良好的滤波器,，减小传输阻抗和导线间的交叉耦合；另一类是,对辐射的防护,，这类防护措施又可分为以下两种：,一种是采用各种电磁屏蔽措施,，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；,第二种是干扰的防护措施,，即在计算机系统工作的同时，利用,干扰装置,产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。,为提高电子设备的抗干扰能力，除在芯片、部件上提高抗干扰能力外，主要的措施有,屏蔽、隔离、滤波、吸波、接地,等。其中屏蔽是应用最多的方法。,35,信息泄漏防护技术,TEMPEST技术,抑制信息处理设备的噪声泄露技术。,它是综合性的技术，包括泄漏信息的分析、预测、接收、识别、复原、防护、测试、安全评估等多项技术，涉及到多个学科领域。它基本上是在传统的电磁兼容理论基础上发展起来的，但比传统的抑制电磁干扰的要求要高得多，技术实现上也更为复杂。抑制和防止电磁泄漏现已成为物理安全策略的一个主要问题。,36,TEMPEST技术主要采用的技术措施,利用噪声干扰源,采用屏蔽技术,“红”“黑”隔离,滤波技术,布线与元器件选择,37,计算机机房安全要求,表中符号说明：要求，：有要求或增加要求。,38,信息安全竞赛主要内容,信息安全法律法规,信息安全物理安全,日常安全意识,39,常见信息安全换习惯（解决办法）,计算机登录密码不设置或者自动登录,可以将服务器加入AD，AD集中部署策略,Administrator密码为空,密码设置满足复杂度要求,电脑右下角补丁更新不理会,定期抽查,离开座位不及时锁屏,制度强制离开座位时锁屏,40,常见信息安全换习惯（解决办法）,由于经常不记住密码，把密码写到本子上或者桌面的文件里,安全意识持续培训，强制使用AD域，用户登录，管理员重置,不及时取走打印的文档,安全意识持续培训,废弃纸质文档不用碎纸机粉碎,安全意识持续培训，安全提醒,硬盘报废时候不消磁,强制制定制度，明确各部门职责,41,6个安全小贴士,不应该未锁屏就离开正在工作中的计算机,输入的密码应该以加密形式显示,警惕未授权人员通过后门进入安全保密区域,适当的保护你掌上所承载的敏感信息,通报最新攻击、病毒、扫描等疫情，并立即采取防护措施,使用网络安全设备保护你的计算机，阻止信息被盗。,42,信息安全口诀（一）,密码设全，文件收好,外出锁屏，下班关机,常打补丁，定期杀毒,版权保护，法不容情,便携设备，注意监护,网络内外，品行一致,执行制度，贵在坚持,信息安全，人人有责,43,信息安全口诀（二）,人走机锁文件收，工号密码自己留,秘密不问也不听，听到只能所心里,数据不传也不存，用时早早来申请,文件邮件设密级，信息保密要申明,秘密经手托保存，安全常常记心间,终端入网别忘记，拿好地址来登录,工号权限要审批，机房出入需批准,工作里面常留意，安全隐患快说明,44,