资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第5章,物理与环境安全技术,第5章,物理与环境安全技术,5.1 物理安全概述,5.2 物理安全常见方法,5.3 网络机房安全,5.4 网络通信安全,5.5 存储介质安全,5.6 本章小结,本章思考与练习,5.1,物理安全概述,物理安全也称实体安全,是指包括环境、设备和记录介质在内的全部支持信息系统运行的硬件的总体安全,是网络系统安全、牢靠、不连续运行的根本保证,并且确保在对网上信息进展加工处理、公众效劳、决策支持过程中,不致因设备、介质和环境条件受到人为和自然因素的危害,而引起网上信息丧失、泄露或破坏。因此,必需实行肯定的爱护措施,实现网络系统物理安全,防止威逼发生。物理安全威逼可以分为两大类,即自然威逼和人为威逼。各种物理安全威逼如图5-1所示。,图5-1 物理威逼示范图,目前,物理安全防范日益重要,特殊是对于大型数据中心和网络系统的安全防范。为此,国家针对物理安全防范需求,制定了具体的技术标准,主要有:,*GB5017393电子计算机机房设计标准;,*计算机站场地技术条件;,*GB936188计算机站场安全要求;,*计算机信息系统安全通用技术标准。,5.2,物理安全常见方法,5.2.1 防火,火灾是网络机房比较普遍的、危害较大的灾难之一。火灾的缘由主要有:电线破损、电气短路、抽烟失误、蓄意放火、接线错误、外部火情集中到机房内,以及技术上或治理上的缘由等。通常应实行以下的防火措施:,(1)消退火灾隐患。,(2)设置火灾报警系统。,(3)配置灭火设备。,(4)加强防火治理和操作标准。,5.2.2 防水,水灾不仅会浸泡电缆,破坏绝缘,而且会导致计算机设备短路或损坏,为此应实行肯定的防护措施:,(1)机房内不得铺设水管和蒸汽管道。,(2)机房墙壁、天花板、地面应有防水、防潮性能。,(3)通有水管的地方应设置止水阀和排水沟。,(4)不要把机房设置在楼房底层或地下室,以防水浸蚀或受潮。,(5)如有通往机房的电缆沟,要防止下雨时电缆沟进水漫到机房。通往机房地沟的墙壁和地面应能防水渗透。,5.2.3 防震,震惊对网络设备会造成不同程度的损坏,特殊是一些高速运转的设备。因此,防震也是爱护网络设备的重要措施之一。通常防震的安全措施有:,(1)网络机房所在的建筑物应具有抗地震力量。,(2)网络机柜和设备要固定牢靠,并安装防震装置。,(3)加强安全操作治理,例如制止搬动在线运行的网络设备。,5.2.4 防盗,当网络系统设备被盗时,损失难以估量,有的能造成系统瘫痪。因此,防盗是网络系统物理安全防护的又一个重要内容。通常实行的防盗措施主要有:,(1)设置报警器。,(2)锁定装置。,(3)摄像监控。,(4)严格物理访问掌握。,5.2.5 防鼠虫害,鼠虫害也是造成设备故障的因素之一,其主要危害是窜入机房内的鼠虫会咬坏电缆或引起电源短路。据日本IECC对该国2023个用户的调查,在计算机事故中,10%是由鼠害造成的。其受害状况如下:,(1)啃食电缆,造成漏电、电源短路。,(2)筑窝、排粪,造成断线、短路,部件腐蚀,接触不良。,解决鼠虫害的方法有:,(1)尽量削减不必要的洞口或用后予以堵塞,封堵鼠虫出口洞口。,(2)在机房中可利用超声波驱鼠,或设置一些捕鼠器械。,(3)投放杀鼠药物,或在电缆上涂上环己基类防鼠剂。,(4)还可在电缆外施加毒饵,以消灭鼠虫。,5.2.6 防雷,雷击对网络设备以及网络运行有着直接的影响,雷击有时会损害网络设备,中断网络通信。因此,防雷是网络物理安全的重要内容之一。常见的防雷措施有三种:,(1)在网络设备所处的环境中安装避雷针。,(2)网络设备安全接地,并将该“地线”连通机房的地线网,以确保其安全爱护作用。,(3)对重要网络设备安装专用防雷设施。,5.2.7 防电磁,电磁辐射危急不仅会造成设备无法运行,而且还会引起信息的泄露。因此,电磁防护包含两个方面的内容:一是防止电磁干扰网络设备的正常运行;二是防止信息通过电磁泄露。一般电磁防护的安全措施有:,(1)承受接地的方法,防止外界电磁干扰和设备寄生耦合干扰。,(2)承受屏蔽的方法,对信号线、重要设备进展电磁屏蔽,削减外部电器设备的瞬间干扰,防止电磁信号的泄露。,(3)选择适宜场地,远离电磁干扰源。,5.2.8 防静电,为了防止静电损坏网络设备,通常应实行以下的安全措施:,(1)人员服装承受不易产生静电的衣料,工作鞋选用低阻值材料制作。,(2)掌握机房温、湿度,使其保持在不易产生静电的范围内。,(3)机房地板从地板外表到接地系统的阻值,应能保证防止人身触电和产生静电。,(4)机房中使用的各种工作台、柜等,应选择产生静电小的材料。,(5)在进展网络设备操作时,应戴防静电手套。,5.2.9 安全供电,电源直接影响着网络系统的牢靠运转,造成电源不行靠的因素有电压瞬变、瞬时停电和电压缺乏等。为了确保网络不连续运行,通常应实行下面的安全措施:,(1)专用供电线路。重要的网络设备、效劳器使用专用供电线路,避开干扰。,(2)不连续电源(UPS)。使用UPS为网络中的重要设备供电,不仅能解决停电问题,而且能应对各种瞬变、噪声、电压下降。但是,UPS蓄电池的供电时间有限,不能长时间供电。,(3)备用发电机。在发生长时间的断电,而网络必需运转时,应启动备用发电机。,5.3,网络机房安全,5.3.1 网络机房安全等级,网络机房中的实体是由电子设备、机电设备和光磁材料组成的简单的系统。这些设备的牢靠性和安全性与环境条件有着亲密的关系。假设环境条件不能满足设备对环境的使用要求,就会降低计算机、网络设备的牢靠性和安全性,轻则造成数据或程序出错、损坏,重则会加速元器件老化,缩短机器寿命,或发生故障使系统不能正常运行,严峻时还会危害设备和人员的安全。依据GB936188,计算机机房分为A、B、C三个根本安全等级,下面分别介绍各级的特点和指标。,A级:对计算机机房的安全有严格的要求,有完善的计算机机房安全设施。也就是把具有最高安全性和牢靠性的系统及其设备应实施的内容和条件规定为A级机房。,B级:对计算机机房安全有严格的要求,有较完善的计算机机房安全设施。它介于A级和C级之间。,C级:对计算机机房的安全有根本的要求,有根本的计算机机房安全设施,即为确保系统做一般运行而要求的最低限度的安全性和牢靠性所实施的内容及其条件。,不同等级的计算机机房安全指标要求如表5-1所示,其中:“”表示无要求;“”表示有要求或增加要求;“”表示要求与前级一样。有关计算机机房的安全级别的具体要求,可参阅GB936188计算机站场安全要求。,表,5-1 GB9361,88,机房安全等级要求,5.3.2,网络机房场地选择,1环境安全性,(1)为了防止计算机机房遭到四周不利环境的意外侵害,应尽量避开将机房建在易燃易爆的场所,如化工库、油料库、液化气站或煤气站等火源四周。,(2)应避开环境污染区,如化工污染区和有毒气体、腐蚀性气体污染区及尘埃较多的区域,如石灰厂、水泥厂、矿山等四周。,(3)应避开盐雾区,如靠近海的区域或产盐区。,(4)应避开落雷区域。,2地质牢靠性,(1)不要建在杂填土、淤泥、流砂层以及地层断裂的地质区域上。,(2)建在山区的计算机机房,应避开滑坡、泥石流、雪崩、溶洞等地质不牢靠的区域。,(3)建在矿区的计算机机房,应避开采矿崩落区地段,也应避开有开采价值的矿区。,(4)应避开低洼、潮湿区域。,3场地抗电磁干扰性,(1)应避开或远离无线电干扰源和微波线路的强电磁场干扰场所,如播送电视放射台、雷达站。依据国标GB288782计算机场地条件,机房四周的无线电干扰应小于126 dB(0.15500 MHz),磁场强度应小于800 A/m(相当于高斯制的10 Oe)。150 kW播送电视放射台在1000 m以外,根本上可以避开电磁场干扰。,(2)应避开强电流冲击和强电磁场干扰的场所,如离开电气化铁路、高压传输线、高频炉、大电机、大功率开关等设备200 m以上。,4应避开强振动源和强噪声源,(1)应避开振动源,如冲床、锻床、爆炸成形的场所。,(2)应避开机场、火车站和车辆往来比较频繁的区域以及建筑工地、影剧院及其他噪声区。,(3)应远离主要通道,并避开机房窗户直接邻街。,5机房应避开设在建筑物的高层以及用水设备的下层或隔壁,计算机机房应选用专用的建筑物。假设机房是大楼的一局部,应选用二层为宜,一层作为动力、配电、空调间等。同时,应尽量选择电力、水源充分,环境清洁,交通和通信便利的地方。此外,进展机房场地选择时,还要同时考虑计算机的功能与要求。对于机要部门信息系统的机房,还应考虑机房中的信息射频不易泄露和被窃取。在机房场地的选择中,假设不能避开上述不利因素,则应实行相应的防护措施。,5.3.3 网络机房组成,机房的组成是依据计算机系统的性质、任务、业务量大小、所选用计算机设备的类型以及计算机对供电、空调、空间等方面的要求和治理体制而确定的。依据计算机场地技术要求(GB288782)的规定,计算机机房一般应由主机房、生产用房、帮助用房和办公用房四局部组成,各局部的用途如下:,(1)主机房:用以安装主机及其外部设备。,(2)生产用房:包括用户工作室、终端室、数据录入室、维护技术室(分软件维护组和硬件维护组)、修理工作室等。,(3)帮助用房:包括电源、空调、消防、器材、库房(存放零备件、记录介质、消耗材料和维护工具、设备等)、卫生间等。,(4)办公用房:包括主任室、调度室、会计室、值班室等。,5.4,网络通信安全,通信是网络系统中各节点信息交换的根底,因此,通信的安全直接影响到网络系统的正常运行。目前,为了实现网络通信安全,一般从两个方面实行安全措施,一是网络通信设备,二是网络通信线路。对于重要的核心网络通信设备,例如路由器、交换机,为了防止这些核心设备消失单点安全故障,一般实行设备冗余措施,即设备之间进展相互备份。而对于通信线路的安全措施也是实行多路通信方式,例如网络的连接可以通过DDN专线和 线。某ISP的网络拓扑构造如图5-2所示。由图可知,该ISP在网络通信上实行了冗余解决方法,首先是核心的交换机器和路由器都实现了穿插互连;其次,ISP与外部网络的连接有两个出口。,图5-2 某ISP网络拓扑构造图,5.5,存储介质安全,(1)强化安全治理:,*设有特地区域用于存放介质,并有专人负责保管维护。,*有关介质借用,必需办理审批和登记手续。,*介质分类存放,重要数据应进展复制备份两份以上,分开备份,以备不时之需。,*对敏感和重要数据及关键数据,应实行贴密封条或其他安全有效措施,防止被非法拷贝。,*报废的光盘、磁盘、磁带、硬盘、移动盘必需按规定程序完全消退敏感数据信息。,(2)数据加密保存。系统中有很高使用价值或很高机密程度的重要数据,应承受加密等方法进展爱护。目前,Windows 2023支持加密文件系统。,(3)磁盘阵列。,(4)存储网络SAN。SAN能够实现高性能、远距离的传输,从而到达高速、异地容灾的目的。,5.6,本,章,小,结,物理安全是网络系统安全、牢靠、不连续运行的根底。本章首先引入了物理安全的概念。然后围绕物理安全的需求,分别介绍了网络物理安全常见方法、网络机房安全的、网络通信安全及存储介质安全。,本章思考与练习,1什么是物理安全?物理威逼有哪几种?,2网络物理安全包含哪些内容?,3在GB936188标准中,计算机机房的安全等级是如何划分的?各级的技术要求是什么?,4如何做到安全供电?,5如何实现网络通信安全?,6假设要建立一个数据中心,应实行哪些安全措施?,7如何构建一个物理安全的网络机房?,8阅读有关物理安全的国家技术标准。,
展开阅读全文