课程熟悉信息安全技术

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,第一章熟悉信息安全技术,杨国信,第,1,章,熟悉信息安全技术,信息安全是指信息网络的硬件、软件及系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改或泄露，系统连续可靠正常地运行，使信息服务不中断。熟悉信息安全技术，应该了解信息安全技术的网络支持环境、了解信息系统的物理安全、操作系统的系统管理与安全设置等内容。,第,1,章,熟悉信息安全技术,1.1,信息安全技术的计算环境,1.2,信息系统的物理安全,1.3 Windows,系统管理与安全设置,1.1,信息安全技术的计算环境,信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都属于信息安全的研究领域。,1.1,信息安全技术的计算环境,如今，基于网络的信息安全技术也是未来信息安全技术发展的重要方向。由于因特网,(Internet),是一个全开放的信息系统，窃密和反窃密、破坏与反破坏广泛存在于个人、集团甚至国家之间，资源共享和信息安全一直作为一对矛盾体而存在着，网络资源共享的进一步加强以及随之而来的信息安全问题也日益突出。,1.1.1,信息安全的目标,无论是在计算机上存储、处理和应用，还是在通信网络上传输，信息都可能被非授权访问而导致泄密，被篡改破坏而导致不完整，被冒充替换而导致否认，也有可能被阻塞拦截而导致无法存取。这些破坏可能是有意的，如黑客攻击、病毒感染；也可能是无意的，如误操作、程序错误等。因此，普遍认为，信息安全的目标应该是保护信息的机密性、完整性、可用性、可控性和不可抵赖性,(,即信息安全的五大特性,),。,1.1.1,信息安全的目标,1.,机密性,机密性是指保证信息不被非授权访问，即使非授权用户得到信息也无法知晓信息的内容，因而不能使用。,2.,完整性,完整性是指维护信息的一致性，即在信息生成、传输、存储和使用过程中不发生人为或非人为的非授权篡改。,1.1.1,信息安全的目标,3.,可用性,可用性是指授权用户在需要时能不受其他因素的影响，方便地使用所需信息。这一目标是对信息系统的总体可靠性要求。,4.,可控性,可控性是指信息在整个生命周期内部可由合法拥有者加以安全的控制。,1.1.1,信息安全的目标,5.,不可抵赖性,不可抵赖性是指保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为。,1.1.1,信息安全的目标,事实上，安全是,种意识，一个过程，而不仅仅是某种技术。进入,21,世纪后，信息安全的理念发生了巨大的变化，从不惜一切代价把入侵者阻挡在系统之外的防御思想，开始转变为预防,-,检测,-,攻击响应,-,恢复相结合的思想，出现了,PDRR (Protect/ Detect/React,响应,/Restore),等网络动态防御体系模型,(,见图,1.1),。,图,1.1,信息,安,安全,的,的,PDRR,模型,信息安全,的,的目标,PDRR,倡导一种,综,综合的安,全,全解决方,法,法，即：,针,针对信息,的,的生存周,期,期，以“,信,信息保障,”,”模型作,为,为信息安,全,全的目标,，,，以信息,的,的保护技,术,术、信息,使,使用中的,检,检测技术,、,、信息受,影,影响或攻,击,击时的响,应,应技术和,受,受损后的,恢,恢复技术,作,作为系统,模,模型的主,要,要组成元,素,素，在设,计,计信息系,统,统的安全,方,方案时，,综,综合使用,多,多种技术,和,和方法，,以,以取得系,统,统整体的,安,安全性。,信息安全,的,的目标,PDRR,模型强调,的,的是自动,故,故障恢复,能,能力，把,信,信息的安,全,全保护作,为,为基础，,将,将保护视,为,为活动过,程,程，用检,测,测手段来,发,发现安全,漏,漏洞，及,时,时更正；,同,同时采用,应,应急响应,措,措施对付,各,各种入侵,；,；在系统,被,被入侵后,，,，采取相,应,应的措施,将,将系统恢,复,复到正常,状,状态，使,信,信息的安,全,全得到全,方,方位的保,障,障。,信息安全,技,技术发展,的,的四大趋,势,势,信息安全,技,技术的发,展,展，主要,呈,呈现四大,趋,趋势，即,可,可信化、,网,网络化、,标,标准化和,集,集成化。,信息安全,技,技术发展,的,的四大趋,势,势,1.,可信化,可信化是,指,指从传统,计,计算机安,全,全理念过,渡,渡到以可,信,信计算理,念,念为核心,的,的计算机,安,安全。面,对,对愈演愈,烈,烈的计算,机,机安全问,题,题，传统,安,安全理念,很,很难有所,突,突破，而,可,可信计算,的,的主要思,想,想是在硬,件,件平台上,引,引入安全,芯,芯片，从,而,而将部分,或,或整个计,算,算平台变,为,为“可信,”,”的计算,平,平台。目,前,前主要研,究,究和探索,的,的问题包,括,括：基于,TCP,的访问控,制,制、基于,TCP,的安全操,作,作系统、,基,基于,TCP,的安全中,间,间件、基,于,于,TCP,的安全应,用,用等。,信息安全,技,技术发展,的,的四大趋,势,势,2.,网络化,由网络应,用,用和普及,引,引发的技,术,术和应用,模,模式的变,革,革，正在,进,进一步推,动,动信息安,全,全关键技,术,术的创新,发,发展，并,引,引发新技,术,术和应用,模,模式的出,现,现。如安,全,全中间件,，,，安全管,理,理与安全,监,监控等都,是,是网络化,发,发展所带,来,来的必然,的,的发展方,向,向。网络,病,病毒、垃,圾,圾信息防,范,范、网络,可,可生存性,、,、网络信,任,任等都是,要,要继续研,究,究的领域,。,。,信息安全,技,技术发展,的,的四大趋,势,势,3.,标准化,安全技,术,术要走,向,向国际,，,，也要,走,走向应,用,用，政,府,府、产,业,业界和,学,学术界,等,等必将,更,更加高,度,度重视,信,信息安,全,全标准,的,的研究,与,与制定,，,，如密,码,码算法,类,类标准,(,例如加,密,密算法,、,、签名,算,算法、,密,密码算,法,法接口,),、安全,认,认证与,授,授权类,标,标准,(,例如,PKI,、,PMI,、生物,认,认证,-,指纹、,视,视网膜,),、安全,评,评估类,标,标准,(,例如安,全,全评估,准,准则、,方,方法、,规,规范,),、系统,与,与网络,类,类安全,标,标准,(,例如安,全,全体系,结,结构、,安,安全操,作,作系统,、,、安全,数,数据库,、,、安全,路,路由器,、,、可信,计,计算平,台,台,),、安全,管,管理类,标,标准,(,例如防,信,信息遗,漏,漏、质,量,量保证,、,、机房,设,设计,),等。,PKI,PUBLIC KEYINFRASTRUCTURE,公钥基,础,础设施,PMI-PROJECT MANAGEMENTINSTITUTE,美国项,目,目管理,协,协会,（,PMI,指定了,项,项目管,理,理、项,目,目开发,过,过程的,安,安全策,略,略）,信息安全技,术,术发展的四,大,大趋势,4.,集成化,集成化即从,单,单一功能的,信,信息安全技,术,术与产品，,向,向多种功能,融,融于某一个,产,产品，或者,是,是几个功能,相,相结合的集,成,成化产品发,展,展。安全产,品,品呈硬件化,/,芯片化发展,趋,趋势，这将,带,带来更高的,安,安全度与更,高,高的运算速,率,率，也需要,发,发展更灵活,的,的安全芯片,的,的实现技术,，,，特别是密,码,码芯片的物,理,理防护机制,。,。,因特网选择,的,的几种安全,模,模式,目前，在因,特,特网应用中,采,采取的防卫,安,安全模式归,纳,纳起来主要,有,有以下几种,。,。,1.,无安全防卫,在因特网应,用,用初期多数,采,采取此方式,，,，安全防卫,上,上不采取任,何,何措施，只,使,使用随机提,供,供的简单安,全,全防卫措施,。,。这种方法,是,是不可取的,。,。,因特网选择,的,的几种安全,模,模式,2.,模糊安全防,卫,卫,采用这种方,式,式的网站总,认,认为自己的,站,站点规模小,，,，对外无足,轻,轻重，没人,知,知道；即使,知,知道，黑客,也,也不会对其,实,实行攻击。,事,事实上，许,多,多入侵者并,不,不是瞄准特,定,定目标，只,是,是想闯入尽,可,可能多的机,器,器，虽然它,们,们不会永远,驻,驻留在你的,站,站点上，但它们为了,掩,掩盖闯入你,网,网站的证据,，,，常常会对你,网,网站的有关,内,内容进行破,坏,坏，从而给,网,网站带来重,大,大损失。,因特网选择,的,的几种安全,模,模式,为此，各个,站,站点一般要,进,进行必要的,登,登记注册。,这,这样，一旦,有,有人使用服,务,务时，提供,服,服务的人知,道,道它从哪来,，,，但是这种站,点,点防卫信息,很,很容易被发,现,现，例如登,记,记时会有站,点,点的软、硬,件,件以及所用,操,操作系统的,信,信息，黑客,就,就能从这发,现,现安全漏洞,，,，同样在站,点,点与其他站,点,点连机或向,别,别人发送信,息,息时，也很,容,容易被入侵,者,者获得有关,信,信息，因此,这,这种模糊安,全,全防卫方式,也,也是不可取,的,的。,因特网选择,的,的几种安全,模,模式,3.,主机安全防,卫,卫,这可能是最,常,常用的一种,防,防卫方式，,即,即每个用户,对,对自己的机,器,器加强安全,防,防卫，尽可,能,能地避免那,些,些已知的可,能,能影响特定,主,主机安全的,问,问题，这是,主,主机安全防,卫,卫的本质。主机安全防,卫,卫对小型网,站,站是很合适,的,的，但是，由,于,于环境的复,杂,杂性和多样,性,性，例如操,作,作系统的版,本,本不同、配,置,置不同以及,不,不同的服务,和,和不同的子,系,系统等都会,带,带来各种安,全,全问题。即,使,使这些安全,问,问题都解决,了,了，主机防,卫,卫还要受到,软,软件本身缺,陷,陷的影响，,有,有时也缺少,有,有合适功能,和,和安全的软,件,件。,因特网选择,的,的几种安全,模,模式,4.,网络安全防,卫,卫,这是目前因,特,特网中各网,站,站所采取的,安,安全防卫方,式,式，包括建立,防,防火墙来保,护,护内部系统,和,和网络、运,用,用各种可靠,的,的认证手段,(,如：一次性,密,密码等,),，对敏感数,据,据在网络上,传,传输时，采,用,用密码保护,的,的方式进行,。,。,安全防卫的,技,技术手段,在因特网中,，,，信息安全,主,主要是通过,计,计算机安全,和,和信息传输,安,安全这两个,技,技术环节，,来,来保证网络,中,中各种信息,的,的安全。,安,全,全,防,防,卫,卫,的,的,技,技,术,术,手,手,段,段,1.,计,算,算,机,机,安,安,全,全,技,技,术,术,(1),健,壮,壮,的,的,操,操,作,作,系,系,统,统,。,。,操,操,作,作,系,系,统,统,是,是,计,计,算,算,机,机,和,和,网,网,络,络,中,中,的,的,工,工,作,作,平,平,台,台,，,，在,选,选,用,用,操,操,作,作,系,系,统,统,时,时,，,，,应,应,注,注,意,意,软,软,件,件,工,工,具,具,齐,齐,全,全,和,和,丰,丰,富,富,、,、,缩,缩,放,放,性,性,强,强,等,等,因,因,素,素,，,，,如,如,果,果,有,有,很,很,多,多,版,版,本,本,可,可,供,供,选,选,择,择,，,，,应,应,选,选,用,用,户,户,群,群,最,最,少,少,的,的,那,那,个,个,版,版,本,本,，,，,这,这,样,样,使,使,入,入,侵,侵,者,者,用,用,各,各,种,种,方,方,法,法,攻,攻,击,击,计,计,算,算,机,机,的,的,可,可,能,能,性,性,减,减,少,少,，,，另,外,外,还,还,要,要,有,有,较,较,高,高,访,访,问,问,控,控,制,制,和,和,系,系,统,统,设,设,计,计,等,等,安,安,全,全,功,功,能,能,。,。,W2KS,比,winxp,就,有,有,较,较,高,高,的,的,访,访,问,问,控,控,制,制,能,能,力,力,!,安,全,全,防,防,卫,卫,的,的,技,技,术,术,手,手,段,段,(2),容,错,错,技,技,术,术,。,。,尽,尽,量,量,使,使,计,计,算,算,机,机,具,具,有,有,较,较,强,强,的,的,容,容,错,错,能,能,力,力,，,，,如,如,组,组,件,件,全,全,冗,冗,余,余,、,、,没,没,有,有,单,单,点,点,硬,硬,件,件,失,失,效,效,、,、,动,动,态,态,系,系,统,统,域,域,、,、,动,动,态,态,重,重,组,组,、,、,错,错,误,误,校,校,正,正,互,互,连,连,；,；通过,错,错误,校,校正,码,码和,奇,奇偶,校,校验,的,的结,合,合保,护,护数,据,据和,地,地址,总,总线,；,；在线,增,增减,域,域或,更,更换,系,系统,组,组件,，,，创,建,建或,删,删除,系,系统,域,域而,不,不干,扰,扰系,统,统应,用,用的,进,进行,，,，也,可,可以,采,采取双机,备,备份同步,校,校验,方,方式,，,，保,证,证网,络,络系,统,统在,一,一个,系,系统,由,由于,意,意外,而,而崩,溃,溃时,，,，计,算,算机,自,自动,切,切换,以,以确,保,保正,常,常运,转,转，,保,保证,各,各项,数,数据,信,信息,的,的完,整,整性,和,和一,致,致性,。,。,安全防卫,的,的技术手,段,段,2.,防火墙技,术,术,这是一种,有,有效的网,络,络安全机,制,制，用于,确,确定哪些,内,内部服务,允,允许外部,访,访问，以,及,及允许哪,些,些外部服,务,务访问内,部,部服务，,其,其准则就是：一,切,切未被允,许,许的就是,禁,禁止的；,一,一切未被,禁,禁止的就,是,是允许的,，,，防火墙,有,有下列几,种,种类型：,安全防,卫,卫的技,术,术手段,(1),包过滤,技,技术。,通,通常安,装,装在路,由,由器上,，,，对数,据,据进行,选,选择，,它,它以,IP,包信息,为,为基础,，,，对,IP,源地址,，,，,IP,目标地,址,址、封,装,装协议,(,如,TCP/UDP/ICMP/ IPtunnel),、端口,号,号等进,行,行筛选,，,，在,OSI,协议的,网,网络层,进,进行。,安全防,卫,卫的技,术,术手段,(2),代理服,务,务技术,。,。通常,由,由二部,分,分构成,，,，服务,端,端程序,和,和客户,端,端程序,。,。,客户端,程,程序与,中,中间节,点,点,(ProxyServer),连接，,中,中间节,点,点与要,访,访问的,外,外部服,务,务器实,际,际连接,，,，与包,过,过滤防,火,火墙的,不,不同之,处,处在于,内,内部网,和,和外部,网,网之间,不,不存在,直,直接连,接,接，同,时,时提供,审,审计和,日,日志服,务,务。,安全防,卫,卫的技,术,术手段,(3),复合型,技,技术。,把,把包过,滤,滤和代,理,理服务,两,两种方,法,法结合,起,起来，,可,可形成,新,新的防,火,火墙，,所,所用主,机,机称为,堡,堡垒主,机,机，负,责,责提供,代,代理服,务,务。,(4),审计技,术,术。通,过,过对网,络,络上发,生,生的各,种,种访问,过,过程进,行,行记录,和,和产生,日,日志，,并,并对日,志,志进行,统,统计分,析,析，从,而,而对资,源,源使用,情,情况进,行,行分析,，,，对异,常,常现象,进,进行追,踪,踪监视,。,。,安全防,卫,卫的技,术,术手段,(5),路由器,加,加密技,术,术。加,密,密路由,器,器对通,过,过路由,器,器的信,息,息流进,行,行加密,和,和压缩,，,，然后,通,通过外,部,部网络,传,传输到,目,目的端,进,进行解,压,压缩和,解,解密。,安全防,卫,卫的技,术,术手段,3.,信息确,认,认技术,安全系,统,统的建,立,立依赖,于,于系统,用,用户之,间,间存在,的,的各种,信,信任关,系,系，目,前,前在安,全,全解决,方,方案中,，,，多采,用,用两种,确,确认方,式,式，一种是第三,方,方信任,，,，另一种是直接,信,信任，,以,以防止,信,信息被,非,非法窃,取,取或伪,造,造。,安全防,卫,卫的技,术,术手段,可靠的,信,信息确,认,认技术,应,应具有,：,：身份,合,合法的,用,用户可,以,以校验,所,所接收,的,的信息,是,是否真,实,实可靠,，,，并且,十,十分清,楚,楚发送,方,方是谁,；,；发送,信,信息者,必,必须是,合,合法身,份,份用户,，,，任何,人,人不可,能,能冒名,顶,顶替伪,造,造信息,；,；出现,异,异常时,，,，可由,认,认证系,统,统进行,处,处理。,目前，信息,确,确认技术已,较,较成熟，如,信,信息认证，,用,用户认证和,密,密钥认证，,数,数字签名等,，,，为信息安,全,全提供了可,靠,靠保障。,安全防卫的,技,技术手段,4.,密钥安全技,术,术,网络安全中,的,的加密技术,种,种类繁多，,它,它是保障信,息,息安全最关,键,键和最基本,的,的技术手段,和,和理论基础,，,，常用的加,密,密技术分为软件加密和硬件加密。信息加密,的,的方法有对称密钥加,密,密和非对称加密，两种方法,各,各有所长。,安全防卫的,技,技术手段,(1),对称密钥加,密,密：在此方,法,法中，加密,和,和解密使用,同,同样的密钥,，,，目前广泛,采,采用的密钥,加,加密标准是,DES(data encryptionsystem),算法，其优势在于加密解,密,密速度快、,算,算法易实现,、,、安全性好,.,缺点是密钥长度,短,短、密码空,间,间小，“穷,举,举”方式进,攻,攻的代价小,，,，它的机制,就,就是采取初,始,始置换、密,钥,钥生成、乘,积,积变换、逆,初,初始置换等,几,几个环节。,安全防卫的,技,技术手段,(2),非对称密钥,加,加密：在此,方,方法中加密,和,和解密使用,不,不同密钥，,即,即公开密钥,和,和秘密密钥,，,，公开密钥,用,用于机密性,信,信息的加密,；,；秘密密钥,用,用于对加密,信,信息的解密,。,。一般采用,RSA(,三个人名,),算法，优点,在,在于易实现,密,密钥管理，,便,便于数字签,名,名。不足是,算,算法较复杂,，,，加密解密,花,花费时间长,。,。,安全防卫的,技,技术手段,在安全防范,的,的实际应用,中,中，尤其是,信,信息量较大,，,，网络结构,复,复杂时，采,取,取对称密钥加,密,密技术，为了防范,密,密钥受到各,种,种形式的黑,客,客攻击，如,基,基于因特网,的,的“联机运,算,算”，即利,用,用许多台计,算,算机采用“,穷,穷举”方式,进,进行计算来,破,破译密码，,密,密钥的长度,越,越长越好。,目前一般密,钥,钥的长度为,64,位、,1024,位，实践证,明,明它是安全,的,的，同时也,满,满足计算机,的,的速度。,2048,位的密钥长,度,度，也已开,始,始在某些软,件,件中应用。,安全防卫的,技,技术手段,5.,病毒防范技,术,术,计算机病毒,实,实际上就是,一,一种在计算,机,机系统运行,过,过程中能够,实,实现传染和,侵,侵害计算机,系,系统的功能程序。,在系统穿透,或,或违反授权,攻,攻击成功后,，,，攻击者通,常,常要在系统,中,中植入一种,能,能力，为攻,击,击系统、网,络,络提供方便,。,。如向系统,中,中渗入病毒,、,、蛀虫、特,洛,洛依木马、,逻,逻辑炸弹；,或,或通过窃听,、,、冒充等方,式,式来破坏系,统,统正常工作,。,。从因特网上,下,下载软件和,使,使用盗版软,件,件是病毒的,主,主要来源。,安全防卫的,技,技术手段,针对病毒的,严,严重性，我,们,们应提高防,范,范意识，做,到,到：所有软件必,须,须经过严格,审,审查，经过,相,相应的控制,程,程序后才能,使,使用；采用,防,防病毒软件,，,，定时对系,统,统中的所有,工,工具软件、,应,应用软件进,行,行检测，防,止,止各种病毒,的,的入侵。,实训与思考,本节“实训,与,与思考”的,目,目的是：,(1),熟悉信息安,全,全技术的基,本,本概念，了,解,解信息安全,技,技术的基本,内,内容。,(2),通过因特网,搜,搜索与浏览,，,，了解网络,环,环境中主流,的,的信息安全,技,技术网站，,掌,掌握通过专,业,业网站不断,丰,丰富信息安,全,全技术最新,知,知识的学习,方,方法，尝试,通,通过专业网,站,站的辅助与,支,支持来开展,信,信息安全技,术,术应用实践,。,。,P1p2,P1p2,p2,窗前明月光,，,，疑是地上,霜,霜，,举头望明月,，,，低头思故,乡,乡。,密,密码：,CHYIJUDI,1.2,信息系统的,物,物理安全,物理安全也,称,称实体安全,(physicalsecurity),，是指包括,环,环境、设备,和,和记录介质,在,在内的所有,支,支持信息系,统,统运行的硬,件,件的总体安,全,全，是信息,系,系统安全、,可,可靠、不间,断,断运行的基,本,本保证。,物理安全,保,保护计算,机,机设备、,设,设施,(,网络及通,信,信线路,),免遭地震,、,、水灾、,火,火灾、有,害,害气体和,其,其他环境,事,事故,(,如电磁污,染,染等,),破坏的措,施,施和过程,，,，主要考,虑,虑的问题,是,是环境、,场,场地和设,备,备的安全,及,及实体访,问,问控制和,应,应急处置,计,计划等。,物理安全,的,的内容,物理安全,主,主要包括,环,环境安全,、,、电源系,统,统安全、,设,设备安全,和,和通信线,路,路安全等,。,。,物理安全,的,的内容,1.,环境安全,环境安全,是,是对系统,所,所在环境,的,的安全保,护,护，如区,域,域保护和,灾,灾难保护,等,等。计算,机,机网络通,信,信系统的,运,运行环境,应,应按照国,家,家有关标,准,准设计实,施,施，应具,备,备消防报,警,警、安全,照,照明、不,间,间断供电,、,、温湿度,控,控制系统,和,和防盗报,警,警等，以,保,保护系统,免,免受水、,火,火、有害,气,气体、地,震,震、静电,等,等的危害,。,。,物,理,理,安,安,全,全,的,的,内,内,容,容,2.,电,源,源,系,系,统,统,安,安,全,全,电,源,源,在,在,信,信,息,息,系,系,统,统,中,中,占,占,有,有,重,重,要,要,地,地,位,位,，,，,主,主,要,要,包,包,括,括,电,电,力,力,能,能,源,源,供,供,应,应,、,、,输,输,电,电,线,线,路,路,安,安,全,全,、,、,保,保,持,持,电,电,源,源,的,的,稳,稳,定,定,性,性,等,等,。,。,3.,设,备,备,安,安,全,全,要,保,保,证,证,硬,硬,件,件,设,设,备,备,随,随,时,时,处,处,于,于,良,良,好,好,的,的,工,工,作,作,状,状,态,态,，,，,建,建,立,立,健,健,全,全,使,使,用,用,管,管,理,理,规,规,章,章,制,制,度,度,，,，,建,建,立,立,设,设,备,备,运,运,行,行,日,日,志,志,。,。,物理安,全,全的内,容,容,4.,媒体安,全,全,媒体安,全,全包括,媒,媒体数,据,据的安,全,全及媒,体,体本身,的,的安全,。,。存储,媒,媒体本,身,身的安,全,全主要,是,是安全,保,保管、,防,防盗、,防,防毁和,防,防病毒,；,；数据,安,安全是,指,指防止,数,数据被,非,非法复,制,制和非,法,法销毁,等,等。,物理,安,安全,的,的内,容,容,5.,通信,线,线路,安,安全,通信,设,设备,和,和通,信,信线,路,路的,装,装置,安,安装,要,要稳,固,固牢,靠,靠，,具,具有,一,一定,对,对抗,自,自然,因,因素,和,和人,为,为因,素,素破,坏,坏的,能,能力,，,，包,括,括防,止,止电,磁,磁信,息,息的,泄,泄漏,、,、线,路,路截,获,获，,以,以及,抗,抗电,磁,磁干,扰,扰等,。,。,物理安全,的,的内容,具体来说,，,，物理安,全,全包括以,下,下主要内,容,容：,(1),计算机机,房,房的场地,、,、环境及,各,各种因素,对,对计算机,设,设备的影,响,响。,(2),计算机机,房,房的安全,技,技术要求,。,。,(3),计算机的,实,实体访问,控,控制。,(4),计算机设,备,备及场地,的,的防火与,防,防水。,(5),计算机系,统,统的静电,防,防护。,物理安全,的,的内容,(6),计算机设,备,备及软件,、,、数据的,防,防盗、防,破,破坏措施,。,。,(7),计算机中,重,重要信息,的,的磁介质,的,的处理、,存,存储和处,理,理手续的,有,有关问题,。,。,物理安全,的,的内容,与物理安,全,全相关的,国,国家标准,主,主要有：,(1)GB/T2887-2000,电子计算,机,机场地通,用,用规范,。该标准,由,由主题内,容,容与适用,范,范围、引,用,用标准、,术,术语、计,算,算机场地,技,技术要求,、,、测试方,法,法等五个,部,部分和一,个,个附录组,成,成。,物理安全,的,的内容,(2)GB/T9361-1988,计,算,算,站,站,场,场,地,地,安,安,全,全,要,要,求,求,。,该,该,标,标,准,准,由,由,中,中,华,华,人,人,民,民,共,共,和,和,国,国,电,电,子,子,工,工,业,业,部,部,批,批,准,准,并,并,于,于,1988,年,10,月,1,日,正,正,式,式,实,实,施,施,。,。,该,该,标,标,准,准,由,由,适,适,用,用,范,范,围,围,、,、,术,术,语,语,、,、,计,计,算,算,机,机,机,机,房,房,的,的,安,安,全,全,分,分,类,类,、,、,场,场,地,地,的,的,选,选,择,择,、,、,结,结,构,构,防,防,火,火,、,、,计,计,算,算,机,机,机,机,房,房,内,内,部,部,装,装,修,修,、,、,计,计,算,算,机,机,机,机,房,房,专,专,用,用,设,设,备,备,、,、,火,火,灾,灾,报,报,警,警,及,及,消,消,防,防,设,设,施,施,、,、,其,其,他,他,防,防,护,护,和,和,安,安,全,全,管,管,理,理,共,共,9,个部,分,分组,成,成。,物理,安,安全,的,的内,容,容,(3)GB/T14715-1993,信息,技,技术,设,设备,用,用不,间,间断,电,电源,通,通用,技,技术,条,条件,。该,标,标准,主,主要,针,针对,UPS,系统,提,提出,相,相关,的,的技,术,术测,试,试要,求,求，,含,含输,出,出电,压,压、,输,输出,频,频率,、,、电,源,源效,率,率、,过,过载,能,能力,、,、备,用,用时,间,间及,切,切换,时,时间,共,共,6,个项,目,目的,测,测试,标,标准,及,及方,法,法。,物理,安,安全,的,的内,容,容,(4)GB50174-1993,电子,计,计算,机,机机,房,房设,计,计规,范,范,。该,标,标准,由,由国,家,家技,术,术监,督,督局,和,和中,华,华人,民,民共,和,和国,建,建设,部,部联,合,合发,布,布并,于,于,1993,年,9,月,1,日正,式,式实,施,施。,标,标准,由,由总,则,则、,机,机房,位,位置,及,及设,备,备布,置,置、,环,环境,条,条件,、,、建,筑,筑、,空,空气,调,调节,、,、电,气,气技,术,术、,给,给水,排,排水,、,、消,防,防与,安,安全,共,共八,章,章和,两,两个,附,附录,组,组成,。,。,计,算,算,机,机,机,机,房,房,建,建,设,设,至,至,少,少,应,应,遵,遵,循,循,GB/T2887-2000,和,GB/T9361-1988,，,满,满,足,足,防,防,火,火,、,、,防,防,磁,磁,、,、,防,防,水,水,、,、,防,防,盗,盗,、,、,防,防,电,电,击,击,、,、,防,防,虫,虫,害,害,等,等,要,要,求,求,，,，,并,并,配,配,备,备,相,相,应,应,的,的,设,设,备,备,。,。,环,境,境,安,安,全,全,技,技,术,术,环,境,境,安,安,全,全,技,技,术,术,涵,涵,盖,盖,的,的,范,范,围,围,很,很,广,广,泛,泛,。,。,其,其,中,中,：,：,(1),安,全,全,保,保,卫,卫,技,技,术,术,措,措,施,施,包,包,括,括,防,防,盗,盗,报,报,警,警,、,、,实,实,时,时,监,监,控,控,、,、,安,安,全,全,门,门,禁,禁,等,等,。,。,(2),计算机,机,机房的,温,温度、,湿,湿度等,环,环境条,件,件保持,技,技术可,以,以通过,加,加装通,风,风设备,、,、排烟,设,设备、,专,专业空,调,调设备,来,来实现,。,。,环境安全,技,技术,(3),计算机机,房,房的用电,安,安全技术,主,主要包括,不,不同用途,电,电源分离,技,技术、电,源,源和设备,有,有效接地,技,技术、电,源,源过载保,护,护技术和,防,防雷击技,术,术等。,(4),计算机机,房,房安全管,理,理技术是,指,指制定严,格,格的计算,机,机机房工,作,作管理制,度,度、并要,求,求所有进,入,入机房的,人,人员严格,遵,遵守管理,制,制度，将,制,制度落到,实,实处。,环境安全,技,技术,根据,GB/T9361-1988,的规定，,计,计算机机,房,房环境的,安,安全等级,可,可分为,A,、,B,和,C,三个基本,类,类别。其,中,中,A,类机房对,计,计算机机,房,房的安全,有,有严格的,要,要求，有,完,完善的计,算,算机机房,安,安全措施,；,；,B,类机房对,计,计算机机,房,房的安全,有,有较严格,的,的要求，,有,有较完善,的,的计算机,机,机房安全,措,措施；,C,类机房对,计,计算机机,房,房的安全,有,有基本的,要,要求，有,基,基本的计,算,算机机房,安,安全措施,。,。见表,1.2,所示。,电源系统,安,安全技术,电源系统,安,安全包括,供,供电系统,安,安全、防,静,静电措施,和,和接地与,防,防雷要求,等,等。,电源系统,安,安全技术,1.,供电系统,安,安全,电源系统,电,电压的波,动,动、浪涌,电,电流和突,然,然断电等,意,意外情况,的,的发生，,可,可能引起,计,计算机系,统,统存储信,息,息的丢失,、,、存储设,备,备的损坏,等,等情况的,发,发生。因,此,此，电源,系,系统的稳,定,定可靠是,计,计算机系,统,统物理安,全,全的一个,重,重要组成,部,部分，是,计,计算机系,统,统正常运,行,行的先决,条,条件。,电源系统,安,安全技术,GB/T2887-2000,和,GB/T936l-1988,都对机房,安,安全供电,做,做出了明,确,确的要求,。,。例如，,GB/T2887-2000,将供电方,式,式分为三,类,类：,一类供电,：,：需要建,立,立不间断,供,供电系统,。,。,二类供电,：,：需要建,立,立带备用,的,的供电系,统,统。,三类供电,：,：按一般,用,用户供电,考,考虑。,电源系统,安,安全不仅,包,包括外部,供,供电线路,的,的安全，,更,更重要的,是,是指室内,电,电源设备,的,的安全。,电源系统,安,安全技术,(1),电力能源,的,的可靠供,应,应。为了,确,确保电力,能,能源的可,靠,靠供应，,以,以防外部,供,供电线路,发,发生意外,故,故障，必,须,须有详细,的,的应急预,案,案和可靠,的,的应急设,备,备。应急,设,设备主要,包,包括：备用发电,机,机、大容,量,量蓄电池,和,和,UPS,等。,除了要求,这,这些应急,电,电源设备,具,具有高可,靠,靠性外，,还,还要求它,们,们具有较,高,高的自动,化,化程度和,良,良好的可,管,管理性，,以,以便在意,外,外情况发,生,生时可以,保,保证电源,的,的可靠供,应,应。,电源系统,安,安全技术,(2),电源对用,电,电设备安,全,全的潜在,威,威胁。这,种,种威胁包,括,括脉动与,噪,噪声、电,磁,磁干扰等,。,。电磁干,扰,扰会产生,电,电磁兼容,性,性问题，,当,当电源的,电,电磁干扰,比,比较强时,，,，其产生,的,的电磁场,就,就会影响,到,到硬盘等,磁,磁性存储,介,介质，久,而,而久之就,会,会使存储,的,的数据受,到,到损害。,电源系统,安,安全技术,2.,防静电措,施,施,不同物体,间,间的相互,摩,摩擦、接,触,触会产生,能,能量不大,但,但电压非,常,常高的静,电,电。如果,静,静电不能,及,及时释放,，,，就可能,产,产生火花,，,，容易造,成,成火灾或,损,损坏芯片,等,等意外事,故,故。,计算机系,统,统的,CPU,、,ROM,、,RAM,等关键部,件,件大都采,用,用,MOS,工艺的大,规,规模集成,电,电路，对,静,静电极为,敏,敏感，容,易,易因静电,而,而损坏。,电源系统,安,安全技术,机房的内,装,装修材料,一,一般应避,免,免使用挂毯,、,、地毯等,吸,吸尘、容,易,易产生静,电,电的材料,，,，而应采,用,用乙烯材,料,料。为了防,静,静电，机,房,房一般要,安,安装防静,电,电地板，,并,并将地板,和,和设备接,地,地，以便,将,将设备内,积,积聚的静,电,电迅速释,放,放到大地,：,：机房内,的,的专用工,作,作台或重,要,要的操作,台,台应有接,地,地平板。,此,此外，工,作,作人员的,服,服装和鞋,最,最好用低,阻,阻值的材,料,料制作，,机,机房内应,保,保持一定,湿,湿度，特,别,别是在于,燥,燥季节应,适,适当增加,空,空气湿度,，,，以免因,干,干燥而产,生,生静电。,电源系统,安,安全技术,3.,接地与防,雷,雷要求,接地与防,雷,雷是保护,计,计算机网,络,络系统和,工,工作场所,安,安全的重,要,要安全措,施,施。接地,可,可以为计,算,算机系统,的,的数字电,路,路提供一,个,个稳定的,0V,参考电位,，,，从而可,以,以保证设,备,备和人身,的,的安全，,同,同时也是,防,防止电磁,信,信息泄漏,的,的有效手,段,段。,电源系统,安,安全技术,机器设备,应,应有专用地线，机房本,身,身有避雷设施，包括通,信,信设备和,电,电源设备,有,有防雷击,的,的技术设,施,施，机房,的,的内部防,雷,雷主要采,取,取屏蔽、,等,等电位连,接,接、合理,布,布线或防,闪,闪器、过,电,电压保护,等,等技术措,施,施以及拦,截,截、屏蔽,、,、均压、,分,分流、接,地,地等方法,，,，达到防,雷,雷的目的,。,。机房的,设,设备本身,也,也应有避,雷,雷装置和,设,设施。,电磁防护,与,与设备安,全,全技术,电磁防护,与,与设备安,全,全包括硬,件,件设备的,维,维护和管,理,理、电磁,兼,兼容和电,磁,磁辐射的,防,防护以及,信,信息存储,媒,媒体的安,全,全管理等,内,内容。,电磁防护,与,与设备安,全,全技术,1.,硬件设备,的,的维护和,管,管理,计算机信,息,息网络系,统,统的硬件,设,设备一般,价,价格昂贵,，,，一旦被,损,损坏又不,能,能及时修,复,复，不仅,会,会造成经,济,济损失，,而,而且可能,导,导致整个,系,系统瘫痪,，,，产生严,重,重的不良,影,影响。因,此,此，必须,加,加强对计,算,算机信息,系,系统硬件,设,设备的使,用,用管理，坚持做好,硬,硬件设备,的,的日常维,护,护和保养,工,工作。,电磁防护,与,与设备安,全,全技术,2.,电磁兼容,和,和电磁辐,射,射的防护,计算机网,络,络系统的,各,各种设备,都,都属于电,子,子设备，,在,在工作时,都,都不可避,免,免地会向,外,外辐射电,磁,磁波，同,时,时也会受,到,到其他电,子,子设备的,电,电磁波干,扰,扰，当电,磁,磁干扰达,到,到一定的,程,程度就会,影,影响设备,的,的正常工,作,作。,电磁防护与,设,设备安全技,术,术,为保证计算,机,机网络系统,的,的物理安全,，,，除在网络,规,规划和场地,、,、环境等方,面,面进行防护,之,之外，还要,防,防止数据信,息,息在空间中,的,的扩散。为,此,此，通常是,在,在物理上采,取,取一定的防,护,护措施，以,减,减少或干扰,扩,扩散到空间,中,中电磁信号,。,。政府、军,队,队、金融机,构,构在构建信,息,息中心时，电磁辐射防,扩,扩将成为首先,要,要解决的问,题,题。,电磁防护与,设,设备安全技,术,术,3.,信息存储媒,体,体的安全管,理,理,计算机网络,系,系统的信息,要,要存储在某,种,种媒体上，,常,常用的存储,媒,媒体有磁盘,、,、磁带、打,印,印纸、光盘,等,等：对存储,媒,媒体的安全,管,管理主要包,括,括以下方面,：,：,(1),存放有业务,数,数据或程序,的,的磁盘、磁,带,带或光盘，,应,应视同文字,记,记录妥善保,管,管。必须注,意,意防磁、防,潮,潮、防火、,防,防盗，必须,垂,垂直放置。,电磁防护与,设,设备安全技,术,术,(2),对硬盘上的,数,数据要建立,有,有效的级别,、,、权限，并,严,严格管理，,必,必要时要对,数,数据进行加,密,密，以确保,硬,硬盘数据的,安,安全。,(3),存放业务数,据,据或程序的,磁,磁盘、磁带,或,或光盘，管理必须落,实,实到人，并分类建,立,立登记簿、,记,记录编号、,名,名称、用途,、,、规格、制,作,作日期、有,效,效期、使用,者,者、批准者,等,等信息。,电磁防护与,设,设备安全技,术,术,(4),对存放有重,要,要信息的磁,盘,盘、磁带、,光,光盘，要备,份,份两份并分两处保管。,(5),打印有业务,数,数据或程序,的,的打印纸，,要,要视同档案,进,进行管理。,(6),凡超过数据,保,保存期的磁,盘,盘、磁带、,光,光盘，必须,经,经过特殊的,数,数据清除处,理,理。,电磁防护与,设,设备安全技,术,术,(7),凡不能正常,记,记录数据的,磁,磁盘、磁带,、,、光盘，必,须,须经过测试,确,确认后由专,人,人进行销毁,，,，并做好登,记,记工作。,(8),对需要长期,保,保存的有效,数,数据，应在,磁,磁盘、磁带,、,、光盘的质,量,量保证期内,进,进行转储，,转,转储时应确,保,保内容正确,。,。,通信线路安,全,全技术,尽管从网络,通,通信线路上,提,提取信息所,需,需要的技术,比,比直接从通,信,信终端获取,数,数据的技术,要,要高几个数,量,量级，但以,目,目前的技术,水,水平也是完,全,全有可能实,现,现的。,通信线路安,全,全技术,用一种简单,(,但很昂贵,),的高技术加,压,压电缆，可,以,以获得通信,线,线路上的物,理,理安全。应,用,用这,技术，通信,电,电缆被密封,在,在塑料套管,中,中，并在线缆的,两,两端充气加,压,压。线上连接,了,了带有报警,器,器的监视器,，,，用来测量,压,压力。如果,压,压力下降，,则,则意味电缆,可,可能被破坏,了,了，技术人,员,员还可以进,一,一步检测出,破,破坏点的位,置,置，以便及,时,时进行修复,。,。加压电缆,屏,屏蔽在波纹,铝,铝钢丝网中,，,，几乎没有,电,电磁辐射，,从,从而大大增,强,强了通过通,信,信线路窃听,的,的难度。,通信线路安,全,全技术,光纤通信线,被,被认为是不,可,可搭线窃听,的,的，其断破,处,处的传输速,度,度会变得极,其,其缓慢而立,即,即会被检测,到,到。光纤没,有,有电磁辐射,，,，所以也不,能,能用电磁感,应,应窃密。但,是,是，光纤通,信,信对最大长,度,度有限制，,目,目前网络覆,盖,盖范围半径,约,约,100km,，大于这一长,度,度的光纤系,统,统必须定期,地,地放大,(,复制,),信号。这就需要,将,将信号转换,成,成电脉冲，,然,然后再恢复,成,成光脉冲，,继,继续通过另,一,一条线路传,送,送。,通信线路安,全,全技术,完成这一操,作,作的设备,(,复制器,),是光纤通信,系,系统的安全,薄,薄弱环节，,因,因为信号可,能,能在这一环,节,节被搭线窃,听,听。有两个,办,办法可解决,这,这一问题：,距,距离大于最,大,大长度限制,的,的系统之间,，,，不采用光,纤,纤线通信；,或,或加强复制,器,器的安全，,如,如采用加压电缆、警报系统,和,和加强警卫,等,等措施。,实训与思考,本节“实训,与,与思考”的,目,目的是：,(1),熟悉物理安,全,全技术的基,本,本概念和基,本,本内容。,(2),通过因特网,搜,搜索与浏览,，,，掌握通过,专,专业网站不,断,断丰富物理,安,安全技术最,新,新知识的方,法,法。,1.3Windows,系统管理与,安,安全设置,在,Windows“,控制面板”,(,见图,1.2),的“管理工,具,具”选项中,集,集成了许多,系,系统管理工,具,具，利用这,些,些工具，用,户,户和管理员,可,可以很容易,地,地对它们操,作,作和使用，,方,方便地实现,各,各种系统维,护,护和管理功,能,能。,图,1.2Windows XP,的“控制面,板,板”,系统管理,默认情况下,，,，只有一些,常,常用工具,(,如服务、计,算,算机管理、,事,事件查看器,、,、数据源,(ODBC),、性能和组,件,件服务等,),随,Windows,系统的安装,而,而安装，见,图,图,1.3,所示。,图,1.3Windows XP,的管理工具,系统管理,(1),服务：启动,和,和停止由,Windows,系统提供的,各,各项服务。,(2),计算机管理,器,器：管理磁,盘,盘以及使用,其,其他系统工,具,具来管理本,地,地或远程计,算,算机。,系统管理,(3),事件查看器,：,：显示来自,于,于,Windows,和其他程序,的,的监视与排,错,错信息。例,如,如，在“系,统,统日志”中,包,包含各种系,统,统组件记录,的,的事件，如,使,使用驱动器,失,失败或加载,其,其他系统组,件,件；“安全,日,日志”中包,含,含有效与无,效,效的登录尝,试,试及与资源,使,使用有关的,事,事件，如删,除,除文件或修,改,改设置等，,本,本地计算机,上,上的安全日,志,志只有本机,用,用户才能查,看,看；“应用,程,程序日志”,中,中包括由应,用,用程序记录,的,的事件等等,。,。,系统管理,(4),数据源,(ODBC),：添加、删,除,除以及配置,ODBC,数据源和驱,动,动程序。,(5),性能：显示,系,系统性能图,表,表以及配置,数,数据日志和,警,警报。,(6),组件服务：,配,配置并管理,COM+,应用程序。,COM+-component object moudel,组建对象模,型,型,是一种,面向对象的,编,编程方法,是一种特殊,结,结构的对象,规范了对象,模块之间的,通,通讯方式,.,系统管理,另外一些工,具,具则随系统,服,服务的安装,而,而添加到系,统,统中，例如,：,：,(1) Telnet,服务器管理,：,：查看以及,修,修改,Telnet,服务器设置,和,和连接。,(2) Internet,服务管理器,：,：管理,IIS,、因特网,(Internet),和内部网,(Intranet)Web,站点的,Web,服务器。,(3),本地,安,安全,策,策略,：,：查,看,看和,修,修改,本,本地,安,安全,策,策略,，,，诸,如,如用,户,户权,限,限和,审,审计,策,策略,。,。,安全,特,特性,Windows,为用,户,户提,供,供了,一,一套,广,广泛,的,的安,全,全性,防,防卫,措,措施,，,，以,确,确保,系,系统,能,能够,阻,阻止,非,非法,访,访问,、,、故,意,意破,坏,坏和,错,错误,操,操作,等,等的,侵,侵害,。,。,安全,特,特性,1.,安全,区,区域,通常,所,所说,的,的数,据,据安,全,全大,部,部分,是,是指,数,数据,在,在网,络,络上,的,的安,全,全。,在,在计,算,算机,领,领域,，,，网,络,络操,作,作系,统,统的,安,安全,性,性定,义,义为,用,用来,阻,阻止,未,未授,权,权用,户,户的,使,使用,、,、访,问,问、,修,修改,或,或毁,坏,坏，,也,也就,是,是对,客,客户,的,的信,息,息进,行,行保,密,密，,以,以防,止,止他,人,人的,窥,窥视,和,和破,坏,坏。,安全,特,特性,如果,将,将网,络,络按,区,区域,划,划分,，,，可,分,分为,四,四大,区,区域,。,。,(1),本地,企,企业,网,网：,该,该区,域,域包,括,括不,需,需要,代,代理,服,服务,器,器的,地,地址,，,，其,中,中包,含,含的,地,地址,由,由系,统,统管,理,理员,用,用,InternetExplorer,管理,工,工具,包,包定,义,义。,本,本地,企,企业,网,网区,域,域的,默,默认,安,安全,级,级为,中,中级,。,。,(2),可信,站,站点,：,：该,区,区域,包,包含,可,可信,的,的站,点,点，,即,即可,以,以直,接,接从,该,该站,点,点下,载,载或,运,运行,文,文件,而,而不,用,用担,心,心会,危,危害,到,到用,户,户的,计,计算,机,机或,数,数据,的,的安,全,全，,因,因此,用,用户,可,可以,将,将某,些,些站,点,点分,配,配到,该,该区,域,域。,可,可信,站,站点,区,区域,的,的默,认,认安,全,全级,为,为低,级,级。,安全,特,特性,(3),受限,站,站点,：,：该,区,区域,包,包括,不,不可,信,信站,点,点，,即,即不,能,能确,认,认下,载,载或,运,运行,程,程序,是,是否,会,会危,害,害到,用,用户,的,的计,算,算机,或,或数,据,据，,用,用户,也,也可,以,以将,某,某些,站,站点,分,分配,到,到该,区,区域,。,。受,限,限站,点,点区,域,域的,默,默认,安,安全,级,级别,为,为高,级,级。,(4),因特,网,网：,在,在默,认,认情,况,况下,，,，该,区,区域,包,包括,用,用户,的,的计,算,算机,或,或因,特,特网,上,上的,全,全部,站,站点,，,，因,特,特网,区,区域,的,的默,认,认安,全,全级,别,别为,中,中级,。,。,安全,特,特性,另外,，,，本,地,地计,算,算机,上,上所,有,有文,件,件都,认,认为,是,是安,全,全的,，,，不,需,需进,行,行安,全,全设,置,置。,这,这样,，,，打,开,开和,运,运行,本,本机,上,上的,文,文件,和,和程,序,序时,不,不会,出,出现,任,任何,提,提示,，,，而,且,且用,户,户也,无,无法,将,将本,机,机上,的,的文,件,件夹,或,或驱,动,动器,分,分配,到,到所,谓,谓安,全,全区,域,域。,安,全,全,特,特,性,性,2.,安,全,全,模,模,型,型,Windows,安,全,全,模,模,型,型,的,的,主,主,要,要,特,特,性,性,是,是,用,用,户,户,验,验,证,证,和,和,访,访,问,问,控,控,制,制,。,。,(1),用,户,户,验,验,证,证,：,：,它,它,检,检,查,查,尝,尝,试,试,登,登,录,录,到,到,域,域,或,或,访,访,问,问,网,网,络,络,资,资,源,源,的,的,所,所,有,有,用,用,户,户,的,的,身,身,份,份,。,。,安,全,全,特,特,性,性,(2),基,于,于,对,对,象,象,的,的,访,访,问,问,控,控,制,制,：,：,允,允,许,许,管,管,理,理,员,员