收藏
下载资源

第7章 物理环境与设备安全

上传人:飞*** 文档编号:46234169 上传时间:2018-06-24 格式:PPT 页数:38 大小:944.50KB
返回 下载 相关 举报
第7章 物理环境与设备安全_第1页
第1页 / 共38页
第7章 物理环境与设备安全_第2页
第2页 / 共38页
第7章 物理环境与设备安全_第3页
第3页 / 共38页
第7章 物理环境与设备安全_第4页
第4页 / 共38页
第7章 物理环境与设备安全_第5页
第5页 / 共38页
点击查看更多>>
资源描述

《第7章 物理环境与设备安全》由会员分享,可在线阅读,更多相关《第7章 物理环境与设备安全(38页珍藏版)》请在金锄头文库上搜索。

1、第7章 物理环境与设备安全李 剑北京邮电大学信息安全中心 E-mail: 电话:13001936882版权所有,盗版必纠概 述本章先讲述物理层的安全威胁,主要包括物理安全环境和 物理安全设备由于威胁而引起的不可用性。然后讲述了要实现 物理安全必须要注意的一些要点。版权所有,盗版必纠目 录7.1 物理层安全威胁 7.2 物理层安全防护 7.3 物理层安全设备 7.4 物理层管理安全 版权所有,盗版必纠7.1 物理层安全威胁 物理层负责传输比特流。它从第二层数据链路层( Data Link Layer)接受数据Frame,并将Frame的结构 和内容串行发送,即每次发送一个比特。 网络的物理安全

2、风险主要指由于网络周边环境和物理特 性引起的网络设备和线路的不可用,而造成网络系统的不 可用。 例如:设备被盗、设备老化、意外故障、无线电磁辐射 泄密等。如果局域网采用广播方式,那么本广播域中的所 有信息都可以被侦听。版权所有,盗版必纠7.2 物理层安全防护 7.2.1 物理位置选择 机房应选择在具有防震、防风和防雨等能力的建筑内;机 房的承重要求应满足设计要求;机房场地应避免设在建筑 物的高层或地下室,以及用水设备的下层或隔壁;机房场 地应当避开强电场、强磁场、强震动源、强噪声源、重度 环境污染,易发生火灾、水灾,易遭受雷击的地区。版权所有,盗版必纠7.2 物理层安全防护 7.2.2 物理访

3、问控制 有人值守机房出入口应有专人值守,鉴别进入的人员身份 并登记在案;无人值守的机房门口应具备告警系统;应批 准进入机房的来访人员,限制和监控其活动范围;应对机 房划分区域进行管理,区域和区域之间设置物理隔离装置 ,在重要区域前设置交付或安装等过渡区域;应对重要区 域配置电子门禁系统,鉴别和记录进入的人员身份并监控 其活动,并且门禁可以是带考勤的,这样就不用公司现在的 考勤卡了。可以考虑每个员工进入公司时,有一个身份卡 ,这样出了安全问题后,容易找到具体实施的人。服务器 应该安放在安装了监视器的隔离房间内,并且监视器要保 留15天以上的摄像记录。版权所有,盗版必纠7.2 物理层安全防护 机箱

4、,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房 间也无法使用电脑,钥匙要放在安全的地方。在自己的办 工桌上安上笔记本电脑安全锁,以防止笔记本电脑的丢失 。图7.1和图7.2所示为笔记本电脑安全锁。版权所有,盗版必纠7.2 物理层安全防护 7.2.3 防盗窃和防破坏 应将相关服务器放置在物理受限的范围内;应利用光、电 等技术设置机房的防盗报警系统,以防进入机房的盗窃和 破坏行为;应对机房设置监控报警系统。 版权所有,盗版必纠7.2 物理层安全防护 7.2.4 防雷击 机房建筑应设置避雷装置;应设置防雷保安器,防止感应 雷;应设置交流电源地线。 7.2.5 防火 应设置火灾自动消防系统,自动检测火

5、情,自动报警,并 自动灭火;机房及相关的工作房间和辅助房,其建筑材料 应具有耐火等级; 7.2.6 防水和防潮 水管安装不得穿过屋顶和活动地板下;应对穿过墙壁和楼 板的水管增加必要的保护措施,如设置套管;应采取措施 防止雨水通过屋顶和墙壁渗透;应采取措施防止室内水蒸 气结露和地下积水的转移与渗透;版权所有,盗版必纠7.2 物理层安全防护 7.2.7 防静电 应采用必要的接地等防静电措施;应采用防静电地板。 7.2.8 温湿度控制 应设置恒温恒湿系统,使机房温、湿度的变化在设备运行 所允许的范围之内。防尘和有害气体控制;机房中应无爆 炸、导电、导磁性及腐蚀性尘埃;机房中应无腐蚀金属的 气体;机房

6、中应无破坏绝缘的气体。版权所有,盗版必纠7.2 物理层安全防护 7.2.9 电力供应 机房供电应与其他市电供电分开;应设置稳压器和过电压 防护设备;应提供短期的备用电力供应(如UPS设备); 应建立备用供电系统(如备用发电机),以备常用供电系 统停电时启用。 7.2.10 电磁防护要求 应采用接地方式防止外界电磁干扰和相关服务器寄生耦合 干扰;电源线和通信线缆应隔离,避免互相干扰。版权所有,盗版必纠7.3 物理层安全设备 我国2000年1月1日起实施的计算机信息系统国际联网 保密管理规定第2章第6条规定,“涉及国家秘密的计算 机信息系统,不得直接或间接地与国际互联网或其他公共 信息网络相连接,

7、必须实行物理隔离”。从此之后,我国 在物理隔离领域不断有新的产品出现,如物理安全隔离卡 、双硬盘物理隔离器、物理隔离网闸等。版权所有,盗版必纠7.3 物理层安全设备 7.3.1 PC物理安全隔离卡 PC网络物理安全隔离卡把一台普通计算机分成两或三台虚 拟计算机,可以连接内部网或外部网,实现安全环境和不 安全环境的绝对隔离,保护用户的机密数据和信息免受国 际互联网上黑客的威胁和攻击。图4.3所示为物理安全隔 离卡。版权所有,盗版必纠7.3 物理层安全设备 1. 技术特点 (1) 内外网绝对隔离 (2) 阻塞信息泄露通道 (3) 应用广泛 (4) 实现成本低 版权所有,盗版必纠7.3 物理层安全设

8、备 2. 技术原理 PC网络安全隔离卡属于端设备物理隔离设备,通过物 理隔离的方式,在两个网络间转换时,保证计算机的数据 在网络之间不被重用。根据本产品设计方法:当计算机进 入其中一个网络时,物理隔离部件保证被隔离的计算机硬 盘(或硬盘分区)及网络相互不连通。在计算机处于内网 状态时,物理隔离部件可以禁止用户使用光、软驱。计算 机转换网络时必须重新启动,清空内存,不存在残留信息 泄漏的问题。 版权所有,盗版必纠7.3 物理层安全设备 2. 技术原理 版权所有,盗版必纠7.3 物理层安全设备 2. 技术原理 版权所有,盗版必纠7.3 物理层安全设备 3. 解决方案 解决方案如图7.5所示。版权所

9、有,盗版必纠7.3 物理层安全设备 7.3.2 其他物理隔离设备 1. 网络安全物理隔离器 网络安全物理隔离器是一种双硬盘物理隔离器,如图7.6 所示。它实际上只是在两个硬盘之间从物理上交换文件的 一个设备。其实现原理和上面的物理隔离网卡相似,只是 前面采用网卡的形式,这里采用的是磁盘的形式,这里就不 再赘述。版权所有,盗版必纠7.3 物理层安全设备 7.3.2 其他物理隔离设备 1. 网络安全物理隔离器版权所有,盗版必纠7.3 物理层安全设备 2. 物理隔离网闸 物理隔离网闸最早出现在美国、以色列等国家的军方, 用以解决涉密网络与公共网络连接时的安全。我国也有庞 大的政府涉密网络和军事涉密网

10、络,但是我国的涉密网络 与公共网络,特别是与互联网是无任何关联的独立网络, 不存在与互联网的信息交换,也用不着使用物理隔离网闸 解决信息安全问题。所以,在电子政务、电子商务之前, 物理隔离网闸在我国因无市场需求,产品和技术发展较慢 。 版权所有,盗版必纠7.3 物理层安全设备 (1) 物理隔离网闸的定义 物理隔离网闸是使用带有多种控制功能的固态开关读写介 质连接两个独立主机系统的信息安全设备。由于物理隔离 网闸所连接的两个独立主机系统之间,不存在通信的物理 连接、逻辑连接、信息传输命令、信息传输协议,不存在 依据协议的信息包转发,只有数据文件的无协议“摆渡”, 且对固态存储介质只有“读”和“写

11、”两个命令。所以,物理 隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切 连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了 真正的安全。版权所有,盗版必纠7.3 物理层安全设备 (2) 物理隔离网闸的信息交换方式 计算机网络依据物理连接和逻辑连接来实现不同网络 之间、不同主机之间、主机与终端之间的信息交换与信息 共享。物理隔离网闸既然隔离、阻断了网络的所有连接, 实际上就是隔离、阻断了网络的连通。网络被隔离、阻断 后,两个独立主机系统之间如何进行信息交换?网络只是 信息交换的一种方式,而不是信息交换方式的全部。在互 联网时代以前,信息照样进行交换,如数据文件复制、数 据摆渡、数据镜像、数

12、据反射等,物理隔离网闸就是使用 数据“摆渡”的方式实现两个网络之间的信息交换。版权所有,盗版必纠7.3 物理层安全设备 (2) 物理隔离网闸的信息交换方式 当内网与专网之间无信息交换时,物理隔离网闸与内网, 物理隔离网闸与专网,内网与专网之间是完全断开的,即 三者之间不存在物理连接和逻辑连接,如图7.7所示。 版权所有,盗版必纠7.3 物理层安全设备 (2) 物理隔离网闸的信息交换方式 在写入之前,根据不同的应用,还要对数据进行必要的完 整性、安全性检查,如病毒和恶意代码检查等。在此过程 中,专网服务器与物理隔离网闸始终处于断开状态,如图 7.8所示。版权所有,盗版必纠7.3 物理层安全设备

13、(2) 物理隔离网闸的信息交换方式 专网服务器收到数据后,按TCP/IP协议重新封装接收到的 数据,交给应用系统,完成了内网到专网的信息交换,详 见图7.9所示。版权所有,盗版必纠7.3 物理层安全设备 外部处理单元; 内部处理单元; 隔离硬件。 (4) 物理隔离网闸的主要安全模块 安全隔离模块:隔离硬件在两个网络上进行切换,通过对 硬件上的存储芯片的读写,完成数据的交换。 保证两个网 络在链路层断开,不与两个网络同时连接,两个网络交换 的数据必须是剥离TCP/IP协议后在应用层之上进行。版权所有,盗版必纠7.3 物理层安全设备(3) 物理隔离网闸的组成 外部处理单元; 内部处理单元; 隔离硬

14、件。 (4) 物理隔离网闸的主要安全模块 安全隔离模块:隔离硬件在两个网络上进行切换,通过对 硬件上的存储芯片的读写,完成数据的交换。 保证两个网 络在链路层断开,不与两个网络同时连接,两个网络交换 的数据必须是剥离TCP/IP协议后在应用层之上进行。版权所有,盗版必纠7.3 物理层安全设备(3) 物理隔离网闸的组成 外部处理单元; 内部处理单元; 隔离硬件。 (4) 物理隔离网闸的主要安全模块 安全隔离模块:隔离硬件在两个网络上进行切换,通过对 硬件上的存储芯片的读写,完成数据的交换。 保证两个网 络在链路层断开,不与两个网络同时连接,两个网络交换 的数据必须是剥离TCP/IP协议后在应用层

15、之上进行。版权所有,盗版必纠7.3 物理层安全设备版权所有,盗版必纠7.4 物理层管理安全 7.4.1 内部网络与外部网络隔离管理 公司内部的研发网与外面的因特网是完全从物理上隔 离的(没有网线直接相接)。这样从物理上隔离可以防止公 司的核心代码被见外网上黑客盗用,也可以防止公司内部 人员将公司代码“偷”出去,也最大程度上防止了来自外部 恶意的入侵行为(如网上的病毒等)。如图7.11所示。版权所有,盗版必纠7.4 物理层管理安全 (1) 设置专门的上网区域(在研发区以外),叫它上 网缓冲区。这个上网缓冲区,可以自由上因特网网络来查 找资料。供需要上因特网的研发员工上网。但是上网缓冲 区与研发区

16、是物理隔离的,没有任何形式的联接。 (2) 给重要员工配置笔记本,通过无线方式,上因特 网来查找资料。版权所有,盗版必纠7.4 物理层管理安全 7.4.2 内部网络的安全管理 刚才说了,研发区与因特网是物理隔离的,所以为了 进一步的安全考虑,控制研发区里的传输介质就显得尤其 重要了。在研发区里,对于传输介质的控制,采用的是一 个多层次、多方面的控制措施。这样可以最大程度上防止 公司核心成果的外漏。特别是公司内部人员将公司机密泄 漏。 (1) 禁止公司员工将自己的笔记本电脑、U盘和MP3等传 输介质带入公司,一经发现,严肃处理。如果非人使用U 盘等传输介质来传输文件,则必需要通过公司的专门人员 一完

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号