安全|计算机网络安全 第二章 物理安全

  • 物理安全技术主要是指对计算机及网络系统的环境,场地,设备和人员等采取的安全技术措施。物理安全在整个计算机网络信息系统安全中占有重要地位,主要包括以下几个方面。
    • 机房环境安全
    • 通信线路安全
    • 设备安全
    • 电源安全
1,机房安全技术和标准 1,机房安全技术
  • 主要的安全技术措施包括防盗报警,实时监控和安全门禁等。
  • 机房的安全等级分为A类,B类和C类三个基本类别。
    • A类:对计算机机房的安全有严格的要求,有完善的计算机机房安全措施。
    • B类:对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施。
    • C类:对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。
1,机房的安全要求
  • 如何减少无关人员进入机房的机会是计算机机房设计时首先要考虑的问题。
  • 计算机机房所在建筑物的结构从安全的角度还应该考虑如下问题:
    1. 电梯和楼梯不能直接进入机房。
    2. 建筑物周围应有足够亮度的照明设施和防止非法进入的设施。
    3. 外部容易接近的进出口,如风道口,排风口,窗户和应急门等应有栅栏或监控措施,而周边应有物理屏障和监视报警系统,窗口应采取防范措施,必要时安装自动报警设备。
    4. 机房进出口须设置应急电话。
    5. 机房供电系统应将动力照明用电与计算机系统供电线路分开,机房及疏散通道要安装应急照明装置。
    6. 机房建筑物方圆100m内不能有危险建筑物(危险建筑物主要指易燃,易爆及有害气体等的存放场所)。
    7. 机房内应设置标准更衣室和换鞋处,机房的门窗要具有良好的封闭性能。
    8. 照明应达到规定标准。
2,机房的防盗要求
  • 早期主要采用增加质量和胶粘的防盗技术。
  • 将设备与固定地盘用锁连接的防盗技术。
  • 通过光纤电缆保护重要设备的方法。将每台重要的设备通过光纤电缆串接起来,并使光束沿光纤传播,如果光束传输受阻,则自动报警。
  • 使用特殊标签(如超市,图书馆等)。
  • 视频监视系统。
3,机房的三度要求
  • 温度,湿度和洁净度并称为三度。
    • 温度
      • 温度超过规定范围时,每升高10℃,计算机的可靠性下降25%。机房温度一般应控制在18~22℃。
    • 湿度
      • 机房内的相对湿度一般控制在40%~60%为宜。
    • 洁净度
      • 洁净度要求机房尘埃颗粒直径小于0.5μm,平均每升空气含尘量小于1万颗。
4,防静电措施
  • 机房一般要安装防静电地板,并将地板和设备接地,以便将设备内积聚的静电迅速释放到大地。
  • 机房内的专用工作台或重要的操作台应有接地平板。
5,接地与防雷要求
  • 接地可以为计算机系统的数字电路提供一个稳定的0V参考电位,从而可以保证设备和人身的安全,同时也是防止电磁信息泄露的有效手段。
1,地线种类
  • 保护地
    • 计算机系统内的所有电气设备,包括辅助设备,外壳均应接地。
    • 要求良好接地的设备有各种计算机外围设备,多相位变压器的中性线,电缆外套管,电子报警系统,隔离变压器,电源和信号滤波器及通信设备等。
    • 配电室的变压器中电要求接大地。但从配电室到计算机机房如果有较长的输电距离,则应在计算机机房附近将中性线重复接地,因为零线上过高的电势会影响设备的正常工作。
    • 保护地一般是为大电流释放而接地,我国规定,机房内保护地的接地电阻≤4Ω。
    • 保护地线应连接可靠,一般不采用焊接,而采用机械压紧连接。至少应为4号AWG铜线。
  • 直流地
    • 又称为逻辑地,是计算机系统的逻辑参考地,即计算机中数字电路的低电位参考地。数字电路只有“1”和“0”两种状态,其电位差一般为3~5V。
    • 直流地的接地电阻一般要求≤2Ω。
  • 屏蔽地
    • 为避免计算机网络系统各种设备间的电磁干扰,防止电磁信息泄露。
    • 即用金属体来屏蔽设备或整个机房。金属体称为屏蔽机柜或屏蔽室。
    • 金属体需与大地相连,形成电气通路,为屏蔽体上的电荷提供一条低阻抗的泄放通路。
    • 一般屏蔽地的接地电阻要求≤4Ω。
  • 静电地
    • 机房内人体本身,人体在机房内的运动及设备的运行等均可能产生静电,人体静电有时可达上千伏,人体与设备或元器件导电部分直接接触极易造成设备损坏。
    • 消除静电带来的不良影响,可采取测试人体静电,接触设备前先触摸地线,释放电荷,保持室内一定的温度和湿度等管理措施,还可采取防静电地板等措施。
  • 雷击地
    • 雷击产生的瞬时电压可高达10MV以上。
    • 将具备良好导电性能和一定机械强度的避雷针,安置在建筑物的最高处,引下导线接到地网或地桩上,形成一条最短的,牢固的对地通路,即雷击地线。
    • 防雷击地线地网和接地桩应与其他地线系统保持一定的距离,至少应在10m以上。
2,接地系统
  • 接地系统是指计算机系统本身和场地的各种地线系统的设计和具体实施。主要分为以下几类。
  • 各自独立的接地系统
    • 主要考虑直流地,交流地,保护地,屏蔽地和雷击地等的各自作用,为避免相互干扰,分别单独通过地网或接地桩接到大地。实施难度较大。
  • 交,直流分开的接地系统
    • 将计算机的逻辑地和雷击地单独接地,其他地共地。不太常用。
  • 共地接地系统
    • 共地接地系统的出发点是除雷击地外,另建一个接地体,此接地体的地阻要小,以保证释放电荷迅速排放到大地。
    • 优点:减少了接地体的建设,各地之间独立,不会产生相互干扰。
    • 缺点:直流地与其他地线共用,易受其他信号干扰影响。
  • 直流地,保护地共用接地系统
    • 直流地和保护地共用接地体,屏蔽地,交流地和雷击地单独埋设。
    • 由于直流地与交流地分开,使计算机系统仍具有较好的抗干扰能力。
  • 【安全|计算机网络安全 第二章 物理安全】建筑物内共地系统
    • 高层建筑目前施工都是光打桩,整栋建筑从下到上都有钢筋基础。由于这些钢筋很多,且连成一体,深入地下漏水层,同时各楼层钢筋均与地下钢筋相连,作为地线地阻很小(实际测量可<0.2Ω)。由于地阻很小,可将计算机机房及各种设备的地线共用建筑地,从理论上讲不会产生相互干扰,从实际应用看也是可行的。
3,接地体
  • 地桩
    • 垂直打入地下的接地金属棒或金属管是常用的接地体。用在土壤层超过3m厚的地方。金属棒的材料为刚或铜,直径一般为15mm以上。
  • 水平栅网
    • 在土质情况较差的情况下,可采用水平埋设金属条带,电缆的方法。
    • 金属条带应埋在地下0.5~1m深处,水平方向构成星形或栅格网形,在每个交叉处,条带应焊接在一起,且带间距离大于1m。
  • 金属接地板
    • 将金属板与地面垂直埋在地下,与土壤形成至少 0.2 m 2 0.2m^2 0.2m2的双面接触。深度要求在永久性潮土壤以下30cm,一般至少在地下埋1.5m深。金属板的材料通常为铜板,也可为铁板或钢板。此方式已逐渐被地桩所代替。
  • 建筑物基础钢筋
    • 基础钢筋在地下形成很大的地网并从地下延伸至顶层,每层均可接地线。
4,防雷措施
  • 机房的外部防雷应使用接闪器,引下线和接地装置吸引雷电流,并为其释放提供一条低阻值通道。
  • 机房内部防雷主要采取屏蔽,等电位连接,合理布线或防闪器,过电压保护等技术措施,以及拦截,屏蔽,均压,分流和接地等方法,达到防雷的目的。
6,机房的防火,防水措施
  • 计算机机房的火灾一般是由电气原因,人为事故或外部火灾蔓延引起。
  • 计算机机房的水灾一般是由于机房内部有渗水,漏水等原因引起。
  • 为避免火灾,水灾应采取如下措施
    • 隔离
      • 建筑物内的计算机机房四周应设计一个隔离带,以使外部的火灾至少可隔离一个小时。
      • 所有机房门应为防火门,机房内部应用阻燃材料装修。
      • 机房内应有排水装置,机房上部应有防水层,下部应有防漏层,以避免渗水,漏水现象。
    • 火灾报警系统
      • 火灾报警系统的作用是在火灾初期就能检测到并及时发出警报。
      • 火灾报警系统按传感器的不同,分为烟报警和温度报警两种。
        • 烟报警可在火灾开始的发烟阶段就检测出,并发出警报。
        • 热敏式温度报警器是在火焰发生,温度升高后发出报警信号。
    • 灭火设施
      • 灭火器最好使用气体灭火器,推荐使用不会造成二次污染的卤代烷1211或1301灭火器。
      • 一般每4㎡至少应配置一个灭火器,还应有手持式灭火器,用于大设备灭火。
    • 管理措施
      • 机房应制定完善的应急计划和相关制度,加强对火灾隐患部位的检查,还应定期对防火设施和工作人员的掌握情况进行测试。
2,机房安全技术标准
  • GB/T 2887—2000《计算机场地通用规范》
  • GB 50174—93《电子计算机机房设计规范》
  • GB 9361—88《计算站场地安全要求》
2,通信线路安全
  • 用一种简单(但是比较昂贵)的高技术加压电缆,可以获得通信线路上的物理安全。通信电缆密封在塑料套管中,并在线缆的两端充气加压。线上连接了带有报警器的监视器,用来测量压力。如果压力下降,则意味着电缆可能被破坏了。
  • 光纤通信曾被认为是不可搭线窃听的,光纤没有电磁辐射,所以也不能用电磁感应窃听,但是光纤的最大长度有限制,长于这一长度的光纤必须定期地放大(复制)信号。这就需要将信号转换成电脉冲,然后再恢复成光脉冲,继续通过另一条线传送。完成这一操作的设备(复制器)是光纤通信系统的安全薄弱环节,因为信号可能在这一环节被搭线窃听。有两个办法可解决这一问题:距离大于最大长度限制的系统之间,不采用光纤线通信;加强复制器的安全,如用加压电缆,警报系统和加强警卫等措施。
3,设备安全 1,硬件设备的维护和管理 1, 硬件设备的使用情况
  • 要根据硬件设备的具体配置情况,制定切实可行的硬件设备的操作使用规章,并严格按操作规章进行操作。
  • 建立设备使用情况日志,并严格登记使用过程的情况。
  • 建立硬件设备故障情况登记表,详细记录故障性质和修复情况。
  • 坚持对设备进行例行维护和保养,并指定专人负责。
2,常用硬件设备的维护和保养
  • 所有的计算机网络设备都应当置于上锁且有空调的房间里。
  • 将对设备的物理访问权限限制在最小。
2,电磁兼容和电磁辐射的防护 1,电磁兼容和电磁辐射
  • 电磁干扰可通过电磁辐射和传导两条途径影响电子设备的工作。
    • 一条是电子设备辐射的电磁波通过电路耦合到另一台电子设备中引起干扰。
    • 另一条是通过连接的导线,电源线,信号线等耦合而引起相互之间的干扰。
  • 电磁兼容性就是电子设备或系统在一定的电磁环境下互相兼顾,相容的能力。
2,电磁辐射防护的措施
  • 防护措施主要有两类
    • 对传导发射的防护
      • 对电源线和信号线加装滤波器,减少传输阻抗和导线间的交叉耦合。
    • 对辐射的防护
      • 采用各种电磁屏蔽措施
        • 对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管,暖气管和金属门窗进行屏蔽和隔离。
      • 干扰的防护措施
        • 利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
  • 为提高电子设备的抗干扰能力,主要的措施有屏蔽,隔离,滤波,吸波及接地等,其中屏蔽是应用最多的方法。
    • 屏蔽
      • 电磁波经封闭的金属板之后,大部分能量被吸收,反射和再反射,再传到板内的能量以很小,而保护内部的设备或电路免受强电磁干扰。
    • 滤波
      • 滤波电路是一种无源电路,可让一定频率范围内的电信号通过而阻止其他频率的电信号,从而起到滤波的作用。
    • 吸波
      • 采用铁氧体等吸波材料,在空间很小的情况下起到类似滤波器的作用。
    • 隔离
      • 将系统内的电路采用隔离的方法分别处理,将强辐射源和信号处理单元等隔离开,单独处理,从而减弱系统内部和系统向外的电磁辐射。
    • 接地
      • 不仅可起到保护作用,而且可使屏蔽体,滤波器等集聚的电荷迅速排放到大地,从而减少干扰。
3,信息存储媒体的安全管理
  • 存放有业务数据或程序的磁盘,磁带或光盘,应视同文字记录妥善保管。必须注意防磁,防潮,防火,防盗,必须垂直放置。
  • 对硬盘上的数据,要建立有效的级别,权限,并严格管理,必要时要对数据进行加密,以确保数据安全。
  • 存放业务数据或程序的磁盘,磁带或光盘,管理必须落实到人。
  • 对存放有重要信息的磁盘,磁带和光盘,要备份两份并分两处保管。
  • 打印有业务数据或程序的打印纸,要视同档案进行管理。
  • 超过数据保存期的磁盘,磁带和光盘,必须经过特殊的数据清除过程。
  • 凡不能正常记录数据的磁盘,磁带和光盘,需经测试确认后由专人进行销毁。
  • 对需要长期保存的有效数据,应在磁盘,磁带和光盘的质量有效期内进行转存,转存时应确保内容正确。
4,电源系统安全
  • GB 2887—2000将供电方式分为三类。
    • 一类供电:需建立不间断供电系统。
    • 二类供电:需建立带备用的供电系统。
    • 三类供电:按一般用户供电考虑。
  • GB 9361—88中提出A,B类安全机房应符合如下要求。
    • 计算站应设专用可靠的供电线路。
    • 计算机系统的电源设备应提供稳定可靠的电源。
    • 供电电源设备的容量应具有一定的余量。
    • 计算机系统的供电电源技术指标应按GB 2887—2000《计算站场地技术要求》中的第九章的规定执行。
    • 计算机系统独立配电时,宜采用干式变压器。安装油浸式变压器时应符合GB J232《电气装置安装工程规范》中的规定。
    • 从电源室到计算机电源系统的分电盘使用的电缆,除应符合GB 232—92中配线工程中的规定外,载流量应减少50%。
    • 计算机系统用的分电盘应设置在计算机机房内,并应采取防触电措施。
    • 从分电盘到计算机系统的各种设备的电缆应为耐燃铜芯屏蔽的电缆。
    • 计算机系统的各设备走线不得与空调设备,电源设备的无电磁屏蔽的走线平行。交叉时,应尽量以接近与垂直的角度交叉,并采取防延燃措施。
    • 计算机电源系统的所有接点均应镀铅锡处理,冷压连接。
    • 在计算机机房出入口处或值班室,应设置应急电话和应急断电装置。
    • 计算站场地宜采用封闭式蓄电池。
    • 使用半封闭式或开启时蓄电池时,应设专用房间。房间墙壁,地板表面应进行防腐蚀处理,并设置防爆灯,防爆开关和排风装置。
    • 计算机系统接地应采用专用地线。专用地线的阴线应和大楼的钢筋网及各种金属管道绝缘。
    • 计算机系统的几种接线技术要求及接地之间的相互关系应符合GB 2887—2000中的规定。
    • 计算机机房应设置应急照明和安全口的指示灯。
  • C类机房应满足GB 2887—2000中规定的三类供电要求。

    推荐阅读