第2章計算機網(wǎng)絡實體安全

1、網(wǎng)絡安全與管理第第2章計算機網(wǎng)絡實體安全章計算機網(wǎng)絡實體安全 知識目標 了解網(wǎng)絡環(huán)境中對機房、供電系統(tǒng)、接地系統(tǒng)、監(jiān)控系統(tǒng)、空調系統(tǒng)的要求 了解防火、防水、防電磁干擾、防雷擊在網(wǎng)絡實體安全中的重要性 了解靜電防護與電磁輻射防護的基本方法 技能目標 掌握保護存儲介質和數(shù)據(jù)的方法 計算機網(wǎng)絡實體安全是指要保護計算機設備、計算機系統(tǒng)，網(wǎng)絡服務器、網(wǎng)絡設備等硬件實體和通信鏈路設施（含網(wǎng)絡）免遭人為破壞、搭線攻擊、地震、水災、火災、有害氣體和其他環(huán)境事故（如電磁干擾等）破壞的措施和過程。 保證計算機網(wǎng)絡的實體安全，是整個計算機網(wǎng)絡系統(tǒng)安全的前提。如果實體安全得不到保證，則整個計算機網(wǎng)絡系統(tǒng)的安全就不可能

2、實現(xiàn)。第第2章計算機網(wǎng)絡實體安全章計算機網(wǎng)絡實體安全 2.1 計算機網(wǎng)絡環(huán)境安全計算機網(wǎng)絡環(huán)境安全2.1.1 機房環(huán)境機房環(huán)境 機房是信息系統(tǒng)的中樞，只有構建一個高可用性的整體機房環(huán)境，才能保證系統(tǒng)軟硬件和數(shù)據(jù)免受外界因素的干擾，消除環(huán)境因素對信息系統(tǒng)造成的影響。 計算機網(wǎng)絡通信系統(tǒng)的運行環(huán)境應按照國家有關標準設計實施，應具備消防報警、安全照明，不間斷供電、溫濕度控制系統(tǒng)和防盜報警，以保護系統(tǒng)免受水、火、有害氣體、地震、靜電的危害。 要實現(xiàn)安全的機房環(huán)境應從以下幾個方面進行考慮。1.計算機機房的位置計算機機房的位置 計算機機房的設計應考慮減少無關人員進入機房的機會。同時，機房應避免靠近公共區(qū)域

3、，避免窗戶直接鄰街，應安排機房在內，輔助工作區(qū)域在外。 機房的位置要滿足以下幾點： （1）良好的自然環(huán)境。 （2）機房周圍有安全保障。 （3）安裝監(jiān)視和報警裝置。 （4）機房裝飾。2.機房的出入管理機房的出入管理 （1）出入驗證：通過特殊標志、口令、指紋、通行證等對進入人員進行識別和驗證。 （2）出入管理：制定完善的安全出入管理制度，關鍵通道加鎖和設置警衛(wèi)，防止非法用戶進入。3.機房溫度、濕度機房溫度、濕度 根據(jù)電子計算機機房設計規(guī)范GB 501742008國家標準，計算機機房內的溫度、濕度應滿足下列要求：主機房開主機房開/關機時的溫度、濕度要求關機時的溫度、濕度要求技術要求備注項目級別ABC

4、不得結露主機房溫度（開機時）23+11828主機房相對濕度（開機時）40%55%35%75%主機房溫度（停機時）535主機房相對濕度（停機時）40%70%20%80%4機房的空氣潔凈度機房的空氣潔凈度 電子計算機機房設計規(guī)范GB 501741993國家標準規(guī)定主機房內的空氣含塵濃度，在靜態(tài)條件下測試，每升空氣中大于或等于0.5 m的塵粒數(shù)，應少于18 000粒。 保證機房的空氣潔凈的措施如下： （1）保證機房氣流組織的合理性。 （2）計算機機房內空氣一定要保證有二級過濾。 （3）經(jīng)?；虬雌谇逑?、更換空氣過濾器。 （4）定期測定室內的含塵量。2.1.2 供電系統(tǒng)與接地系統(tǒng)供電系統(tǒng)與接地系統(tǒng) 電源

5、是計算機網(wǎng)絡系統(tǒng)的命脈，電源系統(tǒng)電壓的波動或突然斷電等意外事件的發(fā)生可能會使系統(tǒng)不能正常工作或存儲的信息丟失、存儲設備損壞等。 要保證計算機設備、場地設備和輔助用電可靠運行，一個完善的計算機供電系統(tǒng)是先決條件。為保證計算機系統(tǒng)安全可靠地運行，必須有可靠的電源和具有高抗干擾能力的供配電系統(tǒng)供電。1.供配電系統(tǒng)供配電系統(tǒng)供電電源設備的容量應具有一定的余量，所提供的功率一般應是全部設備負載的125%。計算機機房最好采取專線供電，應該與其他用電設備（如空調、照明等）分開，至少應從變壓器單獨輸出一路給計算機使用。為保證設備的用電質量和用電安全，電源至少應該有兩路供電，并應有自動轉換開關，當一路供電有問題

6、時，可迅速切換到備用線路供電。應安裝備用電源，如長時間不間斷電源（UPS），停電后可供電8小時或更長時間。關鍵的設備應以柴油發(fā)電機組作為備用電源。同時為防止、限制瞬態(tài)過壓和引導浪涌電流，應配備電涌保護器（過壓保護器）。為防止保護器的老化、壽命終止或雷擊時造成的短路，在電涌保護器的前端應有諸如熔斷器等過電流保護裝置。提示提示：浪涌電流指電源接通瞬間，流入電源設備的峰值電流。2.照明系統(tǒng)照明系統(tǒng) 計算機機房的照明分為工作照明、事故照明和安全疏散照明。 工作照明是指整個場所的均勻照明，根據(jù)規(guī)范要求照度為300500lx。 事故照明是為正常照明斷電后及時處理余留工作而設置的照明，其照度為工作照明的1/

7、10，平時它也是工作照明的一部分。 安全疏散照明是在機房內設置疏散方向指示燈和安全出口指示燈，其照度不低于0.5lx。 不同性質的照明燈具分別歸入不同的供電回路，其中，事故照明和安全疏散照明需要按工程中的最高負荷級別供電，并且應在燈具內配置蓄電池。3.接地系統(tǒng)接地系統(tǒng) 計算機機房的接地系統(tǒng)一般有交流工作接地、交流保護接地、防雷保護接地、屏蔽接地、防靜電接地（這5種接地歸納為聯(lián)合接地系統(tǒng)）和計算機系統(tǒng)直流接地幾種。 在場地允許的情況下，國內普遍采用直流接地與其他接地分開的做法。2.1.3 環(huán)境設備監(jiān)控系統(tǒng)環(huán)境設備監(jiān)控系統(tǒng) 環(huán)境設備監(jiān)控系統(tǒng)主要是對機房設備（如供配電系統(tǒng)、UPS電源、防雷器、空調系

8、統(tǒng)、消防系統(tǒng)等）的運行狀態(tài)、溫度、濕度，供電的電壓、電流、頻率以及配電系統(tǒng)的開關狀態(tài)、測漏系統(tǒng)等進行實時監(jiān)控并記錄數(shù)據(jù)，為機房的高效管理和安全運行提供有力的保證。1.圖像監(jiān)控系統(tǒng)圖像監(jiān)控系統(tǒng) 機房圖像監(jiān)控系統(tǒng)是建立機房安全防范機制不可缺少的環(huán)節(jié)。它能24小時監(jiān)視并記錄下機房內發(fā)生的任何事件。 機房中有大量的服務器及機柜、機架。在監(jiān)控布點時，每一排機柜之間安裝攝像機。如果機房有多個房間的話，應在UPS房和控制機房內安裝攝像機。 2.門禁管理系統(tǒng)門禁管理系統(tǒng) 門禁管理系統(tǒng)的主要目的是保證重要區(qū)域設備和資料的安全，便于人員的合理流動，對進入這些重要區(qū)域的人員實行各種方式的門禁管理，以便限制人員隨意進

9、出。3.環(huán)境監(jiān)控系統(tǒng)環(huán)境監(jiān)控系統(tǒng) （1）安裝漏水檢測系統(tǒng)。 （2）安裝溫感、煙感報警系統(tǒng)，以避免火災。 （3）安裝溫度、濕度計，以便于檢查。2.1.4 空調系統(tǒng)空調系統(tǒng) （1）計算機機房應采用專用空調設備，若與其他系統(tǒng)共用時，應保證空調效果和采取防火措施?？照{系統(tǒng)的主要設備應有備份，空調設備在能量上應有一定的余量。 （2）安裝在活動地板上及吊頂上的送、回風口應采用難燃材料或非燃材料。新風系統(tǒng)應安裝空氣過濾器，新風設備主體部分應采用難燃材料或非燃材料。2.2 自然與人為災害的防護自然與人為災害的防護2.2.1 防火防火防火主要做到以下幾點： （1）根據(jù)建筑設計防火規(guī)范和計算站場地安全要求的規(guī)定合

10、理設定主機房的耐火等級，但不應低于二級，應單獨設立防火分區(qū)，分隔墻要使用防火墻，應有兩個以上安全出口。 （2）裝飾和建筑材料應使用難燃或非燃材料，能防潮、防火、吸音、不起塵、抗靜電，盡量不使用地毯，而使用活動地板。 （3）不要在計算機系統(tǒng)的電源線上接有負荷變化的空調系統(tǒng)等電氣設備。 （4）水平電纜溝要采取防潮和防鼠咬措施，并分層鋪設強弱電線路，電纜管道在穿過墻壁和樓板時都應設置不燃燒體隔板，穿墻電纜應套金屬管，縫隙應用不燃材料封堵。 （5）普通線路也應設在不燃結構內，電線接點應做鍍鉛錫處理或使用壓線冒連接，最好不要絞接。 （6）有暖氣裝置的機房，沿機房地面周圍應設排水溝，應注意對暖氣管道定期檢

11、查和維修。 （7）配置滅火器應選用磷酸銨鹽干粉滅火器、碳酸氫鈉干粉滅火器、鹵代烷滅火器或二氧化碳滅火器，嚴禁使用自動噴淋系統(tǒng)。2.2.2 防水防水 防水主要做到以下幾點： （1）在機房內除安裝空調設備外，一般不得安裝其他水源。 （2）機房的墻壁、天花板和地板不能有滲水、浸水的現(xiàn)象。 （3）防止機房所有的門、窗和饋線進出口雨水滲入。 （4）防止空調設備冷凝水漏在機房里。 （5）機房內不能有水管穿越。 （6）不能用灑水式消防器材。2.2.3 防電磁干擾防電磁干擾電磁防護的主要目的是通過屏蔽、隔離、濾波、吸波、接地等措施，提高計算機及網(wǎng)絡系統(tǒng)和其他電子設備的抗干擾能力，使之能抵抗電磁干擾；同時將計算

12、機的電磁發(fā)射降到最低。為了防止電磁干擾對計算機設備的影響，在機房建設時就要注意以下幾個問題：（1）為了防止在混凝土板內埋設的電力配線產生電磁干擾，機房施工時，在墻內埋設的各種電器配線應穿金屬管，且管壁不能太薄。使用蛇皮管時，要盡量減少接頭，并使接頭互相嵌入深一些。（2）在室內盡量減少在混凝土內埋設配線，使更多的電纜、電線、信號線敷設在地板下和吊頂上。（3）機房內使用的所有電力線和信號線都要使用電磁屏蔽線，并穿鋼管或蛇皮管。（4）機房內配線盡量不作環(huán)形配線，而采用輻射配線。（5）對機房內的主要設備或主要區(qū)域進行屏蔽，可以有效地抑制電磁信息向外泄露，衰減外部強電磁干擾，保護內部的設備、器件或電路，

13、使其能在惡劣的電磁環(huán)境下正常工作。（6）建立良好的接地系統(tǒng)。2.2.4 防雷擊防雷擊 防雷應在以下幾方面采取措施： （1）中心機房所在的建筑物應當安裝獨立的避雷針、避雷網(wǎng)將整個中心機房所在的建筑物保護起來，將電流引入大地。 （2）在動力室電源線總配電盤上安裝專用避雷器構成第一級衰減。 （3）在機房配電柜進線處，安裝電源避雷器構成第二級衰減。 （4）機房布線不能沿墻敷設，以防止雷擊時墻內鋼筋瞬間傳導強雷電流時，瞬間變化的磁場在機房內的線路上感應出瞬間的高脈沖浪涌電壓把設備擊壞。 （5）地極保護器。2.3 靜電與電磁輻射的防護靜電與電磁輻射的防護2.3.1.靜電防護靜電防護 靜電就是物體所帶相對靜

14、止不動的電荷，是正負電荷在局部范圍內失去平衡的結果，是通過電子或離子轉移而形成的。1.靜電的危害靜電的危害 靜電放電（electro-static discharge，ESD）引起發(fā)光二極管PN結的擊穿，是LED器件封裝和應用組裝工業(yè)中靜電危害的主要方式。靜電損傷具有如下特點： （1）隱蔽性。 （2）潛伏性。 （3）復雜性。 （4）嚴重性。2.靜電防護靜電防護 （1）設備、儀器不使用塑料、有機玻璃、普通塑料袋。 （2）使用防靜電地面，敷設地線網(wǎng)。 （3）工作臺/面、工作椅、凳面應采用ESD保護材料。 （4）工作人員應穿防靜電服、鞋等。 （5）接地。2.3.2.電磁輻射防護電磁輻射防護 電磁輻射

15、干擾對計算機系統(tǒng)的穩(wěn)定性、可靠性和安全性有著直接影響，電磁輻射對計算機系統(tǒng)及其數(shù)據(jù)所產生的干擾、破壞、竊取與篡改的危險性與日俱增，現(xiàn)已成為重要的安全問題。電磁輻射防護技術與措施如下。1.距離防護距離防護 根據(jù)電磁場強度在傳播過程中隨距離的加大衰減很快的原理，可以采取將計算機、網(wǎng)絡設備等放置在遠離輻射源的地方。 根據(jù)技術要求，計算機機房場地的選擇應當滿足以下要求： （1）避開環(huán)境污染區(qū)，附近無大功率發(fā)射設備，無大功率的工業(yè)、科學、醫(yī)療射頻設備，無高壓線輸電線與大型負載。 （2）避開大型震動源，特別是鐵路沿線及工業(yè)生產震動，沖擊設備應當絕對避開。 （3）避開雷電多發(fā)區(qū)。 （4）避免置于高層建筑物上

16、層，計算機機房應當安置在地面第一層或通風良好的地下室。2.屏蔽防護屏蔽防護 屏蔽機房既可以防止外界電磁場干擾或破壞計算機系統(tǒng)的工作，又可以防止機房內計算機信息的泄露與失密。 屏蔽措施主要包含以下內容： （1）屏蔽機房必須是全屏蔽，實現(xiàn)整個屏蔽機房電氣一體化。 （2）所有電源線路必須濾波，盡量使用高抗干擾電源。 （3）信號線路濾波。2.4 存儲介質與數(shù)據(jù)保護存儲介質與數(shù)據(jù)保護2.4.1存儲介質保護存儲介質保護存儲介質是存儲數(shù)據(jù)的媒介。存儲介質的損壞會造成數(shù)據(jù)的丟失，而存儲介質被非授權用戶獲取會造成信息的泄露，這些都會給企業(yè)帶來無可估量的損失。保護存儲介質應建立專門的存儲介質庫（柜）并進行如下管理： （1）限制少數(shù)人接觸存儲介質庫（柜）。 （2）存儲介質庫（柜）內帶盤的目錄清單要標明相關參數(shù)，并定期檢查。 （3）保護存儲介質免受意外碰撞，存儲介質受到碰撞，極有可能破壞設備，導致數(shù)據(jù)損壞、丟失。 （4）謹防靜電。 （5）存儲介質庫（柜）房要保持合適的溫度、濕度。 （6）磁帶裝盒。2.4.2 數(shù)據(jù)保護數(shù)據(jù)保護 存儲介質保護是針對存儲介質丟失和濫用提供的保護，從信息安全角度來看，就是確保數(shù)據(jù)的保密性、完整性和可用性。 信息保護包含的內容如下： 1.保護數(shù)據(jù)不被泄露 2.保護數(shù)據(jù)不丟失1.保護數(shù)據(jù)不被泄露保護數(shù)據(jù)不被泄露 為保護