第3章 計算機系統實體的安全.ppt

1、3.1 計算機系統的可靠性,計算機系統實體的安全是指為了保證計算機系統安全、可靠地運行，確保系統在對信息進行采集、傳輸、存儲、處理、顯示、分發(fā)和利用的過程中，不致受到人為的或自然因素的危害而使信息丟失、泄漏和破壞，對計算機系統設備、通信與網絡設備、存儲媒體設備和人員所采取的安全技術措施。 3.1 計算機系統的可靠性 要保證計算機系統的安全性，首先必須保證計算機系統實體，即計算機及其外部設備和網絡及通信線路可靠、無故障和無差錯。,3.1 計算機系統的可靠性,3.1.l 計算機系統的可靠性 可靠性基本指標：可靠度，失效概率，失效密度，平均壽命（或平均無故障時間）等 可靠度：是指計算機在規(guī)定的條件下

2、和給定的時間內完成預定功能的概率。 “平均壽命”也叫故障間隔平均時間（MTBF），或平均無故障工作時間（MTTF）。如果用 n個元件進行一次壽命試驗，直到全部元件損壞為止，把每個元件損壞以前的工作時間記為t1，t2，tx，其平均壽命公式：,3.1 計算機系統的可靠性,計算機系統可靠性 各指標的關系,3.1 計算機系統的可靠性,影響計算機可靠性的因素有內因和外因 內因是指機器本身的因素，包括設計、工藝、結構、調試等因素，元件選擇和使用不當、電路和結構設計不合理、生產工藝不良、質量控制不嚴、調試不當等都會影響計算機的可靠性； 外因是指所在環(huán)境條件對系統可靠性、穩(wěn)定性和維護水平的影響。環(huán)境條件包括：

3、空氣條件、機械條件、電氣條件、電磁條件等幾個方面。 在系統的可靠性工程中，元器件是基礎，設計是關鍵，環(huán)境是保證。因此，要提高信息系統的可靠性，除了保證系統的正常工作條件及正確使用和維護外，還要采取以下兩種技術：一是容錯技術，二是故障診斷。,3.1 計算機系統的可靠性,容錯技術：是指用增加冗余資源的方法來掩蓋故障造成的影響，使系統在元器件或線路有故障或軟件有差錯時，仍能正確的執(zhí)行預定算法的功能。容錯技術也稱為冗余技術或故障掩蓋技術。計算機信息系統的容錯技術通常采用硬件冗余（多重結構、表決系統、雙工系統等）、時間冗余（指令復執(zhí)、程序重試等）、信息冗余（校驗碼、糾錯碼等）、軟件冗余（多重模塊、階段表

4、決等）等方法。 故障診斷：是通過檢測和排除系統元器件或線路故障，或糾正程序的錯誤來保證和提高系統可靠性的方法。,3.1 計算機系統的可靠性,3.1.2 計算機系統的故障分析 故障（Fault）是失效的根本原因。計算機故障，是指造成計算機功能錯誤的硬件物理損壞或程序的錯誤。 差錯（Error）是計算機故障造成的后果。 故障可分為兩大類：硬故障、軟故障。 硬故障：元器件、電路、機械、介質等部分的物理損壞。 軟故障：因電磁干擾、偶而落入的塵埃、溫度變化、電源掉電或病毒感染而導致系統功能不正常，不能正常運行的故障。,3.1 計算機系統的可靠性,實踐表明，在計算機的運行中，軟故障占6070。據試驗統計，

5、在硬故障中，電連接方面的斷路、短路故障占23.4，虛焊故障占33，孔化故障占28.6，其它類型的電連接故障占15。在元器件方面的故障中，半導體器件占37. 65，電容器占20.68，電阻器占17.36，開關接插件占4.99，變壓器等電感性元件占2.67，其它元件占16.65。,3.1 計算機系統的可靠性,3.1.3 計算機系統故障的原因 對2000多臺微機的故障情況進行分析，可知導致信息系統發(fā)生故障的原因大致有以下幾種因素： 1集成電路本身的缺陷 2硬件故障 3靜電感應使元器件擊穿失效 4電氣干擾使計算機出錯 5環(huán)境條件方面的原因 6管理不善,3.2 計算機的故障診斷,計算機的故障診斷采用人工

6、診斷和自動診斷兩類方法。自動診斷包括功能測試法、結構測試法和故障診斷專家系統等方法。 3.2.l 人工診斷 1拔插法 2分段查找法 3邏輯測試法 4同類比較法 5跟蹤追擊法 6壓縮隔離法 7振動敲擊法 8拉偏法 9背片法 10直接判斷法,3.2 計算機的故障診斷,3.2.2 功能測試法 計算機規(guī)模的擴大和復雜性增加，人工診斷法逐漸由自動診斷法所取代。自動診斷法先后采用功能測試法、結構測試法（也叫故障位測試法）和故障診斷專家系統。 1功能測試原理 根據莫爾的“思維試驗”設計的。功能測試法，按其診斷程序的組成，可分為指令級功能測試和微指令級功能測試。 2診斷程序測試 （1）高級診斷程序（2）QAP

7、LUS診斷測試,3.2 計算機的故障診斷,3.2.3 微程序診斷 1微診斷測試原理 用微指令組成的微診斷程序對計算機執(zhí)行微程序的功能正確性進行測試，以此來判斷機器有無故障。 2微診斷方法 微診斷方法有手工測試和自動測試兩種方法。 手工微診斷也叫靜態(tài)微診斷，它是在機器停機以后，由手工扳動機器開關或按鍵，進行單條微指令或單脈沖檢查。 自動微診斷也稱動態(tài)微診斷，它不需要停機，而是用一條特定的診斷指令就可以調用微診斷程序。,3.2 計算機的故障診斷,自動微診斷與手工微診斷不同。 第一，自動微診斷進行診斷的時間盡可能地短，否則會丟失某些實時信息，所以它往往只能對某些組件或容易出錯的組件進行診斷； 第二，

8、自動微診斷必須能保護現場； 第三，自動微診斷能區(qū)分是暫時性故障還是固定性故障。對固定性故障采用自動切離故障組件，降低使用或停機，由人工更換故障元器件。對暫時性故障，則從最近一個檢查基點開始，作指令重執(zhí)或程序卷回重試來處理，以度過暫時性故障。 3.2.4 幾種故障診斷方法比較 P42,3.3 計算機的抗電磁干擾,3.3.1 來自計算機內部的電磁干擾 計算機的電磁干擾（EMI）：計算機及其外部設備工作時產生的寄散（寄生）電磁輻射，在空間以電磁波的形式傳輸。當輻射出的能量超過一定程度時就會干擾計算機本身和周圍的電子設備。包括計算機本身產生的電磁干擾和來自外部的電磁干擾。計算機本身產生的電磁干擾，這類

9、干擾是瞬態(tài)的、隨機的，表現是多種多樣的。 1元器件噪聲干擾 2寄生耦合干擾 3信號反射干擾 4地線干擾 5高頻電路輻射干擾,3.3 計算機的抗電磁干擾,3.3.2 來自計算機外部的電磁干擾 指電氣設備干擾、自然干擾和靜電干擾 1電氣設備干擾 計算機電磁干擾主要來源。按其干擾性質可分為：工頻干擾、開關干擾、放電干擾和射頻干擾。 2自然干擾 雷電干擾、宇宙干擾、大氣放電干擾、地球熱輻射干擾和地爆電磁脈沖干擾。 3靜電干擾 靜電危害是計算機、半導體器件的“大敵”，是造成微機半導體損壞的主要原因。,3.3 計算機的抗電磁干擾,3.3.3 計算機中電磁干擾的耦合形式 電磁干擾源產生的電壓或電流干擾波，通

10、過耦合進入計算機，使計算機電路損壞或使計算機系統信息丟失。按耦合介質，可將耦合分為以下幾種形式： 1直接耦合 2共阻抗耦合 3電場耦合 4磁場耦合 5電磁感應 3.3.4 計算機中的干擾抑制技術 1濾波去耦 2電磁屏蔽 3接地系統 4電源系統,3.4 實體的訪問控制,3.4.1訪問控制的基本任務 1識別與驗證 所謂“識別”，就是要明確訪問者是誰，即識別訪問者的身份。 所謂“驗證”，就是證實用戶的身份。 目前，最常用的驗證手段有口令機制、生物技術、視網膜技術,3.4 實體的訪問控制,口令機制常用方法： 口令需加密后存放在系統數據庫中，一般采用單向加密算法對口令進行加密。 要使輸入口令的次數盡量減

11、少，以防意外泄露。 當用戶離開系統所屬的組織時，要及時更換他的口令。 不要將口令存放在文件或程序中，以防其他用戶讀該文件或程序時發(fā)現口令。 用戶要經常更換口令，使自己的口令不易被猜出來。,3.4 實體的訪問控制,2決定用戶訪問權限 對于一個已被系統識別與驗證了的用戶，還要對其訪問操作實施一定的限制。 (1)特殊的用戶：這種用戶是系統的管理員，具有最高級別的特權。 (2)一般的用戶：即系統的一般用戶，通常需要由系統管理員對這類用戶分配不同的訪問操作權力。 (3)審計的用戶：這類用戶負責整個系統范圍的安全控制與資源使用情況的審計。 (4)作廢的用戶：這是一類被拒絕訪問系統的用戶，可能是非法用戶。,

12、3.4 實體的訪問控制,3.4.2 實體訪問控制 首先，物理訪問控制必須能夠識別來訪用戶的身份，并對其合法性進行驗證，主要通過特殊標識符、口令、指紋等實現。 其次，對來訪者必須限制其活動范圍。 第三，要在計算機中心設置高層安全防護圈，以防非法的暴力入侵。 第四，計算中心設備所在的建筑物應具有抵御各種自然災害或人為災害的設施。 第五，設立完備的安全管理制度，培養(yǎng)工作人員良好的風紀，防止各種偷竊與破壞活動的發(fā)生。,3.4 實體的訪問控制,3.4.3 身份的鑒別 一個是識別；一個是驗證。識別信息（識別符）一般是非秘密的，而驗證信息必須是秘密的。 個人身份驗證方法分成四種類型： 驗證他知道什么； 驗證

13、他擁有什么； 驗證他的生物特征； 驗證他的下意識動作的結果。,3.4 實體的訪問控制,1口令驗證 口令兩種生成方法：一種是由口令擁有者自己選擇口令；另一種是由機器自動生成隨時的口令.前者的優(yōu)點是用戶很容易記住，一般不會忘記，但它的缺點是很容易被猜出來；后者的優(yōu)點是隨機性好，要想猜測很困難，它的缺點是用戶記起來要困難一些。 口令管理：口令保存、口令交換。 假如有A、B兩人通信，在通信之前他們對對方的身份進行鑒別。為此，他們都有各自的口令，并且還應當保存有對方的口令。,3.4 實體的訪問控制,設A的口令是P，B的口令是Q。當A向B進行通信時，B對A進行鑒別，那么A就必須首先向B發(fā)送他的鑒別信息，但

14、A這時對B的身份也沒有進行鑒別，所以他不能直接將他的口令發(fā)送給B。問題的關鍵在于：相互進行身份鑒別的雙方都不能直接將他的口令傳送給對方，但進行身份鑒別還必須有相應的口令信息。 采用一個單向函數O。A要對B的身份進行鑒別時，他首先向B發(fā)送一個隨機選擇的值x1，這個值是非保密的，B在收到x1后，利用單向函數O對x1與B的口令Q進行如下運算： y1O（Q，x1）,3.4 實體的訪問控制,B再將y1發(fā)回A。單向函數O可以保證即使知道了x1與y1，也無法恢復出Q來。 這樣，在y1中既包括了B的口令，但任何人又無法恢復出B的口令。當A收到B返回的y1后，就利用單向函數O對x1(A選擇的值）與Q（A保存的值

15、）進行運算，然后將結果與收到的y1進行比較。如相等，A就認為B是合法的通信方，否則就認為B是非法的。如果A是非法收者，那么他也無法從y1中恢復出B的口令來。,3.4 實體的訪問控制,同樣，B在與A進行真正的通信之前，也必須對A的身份進行鑒別。鑒別的方法如A對B的身份進行鑒別一樣，B向A發(fā)送一個選擇使x2，A收到x2后，利用單向函數O對x2與他的口令P進行如下運算： y2=O(P,x2) 然后將y2發(fā)給B，B收到y2后，可以對其進行們一的鑒別，以決定對方是否是A。 2利用信物進行身份鑒別 3利用人類特征進行身份鑒別,3.5 記錄媒體的保護與管理,3.5.1 記錄的分類 為了對那些必須保護的記錄提

16、供足夠的數據保護，而對那些不重要的記錄不提供多余的保護，應該對所有記錄進行評價并作出分類。計算機系統的記錄按其重要性和機密程度，可分為四類： 1一類記錄（關鍵性記錄） 2二類記錄（重要記錄） 3三類記錄（有用記錄） 4四類記錄（不重要記錄）,3.5 記錄媒體的保護與管理,3.5.2 記錄媒體的防護要求 全部一類記錄部應該復制，其復制品應分散存放在安全地方。二類記錄也應有類似的復制品和存放辦法。 記錄媒體存放的庫房或文件柜應具有以下條件： 存放一類、二類記錄的保護設備（如金屬文件柜）應具有防火、防高溫、防水、防震、防電磁場的性能；三類記錄應存放在密閉的金屬文件箱或柜中。這些保護設備應存在庫房內。

17、 記錄媒體存放條件與計算機的正常工作條件相同。,3.5 記錄媒體的保護與管理,存放在機房外沒有復制的一、二類記錄媒體應該存放在能防火的庫房（磁帶、磁盤庫）中。該房間的建筑物耐火等級必須符合GBJ4582中規(guī)定的一級耐火等級，或放在能防火、防高溫、防水、防震、防電磁場和防盜的保險柜中。如果記錄媒體不是存放在密閉的金屬文件柜或其它不燃材料的容器中，那么存放記錄媒體的房間應提供Halon自動噴射系統。磁記錄媒體的存放房間可采用自動Halon1301噴射系統來保護。 留在機房內的記錄應該是保證系統有效運行的最小記錄，不必要的記錄不應留在機房內，所有磁記錄不用時必須保存在庫內。,3.5 記錄媒體的保護與

18、管理,不同類別的記錄應分檔管理。對于關鍵的、敏感的磁記錄媒體應采取以下措施： 造冊登記，編制目錄，集中管理。 復制、傳遞、使用、發(fā)放要有審批簽字手續(xù)。 銷毀必須登記，并由承辦人填寫銷毀記錄。 拷貝的磁記錄文件要和原磁記錄文件分類相同。 要有防拷貝和信息加密措施。,3.5 記錄媒體的保護與管理,3.5.3 記錄媒體的使用與管理狀況 我國在記錄媒體的使用和管理上存在下列問題： 引進設備時，對主機性能了解較多，對磁記錄設備考慮較少，以致缺少備件，沒有維修能力，一旦記錄有重要、敏感信息的磁記錄設備發(fā)生故障，只能冒著泄密的重大危險到國外維修或報銷。 信息中心、計算中心由于經費和場地等原因，存放磁記錄媒體

19、的地點與工作地點混在一起，一旦出現事故（如火災、水災），就會造成設備和記錄全部報廢。,3.5 記錄媒體的保護與管理,被調查單位有80沒有對所用的磁記錄媒體進行分類，僅將隨機帶來的磁記錄媒體拷貝放在機房保險柜中。單位內的應用程序，無論其關鍵性、敏感性如何，拷貝均存于個人手中，造成“應用程序滿天飛”，無任何安全性可言。 機房計算機磁記錄存檔、拷貝手續(xù)很不完善，沒有專人負責，對磁記錄的硬拷貝（打印結果），缺乏嚴格的審批登記簽字手續(xù)。 沒有形成一套行之有效的定期拷貝、使用管理、處理、銷毀制度，磁記錄媒體的進出管理也缺乏一套切實可行的管理辦法。,3.5 記錄媒體的保護與管理,3.5.4 磁記錄媒體的管理

20、 在思想上高度重視，結合本單位實際，委派專人負責，制定出一套切實可行的管理制度。 對磁盤、磁帶庫的訪問應當限于庫管理員，可以允許由操作管理員或控制管理員指定的人員對磁盤、磁帶庫作臨時性的訪問。 庫管理員負責所有磁記錄媒體的接收和發(fā)出。在發(fā)出任何磁盤、磁帶以前，庫管理員必須收到一個說明作業(yè)控制號、作業(yè)名、卷系列號和請求文件人的申請清單，還應該檢查用戶核準表，確認用戶是被核準的，可以使用現在所請求的磁記錄媒體。,3.5 記錄媒體的保護與管理,所有磁盤、磁帶的目錄清單必須具有下列信息：文件所有者、卷系列號、文件名及其描述、作業(yè)或項目編號、建立日期和保留期限。從外面借來的文件應當用所有者、卷系列號、文

21、件名及其描述、接收日期和歸還日期進行編號。 新的磁介質文件要有完整的歸檔記錄。歸檔文件要清楚、齊全，一旦投入使用，任何人（包括設計者本人）未經批準不準增、刪、改。庫管理員負責把備份文件傳送到離開現場的安全地方。存放磁記錄媒體的庫房，必須符合表 35規(guī)定的條件，使用前應給24 h時效時間使其調整到正常使用條件。,3.5 記錄媒體的保護與管理,當處理非常敏感的信息時，管理員應該在場。 舊的磁盤和磁帶在銷毀前，要進行消磁和清除數據。信息中心的安全負責人應該確保所有已損壞磁盤、磁帶的銷毀，新磁盤、磁帶的定期檢查和清洗，并認真登記。 改寫軟盤上的內容，順序重復寫“0”或寫“l(fā)”，或用消磁器都可以完成磁記

22、錄的清洗。對于關鍵性、敏感性的磁記錄媒體，要保證信息不被重新復現，銷毀是唯一的選擇。,3.5 記錄媒體的保護與管理,為防止由于雷電通過鋼鐵材料傳播時產生的磁場把磁記錄媒體上的信息破壞，磁記錄媒體存放時應至少離開用鋼鐵加強的建筑物柱子和類似柱子的建筑物結構10cm。 對于每一種信息資源必須保持足夠的備份文件，這樣被無意或蓄意清洗掉的或丟失的程序與數據文件場可以重建起來。 為了減少由于意外和不希望的事件引起的損害，記錄媒體的管理部門應制定出數套應急措施，以對付萬一發(fā)生的災難性事件。,3.6 計算機的防電磁泄漏,3.6.1計算機的電磁泄漏特性 兩種途徑泄漏出去：一種是以電磁波的形式輻射出去，稱為輻射泄漏；另一種是通過各種線路和金屬管道傳導出去，稱為傳導泄漏。往往傳導泄漏還伴隨著輻射泄漏。 1輻射