第3章 計算機(jī)系統(tǒng)實(shí)體的安全.ppt

1、3.1 計算機(jī)系統(tǒng)的可靠性,計算機(jī)系統(tǒng)實(shí)體的安全是指為了保證計算機(jī)系統(tǒng)安全、可靠地運(yùn)行，確保系統(tǒng)在對信息進(jìn)行采集、傳輸、存儲、處理、顯示、分發(fā)和利用的過程中，不致受到人為的或自然因素的危害而使信息丟失、泄漏和破壞，對計算機(jī)系統(tǒng)設(shè)備、通信與網(wǎng)絡(luò)設(shè)備、存儲媒體設(shè)備和人員所采取的安全技術(shù)措施。 3.1 計算機(jī)系統(tǒng)的可靠性 要保證計算機(jī)系統(tǒng)的安全性，首先必須保證計算機(jī)系統(tǒng)實(shí)體，即計算機(jī)及其外部設(shè)備和網(wǎng)絡(luò)及通信線路可靠、無故障和無差錯。,3.1 計算機(jī)系統(tǒng)的可靠性,3.1.l 計算機(jī)系統(tǒng)的可靠性 可靠性基本指標(biāo)：可靠度，失效概率，失效密度，平均壽命（或平均無故障時間）等 可靠度：是指計算機(jī)在規(guī)定的條件下

2、和給定的時間內(nèi)完成預(yù)定功能的概率。 “平均壽命”也叫故障間隔平均時間（MTBF），或平均無故障工作時間（MTTF）。如果用 n個元件進(jìn)行一次壽命試驗(yàn)，直到全部元件損壞為止，把每個元件損壞以前的工作時間記為t1，t2，tx，其平均壽命公式：,3.1 計算機(jī)系統(tǒng)的可靠性,計算機(jī)系統(tǒng)可靠性 各指標(biāo)的關(guān)系,3.1 計算機(jī)系統(tǒng)的可靠性,影響計算機(jī)可靠性的因素有內(nèi)因和外因 內(nèi)因是指機(jī)器本身的因素，包括設(shè)計、工藝、結(jié)構(gòu)、調(diào)試等因素，元件選擇和使用不當(dāng)、電路和結(jié)構(gòu)設(shè)計不合理、生產(chǎn)工藝不良、質(zhì)量控制不嚴(yán)、調(diào)試不當(dāng)?shù)榷紩绊懹嬎銠C(jī)的可靠性； 外因是指所在環(huán)境條件對系統(tǒng)可靠性、穩(wěn)定性和維護(hù)水平的影響。環(huán)境條件包括：

3、空氣條件、機(jī)械條件、電氣條件、電磁條件等幾個方面。 在系統(tǒng)的可靠性工程中，元器件是基礎(chǔ)，設(shè)計是關(guān)鍵，環(huán)境是保證。因此，要提高信息系統(tǒng)的可靠性，除了保證系統(tǒng)的正常工作條件及正確使用和維護(hù)外，還要采取以下兩種技術(shù)：一是容錯技術(shù)，二是故障診斷。,3.1 計算機(jī)系統(tǒng)的可靠性,容錯技術(shù)：是指用增加冗余資源的方法來掩蓋故障造成的影響，使系統(tǒng)在元器件或線路有故障或軟件有差錯時，仍能正確的執(zhí)行預(yù)定算法的功能。容錯技術(shù)也稱為冗余技術(shù)或故障掩蓋技術(shù)。計算機(jī)信息系統(tǒng)的容錯技術(shù)通常采用硬件冗余（多重結(jié)構(gòu)、表決系統(tǒng)、雙工系統(tǒng)等）、時間冗余（指令復(fù)執(zhí)、程序重試等）、信息冗余（校驗(yàn)碼、糾錯碼等）、軟件冗余（多重模塊、階段表

4、決等）等方法。 故障診斷：是通過檢測和排除系統(tǒng)元器件或線路故障，或糾正程序的錯誤來保證和提高系統(tǒng)可靠性的方法。,3.1 計算機(jī)系統(tǒng)的可靠性,3.1.2 計算機(jī)系統(tǒng)的故障分析 故障（Fault）是失效的根本原因。計算機(jī)故障，是指造成計算機(jī)功能錯誤的硬件物理損壞或程序的錯誤。 差錯（Error）是計算機(jī)故障造成的后果。 故障可分為兩大類：硬故障、軟故障。 硬故障：元器件、電路、機(jī)械、介質(zhì)等部分的物理損壞。 軟故障：因電磁干擾、偶而落入的塵埃、溫度變化、電源掉電或病毒感染而導(dǎo)致系統(tǒng)功能不正常，不能正常運(yùn)行的故障。,3.1 計算機(jī)系統(tǒng)的可靠性,實(shí)踐表明，在計算機(jī)的運(yùn)行中，軟故障占6070。據(jù)試驗(yàn)統(tǒng)計，

5、在硬故障中，電連接方面的斷路、短路故障占23.4，虛焊故障占33，孔化故障占28.6，其它類型的電連接故障占15。在元器件方面的故障中，半導(dǎo)體器件占37. 65，電容器占20.68，電阻器占17.36，開關(guān)接插件占4.99，變壓器等電感性元件占2.67，其它元件占16.65。,3.1 計算機(jī)系統(tǒng)的可靠性,3.1.3 計算機(jī)系統(tǒng)故障的原因 對2000多臺微機(jī)的故障情況進(jìn)行分析，可知導(dǎo)致信息系統(tǒng)發(fā)生故障的原因大致有以下幾種因素： 1集成電路本身的缺陷 2硬件故障 3靜電感應(yīng)使元器件擊穿失效 4電氣干擾使計算機(jī)出錯 5環(huán)境條件方面的原因 6管理不善,3.2 計算機(jī)的故障診斷,計算機(jī)的故障診斷采用人工

6、診斷和自動診斷兩類方法。自動診斷包括功能測試法、結(jié)構(gòu)測試法和故障診斷專家系統(tǒng)等方法。 3.2.l 人工診斷 1拔插法 2分段查找法 3邏輯測試法 4同類比較法 5跟蹤追擊法 6壓縮隔離法 7振動敲擊法 8拉偏法 9背片法 10直接判斷法,3.2 計算機(jī)的故障診斷,3.2.2 功能測試法 計算機(jī)規(guī)模的擴(kuò)大和復(fù)雜性增加，人工診斷法逐漸由自動診斷法所取代。自動診斷法先后采用功能測試法、結(jié)構(gòu)測試法（也叫故障位測試法）和故障診斷專家系統(tǒng)。 1功能測試原理 根據(jù)莫爾的“思維試驗(yàn)”設(shè)計的。功能測試法，按其診斷程序的組成，可分為指令級功能測試和微指令級功能測試。 2診斷程序測試 （1）高級診斷程序（2）QAP

7、LUS診斷測試,3.2 計算機(jī)的故障診斷,3.2.3 微程序診斷 1微診斷測試原理 用微指令組成的微診斷程序?qū)τ嬎銠C(jī)執(zhí)行微程序的功能正確性進(jìn)行測試，以此來判斷機(jī)器有無故障。 2微診斷方法 微診斷方法有手工測試和自動測試兩種方法。 手工微診斷也叫靜態(tài)微診斷，它是在機(jī)器停機(jī)以后，由手工扳動機(jī)器開關(guān)或按鍵，進(jìn)行單條微指令或單脈沖檢查。 自動微診斷也稱動態(tài)微診斷，它不需要停機(jī)，而是用一條特定的診斷指令就可以調(diào)用微診斷程序。,3.2 計算機(jī)的故障診斷,自動微診斷與手工微診斷不同。 第一，自動微診斷進(jìn)行診斷的時間盡可能地短，否則會丟失某些實(shí)時信息，所以它往往只能對某些組件或容易出錯的組件進(jìn)行診斷； 第二，

8、自動微診斷必須能保護(hù)現(xiàn)場； 第三，自動微診斷能區(qū)分是暫時性故障還是固定性故障。對固定性故障采用自動切離故障組件，降低使用或停機(jī)，由人工更換故障元器件。對暫時性故障，則從最近一個檢查基點(diǎn)開始，作指令重執(zhí)或程序卷回重試來處理，以度過暫時性故障。 3.2.4 幾種故障診斷方法比較 P42,3.3 計算機(jī)的抗電磁干擾,3.3.1 來自計算機(jī)內(nèi)部的電磁干擾 計算機(jī)的電磁干擾（EMI）：計算機(jī)及其外部設(shè)備工作時產(chǎn)生的寄散（寄生）電磁輻射，在空間以電磁波的形式傳輸。當(dāng)輻射出的能量超過一定程度時就會干擾計算機(jī)本身和周圍的電子設(shè)備。包括計算機(jī)本身產(chǎn)生的電磁干擾和來自外部的電磁干擾。計算機(jī)本身產(chǎn)生的電磁干擾，這類

9、干擾是瞬態(tài)的、隨機(jī)的，表現(xiàn)是多種多樣的。 1元器件噪聲干擾 2寄生耦合干擾 3信號反射干擾 4地線干擾 5高頻電路輻射干擾,3.3 計算機(jī)的抗電磁干擾,3.3.2 來自計算機(jī)外部的電磁干擾 指電氣設(shè)備干擾、自然干擾和靜電干擾 1電氣設(shè)備干擾 計算機(jī)電磁干擾主要來源。按其干擾性質(zhì)可分為：工頻干擾、開關(guān)干擾、放電干擾和射頻干擾。 2自然干擾 雷電干擾、宇宙干擾、大氣放電干擾、地球熱輻射干擾和地爆電磁脈沖干擾。 3靜電干擾 靜電危害是計算機(jī)、半導(dǎo)體器件的“大敵”，是造成微機(jī)半導(dǎo)體損壞的主要原因。,3.3 計算機(jī)的抗電磁干擾,3.3.3 計算機(jī)中電磁干擾的耦合形式 電磁干擾源產(chǎn)生的電壓或電流干擾波，通

10、過耦合進(jìn)入計算機(jī)，使計算機(jī)電路損壞或使計算機(jī)系統(tǒng)信息丟失。按耦合介質(zhì)，可將耦合分為以下幾種形式： 1直接耦合 2共阻抗耦合 3電場耦合 4磁場耦合 5電磁感應(yīng) 3.3.4 計算機(jī)中的干擾抑制技術(shù) 1濾波去耦 2電磁屏蔽 3接地系統(tǒng) 4電源系統(tǒng),3.4 實(shí)體的訪問控制,3.4.1訪問控制的基本任務(wù) 1識別與驗(yàn)證 所謂“識別”，就是要明確訪問者是誰，即識別訪問者的身份。 所謂“驗(yàn)證”，就是證實(shí)用戶的身份。 目前，最常用的驗(yàn)證手段有口令機(jī)制、生物技術(shù)、視網(wǎng)膜技術(shù),3.4 實(shí)體的訪問控制,口令機(jī)制常用方法： 口令需加密后存放在系統(tǒng)數(shù)據(jù)庫中，一般采用單向加密算法對口令進(jìn)行加密。 要使輸入口令的次數(shù)盡量減

11、少，以防意外泄露。 當(dāng)用戶離開系統(tǒng)所屬的組織時，要及時更換他的口令。 不要將口令存放在文件或程序中，以防其他用戶讀該文件或程序時發(fā)現(xiàn)口令。 用戶要經(jīng)常更換口令，使自己的口令不易被猜出來。,3.4 實(shí)體的訪問控制,2決定用戶訪問權(quán)限 對于一個已被系統(tǒng)識別與驗(yàn)證了的用戶，還要對其訪問操作實(shí)施一定的限制。 (1)特殊的用戶：這種用戶是系統(tǒng)的管理員，具有最高級別的特權(quán)。 (2)一般的用戶：即系統(tǒng)的一般用戶，通常需要由系統(tǒng)管理員對這類用戶分配不同的訪問操作權(quán)力。 (3)審計的用戶：這類用戶負(fù)責(zé)整個系統(tǒng)范圍的安全控制與資源使用情況的審計。 (4)作廢的用戶：這是一類被拒絕訪問系統(tǒng)的用戶，可能是非法用戶。,

12、3.4 實(shí)體的訪問控制,3.4.2 實(shí)體訪問控制 首先，物理訪問控制必須能夠識別來訪用戶的身份，并對其合法性進(jìn)行驗(yàn)證，主要通過特殊標(biāo)識符、口令、指紋等實(shí)現(xiàn)。 其次，對來訪者必須限制其活動范圍。 第三，要在計算機(jī)中心設(shè)置高層安全防護(hù)圈，以防非法的暴力入侵。 第四，計算中心設(shè)備所在的建筑物應(yīng)具有抵御各種自然災(zāi)害或人為災(zāi)害的設(shè)施。 第五，設(shè)立完備的安全管理制度，培養(yǎng)工作人員良好的風(fēng)紀(jì)，防止各種偷竊與破壞活動的發(fā)生。,3.4 實(shí)體的訪問控制,3.4.3 身份的鑒別 一個是識別；一個是驗(yàn)證。識別信息（識別符）一般是非秘密的，而驗(yàn)證信息必須是秘密的。 個人身份驗(yàn)證方法分成四種類型： 驗(yàn)證他知道什么； 驗(yàn)證

13、他擁有什么； 驗(yàn)證他的生物特征； 驗(yàn)證他的下意識動作的結(jié)果。,3.4 實(shí)體的訪問控制,1口令驗(yàn)證 口令兩種生成方法：一種是由口令擁有者自己選擇口令；另一種是由機(jī)器自動生成隨時的口令.前者的優(yōu)點(diǎn)是用戶很容易記住，一般不會忘記，但它的缺點(diǎn)是很容易被猜出來；后者的優(yōu)點(diǎn)是隨機(jī)性好，要想猜測很困難，它的缺點(diǎn)是用戶記起來要困難一些。 口令管理：口令保存、口令交換。 假如有A、B兩人通信，在通信之前他們對對方的身份進(jìn)行鑒別。為此，他們都有各自的口令，并且還應(yīng)當(dāng)保存有對方的口令。,3.4 實(shí)體的訪問控制,設(shè)A的口令是P，B的口令是Q。當(dāng)A向B進(jìn)行通信時，B對A進(jìn)行鑒別，那么A就必須首先向B發(fā)送他的鑒別信息，但

14、A這時對B的身份也沒有進(jìn)行鑒別，所以他不能直接將他的口令發(fā)送給B。問題的關(guān)鍵在于：相互進(jìn)行身份鑒別的雙方都不能直接將他的口令傳送給對方，但進(jìn)行身份鑒別還必須有相應(yīng)的口令信息。 采用一個單向函數(shù)O。A要對B的身份進(jìn)行鑒別時，他首先向B發(fā)送一個隨機(jī)選擇的值x1，這個值是非保密的，B在收到x1后，利用單向函數(shù)O對x1與B的口令Q進(jìn)行如下運(yùn)算： y1O（Q，x1）,3.4 實(shí)體的訪問控制,B再將y1發(fā)回A。單向函數(shù)O可以保證即使知道了x1與y1，也無法恢復(fù)出Q來。 這樣，在y1中既包括了B的口令，但任何人又無法恢復(fù)出B的口令。當(dāng)A收到B返回的y1后，就利用單向函數(shù)O對x1(A選擇的值）與Q（A保存的值

15、）進(jìn)行運(yùn)算，然后將結(jié)果與收到的y1進(jìn)行比較。如相等，A就認(rèn)為B是合法的通信方，否則就認(rèn)為B是非法的。如果A是非法收者，那么他也無法從y1中恢復(fù)出B的口令來。,3.4 實(shí)體的訪問控制,同樣，B在與A進(jìn)行真正的通信之前，也必須對A的身份進(jìn)行鑒別。鑒別的方法如A對B的身份進(jìn)行鑒別一樣，B向A發(fā)送一個選擇使x2，A收到x2后，利用單向函數(shù)O對x2與他的口令P進(jìn)行如下運(yùn)算： y2=O(P,x2) 然后將y2發(fā)給B，B收到y(tǒng)2后，可以對其進(jìn)行們一的鑒別，以決定對方是否是A。 2利用信物進(jìn)行身份鑒別 3利用人類特征進(jìn)行身份鑒別,3.5 記錄媒體的保護(hù)與管理,3.5.1 記錄的分類 為了對那些必須保護(hù)的記錄提

16、供足夠的數(shù)據(jù)保護(hù)，而對那些不重要的記錄不提供多余的保護(hù)，應(yīng)該對所有記錄進(jìn)行評價并作出分類。計算機(jī)系統(tǒng)的記錄按其重要性和機(jī)密程度，可分為四類： 1一類記錄（關(guān)鍵性記錄） 2二類記錄（重要記錄） 3三類記錄（有用記錄） 4四類記錄（不重要記錄）,3.5 記錄媒體的保護(hù)與管理,3.5.2 記錄媒體的防護(hù)要求 全部一類記錄部應(yīng)該復(fù)制，其復(fù)制品應(yīng)分散存放在安全地方。二類記錄也應(yīng)有類似的復(fù)制品和存放辦法。 記錄媒體存放的庫房或文件柜應(yīng)具有以下條件： 存放一類、二類記錄的保護(hù)設(shè)備（如金屬文件柜）應(yīng)具有防火、防高溫、防水、防震、防電磁場的性能；三類記錄應(yīng)存放在密閉的金屬文件箱或柜中。這些保護(hù)設(shè)備應(yīng)存在庫房內(nèi)。

17、 記錄媒體存放條件與計算機(jī)的正常工作條件相同。,3.5 記錄媒體的保護(hù)與管理,存放在機(jī)房外沒有復(fù)制的一、二類記錄媒體應(yīng)該存放在能防火的庫房（磁帶、磁盤庫）中。該房間的建筑物耐火等級必須符合GBJ4582中規(guī)定的一級耐火等級，或放在能防火、防高溫、防水、防震、防電磁場和防盜的保險柜中。如果記錄媒體不是存放在密閉的金屬文件柜或其它不燃材料的容器中，那么存放記錄媒體的房間應(yīng)提供Halon自動噴射系統(tǒng)。磁記錄媒體的存放房間可采用自動Halon1301噴射系統(tǒng)來保護(hù)。 留在機(jī)房內(nèi)的記錄應(yīng)該是保證系統(tǒng)有效運(yùn)行的最小記錄，不必要的記錄不應(yīng)留在機(jī)房內(nèi)，所有磁記錄不用時必須保存在庫內(nèi)。,3.5 記錄媒體的保護(hù)與

18、管理,不同類別的記錄應(yīng)分檔管理。對于關(guān)鍵的、敏感的磁記錄媒體應(yīng)采取以下措施： 造冊登記，編制目錄，集中管理。 復(fù)制、傳遞、使用、發(fā)放要有審批簽字手續(xù)。 銷毀必須登記，并由承辦人填寫銷毀記錄。 拷貝的磁記錄文件要和原磁記錄文件分類相同。 要有防拷貝和信息加密措施。,3.5 記錄媒體的保護(hù)與管理,3.5.3 記錄媒體的使用與管理狀況 我國在記錄媒體的使用和管理上存在下列問題： 引進(jìn)設(shè)備時，對主機(jī)性能了解較多，對磁記錄設(shè)備考慮較少，以致缺少備件，沒有維修能力，一旦記錄有重要、敏感信息的磁記錄設(shè)備發(fā)生故障，只能冒著泄密的重大危險到國外維修或報銷。 信息中心、計算中心由于經(jīng)費(fèi)和場地等原因，存放磁記錄媒體

19、的地點(diǎn)與工作地點(diǎn)混在一起，一旦出現(xiàn)事故（如火災(zāi)、水災(zāi)），就會造成設(shè)備和記錄全部報廢。,3.5 記錄媒體的保護(hù)與管理,被調(diào)查單位有80沒有對所用的磁記錄媒體進(jìn)行分類，僅將隨機(jī)帶來的磁記錄媒體拷貝放在機(jī)房保險柜中。單位內(nèi)的應(yīng)用程序，無論其關(guān)鍵性、敏感性如何，拷貝均存于個人手中，造成“應(yīng)用程序滿天飛”，無任何安全性可言。 機(jī)房計算機(jī)磁記錄存檔、拷貝手續(xù)很不完善，沒有專人負(fù)責(zé)，對磁記錄的硬拷貝（打印結(jié)果），缺乏嚴(yán)格的審批登記簽字手續(xù)。 沒有形成一套行之有效的定期拷貝、使用管理、處理、銷毀制度，磁記錄媒體的進(jìn)出管理也缺乏一套切實(shí)可行的管理辦法。,3.5 記錄媒體的保護(hù)與管理,3.5.4 磁記錄媒體的管理

20、 在思想上高度重視，結(jié)合本單位實(shí)際，委派專人負(fù)責(zé)，制定出一套切實(shí)可行的管理制度。 對磁盤、磁帶庫的訪問應(yīng)當(dāng)限于庫管理員，可以允許由操作管理員或控制管理員指定的人員對磁盤、磁帶庫作臨時性的訪問。 庫管理員負(fù)責(zé)所有磁記錄媒體的接收和發(fā)出。在發(fā)出任何磁盤、磁帶以前，庫管理員必須收到一個說明作業(yè)控制號、作業(yè)名、卷系列號和請求文件人的申請清單，還應(yīng)該檢查用戶核準(zhǔn)表，確認(rèn)用戶是被核準(zhǔn)的，可以使用現(xiàn)在所請求的磁記錄媒體。,3.5 記錄媒體的保護(hù)與管理,所有磁盤、磁帶的目錄清單必須具有下列信息：文件所有者、卷系列號、文件名及其描述、作業(yè)或項目編號、建立日期和保留期限。從外面借來的文件應(yīng)當(dāng)用所有者、卷系列號、文

21、件名及其描述、接收日期和歸還日期進(jìn)行編號。 新的磁介質(zhì)文件要有完整的歸檔記錄。歸檔文件要清楚、齊全，一旦投入使用，任何人（包括設(shè)計者本人）未經(jīng)批準(zhǔn)不準(zhǔn)增、刪、改。庫管理員負(fù)責(zé)把備份文件傳送到離開現(xiàn)場的安全地方。存放磁記錄媒體的庫房，必須符合表 35規(guī)定的條件，使用前應(yīng)給24 h時效時間使其調(diào)整到正常使用條件。,3.5 記錄媒體的保護(hù)與管理,當(dāng)處理非常敏感的信息時，管理員應(yīng)該在場。 舊的磁盤和磁帶在銷毀前，要進(jìn)行消磁和清除數(shù)據(jù)。信息中心的安全負(fù)責(zé)人應(yīng)該確保所有已損壞磁盤、磁帶的銷毀，新磁盤、磁帶的定期檢查和清洗，并認(rèn)真登記。 改寫軟盤上的內(nèi)容，順序重復(fù)寫“0”或?qū)憽發(fā)”，或用消磁器都可以完成磁記

22、錄的清洗。對于關(guān)鍵性、敏感性的磁記錄媒體，要保證信息不被重新復(fù)現(xiàn)，銷毀是唯一的選擇。,3.5 記錄媒體的保護(hù)與管理,為防止由于雷電通過鋼鐵材料傳播時產(chǎn)生的磁場把磁記錄媒體上的信息破壞，磁記錄媒體存放時應(yīng)至少離開用鋼鐵加強(qiáng)的建筑物柱子和類似柱子的建筑物結(jié)構(gòu)10cm。 對于每一種信息資源必須保持足夠的備份文件，這樣被無意或蓄意清洗掉的或丟失的程序與數(shù)據(jù)文件場可以重建起來。 為了減少由于意外和不希望的事件引起的損害，記錄媒體的管理部門應(yīng)制定出數(shù)套應(yīng)急措施，以對付萬一發(fā)生的災(zāi)難性事件。,3.6 計算機(jī)的防電磁泄漏,3.6.1計算機(jī)的電磁泄漏特性 兩種途徑泄漏出去：一種是以電磁波的形式輻射出去，稱為輻射泄漏；另一種是通過各種線路和金屬管道傳導(dǎo)出去，稱為傳導(dǎo)泄漏。往往傳導(dǎo)泄漏還伴隨著輻射泄漏。 1輻射