《物理环境与设备安全ppt课件.ppt》由会员分享,可在线阅读,更多相关《物理环境与设备安全ppt课件.ppt(39页珍藏版)》请在三一办公上搜索。
1、版权所有,盗版必纠,第7章 物理环境与设备安全,李 剑 北京邮电大学信息安全中心 E-mail:电话:13001936882,版权所有,盗版必纠,概 述,本章先讲述物理层的安全威胁,主要包括物理安全环境和物理安全设备由于威胁而引起的不可用性。然后讲述了要实现物理安全必须要注意的一些要点。,版权所有,盗版必纠,目 录,7.1 物理层安全威胁 7.2 物理层安全防护 7.3 物理层安全设备 7.4 物理层管理安全,版权所有,盗版必纠,7.1 物理层安全威胁,物理层负责传输比特流。它从第二层数据链路层(Data Link Layer)接受数据Frame,并将Frame的结构和内容串行发送,即每次发送
2、一个比特。网络的物理安全风险主要指由于网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。例如:设备被盗、设备老化、意外故障、无线电磁辐射泄密等。如果局域网采用广播方式,那么本广播域中的所有信息都可以被侦听。,版权所有,盗版必纠,7.2 物理层安全防护,7.2.1 物理位置选择机房应选择在具有防震、防风和防雨等能力的建筑内;机房的承重要求应满足设计要求;机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染,易发生火灾、水灾,易遭受雷击的地区。,版权所有,盗版必纠,7.2 物理层安全防护,7.2
3、.2 物理访问控制有人值守机房出入口应有专人值守,鉴别进入的人员身份并登记在案;无人值守的机房门口应具备告警系统;应批准进入机房的来访人员,限制和监控其活动范围;应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;应对重要区域配置电子门禁系统,鉴别和记录进入的人员身份并监控其活动,并且门禁可以是带考勤的,这样就不用公司现在的考勤卡了。可以考虑每个员工进入公司时,有一个身份卡,这样出了安全问题后,容易找到具体实施的人。服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。,版权所有,盗版必纠,7.2 物理层安全防护,机箱,键盘
4、,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方。在自己的办工桌上安上笔记本电脑安全锁,以防止笔记本电脑的丢失。图7.1和图7.2所示为笔记本电脑安全锁。,版权所有,盗版必纠,7.2 物理层安全防护,7.2.3 防盗窃和防破坏 应将相关服务器放置在物理受限的范围内;应利用光、电等技术设置机房的防盗报警系统,以防进入机房的盗窃和破坏行为;应对机房设置监控报警系统。,版权所有,盗版必纠,7.2 物理层安全防护,7.2.4 防雷击机房建筑应设置避雷装置;应设置防雷保安器,防止感应雷;应设置交流电源地线。7.2.5 防火应设置火灾自动消防系统,自动检测火情,自动报警,并自
5、动灭火;机房及相关的工作房间和辅助房,其建筑材料应具有耐火等级;7.2.6 防水和防潮 水管安装不得穿过屋顶和活动地板下;应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;应采取措施防止雨水通过屋顶和墙壁渗透;应采取措施防止室内水蒸气结露和地下积水的转移与渗透;,版权所有,盗版必纠,7.2 物理层安全防护,7.2.7 防静电应采用必要的接地等防静电措施;应采用防静电地板。7.2.8 温湿度控制 应设置恒温恒湿系统,使机房温、湿度的变化在设备运行所允许的范围之内。防尘和有害气体控制;机房中应无爆炸、导电、导磁性及腐蚀性尘埃;机房中应无腐蚀金属的气体;机房中应无破坏绝缘的气体。,版权所有,盗
6、版必纠,7.2 物理层安全防护,7.2.9 电力供应机房供电应与其他市电供电分开;应设置稳压器和过电压防护设备;应提供短期的备用电力供应(如UPS设备);应建立备用供电系统(如备用发电机),以备常用供电系统停电时启用。7.2.10 电磁防护要求应采用接地方式防止外界电磁干扰和相关服务器寄生耦合干扰;电源线和通信线缆应隔离,避免互相干扰。,版权所有,盗版必纠,7.3 物理层安全设备,我国2000年1月1日起实施的计算机信息系统国际联网保密管理规定第2章第6条规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离”。从此之后,我国在物理隔离领域
7、不断有新的产品出现,如物理安全隔离卡、双硬盘物理隔离器、物理隔离网闸等。,版权所有,盗版必纠,7.3 物理层安全设备,7.3.1 PC物理安全隔离卡PC网络物理安全隔离卡把一台普通计算机分成两或三台虚拟计算机,可以连接内部网或外部网,实现安全环境和不安全环境的绝对隔离,保护用户的机密数据和信息免受国际互联网上黑客的威胁和攻击。图4.3所示为物理安全隔离卡。,版权所有,盗版必纠,7.3 物理层安全设备,1.技术特点(1)内外网绝对隔离(2)阻塞信息泄露通道(3)应用广泛(4)实现成本低,版权所有,盗版必纠,7.3 物理层安全设备,2.技术原理 PC网络安全隔离卡属于端设备物理隔离设备,通过物理隔
8、离的方式,在两个网络间转换时,保证计算机的数据在网络之间不被重用。根据本产品设计方法:当计算机进入其中一个网络时,物理隔离部件保证被隔离的计算机硬盘(或硬盘分区)及网络相互不连通。在计算机处于内网状态时,物理隔离部件可以禁止用户使用光、软驱。计算机转换网络时必须重新启动,清空内存,不存在残留信息泄漏的问题。,版权所有,盗版必纠,7.3 物理层安全设备,2.技术原理,版权所有,盗版必纠,7.3 物理层安全设备,2.技术原理,版权所有,盗版必纠,7.3 物理层安全设备,3.解决方案 解决方案如图7.5所示。,版权所有,盗版必纠,7.3 物理层安全设备,7.3.2 其他物理隔离设备1.网络安全物理隔
9、离器网络安全物理隔离器是一种双硬盘物理隔离器,如图7.6所示。它实际上只是在两个硬盘之间从物理上交换文件的一个设备。其实现原理和上面的物理隔离网卡相似,只是前面采用网卡的形式,这里采用的是磁盘的形式,这里就不再赘述。,版权所有,盗版必纠,7.3 物理层安全设备,7.3.2 其他物理隔离设备1.网络安全物理隔离器,版权所有,盗版必纠,7.3 物理层安全设备,2.物理隔离网闸 物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。我国也有庞大的政府涉密网络和军事涉密网络,但是我国的涉密网络与公共网络,特别是与互联网是无任何关联的独立网络,不存在与互联网的信息交换,
10、也用不着使用物理隔离网闸解决信息安全问题。所以,在电子政务、电子商务之前,物理隔离网闸在我国因无市场需求,产品和技术发展较慢。,版权所有,盗版必纠,7.3 物理层安全设备,(1)物理隔离网闸的定义物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实
11、现了真正的安全。,版权所有,盗版必纠,7.3 物理层安全设备,(2)物理隔离网闸的信息交换方式计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、主机与终端之间的信息交换与信息共享。物理隔离网闸既然隔离、阻断了网络的所有连接,实际上就是隔离、阻断了网络的连通。网络被隔离、阻断后,两个独立主机系统之间如何进行信息交换?网络只是信息交换的一种方式,而不是信息交换方式的全部。在互联网时代以前,信息照样进行交换,如数据文件复制、数据摆渡、数据镜像、数据反射等,物理隔离网闸就是使用数据“摆渡”的方式实现两个网络之间的信息交换。,版权所有,盗版必纠,7.3 物理层安全设备,(2)物理隔离网闸
12、的信息交换方式 当内网与专网之间无信息交换时,物理隔离网闸与内网,物理隔离网闸与专网,内网与专网之间是完全断开的,即三者之间不存在物理连接和逻辑连接,如图7.7所示。,版权所有,盗版必纠,7.3 物理层安全设备,(2)物理隔离网闸的信息交换方式在写入之前,根据不同的应用,还要对数据进行必要的完整性、安全性检查,如病毒和恶意代码检查等。在此过程中,专网服务器与物理隔离网闸始终处于断开状态,如图7.8所示。,版权所有,盗版必纠,7.3 物理层安全设备,(2)物理隔离网闸的信息交换方式专网服务器收到数据后,按TCP/IP协议重新封装接收到的数据,交给应用系统,完成了内网到专网的信息交换,详见图7.9
13、所示。,版权所有,盗版必纠,7.3 物理层安全设备,外部处理单元;内部处理单元;隔离硬件。(4)物理隔离网闸的主要安全模块安全隔离模块:隔离硬件在两个网络上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。保证两个网络在链路层断开,不与两个网络同时连接,两个网络交换的数据必须是剥离TCP/IP协议后在应用层之上进行。,版权所有,盗版必纠,7.3 物理层安全设备,(3)物理隔离网闸的组成外部处理单元;内部处理单元;隔离硬件。(4)物理隔离网闸的主要安全模块安全隔离模块:隔离硬件在两个网络上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。保证两个网络在链路层断开,不与两个网络同时连接
14、,两个网络交换的数据必须是剥离TCP/IP协议后在应用层之上进行。,版权所有,盗版必纠,7.3 物理层安全设备,(3)物理隔离网闸的组成外部处理单元;内部处理单元;隔离硬件。(4)物理隔离网闸的主要安全模块安全隔离模块:隔离硬件在两个网络上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。保证两个网络在链路层断开,不与两个网络同时连接,两个网络交换的数据必须是剥离TCP/IP协议后在应用层之上进行。,版权所有,盗版必纠,7.3 物理层安全设备,版权所有,盗版必纠,7.4 物理层管理安全,7.4.1 内部网络与外部网络隔离管理公司内部的研发网与外面的因特网是完全从物理上隔离的(没有网线直接
15、相接)。这样从物理上隔离可以防止公司的核心代码被见外网上黑客盗用,也可以防止公司内部人员将公司代码“偷”出去,也最大程度上防止了来自外部恶意的入侵行为(如网上的病毒等)。如图7.11所示。,版权所有,盗版必纠,7.4 物理层管理安全,(1)设置专门的上网区域(在研发区以外),叫它上网缓冲区。这个上网缓冲区,可以自由上因特网网络来查找资料。供需要上因特网的研发员工上网。但是上网缓冲区与研发区是物理隔离的,没有任何形式的联接。(2)给重要员工配置笔记本,通过无线方式,上因特网来查找资料。,版权所有,盗版必纠,7.4 物理层管理安全,7.4.2 内部网络的安全管理刚才说了,研发区与因特网是物理隔离的
16、,所以为了进一步的安全考虑,控制研发区里的传输介质就显得尤其重要了。在研发区里,对于传输介质的控制,采用的是一个多层次、多方面的控制措施。这样可以最大程度上防止公司核心成果的外漏。特别是公司内部人员将公司机密泄漏。(1)禁止公司员工将自己的笔记本电脑、U盘和MP3等传输介质带入公司,一经发现,严肃处理。如果非人使用U盘等传输介质来传输文件,则必需要通过公司的专门人员一完成(比如公司安全管理员)。禁止公司员工将公司的笔记本电脑带回家。,版权所有,盗版必纠,7.4 物理层管理安全,(2)对于研发网机器上的U盘接口、串口、并口等采用带有公司公章的封条封上。封条封的时候要注意,要选择那种一碰就容易破的
17、纸。并且在封之前,最好再给里面塞满纸。这样做的话,试想如果有人想要往里插线的话,还要将里面的纸取出。这时外面的封条早都破了。(3)将研发网机器内部U盘接口、串口和并口等的接口线拔掉。(4)将机箱上锁。(5)从机器BIOS设置里面将U盘接口,串口和并口等去掉。(6)如果员工要从内部向外部,或多外部向内容拷贝资料,则必须通过专门的安全管理人员。,版权所有,盗版必纠,7.4 物理层管理安全,(7)最好不用文件删除技术,而用文件粉碎或擦除技术。(8)将计算机上的IP地址与MAC地址绑定,这一点可以通过交换机来实现。除此之外,还要将计算机上的网线用带有公司公章的封条封上,以防止非法人员将网线拔掉,而插入
18、别的计算机。(9)所有从内网到外网要传输的资料,都要经过部门主管人员的审批。(10)主管人员的审批后,交给管理员杀病毒,管理员再放到内网的FTP服务器上,供需要的人员下载。,版权所有,盗版必纠,思考题,1.机房的物理位置选择应该注意哪些条件?2.简述门禁系统的作用。3.什么是物理隔离网闸?4.内网的安全应该注意什么?,版权所有,盗版必纠,小 结,这里主要给大家讲述了物理环境与设备安全。欢迎大家提问?,版权所有,盗版必纠,返回,Thanks For Attendance!,致 谢,1、想要体面生活,又觉得打拼辛苦;想要健康身体,又无法坚持运动。人最失败的,莫过于对自己不负责任,连答应自己的事都办
19、不到,又何必抱怨这个世界都和你作对?人生的道理很简单,你想要什么,就去付出足够的努力。2、时间是最公平的,活一天就拥有24小时,差别只是珍惜。你若不相信努力和时光,时光一定第一个辜负你。有梦想就立刻行动,因为现在过的每一天,都是余生中最年轻的一天。3、无论正在经历什么,都请不要轻言放弃,因为从来没有一种坚持会被辜负。谁的人生不是荆棘前行,生活从来不会一蹴而就,也不会永远安稳,只要努力,就能做独一无二平凡可贵的自己。4、努力本就是年轻人应有的状态,是件充实且美好的事,可一旦有了表演的成分,就会显得廉价,努力,不该是为了朋友圈多获得几个赞,不该是每次长篇赘述后的自我感动,它是一件平凡而自然而然的事
20、,最佳的努力不过是:但行好事,莫问前程。愿努力,成就更好的你!5、付出努力却没能实现的梦想,爱了很久却没能在一起的人,活得用力却平淡寂寞的青春,遗憾是每一次小的挫折,它磨去最初柔软的心智、让我们懂得累积时间的力量;那些孤独沉寂的时光,让我们学会守候内心的平和与坚定。那些脆弱的不完美,都会在努力和坚持下,改变模样。6、人生中总会有一段艰难的路,需要自己独自走完,没人帮助,没人陪伴,不必畏惧,昂头走过去就是了,经历所有的挫折与磨难,你会发现,自己远比想象中要强大得多。多走弯路,才会找到捷径,经历也是人生,修炼一颗强大的内心,做更好的自己!7、“一定要成功”这种内在的推动力是我们生命中最神奇最有趣的
21、东西。一个人要做成大事,绝不能缺少这种力量,因为这种力量能够驱动人不停地提高自己的能力。一个人只有先在心里肯定自己,相信自己,才能成就自己!8、人生的旅途中,最清晰的脚印,往往印在最泥泞的路上,所以,别畏惧暂时的困顿,即使无人鼓掌,也要全情投入,优雅坚持。真正改变命运的,并不是等来的机遇,而是我们的态度。9、这世上没有所谓的天才,也没有不劳而获的回报,你所看到的每个光鲜人物,其背后都付出了令人震惊的努力。请相信,你的潜力还远远没有爆发出来,不要给自己的人生设限,你自以为的极限,只是别人的起点。写给渴望突破瓶颈、实现快速跨越的你。10、生活中,有人给予帮助,那是幸运,没人给予帮助,那是命运。我们
22、要学会在幸运青睐自己的时候学会感恩,在命运磨练自己的时候学会坚韧。这既是对自己的尊重,也是对自己的负责。11、失败不可怕,可怕的是从来没有努力过,还怡然自得地安慰自己,连一点点的懊悔都被麻木所掩盖下去。不能怕,没什么比自己背叛自己更可怕。12、跌倒了,一定要爬起来。不爬起来,别人会看不起你,你自己也会失去机会。在人前微笑,在人后落泪,可这是每个人都要学会的成长。13、要相信,这个世界上永远能够依靠的只有你自己。所以,管别人怎么看,坚持自己的坚持,直到坚持不下去为止。14、也许你想要的未来在别人眼里不值一提,也许你已经很努力了可还是有人不满意,也许你的理想离你的距离从来没有拉近过.但请你继续向前
23、走,因为别人看不到你的努力,你却始终看得见自己。15、所有的辉煌和伟大,一定伴随着挫折和跌倒;所有的风光背后,一定都是一串串揉和着泪水和汗水的脚印。16、成功的反义词不是失败,而是从未行动。有一天你总会明白,遗憾比失败更让你难以面对。17、没有一件事情可以一下子把你打垮,也不会有一件事情可以让你一步登天,慢慢走,慢慢看,生命是一个慢慢累积的过程。18、努力也许不等于成功,可是那段追逐梦想的努力,会让你找到一个更好的自己,一个沉默努力充实安静的自己。19、你相信梦想,梦想才会相信你。有一种落差是,你配不上自己的野心,也辜负了所受的苦难。20、生活不会按你想要的方式进行,它会给你一段时间,让你孤独、迷茫又沉默忧郁。但如果靠这段时间跟自己独处,多看一本书,去做可以做的事,放下过去的人,等你度过低潮,那些独处的时光必定能照亮你的路,也是这些不堪陪你成熟。所以,现在没那么糟,看似生活对你的亏欠,其实都是祝愿。,
