硬件防護技術和實體安全

摘要：1)了解實體安全的定義、目的和內容; 2)掌握計算機房場地環境的安全要求。包括機房建筑和結構要求、三度要求、防靜電措施、供電要求、接地與防雷、防火、防水等的技術、方法與措施; 3)掌握安全管理技術的內容和方法; 4) 理解電磁防護和硬件防護的基本方法。

關鍵詞：實體安全; 計算機; 計算機機房; 安全; 安全管理技術; 防護

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)25-1412-03

Hardware Protection Technology and Physical Security

CHEN Fei， LIU Jing-yun

(China Telecom， Zhuhai 519000， China)

Abstract: 1) Learn the definition of physical security， purpose and content; 2) master computer room space environment safety requirements. Including architectural and structural requirements of the engine room， three-time requirements， anti-static measures， the power supply requirements， grounding and lightning protection， fire， water and other technology， methods and measures; 3) master the content security management techniques and methods; 4) understanding of the electromagnetic Protection and hardware protection of the basic method.

Key words: physical security;computer; computer room; safety; security management technology; protection

1 安全技術概述

1.1 實體安全的主要因素

影響計算機網絡實體安全的主要因素如下：

1) 計算機及其網絡系統自身存在的脆弱性因素。

2) 各種自然災害導致的安全問題。

3) 由于人為的錯誤操作及各種計算機犯罪導致的安全問題。

1.2 安全的內容

1) 環境安全，環境安全是個大的環境，是設備賴以生存的一個平臺，只有環境安全了，才能保障設備的安全。

2) 設備安全，有了好的環境后，設備安全至關重要，設備安全了才能正常運行。

3) 存儲媒體安全，如果存儲媒體受到了破壞，將無法得到數據，嚴重的還將丟失無法恢復的數據。

4) 硬件防護，硬件是所有設備能夠運行的有力保障。

2 計算機房場地環境的安全防護

2.1 機房場地的安全要求

機房建筑和結構從安全的角度，還應該考慮：

1) 電梯和樓梯不能直接進入機房。

2) 建筑物周圍應有足夠亮度的照明設施和防止非法進入的設施。

3) 外部容易接近的進出口，而周邊應有物理屏障和監視報警系統，窗口應采取防范措施，必要時安裝自動報警設備。

4) 機房進出口須設置應急電話。

5) 機房供電系統應將動力照明用電與計算機系統供電線路分開，機房及疏散通道應配備應急照明裝置。

6) 計算機中心周圍100m內不能有危險建筑物。

7) 進出機房時要更衣、換鞋，機房的門窗在建造時應考慮封閉性能。

8) 照明應達到規定標準。

2.2 防盜

早期的防盜，采取增加質量和膠粘的方法，即將設備長久固定或粘接在一個地點。視頻監視系統是一種更為可靠的防護設備，能對系統運行的外圍環境、操作環境實施監控（視）。對重要的機房，還應采取特別的防盜措施，如值班守衛，出入口安裝金屬防護裝置保護安全門、窗戶。

2.3機房的三度要求

1) 溫度。溫度過高或過低都會影響設備的變化；(2)濕度。機房中要保持一定的濕度，或者時間長了以后將會損壞設備；(3)潔凈度。機房中的設備基本上都是帶電體，會吸引一些灰塵之類的，這樣會對設備造成損害，例如，會減少散熱等。

2.4 防靜電措施

靜電是由物體間的相互磨擦、接觸而產生的。靜電產生后，由于它不能泄放而保留在物體內，產生很高的電位（能量不大），而靜電放電時發生火花，造成火災或損壞芯片。計算機信息系統的各個關鍵電路，諸如CPU、ROM、RAM等大都采用MOS工藝的大規模集成電路，對靜電極為敏感，容易因靜電而損壞。這種損壞可能是不知不覺造成的。

機房內一般應采用乙烯材料裝修，避免使用掛毯、地毯等吸塵、容易產生靜電的材料。

2.5 電源

1) 電源線干擾。有六類電源線干擾：中斷、異常中斷、電壓瞬變、沖擊、噪聲、突然失效事件。

2) 保護裝置。電源保護裝置有金屬氧化物可變電阻（MOV）、硅雪崩二極管（SAZD）、氣體放電管（GDT）、濾波器、電壓調整變壓器（VRT）和不間斷電源（UPS）等。

3) 緊急情況供電。重要的計算機房應配置御防電壓不足（電源下跌）的設備，這種設備有兩種：UPS；應急電源。

4) 調整電壓和緊急開關。電源電壓波動超過設備安全操作允許的范圍時，需要進行電壓調整。允許波動的范圍通常在±5%的范圍內。

2.6 接地與防雷

2.6.1 地線種類

1) 保護地

2) 直流地

3) 屏蔽地

4) 靜電地

5) 雷擊地

2.6.2 接地系統

計算機房的接地系統是指計算機系統本身和場地的各種接地的設計和具體實施。

1) 各自獨立的接地系統

2) 交、直流分開的接地系統

3) 共地接地系統

4) 直流地、保護地共用地線系統

5) 建筑物內共地系統

2.6.3 接地體

1) 地樁

2) 水平柵網

3) 金屬接地板

4) 建筑物基礎鋼筋

2.6.4 防雷措施

機房的外部防雷應使用接閃器、引下線和接地裝置，吸引雷電流，并為其泄放提供一條低阻值通道。

機器設備應有專用地線，機房本身有避雷設施，設備（包括通信設備和電源設備）有防雷擊的技術設施，機房的內部防雷主要采取屏蔽、等電位連接、合理布線或防閃器、過電壓保護等技術措施以及攔截、屏蔽、均壓、分流、接地等方法，達到防雷的目的。機房的設備本身也應有避雷裝置和設施。

3 計算機場地的防火、防水措施

為避免火災、水災，應采取如下具體措施：隔離；火災報警系統；滅火設施；管理措施；安全管理。

3.1 硬件資源的安全管理

1) 硬件設備的使用管理

2) 常用硬件設備的維護和保養

3.2 信息資源的安全與管理

1) 信息存儲的安全管理

計算機處理的結果（信息）要存儲在某種媒體上，常用的媒體有：磁盤、磁帶、打印紙、光盤。信息存儲的管理實際上就是對存放有信息的具體媒體的管理。

2) 信息的使用管理

計算機中的信息是文字記錄、數據在計算機中的表示形式，對它的安全控制關系到國家、集體、個人的安全利益。必須加強對信息的使用管理，防止非法使用。

3.3 健全機構和崗位責任制

計算機系統的安全問題是涉及整個系統、整個單位的大問題。一般來說，系統安全保密是由單位主要領導負責，必要時設置專門機構，協助主要領導管理。重要單位、要害部門的安全保密工作應分別由安全、保密、保衛和技術部門分工負責。所有領導機構、重要計算機系統的安全組織機構（包括安全審查機構、安全決策機構、安全管理機構）都要建立和健全各項規章制度。

3.4 完善的安全管理規章制度

1) 系統運行維護管理制度。

2) 計算機處理控制管理制度。

3) 文檔資料管理制度 。

4) 操作人員及管理人員的管理制度 。

5) 計算機機房的安全管理規章制度。

6) 其他的重要管理制度。

7) 詳細的工作手冊和工作記錄 。

4 電磁防護

1) 電磁干擾和電磁兼容

電磁干擾可通過電磁輻射和傳導兩條途徑影響設備的工作。

2) 計算機通過電磁發射引起的信息泄漏

Tempest技術是綜合性很強的技術，包括泄漏信息的分析、預測、接收、識別、復原、防護、測試、安全評估等項技術，涉及到多個學科領域。它基本上是在傳統的電磁兼容理論的基礎上發展起來的，但比傳統的抑制電磁干擾的要求要高得多，技術實現上也更復雜。

3) 電磁防護的措施

目前主要防護措施有兩類：一類是對傳導發射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合；另一類是對輻射的防護 ，為提高電子設備的抗干擾能力，除在芯片、部件上提高抗干擾能力外，主要的措施有屏蔽、隔離、濾波、吸波、接地等。其中屏蔽是應用最多的方法。

5 硬件防護

5.1 存儲器保護

硬件是計算機系統的基礎。硬件防護一般是指在計算機硬件（CPU、存儲器、外設等）上采取措施或通過增加硬件來防護。如計算機加鎖，加專門的信息保護卡（如防病毒卡、防拷貝卡），加插座式的數據變換硬件（如安裝在并行口上的加密狗等），輸入/輸出通道控制，以及用界限寄存器對內存單元進行保護等措施。

界限寄存器提供保護的方法簡單、可靠。由于界限寄存器對用戶確定的存儲區域并不為用戶所知，因此，非法用戶即使可以進入系統，但由于界限寄存器的保護，使它不知道要竊取信息的存放地點，并且它的活動范圍也只限于界限寄存器規定的范圍。這樣就保護了信息的安全。界限寄存器原理如圖1所示。

但是這種方法也有一定的局限。首先對大的系統，特別是多重處理的系統，必須提供多對界限寄存器，因為每次處理所調用的程序可能在不同的區域，這就勢必增加界限寄存器的數量，增加開銷。如果寄存器數量不夠，則要不斷更新內容，使系統的處理速度降低。

■

圖1 界限寄存器原

5.2 虛擬存儲保護

虛擬存儲是操作系統中的策略。當多用戶共享資源時，為合理分配內存、外存空間，設置一個比內存大得多的虛擬存儲器。用戶程序和數據只是在需要時，才通過動態地址翻譯并調到內存（實存）中，供CPU調用，用后馬上就退出。

虛擬存儲保護應用較多的是段頁式保護。段頁式保護應用于段頁式地址轉換表格結構的虛擬存儲器，如圖2所示。虛擬地址分為虛段號、虛頁號和頁內地址，其中頁內地址可直接轉為實際地址，虛擬地址主要由段號和頁號表示。

■

圖2段頁式虛擬存儲結

5.3 輸入/輸出通道控制

輸入/輸出設備是計算機系統的重要組成部分。為使這一過程安全，要采取一定的措施來進行通道控制，這不僅可使系統安全保密，而且還可避免意外的操作失誤而造成的損失。

此外，針對輸入/輸出特性，編寫通道控制程序，說明更多的輸入/輸出細節，并由輸入/輸出控制器執行，使輸入/輸出操作有更多的限制，從而保證通道安全。