1.计算机房场地的安全要求
机房建筑和结构从安全的角度,还应该考虑:
1)电梯和楼梯不能直接进入机房。
2)建筑物周围应有足够亮度的照明设施和防止非法进入的设施。
3)外部容易接近的进出口,而周边应有物理屏障和监视报警系统,窗口应采取防范措施,必要时安装自动报警设备。
4)机房进出口须设置应急电话。
5)机房供电系统应将动力照明用电与计算机系统供电线路分开,机房及疏散通道应配备应急照明装置。
6)计算机中心周围100m内不能有危险建筑物。
7)进出机房时要更衣、换鞋,机房的门窗在建造时应考虑封闭性能。
8)照明应达到规定标准。
2.设备防盗
视频监视系统是一种更为可靠的防护设备,能对系统运行的外围环境、操作环境实施监控(视)。对重要的机房,还应采取特别的防盗措施,如值班守卫,出入口安装金属防护装置保护安全门、窗户。
3.机房的三度要求
温度,湿度以及洁净度
4.防静电措施
静电是由物体间的相互磨擦、接触而产生的。静电产生后,由于它不能泄放而保留在物体内,产生很高的电位(能量不大),而静电放电时发生火花,造成火灾或损坏芯片。计算机信息系统的各个关键电路,诸如CPU、ROM、RAM等大都采用MOS工艺的大规模集成电路,对静电极为敏感,容易因静电而损坏。这种损坏可能是不知不觉造成的。
机房内一般应采用乙烯材料装修,避免使用挂毯、地毯等吸尘、容易产生静电的材料。
5.电源
1)电源线干扰
有六类电源线干扰:中断、异常中断、电压瞬变、冲击、噪声、突然失效事件。
2)保护装置
电源保护装置有金属氧化物可变电阻(MOV)、硅雪崩二极管(SAZD)、气体放电管(GDT)、滤波器、电压调整变压器(VRT)和不间断电源(UPS)等。
3)紧急情况供电
重要的计算机房应配置御防电压不足(电源下跌)的设备,这种设备有如下两种:
(1)UPS
(2)应急电源
6.调整电压和紧急开关
电源电压波动超过设备安全操作允许的范围时,需要进行电压调整。允许波动的范围通常在±5%的范围内。
7.接地与防雷
7 计算机场地的防火、防水措施
为避免火灾、水灾,应采取如下具体措施:
1)隔离
2)火灾报警系统
3)灭火设施
4)管理措施
8.安全管理
8.1 硬件资源的安全管理
8.1.1.硬件设备的使用管理
8.1.2.常用硬件设备的维护和保养
9.信息资源的安全与管理
9.1.信息存储的安全管理
计算机处理的结果(信息)要存储在某种媒体上,常用的媒体有:磁盘、磁带、打印纸、光盘。信息存储的管理实际上就是对存放有信息的具体媒体的管理。
9.2.信息的使用管理
计算机中的信息是文字记录、数据在计算机中的表示形式,对它的安全控制关系到国家、集体、个人的安全利益。必须加强对信息的使用管理,防止非法使用。
10.完善的安全管理规章制度
1)系统运行维护管理制度
2)计算机处理控制管理制度
3)文档资料管理制度
4)操作人员及管理人员的管理制度
5)计算机机房的安全管理规章制度
6)其他的重要管理制度
7)详细的工作手册和工作记录
11. 电磁防护
1)电磁干扰和电磁兼容
电磁干扰可通过电磁辐射和传导两条途径影响设备的工作。
2)计算机通过电磁发射引起的信息泄漏
Tempest技术是综合性很强的技术,包括泄漏信息的分析、预测、接收、识别、复原、防护、测试、安全评估等项技术,涉及到多个学科领域。它基本上是在传统的电磁兼容理论的基础上发展起来的,但比传统的抑制电磁干扰的要求要高得多,技术实现上也更复杂。
3)电磁防护的措施
目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;另一类是对辐射的防护 ,为提高电子设备的抗干扰能力,除在芯片、部件上提高抗干扰能力外,主要的措施有屏蔽、隔离、滤波、吸波、接地等。其中屏蔽是应用最多的方法。
硬件保护
12.存储器保护
硬件是计算机系统的基础。硬件防护一般是指在计算机硬件(CPU、存储器、外设等)上采取措施或通过增加硬件来防护。如计算机加锁,加专门的信息保护卡(如防病毒卡、防拷贝卡),加插座式的数据变换硬件(如安装在并行口上的加密狗等),输入/输出通道控制,以及用界限寄存器对内存单元进行保护等措施。
界限寄存器提供保护的方法简单、可靠。由于界限寄存器对用户确定的存储区域并不为用户所知,因此,非法用户即使可以进入系统,但由于界限寄存器的保护,使它不知道要窃取信息的存放地点,并且它的活动范围也只限于界限寄存器规定的范围。这样就保护了信息的安全
12.虚拟存储保护
虚拟存储是操作系统中的策略。当多用户共享资源时,为合理分配内存、外存空间,设置一个比内存大得多的虚拟存储器。用户程序和数据只是在需要时,才通过动态地址翻译并调到内存(实存)中,供CPU调用,用后马上就退出。
虚拟存储保护应用较多的是段页式保护。
段页式保护应用于段页式地址转换表格结构的虚拟存储器,如图2.2所示。虚拟地址分为虚段号、虚页号和页内地址,其中页内地址可直接转为实际地址,虚拟地址主要由段号和页号表示。
13.输入/输出通道控制
输入/输出设备是计算机系统的重要组成部分。为使这一过程安全,要采取一定的措施来进行通道控制,这不仅可使系统安全保密,而且还可避免意外的操作失误而造成的损失。
此外,针对输入/输出特性,编写通道控制程序,说明更多的输入/输出细节,并由输入/输出控制器执行,使输入/输出操作有更多的限制,从而保证通道安全。