|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
机架式交换机是一种插槽式的交换机,这种交换机扩展性较好,可支持不同的网络类型,如以太网、快速以太网、千兆位以太网、ATM、令牌环及FDDI(Fiber Distributed Data Interface,光纤分布式数据接口)等,但价格较贵。固定配置式带扩展槽交换机是一种有固定端口数并带少量扩展槽的交换机,这种交换机在支持固定端口类型网络的基础上,还可以支持其他类型的网络,价格居中。固定配置式不带扩展槽交换机仅支持一种类型的网络,但价格最便宜。
|
|
|
|
交换机的性能指标主要有机架插槽数、扩展槽数、最大可堆叠数、最小/最大端口数、支持的网络类型、背板吞吐量、缓冲区大小、最大物理地址表大小、最大电源数、支持协议和标准、支持第3层交换、支持多层(4~7层)交换、支持多协议路由、支持路由缓存、支持网管类型、支持端口镜像、服务质量(Quality of Service,QoS)、支持基于策略的第2层交换、每端口最大优先级队列数、支持最小/最大带宽分配、冗余、热交换组件、负载均衡等。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Internet地址是按名字来描述的,这种地址表示方式易于理解和记忆。实际上,Internet中的主机地址是用IP地址来唯一标识的。这是因为Internet中所使用的网络协议是TCP/IP协议,故每个主机必须用IP地址来标识。
|
|
|
|
每个IP地址都由4个小于256的数字组成,数字之间用“.”分开。Internet的IP地址共有32位,4个字节。它表示时有两种格式:二进制格式和十进制格式。二进制格式是计算机所认识的格式,十进制格式是由二进制格式“翻译”过去的,主要是为了便于使用和掌握。例如,十进制IP地址129.102.4.11的表示方法与二进制的表示方法10000001011001100000010000001011相同,显然表示成带点的十进制格式则方便得多。
|
|
|
|
域名和IP地址是一一对应的,域名易于记忆,便于使用,因此得到比较普遍的使用。当用户和Internet上的某台计算机交换信息时,只需要使用域名,网络则会自动地将其转换成IP地址,找到该台计算机。
|
|
|
|
Internet中的地址可分为5类:A类、B类、C类、D类和E类。各类的地址分配方案如下图所示。在IP地址中,全0代表的是网络,全1代表的是广播。
|
|
|
|
|
|
|
|
A类网络地址占有1个字节(8位),定义最高位为0来标识此类地址,余下7位为真正的网络地址,支持1~126个网络。后面的3个字节(24位)为主机地址,共提供224-2个端点的寻址。A类网络地址第一个字节的十进制值为000~127。
|
|
|
|
B类网络地址占有2个字节,使用最高两位为10来标识此类地址,其余14位为真正的网络地址,主机地址占后面的2个字节(16位),所以B类全部的地址有(214-2)×(216-2)=16 382×65 534个。B类网络地址第一个字节的十进制值为128~191。
|
|
|
|
C类网络地址占有3个字节,它是最通用的Internet地址。使用最高三位为110来标识此类地址,其余21位为真正的网络地址,因此C类地址支持221-2个网络。主机地址占最后1个字节,每个网络可多达28-2个主机。C类网络地址第一个字节的十进制值为192~223。
|
|
|
|
D类地址是相当新的。它的识别头是1110,用于组播,例如用于路由器修改。D类网络地址第一个字节的十进制值为224~239。
|
|
|
|
E类地址为实验保留,其识别头是1111。E类网络地址第一个字节的十进制值为240~255。
|
|
|
|
网络软件和路由器使用子网掩码(Subnet Mask)来识别报文是仅存放在网络内部还是被路由转发到其他地方。在一个字段内,1的出现表明一个字段包含所有或部分网络地址,0表明主机地址位置。例如,最常用的C类地址使用前三个8位来识别网络,最后一个8位识别主机。因此,子网掩码是255.255.255.0。
|
|
|
|
子网地址掩码是相对特别的IP地址而言的,如果脱离了IP地址就毫无意义。它的出现一般是跟着一个特定的IP地址,用来为计算这个IP地址中的网络号部分和主机号部分提供依据。换句话说,就是在写一个IP地址后,再指明哪些是网络号部分,哪些是主机号部分。子网掩码的格式与IP地址相同,所有对应网络号的部分用1填上,所有对应主机号的部分用0填上。
|
|
|
|
A类、B类、C类IP地址类默认的子网掩码如下表所示。
|
|
|
|
|
|
|
|
如果需要将网络进行子网划分,此时子网掩码可能不同于以上默认的子网掩码。例如,138.96.58.0是一个8位子网化的B类网络ID。基于B类的主机ID的8位被用来表示子网化的网络,对于网络138.96.39.0,其子网掩码应为255.255.255.0。
|
|
|
|
例如,一个B类地址172.16.3.4,为了直观地告诉大家前16位是网络号,后16位是主机号,就可以附上子网掩码255.255.0.0(11111111111111110000000000000000)。
|
|
|
|
假定某单位申请的B类地址为179.143.XXX.XXX。如果希望把它划分为14(至少占二进制的4位)个虚拟的网络,则需要占4位主机位,子网使用掩码为255.255.240.0~255.255.255.0来建立子网。每个LAN可有212-2个主机,且各子网可具有相同的主机地址。
|
|
|
|
假设一个组织有几个相对大的子网,每个子网包括了25台左右的计算机;而又有一些相对较小的子网,每个子网大概只有几台计算机。这种情况下,可以将一个C类地址分成6个子网(每个子网可以包含30台计算机),这样解决了很大的问题。但是出现了一个新的情况,那就是大的子网基本上完全利用了IP地址范围,但是小的子网却造成了许多IP地址的浪费。为了解决这个新的难题,避免任何的IP浪费,就出现了允许应用不同大小的子网掩码来对IP地址空间进行子网划分的解决方案。这种新的方案就叫作可变长子网掩码(VLSM)。
|
|
|
|
VLSM用一个十分直观的方法来表示,那就是在IP地址后面加上“/网络号及子网络号编址位数”。例如,193.168.125.0/27就表示前27位表示网络号。
|
|
|
|
例如,给定135.41.0.0/16的基于类的网络ID,所需的配置是为将来使用保留一半的地址,其余的生成15个子网,达到2000台主机。
|
|
|
|
由于要为将来使用保留一半的地址,完成了135.41.0.0的基于类的网络ID的1-位子网化,生成两个子网135.41.0.0/17和135.41.128.0/17,子网135.41.128.0/17被选作为将来使用所保留的地址部分;135.41.0.0/17被继续生成子网。
|
|
|
|
为达到划分2000台主机的15个子网的要求,需要将135.41.128.0/17的子网化的网络ID的4-位子网化。这就产生了16个子网(135.41.128.0/21,135.41.136.0/21,…,135.41.240.0/21,135.41.248.0/21),允许每个子网有2046台主机。最初的15个子网化的网络ID(135.41.128.0/21~135.41.240.0/21)被选定为网络ID,从而实现了要求。
|
|
|
|
现在的IP协议的版本号为4,所以也称之为IPv4,为了方便网络管理员阅读和理解,使用了4个十进制数中间加小数点“.”来表示。但随着因特网的膨胀,IPv4不论从地址空间上,还是协议的可用性上都无法满足因特网的新要求。因此出现了一个新的IP协议IPv6,它使用了8个十六进制数中间加小数点“.”来表示。IPv6将原来的32位地址扩展成为128位地址,彻底解决了地址缺乏的问题。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
MAC的主要功能是控制对传输介质的访问,MAC与网络的具体拓扑方式以及传输介质的类型有关,主要是介质的访问控制和对信道资源的分配。MAC层还实现帧的寻址和识别,完成帧检测序列产生和检验等功能。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
在网络管理中,最为常用的就是net命令家族。常用的net命令有以下几个。
|
|
|
|
.net view命令:显示由指定的计算机共享的域、计算机或资源的列表。
|
|
|
|
.net share:用于管理共享资源,使网络用户可以使用某一服务器上的资源。
|
|
|
|
.net use命令:用于将计算机与共享的资源相连接或断开,或者显示关于计算机连接的信息。
|
|
|
|
.net start命令:用于启动服务,或显示已启动服务的列表。
|
|
|
|
|
|
.net user命令:可用来添加或修改计算机上的用户账户,或者显示用户账户的信息。
|
|
|
|
.net config命令:显示正在运行的可配置服务,或显示和更改服务器服务或工作站服务的设置。
|
|
|
|
.net send命令:用于将消息(可以是中文)发送到网络上的其他用户、计算机或者消息名称上。
|
|
|
|
.net localgroup命令:用于添加、显示或修改本地组。
|
|
|
|
.net accounts命令:可用来更新用户账户数据库、更改密码及所有账户的登录要求。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
只读存储器(Read-Only Memory,ROM)。ROM的重要特性是其存储信息的非易失性,存放在ROM中的信息不会因去掉供电电源而丢失,再次上电时,存储信息依然存在。其结构较简单,读出较方便,因而常用于存储各种固定程序和数据。
|
|
|
|
|
|
可编程只读存储器(Programmable ROM,PROM)的内部有行列式的熔丝,是需要利用电流将其烧断,写入所需的资料,但仅能写录一次(又称作OTPROM,One Time Programmable Read Only Memory)。PROM在出厂时,存储的内容全为1,用户可以根据需要将其中的某些单元写入数据0(部分的PROM在出厂时数据全为0,则用户可以将其中的部分单元写入1),以实现对其“编程”的目的。PROM的典型产品是“双极性熔丝结构”,如果想改写某些单元,则可以给这些单元通以足够大的电流,并维持一定的时间,原先的熔丝即可熔断,这样就达到了改写某些位的效果。另外一类经典的PROM为使用“肖特基二极管”的PROM,出厂时,其中的二极管处于反向截止状态,还是用大电流的方法将反相电压加在“肖特基二极管”上,造成其永久性击穿即可。
|
|
|
|
|
|
可抹除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)是目前使用最广泛的ROM。其利用高电压电流将资料编程写入,抹除时将线路曝光于紫外线下,则资料可被清空。之后又可以用电的方法对其重新编程,重复使用。通常在封装外壳上会预留一个石英透明窗以方便曝光。
|
|
|
|
利用物理方法(紫外线)可擦除的RROM通常称为EPROM;用电的方法可擦除的PROM称为EEPROM(E2PROM)。
|
|
|
|
|
|
电子式可抹除可编程只读存储器(Electrically Erasable Programmable Read Only Memory,EEPROM)之运作原理类似EPROM,但是抹除的方式是使用高电场来完成。
|
|
|
|
EPROM需用紫外光擦除,使用不方便也不稳定。20世纪80年代制出的EEPROM,克服了EPROM的不足,但集成度不高,价格较贵。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
通用串行总线(Universal Serial Bus,USB)是由Intel、Compaq、Digital、IBM、Microsoft、NEC、Northern Telecom等7家世界著名的计算机和通信公司在1994年共同推出的一种新型接口标准。它基于通用连接技术,实现外设的简单快速连接,达到方便用户、降低成本、扩展PC连接外设范围的目的。它可以为外设提供电源,而不像普通的使用串、并口的设备需要单独的供电系统。另外,快速是USB技术的突出特点之一,USB 2.0的理论最大传输速率可达480Mb/s。USB还能支持多媒体,但是不能通过USB进行计算机的互连。从1994年11月11日发表了USB V0.7版本以后,USB版本经历了多年的发展,到现在已经发展为3.0版本。
|
|
|
|
USB为所有的USB外设提供了单一的易于使用的标准的连接类型。这样一来就简化了USB外设的设计,同时也简化了用户在判断哪个插头对应哪个插槽时的任务,实现了单一的数据通用接口。
|
|
|
|
整个USB的系统只有一个端口和一个中断节省了系统资源。
|
|
|
|
USB支持热插拔和PNP(Plug-and-Play),也就是说在不关闭PC的情况下可以安全的插上和断开USB设备。计算机系统动态地检测外设的插拔,并且动态地加载驱动程序。其他普通的外围连接标准,如SCSI设备等必须在关掉主机的情况下才能插拔外围设备。
|
|
|
|
USB在设备供电方面可以通过USB电缆供电;也可以通过电池或者其他的电力设备来供电;或使用两种供电方式的组合,并且支持节约能源的挂机和唤醒模式。
|
|
|
|
为了适应各种不同类型外围设备的要求,USB提供了四种不同的数据传输类型:控制传输、数据传输、中断数据传输和同步数据传输。同步数据传输可为音频和视频等实时设备的实时数据传输提供固定带宽。
|
|
|
|
USB提供全速12Mb/s的速率和低速1.5Mb/s的速率来适应各种不同类型的外设,USB 2.0还支持480Mb/s的高速传输速率。
|
|
|
|
USB的端口具有很灵活的扩展性,一个USB端口串接上一个USB Hub就可以扩展为多个USB端口。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
安全管理的目标是将信息资源和信息安全资源管理好。安全管理是信息系统安全能动性的组成部分。大多数事故的发生,与其说是技术原因,还不如说是由管理不善导致的。安全管理要贯穿于信息系统规划、设计、建设、运行和维护各阶段。
|
|
|
|
|
|
信息安全管理政策法规包括国家法律和政府政策法规和机构和部门的安全管理原则。信息系统法律的主要内容有:信息网络的规划与建设、信息系统的管理与经营、信息系统的安全、信息系统的知识产权保护、个人数据保护、电子商务、计算机犯罪、计算机证据与诉讼。信息安全管理涉及的方面有:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理、审计管理。
|
|
|
|
信息安全管理的总原则有:规范化、系统化、综合保障、以人为本、主要负责人负责、预防、风险评估、动态发展、注重实效、均衡防护。安全管理的具体原则有:分权制衡、最小特权、标准化、选用成熟的先进技术、失效保护、普遍参与、职责分离、审计独立、控制社会影响、保护资源和效率。
|
|
|
|
我国的信息安全管理的基本方针是:兴利除弊,集中监控,分级管理,保障国家安全。
|
|
|
|
|
|
国家信息安全机构是国家最上层安全机构的组成部分。国家信息安全强调的是国家整体上的信息安全性,而不仅是某一个部门或地区的信息安全。而各部门、各地区又确实存在个体差异,对于不同行业领域来说,信息安全具有不同的涵义和特征,国家的信息安全保障体系的战略性必须涵盖部门和地区信息安全保障体系的相关内容。
|
|
|
|
为保证信息系统的安全,各信息系统使用单位也应建立信息系统安全管理机构。建立信息系统安全管理机构的第一步是确定系统安全管理员的角色,并组成安全管理小组。安全管理小组制定出符合本单位需要的信息安全管理策略,具体包括:安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估原则等内容。并尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。
|
|
|
|
信息系统的运行是依靠各级机构的工作人员来具体实施的,安全人员既是信息系统安全的主体,也是系统安全管理的对象。要加强人员管理,才能增强人们的安全意识,增强他们对安全管理重视的程度和执行的力度。首先要加强人员的审查、培训和考核工作,并与安全人员签订保密合同,调离不合格的人员,并做好人员调离的后续工作,承诺调离后的保密任务,收回其权限、钥匙、证件、相关资料等。安全人员管理的原则有:从不单独一个人、限制使用期限、责任分散、最小权限。
|
|
|
|
|
|
|
|
(1)软件管理:包括对操作系统、应用软件、数据库、安全软件和工具软件的采购、安装、使用、更新、维护和防病毒的管理等。
|
|
|
|
(2)设备管理:对设备的全方位管理是保证信息系统建设的重要条件。设备管理包括设备的购置、使用、维修和存储管理。
|
|
|
|
(3)介质管理:介质在信息系统安全中对系统的恢复、信息的保密和防止病毒方面起着关键作用。介质管理包括将介质分类、介质库的管理、介质登记和借用、介质的复制和销毁以及涉密介质的管理。
|
|
|
|
(4)涉密信息管理:包括涉密信息等级的划分、密钥管理和密码管理。
|
|
|
|
(5)技术文档管理:包括技术文档的密级管理和使用管理。
|
|
|
|
(6)传输线路管理:包括传输线路管理和网路互连管理。传输线路上传送敏感信息时,必须按敏感信息的密级进行加密处理。重要单位的计算机网络于其他网络的连接与计算机的互连需要经过国家有关单位的批准。
|
|
|
|
(7)安全审计跟踪:为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件(如网络入侵、内部资料窃取、泄密行为等),并阻断严重的违规行为,就需要安全审计跟踪机制的来实现在跟踪中记录有关安全的信息。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。
|
|
|
|
(8)公共网络连接管理:是指对单位或部门通过公共网络向公众发布信息和提供有关服务的管理,和对单位或部门从网上获得有用信息的管理。
|
|
|
|
(9)灾难恢复:灾难恢复是对偶然事故的预防计划,包括制定灾难恢复策略和计划和灾难恢复计划的测试与维护。
|
|
|
|
|
|
网络管理是指通过某种规程和技术对网络进行管理,从而实现:①协调和组织网络资源以使网络的资源得到更有效的利用;②维护网络正常运行;③帮助网络管理人员完成网络规划和通信活动的组织。网络管理涉及网络资源和活动的规划、组织、监视、计费和控制。国际标准化组织(ISO)在相关标准和建议中定义了网络管理的五种功能,即:
|
|
|
|
(1)故障管理:对计算机网络中的问题或故障进行定位,主要的活动是检测故障、诊断故障和修复故障。
|
|
|
|
(2)配置管理:对网络的各种配置参数进行确定、设置、修改、存储和统计,以增强网络管理者对网络配置的控制。
|
|
|
|
(3)安全管理:网络安全包括信息数据安全和网络通信安全。安全管理可以控制对计算机网络中的信息的访问。
|
|
|
|
(4)性能管理:性能管理可以测量网络中硬件、软件和媒体的性能,包括整体吞吐量、利用率、错误率和响应时间,帮助管理者了解网络的性能现状。
|
|
|
|
(5)计费管理:跟踪每个个人和团体用户对网络资源的使用情况,并收取合理的费用。
|
|
|
|
|
|
信息系统的场地与设施安全管理要满足机房场地的选择、防火、火灾报警及消防措施、防水、防静电、防雷击、防辐射、防盗窃、防鼠害,以及对内部装修、供配电系统等的技术要求。并完成出入控制、电磁辐射防护和磁辐射防护工作。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
在TCP/IP网络中,传输层的所有服务都包含端口号,它们可以唯一区分每个数据包包含哪些应用协议。端口系统利用这种信息来区分包中的数据,尤其是端口号使一个接收端计算机系统能够确定它所收到的IP包类型,并把它交给合适的高层软件。
|
|
|
|
端口号和设备IP地址的组合通常称作插口(socket)。任何TCP/IP实现所提供的服务都用知名的1~1023之间的端口号。这些知名端口号由Internet号分配机构(Internet Assigned Numbers Authority, IANA)来管理。例如,SMTP所用的TCP端口号是25,POP3所用的TCP端口号是110,DNS所用的UDP端口号为53,WWW服务使用的TCP端口号为80。FTP在客户与服务器的内部建立两条TCP连接,一条是控制连接,端口号为21;另一条是数据连接,端口号为20。
|
|
|
|
256~1023之间的端口号通常由UNIX系统占用,以提供一些特定的UNIX服务。也就是说,提供一些只有UNIX系统才有的而其他操作系统可能不提供的服务。
|
|
|
|
在实际应用中,用户可以改变服务器上各种服务的保留端口号,但要注意,在需要服务的客户端也要改为同一端口号。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
n个元素的序列{k1, k2, …, kn}当且仅当满足以下的关系式时才称之为堆: 或 ,并相应地称为小顶堆或大顶堆。
|
|
|
|
|
|
判断堆的办法是把序列看成一棵完全二叉树,若树中所有非终端节点的值均不大于(或不小于)其左右孩子的节点的值,则该序列为堆。
|
|
|
|
|
|
堆的典型应用是堆排序。堆排序首先要根据待排序记录的关键字建立初始堆,其方法是:将待排序的关键字按层序遍历方式分放到一棵完全二叉树的各个节点中,显然所有i>[n/2]的节点ki都没有子节点,以这样的ki为根的子树已经是堆,因此初始堆可从完全二叉树的第(i=[n/2])个节点开始,通过调整,逐步使以k[n/2], k[n/2]-1, …, k2, k1为根的子树满足堆的定义。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
局域网(Local Area Network, LAN),是在传输距离较短的前提下,所发展的相关技术的集合,用于将小区域内的各种计算机设备和通信设备互联在一起,组成资源共享的通信网络。在局域网中常见的传输媒介有双绞线、细/粗同轴电缆、微波、射频信号和红外线等。其主要特点如下。
|
|
|
|
(1)距离短:0.1km~25km,可以是一个建筑物内、一个校园内或办公室内。
|
|
|
|
(2)速度快:4Mbps~1Gbps,从早期的4Mbps、10Mbps及100Mbps发展到现在的1000Mbps(1Gbps),而且还在不断向前发展。
|
|
|
|
(3)高可靠性:由于距离很近,传输相当可靠,有极低的误码率。
|
|
|
|
(4)成本较低:由于覆盖的地域较小,因此传输媒介、网络设备的价格都相对较便宜,管理也比较简单。
|
|
|
|
根据技术的不同,局域网有以太网(Ethernet)、令牌环网络(Token Ring)、Apple Talk网络和ArcNet网络等几种类型。现在,几乎所有的局域网都是基于以太网实现的。当然,随着应用需求的不断提高,也对局域网技术提出了新的挑战,出现了一批像FDDI(Fiber Distributed Data Interface,光纤分布式数据接口)一样的技术。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
网闸通过利用一种GAP技术(源于英文的Air Gap),使两个或者两个以上的网络在不连通的情况下,实现它们之间的安全数据交换和共享。其技术原理是使用一个具有控制功能的开关读写存储安全设备,通过开关的设置来连接或切断两个独立主机系统的数据交换,如下图所示。
|
|
|
|
|
|
|
|
两个独立主机系统与网闸的连接是互斥的,因此,两个独立主机不存在通信的物理连接,而且主机对网闸的操作只有“读”和“写”。所以,网闸从物理上隔离、阻断了主机之间的直接攻击,从而在很大程度上降低了在线攻击的可能性。但是,网闸仍然存在安全风险,例如,入侵者可以利用恶意数据驱动攻击,将恶意代码隐藏在电子文档中,将其发送到目标网络中,通过具有恶意代码功能的电子文档触发,构成对内部网络的安全威胁。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
信息泄漏主要包括:电磁辐射(比如,侦听微机操作过程)、乘机而入(比如,合法用户进入安全进程后半途离开)、痕迹泄露(比如,密码密钥等保管不善,被非法用户获得),等等。
|
|
|
|
物理访问控制从根本上保护了物理器件和媒介(磁性媒介及文档媒介)免遭损坏或窃取。为防止泄漏所进行的物理安全管理应当包括一下内容。
|
|
|
|
.一套物理安全制度,规定了安全控制标准、常识、必须遵守的规定以及出现违规事件时应采取的措施。
|
|
|
|
.在大楼、计算机房、通讯室以及大楼以外其他存放场所中,对设备、数据、媒介和文档进行访问的流程。
|
|
|
|
.适宜的物理控制机制,可以包括:安全警卫、身份标志、生物技术检测、摄像头、防盗警报、个人计算机和外围设备标签、条形码和锁等。
|
|
|
|
.检查监控制度是否得到遵守,包括定期检查事件汇报和登记表。
|
|
|
|
|
|
显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失秘的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害。中华人民共和国保密指南第BMZ2-2001号文件《涉及国家秘密的计算机信息系统安全保密方案设计指南》第8.8条电磁泄露发射防护规定:计算机系统通过电磁泄露发射会造成信息在空间上的扩散,采用专用接收设备可以远距离接收还原信息,造成泄密。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这对重要的政府、军队、金融机构在兴建信息中心时都将成为首要设置的条件。正常的防范措施主要在三个方面。
|
|
|
|
(1)对主机房及重要信息存储、收发部门进行屏蔽处理。建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风波导、门的关起等。
|
|
|
|
(2)对本地网、局域网传输线路传导辐射的抑制。由于电缆传输辐射信息的不可避免性,现均采用了光缆传输的方式,大多数均在Modem的外接设备处用光电转换接口,用光缆接出屏蔽室外进行传输。
|
|
|
|
(3)对终端设备辐射的防范。终端机尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端被分散使用,而不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取低辐射产品外,目前主要采取主动式的干扰设备(如干扰机)来破坏对对应信息的窃取,个别重要的终端也可考虑采用有窗子的装饰性屏蔽室,此类虽降低了部份屏蔽效能,但可大大改善工作环境,使人感到类似于在普通机房内工作。
|
|
|
|
|
|
|
|
|
|
|
|
|
