*1.5 實體安全與隔離技術

1.5.1 實體安全的概念及內容

（1）實體安全的概念及目標

實體安全（Physical Security）也稱物理安全，指保護網絡系統（含軟硬件）及其他媒體免遭地震、水災、火災、有害氣體和其他環境事故破壞的措施及過程。主要是對網絡系統及其他媒體的使用環境、場地和人員等方面采取各種安全措施。

實體安全是整個網絡系統安全的重要基礎和保障。主要側重系統、環境、場地和設備的安全，以及實體保管使用及應急處理方案和計劃等。各種網絡系統受到的威脅和隱患，很多是與不同網絡系統的環境、場地、設備和人員等方面有關的實體安全問題。

實體安全的目標是保護網絡系統、終端、網絡服務器、其他網絡及通信設備和設施免受自然災害、人為失誤等的破壞，確保系統有一個優良的電磁兼容運行環境，同威脅和風險進行有效隔離。

（2）實體安全的內容及措施

實體安全的內容主要包括系統安全及運行環境安全、設備安全和媒體安全3個方面，通常包括5項防護（簡稱5防）：防盜、防火、防靜電、防雷擊、防電磁泄漏。特別是應當加強對重點數據中心、機房、服務器、網絡及其相關設備和媒體等實體安全的防護。

1）防盜。由于網絡核心部件是偷竊者的主要目標，而且這些設備中存放著大量重要數據或文件，被偷竊所造成的損失可能遠遠超過計算機及網絡設備本身的價值，因此，必須采取嚴格的防范措施，以確保服務器、計算機及網絡等相關設備不丟失。

2）防火。通常網絡中心的機房發生火災是由于電氣原因、人為事故或外部火災蔓延等引起的。電氣設備和線路因短路、過載接觸不良、絕緣層破壞或靜電等原因，引起電打火而導致火災。人為事故是指由于操作人員不慎，如吸煙、亂扔煙頭等，使存在易燃物質（如紙片、磁帶、膠片等）的機房起火，也不排除人為故意行為。外部火災蔓延是因建筑物起火而蔓延到機房而引起火災。

3）防靜電。靜電主要是由物體間的相互摩擦、接觸而產生的，計算機顯示器也會產生很強的靜電。靜電產生后，由于未能釋放而保留在物體內會有很高的電位，其能量不斷增加，從而產生靜電放電火花，造成火災，可能導致大規模集成電器損壞。

4）防雷擊。采用傳統避雷針防雷，不僅增大了雷擊的可能性，還會產生感應雷，可能使電子信息設備遭到損壞，也是易燃易爆物品被引燃起爆的主要原因。

5）防電磁泄漏。計算機、服務器及網絡等設備工作時會產生電磁發射，主要包括輻射發射和傳導發射，可能被高靈敏度的接收設備進行接收、分析、還原，造成信息泄露。

1.5.2 媒體安全與物理隔離技術

（1）媒體及其數據的安全保護

媒體及其數據的安全保護主要包括對媒體（磁盤等存儲介質）本身和存儲數據的安全保護。

1）媒體安全。主要指對媒體及其數據的安全保管，目的是保護存儲在媒體上的重要資料。保護媒體的安全措施主要有兩個方面：媒體的防盜與防毀，其中防毀指防霉和防砸，以及其他可能的破壞或影響。

2）存儲數據安全。主要指對存儲數據的保護。為了防止已刪除或已銷毀的敏感數據被他人恢復，必須對媒體機密數據進行安全刪除或安全銷毀。

保護存儲數據安全的措施主要有3個方面：

1）存儲數據的防盜，如防止存儲數據被非法竊取、復制或濫用。

2）存儲數據的銷毀，包括媒體的物理銷毀（如媒體粉碎等）和存儲數據的徹底銷毀（如消磁等），防止存儲數據刪除或銷毀后被他人恢復而泄露信息。

3）存儲數據的防毀，防止存儲數據的損壞或丟失等。

（2）物理隔離技術

物理隔離技術是一種以隔離方式進行防護的手段。目的是在現有網絡安全技術的基礎上，將威脅隔離在可信保護之外，保證內部網絡安全，并完成內外網絡數據的安全交換。

1）物理隔離的安全要求。主要包括以下3點：

①隔斷內外網絡傳導。在物理傳導上使內外網絡隔斷，確保外部網不能通過網絡連接侵入內部網；并防止內部網信息通過網絡連接泄露到外部網。

②隔斷內外網絡輻射。在物理輻射上隔斷內部網與外部網，確保內部網信息不會通過電磁輻射或耦合方式泄露到外部網。

③隔斷不同存儲環境。在物理存儲上隔斷兩個網絡環境，對于斷電后會遺失信息的部件，如內存等，應在網絡轉換時做清除處理，防止殘留信息出網。對于斷電非遺失性設備，如硬盤等存儲設備，內部網與外部網信息要分開存儲。

2）物理隔離技術包括以下3個階段。

第一階段：徹底物理隔離。利用物理隔離卡、安全隔離計算機和交換機使網絡隔離，兩個網絡之間無信息交流，所以也就可以抵御所有的網絡攻擊，它們適用于一臺終端（或一個用戶）需要分時訪問兩個不同的、物理隔離的網絡的應用環境。

第二階段：協議隔離。協議隔離是采用專用協議（非公共協議）來對兩個網絡進行隔離，并在此基礎上實現兩個網絡之間的信息交換。協議隔離技術由于存在直接的物理和邏輯連接，仍然是數據包的轉發，因此一些攻擊依然會出現。

第三階段：網閘隔離技術。主要通過網閘等隔離技術對高速網絡進行物理隔離，使高效的內外網數據仍然可以正常進行交換，而且可以控制網絡的安全服務及應用。

3）物理隔離的性能要求。采取安全措施可能對性能產生一定影響，物理隔離將導致網絡性能和內外數據交換不便。

討論思考

1）實體安全的內容主要包括哪些？

2）物理隔離的安全要求主要有哪些？