物理安全管理ppt课件.ppt

物理安全管理物理安全管理 1.;11.1 机房与设施安全机房与设施安全n设施安全就是对放置计算机系统的空间进行细致周密的规划，n对计算机系统加以物理上的严密保护，以避免存在可能的不安全因素211.1.1 计算机机房的安全等级计算机机房的安全等级n根据GB9361-88标准（中华人民共和国电子工业部1988年4月26日批准，1988年10月1日实施）n《计算站场地安全要求》，计算机机房的安全等级分为A、B、C等3个基本类型311.1.1 计算机机房的安全等级计算机机房的安全等级n（1）A类：对计算机机房的安全有严格的要求，有完善的计算机机房安全措施n（2）B类：对计算机机房的安全有较严格的要求，有较完善的计算机机房安全措施它的安全性介于A类和C类之间n（3）C类：对计算机机房的安全有基本的要求，有基本的计算机机房安全措施411.1.1 计算机机房的安全等级计算机机房的安全等级n在具体的建设中，根据计算机系统安全的需要，机房安全可按某一类执行，也可按某些类综合执行n所谓的综合执行是指一个机房可按某些类执行，n如某机房按照安全要求可对电磁波进行A类防护，对火灾报警及消防设施进行C类防护等。

n机房的安全要求如表11-1所示5安全安全项项目目C类类B类类A类类场地选择－⊕⊕防火⊕⊕⊕内部装修－⊕Θ供配电系统⊕⊕Θ空调系统⊕⊕Θ火灾报警及消防设施⊕⊕Θ表11-1 机房安全等级6防水－⊕Θ防静电－⊕Θ防雷击－⊕Θ防鼠害－⊕⊕电磁波的防护－⊕⊕表中符号说明：－表示无要求；⊕表示有要求或增加要求；Θ表示要求与前级相同711.1.2 机房场地的环境选择机房场地的环境选择n计算机系统的技术复杂，电磁干扰、震动、温度和湿度等的变化都会影响计算机系统的可靠性、安全性，n轻则造成工作不稳定，性能降低，或出现故障；n重则会使零部件寿命缩短，甚至是损坏n为了使计算机系统能够长期、稳定、可靠、安全地工作，应该选择一个合适的工作场所811.1.2 机房场地的环境选择机房场地的环境选择n1．环境安全性．环境安全性n（1）机房应该尽量建立在远离生产或储存具有腐蚀性、易燃、易爆物品的场所的周围n（2）机房应该尽量避开环境污染区（比如化工污染区），以及容易产生粉尘、油烟和有毒气体的区域（比如石灰厂等）n（3）应该尽量避免坐落在雷击区n（4）应避开重盐害地区911.1.2 机房场地的环境选择机房场地的环境选择n2．地质可靠性．地质可靠性n（1）不要建立在杂填土、淤泥、流沙层以及地层断裂的地质区域上。

n（2）不要建立在地震区n（3）建立在山区的机房应该尽量避开滑坡、泥石流、雪崩和溶洞等地质不牢靠区域n（4）应该尽量避开低洼、潮湿区域1011.1.2 机房场地的环境选择机房场地的环境选择n3．场地抗电磁干扰性．场地抗电磁干扰性n（1）应该避开或远离无线电干扰源和微波线路的强磁场干扰场所，如广播电视发射台、雷达站等n（2）应该避开容易产生强电流冲击的场所，如电气化铁路、高压传输线等n4．避开强振动源和强噪声源．避开强振动源和强噪声源n（1）应该避开振动源，如冲床、锻床等n（2）应该避开机场、火车站和影剧院等噪声源n（3）应该远离主要交通通道，并避免机房窗户直接邻街1111.1.2 机房场地的环境选择机房场地的环境选择n5．．避免避免设在设在建筑物的高层建筑物的高层及及用水设备的下用水设备的下层和隔壁层和隔壁n计算机机房应该选用专用的建筑物，尽量选择水源充足、电源比较稳定可靠、交通通信方便、自然环境清洁的地方n如果机房是办公大楼的一部分，一般应该设立在第2、3层为宜，避免设在建筑物的高层及用水设备的下层和隔壁n如果处于用水设备的下层，顶部应该有防渗漏措施n在机房场地的选择中，如果确实不能避开上述不利因素，则应该采取相应的防护措施。

1211.1.3 机房建筑设计机房建筑设计n机房建筑设计要求如下n（1）电子计算机机房的建筑平面和空间布局应具有适当的灵活性n（2）电子计算机机房主体结构应具有耐久、抗震、防火、防止不均匀沉陷等性能1311.1.3 机房建筑设计机房建筑设计n（3）主机房净高应依机房面积大小而定，一般为2.5~3.2m计算机机房地板必须满足计算机设备的承重要求，n按照GB/T2887-2000标准（国家电子计算机场地通用规范），地板荷重依设备而定，一般分为两级nA级：≥500kg/m2；B级：≥300kg/m2n（4）空调设备、供电设备用房的楼板荷重应依设备重量而定，一般应大于或等于1000kg/m2，或采取加固措施1411.1.3 机房建筑设计机房建筑设计n（5）就地板制作材料来说，机房地板最好采用质地坚硬不易起尘埃的原料，比如水磨地面n（6）主机房中各类管线宜暗敷，当管线需穿楼层时，宜设计技术竖井n（7）为了保证操作人员的安全，机房应设置疏散照明设备和安全出口标志1511.1.3 机房建筑设计机房建筑设计n（8）电子计算机机房的围护结构应该满足如下要求：n① 具有足够的热阻值和适当的热稳定性，n② 在主机房温差大和一般振动时，围墙应该不易出现裂纹和不产生灰尘；n③ 机房的屋顶应具有吸湿性小、隔热性能好的特性，并具有良好的防渗漏水性能；n④ 构造和材料应满足防火要求。

1611.1.3 机房建筑设计机房建筑设计n（9）机房的门应该满足以下要求：n① 防火；n② 门框尺寸能使机器设备顺利通过，但不宜过大；n③ 为保持室内环境，避免外界尘埃、噪音的影响，机房的门要密封良好1711.1.3 机房建筑设计机房建筑设计n（10）机房窗户应满足如下条件：n① 主机房的窗户最好避免直接邻街；n② 密封良好；n③ 最好选用铝合金双层窗，如果是单层窗，最好选用中空玻璃；n④ 应该加以必要的保护措施，如加防护网1811.1.4 机房组成及面积机房组成及面积n1．机房组成．机房组成n电子计算机机房一般由主机房、基本工作间、第一类辅助房间、第二类辅助房间和第三类辅助房间等组成n（1）主机房用以安装主机及其外部设备、路由器、交换机等骨干网络设备n（2）基本工作房间有数据录入室、终端室、网络设备室、已记录的媒体存放间和上机准备间1911.1.4 机房组成及面积机房组成及面积n（3）第一类辅助房间有备件间、未记录的媒体存放间、资料室等n（4）第二类辅助房间有维修室、电源室、蓄电池室、发电机室、空调系统用房等n（5）第三类辅助房间有储藏室、更衣换鞋室、缓冲间等n当然，以上分类是基本分类方法，在实际使用中，允许一室多用或酌情增减。

2011.1.4 机房组成及面积机房组成及面积n2．机房面积．机房面积n在计算机设备外形尺寸不完全掌握的情况下，电子计算机机房的使用面积一般应符合下列规定n（1）机房面积可按下列方法确定n① 当计算机系统设备已选型时，可按A=∑S计算式中A为计算机机房使用面积（m2），2111.1.4 机房组成及面积机房组成及面积nS指与计算机系统有关的并在机房平面布置图上占有位置的设备的面积（m2），∑S指计算机机房内所有设备占地面积的总和（m2）n② 当计算机系统的设备尚未选型时，可按A=kN计算式中A指计算机机房使用面积（m2）；k为系数，一般取值为4.5~6.5m2/台（架）；N指计算机机房内所有设备台（架）的总数n（2）计算机机房最小使用面积不得小于30 m22211.1.4 机房组成及面积机房组成及面积n（3）研制、生产用的调机机房的使用面积参照（1）中的规定执行n（4）其他各类房间的使用面积应依据人员、设备及需要而定n（5）在此基础上，考虑到今后的发展，应该留有一定的备用面积2311.1.5 设备布置设备布置n总的布局原则是：保证计算机系统处于最佳工作状态，操作维护方便，便于作业流动处理，n有利于安全和防护规范的执行，同时尽量使机房内安静整洁，便于工作效率的提高。

2411.1.5 设备布置设备布置n一般说来，机房内的布局原则如下：n（1）计算机设备宜采用分区布置，一般可分为主机区、存储器区、数据输入区、数据输出区等n（2）需要经常监视或操作的设备布置应便利操作n（3）产生尘埃及废物的设备应远离对尘埃敏感的设备，并宜集中布置在靠近机房的回风口处2511.1.5 设备布置设备布置n（4）全面考虑数据处理的工艺流程：信息输入-存储-处理-输出-分发-利用等n（5）使文件材料的流动路线和操作人员的行走路线尽可能短n（6）为了保证有一个良好的工作环境，便于操作和通风，也为了消防和保证特殊情况下的人员安全，2611.1.5 设备布置设备布置n主机房内通道与设备间的距离一般应符合下列规定：n① 两相对机柜正面之间的距离一般不应小于1.5m；n② 机柜侧面（或不用面）距墙一般不应小于0.5m，当需要维修测试时，则距墙不应小于1.2m；n③ 走道净宽一般不应小于1.2m2711.1.6 机房的环境条件机房的环境条件n1．温度和湿度．温度和湿度n机房的温度过高或过低都会对计算机硬件造成一定的损坏n例如：过高的温度会使电子器件的可靠性降低，还会加速磁介质及绝缘介质老化，甚至可能引起硬件的永久性损坏；n太低的温度会使元器件变脆，对硬件也有影响。

2811.1.6 机房的环境条件机房的环境条件n根据计算机系统温度、湿度的要求，将温度、湿度分为A、B两级，分别见表11-2和表11-3n机房可按某一级执行，也可按某些级综合执行，n综合执行指的是一个机房可按某些级执行，而不必强求一律，如某机房按机器要求可选，n开机时按A级温度、湿度，停机时按B级温度、湿度执行29项项目目A级级B级级夏季夏季冬季冬季温度，℃23±220±215~30相对湿度，%45~6540~70温度变化率，℃/h<5并不得结露<10并不得结露表11-2 开机时机房的温、湿度要求30项项目目A级级B级级温度，℃6~356~35相对湿度，%40~7020~80温度变化率，℃/h<5并不得结露<10并不得结露表11-3 停机时机房的温、湿度要求31 媒体存放的温、湿度条件见表11-4和表11-5表11-4 媒体存放的温、湿度条件132项项目目纸纸媒体媒体光光盘盘温度，℃5~50-20~50相对湿度，%4-~7010~95表11-4 媒体存放的温、湿度条件133项目磁带磁盘已记录的未记录的温度，℃<325~504~50相对湿度，%20~808~80表11-5 媒体存放的温、湿度条件23411.1.6 机房的环境条件机房的环境条件n其他房间的温、湿度可根据所装设备的技术要求而定，亦可采用表11-2、表11-3中的级别执行。

35☆☆ ☆☆(到到72页页)11.1.6 机房的机房的环境条件环境条件n2．空气含尘浓度．空气含尘浓度n如果尘埃落入计算机设备，容易引起接触不良，造成机械性能下降，n若是导电的尘埃进入计算机设备中，则会引起短路，甚至会损坏设备n一般来说，主机房内尘埃的粒径大于或等于0.5μm的个数，应小于或等于18000粒/cm3（相当于5000000粒/英尺3）3611.1.6 机房的环境条件机房的环境条件n3．噪声．噪声n一般说来，在计算机系统停机条件下，主机房内的噪声在主操作员位置应小于68dB（A）n4．电磁干扰．电磁干扰n电磁干扰会使人内分泌失调，危害人的身体健康，同时，也会引起计算机设备的信号突变，使得设备工作不正常3711.1.6 机房的环境条件机房的环境条件n据美国《AD研究报告》中的实测统计和理论分析，0.07高斯的磁场变化就可让计算机设备有误操作，0.7高斯的磁场变化就可让计算机设备损坏n因此对机房的电磁脉冲辐射的防护是十分必要的n一般说来，主机房内无线电干扰场强，在频率为0.15~1000MHz时，不应大于126dB主机房内磁场干扰环境场强不应大于800A/m（相当于10Oe）。

3811.1.6 机房的环境条件机房的环境条件n5．振动．振动n振动会使设备接触松动，增大接触电阻，使得设备的电器性能下降，同时也会使设备的绝缘性下降n一般说来，在计算机系统停机条件下主机房地板表面垂直级水平向的振动加速度值不应大于500mm/s23911.1.6 机房的环境条件机房的环境条件n6．静电．静电n计算机设备中的CMOS器件很容易被静电击穿，造成器件损坏实践表明，静电是造成计算机损坏的主要原因n当工作人员穿尼龙或丝绸工作服、穿橡胶拖鞋走动或长时间工作时，往往会因摩擦产生静电，带静电的工作人员接触或从计算机旁通过时，就会向计算机放电，使机器损坏或引起数据出错4011.1.6 机房的环境条件机房的环境条件n7．灯光．灯光n为了保证正常的工作，机房内应该有一定的照明条件依据有关国家标准，机房照度应该满足如下条件n（1）主机房在距地面0.8m处，照度不应低于300lxn（2）基本工作间、第一类辅助房间在距地面0.8m处，照度不应低于200lx4111.1.6 机房的环境条件机房的环境条件n（3）其他房间参照GB50034（《建筑照明设计标准》）执行n（4）电子计算机机房眩光限制标准可按表11-6所示分为3级(见书P171)。

n（5）直接型灯具的遮光角不应小于表11-7所示的规定见书P171)4211.1.6 机房的环境条件机房的环境条件n（6）主机房、基本工作间宜采用下列措施限制工作面上的反射眩光和作业面上的光幕反射n① 使视觉作业不处在照明光源与眼睛形成的镜面反射角上；n② 采用发光表面积大、亮度低、光扩散性能好的灯具；n③ 视觉作业处的家具和工作房间内应采用无光泽表面4311.1.6 机房的环境条件机房的环境条件n（7）工作区内一般照明的均匀度（最低照度与平均照度之比）不宜小于0.7，非工作区的照度不宜低于工作区平均照度的1/5n（8）计算机机房、终端室、已记录的媒体存放间应设事故照明，其照度在距地面0.8m处，不应低于5lxn（9）主要通道及有关房间依据需要应设事故照明，其照度在距地面0.8m处，照明不应低于1lx4411.1.6 机房的环境条件机房的环境条件n（10）电子计算机机房照明线路宜穿钢管暗敷或在吊顶内穿钢管明敷n（11）大面积照明场所的灯具宜分区、分段设置开关n（12）技术夹层内应设照明，采用单独支路或专用配电箱（盘）供电4511.1.6 机房的环境条件机房的环境条件n8．接地．接地n为了保证计算机系统的安全和工作人员的安全，机房内必须部署接地装置。

根据GB/T2887-2000标准《电子计算机场地通用规范》，机房接地有4种方式n（1）交流工作接地，接地电阻不应大于4Ω；n（2）安全工作接地，接地电阻不应大于4Ω；4611.1.6 机房的环境条件机房的环境条件n（3）直流工作接地，接地电阻不应大于10Ω；n（4）防雷接地，应按现行国家标准《建筑防雷设计规范》执行4711.1.6 机房的环境条件机房的环境条件n根据GB50174-93《电子计算机机房设计规范》，接地时应考虑如下原则：n交流工作接地、安全保护接地、直流工作接地和防雷接地4种接地宜共用一组接地装置，其接地电阻按其中最小值确定n若防雷接地单独设置接地装置时，其余3种接地宜共用一组接地装置，其接地电阻不应大于其中的最小值，并应按现行标准《建筑防雷设计规范》要求采取防止雷击措施4811.1.6 机房的环境条件机房的环境条件n对直接工作接地有特殊要求需单独设置接地装置的电子计算机系统、其接地电阻值及与其他接地装置的接地体之间的距离应按计算机系统及有关规定的要求确定n电子计算机系统的接地应采取单点接地并宜采取等电位措施n当多个电子计算机系统共用一组接地装置时，宜将各电子计算机系统分别采用接地线与接地体连接。

4911.1.7 电源电源n要想计算机系统能正常地工作，电源的安全和保护问题不容忽视n电源设备落后或电压不稳定，电压过高或过低都会给计算机造成不同程度的损害n例如：一台电子商务服务器，如果突然掉电，就会使交易中断，而且可能发生不必要的法律纠纷n所以，计算机在工作时首先要保证电源的稳定和供电的正常5011.1.7 电源电源n为使设备避免断电或其他供电方面的问题，供电要符合设备制造商对供电的规定和要求保持供电不中断的措施包括：n（1）设置多条供电线路以防某条供电线路出现故障；n（2）配置不间断电源（UPS）；n（3）备用发电机5111.1.7 电源电源n支持关键运营的设备必须使用不间断电源，以保证其能正常关机或持续运转n同时，要制定不间断电源发生故障时的应急计划对不间断电源要定期检查其储电量，并按制造商的指导对其进行测试n备用发电机主要用来应付长时间的断电如安装了发电机，应当按制造商的要求对其进行定期检测要储备充足的燃料，确保发电机能长时间地发电5211.1.7 电源电源n另外，在硬件中，也有一些元件在计算机系统断电时充当电源，保存许多信息，这些元件也必须经常检查，以使其完好无损n根据GB/T2887-2000标准，电子计算机供电电源质量根据电子计算机的性能、用途和运行方式（是否联网）等情况可划分为3级，如表11-8所示。

见书P173)5311.1.7 电源电源n根据GB/T2887-2000标准，将供电方式分为3类n（1）一类供电：需要建立不间断供电系统n（2）二类供电：需要建立带备用的供电系统n（3）三类供电：按一般用户供电考虑n根据有关标准，机房电源一般应符合如下条件：n（1）电子计算机机房用电负荷登记及供电要求应按现行国家标准《供配电系统设计规范》的规定执行5411.1.7 电源电源n（2）计算站应设专用可靠的供电线路n（3）供配电系统应考虑计算机系统有扩散、升级等可能性，并应预留备用容量n（4）电子计算机机房宜由专用电力变压器供电n（5）计算机系统的供电电源技术应按GB/T2887-2000中的规定执行5511.1.7 电源电源n（6）机房内其他电力负荷不得由计算机主机电源和不间断电源系统供电主机房内宜设置专用动力配电箱n（7）从电源室到计算机电源系统的分电盘使用的电缆，除应符合GBJ232中配线工程中的规定外，载流量应减少50%5611.1.7 电源电源n（8）当采用交流不间断电源设备时，应按现行国家标准《供配电系统设计规范》和现行有关行业标准规定的要求，采取限制谐波分量措施n（9）当城市电网电源质量不能满足计算机供电要求时，应根据具体情况采用相应的电源质量改善措施和隔离防护措施。

n（10）计算机机房低压配电系统应采用频率50Hz、电压220/380VTN-S或TN-C-S系统，计算机主机电源系统应按设备的要求确定5711.1.7 电源电源n（11）单相负荷应均匀地分配在三相线路上，并应使三相负荷不平衡度小于20%n（12）电子计算机电源设备应靠近主机房设备n（13）机房电源进线应按现行国家标准《建筑防雷设计规范》采取防雷措施电子计算机机房电源应采用地下电缆进线5811.1.7 电源电源n（14）主机房内应分别设置维修和测试用电源插座，两者应有明显的区别标志测试用电源插座应由计算机主机电源系统供电其他房间内应适当设置维修用电源插座n（15）主机房内活动地板下部的低压配电线路宜采用铜芯屏蔽导线或铜芯屏蔽电缆n（16）活动地板下部的电源线应尽可能远离计算机信号线，并避免并排敷设当不能避免时，应采取相应的屏蔽措施n（17）要在设备室的紧急出口处安装紧急电源开关，用来在紧急情况下迅速关闭电源5911.1.8 围墙和门禁围墙和门禁n为了保证计算机系统的安全，应该采取一定的隔离控制手段太高而不容易被爬上去的围墙，可以防止很大一部分的非法侵入，也使保安人员容易发现非法进入的人员，造价不高且效果明显。

n计算机机房的所有房门都应该足够结实，能防止非法的进入n电子计算机机房宜设单独出入口，当与其他部门共用出入口时，应避免人流、物流的交叉为工作而设置的房门应尽可能的少，以便容易控制进入机房的人员6011.1.8 围墙和门禁围墙和门禁n为了加强门的保护能力，可以将门连接到外围警报系统，当门被打破时，可以发出警告信号，这可以通过安装电子设备门实现重要的安全区应该设置门卫n门卫应该仔细检查进入者的证件和使用手册，检查参观人员的有效许可证明，防止未经许可的人员进入安全区要对移出安全区域的设备和媒体进行检查，接收注册的信件，并做好详细的记录，以备核查6111.1.8 围墙和门禁围墙和门禁n特别需要说明的是，为选择合适的门卫，应该查看他过去的简历以及他是否接受过有关培训，这是很重要的n例如，如果一个警卫负责检查磁带、磁盘和其他计算机介质，他就必须认识它们，并懂得它们是什么6211.1.9 钥匙和锁钥匙和锁n除了极其重要的安全区，一般机房的出入完全由门卫控制，安全性高，但太麻烦，也不太实际n一般的情况下，还是以有授权的工作人员使用钥匙最为普遍，但是钥匙可能会落入别人手里，这就需要对工作人员加强教育，仔细保护好自己的钥匙，如果钥匙丢失，要及时报告并换锁。

n一些工作区，应该由专人管理钥匙，并制定严格的交换制度以保证安全所有的人员在离职后，都应该交出所有的相关钥匙并考虑换锁6311.1.9 钥匙和锁钥匙和锁n还有一条规则是要保证钥匙要有备份，以便管理人员不在时其他人员在被授权的情况下能够打开锁n锁是大量使用的保护装置，但是如果钥匙被非授权者拿到或复制，那么对非授权者来说，就没有了任何限制，而且有技能的入侵者可能不用钥匙就打开锁对于机房来说，可以考虑采用如下几种锁n（1）传统的钥匙和锁耗费是最小的，几乎每扇门都可以装备，然而钥匙很容易被复制，钥匙持有者可以随时进入，对于东西的出入没有任何控制6411.1.9 钥匙和锁钥匙和锁n（2）精选的抵抗锁与传统锁相比，费用大概是两三倍，钥匙很难被复制，其他特征跟传统锁一致n（3）电子组合锁这种锁使用电子按动按钮进入，有些在一定情况下允许输入一个特别的代码来打开门，但同时会引发远程告警n（4）机械按钮组合锁，按下正确的组合可以撤销门闩，打开门，相比电子锁而言，其可靠性差，但费用低6511.1.10 计算机设备计算机设备n1．计算机设备的可靠性．计算机设备的可靠性n元件选择和使用不当，电路和结构设计不合理，生产工艺不良，质量控制不良，调试不当等都会影响计算机设备的可靠性，环境条件会影响计算机系统的可靠性，不正常的使用和维护也会引起计算机系统的可靠性下降，n因此为了保证系统的正常运行，应该对所需要的计算机设备进行正确的选型、验收、制定操作规范。

在条件允许的情况下，也可以采用增加冗余资源的方法，使系统在有故障时仍能正常工作6611.1.10 计算机设备计算机设备n2．计算机设备的维护．计算机设备的维护n对于计算机设备应该有一套完善的保管和维护制度相关的制度如下：n（1）应该有专人负责设备的领用和保管，做好设备的领用、进出库和报废登记；n（2）对设备定期进行检查、清洁和保养维护；n（3）制定设备维修计划，建立满足正常运行最低要求的易损件备件库；6711.1.10 计算机设备计算机设备n（4）对设备进行维修时，必须记录维修对象、故障原因、排除方法、主要维修过程给予维修有关的情况等；n（5）交外单位人员修理存储有重要数据的故障设备时，本单位必须派专人在场监督；n（6）对于机房的附加设备如空调、电源等也必须定期维护和保养6811.1.11 通信线路的安全通信线路的安全n为保证网络通信线路的安全，应注意以下几个方面：n（1）用于数据传输的线路应该符合有关标准，例如，线路噪声不应超标等；n（2）传输线路应采用屏蔽电缆并有露天保护或埋于地下，要求远离强电线路或强电磁场发射源，以减少由于干扰引起的数据错误；n（3）铺设电缆应采用金属套装、屏蔽电缆或加装金属套管，以减少各种辐射对线路的干扰，定期检查各线段及接点，更换老化变质的电缆；6911.1.11 通信线路的安全通信线路的安全n（4）定期检查接线盒及其他易被人接近的线路部位；n（5）定期测试信号强度，检查是否有非法装置接入线路；n（6）配备必要的检查设备，以发现非法窃听；n（7）如果条件许可或是信息安全需要，可以使用光缆，光缆对非法窃听很敏感，很容易被发现；7011.1.11 通信线路的安全通信线路的安全n（8）调制解调器应放置在受监视的区域，以便及时发现和防止外来连接的企图，调制解调器的连接应定期检验，以检验是否有篡改行为。

71★★★★11.2 技术控制技术控制n计算机系统的机房与设施安全，只是保证了基本的安全环境，应该再加上必要的技术控制，以保证只有授权人员才能接近计算机系统，及时发现及阻止非法进入n11.2.1 人员控制人员控制n无论机房与设施环境怎样好，为机器设备提供了怎样好的工作环境，外部安全做的怎样好，n但如果对进出机房不加控制，可以随意进出，那么系统的安全是没有丝毫保证的7211.2.1 人员控制人员控制n1．外来人员控制．外来人员控制n机房作为核心的机要部位不允许未经批准的人员进入，原则上也不应当允许外来人员参观n通常可作如下规定n（1）来访者（包括本单位非常住人员、有关协作单位未发出入证的人员）要在检查确认其身份、目的后，发放临时识别牌，准许入内n在机房内，来访者要佩戴该识别牌，离开时交回7311.2.1 人员控制人员控制n（2）危险品及可燃品不得带入机房，携带物品进出机房时，应该在得到主管部门领导同意后，方可带入和带出机房n（3）对于来访者的姓名、性别、单位、、证件号码、接待单位、进出时间等要进行记录，以备核查n（4）未经有关领导批准，不得在机房内照相、录像7411.2.1 人员控制人员控制n2．工作人员控制．工作人员控制n据有关调查显示，有70%的计算机犯罪是由内部职工所为。

n所以，对内部工作人员也应该有一定的控制制度通常可作如下规定n（1）机房应采取分区控制n根据每个工作人员的实际工作需要，确定所能进入的区域n对无权进入者的跨区域访问，必须经过有关领导的批准7511.2.1 人员控制人员控制n（2）对长期在机房工作的人员应定期发放带有照片的身份证件及识别标志（徽章、明片）作为进出机房的识别n（3）短期工作人员的进出应持有临时出入证，并履行严格的登记手续n（4）携带物品进出机房时，应持有携物证，根据需要，门卫可检查所携带的物品n（5）危险品及可燃品不得带入机房，用于维护设备或施工使用的物品应妥当保管处置7611.2.1 人员控制人员控制n（6）应该对跨区域进出机房（室）人员的姓名和进出时间进行登记n（7）未经批准不能带外人参观n（8）严禁将磁卡或钥匙等借给他人使用如若丢失要及时报告n（9）为保证机房环境及设备正常运转，未经允许不得改动或移动机房内的电源、空调、机柜、终端、服务器、收发器等7711.2.1 人员控制人员控制 6n（10）未经有关领导批准，在机房内禁止使用摄影、录像、录音或其他记录仪器设备n（11）对敏感信息和关键设备采取双人工作制，所有进出及操作都要求有记录，并加以妥当保存。

n（12）对给予使用人员的进入权要进行定期检查如果现有的进入权控制已不能满足安全或业务需要，就要进行更新n（13）应制定附加的信息安全区内工作守则，各工作人员对安全区的存在及其内的活动应了解自己应当知道的部分7811.2.1 人员控制人员控制n3．保安人员控制．保安人员控制n为了保证系统与设备的安全，重要的安全区应该部署保安人员n保安人员应对在未经授权的情况下离开房间、区域或建筑物的设备及媒体进行检查7911.2.1 人员控制人员控制n对进入安全区的非授权人员进行检查，并使他们离开n保安应该经常检查建筑周围的所有可能的入口点，例如窗、排气管道等类似的地方，n一旦发生不寻常的事情，例如电源线裸露、炸弹威胁、火警等，就进行快速检查和保护8011.2.1 人员控制人员控制n保安人员应该对所负责的安全区经常巡逻检查巡逻时应该注意以下问题：n（1）在指定的时期内，检查门、窗等是否锁住；n（2）观察、纠正和报告安全隐患，诸如火灾风险、遗留的设备或机器、打开的防火门以及其他类似的问题；n（3）检查灭火器、水管以及其他喷水装置的情况；8111.2.1 人员控制人员控制n（4）检查文档以及其他严格限制的区域是否安全；n（5）对可疑的人或活动、泄露以及其他不正常情况报警。

n审查保安人员是否有保安的经历，并对其进行相应的保护计算机设施的培训，以确保其胜任保安工作8211.2.2 检测监视系统检测监视系统n计算机机房依据其安全性可以考虑安装检测监视系统，以便及时发现异常状态n常用的检测监视系统一般包括入侵检测系统，运动物体检测、传感和报警系统，闭路电视监视系统n检测监视系统的设计应当从实际需要出发，尽可能使系统的结构简单可靠设计时应该遵循的基本原则如下：8311.2.2 检测监视系统检测监视系统n（1）合理布局探测传感器于各监测部位n（2）系统必须可靠，具有自动防止故障的特性，即使工作电源发生故障，系统也必须处于随时能够工作的状态n（3）系统应该具备一定的扩充能力，以适应日后使用功能的可能变化n（4）报警器应该安装在非法闯入者不易达到的位置，通往报警器的线路最好采用暗埋方式8411.2.2 检测监视系统检测监视系统n（5）传感器或探测器尽量安装在不易注意的地方，但受损时应易于发现，并得到相应的处理n（6）系统应当采用符合我国有关的国家标准，集散型结构通过总线方式将报警控制中心与现场控制器连接起来，而探测器则分别连接到现场控制器上n在难于布线的局部区域宜采用无线通信设备。

8511.2.2 检测监视系统检测监视系统 9n（7）系统所使用的部件应该尽量采用标准部件，便于系统的维护和检修n（8）系统应该采用多层次、立体化的防卫方式，如周边设防、区域布防和目标保护在目标保护中不能有监控盲区8611.2.2 检测监视系统检测监视系统n下面介绍几种目前常用的检测监视系统n1．入侵检测系统．入侵检测系统n这里的入侵检测系统通常指夜间报警，n主要指的是边界检测报警系统，用于对非授权的进入或试图进入进行检测并发出信号n对计算机信息安全区，应该仔细检查建筑周围的所有可能的入口点8711.2.2 检测监视系统检测监视系统n一些经常使用的设备有如下几种n（1）窗户贴窗户贴是一种粘贴在窗户或玻璃门上的金属物，当玻璃被打破时，贴也破裂，打开电路，告警响起，摩擦也能够激活系统引发告警n（2）绷紧线一个绷紧线设备用来检查保护区域内的闯入者，任何对绷紧的线路的改变都会引发告警n（3）入侵开关一个磁性的或机械的入侵开关通常用来保护门、窗以及其他地方一旦门、窗等被打开，这些开关就会发出信号报警8811.2.2 检测监视系统检测监视系统n入侵检测系统在员工离开工作岗位后应该被置于一个安全的模式，应该有一个主要负责的人员在非工作期间被指派对系统负责。

n位于远程监控位置的人员应该在工作开始时将系统置于打开模式，n所有的入侵检测系统应该被正确地维护，并且在安装时进行测试8911.2.2 检测监视系统检测监视系统n2．运动物体检测、传感和报警系统．运动物体检测、传感和报警系统n运动物体检测、传感和报警系统一般布置在安全区域内至少有5种技术可以用来检测入侵者n（1）光测定系统这是一个在一个区域内通过增加光源来检测光层变化的被动的系统，n由于这种系统对周围的光层敏感，因而它们只用于无窗户的区域9011.2.2 检测监视系统检测监视系统n（2）移动检测系统n这个系统操作的基础是多普勒效应，当一个声音或电磁信号朝一个方向移动或者远移它时，其频率会相对变高或变低9111.2.2 检测监视系统检测监视系统n这一类检测系统的立体防范区域较大，可以覆盖60～70度的辐射范围，甚至可以更大n它受气候条件、环境变化的影响较小，而且具有穿透非金属物质的特点，n可以安装在隐蔽之处，或外加修饰物，不易被察觉，能起到良好的防范作用9211.2.2 检测监视系统检测监视系统n移动检测系统有3种类型n① 音速检测系统可以在1500～2000Hz范围内操作，或者更高，系统采用发射器和接收器来使整个密闭的房间充满声波。

n② 超声波检测系统使用高端频率，大约在19000～20000Hz范围内操作n③ 微波检测系统操作类似于上述系统，除了400～10000Hz范围的频率用于收音机波段外，它可以使用其他波段9311.2.2 检测监视系统检测监视系统n（3）听觉震动检测系统系统使用微型听筒类型的设备来检测超过周围噪音的声音，但雨、雷、航空等原因可能会引发无谓的告警n（4）红外线传感检测系统人体可以发出一种不可见的红外线，通过对红外线的检测，就可以发现侵入者9411.2.2 检测监视系统检测监视系统n（5）相近检测系统n有多种不同的相近检测系统，在原理上相近系统都采用一个电子域，n它可能是电磁的或静电的，当被外界破坏时引发告警9511.2.2 检测监视系统检测监视系统n在实际应用中，可根据具体情况使用某一种系统，也可以几种系统并用以提高工作效率n比如，可以在同一防范区域同时使用红外线传感检测系统和微波检测系统，n由于这两类系统的每一种都不对另一类的虚报源敏感，因此会大大降低虚报率9611.2.2 检测监视系统检测监视系统n3．闭路电视．闭路电视n对于极其重要的信息安全区，除了安装运动物体检测、传感和报警系统外，还可以装置闭路电视监控系统。

n闭路电视监控系统又称为CCTV（Closed Circuit Television）n通过CCTV在监控中心可以随时观察到监控区域的动态情况，从而保证监控区域的安全9711.2.3 智能卡智能卡/哑卡哑卡n由于一般的锁容易被有技能的人打开，因此为了能验证某一用户是物理设备的唯一拥有者或者是一组用户的成员之一，可以使用授权令牌n这些令牌对用于执行授权协议的信息进行编码，以便于系统对这个令牌的用户进行标识9811.2.3 智能卡智能卡/哑卡哑卡n存在两种类型的令牌n（1）内存令牌内存令牌（哑卡）是基于半导体技术的令牌，例如磁性条纹令牌和集成电路内存令牌n存储在这些令牌上的信息通常都是加密的，以防止信息暴露加密的处理应基于用户的口令或者PIN码除非获得口令或PIN码，否则不能得到数据9911.2.3 智能卡智能卡/哑卡哑卡n（2）智能卡它是最复杂的集成电路令牌，除了半导体内存之外还包括一个微处理器，因为其具有一定的数据处理能力，所以被称为智能卡n智能卡在执行相关性操作之前，要求提供口令或PIN码以验证卡持有者的身份，有一些智能卡具有线路控制逻辑来执行相关的简单功能，例如口令检测和数据传输。

10011.2.3 智能卡智能卡/哑卡哑卡n智能卡更主要的是包含能执行存储在令牌内存中的程序的微处理器，执行程序存储在固件这样的内存中n具备处理能力和存储空间的智能卡可以实现固件中的加密算法，是实现安全授权协议的有效工具n很多智能卡在验证输入的数据不正确时，具有一种保护机制并保存一定数量的提交的不正确的口令如果侵入者能够获得精确的卡信息，那么他就能攻破系统10111.2.3 智能卡智能卡/哑卡哑卡n尽管令牌有很多优点，但它也有一些众所周知的威胁，最大的威胁是袭击者有偷取一个有效令牌而成为有效用户的可能性，一个具有能力的袭击者也可以伪造一个令牌n这些威胁可以通过当令牌被使用时要求提交口令或PIN码来降低，使用加密的令牌可以大大提高授权系统的安全因此，推荐混合使用PIN和口令授权10211.2.3 智能卡智能卡/哑卡哑卡n对一个特定的应用选择授权令牌依赖于多种因素，在磁介质上存储数据的简单令牌可能是低费用的，但需要更复杂的接口设备，而且这些令牌易于被欺骗n集成电路令牌包括微处理电路，价格昂贵，它能够提供高安全性10311.2.4 生物访问控制生物访问控制n随着技术的不断进步，种种访问控制技术层出不穷。

在这些技术中，生物访问控制技术是最令人注目的一种生物访问控制就是以人的生物学特征作为标志，例如人的指纹、眼睛虹膜和声音等，以判断是否是合法用户n据统计，人的指纹相同的概率只有几百万分之一使用这些特征进行辨别能大大提高准确性，保证系统的安全使用这些系统也有一些问题值得引起注意10411.2.4 生物访问控制生物访问控制n一个是健康问题，比如，使用虹膜识别系统，识别设备的光束扫描可能对眼睛带来损害；使用指纹识别系统，由于多人使用同一系统，因此可能传染病菌n另一个问题就是错误的拒绝率问题，比如，一个识别系统使用声音鉴别用户，如果一个用户感冒了，声带异常，系统就可能拒绝他进入n还有一个值得注意的问题就是设备的响应时间，也就是指，从设备开始扫描人员的生物特征，到设备能够判断出该人员是否符合进入条件的时间10511.2.5 审计访问记录审计访问记录n审计访问记录能很方便地查出进出安全区的人员的情况，便于在事故发生后确定责任，也可以通过访问记录发现问题，n比如可以发现某个人非正常地频繁出入安全区，或者在非授权时间出入等，从而加强监控检测，防止发生事故n也可以检测监测报警系统的漏报和误报，从而为改进系统性能、加强保卫提供依据。

10611.2.5 审计访问记录审计访问记录n访问记录应该详细记录以下几个方面的内容n（1）日志信息，包括对物理访问权利的增加、修改或删除，例如授予新职员访问建筑物的权利；n（2）访问者的姓名、访问的日期和时间；n（3）极其重要的信息系统的操作过程；n（4）参观人员的单位、携带物品，以及接待人员姓名等；10711.2.5 审计访问记录审计访问记录n（5）进出安全区的设备和媒体的名称、数量、编号、进出时间、携带者的姓名与批准领导的姓名等；n（6）监测、报警系统的报警时间、现场勘察人员姓名、到达时间以及现场的其他情况，如漏报、误报，还应该记录当时的气候情况、环境情况等10811.3 环境与人身安全环境与人身安全n11.3.1 防火安全防火安全n对安全最严重的威胁就是火灾n火灾检测系统是为检测和响应火灾、潜在火灾或燃烧情况而安装和维护的设备n这些设备一般应防范发生火灾的3个必要环境条件：温度、可燃物和氧气10911.3.1 防火安全防火安全n1.火灾检测n火灾检测系统常分为两类：手工和自动n手工火灾检测系统包括人员的响应，如给消防部门打，以及手工激活的警报n手工触发的警报直接连接到灭火系统时，必须小心使用，因为错误的报警并不少见。

11011.3.1 防火安全防火安全n2.灭火n灭火系统可以由便携式、手动的或自动的设备组成便携式灭火器用于适合直接灭火或固定设备无效的各种情况下n便携式灭火器对较小的火灾更有效，可以避免触发整个建筑物的洒水装置，从而避免可能引起的破坏11111.3.1 防火安全防火安全n3. 机房的防火措施n为了保证不发生火灾，及时发现火灾，发生火灾后及时消防和保证人员的安全，对机房应考虑采取以下措施n（1）采用防火的建筑结构和材料n（2）机房应设火灾自动报警系统，以便及时发现异常状态，并应符合现行国家标准《火灾自动报警系统设计规范》的规定n根据不同的使用目的可配备如下监视设备：红外线传感器、自动火灾报警器11211.3.1 防火安全防火安全n（3）报警系统和自动灭火系统应与空调、通风系统连锁空调系统所采用的电加热器应设置无风断电保护n（4）机房的耐火等级应符合现行国家标准《高层民用建筑设计防火规范》、《建筑设计防火规范》及《计算站场地安全要求》等的规定n（5）机房与其他建筑物合建时应单独设防火分区11311.3.1 防火安全防火安全n（6）机房的安全出口，不应少于两个，并宜设于机房的两端门应向疏散方向开启，并应保证在任何情况下都能从机房内打开。

走廊、楼梯间应畅通并有明显的疏散指示标志n（7）主机房、基本工作间及第一类辅助房间的装饰材料应选用非燃烧材料或难燃烧材料11411.3.1 防火安全防火安全n（8）主机房宜采用感烟探测器当设有固定灭火系统时，应采用感烟、感温两种探测器的组合n（9）机房内的记录介质应存放在金属柜或其他能防火的容器内n（10）机房内存放的废弃物应采用有防火盖的金属容器n（11）当主机房内安放空调设备时，空调设备应受主机房内电源切断开关的控制机房内的电源切断开关应靠近工作人员的操作位置或主要出入口11511.3.1 防火安全防火安全n（12）主机房、基本工作间不应该使用水质灭火器，而应设二氧化碳或卤代烷灭火系统，并应按现行有关规范的要求执行n（13）设有卤代烷灭火装置的机房应配置专用的空气呼吸器或氧气呼吸器n（14）设置二氧化碳或卤代烷固定灭火系统及火灾探测器的机房，其吊顶的上、下及活动地板下均应设置探测器和喷嘴n（15）在气体灭火防护区内设置的消防排风系统，其排风管的制作与安装应严密，风阀应安装在靠近电子计算机机房、易于操作和维修的地方，阀门应启闭灵活11611.3.1 防火安全防火安全n（16）风管不宜穿过防火墙和变形缝。

如必须穿过时，应在穿过防火墙处设防火阀；穿过变形缝处，应在两侧设防火阀防火阀应既可手动又能自控穿过防火墙、变形缝的风管两侧各2m范围内的风管保温材料必须采用非燃烧材料n（17）安全人员应随时对机房进行巡视，注意发现产生危险、故障的征兆及其原因，检查防灾防范设备的功能等11711.3.2 漏水和水灾漏水和水灾n由于计算机系统使用电源，因此水对计算机也是致命的威胁，它可以导致计算机设备短路，从而损害设备n所以，对机房必须采取防水措施机房的防水措施应考虑如下几个方面n（1）与主机房无关的给排水管道不得穿过主机房n（2）主机房内如设有地漏，地漏下应加设水封装置，并有防止水封破坏的措施11811.3.2 漏水和水灾漏水和水灾n（3）机房内的设备需要用水时，其给排水管道应暗敷，引入支管宜暗装管道穿过主机房墙壁和楼板处，应设置套管，管道与套管之间应采取可靠的密封措施n（4）机房不宜设置在用水设备的下层n（5）机房房顶和吊顶应有防渗水措施n（6）安装排水地漏处的楼地面应低于机房内的其他楼地面11911.3.3 自然灾害自然灾害n自然界存在着种种不可预料或者虽可预料却不能避免的灾害，比如洪水、地震、大风和火山爆发等。

n对此，应该积极应对，制定一套完善的应对措施，建立合适的检测方法和手段，以期尽可能早的发现这些灾害的发生，采取一定的预防措施n比如，采用壁雷措施以规避雷击，加强建筑的抗震等级以尽量对抗地震造成的危害12011.3.3 自然灾害自然灾害n因此应当预先制定好相应的对策，包括在灾害来临时采取的行动步骤和灾害发生后的恢复工作等n通过对不可避免的自然灾害事件制定完善的计划和预防措施，使系统受到的损失的程度减小到最小n同时，对于重要的信息系统，应当考虑在异地建立适当的备份与灾难恢复系统12111.3.4 物理安全威胁物理安全威胁n在实际生活中，除了自然灾害外，还存在种种其他的情况威胁着计算机系统的物理安全n比如，通信线路被盗窃者割断，就可以导致网络中断如果周围有化工厂，若是化工厂的有毒气体泄露，就会腐蚀污染计算机系统n再比如，2001年9月美国发生的纽约世贸大楼被撞事件，导致大楼起火倒塌，许多无辜生命死亡，里面的计算机系统也不可避免地被破坏对这种种威胁，计算机安全管理人员都应有一个清醒的认识12211.4 电磁泄露电磁泄露n电磁泄露发射技术是信息保密技术领域的主要内容之一，国际上称之为TEMPEST（Transient electromagnetic pulse standard technology，瞬变电磁脉冲标准技术）。

n美国安全局（NSA）和国防部（DOD）曾联合研究与开发这一项目，12311.4 电磁泄露电磁泄露n主要研究计算机系统和其他电子设备的信息泄露及其对策，研究如何抑制信息处理设备的辐射强度，n或采取有关的技术措施使对手不能接收到辐射的信号，或从辐射的信号中难以提取出有用的信息nTEMPEST技术是由政府严格控制的一个特殊技术领域，各国对该技术领域严格保密，其核心技术内容的密级也较高12411.4 电磁泄露电磁泄露n计算机设备包括主机、显示器和打印机等，在其工作过程中都会产生不同程度的电磁泄露n例如，主机各种数字电路中的电流会产生电磁泄露，显示器的视频信号也会产生电磁泄露，键盘上的按键开关也会引起电磁泄露，打印机工作时也会产生低频电磁泄露，等等n计算机系统的电磁泄露有两种途径：一是以电磁波的形式辐射出去，称为辐射泄露；二是信息通过电源线、控制线、信号线和地线等向外传导造成的传导泄露12511.4 电磁泄露电磁泄露n通常，起传导作用的电源线、地线等同时具有传导和辐射发射的功能，也就是说，传导泄露常常伴随着辐射泄露n计算机系统的电磁泄露不仅会使各系统设备互相干扰，降低设备性能，甚至会使设备不能正常使用，更为严重的是，电磁泄露会造成信息暴露，严重影响信息安全。

12611.4 电磁泄露电磁泄露n理论分析和实际测量表明，影响计算机电磁辐射强度的因素如下：n（1）功率和频率设备的功率越大，辐射强度越大；信号频率越高，辐射强度越大n（2）距离因素在其他条件相同的情况下，离辐射源越近，辐射强度越大；离辐射源越远，则辐射强度越小也就是说，辐射强度与距离成反比n（3）屏蔽状况辐射源是否屏蔽，屏蔽情况好坏，对辐射强度的影响很大12711.4.1 计算机设备防泄露措施计算机设备防泄露措施n抑制计算机中信息泄露的技术途径有两种：一是电子隐蔽技术，二是物理抑制技术n电子隐蔽技术主要使用干扰、跳频等技术来掩饰计算机的工作状态和保护信息；物理抑制技术则是抑制一切有用信息的外泄，物理抑制技术可分为包容法和抑源法n包容法主要是对辐射源进行屏蔽，以阻止电磁波的外泄传播抑源法就是从线路和元器件入手，从根本上阻止计算机系统向外辐射电磁波，消除产生较强电磁波的根源12811.4.1 计算机设备防泄露措施计算机设备防泄露措施n计算机系统在实际应用中采用的防泄露措施主要如下n（1）选用低辐射设备n这是防止计算机设备信息泄露的根本措施所谓低辐射设备就是指经有关测试合格的TEMPEST设备。

n这些设备在设计生产时已对能产生电磁辐射的元器件、集成电路、连接线和阴极射线管等采取了防辐射措施，把设备的辐射抑制到最低限度这类设备的价格相当昂贵12911.4.1 计算机设备防泄露措施计算机设备防泄露措施n（2）利用噪声干扰源n噪声干扰源有两种，一种是白噪声干扰源，另一种是相关干扰器n① 使用白噪声干扰源n使用白噪声干扰源有以下两种方法：n一是将一台能够产生白噪声的干扰器放在计算机设备旁边，让干扰器产生的噪声与计算机设备产生的辐射信息混杂在一起向外辐射，使计算机设备产生的辐射信息不容易被接收复现13011.4.1 计算机设备防泄露措施计算机设备防泄露措施n另一种方法是将处理重要信息的计算机设备放置在中间，四周放置一些处理一般信息的设备，n让这些设备产生的辐射信息一起向外辐射，这样就会使接收复现时难辨真伪，同样会给接收复现增大难度13111.4.1 计算机设备防泄露措施计算机设备防泄露措施n② 使用相关干扰器n这种干扰器会产生大量的仿真计算机设备的伪随机干扰信号，使辐射信号和干扰信号在空间叠加成一种复合信号向外辐射，破坏了原辐射信号的形态，使接收者无法还原信息n这种方法比白噪声干扰源的效果好，但由于这种方法多采用覆盖的方式，而且干扰信号的辐射强度大，因此容易造成环境的电磁噪声污染。

13211.4.1 计算机设备防泄露措施计算机设备防泄露措施n（3）采取屏蔽措施n电磁屏蔽是抑制电磁辐射的一种方法计算机系统的电磁屏蔽包括设备屏蔽和电缆屏蔽设备屏蔽就是把存放计算机设备的空间用具有一定屏蔽度的金属丝网屏蔽起来，再将此金属网罩接地n电缆屏蔽就是对计算机设备的接地电缆和通信电缆进行屏蔽屏蔽的效能如何，取决于屏蔽体的反射衰减值和吸收衰减值的大小，以及屏蔽的密封程度13311.4.1 计算机设备防泄露措施计算机设备防泄露措施n（4）距离防护n由于设备的电磁辐射在空间传播时随距离的增加而衰减，因此在距设备一定的距离时，设备信息的辐射场强就会变得很弱，这时就无法接收到辐射的信号n这是一种非常经济的方法，但这种方法只适合于有较大防护距离的单位，在条件许可时，在机房的位置选择时应考虑这一因素安全防护距离与设备的辐射强度和接收设备的灵敏度有关13411.4.1 计算机设备防泄露措施计算机设备防泄露措施n（5）采用微波吸收材料n目前，已经生产出了一些微波吸收材料，这些材料各自适用不同的频率范围，并且有其他的不同特性，可以根据实际情况，采用相应的材料以减少电磁辐射13511.4.2 国外计算机设备的国外计算机设备的电磁电磁辐射标准辐射标准n了解国外的电磁辐射标准，对于引进和使用国外的TEMPEST设备以及用计算机处理敏感数据时应该采取何等程度的保护措施是很有益处的。

这里简要地介绍一下国外的TEMPEST标准n1．．美国美国FCC标准标准n1997年9月，美国联邦通信委员会（FCC）为了减少计算机设备产生的电磁干扰，在对原来的FCC标准进行修改的基础上，发布了新的标准，即FCC20780（文件号）16-J计算机设备电磁辐射标准13611.4.2 国外计算机设备的电磁国外计算机设备的电磁辐射标准辐射标准nFCC标准把计算机设备分为A、B两类，对这两类设备有不同的电磁辐射要求，A类设备的电磁辐射要强于B类设备nA类设备：用于商业、工业或企事业环境中的计算机设备，不包括用于公共场所和家庭的计算机设备nB类设备：用于居住环境的计算机设备，但不包括计算机器、电子游戏机和其他用于公共场所的电子设备nFCC15-J规定的计算机设备电磁泄露的极限值见表11-9和表11-10见书P183)13711.4.2 国外计算机设备的电磁国外计算机设备的电磁辐射标准辐射标准n2．．CISPR标准标准n国际无线电干扰特别委员会（CISPR）是国际电子技术委员会（IEC）的一个标准组织，该组织主要致力于制订和发展电子产品的技术标准n1984年7月，CISPR发布了信息技术设备（Information Technology Equipment，ITE）的电磁干扰标准和测试方法的第2稿。

n其目的在于协调美国、德国和其他国家对电子数据处理设备电磁干扰的规定，并推荐给世界各国使用这个标准，因此CISPR标准也称为CISPR建议13811.4.2 国外计算机设备的电磁国外计算机设备的电磁辐射标准辐射标准n与美国FCC标准一样，CISPR把信息处理设备分为A、B两类n对于这两类设备有不同的辐射要求，A类设备主要是指运用于商业（工业、企事业）的设备，nB类设备是适用于居住环境的设备CISPR标准规定的电磁辐射极限值和传导泄露极限值见表11-11和表11-12见书P184）13911.4.2 国外计算机设备的电磁国外计算机设备的电磁辐射标准辐射标准n3．．联邦德国联邦德国VDE标准标准n负责处理有关电磁干扰的官方机构是FTZ（德国邮电部），德国电器工程师协会（VDE）是FTZ承认的电磁测试研究机构nVDE0871是计算机及其他高频设备的电磁辐射标准，这个标准由VDE所属的电子技术委员会和标准局起草，经FTZ批准并经法律通过后，作为前西德的国家标准n目前，西欧的其他一些国家也使用这个标准14011.4.2 国外计算机设备的电磁国外计算机设备的电磁辐射标准辐射标准nVDE0871将电子数据处理设备分为A、B两类。

所有的便携式电子数据处理设备，如个人计算机、打印机、终端机和微处理器控制设备等均为B类，其余的电子数据处理设备则为A类nVDE0871标准规定的辐射极限值见表11-13，传导泄露的极限值应在辐射的极限值上加14dBVDE标准的测试方法与FCC标准大致相同14111.4.3 我国的我国的TEMPEST标准标准研究研究n我国的TEMPEST标准研究开始于20世纪90年代，经过近10年的发展，我国的TEMPEST标准也正在逐步系列化、完善化，目前已有以下标准：nBMB1-1994《机电磁泄露发射限值和测试方法》（机密级）nBMB2-1998《使用现场的信息设备电磁泄露发射检查测试方法和安全判据》（绝密级）14211.4.3 我国的我国的TEMPEST标准标准研究研究nBMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和测试方法》（机密级）nBMB4《电磁干扰器技术要求和测试方法》（秘密级）nBMB5《涉密信息设备使用现场的电磁泄露发射防护要求》（秘密级）nGGBB1-1999《信息设备电磁泄露发射限值》（绝密级）nGGBB2-1999《信息设备电磁泄露发射测试方法》（绝密级）nGB9254-88《信息技术设备的无线电干扰极限值和测量方法》。

143小结小结n机房与设施安全包括计算机机房的安全等级，机房场地的环境选择，机房建筑设计的要求，机房组成及面积的要求，计算机设备布置要求，机房的环境条件要求等n通过对放置计算机系统的空间进行细致周密的规划，对计算机系统加以物理上的严密保护，以避免存在可能的不安全因素144小结n计算机系统的机房与设施安全，只是保证了基本的安全环境，应该再加上必要的技术控制，以保证只有授权人员才能接近计算机系统，及时发现及阻止非法进入n例如：在关键区域、入口、围墙等位置，使用充足亮度的照明是一种明智之举这对威胁层次较低的或者出于费用或外观原因不希望设置障碍的人来说是一种很好的解决办法145小结n这些控制技术包括人员访问控制、检测监视系统、保安系统、智能卡访问控制技术、生物访问控制技术和审计访问记录等n环境与人身安全，如：防火、防漏水和水灾，自然灾害等，都直接对物理安全造成威胁，因此环境与人身安全也是至关重要的n计算机系统的电磁泄露不仅会使各系统设备互相干扰，降低设备性能，甚至会使设备不能正常使用，更为严重的是，电磁泄露会造成信息暴露，严重影响信息安全对计算机设备采取防辐射泄露措施，对保证信息安全非常重要。