【正文】 的火災(zāi)一般是由電氣原因、人為事故或外部火災(zāi)蔓延引起的。 GB/T 28872023將供電方式分為三類 : 一類供電：需要建立不間斷供電系統(tǒng)。如果靜電不能及時(shí)釋放，就可能產(chǎn)生火花，容易造成火災(zāi)或損壞芯片等意外事故。 機(jī)房?jī)?nèi)應(yīng)保持一定濕度，特別是在干燥季節(jié)應(yīng)適當(dāng)增加空氣濕度，以免因干燥而產(chǎn)生靜電。 要求良好接地的設(shè)備有：各種計(jì)算機(jī)外圍設(shè)備、多相位變壓器的中性線、電纜外套管、電子報(bào)警系統(tǒng)、隔離變壓器、電源和信號(hào)濾波器、通信設(shè)備等。 3） 建立硬件設(shè)備故障情況登記表 ， 詳細(xì)記錄故障性質(zhì)和修復(fù)情況 。 19 第 3講 物理安全與身份認(rèn)證 電磁防護(hù)與設(shè)備安全技術(shù) 電磁兼容和電磁輻射的防護(hù) 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的各種設(shè)備都屬于電子設(shè)備，在工作時(shí)都不可避免地會(huì)向外輻射電磁波，同時(shí)也會(huì)受到其他電子設(shè)備的電磁波干擾，當(dāng)電磁干擾達(dá)到一定的程度就會(huì)影響設(shè)備的正常工作。 1） 存放有業(yè)務(wù)數(shù)據(jù)或程序的磁盤 、 磁帶或光盤 ， 必須注意防磁 、 防潮 、 防火 、 防盜 。 5） 打印有業(yè)務(wù)數(shù)據(jù)或程序的打印紙 ， 要視同檔案進(jìn)行管理 ， 6） 凡超過(guò)數(shù)據(jù)保存期的磁盤 、 磁帶 、 光盤 ， 必須經(jīng)過(guò)特殊的數(shù)據(jù)清除處理， 視同空白磁盤 、 磁帶 、 光盤 。容錯(cuò)是第三條途徑，其基本思想是即使出現(xiàn)了錯(cuò)誤，系統(tǒng)也可以執(zhí)行一組規(guī)定的程序，讓系統(tǒng)具有抵抗錯(cuò)誤帶來(lái)的能力。 ?復(fù)現(xiàn)：延遲鏡像。 采用災(zāi)難恢復(fù)的策略主要包括以下的內(nèi)容： （ 1）做最壞的打算。 它 與消息認(rèn)證的區(qū)別 在于：身份認(rèn)證一般都是實(shí)時(shí)的，而消息認(rèn)證本身不提供時(shí)間性；另一方面，身份認(rèn)證通常證實(shí)身份本身，而消息認(rèn)證除了認(rèn)證消息的合法性和完整性外，還要知道消息的含義。 身份認(rèn)證概述 第 3講 物理安全與身份認(rèn)證 26 （ 1） 驗(yàn)證者正確識(shí)別合法示證者的概率極大化 。 （ 5） 通信有效性 ， 為實(shí)現(xiàn)身份證明所需通信次數(shù)和數(shù)據(jù)量要小 。 （ 9） 第三方的可信賴性 。 （ 2） 身份識(shí)別 一般方法是輸入個(gè)人信息 ， 經(jīng)處理提取成模板信息 、 試著在存儲(chǔ)數(shù)據(jù)庫(kù)中搜索找出一個(gè)與之匹配的模板 ， 而后給出結(jié)論 。個(gè)人所具有的東西，如身份證、護(hù)照、信用卡、鑰匙等。 身份認(rèn)證概述 第 3講 物理安全與身份認(rèn)證 30 口令認(rèn)證： 最簡(jiǎn)單、最普遍的身份識(shí)別技術(shù)，如：各類系統(tǒng)的登錄等口令具有共享秘密的屬性，口令有時(shí)由用戶選擇，有時(shí)由系統(tǒng)分配。 大多數(shù)系統(tǒng)的 口令是明文傳送 到驗(yàn)證服務(wù)器的，容易被截獲。但缺點(diǎn)是難于記憶。 智能卡技術(shù)將成為用戶接入和用戶身份認(rèn)證等安全要求的首選技術(shù)。 它一般有三種認(rèn)證方式： 內(nèi)部認(rèn)證 (Internal Authentication)： 應(yīng)用終端驗(yàn)證 IC卡的合法性； 外部認(rèn)證 (External Authentication)： IC卡驗(yàn)證應(yīng)用終端的合法性； 相互認(rèn)證 (Mutual Authentication)： IC卡和應(yīng)用終端相互驗(yàn)證合法性。更普通的是通過(guò)視網(wǎng)膜膜血管分布圖來(lái)識(shí)別，原理與指紋識(shí)別相同，聲波紋識(shí)別也是商業(yè)系統(tǒng)采用的一種識(shí)別方式。 ? 指紋驗(yàn)證 ? 語(yǔ)音驗(yàn)證 ? 視網(wǎng)膜圖樣驗(yàn)證 ? 臉型驗(yàn)證 身份認(rèn)證 主體特征認(rèn)證 第 3講 物理安全與身份認(rèn)證 39 1）指紋驗(yàn)證 弓型紋 箕型紋 斗型紋 傷殘紋 指紋分類與特征 身份認(rèn)證 主體特征認(rèn)證 第 3講 物理安全與身份認(rèn)證 40 指紋圖象 采集儀 圖象輸入 通道 指紋細(xì)節(jié) 匹配 認(rèn)證結(jié)果 指紋自動(dòng)識(shí)別系統(tǒng)主要部分 指紋識(shí)別系統(tǒng)利用人類指紋的特性，通過(guò)特殊的光電掃描和計(jì)算機(jī)圖像處理技術(shù)，對(duì)活體指紋進(jìn)行采集、分析和比對(duì)，自動(dòng)、迅速、準(zhǔn)確地認(rèn)證出個(gè)人身份。例如，可將由每個(gè)人講的一個(gè)短語(yǔ)所分析出來(lái)的全部特征參數(shù)存儲(chǔ)起來(lái)， 如果每個(gè)人的參數(shù)都不完全相同就可實(shí)現(xiàn)身份認(rèn)證 。這種識(shí)別系統(tǒng)已在研制中；其基本方法是利用光學(xué)和電子儀器將視網(wǎng)膜血管圖樣記錄下來(lái)，一個(gè)視網(wǎng)膜血管的圖樣可壓縮為小于 35字節(jié)的數(shù)字信息。如果注冊(cè)人數(shù)小于 200萬(wàn)時(shí)，錯(cuò)誤率為 0，所需時(shí)間為秒級(jí)，在要求可靠性高的場(chǎng)合可以發(fā)揮作用，已在軍事和銀行系統(tǒng)中采用，其成本比較高。也可將面部識(shí)別系統(tǒng)用于網(wǎng)絡(luò)環(huán)境中其軟件開(kāi)發(fā)， 與其它信息系統(tǒng)的軟件集成，作為金融、接入控制、電 話會(huì)議、安全監(jiān)視、護(hù)照管理、社會(huì)福利發(fā)放等系統(tǒng)的 應(yīng)用軟件。 用戶必須獲得由認(rèn)證服務(wù)器發(fā)行的許可證 ， 才能使用目標(biāo)服務(wù)器上的服務(wù) 。 b) 收到服務(wù)請(qǐng)求時(shí) ， 對(duì)發(fā)來(lái)請(qǐng)求的主機(jī)進(jìn)行認(rèn)證 ， 對(duì)每臺(tái)認(rèn)證過(guò)的主機(jī)的用戶不進(jìn)行認(rèn)證 。 2)可靠性：認(rèn)證服務(wù)是其他服務(wù)的基礎(chǔ) ， 要可靠 ， 不能癱瘓 。每當(dāng)用戶 C申請(qǐng)得到某服務(wù)程序 S的服務(wù)時(shí) ， 用戶和服務(wù)程序會(huì)首先向Kerberos要求認(rèn)證對(duì)方的身份 ， 認(rèn)證建立在用戶和服務(wù)程序?qū)?Kerberos信任基礎(chǔ)上 。 共享密鑰只被當(dāng)事人和Kerberos知道 ， 當(dāng)事人在登記時(shí)與 Kerberos商定 。 2) 安全消息傳遞：對(duì)每次消息都進(jìn)行認(rèn)證工作 ， 但是不保證每條消息不被泄露 。 2． 口令猜測(cè)問(wèn)題： 口令沒(méi)有進(jìn)行額外的特殊處理 ， 以至于即使用強(qiáng)力攻擊 （ 即窮舉法 ） 的時(shí)間復(fù)雜度僅和口令的長(zhǎng)度成比例 ， 這將形成一個(gè)兩難的局面：或是增加密鑰長(zhǎng)度換取更高的安全 ， 但這會(huì)造成用戶的使用困難和增加系統(tǒng)加 /解密開(kāi)銷 。 Kerberos認(rèn)證系統(tǒng) 局限性 第 3講 物理安全與身份認(rèn)證 52 4． 重放攻擊的問(wèn)題： 長(zhǎng)票的生存期較長(zhǎng) ， 容易被重放攻擊；對(duì)短票而言 ， 如果攻擊者技術(shù)高明 ， 也有機(jī)會(huì)重放攻擊 ， 況且攻擊者可以著手破壞系統(tǒng)的時(shí)鐘同步性 。 6． 系統(tǒng)程序的安全性 、 完整性問(wèn)題： 對(duì) Kerberos系統(tǒng)程序進(jìn)行攻擊 ， 特別是惡意篡改登錄程序 ，是有效的攻擊方法 。 PKI的技術(shù)包括加密 、 數(shù)字簽名 、 數(shù)據(jù)完整性機(jī)制 、 數(shù)字信封 、 雙重?cái)?shù)字簽名等 。 ② 支持密鑰管理 。 ③ 通過(guò) PKI可以建設(shè)一個(gè)普適性好和安全性高的統(tǒng)一平臺(tái) 。 ④ PKCS系列標(biāo)準(zhǔn) 。 ① 認(rèn)證機(jī)構(gòu) 。 ⑤ 證書的歷史檔案 。在基于證書的安全通信中，數(shù)字證書是證明用戶合法身份和提供用戶合法公鑰的憑證，是建立保密通信的基礎(chǔ)。 其中 Kerberos V5驗(yàn)證機(jī)制是 Windows 2023 安全系統(tǒng)所提供兩種不同驗(yàn)證中的一種，是服務(wù)網(wǎng)絡(luò)驗(yàn)證的默認(rèn)方式。該域控制器則會(huì)在用戶登錄期間對(duì)該用戶起首選 KDC 的作用。該權(quán)限必須有選擇的賦予可信任的服務(wù)器程序。委托分派的含義是服務(wù)可模仿用戶使用其他網(wǎng)絡(luò)服務(wù)。 （ 4）簡(jiǎn)化信任管理。 62 第 3講 物理安全與身份認(rèn)證 演講完畢，謝謝觀看！