【正文】 是 40%與 60%之間。在高速旋轉(zhuǎn)過程各種灰塵，其中包括纖維性灰塵會附著在盤片表面，當(dāng)讀寫磁頭靠近盤片表面讀信號的時候，就可能擦傷盤片表面或者磨損讀頭，造成數(shù)據(jù)讀寫錯誤或數(shù)據(jù)丟失。 2022/3/13 計算機安全管理 23 ◆ 如果灰塵中還包括導(dǎo)電塵埃和腐蝕性塵埃的話，它們會附著在元器件與電子線路的表面，此時機房若空氣濕度較大的話，會造成短路或腐蝕裸露的金屬表面。因此，對進(jìn)入機房的新鮮空氣應(yīng)進(jìn)行一次或兩次過濾，要采取嚴(yán)格的機房衛(wèi)生制度，降低機房灰塵含量。常見的電氣干擾是指電壓的瞬間較大幅度的變化、突發(fā)的尖脈沖或電壓不足甚至掉電。 電磁干擾 2022/3/13 計算機安全管理 25 ◆ 這些干擾一般容易破壞信息的完整性，有時還會損壞計算機設(shè)備。 2022/3/13 計算機安全管理 26 ◆ 對計算機正常運轉(zhuǎn)影響較大的電磁干擾是靜電干擾與周邊環(huán)境的強電磁場干擾。 2022/3/13 計算機安全管理 27 ◆ 防靜電的主要方法有： 機房應(yīng)該按防靜電要求裝修（如使用防靜電地板） 整個機房應(yīng)該有一個獨立的和良好的接地系統(tǒng)，機房中各種電氣 和用電設(shè)備都接在統(tǒng)一的地線上。這些強電磁干擾輕則會使計算機工作不穩(wěn)定，重則對計算機造成損壞。 ◆ 本節(jié)將介紹用硬件技術(shù)實現(xiàn)的 PC機物理防護(hù)技術(shù)、訪問控制技術(shù)、可信計算和安全芯片技術(shù)以及防電磁泄露技 術(shù)。在機箱上固定一個帶孔的金屬片，然后在機箱側(cè)板上打一個孔，當(dāng)側(cè)板安裝在機箱上時，金屬片剛好穿過鎖孔，此時用戶在鎖孔上加裝一把鎖就實現(xiàn)了防護(hù)功能。但由于這種方式防護(hù)強度有限，安全系數(shù)也較低。這個鎖由美國的 Kensington公司發(fā)明。鎖孔為一個加固的方形孔，而Kensington線纜鎖是一根帶有鎖頭的鋼纜（圖片左上方）。 特點： 這種固定方式靈活，對于一些開在機箱側(cè)板上的 Kensington鎖孔，不僅可以鎖定機箱側(cè)板，而且鋼纜還能防止機箱被人挪動或搬走。這種鎖是安裝在機箱內(nèi)部的，并且借助嵌入在 BIOS中的子系統(tǒng)通過密碼實現(xiàn)電磁鎖的開關(guān)管理，因此這種防護(hù)方式更加的安全和美觀，也顯得更加的人性化。 2022/3/13 計算機安全管理 32 智能網(wǎng)絡(luò)傳感設(shè)備（惠普） 將傳感設(shè)備安放在機箱邊緣，當(dāng)機箱蓋被打開時，傳感開關(guān)自動復(fù)位，此時傳感開關(guān)通過控制芯片和相關(guān)程序，將此次開箱事件自動記錄到 BIOS中或通過網(wǎng)絡(luò)及時傳給網(wǎng)絡(luò)設(shè)備管理中心，實現(xiàn)集中管理。但是當(dāng)網(wǎng)絡(luò)斷開或計算機電源徹底關(guān)閉時，上述網(wǎng)絡(luò)管理方式的弊端也就體現(xiàn)出來了。 如可以將鍵盤鼠標(biāo)固定在機箱側(cè)板上的安全鎖、可覆蓋主機后端接口的機箱防護(hù)罩等，這些都能從一定程度上保障設(shè)備和信息的安全。 2022/3/13 計算機安全管理 34 基于硬件的訪問控制技術(shù) 訪問控制的對象主要是計算機系統(tǒng)的軟件與數(shù)據(jù)資源，這兩種資源平時一般都是以文件的形式存放在硬盤或軟盤上。 由于硬件功能的限制， PC機的訪問控制功能明顯地弱于大型計算機系統(tǒng)。在DOS系統(tǒng)和 Windows系統(tǒng)中，文件的隱藏、只讀、只執(zhí)行等屬性以及 Windows中的文件共享與非共享等機制是一種較弱的文件訪問控制機制。 控制用戶對存放敏感數(shù)據(jù)的存儲區(qū)域 (內(nèi)存或硬盤 )的訪問。 防止用戶繞過訪問控制直接訪問可移動介質(zhì)上的文件，防止用戶通過程序?qū)ξ募闹苯釉L問或通過計算機網(wǎng)絡(luò)進(jìn)行的訪問。 2022/3/13 計算機安全管理 36 純粹軟件保護(hù)技術(shù)其安全性不高，比較容易破解。軟件運行前要把這個小設(shè)備插入到一個端口上，在運行過程中程序會向端口發(fā)送詢問信號，如果“ 軟件狗 ” 給出響應(yīng)信號，則說明該程序是合法的。這種保護(hù)方法也容易被破解，方法是跟蹤程序的執(zhí)行，找出和 “ 軟件狗 ” 通訊的模塊，然后設(shè)法將其跳過，使程序的執(zhí)行不需要和 “ 軟件狗 ” 通訊。 2022/3/13 計算機安全管理 38 與機器硬件配套保護(hù)法 在計算機內(nèi)部芯片（如 ROM）里存放該機器唯一的標(biāo)志信息，軟件和具體的機器是配套的，如果軟件檢測到不是在特定機器上運行便拒絕執(zhí)行。 2022/3/13 計算機安全管理 39 可信計算機與安全芯片 1．可信計算的提出 計算機終端是安全的源頭。終端往往是創(chuàng)建和存放重要數(shù)據(jù)的源頭，而且絕大多數(shù)的攻擊事件都是從終端發(fā)起的。如果從終端操作平臺實施高等級的安全防范，這些不安全因素將從終端源頭被控制。 2022/3/13 計算機安全管理 41 可信計算機與安全芯片 目前，可信計算的用途包括： 風(fēng)險管理。 數(shù)字版權(quán)管理。 電子商務(wù)。 安全監(jiān)測與應(yīng)急。 2022/3/13 計算機安全管理 42 可信計算機與安全芯片 2．可信計算的概念 “ 可信計算 ” 的概念開始在世界范圍內(nèi)被提出是在 1999年 ， 主要是通過增強現(xiàn)有的 PC終端體系結(jié)構(gòu)的安全性來保證整個系統(tǒng)的安全 。可信計算組織TCG用實體行為的預(yù)期性來定義可信： 如果它的行為總是以預(yù)期的方式，朝著預(yù)期的目標(biāo)，則一個實體是可信的。 2022/3/13 計算機安全管理 43 可信計算平臺的工作原理是將 BIOS引導(dǎo)塊作為完整性測量的信任的根，可信計算模塊 TPM作為完整性報告的信任的根，對 BIOS、操作系統(tǒng)進(jìn)行完整性測量，保證計算環(huán)境的可信性。其中信任根的可信性由物理安全和管理安全確保。 TCG定義了具有安全存儲和加密功能的 TPM(可信平臺模塊 )，并于 2022年 1月 30日發(fā)布了基于硬件系統(tǒng)的“ 可信計算平臺規(guī)范 ” 。 2022/3/13 計算機安全管理 45 TPM實際上是一個含有密碼運算部件和存儲部件的小型片上系統(tǒng) (System on Chip， SOC)，由 CPU、存儲器、 I/O、密碼運算器、隨機數(shù)產(chǎn)生器和嵌入式操作系統(tǒng)等部件組成。 在這個基礎(chǔ)上，可以開發(fā)出惟一身份識別、系統(tǒng)登錄加密、文件夾加密、網(wǎng)絡(luò)通訊加密等各個環(huán)節(jié)的安全應(yīng)用，它能夠生成加密的密鑰，還有密鑰的存儲和身份的驗證，可以高速進(jìn)行數(shù)據(jù)加密和還原，作為呵護(hù)BIOS和操作系統(tǒng)不被修改的輔助處理器，通過可信計算軟件棧 TSS與 TPM的結(jié)合來構(gòu)建跨平臺與軟硬件系統(tǒng)的可信計算體系結(jié)構(gòu)。 2022/3/13 計算機安全管理 47 以 TPM為基礎(chǔ)的 “ 可信計算 ” 可以從 3個方面來理解： （ 1）用戶的身份認(rèn)證，這是對使用者的信任。而可信計算平臺對用戶的鑒別則是與硬件中的 BIOS相結(jié)合，通過BIOS提取用戶的身份信息，如 IC卡或 USB KEY中的認(rèn)證信息進(jìn)行驗證，從而讓用戶身份認(rèn)證不再依賴操作系統(tǒng)，并且用戶身份信息的假冒更加困難。系統(tǒng)的啟動從一個可信任源 (通常是 BIOS的部分或全部 )開始，依次將驗證 BIOS、操作系統(tǒng)裝載模塊