2.2 设备与环境安全防护

设备安全技术主要包括保障构成信息网络的各种设备、网络线路、供电连接、各种媒体数据本身以及其存储介质等安全的技术。环境安全技术主要指依照国家标准对场地和机房的要求，保障信息网络所处环境的安全，包括场地安全、防火、防水、防静电、防雷击、电磁防护、线路安全等。本节主要介绍数据中心物理安全防护、PC物理安全防护技术和措施。

2.2.1 数据中心物理安全防护

数据中心通常是指为集中放置的电子信息设备提供运行环境的建筑场所，可以是一栋或几栋建筑物，也可以是一栋建筑物的一部分，包括主机房、辅助区、支持区和行政管理区等。例如，政府数据中心、企业数据中心、金融数据中心、互联网数据中心、云计算数据中心、外包数据中心等从事信息和数据业务的数据中心。数据中心物理安全的关键是保护对电子信息进行采集、加工、运算、存储、传输、检索等处理的设备，包括服务器、交换机、存储设备等。

所有的物理设备都是运行在一定的物理环境之中的。环境安全是物理安全的最基本保障，是整个安全系统不可缺少和不能被忽视的组成部分。环境安全技术主要是指保障信息系统所处环境免于遭受自然灾害的技术，重点在于数据中心场地和机房的场地选择、防火、防水、防静电、防雷击、温湿度、电磁防护等。

设备安全技术主要是指保障构成信息系统的各种设备、网络线路、供电连接、各种媒体数据本身以及其存储介质等安全的技术，包括设备的防电磁泄漏、防电磁干扰、防盗、访问控制等。

数据中心的建设和运营，首先要依据相关标准确定建设等级和安全等级，然后根据各个等级所需要达到的设计要求进行建设，以及按运营要求进行管理。

1.数据中心物理安全防护国家标准

数据中心在规划设计、施工及验收、运行与维护等各个阶段通常遵循的国家标准有：

● GB 50174—2017《数据中心设计规范》（替代原GB 50174—2008《电子信息系统机房设计规范》，以下简称《规范》）。

● GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》（以下简称《等保》，2017年出台了GA/T 1390—2017《信息安全技术 网络安全等级保护基本要求》，第2、3、5部分已经正式颁布，第1部分发布了征求意见稿）。

● GB 50462—2015《数据中心基础设施施工及验收规范》。

● GB/T 2887—2011《计算机场地通用规范》。

● GB/T 9361—2011《计算机场地安全要求》。

● GB/T 21052—2007《信息安全技术 信息系统物理安全技术要求》。

2.数据中心分级安全保护

1）根据各行业对信息系统数据中心的使用性质、数据丢失或网络中断在经济或社会上造成的损失或影响程度的不同，《规范》将数据中心划分为A级、B级和C级。

● 若电子信息系统运行中断会造成重大的经济损失，以及会造成公共场所秩序严重混乱，这样的数据中心应定为A级。

● 若电子信息系统运行中断会造成较大的经济损失，以及会造成公共场所秩序混乱，这样的数据中心应定为B级。

● 其他情况定为C级。

《规范》对数据中心的分级与性能、选址及设备布置、环境、建筑与结构、空气调节、电气、电磁屏蔽、网络与布线系统、智能化系统、给水排水以及消防等做出了分级要求。

2）《等保》等相关管理文件将等级保护对象的安全保护等级分为5级，根据不同级别，《等保》对物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、温湿度控制以及电力供应做出了具体要求。有关信息系统等级保护的内容将在本书第9章中详细介绍。

《规范》和《等保》的这些要求对于PC物理安全防护同样具有指导意义。

请读者完成本章思考与实践第8题，了解更多数据中心物理安全的设计细节。

3.电磁安全

TEMPEST关注的是电磁泄漏，也就是无意识的电磁发射信号携带信息的问题。目前对于电磁泄漏的安全防护措施有：设备隔离和合理布局、使用低辐射设备、电磁屏蔽、使用干扰器、滤波技术和光纤传输。

（1）设备隔离和合理布局

隔离是将信息系统中需要重点防护的设备从系统中分离出来，加以特别防护，例如通过门禁系统防止非授权人员接触设备。合理布局是指以减少电磁泄漏为原则，合理地放置信息系统中的有关设备。合理布局也包括尽量拉大涉密设备与非安全区域（公共场所）的距离。

（2）使用低辐射设备

低辐射设备即TEMPEST设备，这些设备在设计和生产时就采取了防辐射措施，把设备的电磁泄漏抑制到最低限度。选用低辐射设备是防辐射泄露的根本措施，如在办公环境中选用低辐射的液晶显示器和打印机。

（3）使用干扰器

干扰器通过增加电磁噪声降低辐射泄露信息的总体信噪比，增大辐射信息被截获后破解还原的难度。这是一种成本相对低廉的防护手段，主要用于保护密级较低的信息，因为仍有可能还原出有用信息，只是还原的难度相对增大。此外，使用干扰器还会增加周围环境的电磁污染，对其他电磁兼容性较差的电子信息设备的正常工作构成一定的威胁。

（4）屏蔽

屏蔽是所有防辐射技术手段中最为可靠的一种。屏蔽不但能防止电磁波外泄，而且可以防止外部电磁波对系统内设备的干扰。一些屏蔽措施有：

● 对重要部门的办公室、实验场所，甚至整幢大楼可以用有色金属网或金属板进行屏蔽，构成所谓的“法拉第笼”，并注意连接的可靠性和接地良好，防止向外辐射电磁波，使外面的电磁干扰对系统内的设备也不起作用。

● 对电子设备的屏蔽，例如对显示器、键盘、传输电缆线、打印机等的屏蔽。

● 对电子线路中的局部器件，如有源器件、CPU、内存条、字库、传输线等强辐射部位采用屏蔽盒、合理布线等，以及局部强辐射电路的屏蔽。

（5）滤波

滤波技术是对屏蔽技术的一种补充。被屏蔽的设备和元器件并不能完全密封在屏蔽体内，仍有电源线、信号线和公共地线需要与外界连接。因此，电磁波还是可以通过传导或辐射从外部传到屏蔽体内，或从屏蔽体内传到外部。采用滤波技术，可以只允许某些频率的信号通过，而阻止其他频率范围的信号，从而起到滤波作用。

（6）光纤传输

光纤传输是一种新型的通信方式，光纤为非导体，可直接穿过屏蔽体，不附加滤波器也不会引起信息泄露。光纤内传输的是光信号，不仅能量损耗小，而且不存在电磁泄漏问题。

实践中除了采用上述安全防护措施外，还要注意以下两个问题。

1）把对设备TEMPEST安全防护的关注转向对整个系统的关注。现在存在于我们周围的信息设备更多以系统的形式存在，如网络系统、通信系统。更重要的是，随着EMC （Electro Magnetic Compatibility，电磁兼容性，指设备或系统在其电磁环境中符合要求运行并不对其环境中的任何设备产生无法忍受的电磁干扰的能力）技术的提高，单个设备的TEMPEST发射变小；同时，由于复杂系统的出现，整个系统的TEMPEST电磁泄漏互相干扰、掩蔽、交叉调制，很难抛开系统去谈单独设备的TEMPEST问题。

2）除了关注TEMPEST这类无意识的电磁发射信号携带信息的问题，还要更多关注移动通信网络、无线网络这类有意识电磁发射所带来的信息安全问题。在无线技术突飞猛进的今天，涉密单位、涉密场所所处环境中充斥着各种有意和无意发射的电磁信号，因此需要将TEMPEST电磁泄漏发射安全的研究拓展到网络空间安全的研究。

2.2.2 PC物理安全防护

PC物理安全同样涉及环境安全和设备安全。环境安全主要介绍防盗措施，设备安全主要介绍设备访问控制。

1.PC防盗

对于PC用户来说，设备的防盗是最根本的安全要求。下面介绍几种常见的设备物理防盗措施。

（1）机箱锁扣

如图2-8所示，在机箱上固定有一个带孔的金属片，在机箱侧板上有一个孔，当侧板安装在机箱上时，金属片刚好穿过锁孔，此时用户在锁孔上加装一把锁就实现了防护功能。其特点是：实现简单，制造成本低。但由于这种方式的防护强度有限，安全系数也较低。

（2）防盗线缆

图2-9所示为一种由美国Kensington公司发明的线缆锁，这是一根带有锁头的钢缆（见图2-9的左上方）。使用时将钢缆的一端固定在桌子或其他固定装置上，另一端将锁头固定在机箱上的Kensington锁孔内，就实现了防护功能。一般的笔记本计算机上也都设有这样的锁孔。

（3）机箱电磁锁

图2-10所示的机箱电磁锁是安装在机箱内部的，并且借助嵌入在BIOS中的子系统，通过密码实现电磁锁的开关管理，因此这种防护方式更加安全和美观，也显得更加人性化。机箱电磁锁主要出现在一些高端的商用PC产品上。

（4）智能网络传感设备

如图2-11所示，将智能网络传感设备安放在机箱边缘，当机箱盖被打开时，传感开关自动复位，此时传感开关通过控制芯片和相关程序，将此次开箱事件自动记录到BIOS（Basic Input Output System，基本输入输出系统）中或通过网络及时传给网络设备管理中心，实现集中管理。不过这一设备需要网络和电源的支持。

上面 4种只是品牌PC中一些有代表性的物理防护方式，实际上还有一些其他的防护方式，如可覆盖主机后端接口的机箱防护罩、安装防盗软件等，这些都能从一定程度上保障设备和信息的安全。

2.PC访问控制

访问控制的对象主要是计算机系统的软件与数据资源，这两种资源一般都是以文件的形式存放在磁盘上，所谓“访问控制技术”，主要是指保护这些文件不被非法访问的技术。

由于硬件功能的限制，PC的访问控制功能明显地弱于大型计算机系统。PC操作系统缺乏有效的文件访问控制机制。在DOS和Windows操作系统中，文件的隐藏、只读、只执行等属性以及Windows中的文件共享与非共享等机制是一种较弱的文件访问控制机制。

PC访问控制系统应当具备的主要功能如下。

● 防止用户不通过访问控制系统而进入计算机系统。

● 控制用户对存放敏感数据的存储区域（内存或硬盘）的访问。

● 控制用户进行的所有I/O操作。

● 防止用户绕过访问控制直接访问可移动介质上的文件，防止用户通过程序对文件的直接访问或通过计算机网络进行的访问。

● 防止用户对审计日志的恶意修改。

下面介绍常见的结合硬件实现的访问控制技术。

（1）软件狗

纯软件的保护技术安全性不高，比较容易破解。软件和硬件结合起来可以增强保护能力，目前常用的办法是使用软件狗（Software Dog，又叫加密狗或加密锁）。软件运行前，要把这个小设备插入到PC的一个端口上，在运行过程中软件会向端口发送询问信号，如果软件狗给出响应信号，则说明该软件是合法的。本书将在7.4.2节中介绍软件狗技术。

与软件狗类似的一种技术是，在计算机内部芯片（如ROM）里存放该机器唯一的标志信息。软件和具体的机器是配套的，如果软件检测到不是在特定机器上，便拒绝运行。

软件狗的缺陷在于：

● 当一台计算机上运行多个需要保护的软件时，就需要多个软件狗，运行时需要更换不同的软件狗，这会给用户带来很大的不便。

● 软件狗面临软件狗克隆、动态调试跟踪、拦截通信等破解威胁。例如，攻击者可以通过跟踪程序的执行，找出和软件狗通信的模块，然后设法将其跳过，使程序的执行不需要和软件狗通信，或是修改软件狗的驱动程序，使之转而调用一个与软件狗行为一致的模拟器。

请读者完成本章思考与实践第14题，学习利用U盘制作系统的启动令牌。

（2）安全芯片

为了防止软件狗之类的保护技术被跟踪破解，还可以在计算机中安装一个专门的安全芯片，密钥也封装于芯片中，这样可以保证一个机器上的文件在另一台机器上不能运行。下面介绍这种安全芯片。

拓展知识：可信计算（Trusted Computing）

可信计算技术的核心是称为可信平台模块（Trusted Platform Module，TPM）的安全芯片，它是可信计算平台的信任根。TCG定义了TPM是一种SoC（System on Chip，小型片上系统）芯片，实际上是一个拥有丰富计算资源和密码资源，在嵌入式操作系统的管理下构成的以安全功能为主要特色的小型计算机系统。因此，TPM具有密钥管理、加密和解密、数字签名、数据安全存储等功能，在此基础上完成其作为可信存储根和可信报告根的功能。

TPM技术最核心的功能在于对CPU处理的数据流进行加密，同时监测系统底层的状态。在这个基础上，可以开发出唯一身份识别、系统登录加密、文件夹加密、网络通信加密等各个环节的安全应用，它能够生成加密的密钥，还有密钥的存储和身份的验证，可以高速进行数据加密和还原，作为保护BIOS和操作系统不被修改的辅助处理器，通过可信计算软件栈（Trusted Software Stack，TSS）与TPM的结合来构建跨平台与软硬件系统的可信计算体系结构。

国内一些厂商已经将TPM芯片应用到台式机领域。图 2-12分别为贴有TPM标志的主机箱、兆日公司的TPM芯片及其在主板上的状态。

Windows Vista及以后的版本支持可信计算功能，能够运用TPM实现密码安全存储、身份认证和完整性验证，实现系统版本不被篡改、防病毒和黑客攻击等功能。这样，即使硬盘被盗，由于缺乏TPM的认证处理，也不会造成数据泄露。

要想查看计算机上是否有TPM芯片，可以打开控制面板中的“设备管理器”→“安全设备”，查看该节点下是否有“受信任的平台模块”这类设备，如图2-13所示。

必须注意：TPM是可信计算平台的信任根。中国的可信计算机必须采用中国的信任根芯片，中国的信任根芯片必须采用中国的密码。长城、中兴、联想、同方、兆日等多家厂商联合推出了按照我国密码算法自主研制的、具有完全自主知识产权的可信密码模块（Trusted Cryptography Module，TCM）芯片。

☞ 请读者完成本章思考与实践第15题，在带有TPM芯片的联想Thinkpad系列机型中启用TPM功能并加密磁盘。