网络设施安全：管理与保护

网络设施是网络完成自身任务，同时保证安全的物质手段和重要资源，是网络安全管理的重要对象。网络设施的安全管理主要包括硬件设施与场地的安全管理两个方面。

（一）硬件设施的安全管理

1.主要的硬件设施

组成网络的硬件设施主要有计算机、网络节点设备、传输介质及转换器、输入输出设备等。

（1）计算机

计算机是网络的基本硬件平台。常见的计算机有大型机、中型机、小型机和个人计算机。大/中/小型计算机在网络中主要作为服务器来使用，因此，要求此类计算机存在的风险应尽可能少，特别是电磁辐射、老化等。一般要求关键部件，如CPU、硬盘等有一定的冗余，并须定期备份关键信息。个人计算机是网络中多数终端采用的机型，个人计算机主要存在主机的电磁辐射和电磁泄漏等问题，在安全管理中需要多加注意。

（2）网络节点设备

网络节点设备是网络中具有关键作用的组成部分。常见的网络设备有交换机、集线器、网关设备或路由器、中继器、桥接设备、调制解调器等。从安全管理角度考虑，以上所有的网络节点设备都存在自然老化、人为破坏和电磁辐射等安全威胁。对上述安全威胁的防范，是网络节点设备安全管理的重点。

（3）传输介质及转换器

常见的传输介质有双绞线、同轴电缆、光缆、卫星信道、微波接力信道等，相应的转换器有光端机、通信卫星的收/发转换装置或微波接力机等。从安全管理角度考虑，双绞线和同轴电缆面临的威胁有电磁辐射、电磁干扰、搭线窃听和人为破坏等。光缆及光端机面临的威胁主要是人为破坏，随着技术的发展，搭线窃听和辐射泄漏也可能构成威胁。对卫星信道、微波信道及其相应的收发转换装置而言，常见的威胁是对信道的窃听和干扰，以及对收发转换装置的人为破坏。

（4）输入输出设备

常见的输入输出设备主要有键盘、磁盘驱动器、磁带机、打孔机、传真机、传声器（麦克风）、用户识别器、扫描仪、手写输入的电子笔、打印机、显示器等。从安全管理角度分析，这些设备面临的主要安全威胁有很多共同之处，即电磁辐射泄露信息、自然老化和人为破坏等。有的较复杂的设备，如打印机、生物特征识别器、光学符号识别器等，还可能存在设计缺陷和易被入侵等安全威胁。

（5）保密设备

保密设备通常也称保密机，主要指在网络中加密语音、文字、图像、数据等信号和解密已加密信号的设备。保密机由密码产生器、加密器、解密器、密钥和收发密码同步器组成。密钥是保密机中最关键的部件。保密设备的管理主要包括保密性能指标管理，工作状态管理，保密设备的类型、数量、分配及使用者状况的管理等。

2.硬件设施的安全管理

（1）购置管理

在选购硬件设施时，应当尽量采用我国自主研发的信息安全技术和设备，绝不采购未经国家信息安全测评机构认可的信息安全产品，对于传输线路而言，局域网内部传输线路应优选屏蔽双绞线、同轴电缆或光缆，广域网传输线路必须采用专用同轴电缆或光缆。所有的传输线路都必须符合规定的可用性指标。任何网络硬件设施，都必须在符合系统选型要求并获得批准后，方可购置。凡购回的设备，均应在测试环境下经过连续72小时以上的单机运行测试，以及联机48小时的应用系统兼容性运行测试，通过测试后才能进入试运行阶段。只有试运行通过的设备，才能正式投入运行。

（2）使用管理

对于网络硬件设施的使用情况，应按台（套）建立详细的运行日志，并指定专人负责。设备责任人应保证设备在其出厂标称的使用环境（如温度、湿度、电压、电磁干扰、粉尘度等）下工作，并负责设备的使用登记。登记内容包括运行起止时间、累计运行时数及运行状况等。责任人还需负责设备的日常清洗及定期保养维护，并做好维护记录，保证设备处于最佳状态。一旦设备出现故障，责任人应立即如实填写故障报告，并通知有关人员处理。(www.xing528.com)

（3）维修管理

网络一切硬件设施均应有专人负责维修，并建立满足正常运行最低要求的易损件的备件库。在维修网络时，应采取数据保护措施，应有安全管理员在场。必须记录维修对象、故障原因、排除方法、主要维修过程及维修有关情况等。还应规定设备的折旧期。设备已到规定使用期限或出现严重故障时，应由专业技术人员对其进行鉴定并详细登记，提出报告和处理意见，经主管领导和上级主管部门批准后进行报废处理。

（二）机房和场地设施的安全管理

机房和场地设施是网络得以正常运行的基本环境条件。对它们进行安全管理的基本要求包括：在地点选择、内部装修、设施配置等环节，满足防火、防水、防静电、防雷击、防鼠害、防辐射、防盗窃等方面的要求；有火灾报警及消防措施；供配电系统等保障条件要满足有关技术要求。这些要求的最主要部分，以法规形式集中体现于《计算站场地安全要求》（GB9361-88）、《计算站场地技术要求》（GB2887-89）等有关的国家标准中。

机房和场地设施的安全管理应做到如下两点：

1.加强人员出入控制

对于机房和工作场所，应根据其安全等级和涉密范围，控制人员的出入。对每个工作人员，按其所任工作的实际需要，规定其所能进入的区域。若有人员需要进入不符合上述规定的区域，必须经过有关安全管理员的批准。应严格控制各机房和工作场所的出入口，根据涉密程度和安全等级，采取必要的技术与行政措施。例如，设置门卫、设置电子技术报警与控制装置、登记人员进出时间及理由等。

2.加强电磁辐射防护

电磁辐射是信息泄露和危害通信系统安全的重要因素。应根据信息的重要性来考虑技术上的可行性与经济上的合理性，分别或同时采取以下几方面的防护措施。

（1）设备防护

设备防护就是对通信网设备，根据其涉密程度和安全等级，按照国家标准《信息、技术设备的无线电干扰极限值和测量方法》（GB9254-88）的规定，采取相应的电磁泄漏防护措施，使之满足国家标准的要求。

（2）建筑物防护

建筑物防护就是对涉及机密以上的信息和安全等级A、B类的机房建筑物，装设电磁屏蔽装置（屏蔽网或屏蔽板），以防止电磁波的干扰和泄漏。

（3）区域性防护

区域性防护就是对涉及机密以上信息的通信网，根据辐射强度划定防护区域，将应予保护的设备置于该区域建筑物的最内层，并禁止无关人员进入该区域。

（4）磁场防护

磁场防护就是对通信系统中易受磁场影响的各种设施、器材加以相应的防护，防止由于磁场影响造成介质上的信息变化。在这方面可以采取以下措施：一是限定机房和介质库内所有设备及物体表面的磁场强度，将其值限定在800A/m以下的范围之内，对机房和介质库内的所有设备进行定期检查，防止磁场强度超标；二是用磁场检测器检查进入A、B类机房的人员、仪器、设备、工具；三是使用存放柜存放磁带、磁盘，并对其进行物理保护。将载有机密内容的磁带、磁盘保存在防磁屏蔽容器内。

此外，为了保证网络场地和环境的安全，依据国家有关标准的规定，凡重要的网络系统，对其所在场地和环境都须执行监控规程并使用相应的监控设备。常见的监控设备主要有摄像机、红外线、微波等不同类型的监视器，以及电视机和报警装置等。借助这些设备，对环境场地进行监测，记录对系统设备的滥用、偷窃、恶意损坏等人为的破坏行为并及时发出报警信号。