1、計計 算算 機機 網網 絡絡 安安 全全 技技 術術第二篇 實體安全防護與安全管理技術第第2 2章實體安全防護與安全管理技術章實體安全防護與安全管理技術計計 算算 機機 網網 絡絡 安安 全全 技技 術術本章學習目標l物理安全的定義、目的和內容物理安全的定義、目的和內容l計算機房場地環境的安全要求計算機房場地環境的安全要求l電磁干擾及電磁防護的措施，重點關注屏蔽技電磁干擾及電磁防護的措施，重點關注屏蔽技術和濾波技術術和濾波技術l物理隔離技術物理隔離技術l計算機網絡安全管理的定義、功能、邏輯結構計算機網絡安全管理的定義、功能、邏輯結構模型。模型。l簡單網絡管理協議（簡單網絡管理協議（SNMPSN

2、MP）和公共管理信息協）和公共管理信息協議（議（CMIPCMIP）。）。l計算機網絡安全管理的基本原則與工作規范。計算機網絡安全管理的基本原則與工作規范。 計計 算算 機機 網網 絡絡 安安 全全 技技 術術定義定義l實體安全（實體安全（Physical SecurityPhysical Security）又叫物理安）又叫物理安全，是保護計算機設備、設施（含網絡）免遭全，是保護計算機設備、設施（含網絡）免遭地震、水災、火災、有害氣體和其他環境事故地震、水災、火災、有害氣體和其他環境事故（如電磁污染等）破壞的措施和過程。實體安（如電磁污染等）破壞的措施和過程。實體安全主要考慮的問題是環境、場地和

3、設備的安全全主要考慮的問題是環境、場地和設備的安全以及實體訪問控制和應急處置計劃等。實體安以及實體訪問控制和應急處置計劃等。實體安全技術主要是指對計算機及網絡系統的環境、全技術主要是指對計算機及網絡系統的環境、場地、設備和人員等采取的安全技術措施。場地、設備和人員等采取的安全技術措施。計計 算算 機機 網網 絡絡 安安 全全 技技 術術2.1物理安全技術概述l實體安全的目的是保護計算機、網絡服務實體安全的目的是保護計算機、網絡服務器、交換機、路由器、打印機等硬件實體器、交換機、路由器、打印機等硬件實體和通信設施免受自然災害、人為失誤、犯和通信設施免受自然災害、人為失誤、犯罪行為的破壞；確保系統

4、有一個良好的電罪行為的破壞；確保系統有一個良好的電磁兼容工作環境；把有害的攻擊隔離。磁兼容工作環境；把有害的攻擊隔離。l實體安全的內容主要包括：實體安全的內容主要包括：l環境安全環境安全l電磁防護電磁防護l物理隔離物理隔離l安全管理。安全管理。計計 算算 機機 網網 絡絡 安安 全全 技技 術術實體安全的內容實體安全的內容 l環境安全：環境安全：計算機網絡計算機網絡通信系統的運行環境應通信系統的運行環境應按照國家有關標準設計按照國家有關標準設計實施，應具備消防報警、實施，應具備消防報警、安全照明、不間斷供電、安全照明、不間斷供電、溫濕度控制系統和防盜溫濕度控制系統和防盜報警，以保護系統免受報警

5、，以保護系統免受水、火、有害氣體、地水、火、有害氣體、地震、靜電的危害。震、靜電的危害。l物理隔離：物理隔離：物理隔離技物理隔離技術就是把有害的攻擊隔術就是把有害的攻擊隔離，在可信網絡之外和離，在可信網絡之外和保證可信網絡內部信息保證可信網絡內部信息不外泄的前提下，完成不外泄的前提下，完成網絡間數據的安全交換網絡間數據的安全交換l電磁防護：電磁防護：計算機網絡系統工計算機網絡系統工作時產生的電磁發射可被高靈作時產生的電磁發射可被高靈敏度的接收設備接收并進行分敏度的接收設備接收并進行分析、還原，造成系統信息泄漏。析、還原，造成系統信息泄漏。外界的電磁干擾也能使計算機外界的電磁干擾也能使計算機網絡

6、系統工作不正常，甚至癱網絡系統工作不正常，甚至癱瘓。必須通過屏蔽、隔離、濾瘓。必須通過屏蔽、隔離、濾波、吸波、接地等措施，提高波、吸波、接地等措施，提高計算機網絡系統的抗干擾能力，計算機網絡系統的抗干擾能力，使之能抵抗強電磁干擾；同時使之能抵抗強電磁干擾；同時將計算機的電磁泄漏發射降到將計算機的電磁泄漏發射降到最低。最低。l安全管理：安全管理：安全管理包含了二安全管理包含了二方面的內容：一是對計算機網方面的內容：一是對計算機網絡系統的管理；二是涉及法規絡系統的管理；二是涉及法規建設，建立、健全各項管理制建設，建立、健全各項管理制度等內容的安全管理。度等內容的安全管理。計計 算算 機機 網網 絡

7、絡 安安 全全 技技 術術2.2計算機房場地環境的安全防護2.2.1計算機房場地的安全要求l為保證物理安全，應對計算機及其網絡系統的實體訪為保證物理安全，應對計算機及其網絡系統的實體訪問進行控制。問進行控制。l計算機房的設計應考慮減少無關人員進入機房的機會。計算機房的設計應考慮減少無關人員進入機房的機會。同時，計算機房應避免靠近公共區域，避免窗戶直接同時，計算機房應避免靠近公共區域，避免窗戶直接鄰街，應安排機房在內（室內靠中央位置），輔助工鄰街，應安排機房在內（室內靠中央位置），輔助工作區域在外（室內周邊位置）。在一個高大的建筑內，作區域在外（室內周邊位置）。在一個高大的建筑內，計算機房最好不

8、要建在潮濕的底層，也盡量避免建在計算機房最好不要建在潮濕的底層，也盡量避免建在頂層，因頂層可能會有漏雨和雷電穿窗而入的危險。頂層，因頂層可能會有漏雨和雷電穿窗而入的危險。在有多個辦公室的樓層內，計算機機房應至少占據半在有多個辦公室的樓層內，計算機機房應至少占據半層，或靠近一邊。這樣既便于防護，又利于發生火警層，或靠近一邊。這樣既便于防護，又利于發生火警時的撤離。時的撤離。l所有進出計算機房的人都必須通過管理人員控制的地所有進出計算機房的人都必須通過管理人員控制的地點。應有一個對外的接待室，訪問人員一般不進入數點。應有一個對外的接待室，訪問人員一般不進入數據區或機房，而在接待室接待。特殊需要進入

9、控制區據區或機房，而在接待室接待。特殊需要進入控制區的，應辦理手續。每個訪問者和帶入、帶出的物品都的，應辦理手續。每個訪問者和帶入、帶出的物品都應接受檢查。應接受檢查。計計 算算 機機 網網 絡絡 安安 全全 技技 術術機房建筑和結構從安全角度考慮：機房建筑和結構從安全角度考慮： l電梯和樓梯不能直接進入機房。電梯和樓梯不能直接進入機房。l建筑物周圍應有足夠亮度的照明設施和防止非法進入建筑物周圍應有足夠亮度的照明設施和防止非法進入的設施。的設施。l外部容易接近的進出口應有柵欄或監控措施，而周邊外部容易接近的進出口應有柵欄或監控措施，而周邊應有物理屏障（隔墻、帶刺鐵絲網等）和監視報警系應有物理屏

10、障（隔墻、帶刺鐵絲網等）和監視報警系統，窗口應采取防范措施，必要時安裝自動報警設備。統，窗口應采取防范措施，必要時安裝自動報警設備。l機房進出口須設置應急電話。機房進出口須設置應急電話。l機房供電系統應將動力照明用電與計算機系統供電線機房供電系統應將動力照明用電與計算機系統供電線路分開，機房及疏散通道應配備應急照明裝置。路分開，機房及疏散通道應配備應急照明裝置。l計算機中心周圍計算機中心周圍100m100m內不能有危險建筑物。內不能有危險建筑物。l進出機房時要更衣、換鞋，機房的門窗在建造時應考進出機房時要更衣、換鞋，機房的門窗在建造時應考慮封閉性能。慮封閉性能。l照明應達到規定標準。照明應達到

11、規定標準。計計 算算 機機 網網 絡絡 安安 全全 技技 術術2.2.2設備防盜措施l早期的防盜，采取增加質量和膠粘的方法，即將設備早期的防盜，采取增加質量和膠粘的方法，即將設備長久固定或粘接在一個地點?，F在某些便攜機也采用長久固定或粘接在一個地點?，F在某些便攜機也采用機殼加鎖扣的方法。機殼加鎖扣的方法。l國外一家公司發明了一種光纖電纜保護設備。這種方國外一家公司發明了一種光纖電纜保護設備。這種方法是將光纖電纜連接到每臺重要的設備上，光束沿光法是將光纖電纜連接到每臺重要的設備上，光束沿光纖傳輸，如果通道受阻，則報警。纖傳輸，如果通道受阻，則報警。l一種更方便的防護措施類似于圖書館、超級市場使用

12、一種更方便的防護措施類似于圖書館、超級市場使用的保護系統。每臺重要的設備、每個重要存儲媒體和的保護系統。每臺重要的設備、每個重要存儲媒體和硬件貼上特殊標簽（如磁性標簽），一旦被盜或未被硬件貼上特殊標簽（如磁性標簽），一旦被盜或未被授權攜帶外出，檢測器就會發出報警信號。授權攜帶外出，檢測器就會發出報警信號。l視頻監視系統是一種更為可靠的防護設備，能對系統視頻監視系統是一種更為可靠的防護設備，能對系統運行的外圍環境、操作環境實施監控（視）。對重要運行的外圍環境、操作環境實施監控（視）。對重要的機房，還應采取特別的防盜措施，如值班守衛，出的機房，還應采取特別的防盜措施，如值班守衛，出入口安裝金屬防護

13、裝置保護安全門、窗戶。入口安裝金屬防護裝置保護安全門、窗戶。計計 算算 機機 網網 絡絡 安安 全全 技技 術術2.2.3機房的三度要求l機房內的空調系統、去濕機、除塵器是保證計算機系統機房內的空調系統、去濕機、除塵器是保證計算機系統正常運行的重要設備之一。通過這三種設備使機房的三正常運行的重要設備之一。通過這三種設備使機房的三度要求：溫度、濕度和潔凈度得到保證，度要求：溫度、濕度和潔凈度得到保證，l溫度：溫度：機房溫度一般應控制在機房溫度一般應控制在18221822，即（，即（20202 2）。溫度過低會導致硬盤無法啟動，過高會使元器件性。溫度過低會導致硬盤無法啟動，過高會使元器件性能發生變

14、化，耐壓降低，導致不能工作。能發生變化，耐壓降低，導致不能工作。l濕度：濕度：相對濕度過高會使電氣部分絕緣性降低，加速金相對濕度過高會使電氣部分絕緣性降低，加速金屬器件的腐蝕，引起絕緣性能下降；而相對濕度過低、屬器件的腐蝕，引起絕緣性能下降；而相對濕度過低、過于干燥會導致計算機中某些器件龜裂，印刷電路板變過于干燥會導致計算機中某些器件龜裂，印刷電路板變形，特別是靜電感應增加，使計算機內信息丟失、損壞形，特別是靜電感應增加，使計算機內信息丟失、損壞芯片，對計算機帶來嚴重危害。機房內的相對濕度一般芯片，對計算機帶來嚴重危害。機房內的相對濕度一般控制在控制在40%6040%60為好，即（為好，即（5

15、0501010）。）。l潔凈度：潔凈度：清潔度要求機房塵埃顆粒直徑小于清潔度要求機房塵埃顆粒直徑小于0.50.5，平，平均每升空氣含塵量小于均每升空氣含塵量小于1 1萬顆。灰塵會造成接插件的接觸萬顆?；覊m會造成接插件的接觸不良、發熱元件的散熱效率降低、絕緣破壞，甚至造成不良、發熱元件的散熱效率降低、絕緣破壞，甚至造成擊穿；灰塵還會增加機械磨損，尤其對驅動器和盤片。擊穿；灰塵還會增加機械磨損，尤其對驅動器和盤片。計計 算算 機機 網網 絡絡 安安 全全 技技 術術2.2.4防靜電措施l靜電是由物體間的相互磨擦、接觸而產生的。靜電靜電是由物體間的相互磨擦、接觸而產生的。靜電產生后，由于它不能泄放而

16、保留在物體內，產生很產生后，由于它不能泄放而保留在物體內，產生很高的電位（能量不大），而靜電放電時發生火花，高的電位（能量不大），而靜電放電時發生火花，造成火災或損壞芯片。計算機信息系統的各個關鍵造成火災或損壞芯片。計算機信息系統的各個關鍵電路，諸如電路，諸如CPUCPU、ROMROM、RAMRAM等大都采用等大都采用MOSMOS工藝的大工藝的大規模集成電路，對靜電極為敏感，容易因靜電而損規模集成電路，對靜電極為敏感，容易因靜電而損壞。這種損壞可能是不知不覺造成的。壞。這種損壞可能是不知不覺造成的。l機房內一般應采用乙烯材料裝修，避免使用掛毯、機房內一般應采用乙烯材料裝修，避免使用掛毯、地毯等

17、吸塵、容易產生靜電的材料。為了防靜電機地毯等吸塵、容易產生靜電的材料。為了防靜電機房一般安裝防靜電地板，并將地板和設備接地以便房一般安裝防靜電地板，并將地板和設備接地以便將物體積聚的靜電迅速排泄到大地。機房內的專用將物體積聚的靜電迅速排泄到大地。機房內的專用工作臺或重要的操作臺應有接地平板。此外，工作工作臺或重要的操作臺應有接地平板。此外，工作人員的服裝和鞋最好用低阻值的材料制作，機房內人員的服裝和鞋最好用低阻值的材料制作，機房內應保持一定濕度，在北方干燥季節應適當加濕，以應保持一定濕度，在北方干燥季節應適當加濕，以免因干燥而產生靜電。免因干燥而產生靜電。計計 算算 機機 網網 絡絡 安安 全

18、全 技技 術術2.2.5電 源l電源是計算機網絡系統正常工作的重要因素。供電設電源是計算機網絡系統正常工作的重要因素。供電設備容量應有一定的富裕量，所提供的功率一般應是全備容量應有一定的富裕量，所提供的功率一般應是全部設備負載的部設備負載的125125。計算機房設備最好是采取專線供。計算機房設備最好是采取專線供電，應與其他電感設備（如馬達），以及空調、照明、電，應與其他電感設備（如馬達），以及空調、照明、動力等分開；至少應從變壓器單獨輸出一路給計算機動力等分開；至少應從變壓器單獨輸出一路給計算機使用。使用。l為保證設備用電質量和用電安全，電源應至少有兩路為保證設備用電質量和用電安全，電源應至少

19、有兩路供電，并應有自動轉換開關，當一路供電有問題時，供電，并應有自動轉換開關，當一路供電有問題時，可迅速切換到備用線路供電。應安裝備用電源，如長可迅速切換到備用線路供電。應安裝備用電源，如長時間不間斷電源（時間不間斷電源（UPSUPS），停電后可供電），停電后可供電8 8小時或更長小時或更長時間。關鍵的設備應有備用發電機組和應急電源。同時間。關鍵的設備應有備用發電機組和應急電源。同時為防止、限制瞬態過壓和引導浪涌電流，應配備電時為防止、限制瞬態過壓和引導浪涌電流，應配備電涌保護器（過壓保護器）。為防止保護器的老化、壽涌保護器（過壓保護器）。為防止保護器的老化、壽命終止或雷擊時造成的短路，在電涌

20、保護器的前端應命終止或雷擊時造成的短路，在電涌保護器的前端應有諸如熔斷器等過電流保護裝置。有諸如熔斷器等過電流保護裝置。計計 算算 機機 網網 絡絡 安安 全全 技技 術術電源線干擾電源線干擾 l有六類電源線干擾：有六類電源線干擾：l中斷：三相線中任何一相或多相因故障而停止供電為中斷，長中斷：三相線中任何一相或多相因故障而停止供電為中斷，長時間中斷即為關閉。時間中斷即為關閉。l異常中斷：是指電壓連續過載或連續低電壓。異常中斷：是指電壓連續過載或連續低電壓。 l電壓瞬變：瞬變浪涌是指電壓幅值在幾個正弦波范圍內快速增電壓瞬變：瞬變浪涌是指電壓幅值在幾個正弦波范圍內快速增加或降低加或降低. .。l沖

21、擊：沖擊又稱瞬變脈沖或尖峰電壓，它是指在沖擊：沖擊又稱瞬變脈沖或尖峰電壓，它是指在0.5s100s0.5s100s內過高或過低的電壓。尖峰一般指瞬時電壓超內過高或過低的電壓。尖峰一般指瞬時電壓超過過400V400V，而下垂電壓指瞬時向下的窄脈沖。，而下垂電壓指瞬時向下的窄脈沖。l噪聲：電磁干擾噪聲：電磁干擾EMIEMI（Electromagnetic InterferenceElectromagnetic Interference）是由）是由電源線輻射產生的電磁噪聲干擾，射頻干擾（電源線輻射產生的電磁噪聲干擾，射頻干擾（RFIRFI）是發射頻）是發射頻率率30kHz30kHz時的電磁干擾。時的

22、電磁干擾。l突然失效事件：指由雷擊等引起的快速升起的電磁脈沖沖擊，突然失效事件：指由雷擊等引起的快速升起的電磁脈沖沖擊，致使設備失效。致使設備失效。計計 算算 機機 網網 絡絡 安安 全全 技技 術術保護裝置保護裝置 l電源保護裝置有金屬氧化物可變電阻（電源保護裝置有金屬氧化物可變電阻（MOVMOV）、硅雪崩）、硅雪崩二極管（二極管（SAZDSAZD）、氣體放電管（）、氣體放電管（GDTGDT）、濾波器、電壓）、濾波器、電壓調整變壓器（調整變壓器（VRTVRT）和不間斷電源（）和不間斷電源（UPSUPS）等。）等。l金屬氧化物可變電阻可吸收尖峰和沖擊電壓，工作時金屬氧化物可變電阻可吸收尖峰和沖

23、擊電壓，工作時間間1s5ns1s5ns。SAZDSAZD和和GDTGDT可使浪涌和尖峰電壓分流，從可使浪涌和尖峰電壓分流，從而保護電路。而保護電路。SAZDSAZD的工作速度快（的工作速度快（10-12s10-12s），但不能），但不能處理大的浪涌；處理大的浪涌；GDTGDT能處理大的浪涌，但工作速度較慢能處理大的浪涌，但工作速度較慢（只能達（只能達10-6s10-6s）。濾波器通過保護電路使噪聲分流并）。濾波器通過保護電路使噪聲分流并使浪涌衰減。使浪涌衰減。VRTVRT可在秒級進行異常狀態保護?？稍诿爰夁M行異常狀態保護。UPSUPS可可保護系統，避免斷電、下跌、下垂、電源故障、供電保護系統，

24、避免斷電、下跌、下垂、電源故障、供電不足和其他低電壓狀態的影響。連續工作的不足和其他低電壓狀態的影響。連續工作的UPSUPS可使計可使計算機不受電源線耦合的影響，保護它們避免災難的干算機不受電源線耦合的影響，保護它們避免災難的干擾。避雷針和浪涌濾波器可幫助抵抗強電磁脈沖。此擾。避雷針和浪涌濾波器可幫助抵抗強電磁脈沖。此外，安裝設備時應遠離建筑的金屬結構，以避免雷擊外，安裝設備時應遠離建筑的金屬結構，以避免雷擊影響。影響。計計 算算 機機 網網 絡絡 安安 全全 技技 術術緊急情況供電緊急情況供電 lUPSUPS：正常供電時，：正常供電時，UPSUPS可使交流電源整可使交流電源整流并不間斷地使電

25、池充電。在斷電時，流并不間斷地使電池充電。在斷電時，由電池組通過逆變器向機房設備提供交由電池組通過逆變器向機房設備提供交流電。從而有效地保護系統及數據。在流電。從而有效地保護系統及數據。在特別重要的場合，應考慮此種措施。特別重要的場合，應考慮此種措施。l應急電源：主要通過汽油機或柴油機帶應急電源：主要通過汽油機或柴油機帶動發電機，在斷電時啟動，為系統提供動發電機，在斷電時啟動，為系統提供較長時間的緊急供電。它需要有自己的較長時間的緊急供電。它需要有自己的燃料支持。應急發電機只對最重要的設燃料支持。應急發電機只對最重要的設備提供支持，包括空調、最必須的計算備提供支持，包括空調、最必須的計算機、照

26、明燈、報警系統、通信設備等。機、照明燈、報警系統、通信設備等。計計 算算 機機 網網 絡絡 安安 全全 技技 術術調整電壓和緊急開關調整電壓和緊急開關 l電源電壓波動超過設備安全操作允許的范圍時，電源電壓波動超過設備安全操作允許的范圍時，需要進行電壓調整。允許波動的范圍通常在需要進行電壓調整。允許波動的范圍通常在5%5%的范圍內。當供電減少或不正常工作時，的范圍內。當供電減少或不正常工作時，電壓調整設備應能響應電壓調整設備應能響應1s1s的電壓波動，自動的電壓波動，自動調整電壓并連續工作。調整電壓并連續工作。l如果機房設備直接與電網連接，則要有一個電如果機房設備直接與電網連接，則要有一個電壓調

27、節變壓器，以保持電壓穩定。這個變壓器壓調節變壓器，以保持電壓穩定。這個變壓器安裝在機房附近時，需要在機房周圍設置防火安裝在機房附近時，需要在機房周圍設置防火隔離帶。隔離帶。l計算機系統的電源開關（主控開關）應安裝在計算機系統的電源開關（主控開關）應安裝在計算機主控制開關柜附近。這些開關要清楚地計算機主控制開關柜附近。這些開關要清楚地標注出它們的功能。操作者應接受在緊急情況標注出它們的功能。操作者應接受在緊急情況下如何操作它們的訓練。下如何操作它們的訓練。計計 算算 機機 網網 絡絡 安安 全全 技技 術術2.2.6接地與防雷l地線種類地線種類l保護地：保護地：計算機系統內的所有電氣設備，包括輔

28、助設備，外殼計算機系統內的所有電氣設備，包括輔助設備，外殼均應接地。保護地一般是為大電流泄放而接地。機房內保護地均應接地。保護地一般是為大電流泄放而接地。機房內保護地的接地電阻的接地電阻44。 l直流地直流地，又稱邏輯地，是計算機系統的邏輯參考地，即計算機，又稱邏輯地，是計算機系統的邏輯參考地，即計算機中數字電路的低電位參考地。直流地的接地電阻一般要求中數字電路的低電位參考地。直流地的接地電阻一般要求22l屏蔽地：屏蔽地：為避免信息處理設備的電磁干擾，防止電磁信息泄漏，為避免信息處理設備的電磁干擾，防止電磁信息泄漏，重要的設備和重要的機房要采取屏蔽措施，即用金屬體來屏蔽重要的設備和重要的機房要

29、采取屏蔽措施，即用金屬體來屏蔽設備和整個機房。一般屏蔽地的接地電阻要求設備和整個機房。一般屏蔽地的接地電阻要求44。l靜電地：靜電地：機房內人體本身、人體在機房內的運動、設備的運行機房內人體本身、人體在機房內的運動、設備的運行等均可能產生靜電。將地板金屬基體與地線相連，以使設備運等均可能產生靜電。將地板金屬基體與地線相連，以使設備運行中產生的靜電隨時泄放掉。行中產生的靜電隨時泄放掉。l雷擊地：雷擊地：雷電具有很大的能量，雷擊產生的瞬態電壓可高達雷電具有很大的能量，雷擊產生的瞬態電壓可高達10MV10MV以上。單獨建設的機房或機房所在的建筑物，必須設置專以上。單獨建設的機房或機房所在的建筑物，必

30、須設置專門的雷擊保護地（簡稱雷擊地），以防雷擊產生的設備和人身門的雷擊保護地（簡稱雷擊地），以防雷擊產生的設備和人身事故。事故。計計 算算 機機 網網 絡絡 安安 全全 技技 術術接地系統接地系統 l各自獨立的接地系統各自獨立的接地系統l交、直流分開的接地系統交、直流分開的接地系統l共地接地系統共地接地系統l直流地、保護地共用地線系統直流地、保護地共用地線系統l這種接地系統的直流地和保護地共用接地體，屏蔽地、交這種接地系統的直流地和保護地共用接地體，屏蔽地、交流地、雷擊地單獨埋設。它主要考慮，許多計算機系統內流地、雷擊地單獨埋設。它主要考慮，許多計算機系統內部已將直流地和保護地連在一起，對外只

31、有一條引線，在部已將直流地和保護地連在一起，對外只有一條引線，在這種情況下，直流地與保護地分開已無實際意義。由于直這種情況下，直流地與保護地分開已無實際意義。由于直流地與交流地分開，使計算機系統仍具有較好抗干擾能力。流地與交流地分開，使計算機系統仍具有較好抗干擾能力。這種接地方式在國內外均有廣泛應用。這種接地方式在國內外均有廣泛應用。l建筑物內共地系統建筑物內共地系統計計 算算 機機 網網 絡絡 安安 全全 技技 術術接地體接地體 l通常采用的接地體有地樁、水平柵網、金屬板、建筑物通常采用的接地體有地樁、水平柵網、金屬板、建筑物基礎鋼筋等。基礎鋼筋等。l地樁：地樁：垂直打入地下的接地金屬棒或金

32、屬管，是常用的垂直打入地下的接地金屬棒或金屬管，是常用的接地體。它用在土壤層超過接地體。它用在土壤層超過3m3m厚的地方。金屬棒的材料厚的地方。金屬棒的材料為鋼或銅，直徑一般應為為鋼或銅，直徑一般應為15mm15mm以上。為防止腐蝕、增大以上。為防止腐蝕、增大接觸面積并承受打擊力，地樁通常采用較粗的鍍鋅鋼管。接觸面積并承受打擊力，地樁通常采用較粗的鍍鋅鋼管。l水平柵網：水平柵網：在土質情況較差，特別是巖層接近地表面無在土質情況較差，特別是巖層接近地表面無法打樁的情況下，可采用水平埋設金屬條帶、電纜的方法打樁的情況下，可采用水平埋設金屬條帶、電纜的方法。金屬條帶應埋在地下法。金屬條帶應埋在地下0

33、.5m1m0.5m1m深處，水平方向構成星深處，水平方向構成星形或柵格網形，在每個交叉處，條帶應焊接在一起，且形或柵格網形，在每個交叉處，條帶應焊接在一起，且帶間距離帶間距離1m1m。l金屬接地板：金屬接地板：將金屬板與地面垂直埋在地下，與土壤形將金屬板與地面垂直埋在地下，與土壤形成至少成至少0.2m20.2m2的雙面接觸。深度要求在永久性潮土壤以下的雙面接觸。深度要求在永久性潮土壤以下30cm30cm，一般至少在地下埋，一般至少在地下埋1.5m1.5m深。金屬板的材料通常為深。金屬板的材料通常為銅板，也可分為鐵板或鋼板。銅板，也可分為鐵板或鋼板。l建筑物基礎鋼筋建筑物基礎鋼筋 計計 算算 機

34、機 網網 絡絡 安安 全全 技技 術術2.2.7計算機場地的防火、防水措施l隔離：隔離：建筑內的計算機房四周應設計一個隔離帶，以建筑內的計算機房四周應設計一個隔離帶，以使外部的火災至少可隔離一個小時。使外部的火災至少可隔離一個小時。 l火災報警系統：火災報警系統：在火災初期就能檢測到并及時發出警在火災初期就能檢測到并及時發出警報。火災報警系統按傳感器的不同，分為煙報警和溫報。火災報警系統按傳感器的不同，分為煙報警和溫度報警兩種類型。度報警兩種類型。l滅火設施滅火設施 ：滅火器滅火器 ；滅火工具及輔助設備如液壓千；滅火工具及輔助設備如液壓千斤頂、手提式鋸、鐵锨、鎬、榔頭、應急燈等。斤頂、手提式鋸

35、、鐵锨、鎬、榔頭、應急燈等。 l管理措施：管理措施：機房應有應急計劃及相關制度，要嚴格執機房應有應急計劃及相關制度，要嚴格執行計算機房環境和設備維護的各項規章制度，加強對行計算機房環境和設備維護的各項規章制度，加強對火災隱患部位的檢查。如電源線路要經常檢查是否有火災隱患部位的檢查。如電源線路要經常檢查是否有短路處，防止出現火花引起火災。要制定滅火的應急短路處，防止出現火花引起火災。要制定滅火的應急計劃并對所屬人員進行培訓。此外，還應定期對防火計劃并對所屬人員進行培訓。此外，還應定期對防火設施和工作人員的掌握情況進行測試。設施和工作人員的掌握情況進行測試。計計 算算 機機 網網 絡絡 安安 全全

36、 技技 術術2.3電磁防護l計算機及網絡系統和其它電子設備一樣，工作時要計算機及網絡系統和其它電子設備一樣，工作時要產生電磁發射，電磁發射可被高靈敏度的接收設備產生電磁發射，電磁發射可被高靈敏度的接收設備接收并進行分析、還原，造成系統信息泄漏。另一接收并進行分析、還原，造成系統信息泄漏。另一方面，計算機及網絡系統又處在復雜的電磁干擾的方面，計算機及網絡系統又處在復雜的電磁干擾的環境中，這種電磁干擾有時很強（如電子戰中的強環境中，這種電磁干擾有時很強（如電子戰中的強電磁干擾或核輻射脈沖干擾），使計算機及網絡系電磁干擾或核輻射脈沖干擾），使計算機及網絡系統不能正常工作，甚至被摧毀。統不能正常工作，

37、甚至被摧毀。l電磁防護的主要目的是通過屏蔽、隔離、濾波、吸電磁防護的主要目的是通過屏蔽、隔離、濾波、吸波、接地等措施，提高計算機及網絡系統、其它電波、接地等措施，提高計算機及網絡系統、其它電子設備的抗干擾能力，使之能抵抗強電磁干擾；同子設備的抗干擾能力，使之能抵抗強電磁干擾；同時將計算機的電磁泄漏發射降到最低。從而在未來時將計算機的電磁泄漏發射降到最低。從而在未來的電子戰、信息戰中、商戰中立于不敗之地。的電子戰、信息戰中、商戰中立于不敗之地。計計 算算 機機 網網 絡絡 安安 全全 技技 術術2.3.1 電磁干擾l電磁干擾的分類：在一個系統內，兩電磁干擾的分類：在一個系統內，兩個或兩個以上電子

38、元器件處于同一環個或兩個以上電子元器件處于同一環境時，就會產生電磁干擾。電磁干擾境時，就會產生電磁干擾。電磁干擾是電子設備或通信設備中最主要的干是電子設備或通信設備中最主要的干擾。按干擾的耦合方式不同，擾。按干擾的耦合方式不同，可將電可將電磁干擾分為傳導干擾和輻射干擾兩類。磁干擾分為傳導干擾和輻射干擾兩類。計計 算算 機機 網網 絡絡 安安 全全 技技 術術傳導干擾傳導干擾 l傳導干擾是通過干擾源和被干擾電路之間存在的一傳導干擾是通過干擾源和被干擾電路之間存在的一個公共阻抗而產生的干擾。個公共阻抗而產生的干擾。 l公共阻抗有各種形式，一般可分為阻性干擾、感性公共阻抗有各種形式，一般可分為阻性干

39、擾、感性和容性干擾。如圖（和容性干擾。如圖（1 1）所示，兩臺設備（）所示，兩臺設備（R1R1、R2R2）采用共用電源供電，每臺設備負載的變化都會引起采用共用電源供電，每臺設備負載的變化都會引起電流的變化，進而引起另一臺設備供電的變化，相電流的變化，進而引起另一臺設備供電的變化，相當于通過阻抗將干擾傳至另一臺設備。當于通過阻抗將干擾傳至另一臺設備。l又如，兩條平行導線又如，兩條平行導線a a、b b相距很近時，如圖（相距很近時，如圖（2 2）所示，一條導線上的電流變化會產生交變磁場，交所示，一條導線上的電流變化會產生交變磁場，交變磁場又會在另一條導線上產生感應電流，這是通變磁場又會在另一條導線

40、上產生感應電流，這是通過互感耦合引起的干擾，也稱為感性干擾。同樣，過互感耦合引起的干擾，也稱為感性干擾。同樣，兩根導線間有容抗存在，由于電位差的影響，經電兩根導線間有容抗存在，由于電位差的影響，經電容耦合到另一條導線而產生的干擾，稱為容性干擾。容耦合到另一條導線而產生的干擾，稱為容性干擾。 計計 算算 機機 網網 絡絡 安安 全全 技技 術術計計 算算 機機 網網 絡絡 安安 全全 技技 術術輻射干擾輻射干擾 l輻射干擾是通過介質以電磁場的形式傳播的干擾。輻射電輻射干擾是通過介質以電磁場的形式傳播的干擾。輻射電磁場從輻射源通過天線效應向空間輻射電磁波，按照波的磁場從輻射源通過天線效應向空間輻射

41、電磁波，按照波的規律向空間傳播，被干擾電路經耦合將干擾引入到電路中規律向空間傳播，被干擾電路經耦合將干擾引入到電路中來。輻射干擾源可以是載流導線，如信號線、電源線等，來。輻射干擾源可以是載流導線，如信號線、電源線等，也可為芯片、電路等。也可為芯片、電路等。l當干擾源靠近被干擾電路，兩者的距離為小于當干擾源靠近被干擾電路，兩者的距離為小于/2/2（為干擾波長）的近場時，干擾通過電感或電容耦合而引入。為干擾波長）的近場時，干擾通過電感或電容耦合而引入。這時可通過上述的感性、容性傳導耦合干擾來分析，分析這時可通過上述的感性、容性傳導耦合干擾來分析，分析時可忽略相位差的影響。時可忽略相位差的影響。l當

42、干擾源與被干擾電路相距較遠，兩者距離為大于當干擾源與被干擾電路相距較遠，兩者距離為大于22的遠的遠場時，電磁能量通過空間傳播，稱為電磁輻射。在分析時場時，電磁能量通過空間傳播，稱為電磁輻射。在分析時要考慮相位差的影響。要考慮相位差的影響。l總之，傳導干擾和輻射干擾主要取決于干擾源的頻率（頻總之，傳導干擾和輻射干擾主要取決于干擾源的頻率（頻率對應著波長）。低頻時，率對應著波長）。低頻時，/2/2較大，干擾往往屬于傳較大，干擾往往屬于傳導耦合；高頻時，導耦合；高頻時，/2/2較小，干擾往往屬于電磁輻射。較小，干擾往往屬于電磁輻射。例如，頻率為例如，頻率為30MHz30MHz，距離大于，距離大于2m

43、2m時，其干擾均為電磁輻射。時，其干擾均為電磁輻射。計計 算算 機機 網網 絡絡 安安 全全 技技 術術電磁干擾的危害電磁干擾的危害 l計算機電磁輻射的危害計算機電磁輻射的危害信息泄漏信息泄漏防護技術（防護技術（TEMPESTTEMPEST技術）。技術）。lTEMPESTTEMPEST技術是綜合性的技術，包括泄技術是綜合性的技術，包括泄漏信息的分析、預測、接收、識別、漏信息的分析、預測、接收、識別、復原、防護、測試、安全評估等項技復原、防護、測試、安全評估等項技術，涉及到多個學科領域。它基本上術，涉及到多個學科領域。它基本上是在傳統的電磁兼容理論基礎上發展是在傳統的電磁兼容理論基礎上發展起來的

44、，但比傳統的抑制電磁干擾的起來的，但比傳統的抑制電磁干擾的要求要高得多，技術實現上也更為復要求要高得多，技術實現上也更為復雜。抑制和防止電磁泄漏現已成為物雜。抑制和防止電磁泄漏現已成為物理安全策略的一個主要問題。理安全策略的一個主要問題。 計計 算算 機機 網網 絡絡 安安 全全 技技 術術外部電磁場對計算機正常工作的影外部電磁場對計算機正常工作的影響響 l磁場感應：對于磁場，根據磁場感應：對于磁場，根據法拉第電磁感應定律，感應法拉第電磁感應定律，感應環在變化的磁場中產生的感環在變化的磁場中產生的感應電壓正比于通過導體環路應電壓正比于通過導體環路中總磁通量的時間變化速率。中總磁通量的時間變化速

45、率。假設有一個圓形環路，電磁假設有一個圓形環路，電磁脈沖為均勻的平面波，其變脈沖為均勻的平面波，其變化磁場的方向相對于環路平化磁場的方向相對于環路平面成夾角，則環中產生的等面成夾角，則環中產生的等效電壓為：效電壓為： l電場感應：對于電場，電場感應：對于電場，一個小的電偶極子對輻一個小的電偶極子對輻射的電磁脈沖的響應與射的電磁脈沖的響應與磁環路類似，如圖磁環路類似，如圖2.22.2所示。對于一個長度為所示。對于一個長度為l l的阻性負載電偶極子的阻性負載電偶極子（導線），電場與它的（導線），電場與它的夾角為夾角為，則對于大負，則對于大負載電阻，近似的感應電載電阻，近似的感應電壓為壓為計計 算算

46、 機機 網網 絡絡 安安 全全 技技 術術2.3.2 電磁防護的措施l目前主要防護措施有兩類：一類是對傳導發射的防目前主要防護措施有兩類：一類是對傳導發射的防護，主要采取對電源線和信號線加裝性能良好的濾護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合；另一類波器，減小傳輸阻抗和導線間的交叉耦合；另一類是對輻射的防護，這類防護措施又可分為以下兩種：是對輻射的防護，這類防護措施又可分為以下兩種：一種是采用各種電磁屏蔽措施，如對設備的金屬屏一種是采用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖蔽和各種接插件的屏蔽，同時對機房的下水管、

47、暖氣管和金屬門窗進行屏蔽和隔離；第二種是干擾的氣管和金屬門窗進行屏蔽和隔離；第二種是干擾的防護措施，即在計算機系統工作的同時，利用干擾防護措施，即在計算機系統工作的同時，利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射來掩蓋計算機系統的工作頻率和信息特征。間輻射來掩蓋計算機系統的工作頻率和信息特征。l為提高電子設備的抗干擾能力，除在芯片、部件上為提高電子設備的抗干擾能力，除在芯片、部件上提高抗干擾能力外，主要的措施有屏蔽、隔離、濾提高抗干擾能力外，主要的措施有屏蔽、隔離、濾波、吸波、接地等。其中屏蔽是應用最多的方法。波、吸波、接地等。其中屏

48、蔽是應用最多的方法。計計 算算 機機 網網 絡絡 安安 全全 技技 術術屏蔽屏蔽 l屏蔽可以有效地抑制電磁信息向外泄漏，衰減屏蔽可以有效地抑制電磁信息向外泄漏，衰減外界強電磁干擾，保護內部的設備、器件或電外界強電磁干擾，保護內部的設備、器件或電路，使其能在惡劣的電磁環境下正常工作。屏路，使其能在惡劣的電磁環境下正常工作。屏蔽體一般是用導電和導磁性能較好的金屬板制蔽體一般是用導電和導磁性能較好的金屬板制成。正確設計的屏蔽體，配合濾吸、隔離、接成。正確設計的屏蔽體，配合濾吸、隔離、接地等技術措施，可以達到地等技術措施，可以達到80db80db以上的屏蔽效能以上的屏蔽效能（頻率范圍為（頻率范圍為10

49、KHz10KHz10000MHz10000MHz）。）。l屏蔽的三種類型：屏蔽的三種類型：l電屏蔽：電屏蔽：電屏蔽是將電子元器件或設備用金屬屏蔽層包封起來，電屏蔽是將電子元器件或設備用金屬屏蔽層包封起來，避免它們之間通過耦合引起干擾而采取的措施。避免它們之間通過耦合引起干擾而采取的措施。l磁屏蔽：磁屏蔽：磁屏蔽是采用導磁性好的材料包封起被屏蔽物，為屏磁屏蔽是采用導磁性好的材料包封起被屏蔽物，為屏蔽體內外的磁場提供低磁阻的通路來分流磁場，避免磁場干擾，蔽體內外的磁場提供低磁阻的通路來分流磁場，避免磁場干擾，抑制磁場輻射。抑制磁場輻射。l電磁屏蔽：電磁屏蔽：電磁屏蔽是對電磁場進行屏蔽。因為電場和磁

50、場一電磁屏蔽是對電磁場進行屏蔽。因為電場和磁場一般不孤立存在，所以這也是主要的屏蔽措施。平時所說屏蔽，般不孤立存在，所以這也是主要的屏蔽措施。平時所說屏蔽，一般指電磁屏蔽。一般指電磁屏蔽。計計 算算 機機 網網 絡絡 安安 全全 技技 術術屏蔽效能屏蔽效能 屏蔽體的屏蔽效能可用屏蔽前后空間同一點處電磁場的衰減程度確定。如圖2.3所示，空間中的P點在屏蔽前電場強度為E1（或磁場強度H1），采用屏蔽后，對同一點的測量值為E2（或H2），則屏蔽效能SE為：由于這個比值范圍很大，表達很不方便，故實際應用中常采用分貝（db）來表示屏蔽效能：計計 算算 機機 網網 絡絡 安安 全全 技技 術術式中SEP點

51、的屏蔽效能（db）E1P點無屏蔽時的電場強度E2P點屏蔽后的電場強度H1P點無屏蔽時的磁場強度H2P點屏蔽后的磁場強度計計 算算 機機 網網 絡絡 安安 全全 技技 術術幾種特殊的屏蔽措施幾種特殊的屏蔽措施 l金屬板屏蔽金屬板屏蔽 l金屬柵網屏蔽：金屬板制金屬柵網屏蔽：金屬板制作的屏蔽體可以獲得理想作的屏蔽體可以獲得理想的屏蔽效能，但許多場合的屏蔽效能，但許多場合不能用金屬板做屏蔽材料，不能用金屬板做屏蔽材料，如需要透光、通風和需柔如需要透光、通風和需柔性安裝、折疊運輸的特殊性安裝、折疊運輸的特殊場合，需要采用柔性金屬場合，需要采用柔性金屬柵網做屏蔽體。一般來說，柵網做屏蔽體。一般來說，金屬柵

52、網做屏蔽體對電磁金屬柵網做屏蔽體對電磁波的衰減作用比金屬板要波的衰減作用比金屬板要差得多。因為金屬絲很細，差得多。因為金屬絲很細，又充滿孔洞，金屬網的屏又充滿孔洞，金屬網的屏蔽作用主要是反射損耗。蔽作用主要是反射損耗。試驗表明，孔越多，孔的試驗表明，孔越多，孔的面積越大，所起的屏蔽作面積越大，所起的屏蔽作用越小。用越小。 l多層屏蔽：多層屏蔽是為了得到多層屏蔽：多層屏蔽是為了得到更好的屏蔽效能而采取的措施。更好的屏蔽效能而采取的措施。有時需要對電場和磁場兩者都有有時需要對電場和磁場兩者都有較好的防護，有時需要柔性屏蔽，較好的防護，有時需要柔性屏蔽，但單層金屬柵網的屏蔽效能又不但單層金屬柵網的屏

53、蔽效能又不能滿足要求。在這些特殊情況下，能滿足要求。在這些特殊情況下，采用雙層或多層屏蔽材料做屏蔽采用雙層或多層屏蔽材料做屏蔽體，可得到更好的效果。體，可得到更好的效果。 l薄膜屏蔽：在不便構造屏蔽室的薄膜屏蔽：在不便構造屏蔽室的場合可采用金屬箔粘貼方式屏蔽；場合可采用金屬箔粘貼方式屏蔽；還可采用噴涂的方式在基體上覆還可采用噴涂的方式在基體上覆蓋一層薄金屬涂層起到吸波、屏蓋一層薄金屬涂層起到吸波、屏蔽作用；為防射頻輻射，可采用蔽作用；為防射頻輻射，可采用金屬薄膜包裝材料，在運輸和儲金屬薄膜包裝材料，在運輸和儲存期間保護重要的電子媒體和電存期間保護重要的電子媒體和電子器件等。子器件等。計計 算算

54、 機機 網網 絡絡 安安 全全 技技 術術濾波技術濾波技術 l濾波器是由電阻、電容、電感等器件構成的濾波器是由電阻、電容、電感等器件構成的一種無源網絡，它可讓一定頻率范圍內的電一種無源網絡，它可讓一定頻率范圍內的電信號通過而阻止其他頻率的電信號，從而起信號通過而阻止其他頻率的電信號，從而起到濾波作用。在有導線連接或阻抗耦合的情到濾波作用。在有導線連接或阻抗耦合的情況下，進出線采用濾波器可阻止強干擾。從況下，進出線采用濾波器可阻止強干擾。從限制帶寬的種類看，濾波器可分為低通、帶限制帶寬的種類看，濾波器可分為低通、帶通和高通濾波器，其中使用較多的是低通濾通和高通濾波器，其中使用較多的是低通濾波器。

55、波器。l最簡單的低通濾波器是由電感或電容組成。最簡單的低通濾波器是由電感或電容組成。將電阻、電容、電感一起使用，可構成性能將電阻、電容、電感一起使用，可構成性能更好的更好的型、型、型和型和T T型低通濾波器。型低通濾波器。計計 算算 機機 網網 絡絡 安安 全全 技技 術術濾波器的主要技術指標濾波器的主要技術指標l濾波器的主要技術指標有：濾波器的主要技術指標有：l頻率特性頻率特性l額定電壓額定電壓l額定電流額定電流l絕緣電阻絕緣電阻計計 算算 機機 網網 絡絡 安安 全全 技技 術術電磁防護的其他措施電磁防護的其他措施 l接地：接地對電磁兼容來說十分重要，它不僅可起到接地：接地對電磁兼容來說十

56、分重要，它不僅可起到保護作用，而且可使屏蔽體、濾波器等集聚的電荷迅保護作用，而且可使屏蔽體、濾波器等集聚的電荷迅速排放到大地，從而減小干擾。作為電磁兼容要求的速排放到大地，從而減小干擾。作為電磁兼容要求的地線最好單獨埋放，對其地阻、接地點等均有很高的地線最好單獨埋放，對其地阻、接地點等均有很高的要求。要求。l可在電纜入口處增加一個浪涌抑制器。這種浪涌抑制可在電纜入口處增加一個浪涌抑制器。這種浪涌抑制器與地線直接連接，平時阻抗很高，與大地絕緣，電器與地線直接連接，平時阻抗很高，與大地絕緣，電纜通過它正常地向計算機傳輸動力或信號。一旦強電纜通過它正常地向計算機傳輸動力或信號。一旦強電磁脈沖到來，浪

57、涌抑制器自動變為低阻抗，使電磁能磁脈沖到來，浪涌抑制器自動變為低阻抗，使電磁能量泄放到大地。量泄放到大地。l除此之外，還應盡量減小天線和連接電纜長度，盡量除此之外，還應盡量減小天線和連接電纜長度，盡量減少感應環路面積，從而降低感應電壓?？刹扇〗g扭減少感應環路面積，從而降低感應電壓?？刹扇〗g扭信號線、導線貼近地面等措施。由于電子性能靈敏的信號線、導線貼近地面等措施。由于電子性能靈敏的器件更易受瞬時感應電壓的影響，在電路設計時，如器件更易受瞬時感應電壓的影響，在電路設計時，如果不靈敏的器件可滿足功能要求，就盡量采用不太靈果不靈敏的器件可滿足功能要求，就盡量采用不太靈敏器件，而必須采用的靈敏器件要采

58、取屏蔽、浪涌保敏器件，而必須采用的靈敏器件要采取屏蔽、浪涌保護等措施。護等措施。計計 算算 機機 網網 絡絡 安安 全全 技技 術術2.4 物理隔離技術l我國我國20002000年年1 1月月1 1日起實施的日起實施的計算機信息系計算機信息系統國際聯網保密管理規定統國際聯網保密管理規定第二章第六條規第二章第六條規定，定，“涉及國家秘密的計算機信息系統，不涉及國家秘密的計算機信息系統，不得直接或間接地與國際互聯網或其它公共信得直接或間接地與國際互聯網或其它公共信息網絡相連接，必須實行物理隔離息網絡相連接，必須實行物理隔離”。因此，。因此，“物理隔離技術物理隔離技術”應運而生。應運而生。l物理隔離

59、技術的目標是確保把有害的攻擊隔物理隔離技術的目標是確保把有害的攻擊隔離，在可信網絡之外和保證可信網絡內部信離，在可信網絡之外和保證可信網絡內部信息不外泄的前提下，完成網間數據的安全交息不外泄的前提下，完成網間數據的安全交換。物理隔離技術是在原有安全技術的基礎換。物理隔離技術是在原有安全技術的基礎上發展起來的、一種全新的安全防護技術。上發展起來的、一種全新的安全防護技術。計計 算算 機機 網網 絡絡 安安 全全 技技 術術2.4.1 物理隔離的安全要求l物理隔離，在安全上的要求主要有三點：物理隔離，在安全上的要求主要有三點：l在物理傳導上使內外網絡隔斷，確保外部網不能通在物理傳導上使內外網絡隔斷

60、，確保外部網不能通過網絡連接而侵入內部網；同時防止內部網信息通過網絡連接而侵入內部網；同時防止內部網信息通過網絡連接泄漏到外部網。過網絡連接泄漏到外部網。l在物理輻射上隔斷內部網與外部網，確保內部網信在物理輻射上隔斷內部網與外部網，確保內部網信息不會通過電磁輻射或耦合方式泄漏到外部網。息不會通過電磁輻射或耦合方式泄漏到外部網。l在物理存儲上隔斷兩個網絡環境，對于斷電后會遺在物理存儲上隔斷兩個網絡環境，對于斷電后會遺失信息的部件，如內存、處理器等暫存部件，要在失信息的部件，如內存、處理器等暫存部件，要在網絡轉換時作清除處理，防止殘留信息出網；對于網絡轉換時作清除處理，防止殘留信息出網；對于斷電非