计算机安全技术计算机系统实体的安全3.1 计算机系统的可靠性 计算机系统实体的安全是指为了保证计算机系 统安全、可靠地运行，确保系统在对信息进行采集 、传输、存储、处理、显示、分发和利用的过程中 ，不致受到人为的或自然因素的危害而使信息丢失 、泄漏和破坏，对计算机系统设备、通信与网络设 备、存储媒体设备和人员所采取的安全技术措施。 3.1 计算机系统的可靠性 要保证计算机系统的安全性，首先必须保证计 算机系统实体，即计算机及其外部设备和网络及通 信线路可靠、无故障和无差错。计算机安全技术计算机系统实体的安全3.1 计算机系统的可靠性 3.1.l 计算机系统的可靠性 可靠性基本指标：可靠度，失效概率，失效密 度，平均寿命（或平均无故障时间）等 可靠度：是指计算机在规定的条件下和给定的 时间内完成预定功能的概率。 “平均寿命”也叫故障间隔平均时间（MTBF） ，或平均无故障工作时间（MTTF）。如果用 n个 元件进行一次寿命试验，直到全部元件损坏为止， 把每个元件损坏以前的工作时间记为t1，t2，tx ，其平均寿命公式：计算机安全技术计算机系统实体的安全3.1 计算机系统的可靠性计算机系统可靠性 各指标的关系计算机安全技术计算机系统实体的安全3.1 计算机系统的可靠性 影响计算机可靠性的因素有内因和外因 内因是指机器本身的因素，包括设计、工艺、结构、 调试等因素，元件选择和使用不当、电路和结构设计不合 理、生产工艺不良、质量控制不严、调试不当等都会影响 计算机的可靠性； 外因是指所在环境条件对系统可靠性、稳定性和维护 水平的影响。环境条件包括：空气条件、机械条件、电气 条件、电磁条件等几个方面。 在系统的可靠性工程中，元器件是基础，设计是关键 ，环境是保证。因此，要提高信息系统的可靠性，除了保 证系统的正常工作条件及正确使用和维护外，还要采取以 下两种技术：一是容错技术，二是故障诊断。 计算机安全技术计算机系统实体的安全3.1 计算机系统的可靠性 容错技术：是指用增加冗余资源的方法来掩盖 故障造成的影响，使系统在元器件或线路有故障或 软件有差错时，仍能正确的执行预定算法的功能。 容错技术也称为冗余技术或故障掩盖技术。计算机 信息系统的容错技术通常采用硬件冗余（多重结构 、表决系统、双工系统等）、时间冗余（指令复执 、程序重试等）、信息冗余（校验码、纠错码等） 、软件冗余（多重模块、阶段表决等）等方法。 故障诊断：是通过检测和排除系统元器件或线 路故障，或纠正程序的错误来保证和提高系统可靠 性的方法。 计算机安全技术计算机系统实体的安全3.1 计算机系统的可靠性 3.1.2 计算机系统的故障分析 故障（Fault）是失效的根本原因。计算机故障 ，是指造成计算机功能错误的硬件物理损坏或程序 的错误。 差错（Error）是计算机故障造成的后果。 故障可分为两大类：硬故障、软故障。 硬故障：元器件、电路、机械、介质等部分的 物理损坏。 软故障：因电磁干扰、偶而落入的尘埃、温度 变化、电源掉电或病毒感染而导致系统功能不正常 ，不能正常运行的故障。 计算机安全技术计算机系统实体的安全3.1 计算机系统的可靠性 实践表明，在计算机的运行中，软故障占60 70。据试验统计，在硬故障中，电连接方面的 断路、短路故障占23.4，虚焊故障占33，孔化 故障占28.6，其它类型的电连接故障占15。在 元器件方面的故障中，半导体器件占37. 65，电 容器占20.68，电阻器占17.36，开关接插件占 4.99，变压器等电感性元件占2.67，其它元件 占16.65。 计算机安全技术计算机系统实体的安全3.1 计算机系统的可靠性 3.1.3 计算机系统故障的原因 对2000多台微机的故障情况进行分析，可知导 致信息系统发生故障的原因大致有以下几种因素： 1集成电路本身的缺陷 2硬件故障 3静电感应使元器件击穿失效 4电气干扰使计算机出错 5环境条件方面的原因 6管理不善 计算机安全技术计算机系统实体的安全3.2 计算机的故障诊断 计算机的故障诊断采用人工诊断和自动诊断两 类方法。自动诊断包括功能测试法、结构测试法和 故障诊断专家系统等方法。 3.2.l 人工诊断 1拔插法 2分段查找法 3逻辑测试法 4同类比较法 5跟踪追击法 6压缩隔离法 7振动敲击法 8拉偏法 9背片法 10直接判断法 计算机安全技术计算机系统实体的安全3.2 计算机的故障诊断 3.2.2 功能测试法 计算机规模的扩大和复杂性增加，人工诊断法 逐渐由自动诊断法所取代。自动诊断法先后采用功 能测试法、结构测试法（也叫故障位测试法）和故 障诊断专家系统。 1功能测试原理 根据莫尔的“思维试验”设计的。功能测试法， 按其诊断程序的组成，可分为指令级功能测试和微 指令级功能测试。2诊断程序测试 （1）高级诊断程序（2）QAPLUS诊断测试计算机安全技术计算机系统实体的安全3.2 计算机的故障诊断 3.2.3 微程序诊断 1微诊断测试原理 用微指令组成的微诊断程序对计算机执行微程 序的功能正确性进行测试，以此来判断机器有无故 障。 2微诊断方法 微诊断方法有手工测试和自动测试两种方法。 手工微诊断也叫静态微诊断，它是在机器停机 以后，由手工扳动机器开关或按键，进行单条微指 令或单脉冲检查。 自动微诊断也称动态微诊断，它不需要停机， 而是用一条特定的诊断指令就可以调用微诊断程序 。计算机安全技术计算机系统实体的安全3.2 计算机的故障诊断 自动微诊断与手工微诊断不同。 第一，自动微诊断进行诊断的时间尽可能地短 ，否则会丢失某些实时信息，所以它往往只能对某 些组件或容易出错的组件进行诊断； 第二，自动微诊断必须能保护现场； 第三，自动微诊断能区分是暂时性故障还是固 定性故障。对固定性故障采用自动切离故障组件， 降低使用或停机，由人工更换故障元器件。对暂时 性故障，则从最近一个检查基点开始，作指令重执 或程序卷回重试来处理，以度过暂时性故障。 3.2.4 几种故障诊断方法比较 P42计算机安全技术计算机系统实体的安全3.3 计算机的抗电磁干扰 3.3.1 来自计算机内部的电磁干扰 计算机的电磁干扰（EMI）：计算机及其外部 设备工作时产生的寄散（寄生）电磁辐射，在空间 以电磁波的形式传输。当辐射出的能量超过一定程 度时就会干扰计算机本身和周围的电子设备。包括 计算机本身产生的电磁干扰和来自外部的电磁干扰 。计算机本身产生的电磁干扰，这类干扰是瞬态的 、随机的，表现是多种多样的。 1元器件噪声干扰 2寄生耦合干扰 3信号反射干扰 4地线干扰 5高频电路辐射干扰 计算机安全技术计算机系统实体的安全3.3 计算机的抗电磁干扰 3.3.2 来自计算机外部的电磁干扰 指电气设备干扰、自然干扰和静电干扰 1电气设备干扰 计算机电磁干扰主要来源。按其干扰性质可分 为：工频干扰、开关干扰、放电干扰和射频干扰。 2自然干扰 雷电干扰、宇宙干扰、大气放电干扰、地球热 辐射干扰和地爆电磁脉冲干扰。 3静电干扰 静电危害是计算机、半导体器件的“大敌”，是 造成微机半导体损坏的主要原因。 计算机安全技术计算机系统实体的安全3.3 计算机的抗电磁干扰3.3.3 计算机中电磁干扰的耦合形式 电磁干扰源产生的电压或电流干扰波，通过耦合进入 计算机，使计算机电路损坏或使计算机系统信息丢失。按 耦合介质，可将耦合分为以下几种形式： 1直接耦合 2共阻抗耦合 3电场耦合 4磁场耦合 5电磁感应 3.3.4 计算机中的干扰抑制技术 1滤波去耦 2电磁屏蔽 3接地系统 4电源系统 计算机安全技术计算机系统实体的安全3.4 实体的访问控制 3.4.1访问控制的基本任务 1识别与验证 所谓“识别”，就是要明确访问者是谁，即识别 访问者的身份。 所谓“验证”，就是证实用户的身份。 目前，最常用的验证手段有口令机制、生物技 术、视网膜技术计算机安全技术计算机系统实体的安全3.4 实体的访问控制 口令机制常用方法： 口令需加密后存放在系统数据库中，一般采 用单向加密算法对口令进行加密。 要使输入口令的次数尽量减少，以防意外泄 露。 当用户离开系统所属的组织时，要及时更换 他的口令。 不要将口令存放在文件或程序中，以防其他 用户读该文件或程序时发现口令。 用户要经常更换口令，使自己的口令不易被 猜出来。 计算机安全技术计算机系统实体的安全3.4 实体的访问控制 2决定用户访问权限 对于一个已被系统识别与验证了的用户，还要 对其访问操作实施一定的限制。 (1)特殊的用户：这种用户是系统的管理员，具 有最高级别的特权。 (2)一般的用户：即系统的一般用户，通常需要 由系统管理员对这类用户分配不同的访问操作权力 。 (3)审计的用户：这类用户负责整个系统范围的 安全控制与资源使用情况的审计。 (4)作废的用户：这是一类被拒绝访问系统的用 户，可能是非法用户。 计算机安全技术计算机系统实体的安全3.4 实体的访问控制 3.4.2 实体访问控制 首先，物理访问控制必须能够识别来访用户的 身份，并对其合法性进行验证，主要通过特殊标识 符、口令、指纹等实现。 其次，对来访者必须限制其活动范围。 第三，要在计算机中心设置高层安全防护圈， 以防非法的暴力入侵。 第四，计算中心设备所在的建筑物应具有抵御 各种自然灾害或人为灾害的设施。 第五，设立完备的安全管理制度，培养工作人 员良好的风纪，防止各种偷窃与破坏活动的发生。 计算机安全技术计算机系统实体的安全3.4 实体的访问控制 3.4.3 身份的鉴别 一个是识别；一个是验证。识别信息（识别符 ）一般是非秘密的，而验证信息必须是秘密的。 个人身份验证方法分成四种类型： 验证他知道什么； 验证他拥有什么； 验证他的生物特征； 验证他的下意识动作的结果。计算机安全技术计算机系统实体的安全3.4 实体的访问控制 1口令验证 口令两种生成方法：一种是由口令拥有者自己 选择口令；另一种是由机器自动生成随时的口令. 前者的优点是用户很容易记住，一般不会忘记，但 它的缺点是很容易被猜出来；后者的优点是随机性 好，要想猜测很困难，它的缺点是用户记起来要困 难一些。 口令管理：口令保存、口令交换。 假如有A、B两人通信，在通信之前他们对对方 的身份进行鉴别。为此，他们都有各自的口令，并 且还应当保存有对方的口令。计算机安全技术计算机系统实体的安全3.4 实体的访问控制 设A的口令是P，B的口令是Q。当A向B进行通 信时，B对A进行鉴别，那么A就必须首先向B发送 他的鉴别信息，但A这时对B的身份也没有进行鉴 别，所以他不能直接将他的口令发送给B。问题的 关键在于：相互进行身份鉴别的双方都不能直接将 他的口令传送给对方，但进行身份鉴别还必须有相 应的口令信息。 采用一个单向函数O。A要对B的身份进行鉴别 时，他首先向B发送一个随机选择的值x1，这个值 是非保密的，B在收到x1后，利用单向函数O对x1与 B的口令Q进行如下运算： y1O（Q，x1）计算机安全技术计算机系统实体的安全3.4 实体的访问控制 B再将y1发回A。单向函数O可以保证即使知道 了x1与y1，也无法恢复出Q来。 这样，在y1中既包括了B的口令，但任何人又 无法恢复出B的口令。当A收到B返回的y1后，就利 用单向函数O对x1(A选择的值）与Q（A保存的值 ）进行运算，然后将结果与收到的y1进行比较。如 相等，A就认为B是合法的通信方，否则就认为B 是非法的。如果A是非法收者，那么他也无法