什麼是存儲媒體
存儲介質又稱為存儲媒體,是指存儲二進制信息的物理載體,這種載體具有表現兩種相反物理狀態的能力,存儲器的存取速度就取決於這兩種物理狀態的改變速度。
存儲媒體的分類
目前使用的存儲介質主要有半導體器件、磁性材料和光學材料。
(1)用半導體器件做成的存儲器稱為半導體存儲器。從製造工藝的角度又把半導體存儲器分為雙極型和MOS型等。
(2)用磁性材料做成的存儲器稱為磁表面存儲器,如磁碟存儲器和磁帶存儲器。
(3)用光學材料做成的存儲器稱為光表面存儲器,如光碟存儲器。
存儲媒體的安全
為避免存儲介質損壞、存儲的信息丟失或信息被竊取等情況對網路系統造成損失,必須對存儲介質實施安全措施。
對存儲介質的保護措施主要包括以下幾種:
•建立專用存儲介質庫,訪問人員限於管理員。
•舊存儲介質銷毀前進行應清除數據。
•存儲介質不用時均於存儲介質庫存放,並注意防塵、防潮,遠離高溫和強磁場。
•避免使存儲介質受到強烈震動,如從高處墜落、重力敲打等,以防介質中存儲的數據丟失。
•對介質庫中保存的介質應定期檢查,以防信息丟失。
•明確存儲介質的保質期,並在保質期內轉儲需長期保存的數據。
存儲媒體的訪問控制
計算機系統中的大量信息都存儲在某種媒體上,如磁碟、磁帶、半導體、光碟、列印紙等。為了防止對信息的破壞、篡改、盜竊等事件的發生,就必須對存儲媒體進行保護和管理,嚴格其訪問控制。
•1.身份識別
身份識別的目的是確定系統的訪問者是否是合法用戶,一般包含“識別”和“驗證”2個方面。識別就是要明確訪問者的身份。系統必須對每個合法用戶都有識別的能力,必須保證任意2個用戶之間不能具有相同的標識符。系統可以通過唯一的標識符,識別訪問系統資源的每一個用戶。驗證是指系統要對用戶所標明的身份進行證實,以防假冒。驗證需要用戶出具能夠證明其身份的特殊信息,這個信息必須是秘密的,是任何其他用戶都不能擁有的。只有確認識別與驗證的正確性以後,系統才能允許用戶訪問起資源。
當前用於身份識別的技術方法主要有以下4種:
(1)利用用戶身份、密碼、密鑰等技術措施進行身份識別。
(2)利用用戶的體貌特徵、指紋、簽字等技術措施進行身份識別。
(3)利用用戶持有的證件,如光卡、磁卡等,進行身份識別。
(4)多種方法互動使用進行身份識別。
這幾種方法各有利弊,如利用密碼進行身份識別的方法最簡單,系統開銷最小,但其安全性也最差,而利用用戶的指紋、簽字等技術進行的身份識別,一般不能偽造,安全性較高。
目前,密碼識別仍是最常用的驗證手段。其識別機制在技術上需要進行2步處理:第1步是給予身份標識,第2步是鑑別。首先,計算機系統給每個用戶分配一個唯一的標識,每個用戶選擇一個供以後鑑別用的密碼。然後,計算機系統將所有用戶的身份標識和相應密碼存入密碼錶。密碼錶中的標識和密碼是成對出現的,唯一用戶身份標識是公開的,密碼是秘密的,密碼由用戶自己掌握。當用戶需要進入系統時,必須先向系統提交他的身份標識和密碼,系統根據身份標識檢索密碼錶得到相應的密碼,如果密碼相符則認為該用戶是合法用戶,系統接收該用戶,否則用戶將遭系統拒絕。密碼識別這種控制機制的優點是,簡單易掌握,能減緩受到攻擊的速度。目前對其攻擊主要有嘗試猜測、假冒登錄和搜尋系統密碼錶3種方法。用戶應根據具體威脅,有針對性的加強其可靠性。
2.控制訪問許可權
系統對用戶進行識別和驗證以後,還要對用戶的訪問操作範圍實施一定的限制,以防止合法用戶越權訪問系統資源,對系統造成破壞。因此,系統要確定用戶對資源(比如CPU、記憶體、I/0設備、計算機終端等)的訪問許可權,並賦予用戶不同的許可權等級,如工作站用戶、超級用戶、系統管理員等。一般來說,用戶的許可權等級是在註冊時賦予的。
系統對用戶的訪問許可權要進行合理的控制,其方式可分為任意訪問控制和強制訪問控制2種。任意訪問控制指用戶可以隨意在系統中規定訪問對象,包括目錄式訪問控制、訪問控制表、訪問控制矩陣和面向過程的訪問控制等。強制訪問控制是指用戶和檔案都有固定的安全屬性,由系統管理員按照嚴格程式設定,不允許用戶修改。如果系統設定的用戶安全屬性不允許用戶訪問某個檔案,那么不論用戶是否是該檔案的擁有者都不能進行訪問。任意訪問控制的優點是,方便用戶,強制訪問控制則通過無法迴避的訪問限制來防止對系統的非法入侵。對安全性要求較高的系統通常採用任意訪問控制和強制訪問控制相結合的方法,如安全要求較低的部分採用任意訪問控制,要求較高的部分則採用強制訪問控制 。
•3.管理措施
存儲媒體安全管理的目標是:保證系統在有充分保護的安全環境中運行,由可靠的操作人員按規範使用計算機系統,系統符合安全標準。管理應緊緊圍繞信息的輸人、存儲、處理和交換這個過程來進行。以下是一些具體的管理措施:
(1)涉密的計算機信息系統必須與其他信息系統實行物理隔離,不得直接與其他外部任何網路進行聯網。非涉密計算機信息系統中嚴禁存儲、運行、傳遞、發布涉密信息。
(2)對系統的訪問要採取訪問控制、身份認證和系統安全保密監控管理等技術措施。
(3)系統用戶不得進行越權操作。未經許可不得私自複製、列印他人非共享信息資源。不得對不屬於自己許可權的計算機信息進行修改、添加、刪除等操作。用戶應嚴格保守自己的系統密碼、密碼等,不得隨意擴大知悉範圍。
(4)輸出的信息要有相應的標識,且不能與正文分離。
(5)信息的複製、存儲、傳遞、處理、輸出必須得到有效控制,信息的銷毀必須有效且不可恢復。
(6)存儲的信息應該制定完善的備份制度,並採取有效的防盜、防災措施,保證備份的安全保密。
(7)系統的操作者必須對自己管理的存儲媒體的安全保密負責,嚴格執行崗位責任制,妥善保管諸如軟碟、硬碟、磁帶、光碟等存儲媒體。
(8)媒體設備需由專人保管,未經批准,任何人不得擅自攜帶存儲媒體外出。
(9)淘汰的媒體設備,首先要徹底清除其中的信息,然後由主管部門批准,徹底銷毀。對存有機密信息的媒體不得以舊換新。
(10)媒體設備的維護與檢修應由指定的部門負責,並對維修人員、維修對象、維修內容、維修前後狀況等進行監督和記錄。
除此之外,還應該健全機構和崗位責任制,完善安全管理的規章制度,加強對技術、業務、管理人員的法制教育、職業道德教育,增加安全保密和風險防範意識,以實現科學化、規範化的安全管理。