系统分析师学习笔记（十九）

系统安全性分析与设计

信息系统安全体系

目前，信息安全威胁主要有以下几个方面：

（1）系统稳定性和可靠性破坏行为，包括从外部网络针对内部网络的攻击入侵行为和病毒破坏等。
（2）大量信息设备的使用、维护和管理问题，包括违反规定的计算机、打印机和其他信息基础设施滥用，以及信息系统违规使用软件和硬件的行为。
（3）知识产权和内部机密材料等信息存储、使用和传输的保密性、完整性和可靠性存在可能的威胁，其中尤其以信息的保密性存在威胁的可能性最大。

1.系统安全的分类
信息系统的安全是一个复杂的综合体，涉及到系统的方方面面，主要包括实体安全、信息安全、运行安全和人员安全等几个部分。

2.系统安全体系结构
根据网络的应用现状情况和结构，可以将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。

（1）物理环境的安全性。物理层的安全包括通信线路、物理设备和机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件和传输介质）、软硬件设备的安全性（替换设备、拆卸设备、增加设备）、设备的备份、防灾害能力、防干扰能力、设备的运行环境（温度、湿度、烟尘）和不间断电源保障等。
（2）操作系统的安全性。系统层的安全问题来自计算机网络内使用的操作系统的安全，例如，Windows Server和UNIX等。主要表现在三个方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制和系统漏洞等；二是对操作系统的安全配置问题；三是病毒对操作系统的威胁。
（3）网络的安全性。网络层的安全问题主要体现在计算机网络方面的安全性，包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段和网络设施防病毒等。
（4）应用的安全性。应用层的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统和DNS等。此外，还包括病毒对系统的威胁。
（5）管理的安全性。安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个计算机网络的安全，严格的安全管理制度、明确的部门安全职责划分与合理的人员角色配置，都可以在很大程度上降低其他层次的安全漏洞。

3.安全保护等级
计算机系统安全保护能力的五个等级，即用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。系统安全保护能力随着安全保护等级的增高，逐渐增强。

（1）用户自主保护级（第一级）。第一级的计算机信息系统可信计算机通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。第一级适用于普通内联网用户。
（2）系统审计保护级（第二级）。与第二级相比，第二级的计算机信息系统可信计算机实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。第二级适用于通过内联网或国际网进行商务活动，需要保密的非重要单位。
（3）安全标记保护级（第三级）。第三级的计算机信息系统可信计算机具有系统审计保护级的所有功能。此外，还提供有关安全策略模型、数据标记，以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。第三级适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
（4）结构化保护级（第四级）。第四级的计算机信息系统可信计算机建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算机必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算机的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制，支持系统管理员和操作员的职能，提供可信设施管理，增强了配置管理控制。系统具有相当的抗渗透能力。第四级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门。
（5）访问验证保护级（第五级）。第五级的计算机信息系统可信计算机满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的，而且必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算机在其构造时，排除了那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。第五级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。

4.系统安全保障系统
针对当前复杂、技术手段各异的系统安全威胁，要建立一个完整的系统安全保障体系，应该包含以下几个方面的内容：

（1）建立统一的身份认证体系。身份认证是信息交换最基础的要素，如果不能确认交换双方的实体身份，那么系统安全就根本无从得到保证。身份认证的含义是广泛的，其泛指一切实体的身份，包括人、计算机、设备和应用程序等，只有确认了所有这些信息在存储、使用和传输中可能涉及的实体，系统的安全性才有可能得到基本保证。
（2）建立统一的安全管理体系。建立对所有实体有效的管理体系，能够对计算机网络系统中的所有计算机、输出端口、存储设备、网络、应用程序和其他设备进行有效的集中管理，从而有效管理和控制计算机网络中存在的安全风险。安全管理体系的建立主要集中在技术性系统的建立上，同时，也应该建立相应的管理制度，才能使安全管理系统得到有效实施。
（3）建立规范的安全保密体系。信息的保密性将是一个大型信息应用网络不可缺少的需求，所以，必须建立符合规范的信息安全保密体系，这个体系不仅仅应该提供完善的技术解决方案，也应该建立相应的信息保密管理制度。
（4）建立完善的网络边界防护体系。重要的计算机网络一般会与Internet进行一定程度的分离，在内部信息网络和Internet之间存在一个网络边界。必须建立完善的网络边界防护体系，使得内部网络既能够与外部网络进行信息交流，同时也能防止从外网发起的对内部网络的攻击等安全威胁。

数据安全与保密

数据加密技术

加密是指对数据进行编码变换，使其看起来毫无意义，但同时却仍可以保持其可恢复的形式的过程。在这个过程中，被变换的数据称为明文，它可以是一段有意义的文字或者数据，变换后的数据称为密文。

1.对称加密算法
对称加密算法也称为私钥加密算法，是指加密密钥和解密密钥相同，或者虽然不同，但从其中的任意一个可以很容易地推导出另一个。其优点是具有很高的保密强度，但密钥的传输需要经过安全可靠的途径。对称加密算法有两种基本类型，分别是分组密码和序列密码。

常见的对称加密算法包括瑞士的国际数据加密算法（International Data Encryption Algorithm，IDEA）和美国的数据加密标准（Date Encryption Standard，DES）。

2.非对称加密算法
非对称加密算法也称为公钥加密算法，是指加密密钥和解密密钥完全不同，其中一个为公钥，另一个为私钥，并且不可能从任何一个推导出另一个。它的优点在于可以适应开放性的使用环境，可以实现数字签名与验证。最常见的非对称加密算法是RSA。

认证技术

认证（authentication）又称为鉴别或确认，它是证实某事物是否名符其实或是否有效的一个过程。认证和加密的区别在于，加密用以确保数据的保密性，阻止对手的被动攻击；而认证用以确保数据发送者和接收者的真实性和报文的完整性，阻止对手的主动攻击。认证往往是许多应用系统中安全保护的第一道设防，因而极为重要。

1.数字签名
数字签名是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据，防止被人（例如，接收者）进行伪造。

基于对称加密算法和非对称加密算法都可以获得数字签名，但目前主要是使用基于非对称加密算法的数字签名，包括普通数字签名和特殊数字签名。数字签名的主要功能是保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。因此，不管使用哪种算法，数字签名必须保证以下三点：

（1）接收者能够核实发送者对数据的签名，这个过程称为鉴别。
（2）发送者事后不能抵赖对数据的签名，这称为不可否认。
（3）接收者不能伪造对数据的签名，这称为数据的完整性。

2.杂凑算法
杂凑算法是主要的数字签名算法，它是利用散列（Hash）函数（哈希函数、杂凑函数）进行数据的加密。单向Hash函数提供了这样一种计算过程：输入一个长度不固定的字符串，返回一串定长的字符串，这个返回的字符串称为消息摘要（Message Digest，MD），也称为Hash值或散列值。

（1）消息摘要算法。消息摘要算法（Message Digest algorithm 5，MD5）用于确保信息传输完整一致，经MD2、MD3和MD4发展而来。它的作用是让大容量信息在用数字签名软件签署私人密钥前被“压缩”成一种保密的格式，即将一个任意长度的字节串变换成一个定长的大数）。不管是MD2、MD4还是MD5，它们都需要获得一个随机长度的信息并产生一个128位的消息摘要。MD5以512位分组来处理输入的信息，且每个分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由4个32位分组组成，将这4个32位分组级联后，将生成一个128位的散列值。
（2）安全散列算法。安全散列算法（Secure Hash Algorithm，SHA）能计算出一个数字信息所对应的长度固定的字符串（消息摘要），它对长度不超过264位的消息产生160位的消息摘要。这些算法之所以称作“安全”，是基于以下两点，第一，由消息摘要反推原输入信息，从计算理论上来说是很困难的；第二，想要找到两组不同的信息对应到相同的消息摘要，从计算理论上来说也是很困难的；任何对输入信息的变动，都有很高的概率导致其产生的消息摘要不同。

3.数字证书
数字证书又称为数字标识，是由认证中心（Certificate Authority，CA）签发的对用户的公钥的认证。数字证书的内容应包括CA的信息、用户信息、用户公钥、CA签发时间和有效期等。

任何一个用户只要得到CA的公钥，就可以得到CA为该用户签署的数字证书。因为证书是不可伪造的，因此，对于存放证书的目录无须施加特别的保护。如果两个用户使用的是不同CA发放的证书，则无法直接使用证书；但如果两个CA之间已经安全地交换了公开密钥，则可以使用证书链来完成通信。当数字证书到了有效期、用户私钥已泄露、用户放弃使用原CA的服务、CA私钥泄露等，都需要吊销证书，这时，CA会维护一个证书吊销列表（Certificate Revocation List，CRL），供用户查询。

4.身份认证
计算机网络系统中常用的身份认证方式主要有以下几种：

（1）口令认证。用户名/密码是最简单也是最常用的身份认证方法，密码是由用户自己设定的，只有用户自己才知道。只要能够正确输入密码，计算机就认为操作者就是合法用户。
（2）动态口令认证。动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。
（3）生物特征识别。生物特征识别是通过可测量的身体或行为等生物特征进行身份认证的一种技术。

密钥管理体制

密钥是加密算法中的可变部分，在采用加密技术保护的信息系统中，其安全性取决于密钥的保护，而不是对算法或硬件保护。密钥管理是指处理密钥自产生到销毁的整个过程中的有关问题，包括系统的初始化、密钥的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、吊销和销毁等。

主要的密钥管理体制有三种，分别是适用于封闭网、以传统的密钥管理中心为代表的KMI（Key Management Infrustructure，密钥管理基础设施）机制，适用于开放网的PKI（Public Key Infrustructure，公钥基础设施）机制和适用于规模化专用网的SPK（Seeded public-Key，种子化公钥）机制。

1.KMI机制
KMI设定一个密钥分配中心（Key Distribution Center，KDC）来负责发放密钥，这种结构经历了从静态分发到动态分发的发展过程，是密钥管理的重要手段。

2.PKI机制
PKI是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等服务，以及所必需的密钥和证书管理体系。PKI机制解决了分发密钥时依赖秘密信道的问题。

完整的PKI系统必须具有CA、数字证书库、密钥备份及恢复系统、证书作废系统和应用接口等基本构成部分。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

3.SPK机制
SPK机制可以通过以下两种方法实现：

（1）多重公钥（Lapped Public Key，LPK），用RSA算法实现。多重公钥有两个缺点，一是将种子私钥以原码形式分发给署名用户；二是层次越多，运算时间越长。
（2）组合公钥（Conbined Public Key，CPK），用DLP或ECC实现。CPK克服了LPK的两个缺点，私钥是经组合以后的变量，不暴露种子，公钥的运算几乎不占时间，是一种比较理想的密钥管理解决方案。

通信与网络安全技术

网络安全是系统安全的核心。计算机网络作为信息的主要收集、存储、分配、传输和应用的载体，其安全对整个系统的安全起着至关重要甚至是决定性的作用。网络安全的基础是需要具有安全的网络体系结构和网络通信协议。

防火墙

防火墙（firewall）是一种隔离控制技术，在不同网域之间设置屏障，阻止对信息资源的非法访问，也可以阻止重要信息从内部网络中非法输出。

1.防火墙的功能

（1）访问控制功能。这是防火墙最基本也是最重要的功能，通过禁止或允许特定用户访问特定的资源，保护内部网络的资源和数据。需要禁止非授权的访问，防火墙需要识别哪个用户可以访问何种资源，包括服务控制、方向控制、用户控制和行为控制等功能。
（2）内容控制功能。根据数据内容进行控制，例如，防火墙可以从电子邮件中过滤掉垃圾邮件，可以过滤掉内部用户访问外部服务的图片信息，也可以限制外部访问，使它们只能访问本地Web服务器中一部分信息。
（3）全面的日志功能。防火墙需要完整地记录网络访问情况，包括内、外网进出的访问，以检查网络访问情况。一旦网络发生了入侵或者遭到了破坏，就可以对日志进行审计和查询。
（4）集中管理功能。在一个安全体系中，防火墙可能不止一台，因此，防火墙应该是易于集中管理的。
（5）自身的安全和可用性。防火墙要保证自身的安全，不被非法侵入，保证正常的工作。如果防火墙被侵入，安全策略被修改，这样，内部网络就变得不安全。同时，防火墙也要保证可用性，否则网络就会中断，网络连接就会失去意义。

另外，防火墙还应带有如下的附加功能：

（1）流量控制。针对不同的用户限制不同的流量，可以合理使用带宽资源。
（2）NAT（Network Address Translation，网络地址转换）。NAT是通过修改数据包的源地址（端口）或者目的地址（端口）来达到节省IP地址资源，隐藏内部IP地址功能的一种技术。
（3）VPN（Virtual Private Network，虚拟专用网）。只利用数据封装和加密技术，使本来只能在私有网络上传送的数据能够通过公共网络进行传输，使系统费用大大降低。

2.防火墙的分类
防火墙技术可分为网络级防火墙和应用级防火墙两类。可以根据不同的应用，对防火墙进行更加详细的划分，一般可以分为包过滤型防火墙、电路级网关型防火墙、应用网关型防火墙、代理服务型防火墙、状态检测型防火墙和自适应代理型防火墙。

3.防火墙的体系结构

（1）双宿/多宿主机模式。双宿/多宿主机模式是一种拥有两个或多个连接到不同网络上的网络接口的防火墙。通常用一台装有两块或多块网卡的堡垒主机做防火墙，两块或多块网卡各自与内部网和外部网相连，一般采用代理服务的办法，必须禁止网络层的路由功能。
（2）屏蔽主机模式。屏蔽主机模式的防火墙由包过滤路由器和堡垒主机组成。在防火墙中堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。
（3）屏蔽子网模式。屏蔽子网模式采用了两个包过滤路由器和一个堡垒主机，在内外网络之间建立一个被隔离的子网，称为非军事区（De-Militarized Zone，DMZ）或周边网（perimeternetwork）。

4.防火墙的局限性

（1）为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来了使用上的不便。
（2）目前，防火墙对于来自网络内部的攻击还无能为力。作为一种被动的防护手段，防火墙不能阻止Internet不断出现的新的威胁和攻击，不能有效地防范数据驱动式攻击。
（3）防火墙不能防范不经过防火墙的攻击，例如，内部网用户通过SLIP（Serial Line InternetProtocol，串行线路网际协议）或PPP（Point to Point Protocol，点对点协议）直接进入Internet。
（4）防火墙对用户不完全透明，可能带来传输延迟、瓶颈和单点失效等。
（5）防火墙不能完全防止受病毒感染的文件或软件的传输，由于病毒的种类繁多，如果要在防火墙完成对所有病毒代码的检查，防火墙的效率就会降到不能忍受的程度。

虚拟专用网

虚拟专用网（Virtual Private Network，VPN）是企业网在Internet等公共网络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接。VPN是一个虚信道，它可用来连接两个专用网，通过可靠的加密技术保证其安全性，并且是作为公共网络的一部分存在的。

1.VPN的关键技术
VPN主要采用四项技术来保证安全，它们分别是隧道技术、加解密技术、密钥管理技术、身份认证技术和访问控制技术。

（1）隧道技术。隧道技术是VPN的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，可分为第二层隧道协议和第三层隧道协议。第二层隧道协议是先将各种网络协议封装到PPP中，再将整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层（数据链路层）协议进行传输。第二层隧道协议主要有L2F（Level 2 Forwarding，第二层转发）协议、PPTP（Point to Point Tunneling Protocol，点对点隧道协议）和L2TP（Layer Two Tunneling Protocol，第二层通道协议）等；第三层隧道协议是将各种网络协议直接装入隧道协议中，形成的数据包依靠第三层（网络层）协议进行传输。第三层隧道协议主要有VTP（VLAN Trunking Protocol，虚拟局域网干道协议）、IPSec等。
（2）加解密技术。加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。
（3）密钥管理技术。密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。
（4）身份认证技术。身份认证技术通常使用名称与密码或卡片式认证等方式。
（5）访问控制技术。访问控制技术是由VPN服务的提供者根据在各种预定义的组中的用户身份标识，来限制用户对网络信息或资源的访问控制的机制。

2.PPP会话过程
PPP拨号会话过程可以分成4个不同的阶段，分别是创建PPP链路、用户验证、PPP回叫控制和调用网络层协议。大多数的PPP方案只提供了有限的认证方式，包括口令字认证协议（Password Authentication Protocol，PAP）和挑战握手认证协议（Challenge Handshake Authentication Protocol，CHAP）。

安全协议

在保证计算机网络系统的安全中，安全协议起到主要核心作用，其中主要包括IPSec、SSL、PGP和HTTPS（Hypertext Transfer Protocol over Secure Socket Layer，安全套接字层上的超文本传输协议）等。

1.SSL
SSL是一个传输层的安全协议，用于在Internet上传送机密文件。SSL协议由握手协议、记录协议和警报协议组成。SSL主要提供三个方面的服务，分别是用户和服务器的合法性认证、加密数据以隐藏被传送的数据和保护数据的完整性。

SSL是一个保证计算机通信安全的协议，对通信对话过程进行安全保护，其实现过程主要经过如下几个阶段：

（1）接通阶段。客户机通过网络向服务器打招呼，服务器回应。
（2）密码交换阶段。客户机与服务器之间交换双方认可的密码，一般选用RSA密码算法，也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法。
（3）会谈密码阶段。客户机器与服务器间产生彼此交谈的会谈密码。
（4）检验阶段。客户机检验服务器取得的密码。
（5）客户认证阶段。服务器验证客户机的可信度。
（6）结束阶段。客户机与服务器之间相互交换结束的信息。

2.HTTPS
HTTPS是以安全为目标的HTTP通道，简单地说，HTTPS是HTTP的安全版。SSL极难窃听，对中间人攻击提供一定的合理保护。HTTPS实际上应用了SSL作为HTTP应用层的子层，HTTPS使用端口443（也可以指定其他TCP端口），而不是象HTTP那样使用端口80来和TCP/IP进行通信。

3.PGP
PGP是一个基于RSA的邮件加密软件，可以用它对邮件保密以防止非授权者阅读，它还能对邮件加上数字签名，从而使收信人可以确信邮件发送者。PGP的基本原理是，先用对称密钥加密传送的信息，再将该对称加密密钥以接收方的公钥加密，组成数字信封，并将此密钥交给公正的第三方保管；然后，将此数字信封传送给接收方。接收方必须先以自己的私钥将数字信封拆封，以获得对称解密密钥，再以该对称解密密钥解出真正的信息，兼顾方便与效率。

PGP还可用于文件存储的加密。PGP承认两种不同的证书格式，分别是PGP证书和X.509证书。

4.IPSec
IPSec是一个工业标准网络安全协议，为 IP 网络通信提供透明的安全服务，保护 TCP/IP 通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。

IPSec是针对IPv4和IPv6的，其主要特征是可以支持IP级所有流量的加密和/或认证，增强所有分布式应用的安全性。IPSec在IP层提供安全服务，使得系统可以选择所需要的安全协议，确定该服务所用的算法，并提供安全服务所需任何加密密钥。

使用IPSec可以显着地减少或防范以下几种网络攻击：

（1）Sniffer。Sniffer可以读取数据包中的任何信息，对抗Sniffer最有效的方法就是对数据进行加密。IPSec的封装安全有效负载（Encapsulating Security Payload，ESP）协议通过对IP包进行加密来保证数据的私密性。
（2）数据篡改。IPSec用密钥为每个IP包生成一个数字检查和，该密钥为且仅为数据的发送方和接收方共享。对数据包的任何篡改，都会改变检查和，从而可以让接收方得知包在传输过程中遭到了修改。
（3）身份欺骗，盗用口令，应用层攻击。IPSec的身份交换和认证机制不会暴露任何信息，不给攻击者有可趁之机，双向认证在通信双方之间建立信任关系，只有可信赖的系统才能彼此通信。
（4）中间人攻击。IPSec结合双向认证和共享密钥，足以抵御中间人攻击。
（5）拒绝服务攻击。IPSec使用IP包过滤法，依据IP地址范围和协议，甚至特定的协议端口号来决定哪些数据流需要受到保护，哪些数据流可以被允许通过，哪些需要拦截。

单点登录技术

1.单点登录系统的概念
单点登录（Single Sign-On，SSO）技术是通过用户的一次性认证登录，即可获得需要访问系统和应用软件的授权，在此条件下，管理员不需要修改或干涉用户登录，就能方便地实现希望得到的安全控制。

单点登录系统采用基于数字证书的加密和数字签名技术，基于统一策略的用户身份认证和授权控制功能，对用户实行集中、统一的管理和身份认证，以区别不同的用户和信息访问者，并作为各应用系统的统一登录入口，同时，为通过身份认证的合法用户签发针对各个应用系统的登录票据（ticket），从而实现“一点登录，多点漫游”。

2.SSO系统的特征与功能
一个理想的SSO产品应该具备以下的特征和功能：

（1）常规特征。支持多种系统、设备和接口。
（2）终端用户管理灵活性。包括通常的账号创建、口令管理和用户识别。口令管理包括口令维护、历史记录和文法规则等；支持各种类型的令牌设备和生物学设备。
（3）应用管理灵活性。若多个会话同时与一个公共主体相关，设备场景管理能保证若其中一个会话发生改变，其他相关会话自动更新；能监控特定信息的使用；可将各种应用绑定在一起，来保证应用的一致性。
（4）移动用户管理。保证用户在不同的地点对信息资源进行访问。
（5）加密和认证。加密保证信息在终端用户和安全服务器之间传输时的安全性；认证保证用户的真实性。
（6）访问控制。保证只有用户被授权访问的应用可以提供给用户。
（7）可靠性和性能。包括SSO和其他访问控制程序之间的接口的可靠性和性能，以及接口的复杂度等。

3.利用Kerberos机制
Kerberos是一种网络身份认证协议，该协议的基础是基于信任第三方，它提供了在开放型网络中进行身份认证的方法，认证实体可以是用户也可以是用户服务。Kerberos的安全机制在于首先对发出请求的用户进行身份验证，确认其是否是合法的用户；如是合法的用户，再审核该用户是否有权对他所请求的服务或计算机进行访问。

4.外壳脚本机制
外壳脚本机制通过原始认证进入系统外壳，然后外壳就会激发各种专用平台的脚本，来激活目标平台的账号和资源的访问。这种方式简化了用户的登录，但其没有提供同步的口令字以及其他管理方法。

病毒防治与防闯入

病毒防护技术

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

传统意义上的计算机病毒一般具有破坏性、隐蔽性、潜伏性和传染性，其中，是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。

1.反病毒技术
目前，典型的反病毒技术有特征码技术、校验和技术、启发扫描技术、虚拟机技术、行为监控技术和主动防御技术等。

（1）特征码技术。特征值扫描是目前普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库，杀毒软件将用户计算机中的文件或程序等目标，与病毒特征库中的特征值逐一比对，判断该目标是否被病毒感染。特征值检测方法的优点是，检测准确、可识别病毒的名称、误报警率低，并且依据检测结果可做杀毒处理；缺点是开销大、查杀速度慢，不能检查未知病毒和多态性病毒。
（2）校验和技术。计算正常文件的内容和正常的系统扇区的校验和，将该校验和写入数据库中保存。在文件使用/系统启动过程中，检查文件现在内容的校验和与原来保存的校验和是否一致，这样，可以发现文件/引导区是否感染。校验和技术能发现已知病毒和未知病毒，但是，它不能识别病毒种类，不能报出病毒名称，常常误报警。而且，该方法也会影响文件的运行速度，对隐蔽性病毒无效。
（3）启发式扫描技术。启发式扫描主要是分析文件中的指令序列，根据统计知识，判断该文件是否感染病毒，从而有可能找到未知的病毒。因此，启发式扫描技术是一种概率方法。启发式扫描软件以代码反编译技术为实现基础，在内部保存病毒行为代码的跳转表，每个表项存储一类病毒行为的必用代码序列。由于病毒代码千变万化，具体实现启发式病毒扫描技术是相当复杂的。启发式扫描技术有时也会误报。
（4）虚拟机技术。反病毒软件开始运行时，使用特征值检测方法检测病毒。如果发现隐蔽性病毒或多态性病毒，启动软件模拟模块，监视病毒的运行，待病毒自身的加密代码解码后，再运用特征值检测方法来识别病毒的种类。虚拟机是在反病毒系统中设置的一种程序机制，它能在内存中模拟一个小的封闭程序执行环境，所有待查文件都以解释方式在其中被虚拟执行，其效率更高、更准确。
（5）行为监控技术。病毒不论伪装得如何巧妙，它总是存在着一些和正常程序不同的行为。例如，病毒总要不断复制自己，否则它无法传染。行为监控是指通过审查应用程序的操作来判断是否有恶意（病毒）倾向并向用户发出警告。行为监控技术的优点是可发现未知病毒、可相当准确地预报未知的多数病毒，其缺点是可能误报警、不能识别病毒名称和实现时有一定难度。
（6）主动防御技术。主动防御技术以程序行为自主分析判定法为理论基础，采用动态仿真技术，依据专家分析程序行为、判定程序性质的逻辑，模拟专家判定病毒的机理，实现对新病毒提前防御。主动防御是一种阻止恶意程序执行的技术，它可以在病毒发作时进行主动而有效的全面防范，从技术层面上有效应对未知病毒的肆虐。

2.病毒攻击的防范
常见的防范措施如下：

（1）用常识进行判断。绝不打开来历不明邮件的附件或并未预期接收到的附件。对看来可疑的邮件附件要自觉不予打开。
（2）安装防病毒产品，并保证更新最新的病毒库。应该在重要的计算机上安装实时病毒监控软件，并且至少每周更新一次病毒库。
（3）不要从任何不可靠的渠道下载软件。最好不要使用重要的计算机去浏览一些个人网站，特别是一些黑客类网站，不要随意在小网站上下载软件。如果非得下载，应该对下载的软件在安装或运行前进行病毒扫描。
（4）使用其他形式的文档。常见的宏病毒使用Microsoft Office的程序传播，减少使用这些文件类型的机会，可以降低病毒感染的风险。
（5）使用基于客户端的防火墙或过滤措施。如果计算机需要经常连接在Internet上，就非常有必要使用个人防火墙保护文件或个人隐私，并可防止“不速之客”访问系统。
（6）记住一些典型文件的长度。感染病毒的程序，绝大部分会改变长度。因此，可以记下一些典型文件的长度，并定期进行对比，一旦发现异常，即有感染病毒的可能。
（7）重要资料，必须及时备份。必须养成定期备份重要资料的习惯。

基于网络系统的病毒防护体系主要包括以下策略：

（1）一定要实现全方位、多层次防毒。
（2）网关防毒是整个防毒的首要防线。
（3）没有管理的防毒系统是无效的防毒系统。
（4）服务是整体防毒系统中极为重要的一环。

入侵检测技术

入侵检测是一种主动保护计算机免受攻击的网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全能力（包括安全审计、监视、攻击识别和响应），提高了系统安全基础结构的完整性。

1.入侵检测系统的基本原理
入侵是指任何试图危害资源的完整性、可信度和可获取性的动作，入侵检测是发现或确定入侵行为存在或出现的动作，也就是发现、跟踪并记录计算机系统或网络中的非授权行为，或发现并调查系统中可能为试图入侵或病毒感染所带来的异常活动。

从系统构成上看，IDS至少包括数据提取、入侵分析和响应处理三大部分，另外，还可以结合安全知识库和数据存储等功能模块，提供更为完善的安全检测技术和数据分析功能。

2.入侵检测系统的分类
IDS一般有两种分类方法，一种是基于数据源的分类，另一种是基于检测方法的分类。IDS根据其检测数据来源可分为两类，分别是基于主机的IDS和基于网络的IDS。基于主机的IDS必须具备一定的审计功能，并记录相应的安全性日志；基于网络的IDS可以放在防火墙或者网关的后面，以网络嗅探器的形式捕获所有的对内和对外的数据包。

从检测方法上可以将IDS分为异常检测和误用检测两种类型。异常检测也称为基于行为的检测，首先建立用户的正常使用模式（即知识库），标识出不符合正常模式的行为活动；误用检测也称为基于特征的检测，建立已知攻击的知识库，判别当前行为活动是否符合已知的攻击模式。

入侵防护技术

入侵防护系统（Intrusion Prevention System，IPS）是一种主动的、积极的入侵防范和阻止系统，它部署在网络的进出口处，当检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。IPS的检测功能类似于IDS，但IPS检测到攻击后会采取行动阻止攻击。

1.IPS的工作原理
IPS通过一个网络端口接收来自外部系统的流量，经过检查，确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。

2.IPS的技术特征
IPS的技术特征包括嵌入式运行、深入分析和控制、入侵特征库和高效处理能力。

（1）嵌入式运行。只有以嵌入模式运行的IPS设备才能够实现实时的安全防护，实时阻拦所有可疑的数据包，并对该数据流的剩余部分进行拦截。
（2）深入分析和控制。IPS必须具有深入分析能力，以确定已经拦截了哪些恶意流量，根据攻击类型和策略等来确定应该拦截哪些流量。
（3）入侵特征库。高质量的入侵特征库是IPS高效运行的必要条件，IPS还应该定期升级入侵特征库，并快速应用到所有传感器。
（4）高效处理能力。IPS必须具有高效处理数据包的能力，对整个网络性能的影响保持在最低水平。

网络攻击及预防

1.常见的网络攻击手段
网络攻击都是针对系统的安全漏洞采取的特定手段，以下按TCP/IP协议层逐层分析常见的网络攻击手段。

（1）数据链路层。数据链路层的攻击主要有MAC地址欺骗和ARP欺骗。MAC地址欺骗是将计算机的MAC地址改成其他信任主机的MAC地址；ARP欺骗修改IP地址和MAC地址的映射关系，使发送给目标计算机的数据包发送到另外一台由攻击者控制的计算机。
（2）网络层。网络层的攻击主要有IP地址欺骗、泪滴攻击、ICMP攻击和RIP路由欺骗。IP地址欺骗是指攻击者假冒他人IP地址发送数据包，从而达到隐藏自身IP地址、伪造源IP和目标IP地址相同的不正常包、伪装成被目标主机信任的友好主机得到非授权的服务；泪滴攻击是指发送两段或多段数据包，并使偏移量故意出错，造成重叠现象，以使目的主机计算时出现负数值，从而造成系统崩溃；ICMP攻击是指发送过大的ICMP数据包，完成IP地址扫描，大量的ping命令使对方带宽或资源耗尽等；RIP路由欺骗是指声明所控制的路由器A可以最快到达某一站点B，从而导致发给B的数据包经A中转。由于A已被控制，因此，可以在此完成侦听和篡改等操作。
（3）传输层。传输层的攻击主要有TCP初始化序号预测、TCP端口扫描、Land攻击、TCP会话劫持、SYN flooding、RST和FIN攻击。TCP初始化序号预测是通过预测初始序号来伪造TCP数据包；
（4）应用层。应用层的攻击主要有电子邮件攻击、DNS欺骗和缓冲区溢出攻击。电子邮件攻击主要分为两种，第一种是用伪造的IP地址或电子邮件地址向同一信箱发送大量垃圾邮件，第二种是伪装成系统管理员给用户发送邮件，要求用户修改口令；DNS欺骗将用户要浏览的目标主机的DNS名称指向攻击者的服务器；缓冲区溢出攻击通过往程序的缓冲区写入超出其长度的内容，造成缓冲区溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。

2.特洛伊木马
特洛伊木马（Trojan horse）是指附着在应用程序中或者单独存在的一些恶意程序，它可以利用网络远程控制安装有服务端程序的计算机。

木马程序一般利用TCP/IP协议，采用C/S架构，分为客户端（也称控制端）和服务器端（也称被控制端）两个部分。木马的两端程序通常运行于网络上不同的两台计算机。服务器端程序运行于被攻击的计算机上，而客户端程序在控制者的计算机上运行。

与其他的黑客工具一样，木马程序具有隐蔽性和非授权性。隐蔽性是指木马设计者为了防止木马程序被发现，会尽可能地采用各种隐藏手段，这样即使被发现，也往往因为无法具体定位而无法清除；非授权性是指木马程序的控制端与服务端连接后，具有服务端程序窃取的各种权限，可以由服务端接收客户端计算机发送来的命令，并在服务端计算机上执行，包括修改或删除文件、控制计算机的键盘鼠标、修改注册表、按木马控制者的意愿重启被攻击的计算机、截取服务端的屏幕内容等。

3.拒绝服务攻击
拒绝服务（Denial of Service，DoS）攻击广义上可以指任何导致服务器不能正常提供服务的攻击。拒绝服务（Denial of Service，DoS）攻击广义上可以指任何导致服务器不能正常提供服务的攻击。

DoS攻击的基本原理是使被攻击服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷，以至于瘫痪而停止提供正常的网络服务。要对服务器实施拒绝服务攻击，其方式有两种，一种是迫使服务器的缓冲区满，不接收新的请求；另一种是使用IP欺骗，迫使服务器将合法用户的连接复位，影响合法用户的连接。

DDoS（Distributed Denial of Service，分布式拒绝服务）攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。DDos的攻击策略侧重于通过很多“僵尸机”（被攻击者入侵过或可间接利用的计算机）向受害计算机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，DDos攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害计算机，从而将合法用户的网络包淹没，导致其无法正常访问服务器的网络资源。

4.端口扫描
Internet上通信的双方不仅需要知道对方的地址，也需要知道通信程序的端口号。在同一时间内，两台计算机之间可能不仅仅只有一种通信类型。为区别通信的程序，在所有的IP数据报文中不仅有源地址和目的地址，也有源端口号与目的端口号。而不同的网络服务会监听特定的端口。

入侵者在进行攻击前，通常会先了解目标系统的一些信息，例如，目标计算机运行的是什么操作系统，是否有什么保护措施，运行什么服务，运行的服务的版本，存在的漏洞等。而判断运行服务的方法就是通过端口扫描，因为常用的服务是使用标准的端口，只要扫描到相应的端口，就能知道目标计算机上运行着什么服务。然后，入侵者才能针对这些服务进行相应的攻击。

5.漏洞扫描
入侵者一般利用扫描技术获取系统中的安全漏洞，然后侵入系统；系统管理员也需要通过扫描技术及时了解系统存在的安全问题，并采取相应的措施来提高系统的安全性。漏洞扫描技术是建立在端口扫描技术的基础之上的。

漏洞扫描主要通过两种方法来检查目标计算机是否存在漏洞，第一种方法是在端口扫描后，得知目标计算机开启的端口和端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；第二种方法是通过模拟黑客的攻击手法，对目标计算机系统进行攻击性的安全漏洞扫描，例如，测试弱口令等。若模拟攻击成功，则表明目标计算机系统存在安全漏洞。

计算机犯罪与防范

计算机犯罪是指利用信息技术且以计算机为犯罪对象的犯罪行为，具体可以从犯罪工具角度、犯罪关系角度、资产对象角度和信息对象角度等方面定义。

计算机犯罪与其他类型的犯罪相比，具有隐秘性强、高智能性、破坏性强、无传统犯罪现场、侦查和取证困难等特征。

1.关于计算机犯罪的刑法规定
我国刑法关于计算机犯罪的规定主要体现在以下三条中：

（1）非法侵入计算机信息系统罪（第二百八十五条）。违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。
（2）破坏计算机信息系统罪（第二百八十六条）。违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑；违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑；故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。
（3）利用计算机实施的各类犯罪（第二百八十七条）。利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照刑法有关规定定罪处罚。

2.计算机犯罪的防范
计算机犯罪的防范对策主要包括加强技术性防范、强化法律意识和责任、加强执法队伍建设和加强立法。

（1）加强技术性防范。减少计算机犯罪及所带来的损失，最好的办法就是预防与防范。网络使用部门应不断提高安全技术防范意识，增强防病毒侵袭和黑客攻击的能力。
（2）强化法律意识和责任。要有效地制止和减少计算机违法犯罪活动，就必须强化广大网民的法制意识，要通过全社会的努力来营造一种健康向上的网络环境。
（3）加强执法队伍建设。对于计算机犯罪的侦查和审判要求相关司法工作人员掌握一定计算机专业知识，所以，对执法人员进行计算机专业知识的培训也就成为当务之急。
（4）加强立法。从根本上对计算机网络犯罪进行防范与干预，还是要依靠法律的威严。通过制定相关法律，充分利用法律的规范性、稳定性、普遍性和强制性，才能增强对计算机犯罪的打击和处罚力度，保障网络的健康发展。

系统访问控制技术

访问控制技术是系统安全防范和保护的主要核心策略，它的主要任务是保证系统资源不被非法使用和访问。访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以控制。

访问控制概述

访问控制是策略（policy）和机制（mechanism）的集合，它允许对限定资源的授权访问。

1.访问控制的要素
访问控制包括三个要素，分别是主体、客体和控制策略。

（1）主体。主体是可以对其他实体施加动作的主动实体，有时也称为用户或访问者（被授权使用计算机的人员）。主体的含义是广泛的，可以是用户所在的组织、用户本身，也可以是用户使用的计算机终端和手持终端（无线）等，甚至可以是应用服务程序或进程。
（2）客体。客体是接受其他实体访问的被动实体。客体的概念也很广泛，凡是可以被操作的信息、资源和对象都可以认为是客体。在信息社会中，客体可以是信息、文件和记录等的集合体，也可以是网络上的硬件设施和无线通信中的终端等。
（3）控制策略。控制策略是主体对客体的操作行为集合约束条件集（访问规则集），直接定义了主体对客体的作用行为和客体对主体的条件约束。访问策略体现了一种授权行为，也就是客体对主体的权限允许，这种允许不超越规则集。

2.访问控制的策略
访问控制策略包括登录访问控制、操作权限控制、目录安全控制、属性安全控制和服务器安全控制等方面的内容。

（1）登录访问控制策略。登录访问控制为系统访问提供了第一层访问控制，它控制哪些用户能够登录系统并获取资源，控制准许用户登录时间和具体工作站。用户的登录访问控制可分为三个步骤，分别是用户名的识别与验证、用户口令的识别与验证，以及用户账号的缺省限制检查。三道关卡中只要任何一关未过，用户便不能登录系统。
（2）操作权限控制策略。操作权限控制是针对可能出现的非法操作而采取的安全保护措施。用户和用户组被赋予一定的操作权限。系统管理员能够通过设置，指定用户和用户组可以访问系统中的哪些服务器和计算机，可以在服务器或计算机上操作哪些程序，访问哪些目录、子目录、文件和其他资源。系统管理员还应该可以根据访问权限将用户分为特殊用户、普通用户和审计用户，可以设定用户对可以访问的文件、目录和设备能够执行的操作权限。
（3）目录安全控制策略。系统应该允许管理员控制用户对目录、文件和设备的操作。目录安全允许用户在目录一级的操作对目录中的所有文件和子目录都有效。用户还可进一步自行设置对子目录和文件的权限。系统管理员应当为用户设置适当的操作权限，操作权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对系统资源的访问。
（4）属性安全控制策略。属性安全控制策略允许将设定的访问属性与服务器的文件、目录和设备联系起来。系统资源都应预先标出一组安全属性，用户对资源的操作权限对应一张访问控制表，属性安全控制级别高于用户操作权限设置级别。
（5）服务器安全控制策略。系统允许在服务器控制台上执行一系列操作。用户通过控制台可以加载和卸载系统模块，可以安装和删除软件。系统应该提供服务器登录限制、非法访问者检测等功能。

访问控制模型

访问控制一般都是基于安全策略和安全模型的。访问控制模型是一种从访问控制的角度出发，描述系统安全，建立安全模型的方法。

1.Bell-LaPadula模型
Bell-LaPadula（BLP）模型是第一个正式的安全模型，该模型基于强制访问控制（MandatoryAccess Control，MAC）系统，是典型的信息保密性多级安全模型，主要应用于军事系统中。在BLP模型中，数据和用户安全等级划分为公开、受限、秘密、机密和高密五个安全等级。

BLP模型允许用户读取安全级别比他低的资源；相反地，写入对象的安全级别只能高于用户级别。BLP 模型基于两种规则来保障数据的机密度与敏感度，分别是上读和下写。上读是指主体不可读安全级别高于它的数据，下写是指主体不可写安全级别低于它的数据。

2.Lattice模型
在Lattice模型中，每个资源和用户都服从于一个安全类别。Lattice模型通过划分安全边界对BLP模型进行了扩充，它将用户和资源进行分类，并允许它们之间交换信息，这是多边安全体系的基础。在执行访问控制功能时，Lattice模型本质上与BLP模型是相同的，而Lattice模型更注重形成“安全集束”。BLP模型中的上读和下写原则在此仍然适用，但前提条件必须是各对象位于相同的安全集束中。

3.Biba模型
Biba访问控制模型对数据提供了分级别的完整性保证，类似于BLP保密性模型，Biba模型也使用MAC系统。BLP模型只解决了信息的保密问题，其在完整性定义方面存在一定缺陷。

Biba模型模仿BLP模型的信息保密性级别，定义了信息完整性级别，在信息流向的定义方面不允许从级别低的进程到级别高的进程，也就是说，用户只能向比自己安全级别低的客体写入信息，从而防止非法用户创建安全级别高的客体信息，避免越权和篡改等行为的发生。Biba模型可同时针对有层次的安全级别和无层次的安全种类。

访问控制分类

1.自主访问控制
自主访问控制（Discretionary Access Control，DAC）是目前计算机系统中实现最多的访问控制机制，它是在确认主体身份以及它们所属组的基础上，对访问进行限定的一种方法。其基本思想是，允许某个主体显式地指定其他主体对该主体所拥有的资源是否可以访问，以及可执行的访问类型。

DAC有一个明显的特点，就是这种控制是自主的，它能够控制主体对客体的直接访问，但不能控制主体对客体的间接访问。

2.强制访问控制
MAC的基本思想是，每个主体都有既定的安全属性，每个客体也都有既定的安全属性，主体对客体是否能执行特定的操作取决于两者安全属性之间的关系。通常，MAC都要求主体对客体的访问满足BLP模型的两个基本特性。

3.基于角色的访问控制
基于角色的访问控制（Role-Based Access Control，RBAC）技术由于其对角色和层次化管理的引进，特别适用于用户数量庞大、系统功能不断扩展的大型系统。在RBAC中，在用户和访问许可权之间引入了角色的概念，用户与特定的一个或多个角色相联系，角色与一个或多个访问许可权相联系。

4.基于任务的访问控制
基于任务的访问控制（Task-Based Access Control，TBAC）从应用和企业层角度来解决安全问题。它采用面向任务的观点，从任务的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。

TBAC模型由工作流、授权结构体、授权步和许可集四个部分组成。一个工作流的业务流程由多个任务构成，而一个任务对应于一个授权结构体，每个授权结构体由特定的授权步组成。

通过授权步的动态权限管理，TBAC支持最小特权原则和最小泄露原则，在执行任务时只给用户分配所需的权限，未执行任务或任务终止后用户不再拥有所分配的权限；在执行任务过程中，当某一权限不再使用时，授权步自动将该权限回收。

5.基于对象的访问控制
控制策略和控制规则是基于对象的访问控制（Object-based Access Control，OBAC）的核心，在OBAC模型中，将ACL与受控对象及其属性相关联，并将访问控制选项设计成为用户、组或角色及其对应权限的集合。同时，允许对策略和规则进行复用、继承和派生操作。这样，不仅可以对受控对象本身进行访问控制，受控对象的属性也可以进行访问控制，而且派生对象可以继承父对象的访问控制设置。

容灾与业务持续

灾难恢复技术

灾难恢复是指为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。

1.灾难恢复的技术指标
灾难恢复的两个关键概念是恢复点目标（Recovery Point Objective，RPO）和恢复时间目标（Recovery Time Objective，RTO）。RPO是指灾难发生后，容灾系统能将数据恢复到灾难发生前时间点的数据，它是衡量企业在灾难发生后会丢失多少数据的指标；RTO则是指灾难发生后，从系统宕机导致业务停顿之刻开始，到系统恢复至可以支持业务部门运作，业务恢复运营之时，此两点之间的时间。

理想状态下，希望RTO=0，RPO=0，即灾难发生对企业生产毫无影响，既不会导致生产停顿，也不会导致生产数据丢失。

2.灾难恢复等级
第1级为基本支持，第2级为备用场地支持，第3级为电子传输和部分设备支持，第4级为电子传输及完整设备支持，第5级为实时数据传输及完整设备支持，第6级为数据零丢失和远程集群支持。

3.容灾技术的分类
容灾系统的实现可以采用不同的技术，例如，既可以采用硬件进行远程数据复制，也可以采用软件实现远程的实时数据复制，并且实现远程监控和切换。容灾系统的归类要由其最终达到的效果来决定，从其对系统的保护程度来分，可以将容灾系统分为数据容灾和应用容灾，它们的高可用性级别逐渐提高。

灾难恢复规划

信息系统的灾难恢复工作包括灾难恢复规划和灾难备份中心的日常运行，还包括灾难发生后的应急响应、关键业务功能在灾难备份中心的恢复和重续运行，以及主系统的灾后重建和回退工作。灾难恢复规划是一个周而复始、持续改进的过程，包含灾难恢复需求的确定、灾难恢复策略的制定和实现，以及灾难恢复预案的制定、落实和管理。

1.灾难恢复需求的确定
在确定灾难恢复需求时，主要进行风险分析、业务影响评估和确定灾难恢复目标三个方面的工作。

（1）风险分析。标识信息系统的资产价值，识别信息系统面临的自然的和人为的威胁；识别信息系统的脆弱性，分析各种威胁发生的可能性，并定量或定性描述可能造成的损失。通过技术和管理手段，防范或控制信息系统的风险。依据防范或控制风险的可行性和残余风险的可接受程度，确定对风险的防范与控制措施。
（2）业务影响分析。首先，分析业务功能和相关资源配置，对企业的各项业务功能及其之间的相关性进行分析，确定支持各种业务功能的相应信息系统资源和其他资源，明确相关信息的保密性、完整性和可用性要求；其次，评估中断影响，采用定量和/或定性的方法，对各种业务功能的中断造成的影响进行评估。
（3）确定灾难恢复目标。根据风险分析和业务影响分析的结果，确定灾难恢复目标，包括关键业务功能及恢复的优先顺序、灾难恢复时间范围，即RTO和RPO的范围。

2.灾难恢复策略的制定
支持灾难恢复各个等级所需的资源可分为7个要素，分别是数据备份系统、备用数据处理系统、备用网络系统、备用基础设施、技术支持能力、运行维护管理能力和灾难恢复预案。按照灾难恢复资源的成本与风险可能造成的损失之间取得平衡的原则，确定每项关键业务功能的灾难恢复策略，不同的业务功能可采用不同的灾难恢复策略。

3.灾难恢复策略的实现
灾难恢复策略的实现包括灾难备份系统技术方案的实现、灾难备份中心的选择和建设、技术支持能力的实现、运行维护管理能力的实现和灾难恢复预案的实现。

（1）灾难备份系统技术方案的实现。根据灾难恢复策略制定相应的灾难备份系统技术方案，包含数据备份系统、备用数据处理系统和备用的网络系统。
（2）灾难备份中心的选择和建设。选择或建设灾难备份中心时，应根据风险分析的结果，避免灾难备份中心与主中心同时遭受同类风险。
（3）技术支持能力的实现。企业应根据灾难恢复策略的要求，获取对灾难备份系统的技术支持能力。灾难备份中心应建立相应的技术支持组织，定期对技术支持人员进行技能培训。
（4）运行维护管理能力的实现。为了达到灾难恢复目标，灾难备份中心应建立各种操作和管理制度，用以保证数据备份的及时性和有效性；备用数据处理系统和备用网络系统处于正常状态，并与主系统的参数保持一致；有效的应急响应和处理能力。
（5）灾难恢复预案的实现。灾难恢复的每个等级均应按GB/T 20988-2007的具体要求制定相应的灾难恢复预案，并进行落实和管理。

4.灾难恢复预案的制定、落实和管理
灾难恢复预案的制定的过程如下：

（1）起草。参照GB/T 20988-2007附录B的灾难恢复预案框架，按照风险分析和业务影响分析所确定的灾难恢复内容，根据灾难恢复等级的要求，结合企业其他相关的应急预案，撰写出灾难恢复预案的初稿。
（2）评审。企业应对灾难恢复预案初稿的完整性、易用性、明确性、有效性和兼容性进行严格的评审。评审应有相应的流程保证。
（3）测试。应预先制定测试计划，在计划中说明测试的案例。测试应包含基本单元测试、关联测试和整体测试。测试的整个过程应有详细的记录，并形成测试报告。
（4）修订。根据评审和测试结果，对预案进行修订，纠正在初稿评审过程和测试中发现的问题和缺陷，形成预案的报批稿。
（5）审核和批准。由灾难恢复领导小组对报批稿进行审核和批准，确定为预案的执行稿。

业务持续性规划

业务持续性规划（Business Continuity Planning，BCP）是在非计划的业务中断情况下，使业务继续或恢复其关键功能的一系列预定义的过程。BCP的目标就是确定并减少危险可能带来的损失，有效地保障业务的连续性。

1.实施BCP的阶段
企业推动BCP，需要经过八个主要阶段，分别为项目启动、风险评估与消减、业务影响分析、业务持续性策略、开发BCP、人员培训与训练、测试与演练、BCP的持续维护及变更管理。

（1）项目启动。项目启动阶段的工作目标是为成功实施BCP奠定基础，主要工作内容包括得到高层主管的支持与承诺、确定项目负责人、组建工作团队、制定工作计划、确定工作范围、确认经费与基本数据收集工作。其中基本数据收集工作包括现有应急预案、相关政策、企业相关文件、组织架构与职责等。
（2）风险评估与消减。风险评估的目的是针对企业内部与外部潜在风险（例如，火灾、水害、设备故障和数据风险等）进行分析，识别和分析企业面临的潜在威胁，评估风险或灾难发生时对企业可能造成的损失，并且给出相应的风险控制措施和改进方案。
（3）业务影响分析。业务影响分析是以系统化的方法（例如，访谈、调查表、问卷或研讨会等）进行收集、分析企业的关键业务功能和流程。
（4）业务持续性策略。BCP主要是用来处理对企业而言严重性较高的可能发生的灾难情境，以此来降低企业的运作风险。企业基于风险分析和业务影响分析的结果，依据成本风险平衡的原则，结合技术因素以确定企业的短期和中长期业务持续性策略规模，明确业务持续性建设目标和发展蓝图。
（5）开发BCP。依照灾难或突发事件发生后，响应的时间阶段来看，BCP中应包含三项子计划，分别为应急响应计划（业务恢复规划）、危机管理计划与灾难恢复计划。
（6）培训与训练。培训与训练的目的在于，不断提升企业内全体人员对于灾难的认知，学习灾难发生后自己的工作职责和所需配合的事项。
（7）测试与演练。测试的目的在于强化与维持BCP的有效性，确保所有参与应急响应和灾难恢复的人员均能熟悉运作流程与恢复策略、计划与流程，确认可实现预先制定的灾难恢复目标，并试图发现恢复流程中潜藏或遗漏的问题。
（8）业务持续性计划维护及变更管理。因为企业在不断发展，其人员和运作环境等也在不断变化，为保持BCP的持续可用和有效性，企业必须在外部或内部业务环境发生变化时，随时调整BCP，定期进行审核和测试，并由依据测试结果进行必要的修订。

2.BCP主体框架
BCP本身也应该看作是一个流程，企业范围内的BCP流程主体框架主要由以下四个部分组成：

（1）灾难恢复规划（Disaster Recovery Planning，DRP）。DRP详细描述发生人为破坏或自然灾害时，对各种潜在危害企业的事件所采取的特殊步骤。DRP的目的是为了规范灾难恢复流程，将灾难恢复的过程流程化和文档化，使得灾难发生后，能够快速地恢复业务处理系统运行和业务运作。同时，可以依据DRP对灾难备份中心的恢复能力进行测试和演练。
（2）业务恢复规划（Business Resumption Planning，BRP）。BRP主要包括紧急事件处理、资源需求、规划开发、规划实施、质量保障和变化管理。在BCP中，需建立应急响应计划，处理和应对各种紧急事件和危机事件，例如，炸弹威胁、大规模电力故障等，以协助高级管理层处理及遏止紧急事故继续恶化，防止事故影响企业的整体业务。
（3）危机管理规划（Crisis Management Planning，CMP）。CMP帮助企业发展一种有效而且高效的紧急事件以及灾难响应能力。CMP是企业提前做好的内部和外部通信规程的准备工作，包括指定特定人员作为在灾难反应中回答公众问题的唯一发言人，确保只有受到批准的内容能公之于众，以及规范向个人和公众散发状态报告的规程。
（4）持续可用性（Continuous Availability，CA）。CA将企业的支撑基础设施的正常工作时间维持在99%甚至更高。

安全管理措施

安全管理的内容

安全管理体系是企业在整体或特定范围内建立的系统安全方针和目标，以及完善这些目标所采用的方法和手段所构成的体系，是安全管理活动的直接结果，可表示为策略、原则、目标、方法、程序和资源等总的集合。

1.密码管理
使用基于密码机制的安全系统来保护敏感信息是行之有效的方法。被保护信息的机密性和完整性等安全特性由相应密码模块的功能来实现。因此，将密码模块置于系统中，以及相应的密码管理就显得尤为重要。

2.网络管理
网络管理一般包括配置管理、性能管理、安全管理、计费管理和故障管理等。比较理想的网络管理需要建立一个整体网络安全管理解决方案，以便总体配置和调控整个网络多层面、分布式的安全系统，实现对各种网络安全资源的集中监控、统一策略管理、智能审计和多种安全功能模块之间的互动，从而有效简化网络安全管理工作，提升网络的安全水平和可控制性、可管理性，降低用户的整体安全管理开销。

3.设备管理
设备安全管理包括设备的选型、检测、安装、登记、使用、维护和存储管理等多方面的内容。为了保障信息系统的物理安全，对系统所在环境的安全保护，应遵守相关国家标准，例如，电子计算机机房设计规范、计算站场地技术条件、计算站场地安全要求等，网络设备、设施应配备相应的安全保障措施，包括防盗、防毁和防电磁干扰等，并定期或不定期地进行检查。

4.人员管理
全面提高信息系统相关人员的技术水平、道德品质和安全意识等是信息系统安全的重要保证。人员管理的核心是要确保有关业务人员的思想素质、职业道德和业务素质。

安全审计

安全审计是指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并作出相应评价。安全审计是落实系统安全策略的重要机制和手段，通过安全审计，识别与防止系统内的攻击行为、追查系统内的泄密行为。

1.安全审计的基本要素

（1）控制目标。控制目标是指企业根据具体的计算机应用，结合单位实际制定出的安全控制要求。
（2）安全漏洞。安全漏洞是指系统的安全薄弱环节，容易被干扰或破坏的地方。
（3）控制措施。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。
（4）控制测试。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较，确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效，评价企业安全措施的可依赖程度。

2.CC标准

（1）安全审计自动响应。定义在被测事件指示出一个潜在的安全攻击时做出的响应，它是管理审计事件的需要，这些需要包括报警或行动。例如，包括实时报警的生成、违例进程的终止、中断服务和用户账号的失效等。根据审计事件的不同，系统将做出不同的响应，其响应的行动可做增加、删除或修改等操作。
（2）安全审计数据生成。记录与安全相关的事件的出现，包括鉴别审计层次、列举可被审计的事件类型，以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。系统可定义可审计事件清单，每个可审计事件对应于某个事件级别。
（3）安全审计分析。定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应。当一个审计事件集出现或累计出现一定次数时，可以确定一个违规的发生，并执行审计分析。事件的集合能够由经授权的用户进行增加、修改或删除等操作。审计分析分为潜在攻击分析、基于模板的异常检测、简单攻击试探和复杂攻击试探等几种类型。
（4）安全审计浏览。审计系统能够使授权的用户有效地浏览审计数据，它包括审计浏览、有限审计浏览和可选审计浏览。
（5）安全审计事件选择。系统管理员能够维护、检查或修改审计事件的集合，能够选择对哪些安全属性进行审计。例如，与目标标识、用户标识、主体标识、主机标识或事件类型有关的属性，系统管理员将能够有选择地在个人识别的基础上审计任何一个用户或多个用户的动作。
（6）安全审计事件存储。审计系统将提供控制措施，以防止由于资源的不可用丢失审计数据。能够创造、维护、访问它所保护的对象的审计踪迹，并保护其不被修改、非授权访问或破坏。

私有信息保护

在实际应用中，造成个人私有信息泄漏的途径可能有以下几个方面：

（1）利用操作系统和应用软件的漏洞。可以说任何的软件内都有可能包含未被清除的错误。这些错误有些仅仅是计算逻辑上的错误，也有些可以被人别有用心地用来进入和攻击系统。解决这些漏洞的途径就是对系统进行修正，及时地对系统进行升级或打上补丁，是防范此类问题的一个重要手段。
（2）网络系统设置。在网络非法入侵事件中，通过共享问题达到入侵目的的案例占到入侵事件中的绝大比例。因此，尽量不要共享自己的磁盘等存储设备，不要安装一些P2P软件和下载工具。
（3）程序的安全性。现在计算机中运行的程序已经不是一般用户可以了解的了，这是个危险的事情。在计算机不清楚自己内部的某个程序是做什么工作的情况下，其中就很可能潜伏着木马程序。
（4）拦截数据包。数据包探测技术可以检查所有落入其范围的数据包，甚至能够通过设置来获取所有的数据包。
（5）假冒正常的商业网站。罪犯给人们发一封好像来自于某站点的电子邮件，并在邮件中提供该网站登录页或者看起来像是登录页的链接。这些窃贼同时建立外观很像此站点的网页，然后在用户链接到该网页登录时，捕获所有的用户名和密码。
（6）用户自身因素。如果说攻击别人是因为别人存在漏洞的话，那么用户自身的问题或许也是网络攻击的一个巨大漏洞。首先是密码泄露问题；其次是在聊天室等公共场所，不要轻易地泄漏自己的信息；再次是观念问题，要从心里上重视计算机安全问题。