信息系统的安全架构设计

安全威胁分类

物理安全威胁是指对系统所用设备的威胁，如自然灾害、电源故障、操作系统引导失败或数据库信息丢失、设备被盗 / 被毁或数据丢失或信息泄露。通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰。网络安全威胁是指由于互联网的开放性、国际化的特点，人们很容易通过技术手段窃取互联网信息，对网络形成严重的安全威胁。操作系统安全威胁是指对系统平台中的软件或硬件芯片中植入威胁，如 “木马” 和 “陷阱门”、BIOS 的万能密码；应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁，也受到 “木马” 和 “陷阱门” 的威胁；管理系统安全威胁是指由于人员管理上疏忽而引发人为的安全漏洞，如人为的通过拷贝、拍照、抄录等手段盗取计算机信息。

信息安全的五大要素

要素	核心目标	典型技术手段	常见威胁
机密性	防泄露	加密、访问控制	数据窃取、嗅探
完整性	防篡改	哈希、数字签名	中间人攻击、恶意软件
可用性	防中断	冗余、抗DoS	DDoS、硬件故障
可控性	防滥用	NAC、DLP、防火墙	内部威胁、数据泄露
可审查性	可追溯	日志、审计、区块链	黑客掩盖痕迹、违规操作

常见的安全威胁类型

信息泄露：信息被泄露或透露给某个非授权的实体。破坏信息的完整性：数据被非授权地进行增删、修改或破坏而受到损失。拒绝服务：对信息或其他资源的合法访问被无条件地阻止。非法使用（非授权访问）：某一资源被某个非授权的人、或以非授权的方式使用。窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号进行搭线监听，或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。业务流分析：通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从而发现有价值的信息和规律。假冒：通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒进行攻击。旁路控制：攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如，攻击者通过各种攻击手段发现原本应保密，但是却又暴露出来的一些系统“特性”。利用这些“特性”，攻击者可以绕过防线守卫者侵入系统的内部。授权侵犯：被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授权的目的，也称作“内部攻击”。特洛伊木马：软件中含有一个察觉不出的或者无害的程序段，当它被执行时，会破坏用户的安全。这种应用程序称为特洛伊木马（Trojan Horse）。陷阱门：在某个系统或某个部件中设置了“机关”，使得当提供特定的输入数据时，允许违反安全策略。抵赖：这是一种来自用户的攻击，例如，否认自己曾经发布过的某条消息、伪造一份对方来信等。重放：所截获的某次合法的通信数据备份，出于非法的目的而被重新发送。计算机病毒：所谓计算机病毒，是一种在计算机系统运行过程中能够实现传染和侵害的功能程序。一种病毒通常含有两个功能：一种功能是对其他程序产生“感染”；另外一种或者是引发损坏功能、或者是一种植入攻击的能力。人员不慎：一个授权的人为了钱或利益、或由于粗心，将信息泄露给一个非授权的人。媒体废弃：信息被从废弃的磁盘或打印过的存储介质中获得。物理侵入：侵入者通过绕过物理控制而获得对系统的访问。窃取：重要的安全物品，如令牌或身份卡被盗。业务欺骗：某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息。

GB 17859安全保护等级划分

《计算机信息系统安全保护等级划分准则》(GB 17859—1999)定义了五个不同级别的计算机系统安全保护能力：

第1级：用户自主保护级，通过隔离用户与数据实现访问控制，保护用户信息安全。第2级：系统审计保护级，实施更细粒度的访问控制，通过审计和隔离资源确保用户行为的安全性。第3级：安全标记保护级，具备第2级所有功能，并增加安全策略模型、数据标记和强制访问控制，以及输出信息的准确标记。第4级：结构化保护级，建立在明确定义的形式化安全策略模型上，扩展访问控制，考虑隐蔽通道，结构化关键与非关键保护元素，增强鉴别机制和配置管理。第5级：访问验证保护级，满足访问监控器需求，监控器仲裁访问，具有抗篡改性，最小化复杂性，支持安全管理员职能，增强审计和系统恢复机制，具有高抗渗透能力。

GB/T 9387.2—1995 五大类安全服务

GB/T 9387.2—1995 对应国际标准 ISO 7498-2，定义了网络通信中保障数据安全的五大核心服务，覆盖 “防窃取、防篡改、防伪装、防抵赖、防中断” 核心需求。

一、认证服务（Authentication Service）

定义

确认 “通信双方是真实的，不是伪装的”，核心解决 “你是谁、对方是谁” 的身份核实问题，分为 “对等实体认证”（如两台服务器之间身份确认）和 “数据源认证”（如确认数据来自合法发送方）。

主要实现手段

密码技术：基于共享密钥（如双方约定的密码）或公开密钥（如 RSA 算法）验证身份，比如登录系统时输入账号密码，服务器验证密码是否匹配；

生物识别技术：指纹、人脸、虹膜等生物特征验证（如手机解锁、企业门禁登录）；

数字证书：由权威机构（CA）颁发的 “电子身份证”，如 HTTPS 网站的 SSL/TLS 证书，确认网站是合法的，不是钓鱼网站；

硬件令牌：如动态口令器（银行 U 盾、企业 VPN 动态令牌），生成一次性密码，提升身份认证安全性。

二、访问控制服务（Access Control Service）

定义

限制 “谁能访问什么资源、能做什么操作”，核心是 “最小权限原则”，仅给用户分配完成工作必需的权限，防止越权访问（如普通员工查看管理员数据）。

主要实现手段

权限列表（ACL）：给资源设置访问权限清单，如文件设置 “仅本人可修改、同事可读取”；

角色 – based 访问控制（RBAC）：按角色分配权限，如 “财务岗” 自动获得财务数据查询权限，“普通员工岗” 无此权限；

访问控制策略：制定统一规则，如 “非工作时间禁止登录核心服务器”“外部 IP 禁止访问内网数据库”；

硬件级控制：如服务器机房门禁、USB 端口禁用，防止物理层面的非法访问。

三、数据保密性服务（Data Confidentiality Service）

定义

确保 “数据在传输或存储过程中不被未授权的人窃取、查看”，核心是 “数据加密”，让非法获取者无法读懂数据内容。

主要实现手段

对称加密算法：发送方和接收方用同一个密钥加密 / 解密，如 AES、DES 算法，适合大量数据快速加密（如文件传输、数据库存储加密）；

非对称加密算法：用 “公钥加密、私钥解密”（如 RSA、ECC 算法），公钥可公开，私钥仅自己持有，适合小体量数据加密（如传输对称密钥、数字签名）；

链路加密：对整个网络链路的数据加密，如 VPN 加密通道、HTTPS 传输加密，数据在链路中始终是加密状态；

端到端加密：从数据发送端直接加密，到接收端才解密，中间链路、设备无法获取明文（如即时通讯软件的消息加密）。

四、数据完整性服务（Data Integrity Service）

定义

保证 “数据在传输或存储过程中不被未授权篡改（包括增删、替换数据）”，即使数据被改，也能及时发现。

主要实现手段

消息认证码（MAC）：发送方用密钥生成 “数据校验码”，接收方用相同密钥验证校验码，若数据被篡改，校验码不匹配（如银行转账时的交易数据校验）；

哈希函数（Hash）：将任意长度数据转换为固定长度的 “哈希值”（如 MD5、SHA-256），数据微小变化会导致哈希值大幅改变，接收方对比哈希值判断数据是否完整；

数字签名：结合非对称加密和哈希函数，发送方用私钥对数据哈希值签名，接收方用公钥验证，既保证完整性，又能确认数据源（防伪装）；

校验和：简单的完整性校验方式（如文件传输时计算字节总和），适合对完整性要求不高的场景。

五、抗抵赖服务（Non-repudiation Service）

定义

防止 “发送方发送数据后否认（如否认发过订单、转账指令），或接收方接收数据后否认”，核心是 “留下不可篡改的证据”。

主要实现手段

数字签名：发送方用私钥对数据签名，签名与数据绑定，私钥仅发送方持有，无法伪造，可作为发送方已发送数据的证据；

公证机制：引入第三方公证机构，数据发送时同步向公证机构备案，发生抵赖时，由公证机构提供证明；

日志记录：完整记录数据传输的关键信息（如发送时间、发送方身份、数据哈希值），日志不可篡改，作为追溯依据（如电商订单日志、银行交易日志）；

接收确认：接收方收到数据后，返回带签名的确认信息，作为接收凭证，防止接收方抵赖。

信息安全系统措施（技术，管理，政策）

一个完整的信息安全系统至少包含三类措施:技术方面的安全措施，管理方面的安全措施相应的政策法律。

信息安全的技术措施主要有:信息加密、数字签名、身份鉴别、访问控制、网络控制技术、反病毒技术、数据备份和灾难恢复。

技术方面的安全措施

信息加密技术

基本概念

信源：消息的发送者。

信宿：消息的接收者或目的地。

明文：未加密的消息。

密文：经过加密后的消息。

信道：消息传输的通道。

密钥：加密或解密消息时使用的参数。

加密算法：将明文转换为密文的过程。

解密算法：将密文恢复为明文的过程，是加密算法的逆运算。

密码体制

对称算法（Symmetric Algorithm）

有时也被称为传统密码算法，其特点是加密密钥和解密密钥相同，因此也被称作秘密密钥算法或单密钥算法。
在使用对称算法进行通信前，发送方和接收方需要提前商定并共享一个密钥。这种密钥的保密性对于数据的安全至关重要，因为一旦密钥被泄露，任何人都可以对数据进行解密，从而获取敏感信息。

优点

算法实现效率高，速度快。
由于加密和解密使用相同的密钥，因此在加密和解密过程中不需要额外的步骤来区分密钥，这使得整个过程更加高效和快速。

缺点

密钥管理复杂。
随着用户数量的增加，密钥管理变得越来越复杂。每个用户需要与其他用户共享和管理一个唯一的密钥，这在大规模系统中可能会导致密钥数量急剧增加，从而增加管理的难度和风险。

典型算法

DES（Data Encryption Standard，数据加密标准）

DES 是由 IBM 公司研制的一种分组加密算法，美国国家标准局于 1977 年将其作为非机要部门使用的标准。

DES 以 64 位为分组对数据进行加密，同时其密钥长度为 56 位（其中第 8 位用于奇偶校验），密钥可以任意 56 位的数，并且可以随时更改。

其安全性主要依赖于密钥的保密性。

IDEA（International Data Encryption Algorithm，国际数据加密算法）

IDEA 是由来学嘉等人在 1992 年设计的一种加密算法，其前身是 1990 年公布的推荐加密标准（Proposed Encryption Standard，PES）算法。

IDEA 的分组长度为 64 位，密钥长度为 128 位。

IDEA 使用的运算包括异或、模 2¹⁶ 加和模（2¹⁶ + 1）乘，这些运算相对简单，并且可以在硬件和软件中高效实现。

IDEA 的所有运算都是基于 16 位数进行的，这使得它在现代 16 位、32 位和 64 位的 CPU 上运行良好，软件实现的 IDEA 算法的运算速度通常比 DES 更快。

此外，由于 IDEA 使用的密钥长度为 128 位，远大于 DES 的 56 位，因此使用穷举法破解 IDEA 的难度非常高。

非对称密码体制

又称为公钥密码体制，由Diffie和Hellman于1976年提出。加密密钥与解密密钥不同且不能在有效时间内相互推导。主要优点是可以方便地分发密钥，不需要安全的通信管道来交换密钥。典型算法为RSA。

不对称密码加密算法

定义

不对称密码体制，也被称为双密钥或公钥密码体制，是由Diffie和Hellman在1976年提出的。它是密码学中的一种重要加密方式。

与对称密码体制的对比

与对称密码体制不同，非对称密码体制使用两个不同的密钥：一个称为私钥（Private Key），一个称为公钥（Public Key）。

私钥需要保密，只由拥有者自己保管。

公钥则可以公开，不需要保密。

工作方式

公开公钥：任何人都可以将自己的公钥公开在网络或其他可以公开的地方。其他人可以使用这个公钥来加密信息。

加密信息：当某人想要向接收者发送信息时，使用接收者的公开公钥将信息加密，然后将加密后的信息发送给接收者。

解密信息：接收者收到加密信息后，使用自己私钥来解密信息。只有使用正确的私钥才能成功解密信息。

优点

密钥管理简单：由于公钥可以公开，因此发送方和接收方不需要通过安全的秘密管道交换密钥。这大大简化了密钥的管理过程。

安全性更高：即使公钥被公开，由于私钥保密且无法通过公钥轻易推导出来，因此可以有效防止信息被未经授权的第三方解密。

RSA密码体制

定义

RSA密码体制是一种非对称密码加密算法。非对称密码是指加密和解密使用不同的密钥。

具体而言，RSA使用一对密钥：一个公开的密钥（公钥）和一个私有的密钥（私钥）。

通过使用这两个不同的密钥，RSA不仅可以进行数据加密，还可以用于数字签名。

安全性依赖

RSA的安全性基于大素数分解。

这意味着RSA的公钥和私钥都是两个大素数（每个素数的十进制位数通常大于100）的函数。

大素数分解是指将一个非常大的整数分解为其素数因子的过程。这个过程在数学上被认为是极其困难的，尤其是在素数非常大的情况下。

因此，攻击者即使得到了公钥，也无法通过它推导出私钥，从而破解加密的信息。换句话说，攻击者需要解决的是将两个大素数相乘得到的数进行分解的问题，这个过程在现代计算能力下几乎是不可能完成的。

具体工作原理

公钥可以被广泛传播和公开，因为它不需要保密。

私钥必须保密，因为它用于解密由公钥加密的信息。

当某人想要向接收者发送加密信息时，该发送者使用接收者的公钥对信息进行加密。

接收者收到加密的信息后，使用自己的私钥将其解密。

这样，信息在传输过程中得到了保护，而发送者和接收者之间不需要先交换任何密钥。

数字签名

除了用于加密，RSA还可以用于生成和验证数字签名。数字签名可以解决否认、伪造、篡改及冒充等问题。

过程：

发送者使用自己的私钥对数据的散列值（消息摘要）进行签名。

接收者可以通过发送者的公钥来验证这个签名，从而确认信息的完整性和真实性，防止信息被篡改。

理解示例

假设Alice想要向Bob发送一个消息：

Bob公开公钥：Bob将其公钥公开在网络上的某个位置。

Alice加密消息：Alice使用Bob的公钥将消息加密为密文。

Alice发送密文：Alice将加密后的消息通过网络发送给Bob。

Bob解密消息：Bob收到密文后，使用自己的私钥将密文解密为原始消息。

在这一过程中，Alice不需要知道Bob的私钥，Bob也不需要知道Alice的密钥。只要Bob的私钥保密，即使他的公钥公开，Alice发送的信息仍然能够保持安全。

散列函数与数字签名

MD5散列算法

特点：

不同内容的报文具有不同的散列码，难以找到相同的散列码。

单向性，容易计算出散列码，难以从散列码反推原始报文。

报文的散列码无法预知。

固定长度的散列码，不管原始报文长度如何。

作用：用于检测报文的可靠性，通过比较接收报文的散列码与发送报文的散列码来判断报文是否被篡改。

数字签名技术

数字签名

目的：解决否认、伪造、篡改及冒充等问题，确保信息的完整性、真实性和发送者的不可否认性。

过程：初始化、签名产生、签名验证三个过程。

技术实现：主要采用对称加密技术和非对称加密技术，通过私钥签名和公钥验证来实现。

数字水印

定义：在原始数据中嵌入秘密信息来证实数据的所有权。

特点：鲁棒性强、安全性高、透明性好。

应用场景：版权保护、加指纹、标题与注释、篡改提示、使用控制等。

密钥分配中心与公钥基础设施

密钥分配中心（KDC）

功能：自动分配对称密钥，简化密钥管理。

工作流程：用户通过KDC获取其他用户的公钥或临时对称密钥，确保安全通信。

数字证书和公钥基础设施（PKI）

数字证书：用于建立公钥和持有相应私钥实体之间的关系，作为用户身份确认的证据。

PKI：提供公钥的管理服务，包括证书的申请、发布、撤销和更新等。

身份鉴别（Authentication）框架

鉴别（Authentication）的基本目的是防止其他实体占用和独立操作被鉴别实体的身份。鉴别提供了实体声称其身份的保证，只有在主体和验证者的关系背景下，鉴别才是有意义的。鉴别有两种重要的关系背景：一是实体由申请者来代表，申请者与验证者之间存在着特定的通信关系（如实体鉴别）；二是实体为验证者提供数据项来源。

鉴别方式主要基于以下 5 种：

已知的，如一个秘密的口令。拥有的，如 IC 卡、令牌等。不改变的特性，如生物特征。相信可靠的第三方建立的鉴别（递推）。环境（如主机地址等）。

鉴别信息是指申请者要求鉴别到鉴别过程结束所生成、使用和交换的信息。鉴别信息的类型有交换鉴别信息、申请鉴别信息和验证鉴别信息。

在某些情况下，为了产生交换鉴别信息，申请者需要与可信第三方进行交互。类似地，为了验证交换鉴别信息，验证者也需要同可信第三方进行交互。在这种情况下，可信第三方持有相关实体的验证 AI，也可能使用可信第三方来传递交换鉴别信息。实体也可能需要持有鉴别可信第三方中所使用的鉴别信息。

鉴别服务分为以下阶段：安装阶段、修改鉴别信息阶段、分发阶段、获取阶段、传送阶段、验证阶段、停活阶段、重新激活阶段、取消安装阶段。

在安装阶段，定义申请鉴别信息和验证鉴别信息。修改鉴别信息阶段，实体或管理者申请鉴别信息和验证鉴别信息变更（如修改口令）。在分发阶段，为了验证交换鉴别信息，把验证鉴别信息分发到各实体（如申请者或验证者）以供使用。在获取阶段，申请者或验证者可得到为鉴别实例生成特定交换鉴别信息所需的信息，通过与可信第三方进行交互或鉴别实体间的信息交换可得到交换鉴别信息。例如，当使用联机密钥分配中心时，申请者或验证者可从密钥分配中心得到一些信息，如鉴别证书。在传送阶段，在申请者与验证者之间传送交换鉴别信息。验证阶段，用验证鉴别信息核对交换鉴别信息。在停活阶段，将建立一种状态，使得以前能被鉴别的实体暂时不能被鉴别。在重新激活阶段，使在停活阶段建立的状态将被终止。在取消安装阶段，实体从实体集合中被拆除。

访问控制框架

访问控制（Access Control）决定在开放系统环境中允许使用哪些资源、在什么地方、由谁使用以及未授权访问的过程。在访问控制实施实例中，访问可以是对一个系统（即为一个系统的一部分）或对一个系统内部进行的。

基本访问控制功能示意图（图 18-19）

发起者：提交访问请求

AEF：访问控制实施功能，处理请求并作出判决

ADF：访问控制决策功能，基于访问控制策略规则作出判决

访问控制信息（ACI）

ACI（访问控制信息）用于访问控制目的，包括上下文信息。ADI（访问控制判决信息）是在做出特定访问控制判决时可供 ADF 使用的部分（或全部）。

访问控制决策过程

发起者 ADI：由绑定到发起者的 ACI 导出。

目标 ADI：由绑定到目标的 ACI 导出。

访问请求 ADI：来自 ADF 的安全域授权机构，用于解释 ADI 或 ADF 的其他输入。

ADF 判决：结合访问控制策略规则和上下文信息，作出允许或拒绝的判决。

访问控制策略规则

访问控制策略规则可以由以下几种访问控制判决信息（ADI）和上下文信息组成：

发起者位置、访问时间或使用中的特殊通信路径

策略的必要上下文信息

AEF 允许将访问请求传递给目标或采取其他措施

反病毒技术

计算机病毒

定义：通过修改其他程序使之包含病毒本身或其变体，借助使用者权限感染程序。

特征：感染性、潜伏性、可触发性、破坏性、人为性、衍生性。

分类：

引导区病毒（boot sector virus）

功能：这类病毒通常感染计算机的引导扇区（如硬盘的引导扇区或软盘的引导扇区），使得每次启动计算机时，病毒都会被加载到内存中，从而有机会进一步感染系统。

举例：假设你有一台计算机，病毒通过被感染的软盘或USB设备进入你的硬盘的引导扇区。当你下次启动电脑时，病毒会先于操作系统启动，它可以修改启动过程，导致系统无法正常运行或者传播到其他设备。

文件感染病毒（file infector virus）

功能：文件感染病毒会感染可执行文件，这些文件在运行时病毒会被加载到内存中并执行，从而可能影响系统的正常运行，并进一步感染其他文件。

举例：如果你下载了一个被感染的软件程序，每次你运行这个程序时，病毒也会随之运行，它可能会损害你的文件或者试图将自己复制到其他程序中，比如文档或图片编辑器。

宏病毒（Marco virus）

功能：宏病毒是设计用于在文档中运行的代码，可以自动执行，通常感染具有宏功能的文档，如Microsoft Word或Excel文件。

举例：如果你打开了一个包含恶意宏的Word文档，宏中的病毒代码会被执行，可能删除你的文档、盗取信息或自动发送该文档给你的联系人。

特洛伊木马（Trojan/Trojan Horse）

功能：特洛伊木马是一种表面上看起来无害甚至有益的软件，但实际上会执行恶意代码。它通常伪装成一个有用的程序或文件，诱骗用户安装并运行。

举例：想象你下载了一个声称能提高电脑性能的程序，实际上这个程序是特洛伊木马，它会在后台安装恶意软件，监视你的网络活动，或者窃取你的个人信息。

蠕虫病毒（Worm）

功能：蠕虫病毒能在网络中自我复制并传播，不需要宿主程序的帮助。它通常通过网络漏洞传播，寻找新的目标。

举例：假设有一种蠕虫病毒，它可以通过电子邮件附件自我复制。当你打开一个带有病毒的邮件附件时，病毒会自动发送至你的所有联系人的邮箱，继续传播下去。这种病毒不需要用户运行特定程序即可传播，因此危害巨大。

计算机病毒免疫原理

针对特定病毒的免疫：在文件中加入特定的免疫标志，阻止特定病毒的传染。

基于自我完整性检查：为可执行程序增加免疫外壳，记录恢复信息，检查程序大小和校验生成日期等，确保执行安全。

数据备份

备份类型

完全备份：备份全部文件夹，不依赖文件的存档属性，操作方便可靠。

差异备份：备份上一次完全备份后发生变化的文件，占用空间较多。

增量备份：仅备份上一次备份后变化的文件，备份时间短。

按需备份：根据需要选择性备份，灵活性高。

异地备份

作用：实现远程业务数据与本地业务数据同步，确保容灾能力。

注意事项：杀毒查毒、磁片质量检查、兼容性问题、磁盘性能检查等。

自动备份软件

自动备份精灵：支持网络和本机自动备份，定时备份，查看备份日志。

GHOST（Norton Ghost）：硬盘克隆工具，复制硬盘数据，进行系统安装和升级。

DiskWin：企业级备份软件，自动备份文件，全盘搜索变化文件，压缩打包上传。

新型备份解决方案

网络备份模式：这种模式下，共享磁带设备连接到网络，而不是直接连接到每台需要备份的服务器。这样做的优点是可以减少磁带驱动器的管理，因为只需要管理一个共享的设备，而不是多个分散的设备。同时，这种模式还能隔离应用数据流和备份数据流，避免备份过程对正常业务造成干扰。

想象一下，你有一个大箱子（磁带设备），你和你的几个朋友（不同的服务器或工作站）共享这个箱子来存东西。这样，你们就不需要各自管理一个箱子（独立的磁带驱动器），而且每个人存东西的时候不会互相干扰（隔离应用和备份流量）。这种方式的好处是节省空间和管理成本。

存储网络备份：通常指的是将数据直接备份到存储网络，如SAN（存储区域网络），而不是磁带设备。

这种备份方式是直接将数据备份到存储网络中的磁盘阵列或其他存储设备，而不是通过服务器的磁带驱动器。

这种方法可以减少服务器的CPU和资源占用，因为备份操作是在存储网络内部完成的，而不是通过服务器的CPU进行数据压缩和加密。

想象一下，你有一个专门的搬运工（磁带设备）来直接从你的房间（服务器）搬到地下室的大箱子（磁带库）。搬运工负责把东西搬出去，而你不需要亲自搬运（减少服务器CPU负载）。这种方式的好处是减轻了服务器的压力，让服务器可以专注于其他任务。

磁带间直接传输备份：方法指的是利用SCSI的扩展复制命令，直接在磁带设备之间传输数据。

通过这种方式，数据可以在磁带设备间自动复制，而不需要服务器的参与。

这可以大大减少备份过程中对服务器资源的需求，提高备份速度，同时简化备份管理。

假设你有两个地下室的大箱子（磁带设备），你希望把一个箱子中的东西直接复制到另一个箱子中。你可以让搬运工（通过SCSI扩展复制命令）来完成这个任务，搬运工自己知道怎么操作，而你不需要指挥搬运工的每一个动作（减少服务器参与）。这种方式的好处是进一步减少了服务器的工作量，让数据传输更加智能和高效。

DR灾难恢复

DR（Disaster Recovery）灾难恢复是指在遭遇自然灾害、人为失误、网络攻击等突发性灾难事件时，保障信息系统数据完整性、业务连续性的一系列技术、策略与流程。

1992 年 Anaheim 的 SHARE78，M028 会议报告中阐述的异地远程恢复七个层次如下：

0级：无异地备份。数据仅在本地备份，未制定灾难恢复计划，成本最低但不具备真正的灾难恢复能力。1级：实现异地备份。关键数据备份到磁带等介质后送往异地存储，但异地无备份中心或数据处理系统，恢复依赖于硬件平台的重新搭建。2级：热备份站点备份。异地有热备份站点，可快速接管应用，恢复生产，但数据可能存在延迟。3级：在线数据恢复。通过网络备份关键数据至异地，提高了恢复速度，但对网络要求较高，成本增加。4级：定时数据备份。通过自动化软件定时备份数据至异地，数据丢失和恢复时间根据备份策略而定。5级：实时数据备份。使用镜像技术和数据复制技术实现实时备份，数据丢失极小，恢复时间缩短至分钟或秒级。6级：零数据丢失。最高级别的灾难恢复，通过专用存储网络同步镜像数据至备份中心，实现零数据丢失和快速业务接管。

安全管理方面的技术

目标：确保网络持续正常运行，及时响应和排除故障。

安全管理（Security Management, SM），它包括的内容非常多，主要涵盖了安全设备的管理、安全策略管理、安全风险控制和安全审计等几个方面。

（1）安全设备管理：是指对网络中所有的安全产品，如防火墙、VPN、防病毒、入侵检测（网络、主机）和漏洞扫描等产品实现统一管理、统一监控。

（2）安全策略管理：是指管理、保护及自动分发全局性的安全策略，包括对安全设备、操作系统及应用系统的安全策略的管理。

（3）安全分析控制：确定、控制并消除或缩减系统资源的不定事件的总过程，包括风险分析、选择、实现与测试、安全评估及所有的安全检查（含系统补丁程序检查）。

（4）安全审计：对网络中的安全设备、操作系统及应用系统的日志信息收集汇总，实现对这些信息的查询和统计；并通过对这些集中信息的进一步分析，可以得出更深层次的安全分析结果。

安全管理主要解决以下问题

1）集中化的安全策略管理（Centralized Security Policy Management, CSPM）企业的安全保障需要自上而下地制定安全策略，这些安全策略会被传送并装配到不同的执行点（Enforcement Point）中。

2）实时安全监视（Real-Time Security Awareness, RTSA）企业用户实时了解企业网络内的安全状况。

3）安全联动机制（Contain Mechanism, CM）安全设备之间需要具备有中心控制或无中心控制的安全联动机制，即当IDS发现在某网段有入侵动作时，它需要通知防火墙阻断此攻击。

4）配置与补丁管理（Configuration and Patching Management）企业用户可以通过对已发现的安全缺陷快速反应，大大提高自己抵抗风险的能力。

5）统一的权限管理（Privilege Management across the Enterprise）通过完善的权限管理和身份认证实现对网络资源使用的有效控制和审计。

安全性规章

信息系统安全制度：涉及实体安全、网络通信安全、软件与信息安全、管理组织与制度安全、安全技术措施。

计算机防毒制度：禁止制作、传播计算机病毒，确保计算机信息系统的使用单位履行防病毒职责。

信息安全保障体系

建立统一的身份认证体系确保交换双方的身份确认。建立统一的信息安全管理体系对所有信息实体进行集中的管理。建立规范的信息安全保密体系提供技术解决方案和相应的管理制度。建立完善网络边界防护体系防止外部对内部网络的攻击。信息安全立法与组织通过法律和技术手段保障信息安全。

信息安全的范围

设备安全:信息系统安全的物质基础;包含:设备的稳定性;设备的可靠性;设备的可靠性数据安全:数据的秘密性;数据的完整性;数据的可用性内容安全:信息在政治,法律,道德上的要求行为安全:秘密性;完整性;可控性

网络安全措施的目标

访问控制:确保对方有权做应该做的事情认证:确保对方资源对完整性:确保接受的信息和发送的一致审计:确保不可抵赖性保密:确保敏感信息不被窃听

网络攻击

主动攻击：包含攻击者访问他所需信息的故意行为。比如通过远程登录到特定机器的邮件端口以找出企业的邮件服务器的信息:伪造无效ip地址去连接服务器，使接受到错误ip地址的系统浪费时间去连接那个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情。

拒绝服务攻击 (DoS): 攻击者通过向目标系统发送大量请求，使其超负荷运行，导致正常用户无法访问服务（SYN Flood攻击）。考点

分布式拒绝服务攻击 (DDoS): 类似于DoS攻击，但是使用多个来源的攻击流量，更难以阻止。

信息篡改: 攻击者在传输过程中修改数据，可能导致数据泄露、篡改或破坏。

资源耗尽: 攻击者通过消耗系统资源，如带宽、内存或处理器，使系统无法正常运行。

欺骗: 攻击者通过虚假信息或手段欺骗用户或系统，获取信息或权限（IP欺骗攻击）。

伪装: 攻击者伪装成合法用户或系统，以获取未经授权的访问或执行恶意操作。

重放攻击: 攻击者重复发送已经捕获的有效数据包，以欺骗系统或获取未经授权的访问。考点

IP地址欺骗

被动攻击：主要是收集信息而不是进行访问，数据的合法用户对这种活动点也不会觉察到。

嗅探：指通过监视网络上的数据流量来获取信息的行为。嗅探工具可以捕获网络上的数据包，从中提取有用的信息，例如用户名、密码等。

信息收集：是指在进行网络侦察或攻击前，搜集目标系统或网络的相关信息，以便更好地了解目标，制定攻击策略。

流量分析：是指对网络流量进行分析和监控，以便识别异常流量、攻击行为或其他安全问题。流量分析可以帮助网络管理员及时发现并应对潜在的安全威胁。（考点）

系统干涉：是指对目标系统进行干扰、破坏或控制的行为。系统干涉可能包括入侵系统、篡改数据、破坏系统功能等操作。考点

安全模型

安全模型的分类逻辑：从机密性和完整性两个维度对安全模型进行分类。

1.机密性维度：包含访问控制和信息流两类模型。信息流模型关注非干扰性、非观察性等特性：“防止信息偷偷被泄露”。访问控制分为三类：

强制访问控制（MAC-Mandatory Access Control，如 BLP 模型、Chinese Wall 模型）：系统强制对主体和客体分配安全标签，严格控制访问权限

自主访问控制（DAC-Discretionary Access Control）：主体自主决定对客体的访问权限，常见于普通操作系统

基于角色的访问控制（RBAC-Role-Based Access Control 角色）：通过角色关联用户与权限，简化权限管理

2.完整性维度：典型模型有 Biba 模型、Clark-Wilson 模型。

3.基础模型：HRU（访问控制矩阵模型）：它不规定 “怎么设权限”，只是把所有权限关系整理成一个 “矩阵清单”，是所有访问控制模型的基础。

1. 状态机模型

状态机模型是信息安全领域用于描述系统安全状态与状态转换规则的核心理论，它将系统抽象为 “状态集合 + 状态转移规则” 的数学模型，确保系统在任何时刻都处于安全状态。

核心定义：系统的 “安全快照”

状态（State）：系统在某一时刻的 “快照”，包含所有与安全相关的变量（如用户权限、数据访问状态）。若快照满足安全策略（如 “普通员工不能访问机密文件”），则该状态为安全状态。

状态转移（State Transition）：系统因用户操作、内部事件等发生的状态变化（如用户登录成功后，权限状态从 “未授权” 变为 “已授权”）。

安全状态机：系统从一个安全状态启动，且所有状态转移都保持安全 —— 即 “初始安全→过程安全→始终安全”。

状态机模型是众多经典安全模型的理论基础，最具代表性的是 Bell-LaPadula（BLP）模型 和 Biba 模型：

Bell-LaPadula 模型（BLP 模型）（机密性保护）

核心原理：通过 “状态机 + 信息流控制” 防止高机密信息泄露。专注于机密性保护，采用 “强制访问控制（MAC）” 机制，定义 “安全级别”（如绝密、机密、秘密），用户和文件都被标记级别；Bell-LaPadula（BLP）模型安全规则：

规则名称	核心逻辑（通俗解读）	应用价值
简单安全规则（Simple Security Rule）	安全级别高的主体（如 “绝密” 权限的用户），不能读取安全级别低的客体（如 “机密” 级别的文件）	防止高权限用户 “降级” 读取低密级信息，从源头避免机密信息泄露
星属性安全规则（Star Security Property）	安全级别高的主体，不能向安全级别低的客体写入数据	防止高密级信息被 “下写” 到低密级载体中，避免通过数据写入的方式泄露机密
强星属性安全规则（Strong Star Security Property）	不允许对跨安全级别进行 “读 + 写” 操作	进一步强化星属性规则，杜绝高 – 低级别间的双向违规操作，保障机密性的严格性
自主安全规则（Discretionary Security Property）	通过 “访问控制矩阵” 定义自由存取控制，权限控制与内容、上下文相关	结合自主访问控制的灵活性，在强制访问控制的基础上，细化用户对资源的自主权限管理

应用场景：军事、政府等对机密性要求极高的领域（如美军的信息分级系统），确保敏感信息 “只在授权范围内流动”。

Biba 模型（完整性保护）：“不让不专业的人改重要文件，防止文件被改乱”

核心原理：与 BLP 模型互补，通过 “状态机 + 信息流控制” 防止数据被未授权修改，专注于完整性保护，定义 “完整性级别”（如高完整性、中完整性、低完整性），用户和数据都被标记级别；通过两条规则保障资源完整性：

不下读（No Read Down）：低完整性用户不能读取高完整性数据（如普通员工不能读财务总监的核心报表，防止低权限用户篡改高可信度数据）；

不上写（No Write Up）：低完整性用户不能向高完整性数据写入（如普通员工不能修改财务总监的报表，防止低可信度数据污染高完整性数据）。

规则名称	核心逻辑（通俗解读）	应用价值
星完整性规则（*-integrity Axiom）	完整性级别低的主体（如普通员工），不能对完整性级别高的客体（如核心财务数据）写入数据	防止低可信度的主体 / 数据污染高完整性的重要数据，保障核心数据的准确性（如金融系统的账户余额不被普通用户篡改）
简单完整性规则（Simple Integrity Axiom）	完整性级别高的主体，不能从完整性级别低的客体读取数据	防止高可信度主体读取低完整性数据后，自身数据完整性被污染（如财务总监不读取普通员工的非正式报表，避免错误信息干扰决策）
调用属性规则（Invocation Property）	完整性级别低的主体，不能从级别高的客体调用程序或服务	防止低完整性主体通过调用高完整性程序 / 服务，间接获取或篡改高完整性数据（如普通员工不能调用财务系统的核心服务，避免越权操作）

应用场景：金融、医疗等对数据完整性要求极高的领域（如银行账务系统），确保关键数据 “不被非法修改或污染”。

4. Clark-Wilson 模型：“改重要文件必须走流程，还得留记录”

核心原理：聚焦商业环境的完整性与问责制，通过 “受约束的数据项（CDI）”“受控的操作程序（CP）” 和 “责任主体（用户）” 三者的绑定，确保所有对关键数据的操作 “可审计、可追溯、符合业务规则”。例如，银行转账需通过预设的 “转账 CP” 执行，且操作过程被完整记录，防止违规篡改。

应用场景：企业财务、电商交易等业务系统，兼顾 “数据完整性” 和 “操作问责制”，满足合规审计要求。

5. Chinese Wall 模型（中国墙模型）

核心原理：解决利益冲突场景下的信息访问控制，将 “存在竞争关系的实体” 划分为不同 “利益组”，确保用户只能访问一个利益组内的信息，且无法同时访问存在冲突的多个利益组资源。例如，投资银行的分析师不能同时访问两家竞争公司的敏感信息，避免内幕交易。

访问客体控制规则 1	主体访问过某公司数据集后，可访问同公司数据集内的 “墙内信息”	保障同一公司数据的可访问性，同时通过 “墙” 隔离不同公司数据，避免利益冲突（如律师事务所员工访问 A 公司数据后，可继续访问 A 公司其他数据）
访问客体控制规则 2	属于完全不同利益冲突组的数据集可访问	允许主体在无利益冲突的不同组间切换访问（如律师事务所员工可访问与 A 公司无竞争的 B 公司数据）
访问客体控制规则 3	主体对某客体执行 “写操作” 的前提是，未访问过其他公司数据集	防止主体在不同公司数据集间 “写数据” 导致利益冲突（如律师不能同时为竞争公司 A 和 B 写策略文档）
定理 1	主体访问过一个客体后，仅能访问同公司数据集的客体	从逻辑上限定主体的访问范围，避免跨公司数据访问引发的利益冲突
定理 2	一个利益冲突组中，主体最多只能访问一个公司数据集	严格限制主体在利益冲突组内的访问，杜绝因访问多个竞争公司数据而产生的利益输送风险

应用场景：金融机构（如投行、基金公司）、法律咨询公司等需规避利益冲突的领域，保障业务的 “公平性与合规性”。

OSI安全体系架构

OSI（Open System Interconnection/Reference Model，开放系统互连参考模型）是国际化标准组织制定的开放式通信系统互联模型。目的是保障开放系统进程间远距离安全交换信息，为开放互联系统的安全问题提供一致性解决方法。基于 OSI 参考模型的 7 层协议，定义了 5 类安全服务、8 类安全机制及相应的 OSI 安全管理，可根据具体系统配置于 7 层协议中。

OSI 定义 7 层协议，除第 5 层（会话层）外，其余层均可提供安全服务。最适合配置安全服务的是物理层、网络层、运输层及应用层，其他层不宜配置。

5 类安全服务包括鉴别、访问控制、数据机密性、数据完整性和抗抵赖性。

鉴别服务：确认通信主体身份（如登录时的身份认证）；

访问控制服务：限制主体对资源的访问权限（如系统管理员与普通用户的权限区分）；

数据机密性服务：保障数据传输或存储时不被未授权者读取（如加密通信）；

数据完整性服务：确保数据在传输或存储过程中不被篡改（如数据校验）；

抗抵赖性服务：防止通信主体否认其行为（如电子签名）。

安全机制：包括加密、数字签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制、公证等，是实现安全服务的技术手段（如通过加密机制实现数据机密性服务）。

防御维度	具体说明
多点技术防御	针对内部或外部多点攻击，对多个核心区域进行防御以抵御各类攻击：- 网络和基础设施：保护局域网、广域网的可用性、机密性与完整性，抵御拒绝服务攻击、信息泄露等；- 边界：提供流量过滤、入侵检测等防御，抵御主动网络攻击；- 计算环境：对主机、工作站实施访问控制，抵御内部、近距离分布攻击。
分层技术防御	通过在对手与目标间部署多个防御机制（每种机制是唯一障碍，包含保护和检测方法），减少攻击成功概率。例如在外部和内部边界同时使用嵌套防火墙并配合入侵检测。
支撑基础设施	为网络、边界、计算环境的信息保障机制提供运行支撑，包括：- 公钥基础设施：提供安全服务（如信息加密、签名验证），确保信息安全创建、分发与管理；- 检测和响应基础设施：识别并响应安全事件，追踪攻击行为，还可分析安全趋势。
架构价值	强调信息系统安全保障需整合技术与非技术防御手段（人员、管理、流程等），为信息系统安全保障提供了 “技术 + 管理 + 人员” 的综合框架，广泛应用于企业、政务等信息系统的安全架构设计，助力构建全方位、多层次的安全防御体系。