精华内容
下载资源
问答
  • 1.3 信息系统安全保障概念与模型 满足不同需求具有各种功能的信息系统是信息化社会构成的基础,信息系统安全是确保信息系统结构与相关元素的安全,以及与此相关的各种安全技术、安全服务和安全管理的总和...

    本节书摘来自华章出版社《信息安全保障》一书中的第1章,第1.3节,作者 吴世忠 江常青 孙成昊 李华 李静,更多章节内容可以访问云栖社区“华章计算机”公众号查看

    1.3 信息系统安全保障概念与模型

    满足不同需求具有各种功能的信息系统是信息化社会构成的基础,信息系统安全是确保信息系统结构与相关元素的安全,以及与此相关的各种安全技术、安全服务和安全管理的总和。与信息安全相比,信息系统安全更具有体系性、可设计性、可实现性和可操作性。

    1.3.1 信息系统安全保障概念

    信息系统安全保障是在信息系统的整个生命周期中,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。
    image

    1.?信息系统
    信息系统是具有集成性的系统,每一个组织中信息流动的总和都构成了一个信息系统。可以认为,信息系统是根据一定的需要来进行输入、系统控制、数据处理、数据存储与输出等活动所涉及的所有因素的综合体,如图1-5所示。现代信息系统是以计算机为基础,包括人员、硬件、软件、数据4种基本资源。
    人员包括系统用户和系统专业人员。系统用户是信息系统的使用者,他们是利用信息系统或通过它产生信息的人;系统专业人员包括系统分析人员、程序编写人员与系统操作人员。系统分析人员根据用户的信息需求设计对应的信息系统;程序编写人员根据分析人员的说明书准备计算机程序;系统操作人员主要负责对信息系统的操作。
    硬件资源包括计算机系统和载体。计算机系统包括中央处理器及其相关的外部设备,如图像监控、磁盘驱动器、打印机和扫描仪等;载体包括数据资源的存储介质材料,如硬盘、磁带和光盘等。
    软件资源包括所有信息处理调用的指令,包括指示和控制计算机硬件的操作性指令(程序)和信息处理中使用的过程指令。程序包括操作系统程序、电子表格程序、文字处理程序等。过程包括数据输入流程、错误改正流程、数据传送流程等。
    数据资源包括:由数字、字母以及其他字符组成,描述组织活动和其他事情的字母数字型数据;句子与段落组成的文本数据;图形和图表形式的图像数据;记录人与其他声音的音频数据。
    满足不同需求的、具有各种功能的信息系统构成了信息化社会的基础,它提高了社会各个行业和部门的生产和管理效率,方便了人类的日常生活,推动了社会的发展前进。
    2.?信息系统安全保障
    信息系统处于不断变化的过程,在任何一个时间点上,系统安全状态与其过去的历史密切相关,过去决定现在。因此,信息系统安全保障是与信息系统的规划、设计、实现和运行等生命周期密切相关的。这些活动包括覆盖系统全生命周期的管理活动,系统从无到有的工程活动,系统从概念到设计的架构活动等。
    image

    图1-6说明信息系统安全保障中相关概念之间的关系。
    (1)风险
    信息安全风险产生的因素主要有信息系统自身存在的漏洞和来自系统外部的威胁。信息系统运行环境中存在具有特定威胁动机的威胁源,通过使用各种攻击方法,利用信息系统的各种脆弱性,对信息系统造成一定的不良影响,由此引发信息安全问题和事件。
    (2)保障
    信息安全保障就是针对信息系统在运行环境中所面临的各种风险,制定信息安全保障策略,在策略指导下,设计并实现信息安全保障架构或模型,采取技术、管理等安全保障措施,将风险控制到可接受的范围和程度,从而实现其业务使命。
    (3)使命
    描述了信息系统在设计、执行、测试、运行、维护、废弃整个生命周期中运行的需求和目标。信息系统的使命与其安全保障密不可分,需要通过信息系统安全措施来保障目标的正确执行。随着信息系统面临的威胁及运行环境的变化,安全保障也需要提供相应的保障措施,从而保障信息系统的正确运行。
    风险管理是信息安全保障工作的基本方法。信息安全保障应当以风险管理为基础,针对可能存在的各种威胁和自身弱点,采取有针对性的防范措施。信息安全不是追求绝对的安全,追求的是可管控的安全风险。最适宜的信息安全策略就是最优的风险管理对策,这是一个在有限资源前提下的最优选择问题。信息系统防范措施不足会造成直接损失,会影响业务系统的正常运行,也会造成不良影响和损失。也就是说,信息安全保障的问题就是安全的效用问题,要从经济、技术、管理的可行性和有效性上做出权衡和取舍。

    1.3.2 信息系统安全保障模型

    在国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T 20274.1—2006)中描述了信息系统安全保障模型,该模型包含保障要素、生命周期和安全特征3个方面,如图1-7所示。
    其中,安全特征是指信息系统是信息产生、传输、存储和处理的载体,信息系统保障的基本目标就是保证其所创建、传输、存储和处理信息的保密性、完整性和可用性;生命周期是指信息系统安全保障应贯穿信息系统的整个生命周期,包括规划组织、开发采购、实施交付、运行维护和废弃5个阶段,以获得信息系统安全保障能力的持续性;保障要素是指信息系统安全保障需要从技术、工程、管理和人员4个领域进行综合保障,由合格的信息安全专业人员,使用合格的信息安全技术和产品,通过规范、可持续性改进的工程过程能力和管理能力进行建设及运行维护,保障信息系统安全。
    image

    由图1-7可以看出,该信息系统安全保障模型将风险和策略作为信息系统安全保障的基础和核心。首先,强调信息系统安全保障持续发展的动态安全模型,即信息系统安全保障应该贯穿于整个信息系统生命周期的全过程;其次,强调综合保障的观念,信息系统的安全保障是通过综合技术、管理、工程与人员的安全保障来实施和实现信息系统的安全保障目标,通过对信息系统的技术、管理、工程和人员的评估,提供对信息系统安全保障的信心;第三,以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征,达到保障组织机构执行其使命的根本目的。
    在这个模型中,更强调信息系统所处的运行环境、信息系统的生命周期和信息系统安全保障的概念。信息系统生命周期有各种各样的模型,信息系统安全保障模型中的信息系统生命周期模型是基于这些模型的一个简单、抽象的概念性说明模型,它的主要用途在于对信息系统生命周期模型及保障方法进行说明。在信息系统安全保障具体操作时,可根据实际环境和要求进行改动和细化。强调信息系统生命周期,是因为信息安全保障是要达到覆盖整个生命周期的、动态持续性的长效安全,而不是仅在某时间点下保证安全性。
    1.?信息系统安全保障安全特征
    信息安全保障的安全特征就是保护信息系统所创建、传输、存储和处理信息的保密性、完整性和可用性等安全特征不被破坏。但信息安全保障的目标不仅仅是保护信息和信息处理设施等资产的安全,更重要的是通过保障资产的安全来保障信息系统的安全,进而来保障信息系统所支撑业务的安全,从而达到实现组织机构使命的目的。
    2.?信息系统安全保障生命周期
    在信息系统安全保障模型中,信息系统的生命周期和保障要素不是相互孤立的,它们相互关联、密不可分,图1-8为信息系统安全保障生命周期的安全保障要素。
    信息系统的整个生命周期可以抽象成计划组织、开发采购、实施交付、运行维护和废弃五个阶段,在运行维护阶段变更,以产生反馈,形成信息系统生命周期完整的闭环结构。在信息系统生命周期中的任何时间点上,都需要综合信息系统安全保障的技术、管理、工程和人员保障要素。下面分别对这五个阶段进行简要介绍。
    image

    (1)计划组织阶段
    单位的使命和业务要求产生了信息系统安全保障建设和使用的需求。在此阶段,信息系统的风险及策略应加入至信息系统建设和使用的决策中,从信息系统建设开始就应该综合考虑系统的安全保障要求,使信息系统的建设和信息系统安全建设同步规划、同步实施。
    (2)开发采购阶段
    开发采购阶段是计划组织阶段的细化、深入和具体体现。在此阶段,应进行系统需求分析、考虑系统运行要求、设计系统体系以及相关的预算申请和项目准备等管理活动,克服传统的、基于具体技术或产品的片面性,基于系统需求、风险和策略,将信息系统安全保障作为一个整体进行系统的设计和建设,建立信息系统安全保障整体规划和全局视野。组织可以根据具体要求,评估系统整体的技术、管理安全保障规划或设计,保证对信息系统的整体规划满足组织机构的建设要求和国家、行业或组织机构的其他要求。
    (3)实施交付阶段
    在实施交付阶段,单位可以对承建方的安全服务资格和信息安全专业人员资格有所要求,确保施工组织的服务能力,还可以通过信息系统安全保障的工程保障对施工过程进行监理和评估,确保最终交付系统的安全性。
    (4)运行维护阶段
    信息系统进入运行维护阶段后,需要对信息系统的管理、运行维护和使用人员的能力等方面进行综合保障,这是信息系统得以安全、正常运行的根本保证。此外,信息系统投入运行后并不是一成不变的,它随着业务和需求的变更、外界环境的变更产生新的要求或增强原有的要求,重新进入信息系统的计划组织阶段。
    (5)废弃阶段
    当信息系统的保障不能满足现有要求时,信息系统进入废弃阶段。
    通过在信息系统生命周期的所有阶段融入信息系统安全保障概念,确保信息系统的持续动态安全保障。
    3.?信息系统安全保障要素
    在空间维度上,信息系统安全需要从技术、工程、管理和人员4个领域进行综合保障。在安全技术方面,不仅要考虑具体的产品和技术,更要考虑信息系统的安全技术体系架构;在安全管理方面,不仅要考虑基本安全管理实践,更要结合组织特点建立相应的安全管理体系,形成长效和持续改进的安全管理机制;在安全工程方面,不仅要考虑信息系统建设的最终结果,更要结合系统工程的方法,注重工程过程各个阶段的规范化实施;在人员安全方面,要考虑与信息系统相关的所有人员(包括规划者、设计者、管理者、运行维护者、评估者、使用者等)所应具备的信息安全专业知识和能力。
    (1)信息安全技术
    常用信息安全技术主要包括以下类型。
    1)密码技术:密码技术及应用涵盖了数据处理过程的各个环节,如数据加密、密码分析、数字签名、身份识别和秘密分享等。通过以密码学为核心的信息安全理论与技术来保证达到数据的机密性和完整性等要求。
    2)访问控制技术:访问控制技术是在为用户提供系统资源最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用。访问控制对经过身份鉴别后的合法用户提供所需要的且经过授权的服务,拒绝用户越权的服务请求,保证用户在系统安全策略下有序工作。
    3)网络安全技术:网络安全技术包括网络协议安全、防火墙、入侵检测系统/入侵防御系统(Intrusion Prevention System,IPS)、安全管理中心(Security Operations Cente,SOC)、统一威胁管理(Unified Threat Management,UTM)等。这些技术主要是保护网络的安全,阻止网络入侵攻击行为。防火墙是一个位于可信网络和不可信网络之间的边界防护系统。防病毒网关对基于超文本传输协议(Hypertext Transfer Protocol,HTTP)、文件传输协议(File Transfer Protocol,FTP)、简单邮件传送协议(Simple Mail Transfer Protocol,SMTP)、邮局协议版本3(Post Office Protocol 3,POP3)、安全超文本传输协议(Hypertext Transfer Protocol over Secure Socket Layer,HTTPS)等入侵网络内部的病毒进行过滤。入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报的网络安全设备。入侵防御系统是监视网络传输行为的安全技术,它能够即时的中断、调整或隔离一些异常或者具有伤害性的网络传输行为。
    4)操作系统与数据库安全技术:操作系统安全技术主要包括身份鉴别、访问控制、文件系统安全、安全审计等方面。数据库安全技术包括数据库的安全特性和安全功能,数据库完整性要求和备份恢复,以及数据库安全防护、安全监控和安全审计等。
    5)安全漏洞与恶意代码防护技术:安全漏洞与恶意代码防护技术包括减少不同成因和类别的安全漏洞,发现和修复这些漏洞的方法;针对不同恶意代码加载、隐藏和自我保护技术的恶意代码的检测及清除方法等。
    6)软件安全开发技术:软件安全开发技术包括软件安全开发各关键阶段应采取的方法和措施,减少和降低软件脆弱性以应对外部威胁,确保软件安全。
    (2)信息安全管理
    信息安全管理主要包含以下内容。
    1)信息安全管理体系。信息安全管理体系是整体管理体系的一部分,也是组织在整体或特定范围内建立信息安全方针和目标,并完成这些目标所用方法的体系。基于对业务风险的认识,信息安全管理体系包括建立、实施、运作、监视、评审、保持和改进信息安全等一系列管理活动,它是组织结构、方针策略、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。
    2)信息安全风险管理。信息安全管理就是依据安全标准和安全需求,对信息、信息载体和信息环境进行安全管理以达到安全目标。风险管理贯穿于整个信息系统生命周期,包括背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询6个方面的内容。其中,背景建立、风险评估、风险处理和批准监督是信息安全风险管理的4个基本步骤,监控审查和沟通咨询则贯穿于这4个基本步骤的始终。
    3)信息安全控制措施。信息安全控制措施是管理信息安全风险的具体手段和方法。将风险控制在可接受的范围内,这依赖于组织部署的各种安全措施。合理的控制措施集应综合技术、管理、物理、法律、行政等各种方法,威慑安全违规人员甚至犯罪人员,预防、检测安全事件的发生,并将遭受破坏的系统恢复到正常状态。确定、部署并维护这种综合全方位的控制措施是组织实施信息安全管理的重要组成部分。通常,组织需要从安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个方面,综合考虑部署合理的控制措施。
    4)应急响应与灾难恢复。部署信息安全控制措施的目的之一是防止发生信息安全事件,但由于信息系统内部固有的脆弱性和外在的各种威胁,很难彻底杜绝信息安全事件的发生。所以,应及时有效地响应与处理信息安全事件,尽可能降低事件损失,避免事件升级,确保在组织能够承受的时间范围内恢复信息系统和业务的运营。应急响应工作管理过程包括准备、检测、遏制、根除、恢复和跟踪总结6个阶段。信息系统灾难恢复管理过程包括灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现及灾难恢复预案制定与管理4个步骤。应急响应与灾难恢复关系到一个组织的生存与发展。
    5)信息安全等级保护。信息安全等级保护是我国信息安全管理的一项基本制度。它将信息系统按其重要程度以及受到破坏后对相应客体(即公民、法人和其他组织的)合法权益、社会秩序、公共利益和国家安全侵害的严重程度,将信息系统由低到高分为5级。每一保护级别的信息系统需要满足本级的基本安全要求,落实相关安全措施,以获得相应级别的安全保护能力,对抗各类安全威胁。信息安全等级保护的实施包括系统定级、安全建设整改、自查、等级测评、系统备案、监督检查6个过程。
    (3)信息安全工程
    规范的信息安全工程过程包括发掘信息保护需要、定义信息系统安全要求、设计系统安全体系结构、开发详细安全设计和实现系统安全5个阶段及相应活动,同时还包括对每个阶段过程信息保护有效性的评估。
    信息系统安全工程(Information System Security Engineering,ISSE)是一种信息安全工程方法,它从信息系统工程生命周期的全过程来考虑安全性,以确保最终交付的工程的安全性。
    系统安全工程能力成熟度模型(Systems Security Engineering Capability Maturity Model,SSE-CMM)描述了一个组织的系统安全工程过程必须包含的基本特征,这些特征是完善的安全工程保证,也是系统安全工程实施的度量标准,同时还是一个易于理解的评估系统安全工程实施的框架。应用SSE-CMM可以度量和改进工程组织的信息安全工程能力。
    信息安全工程监理,是信息安全工程实施过程中一种常见的保障机制。
    (4)信息安全人员
    在信息安全保障诸要素中,人是最关键也是最活跃的要素。网络攻防对抗,最终较量的是攻防双方人员的能力。组织机构应通过以下几方面的努力,建立一个完整的信息安全人才体系。
    对所有员工,进行信息安全保障意识教育,诸如采取内部培训、在组织机构网站上发布相关信息等方式,增强所有员工的安全意识;对信息系统应用岗位的员工,进行信息安全保障基本技能培训;对信息安全专业人员,应通过对信息安全保障、管理、技术、工程,以及信息安全法规、政策与标准等知识的学习,全面掌握信息安全的基本理论、技术和方法,丰富的信息安全经验需要通过该岗位的长期工作积累获得;信息安全研发人员,除了需要具备信息安全基本技能外,还应培训其安全研发相关知识,包括软件安全需求分析、安全设计原则、安全编码、安全测试等内容;信息安全审计人员,则需要通过培训使其掌握信息安全审计方法、信息安全审计的规划与组织、信息安全审计实务等内容。
    思考题
    1.?在各个信息安全发展阶段,组织面临的主要威胁与采取的主要防护措施有什么不同?信息安全的发展趋势是怎样的?
    2.?信息安全问题产生的根本原因有哪些?这些原因之间的关系如何?
    3.?信息安全保障要素有哪些?这些保障要素与信息系统生命周期之间的关系如何?
    4.?利用P2DR模型进行信息安全保障的思想和原理是什么?
    5.?如何理解信息安全保障技术框架的深度防御战略?

    展开全文
  • 国家标准GB/T20274定义了信息系统安全技术保障要素集,并建议以能力成熟度等级的形式度量信息系统安全技术保障性。本文首先对安全技术保障度量的能力成熟度等级进行量化处理;其次将信息系统组件的安全技术保障性...
  • 依据信息系统中组件组合后的相互关系将信息系统安全技术保障要素划分为组合独立性安全技术保障要素、组合互补性安全技术保障要素以及组合关联性安全技术保障要素,并且通过引入访问路径的定义和组件之间的依赖和关联...
  • 在国家标准GB/T20274.1-2006《信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型》中,信息系统安全保障模型包括哪几个方面: A 保障要素、生命周期和运行维护 B 保障要素、生命周期和安全特征 C ...

    在国家标准GB/T20274.1-2006《信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型》中,信息系统安全保障模型包括哪几个方面:

    A 保障要素、生命周期和运行维护

    B 保障要素、生命周期和安全特征

    C 规划组织、生命周期和安全特征

    D 规划组织、生命周期和运行维护

    正确答案:

    B 保障要素、生命周期和安全特征

    解析:

    注意标红的字《信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型》,肯定选B啦~

    展开全文
  • 信息安全保障概述 信息安全的基本属性完整性性可用性可控制性不可否认性 信息安全保障体系框架 生命周期规划组织开发采购实施交付运行维护废弃保障要素技术管理工程人员 安全特征性完整性可用性 信息系统安全模型 ...
  • 信息系统安全 总结提纲

    千次阅读 2020-12-29 00:04:22
    常见的威胁信息系统安全的概念信息系统安全的实质基于信息保障信息系统安全概念信息系统脆弱性的表现Analog Attack 的基本思想攻防不对称性拟态主动防御5G 对信息系统安全带来的挑战CMM框架云计算安全架构安全需求...

    信息系统安全 期末总结提纲

    信息系统概论

    什么是信息系统

    信息系统,用于收集、存储和处理数据以及传递信息、知识和数字产品的一套集成组件。商业公司和其他组织依靠信息系统来执行和管理他们的运作,与他们的客户和供应商互动,并在市场中竞争。

    信息系统是支持数据密集型应用程序的软件和硬件系统。

    信息系统安全与信息安全的区别

    信息系统安全是指信息网络的硬件、软件及其系统中的数据收到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断;信息安全指的是保障信息的保密性、完整性、可用性、可控性、不可否认性。

    信息系统的例子

    管理信息系统:最大限度的利用现代计算机及网络通信技术加强企业信 息管理,通过对企业拥有的人力、物力、财力、设备、 技术等资源的调查了解,建立正确的数据,加工处理并编制成各种信息资料及时提 供给管理人员,以便进行正确的决策,不断提高企业的管理水平和经济效益。

    数据处理系统:对数据进行加工(如清洗、去噪等)、整理(如分类等)、计算(数值计算、统计分析、 模型模拟等)及实现数据可视化(如画图、制表等)的人机系统。

    决策支持系统:为决策者提供所需的数据、信息和背景资料,帮助明确决策目标和进行问题的识别,建立或修改决策模 型,提供各种备选方案,并且对各种方案进行评价和优选,通过人机交互功能进行分析、比较和判断,为正确的决策提供必要的支持。

    电子商务系统:交易各方以电子交易方式而不是通过直接面谈方式进行的任何形式的商业交易,包括交换数据(如电子数据交换、电子邮件)、获得数据(如共享数据库、 电子公告牌)以及自动捕获数据(如条形码)等, 其目的是对整个贸易活动实现电子化。

    办公自动化系统:使人们的一部分办公业务借助于各种设备并由这些设备与办公人员构成服务于某种目标的人机信息处理系统。

    智慧地球分成三个要素:物联化互联化智能化

    信息系统发展趋势

    大型化 复杂化:以信息技术和通信技术为支撑,规模庞大,分布广阔,采用多级网络结构,跨越多个安全域,处理海量的、复杂且形式多样的数据,提供多种类型应用的大系统。

    与大数据的结合、和物联网的结合、和5G的结合、和人工智能的结合、和工业互联网的结合

    信息系统的架构

    单机架构:随着用户数的增长,Tomcat和数据库之间竞争资源,单机性能不足以支撑业务
    Tomcat与数据库分开部署:随着用户数的增长,并发读写数据库成为瓶颈
    引入本地缓存和分布式缓存:缓存扛住了大部分的访问请求,随着用户数的增长,并发压力主要落在单机的Tomcat上,响 应逐渐变慢。
    引入反向代理实现负载均衡:反向代理使应用服务器可支持的并发量大大增加,但并发量的增长也意味着更多请求穿透到数据库,单机的数据库最终成为瓶颈。
    数据库读、写分离:业务逐渐变多,不同业务之间的访问量差距较大,不同业务直接竞争数据库,相互影响性能。
    数据库按业务分库:随着用户数的增长,单机的写库会逐渐会达到性能瓶颈。
    把大表拆分为小表:数据库和Tomcat都能够水平扩展,可支撑的并发大幅提高, 随着用户数的增长,最终单机的Nginx会成为瓶颈。
    使用LVS或F5使多个Nginx负载均衡:由于LVS也是单机的,随着并发数增长到几十万时,LVS服务器最终会达到瓶颈,此时用户数达到千万甚至上亿级别,用户分布在不同的地区,与服务器机房距离不同,导致了访问的延迟会明显不同Nginx会成为瓶颈。
    通过DNS轮询实现机房间的负载均衡:随着数据的丰富程度和业务的发展,检索、分析等需求越来越丰富, 单单依靠数据库无法解决如此丰富的需求。
    引入NoSQL数据库和搜索引擎等技术:引入更多组件解决了丰富的需求,业务维度能够极大扩充,随之而来的是一个应用中包含了太多的业务代码,业务的升级迭代变得困难。
    大应用拆分为小应用:不同应用之间存在共用的模块,由应用单独管理会导致相同代码存在多份,导致公共功能升级时全部应用代码都要跟着升级。
    复用的功能抽离成微服务:不同服务的接口访问方式不同,应用代码需要适配多种访问方式才能使用服务。此外,应用访问服务,服务之间也可能相互访问,调用链将会变得非常复杂,逻辑变得混乱。
    引入容器化技术实现运行环境隔离与动态服务管理:使用容器化技术后服务动态扩缩容问题得以解决,但是机器还是需要公司自身来管理,在非大促的时候,还是需要闲置着大量的机器资源来应对大促, 机器自身成本和运维成本都极高,资源利用率低。
    以云平台承载系统:以上所提到的从高并发访问问题,到服务的架构和系统实施的层面都有了各自的解决方案。 针对更复杂的问题, 还需考虑诸如跨机房数据同步、分布式事务实现等实际问题。

    边缘计算和云计算互相协同

    二者是彼此优化补充的存在,共同使能行业数字化转型。云计算是一个统筹者,它负责长周期数据的大数据分析,能够在周期性维护、业务决策等领域运行。边缘计算着眼于实时、短周期数据的分析,更好地支撑本地业务及时处理执行。边缘计算靠近设备端,也为云端数据采集做出贡献,支撑云端应用的大数据分析,云计算也通过大数据分析输出业务规则下发到边缘处,以便执行和优化处理。

    如何解决秒杀技术瓶颈

    将请求拦截在系统上游,降低下游压力:秒杀系统特点是并发量极大,但实际秒杀成功的请求数量却很少,所以如果不在前端拦截很可能造成数据库读写锁冲突,甚至导致死锁,最终请求超时。

    充分利用缓存(Redis):利用缓存可极大提高系统读写速度。

    消息中间件(ActiveMQ 、Kafka等):消息队列可以削峰,将拦截大量并发请求,这是一个异步处理过程,后台业务根据自己的处理能力,从消息队列中主动的拉取请求消息进行业务处理。

    为什么存在架构的复杂性问题

    体系结构是信息系统的基本结构,它的复杂性直接影响着系统的复杂性。在体系结构设计阶段有效控制复杂性,不仅可以减小系统实现的难度、降低成本,而且对提高系统可靠性等也有一定的帮助。因此,对体系结构的复杂性进行度量和评价,对于系统的设计和决策非常重要。通过对体系结构复杂性的研究,对复杂性给出合适的定义和度量方法,就可以采取有效的措施来降低系统复杂性,减小复杂性所带来的不利影响。

    如何度量信息系统的复杂度

    Halstead 复杂性度量:Halstead把程序看成由可执行的代码行的词汇(操作符和操作数)组成的符号序列。设 n1 表示程序中不同运算符的个数, n2 表示程序中不同操作数的个数,令 H 表示程序的预测长度,

    Halstead给出 H的计算公式为:
    H = n 1 l o g 2 n 1 + n 2 l o g 2 n 2 H= n_1 log_2 n_1 + n_2 log_2 n_2 H=n1log2n1+n2log2n2
    Halstead的重要结论之一是:程序的实际长度 N与预测长度非常接近。

    McCabe度量法:McCabe度量用程序流图的圈数(cycloramic number)来测量程序的复杂 性,并基于程序控制论和图论提出了经典的McCabe圈复杂性度量理论。
    在这里插入图片描述
    复杂度:
    流图中的区域数:4(上图中用方框标注的)
    流图G的环形复杂度V(G)=E-N+2,其中E是流图中边的条数,N是结点数。本例中:12-10+2=4
    流图G的环形复杂度V(G)=P+1,其中P是流图中判定结点的数目。本例中3+1=4(判定节点是2,4,7)

    信息系统安全概述

    信息系统安全威胁,常见的威胁

    信息系统安全威胁是指对于信息系统的组成要素及其功能造成某种损害的潜在可能。
    在这里插入图片描述

    信息系统安全的概念

    信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。

    信息系统安全的实质

    安全=及时的检测和处理 Pt(保护)>Dt(检测)+ Rt(反应)

    防护时间Pt:黑客在到达攻击目标之前需要攻破很多的设备(路由器,交换机)、系统(NT,UNIX)和防火墙等障碍,在黑客达到目标之前的时间;
    在黑客攻击过程中,我们检测到他的活动的所用时间称之为Dt,检测到黑客的行为后,我们需要作出响应,这段时间称之为Rt.
    假如能做到Dt+Rt<Pt,那么我们可以说我们的目标系统是安全的。

    基于信息保障的信息系统安全概念

    信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命 。

    信息系统脆弱性的表现

    硬件组件:信息系统硬件组件的安全隐患多来源于设计,主要表现为物理安全方面的问题。

    软件组件:软件组件的安全隐患来源于设计和软件工程中的问题。 漏洞;不必要的功能冗余引起安全脆弱性;未按安全等级要求进行模块化设计,安全等级不能达到预期

    网络和通信协议:TCP/IP协议族本身的缺陷。基于TCP/IP协议Internet的安全隐患,缺乏对用户身份的鉴别、缺乏对路由协议的鉴别认证、TCP/UDP的缺陷。

    Analog Attack 的基本思想

    恶意攻击者不在应用程序或者操作系统的底层植入后门了,而是在计算机的处理器芯片中植入后门,这种基于“硅元素”的后门很难被发现。计算机芯片中有着数以亿计的元件,如果想要找出这样的一种单一组件(后门程序),可以算得上是大海捞针了。让问题更加严重的就是,计算机芯片中的每一个组件其大小甚至都不到人类头发丝直径的千分之一。这种后门程序被设计成了一种电容,而这种能够临时存储电荷的恶意容器件是很难被检测到的。

    攻防不对称性

    攻击者:攻击可以在任意时刻发起、攻击可以选择一个薄弱点进行、攻击包含了对未知缺陷的探测、攻击常在暗处,具隐蔽性、攻击可以肆意进行

    防御者:防御必须随时警惕、防御必须全线设防、防御只能对已知的攻击防御、防御常在明处,表面看起来完美,使人容易疏忽,丧失警惕、防御必须遵循一定的规则。

    拟态主动防御

    拟态:是自然界中一种生物 伪装成另一种生物,或伪装成环境中其它物 体以获取生存优势的能力。

    针对一个前提:防范未知漏洞后门等不确定威胁
    基于一个公理:相对正确公理
    依据一个发现:熵不减系统能稳定抵抗未知攻击
    借鉴二种理论:可靠性理论与自动控制理论
    发明一种构造:动态异构冗余构造(IT领域创新使能技术)
    导入一类机制:拟态伪装机制
    形成一个效应:测不准效应
    获得一类功能:内生安全功能
    达到一种效果:融合现有安全技术可指数量级提升防御增益
    实现二个目标:归一化处理传统/非传统安全问题——获得广义鲁棒控制属性

    拟态防御拓展了原有信息系统鲁棒的内涵,创建了集“服务提供、可靠性保障、安全可信”功能为一体的控制架构与运行机制,广义鲁棒突破“沙滩建楼不安全”的理论与方法,改变网络空间游戏规则。

    5G 对信息系统安全带来的挑战

    未来联网设备将数以百亿计,每一个都可能成为攻击的切入点,防不胜防。

    网络切片带来的安全挑战:切片授权与接入控制、切片间的资源冲突、切片间的安全隔离、切片用户的隐私保护、以切片方式隔离故障网元。

    CMM框架

    在这里插入图片描述

    云计算安全架构

    基于可信根的安全架构:该安全架构试图通过可信计算的成果从根本上解决云计算的安全 题。但是,其对硬件要求的严格性有违云计算开放性和经济性的基本要求,不利于对现有资源的继承与利用。

    基于隔离的安全架构:该安全架构旨在针对所有的租户构建封闭且安全的运行环境,从而保证其定制服务的安全性。但是,其势必导致资源的不充分利用,增加租户间协作的难度,引起管理成本的增加。

    安全即服务的安全架构:SOA安全架构充分考虑到了租户的个性化需求,提出以租户服务要求为导向的云计算安全架构,但是缺乏让租户和提供商及时且明晰地获得各自安全需求的方法。

    可管、可控、可度量的云计算安全架构:首先参考SLA确定系统的度量指标体系,然后利用模型分析技术,建立系统行为和用户行为的安全模型,通过模型的分析和求解,获得系统需要完善与维护的安全问题以及进一步的安全优化方案。这里系统的监控机制不仅可以获得系统当前的状态,还可以获得系统和用户的统计数据,这些数据将是安全度量的基础。

    安全需求及安全策略

    安全需求,一般化的安全需求

    安全需求:就是在设计一个安全系统时期望得到的安全保障。交易双方身份的确定性需求、信息的完整性需求、信息的不可伪造性需求、信息的不可抵赖性需求。

    一般化的安全需求:

    机密性需求:防止信息被泄漏给未授权的用户
    完整性需求:防止未授权用户对信息的修改
    可用性需求:保证授权用户对系统信息的可访问性
    可记账性需求:防止用户对访问过某信息或执行过某一操作以否认

    访问控制策略、访问支持策略

    访问控制策略:确立相应的访问规则以控制对系统资源的访问

    访问支持策略:为保障访问控制策略的正确实施提供可靠的“支持”

    主体、客体及其属性

    主体:系统内行为的发起者。通常是用户发起的进程

    客体:系统内所有主体行为的直接承担者

    系统环境(上下文) :系统主、客体属性之外的某些状态

    主体属性(用户特征):用户ID/ 组ID、用户访问许可级别、权能表、角色

    客体属性(客体特征):敏感性标签、访问控制列表

    访问控制列表

    访问控制列表是一系列允许或拒绝数据的指令的集合。

    基于有限状态自动机的“安全系统”定义

    一个“安全系统”是“一个如果起始状态为授权状态,其后也不会进入未授权状态的系统”。

    常见的强制访问控制模型

    Bell-LaPadula模型:BLP 保密模型基于两种规则来保障数据的机密度与敏感度:不上读(NRU)主体不可读安全级别高于它的数据;不下写(NWD)主体不可写安全级别低于它的数据。

    BIBA完整性模型:BIBA模型基于两种规则来保障数据的完整性的保密性:不下读(NRU)属性主体不能读取安全级别低于它的数据;不上写(NWD)属性主体不能写入安全级别高于它的数据。

    信息系统的风险评估

    风险的概念

    风险指在某一特定环境下,在某一特定时间段内,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。

    风险越大则安全性越低,反之风险越小则安全性越高。风险就是信息系统安全的一个测度。

    风险评估的基本概念

    风险评估是参照国家有关标准对信息系统及由其处理、传输和存储信息的保密性、完整性和可用性等安全属性进行分析和评价的过程。它要分析资产面临的威胁及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

    风险评估的要素

    在这里插入图片描述

    怎样理解一个信息系统是安全的

    信息系统安全是指信息系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。

    风险处置策略

    降低风险:采取适当的控制措施来降低风险,包括技术手段和管理手段,如安装防火墙,杀毒软件,或是改善不规范的工作流程、制定业务连续性计划,等等。

    避免风险:通过消除可能导致风险发生的条件来避免风险的发生,如将公司内外网隔离以避免来自互联网的攻击,或是将机房安置在不可能造成水患的位置,等等。

    转移风险:将风险全部或者部分地转移到其他责任方,例如购买商业保险。

    接受风险:在实施了其他风险应对措施之后,对于残留的风险,可以有意识地选择接受。

    信息系统安全风险计算模型

    风险计算模型是对通过风险分析计算风险值过程的抽象,它主要包括资产评估、威胁评估、脆弱性评估以及风险分析。
    在这里插入图片描述

    信息系统等级保护

    一法一决定

    在这里插入图片描述

    等级保护

    网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

    定级对象

    也称等级保护对象、网络安全等级保护工作的作用对象。包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台系统、大数据平台系统、物联网、工业控制系统、采用移动互联技术的系统等。

    等级保护建设核心思想

    信息系统的安全设计应基于业务流程自身特点,建立“可信、可控、可管”的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏。

    可信:即以可信认证为基础,构建一个可信的业务系统执行环境,即用户、平台、程序都是可信的,确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行,不会出现非预期的流程,从而保障了业务系统安全可信。

    可控:即以访问控制技术为核心,实现主体对客体的受控访问,保证所有的访问行为均在可控范围之内进行,在防范内部攻击的同时有效防止从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作,永远都按系统设计的策略进行资源访问,保证了系统的信息安全可控。

    可管:即通过构建集中管控、最小权限管理与三权分立的管理平台,为管理员创建一个工作平台,使其可以进行技术平台支撑下的安全策略管理,从而保证信息系统安全可管。

    等级保护防护框架

    建设“一个中心”管理、“三重防护”体系,分别对计算环境、区域边界、通信网络体系进行管理,实施多层隔离和保护,以防止某薄弱环节影响整体安全。

    重点对操作人员使用的终端、业务服务器等计算节点进行安全防护,控制操作人员行为,使其不能违规操作,从而把住攻击发起的源头,防止发生攻击行为。

    分析应用系统的流程,确定用户(主体)和访问的文件(客体)的级别(标记),以此来制定访问控制安全策略,由操作系统、安全网关等机制自动执行,从而支撑应用安全。

    重要行业关键信息系统划分及定级建议,定级流程

    在这里插入图片描述
    确定定级对象、初步确定等级、专家评审、主观部门审核、公安机关备案审查

    等级保护管理组织

    在这里插入图片描述

    等级保护主要工作流程,备案的流程,备案地点

    流程:定级、备案、建设整改、等级评测

    备案:用户初步定级、编写定级报告、专家定级评审、填写备案表、提交备案材料、收到备案证明
    在这里插入图片描述

    云平台定级

    云平台通过等保三级,一方面意味着其安全性达到国家标准的较高水准,另一方面则可以助力云平台所承载业务的安全水平提升,有利于业务系统自身的等级保护安全建设。反之,若云平台不通过等保三级,则无法承载三级或三级以上政务系统。

    在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

    在这里插入图片描述
    挑战:数据丢失篡改或泄露、网络攻击、利用不安全接口的攻击、云服务中断、越权、滥用与误操作、滥用云服务、利用共享技术漏洞进行的攻击、过度依赖、数据残留…

    信息系统的物理安全

    物理安全的概念

    物理安全又叫实体安全(Physical Security),是保护计算机设备、设施(网络及通信线路)免遭自然灾害(包括地震、水灾、火灾、有害气体等)、人为破坏及其他环境事故(如电磁污染等)破坏的措施和过程。

    环境安全、线路安全、介质安全、设备安全、电源安全

    电磁泄漏

    指电子设备的杂散电磁能量通过导线或空间向外扩散。任何处于工作状态的电磁信息设备,如计算机、打印机、复印机、传真机、手机电话等,都存在不同程度的电磁泄漏问题,这是无法摆脱的电磁现象。如果这些泄漏“夹带”着设备所处理的信息,均可构成了电磁信息泄漏。

    电磁泄漏的途径及防护

    以电磁波形式的辐射泄漏;电源线、控制线、信号线和地线造成的传导泄漏;密码破解

    物理抑制技术:抑源法:从线路和元器件入手,从根本上阻止计算机系统向外辐射电磁波,消除产生较强电磁波的根源。
    电磁屏蔽技术:电磁屏蔽技术包括设备的屏蔽和环境的屏蔽,它是从阻断电磁信息泄漏源发射的角度采取措施。 主要指涉密计算机或系统被放置在全封闭的电磁屏蔽室内,其主要材料分别是金属板或金属网等。
    噪声干扰技术:在信道上增加噪声,从而降低窃收系统的信噪比,使其难以将泄露信息还原。

    电源调整器,不间断电源(UPS)

    在这里插入图片描述
    持续供电型UPS:将外线交流电源整流成直流电对电池充电。外线电力中断时,把电池直流电源变成交流电源,供电脑使用。
    顺向转换型UPS:平时由外线电力带动的发电机发电给电池充电,外线电力一旦中断,电池马上可取代外线电力,用变流器把电池的直流变成交流,供给电脑。
    逆向转换型UPS:大部分时间由电池来供电,能忍受外线电压过高、过低或电源线的暂态反应等冲击。而且对外线电力中断要迅速做出反应,在最短的时间间隔内将电力供应给电路。
    马达发电机:发电机可使用外线电力、汽油或柴油引擎带动发电机,可提供大容量电压稳定电力,供应电脑系统、家庭或办公室照明所需的电力。

    电磁战,防磁柜

    电磁战主要是指通信、雷达、光电、网络对抗战法和电磁频谱管控行动能力的战斗,目的是干拢敌方的信息联系、阻断信息沟通,使敌方致盲、失去应有的战斗力。

    防磁柜具有防磁、防火、防盗等特点的防磁柜是磁碟、磁盘、CD光盘各种磁性产品的最理想装具。防磁柜具有防止外来磁场对柜内磁性产品磁化作用,到空间磁场强度达到达6000GS(奥斯特)以上时,柜内装具间磁场不大于5GS。

    机房三度要求

    温度、湿度和洁净度并称为三度,为保证计算机网络系统的正常运行,对机房内的三度都有明确的要求。为使机房内的三度达到规定的要求,空调系统、去湿机、除尘器是必不可少的设备。重要的计算机系统安放处还应配备专用的空调系统,它比公用的空调系统在加湿、除尘等方面有更高的要求。

    温度:机房温度一般应控制在18~22℃
    湿度:相对湿度一般控制在40%~60%为宜
    洁净度:尘埃颗粒直径<0.5um,含尘量<1万颗/升

    常见的消防设计

    七氟丙烷气体灭火系统、防火分区、防火分区、水喷淋灭火系统

    三类供电方式

    一类供电:需要建立不间断供电系统。 兵工厂、大型钢厂、火箭发射基地、医院等

    二类供电:需要建立带备用的供电系统。

    三类供电:按一般用户供电考虑。

    电源防护措施

    电源:电源调整器、不间断电源、电源相关操作

    接地与防雷要求

    接地与防雷是保护计算机网络系统和工作场所安全的重要安全措施。接地是指整个计算机系统中各处电位均以大地电位为零参考电位。接地可以为计算机系统的数字电路提供一个稳定的0V参考电位,从而可以保证设备和人身的安全,同时也是防止电磁信息泄漏的有效手段。

    要求良好接地的设备有:各种计算机外围设备、多相位变压器的中性线、电缆外套管、电子报警系统、隔离变压器、电源和信号滤波器、通信设备等。

    计算机房的接地系统要按计算机系统本身和场地的各种地线系统的设计要求进行具体实施。

    信息系统的可靠性

    可靠性及其度量指标

    可靠性:在规定的条件下、在给定的时间内,系统能实施应有功能的能力。

    MTTF:对不可维修的产品的平均寿命是指从开始投入工作,至产品失效的时间平均值,也称平均失效前时间,记以MTTF。

    MTBF:对可维修产品而言,其平均寿命是指两次故障间的时间平均值,称平均故障间隔时间,习惯称平均无故障工作时间MTBF。

    可靠度R:产品在时刻 t 之前都正常工作(不失效)的概率,即产品在时刻 t 的生存概率,称为无故障工作概率(可靠度函数)。
    在这里插入图片描述
    失效率λ:
    在这里插入图片描述
    λ(t)的浴缸形曲线:λ(t)随时间的变化而变化,呈浴缸形的曲线。

    第一阶段 早期失效期:器件在开始使用时失效率很高,但随着产品工作时间的增加,失效率迅速降低。这一阶段失效的原因大多是由于设计、原材料和制造过程中的缺陷造成的。为了缩短这一阶段的时间,产品应在投入运行前进行试运转,以便及早发现、修正和排除故障;或通过试验进行筛选,剔除不合格品。

    第二阶段 偶然失效期,也称随机失效期:这一阶段的特点是失效率较低,且较稳定,往往可近似看作常数。这一时期是产品的良好使用阶段。由于在这一阶段中,产品失效率近似为一常数,故设 λ(t)=λ(常数)由可靠度计算公式得
    R ( t ) = e − λ t R(t)=e^{-λt} R(t)=eλt
    这一式表明设备的可靠性与失效率成指数关系。

    第三阶段 耗损失效期:该阶段的失效率随时间的延长而急速增加,主要原因是器件的损 失己非常的严重,寿命快到尽头了,可适当的维修或直接更换。

    R(t)和λ的关系:
    在这里插入图片描述

    可靠性模型:串联,并联,表决,储备

    串联系统:
    在这里插入图片描述
    在这里插入图片描述
    并联系统:
    在这里插入图片描述
    在这里插入图片描述
    表决系统:n中取k的表决系统由n个部件组成,当n个部件中有k个或k个以上部件正常工作时,系统才能正常工作(1≤k≤n)。当失效的部件数大于或等于n-k+1时,系统失效。简记为k/n(G)系统。

    冷贮备系统:系统由n个部件组成。在初始时刻,一个部件开始工作,其余n-1个部件作冷贮备。当工作部件失效时,存储部件逐个地去替换,直到所有部件都失效时,系统才失效。所谓冷贮备是指贮备的部件不失效也不劣化,贮备期的长短对以后使用时的工作寿命没有影响。假定贮备部件替换失效部件时,转换开关K是完全可靠的,而且转换是瞬时完成的。

    可维修产品、不可维修产品的可靠性指标:可用度

    可维修产品的可用性定义为,产品的可用性定义为系统保持正常运行时间的百分比。平均无故障时间(MTTF)、平均维修时间(MTTR)
    M T B F M T B F + M T T R ∗ 100 % \frac{MTBF}{MTBF + MTTR} * 100\% MTBF+MTTRMTBF100%

    网络可靠性,计算机网络可靠性故障特征

    网络可靠性:在人为或自然的破坏作用下,网络在特定环境和规定时间内,充分完成规定的通信功能的能力。环境、时间和充分完成功能是这一定义的三要素。当传输设备和交换设备发生故障时网络可以维持正常业务的程度。

    计算机网络可靠性故障特征

    故障定义:网络不能在用户期望的时间范围内将物质、信息、能量按用户需求完整、正确地在网络中传输的状态或事件。

    故障模式:断路:信息、能量不能按用户需求在网络中传输,即“网络不通”
    间歇断路:即物质、信息、能量间歇性地不能按用户需求在网络中传输
    延时:即物质、信息、能量不能在用户期望时间范围内在网络中传输
    丢失:即物质、信息、能量不能完整地在网络中传输
    错误:即物质、信息、能量不能正确地在网络中传输

    网络可靠性迫切需要解决的关键性问题

    尚未形成网络综合可用性体系结构
    网络可用性评价指标混乱
    对典型网络设备的可用性分析不足
    网络业务性能在网络可用性中反映不充分
    极少考虑网络协议的影响

    硬件可靠性和软件可靠性的不同

    硬件可靠性:硬件在使用过程中有磨损、材料的老化、变质和使用环境等多种因素。

    软件可靠性:软件使用期间无磨损,也不存在物质老化和变质。

    软件可靠性模型

    失效时间间隔模型:这类模型最常用的方法是假定第i个失效到第i+1个失效间隔时间服从于某一分布,而分布的参数依赖于各间隔时间内程序中的残留错误数。通过测试所得到的失效间隔时间数据来估计模型的参数,由获得的模型可以估算软件的可靠度以及各失效间的平均工作时间等导出量。

    缺陷计数模型:这类模型关心的是在特定的时间间隔内软件的错误数或失效数,并假定故障累计数服从某个己知的随机过程,过程强度是时间的离散或连续函数,根据在给定的测试时间间隔发现的错误数或失效数来估计故障强度、均值等参数。随着错误的不断排除,在单位时间内发现的失效数将不断减少。

    错误植入模型:这类模型的基本思路是通过将一组已知的错误人为地植入到一个固有错误总数尚不清楚的程序中,然后在程序的测试中观察并统计发现的植入错误数和程序总的错误数,通过计数的比值估计程序的固有错误总数,从而得到软件可靠度及其有关指标。

    基于输入域的模型:这类模型的基本研究方法是根据程序的使用情况,找出程序可能输入的概率分布,根据这种分布产生一个测试用例的集合。由于得到输入的分布难度较大,一般将输入域划分成等价类,每个等价类与程序的一条执行路径相联。在输入域上随机抽取测试用例,执行相应的程序测试,观测故障,从而推断出各项指标。

    容错技术,故障检测和诊断技术,故障屏蔽技术,冗余技术

    容错技术:容忍故障,即故障一旦发生时能够自动检测出来并使系统能够自动恢复正常运行。当出现某些指定的硬件故障或软件错误时,系统仍能执行规定的一组程序,或者说程序不会因系统中的故障而中止或被修改;执行结果也不包含系统中故障所引起的差错。

    故障检测:判断系统是否存在故障的过程。故障检测的作用是确认系统是否发生了故障,指示故障的状态,即查找故障源和故障性质。一般来说,故障检测只能找到错误点(错误单元),不能准确找到故障点。

    故障诊断:检测出系统存在故障后要进行故障的定位,找出故障所在的位置。

    故障屏蔽技术:防止系统中的故障在该系统的信息结构中产生差错的各种措施的总称,其实质是在故障效应达到模块的输出以前,利用冗余资源将故障影响掩盖起来,达到容错目的。

    时间冗余技术:重复执行指令或者一段程序来消除故障的影响,以达到容错的效果,它是用消耗时间来换取容错的目的。
    信息容错技术:通过在数据中附加冗余的信息位来达到故障检测和容错的目的。
    软件冗余技术:在出现有限数目的软件故障的情况下,系统仍可提供连续正确执行的内在能力。其目的是屏蔽软件故障,恢复因出故障而影响的运行进程。

    NVP是一种静态冗余方法,其基本设计思想是用N个具有同一功能而采用不同编程方法的程序执行一项运算,其结果通过多数表决器输出。这种容错结构方法有效避免了由于软件共性故障造成的系统出错,提高了软件的可靠性。

    RB是一种动态冗余方法。在RB结构中有主程序块和一些备用程序块构,主程序块和备用程序块采用不同编程方法但具有相同的功能。每个主程序块都可以用一个根据同一需求说明设计的备用程序块替换。首先运行主程序块,然后进行接受测试,如果测试通过则将结果输出给后续程序;否则调用第一个备用块。依次类推,在N个备用程序块替换完后仍没有通过测试,则要进行故障处理。

    三模冗余(硬件冗余)原理及优缺点

    在这里插入图片描述
    系统输入通过 3个功能相同的模块,产生的 3个结果送到多数表决器进行表决,即三中取二的原则,如果模块中有一个出错,而另外两个模块正常,则表决器的输出正确,从而可以屏蔽一个故障。

    如果3个模块的输出各不相同,则无法进行多数表决;若有两个模块出现一致的故障,则表决的结果会出现错误。

    热备份

    M运行,S后备;M故障,S接管作M;原M修复,S归还M。

    RAID

    廉价磁盘冗余阵列,以多个低成本磁盘构成磁盘子系统,提供比单一硬盘更完备的可靠性和高性能。

    三个因素:

    • 分条:将数据分散到不同物理硬盘上,使读写数据时可以同时访问多块硬盘。
    • 数据镜像:将同一数据写在两块不同的硬盘上,从而产生该数据的两个副本。
    • 奇偶校验:发现并纠正错误。

    纠删码

    是一种前向错误纠正技术,主要应用在网络传输中避免包的丢失,存储系统利用它来提高存储可靠性。相比多副本复制而言, 纠删码能够以更小的数据冗余度获得更高数据可靠性, 但编码方式较复杂,需要大量计算 。

    是一种编码技术,它可以将n份原始数据,增加m份数据,并能通过n+m份中的任意n份数据,还原为原始数据。即如果有任意小于等于m份的数据失效,仍然能通过剩下的数据还原出来。

    提高信息系统可靠性的途径

    提高可靠性有两个方面:一是尽量使系统在规定时间内少发生故障和错误;二是发生了故障能迅速排除

    硬件主要考虑如何提高元器件和设备的可靠性;采用抗干扰措施,提高系统对环境的适应能力和冗余结构设计。

    软件主要考虑测试技术、故障自诊断技术、自动检错、纠错技术、系统恢复技术方面的设计。

    计算机犯罪取证

    计算机取证和取证科学

    计算机取证:运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。

    取证科学:为了侦破案件还原事实真相,搜集法庭证据的一系列科学方法。

    活取证和死取证

    活取证:抓取文件metadata、创建时间线、命令历史、分析日志文件、hash摘要;使用未受感染的干净程序执行取证;U盘、网络 存储搜集到的数据。

    死取证:关机后制作硬盘镜像,分析镜像。

    数字取证中的信息收集目标、信息收集的主要侧重点

    收集目标详细信息:应用类型 硬件防护情况 应用权限 相关组件 加固情况 网络管理员提供的信息
    收集目标日志信息:系统日志 Web日志 应用程序日志 防护软件日志
    排查可疑文件:Webshell查杀 Windows系统后门查杀 Linux系统后门查杀

    侧重于以下几点:收集目标详细信息、收集目标日志信息、排查可疑文件、收集脚印信息

    操作系统安全

    操作系统面临的安全威胁

    黑客攻击、蠕虫、拒绝服务攻击、计算机病毒、逻辑炸弹、非法访问、机密信息泄漏、信息篡改、隐蔽通道、后门、木马程序。

    隐通道

    按常规不会用于传送信息但却被利用于泄漏信息的信息传送渠道。

    可以被进程利用来以违反系统安全策略的方式进行非法传输信息的通信通道。

    存储隐通道:进程P创建一个文件,命名为0bit或者1bit来代表要传输的比特。

    时间隐通道:接收方通过获得CPU的速度可以推断出前者发送的是0还是1。

    物联网和虚拟化技术对操作系统带来的安全挑战

    物联网:直接沿用原有的安全机制。例如,Android Things 直接沿用了Android系统的一些基础安全机制,并没有深入分析物联网设备实际的软硬件特性与需求;缺乏对终端系统安全设计。现有的物联网操作设计时普遍只关注其功能要求;没有充分利用设备自身硬件架构安全特性。

    虚拟化:。Qubes系统利用新一代的硬件技术和虚拟化技术实现物理宿主机的隔离能力,从系统层面对木马病毒和恶意代码进行了防范和遏制,一定程度上解决了系统安全领域的木桶问题。

    操作系统的一般性安全机制

    隔离机制:物理隔离、时间隔离、加密隔离、逻辑隔离。

    访问控制:确定谁能访问系统,能访问系统何种资源以及在何种程度上使用这些资源。访问控制包括对系统各种资源的存取控制。三项基本任务:授权确定访问授权试试访问控制的权限

    信息加密:加密机制用于安全传输、文件安全。

    审计机制:要求任何影响系统安全性的行为都被跟踪和记录在案,安全系统拥有把用户标识与它被跟踪和记录的行为联系起来的能力。

    身份认证的常见方式和协议

    基于你所知道的:知识、口令、密码
    基于你所拥有的:身份证、信用卡、钥匙、智能卡、令牌等
    基于你的个人特征:指纹,笔迹,声音,手型,脸型,视网膜,虹膜

    一次性口令认证:在登录过程中加入不确定因素,使每次登录过程中传送的口令信息都不相同,以提高登录过程安全性。

    Kerberos 认证:获取票据许可票据、获取访问票据、获取服务
    在这里插入图片描述

    Windows 的 EFS 机制,Windows 2003 Server 的身份认证机制

    EFS 机制:EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。

    Windows 2003 Server的身份认证:
    Kerberos V5与密码或智能卡一起使用,用于交互式登陆的协议
    用户尝试访问Web服务器时使用的SSL/TLS协议
    客户端或服务器使用早期的NTLMM协议
    摘要式身份验证,使凭据作为MD5哈希或消息摘要在网络上传递。
    Passport身份验证,用来提供单点登录服务的用户身份验证服务

    Symbian OS 的能力模型,数据锁定

    能力是指访问敏感性系统资源的权限标志。

    Symbian系统采用的是客户机/服务器模型架构;Symbian操作系统中内存保护的基本单元是进程;内核负责维护所有进程的能力列表。

    数据锁定的目标其实是防止对文件系统非法的写操作。它将文件系统中的代码与数据分开,将非可信计算基进程局限在一个特定空间,不能访问系统空间和其它进程空间。

    Symbian OS 体系结构及安全机制,Symbian 内核安全性的三个要素

    Symbian的平台安全性主要基于以下目标:保护移动终端的完整性、保证用户数据的隐秘性、控制对敏感性资源的访问。

    3个基本元素:可信计算单元、数据锁定、能力模型

    资源管理模式:工作组,域,域控制器

    域就是共享用户账号、计算机账号和安全策略的计算机集合。

    域是一个安全边界,资源在一个域中参与共享。

    域中集中存储用户账号的计算机就是域控制器,域控制器存储着目录数据并管理用户域的交互关系,包括用户登录过程、身份验证和目录搜索等。一个域中可有一个或多个域控制器,各域控制器间可以相互复制活动目录。

    目录服务,活动目录,schema,目录服务提供的好处

    活动目录就其本质来讲,是一种采用LDAP(轻量级目录访问协议)的目录服务。

    活动目录包括两个方面:目录目录相关的服务(目录是存储各种对象的容器)

    目录服务的功能:维护目录信息、数据复制、合理组织信息结构、查询机制、全局编目

    目录服务提供的好处:
    方便管理:让管理员可以集中控制和管理大型、复杂的网络
    方便使用:让用户只需要登录一次,就可以访问很多的计算机
    方便访问:帮助用户在不知道要访问的共享资源位置的情况下访问到它

    Schema:架构用来定义AD中的对象(classes)和属性(attributes)。活动目录的基础架构(base Schema),包括了比如user、computer、OU(organizational Unit)等对象以及用户电话号码、objectsid等属性。

    活动目录的逻辑结构和物理结构,为什么需要活动目录的物理结构?

    在这里插入图片描述
    为什么需要活动目录的物理结构:AD物理结构主要是规划站点拓扑,帮助管理员确定在网络的什么地方放置域控制器,以及管理域控制器之间的复制流量和用户登录流量。

    组策略

    组策略是微软Windows NT家族操作系统的一个特性,它可以控制用户账户和计算机账户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。

    组策略很灵活,它包括如下的一些选项:基于注册表的策略设置、安全设置、软件安装、脚本、计算机启动与关闭、用户登录和注销,文件重定向等。

    主要优势:降低管理、支持与培训成本;提升用户工作效率;允许极大量的定制项目,其扩展性不会牺牲定制的灵活性。

    组织单元OU是一种类型的目录对象⎯⎯容器,其作用主要用来委派对用户、组及资源集合的管理权限。

    站点

    每个地理位置中的若干台域控制器可以划分为一个站点;站点内部优先同步活动目录数据库,同步后再和其他站点中的域控制器同步。

    站点反映了活动目录的物理结构:由于站点内的计算机有着良好的连接,因此用户使用站点来使服务器和网络客户的相关操作都在本地进行,而不需要跨越广域网。

    站点目的:优化复制流量,使用户登陆到DC,使用一个可靠的、高速的链接。

    Android 的本地类库,Dalvik 虚拟机

    本地类库:一系列的C/C++库,相当于Android系统在Linux核心系统上的功能扩展,为Application Framework层的许多功能提供支持,通过JNI供Java调用。

    Dalvik虚拟机(DVM)是运行Dalvik 可执行文件(*.dex)的虚拟计算机系统; 使用Java语言编写的Android程序,实际上是运行在DVM之上,而不是运行在Linux操作系统上。
    在这里插入图片描述
    Android系统在Linux内核之上实现了自己的系统架构层,一旦该层出现安全问题,即有可能导致Root权限的泄露。

    Android 的 apk 文件,AndroidManifest.xml 文件

    apk文件----Android上的安装文件

    apk 是Android 安装包的扩展名,一个Android 安装包包含了与该Android 应用程序相关的所有文件; 一个工程只能打进一个.apk文件;apk 文件的本质是一个zip包。

    AndroidManifest.xml是一个XML配置文件,它用于定义应用程序中需要的组件、组件的功能及必要条件等。

    Android 手机所有者权限、root 权限、应用程序权限

    Android手机所有者权限:自用户购买 Android 手机后,用户不需要输入任何密码,就具有安装一般应用软件、使用应用程序等的权限。

    Android root 权限:该权限为 Android 系统的最高权限,可以对所有系统中文件、数据进行任意操作。

    Android 应用程序权限:应用程序对 Android 系统资源的访问需要有相应的访问权限。如:没有获取 Android root 权限的手机无法运行 Root Explorer,因为运行该应用程序需要 Android root 权限。

    Android 的体系架构、组件模型

    Linux内核及驱动:Binder作为Linux内核层的进程通信机制,为进程间的共谋攻击提供便利。

    本地类库及Java运行环境:Android系统在Linux内核之上实现了自己的系统架构层,一旦该层出现 安全问题,即有可能导致Root权限的泄露。

    应用框架、应用:往往来自于安全漏洞

    一般情况下Android应用程序由四种组件构造而成
    ​ Activity:为用户操作而展示的可视化用户界面
    ​ Service:服务是运行在后台的功能模块,如文件下载、音乐播放程序等
    ​ Broadcast Receiver:专注于接收广播通知信息,并做出对应处理的组件
    ​ Content Provider:Android 平台应用程序间数据共享的一种标准接口

    四种组件的关系:
    在这里插入图片描述

    Android 的安全目标(objectives)及安全机制

    安全目标:保护用户数据、保护系统资源、提供应用程序隔离
    安全机制:签名机制、权限机制和沙盒机制

    Android 的 Binder 进程间通信机制及存在的安全问题

    在这里插入图片描述
    Binder作为Linux内核层的进程通信机制,为进程间的共谋攻击提供便利

    Android sandbox 通过利用开源工具动态分析、静态分析Android 的相关应用,发现应用的具体行为,从而进行判断Android应用的危险程度。

    Android 的安全理念(philosophy)和 Symbian 等有何不同?

    Linux的安全理念是保护用户资源不受其他资源的影响。

    数据库安全

    例程

    当用户连接到数据库并使用数据库时,实际上是连接到该数据库的例程,通过例程来连接、使用数据库。 所以例程是用户和数据库之间的中间层。

    数据库指的是存储数据的物理结构,总是实际存在的;
    例程则是由内存结构和一系列进程组成,可以启动和关闭。

    进程结构,存储结构,内存结构

    内存结构:SGA和PGA,使用内存最多的是SGA,同时也是影响数据库性能的最大参数。

    进程结构:包括前台进程、后台进程。前台进程是指服务进程和用户进程。前台进程是根据实际需要而运行的,并在需要结束后立刻结束;后台进程是指在Oracle数据库启动后,自动启动的几个操作系统进程。

    存储结构:分为逻辑存储结构、物理存储结构。逻辑存储结构是描述Oracle数据库中如何组织和管理数据,与操作系统平台无关;物理存储结构是数据库的外部存储结构。它对应操作系统相关文件,包括控制文件、数据文件、日志文件等操作系统文件。

    Oracle 数据库物理存储结构

    物理存储结构是现实的数据存储单元,对应于操作系统文件。

    Oracle数据库就是由驻留在服务器的磁盘上的这些操作系统文件所组成的,主要包括数据文件重做日志文件控制文件

    数据文件:是物理存储Oracle数据库数据的文件。
    重做日志文件:记录所有对数据库数据的修改,以备恢复数据时使用。
    控制文件:是一个较小的二进制文件,用于描述数据库结构。
    参数文件:也被称为初始化参数文件,用于存储SGA、可选的Oracle特性和后台进程的配置参数。
    口令文件:是个二进制文件,验证特权用户。

    Oracle 数据库逻辑存储结构,表空间

    主要描述Oracle数据库的内部存储结构,从技术概念上描述Oracle数据库中如何组织、管理数据。可以分为4部分:表空间、段、区、块。

    表空间是数据库的逻辑划分的最大单元,一个Oracle数据库至少有一个表空间,即system表空间。表空间的设计理念为Oracle的高性能做出了不可磨灭的贡献,其很多优化都是基于该理念而实现的。

    Oracle 数据库的内存结构

    系统全局区(SGA):在启动例程时分配,是Oracle例程的基础组件。SGA是ORACLE系统为例程分配的一组共享缓冲存储区,用于存放数据库数据和控制信息,以实现对数据库数据的管理和操作。 SGA是不同用户进程与服务进程进行通信的中心。

    程序全局区(PGA):当启动服务器进程时分配。为每个连接到数据库的用户进程预留内存;当建立服务器进程时分配;当终止服务器进程时释放;只能由一个进程使用。

    Oracle 客户端通过例程和后台数据库的交互方式

    建立用户连接、建立会话、会话过程。
    在这里插入图片描述

    当前的数据库安全防御体系,传统安全方案的缺陷

    网络防火墙产品不对数据库通信协议进行控制。
    IPS/IDS/网络审计并不能防范那些看起来合法的数据访问。
    WAF系统仅针对HTTP协议进行检测控制,绕过WAF有150多种方法。
    核心数据库防护措施被忽略。大多数系统前端层面的安全保护措施并无法覆盖所有的安全攻击和窃取——必须引入数据层面的保护作为最后一道安全防线。

    Oracle 的安全体系结构

    数据的备份与恢复:为保证数据的完整性和一致性,防止因故障而导致的数据破坏和灾难而采取的防范措施;

    用户管理:用户身份认证、角色与权限等;

    资源管理:通过系统概要文件限制连接会话等。

    本帖仅用于学习交流,内容取自周亚建老师《信息系统安全》课程

    展开全文
  • 第七章 电子政务系统安全保障;主要内容;学习要点;一电子政务系统的安全问题;2电子政务安全问题的实质;从本质上讲,电子政务安全问题就是一种信息安全问题;2电子政务安全需求P169八个方面;4电子政务安全保障;3电子...
  • 文章目录信息系统安全策略信息安全系统工程PKI公开密钥基础设施PMI权限/授权管理基础措施信息安全审计分布式审计系统 信息系统安全策略 信息系统安全策略 针对本单位的计算机业务应用信息系统的安全风险(安全威胁)...


    非常重要 5分选择题 异常多

    信息系统安全策略

    信息系统安全策略
    对信息系统的安全风险进行识别,采取手段、建立管理制度
    一个单位的安全策略都是针对本单位的,定制的

    安全策略是具体的,体系是宏观的

    在这里插入图片描述

    安全策略的核心:七定 定方案、定岗、定位、定员、定目标、定制度、定工作流程
    在这里插入图片描述

    建立安全策略需处理好的关系(论文子题目)
    在这里插入图片描述
    系统安全是一个动态的过程。今日安全明日未必
    系统永不停机、数据永不丢失、网络永不瘫痪、信息永不泄露的安全目标是不现实的(永远做不到绝对的安全)
    适度的安全观点:安全代价低,安全风险大;安全代价大,安全风险就低(均衡投入和安全性 钱和成本平衡)
    木桶效应的观点:安全水平是最短的那块木板决定的
    在这里插入图片描述

    计算机信息系统的五个安全保护等级(用系安结访)
    第一级:用户自主保护级——普通内联网用户(自己在电脑上做了个系统)
    第二级:系统审计保护级——通过内联网/国际网进行商务活动,需要保密的非重要单位(淘宝)
    第三级:安全标记保护级——地方各级国家机关(地方)
    第四级:结构化保护级——中央级国家机关 (中央级广播) 社会特别严重,国家严重
    第五级:访问验证保护级——国防关键部门

    在这里插入图片描述
    用系安结访

    第一级 国家无损害 社会和公共损害
    第二级 社会公众严重损害
    第三级 国家损害
    第四级 国家严重损害
    第五级 国家特别严重损害
    在这里插入图片描述

    两个关键定级要素:受侵害的客体和对客体的侵害程度
    受侵害的个体——公民、其他组织合法权益;社会秩序、公共利益;国家安全
    对客体的侵害程度——由客观方面的不同外在表现综合决定
    在这里插入图片描述

    信息系统安全策略设计原则:
    分权制衡原则(安全权利分散)
    最小特权原则
    标准化原则
    用成熟的先进技术原则
    失效保护原则(安全失效了,启动应急措施)
    普遍参与原则(全员参与)
    职责分离原则(三权分立:系统管理员(权限设置)、业务管理员(看报表)、安全审计员(数据访问)公安检察院)
    审计独立原则
    控制社会影响原则
    保护资源和效率原则

    信息安全系统工程

    Management Information System MIS

    信息系统业界——信息应用系统/信息应用管理系统/管理信息系统,不能脱离业务应用信息系统存在 接收订单的系统,安全系统监控它
    业务应用信息系统——支撑业务运营的计算机应用信息系统(银行柜台业务信息系统、国税征收信息系统)
    信息系统工程——建造信息系统的工程有两个不可分割的部分:信息安全系统工程和业务应用信息系统工程

    信息安全系统
    三维模型。X轴是安全机制、Y轴是OSI网络参考模型、Z是安全服务。信息安全系统的三维空间是信息系统的安全空间。

    在这里插入图片描述

    安全空间的五大属性:认证、权限、完整、加密和不可否认

    安全服务
    对等实体认证服务——对对方实体的合法性、真实性进行确认,以防假冒
    数据保密服务——信息保密
    数据完整性服务——防止非法实体对交换实体的修改、插入、删除以及在数据交换过程中的数据丢失
    数据源点认证服务——防止假冒
    禁止否认服务
    犯罪证据提供服务

    信息安全系统架构体系【重点】

    通用硬件-通用软件-应用系统-安全措施
    通用硬件-通用软件-密码输入-应用系统(密码后改造)-安全措施
    专用硬件-专用软件-密码-应用系统-安全措施
    window通用软件不安全,用得太多
    在这里插入图片描述

    Management Information System +Security
    MIS+S系统——初级信息安全保障系统/基本信息安全保障系统

    • 业务应用系统基本不变
    • 硬件和系统软件通用
    • 安全设备基本不带密码

    Security-Management Information System standard
    S-MIS——标准信息安全保障系统

    • 硬件和系统软件通用
    • PKI/CA安全保障系统必须带密码
    • 业务应用系统必须根本改变
    • 主要的通用的硬件、软件也要通过PKI/CA认证

    Super Security Management Information System
    S²-MIS——超安全的信息安全保障系统

    • 硬件和系统软件专用
    • PKI/CA安全基础设施必须带密码(认证)
    • 业务应用系统必须根本改变

    ISSE-CMM Information System Security Engineering Capability Maturity Model Integration
    信息安全系统工程能力成熟度模型(指导信息安全工程的完善和改进,使信息安全系统工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的学科)

    将信息安全系统工程实施分解为(工程过程、风险过程、保证过程)

    信息安全系统工程与其他工程活动一样:包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程

    一个有害事件组成(威胁、脆弱性、影响)

    PKI公开密钥基础设施

    公钥基础设施 PKI public key infrastration

    • 不对称密钥加密技术为基础(典型:RSA)
    • 以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施

    数字证书
    认证机构进行数字签名发给信息交易主体的一段电子文档
    提供了PKI基础

    认证中心 Certification Authority

    • CA是PKI核心
    • 公正、权威、可信的第三方网上认证机构,负责数字证书的签发、撤销和生命周期的管理,提供密钥管理和证书在线查询等服务
    • 加密用CA,解密从CA获取证书(信任第三方)

    每一个PKI版本的X.509(数字签名)必须包含的信息(版本号、序列号、签名算法标识、认证机构、有效期限、主题信息、认证机构的数字签名、公钥信息)公钥信息非私钥

    PMI权限/授权管理基础措施

    以资源为核心,权限控制

    PMI 授权管理——证明这个用户有什么权限啊 privilege management infrastructure
    PKI 身份鉴别——证明用户身份 Public Key Infrastructure
    

    访问控制两重要过程(认证过程、授权管理)——为了限制访问主体,能做什么和做的程度

    认证过程 鉴别来检验合法身份
    授权管理 授权来赋予用户对某项资源的访问权限

    访问控制机制分类(强制性访问控制、自助性访问控制)

    基于角色的访问控制(RBAC与MAC的区别:MAC是基于多级安全需求的,RBAC不是)Role-Based policies Access Control
    VIP权限多,普通用户没资料
    在这里插入图片描述
    所有的权限都是由管理员授权,不能自主。DAC比RBAC的先进之处

    5PMI支撑体系:4种访问控制授权方案
    DAC自主访问控制方式(Discretionary Access Control)
    针对每个用户指明能够访问的资源,对于不在指定的资源列表中的对象不允许访问(我设定谁能做什么事情,相当于系统管理员)

    ACL访问控制列表方式
    目前应用最多的方式。目标资源拥有访问权现列表(权限有哪些用户可以访问 linux)

    MAC非自主/强制访问控制方式(Mandatory Access Control)
    军事和安全部门中的应用较多 做了安全等级的标签
    在这里插入图片描述
    在这里插入图片描述

    RBAC基于角色的访问控制方式 (用户-角色-权限)解耦性,安全管理
    定义组织内部的角色;分配相应权限;给具体业务和职位分配多个角色

    信息安全审计(事后)

    事前论证-事中评审-事后审计
    记录、审查主体对客体进行访问和使用情况,保证安全规则被正确执行,帮助分析安全事故产生的原因

    安全审计具体包括两方面:采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为。及时响应(报警)并进行阻断。
    对信息内容和业务流程进行审计,可以防止内部机密或敏感信息的非法泄露和单位资产的流失

    安全审计系统采用数据挖掘和数据仓库技术,对历史数据进行分析、处理和追踪,实现在不同网络环境中终端对终端的监控和管理,必要时通过多种途径向管理员发出警告或自动采取排错措施。

    安全审计系统是业务应用信息系统的黑匣子、监护神
    黑匣子——在整个系统被破坏后,黑匣子也能安全无恙,并确切记录破坏系统的各种痕迹和现场记录
    监护神——随时对一切现行的犯罪行为、违法行为进行监视、抓捕。同时对暗藏、隐患的违法迹象进行堵漏、铲除。

    安全审计产品——主机类、网络类及数据库类和业务应用系统级的审计产品
    主机类(电脑)
    网络类(路由器)
    数据库类(数据删除)
    业务应用系统级(功能模块)

    一个安全审计系统的作用(论文)
    对潜在的攻击者起到震慑或警告作用
    对于已发生的系统破坏行为提供有效的追究证据
    为系统安全管理员提供有价值的系统使用日志,从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞
    为系统安全员提供系统运行的统计日志,使系统安全管理员能发现系统性能上的不足或需要改进/加强的地方
    在这里插入图片描述

    网络安全审计内容:
    监测网络内部用户活动
    侦察系统中存在的潜在威胁
    对日常运行状况的统计和分析
    对突发案件和异常事件的事后分析
    辅助侦破和取证

    如何建立安全审计系统?
    网络安全入侵监测预警系统基本功能——负责监视网络上的通信数据流和网络服务器系统中的审核信息,捕捉可疑的网络和服务器系统活动,发现其中存在的安全问题,当网络和主机被非法使用或破坏时,进性实时响应和报警;产生通告信息和日志,系统审计管理人员根据这些通告信息、日志和分析结果,调整和更新已有的安全管理策略或进行跟踪追查等事后处理措施。

    入侵监测(对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程。不仅监测来自外部的入侵行为,同时也检测内部用户的未授权活动)以攻为守
    入侵防护(防火墙)
    在这里插入图片描述

    4种解决方案

    • 基于主机操作系统代理(插件——CPU、内存获取情况)
    • 基于应用系统代理(采集)
    • 基于应用系统独立程序(单独起了一个进程)
    • 基于网络路旁监控方式(探针,端口镜像)

    完整的安全审计需要入侵监测系统实时、准确提供基于网络、主机(服务器、客户端)和应用系统的审核分析资料
    入侵监测和安全审计是一对因果关系。入侵监测是手段,安全审计是目的,不可相互脱离工作。
    入侵监测获取的记录结果师后者审计分析资料的来源。

    分布式审计系统

    私房钱存在好几个地方

    组成部分:审计中心、审计控制台、审计Agent

    审计中心——对整个审计系统的数据进行集中存储和管理,并进行应急响应的专用软件。基于数据库平台,采用数据库方式进行审计数据管理和系统控制,并在无人看守情况下长期运行

    审计控制台——提供给管理员用于对审计数据进行查阅。可实现报警功能,可有多个审计控制台软件同时运行。

    审计Agent(业务系统,操作系统上)——直接被审计网络和系统连接的部件。不同的审计Agent完成不同的功能。审计Agent将报警数据和需要记录的数据自动报送到审计中心,并由审计中心进行统一调度管理(网络监听型Agent、系统嵌入型Agent、主动信息获取型Agent)

    展开全文
  • 信息安全的根本目标是保障信息安全,具体地说就是保证信息的保密性、完整性、可用性、真实性、实用性和占用性。其中,前三项尤为重要,被称为CIA三要素. 安全策略的制定过程是一个循环渐进、不断完善的过程。安全...
  • 本节书摘来自华章出版社《信息安全保障》一书中的第2章,第2.2节,作者 吴世忠 江常青 孙成昊 李华 李静,更多章节内容可以访问云栖社区“华章计算机”公众号查看 2.2 我国信息安全保障工作主要内容 为构建信息安全...
  • 本节书摘来自华章出版社《信息安全保障》一书中的第1章,第1.2节,作者 吴世忠 江常青 孙成昊 李华 李静,更多章节内容可以访问云栖社区“华章计算机”公众号查看 1.2 信息安全保障概念与模型 信息技术发展到网络化...
  • 1.信息安全简介 勒索病毒----2013年9月CryptoLocker “永恒之蓝”:主要是利用Windows系统的共享漏洞:445端口等。 “永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受 害机器的磁盘文件会被篡改为相应...
  • 网络通信在各个领域不断被广泛运用,为保障通信安全使用,对网络安全的保障提出更高要求。...建设管理体系、技术体系两个信息安全保障的基本体系,最终形成在这一战略指导思想下的国家信息安全保障体系的框架。
  • 3推动信息系统安全工程ISSE的控制方法 安全需求挖掘 安全功能定义 安全要素设计 全程安全控制 风险管理 有效评估CC/TCSEC/IATF 威胁级别Tn 资产价值等级Vn 安全机制强度等级SMLn) 安全技术保障强壮性级别IATRn * ...
  • 信息安全保障体系规划方案

    万次阅读 多人点赞 2018-06-21 17:04:59
    一、 概述1.1引言本文基于对XX公司信息安全风险评估总体规划的分析,提出XX公司信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。本文内容为信息...
  • CISP管理部分-1、信息安全保障

    千次阅读 2021-01-10 16:23:01
    内因:信息系统复杂性导致漏洞的存在不可避免 外因:环境因素、人为因素 信息安全的特征 系统性、动态性、无边界、非传统 1.1.3信息安全保障基础 信息安全属性:CIA 1.1.4信息安全视角...
  • 个人信息安全如何保障

    万次阅读 2017-02-25 20:49:13
    一、个人信息内容 一般情况下个人资料包括姓名、性别、年龄、家庭住址、工作单位、身份证号码、遗传特征、指纹、婚姻、健康、病历、财务情况通信地址、E-mail地址、学历、经历、账号与密码等。还包括社会活动及其他...
  • 构建信息系统的安全管理平台 框架与实践;摘要;1. 原则要求和大思路;中办发[2003]27号;加强信息安全保障工作-总体要求;加强信息安全保障工作-主要原则;加强信息安全保障工作-九项任务;2005年和2006年的动向;安全的...
  • 第7章:信息系统安全工程 信息系统安全工程备考要点 https://www.moondream.cn/?p=1329 扫一扫加入信息安全工程师备考群 欢迎加入最棒的信息安全工程师社群,分享信息安全工程师备考干货资料。 备考交流QQ群...
  • 确保**信息系统的持续可靠运行需要在信息系统的全生命周期内从技术、管理、工程实施、运行等方面进行安全保障。 随着信息技术的发展,信息安全技术也不断发展,**信息系统面临的安全威胁也可能在不断变化,为了应对...
  • 【信息系统项目管理师】第二十二章 信息系统安全管理(考点汇总篇) 考点分析与预测 信息安全为高级科目独有的章节,在第三版教材中有66页的内容。需要掌握的知识点非常多,且知识点非常散,在考试中上午一般考察4...
  • 确保**信息系统的持续可靠运行需要在信息系统的全生命周期内从技术、管理、工程实施、运行等方面进行安全保障。 随着信息技术的发展,信息安全技术也不断发展,**信息系统面临的安全威胁也可能在不断变化,为了应对...
  • 正当今社会信息化发展如火如荼,互联网、...智慧安监系统充分应用物联网、云计算、移动通信、GIS等信息技术,建设涵盖隐患排查处置闭环管理、安全执法管理、应急救援管理、职业卫生管理、重大危险源监控管理等监...
  • 近期,很多企业开始关注DevSecOps,下面根据作者对其理解,简单分析一下在...3、安全自动化是安全交付的保障 4、企业如何实施DevSecOps 5、企业落实DevSecOps的动力 正文: 1 DevSecOps建设的背景和目的 随着...
  • 构建可信软件系统的 10 要素

    千次阅读 2019-10-09 00:51:32
    对于一个组织来说,组织会出现固有的模式(pattern),这种模式会出现在代码的风格上,诸如于它们对于安全的要求、对于系统稳定性的追求等等。 这些特征会在代码实现的时候一一体现出来。 所以,既然我们需要展现...
  • 区块链钱包分硬件钱包和软件钱包,今天和大家分享的是硬件钱包安全性相关内容,希望对大家熟悉加密...对此,密深科技首席科学家郭伟基认为,一款真正意义上安全的钱包主要包涵了三方面的安全要素:网络隔离,系统...
  • 作者丨石秀峰全文共3268个字,建议阅读需10分钟前言:风险是数据安全保障的起点,正是由于有了风险、有了特定威胁动机的威胁源,使用各种攻击方法、利用信息系统的各种脆弱性、对信息资产造成各...
  • 通过人、管理和技术手段三大要素,构成动态的信息与网络安全保障体系框架WPDRR模型,实现系统安全保障。WPDRR是指:预警(Warning)、保护(Protection)、检测(Detection)、反应(Reaction)、恢复(Recovery)...
  • 信息系统安全管理架构

    千次阅读 2002-04-19 08:56:00
    建立我院信息安全管理体系构架 随着我院生产技术平台完全建立在网络之上和信息化建设的逐步升级,从整体上说已经开始将自己的日常业务完全转移到电子平台上,由此导致的“网络依赖性”已经使得我院的企业级网络信息...
  • 1. 网站建设的通信协议安全:(1)要用到ssl来保障通信传输不被窃听(1)ssl要用最新的版本,避免心脏滴血漏洞的影响(3)证书要加密传输 2. 服务器建设安全:【1】如果选用windows:(1)最好用windows2008 r2版本(2)网站...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 12,750
精华内容 5,100
关键字:

信息系统安全保障要素