系统评估准则与安全策略.doc

第7章 系统评估准则与安全策略1单元概述 本章的内容作为一个单元。学生通过本单元的学习，首先要能了解系统评估的准则与安全策略。理解系统评估准则，如今国际通用的是信息技术安全标准（CC），其体现了结构的开放性、表达方式的通用性以及结构和表达方式的内在完备性和实用性三个方面的优势。明白信息安全测评认证制度由测评和认证两大过程组成，“测评”就是检验产品是否符合所定义的评估标准，“认证”即检验评估过程是否正确，并保证评估结果的正确性和权威性，且公布于众。了解按OSI的安全体系结构标准，安全管理可分为系统安全管理、安全服务管理、安全机制管理、OSI管理的安全4种类型。理解安全策略要遵循均衡性、整体性、一致性等原则。知道安全审计的目的是利用审计机制，有针对性地对网络运行的状况和过程进行记录、跟踪和审查，从中发现安全问题。重点是理解系统评估的准则，掌握系统安全策略。其次了解案例所阐述的电子商务系统的评估方法和安全策略。第三，要能运用所学的系统评估的准则与安全策略等知识对企业的电子商务安全环境进行合理的分析，并能给出切实可行的系统评估与安全策略应用解决方案。在本单元的教学中，通过课程内容的讲解来帮助学生由浅入深地掌握教材中的基本内容和相关知识点，在课堂一问一答过程中，吸引学生的注意力，从而使学生能轻松掌握基本知识点、概念，活跃学生的思维，并使学生能自主分析，逐步提高学生理解、思考、表达、分析的能力，从而达到第七章的教学目的。本单元计划用6课时的时间。前3课时用案例讲解分析、概念分析、课堂问答、幻灯片演示、图表讲解等方式来完成教学任务。整个单元的讲解以案例“银行各容灾级别分析”为例引入系统评估的准则与安全策略相关的概念，从而培养起学生对系统评估的准则与安全策略的正确概念和对整个课程的兴趣。后3课时由每个学生上网查询资料、整理企业案例，让学生在结合教材第七章教学内容的同时，访问相关的特定系统评估准则与安全策略的网站，阅读教师指定的参考资料，最后完成给定实验题目，并写出实验报告，帮助学生消化课堂上所讲授的基本知识点。2教学资源（1）网站：应急容灾技术措施实例网站（/Html/200459111157-1.Html），见下图。（2）网站：物理隔离技术网站（/safe/insulate.htm），见下图。（3）网站：公安部信息安全等级保护评估中心网站（/Release/），等级保护的最新发展与关键技术。见下图。（4）网站：安络科技网站（ /），风险评估系统及相关技术。见下图。（5）网站：国家信息安全风险评估网站（），安全评估有关的评估工程、技术培训、工具推广、系统开发、技术支持、产品研制、工程监理。见下图。（6）网站：ISS网站（），脆弱性评估工具。见下图。（7）网站：中国信息安全组织网站（），见下图。（8）网站：中国计算机安全网站（/）。见下图。（9）网站：中国网络安全协会网站（/），见下图。（10）素材：教师准备100篇不同行业企业的电子商务案例。学生选择一篇作为自己研究的案例，并参考同行业的另外四篇案例。通过五篇资料的阅读，使学生掌握除了书本之外的更多有关电子商务业务以及电子商务安全的知识。（11) 网站：谷歌网站（），搜索引擎，提供给学生在网上收集、整理、完善、分析案例与研究。（12)网站：百度网站（），搜索引擎，提供给学生在网上收集、整理、完善、分析案例与研究。3教学纲要授课主题页码知识点、关键概念、课堂练习思考7.1 系统评估准则 7.1.1 可信计算机系统评估准则第193页第193页安全评估准则 安全评估标准及方案或方法 TCSEC内容 7.1.2 欧洲信息技术安全评估准则第194页ITSEC内容 7.1.3 加拿大可信计算机产品评估准则第195页CTCPEC内容 7.1.4 美国联邦信息技术安全准则第196页FC内容7.1.5 国际通用准则第197页CC内容课堂练习思考：1CC的一般使用方法是怎样的? 7.1.6 标准的比较与评价第198页标准比较 标准评价课堂练习思考：2CC与早期的评估标准相比有哪些优势? 7.2 信息安全测评认证准则 7.2.1 信息安全测评认证制度第199页第199页测评认证制度组成 重要性课堂练习思考：3.信息安全测评认证制度 7.2.2 安全产品控制第200页在市场准入上严格进出口控制强制性认证 直接控制 主管部门授权 7.2.3 测评认证的标准与规范第200页CC 7.2.4 中国测评认证标准与工作体系第200页测评认证标准 测评工作体系 测评中心课堂练习思考：4信息安全测评认证体系的建立和运行，对我国国家的信息化具有怎样的现实意义?7.3 安全管理的实施 7.3.1 安全管理的类型第202页第202页用户 资源 授权OSI安全体系结构标准 7.3.2 安全管理的原则第203页安全管理平台的设计原则、管理原则 7.3.3 安全管理的基础第203页安全管理的基础5.网络安全 7.4 制定安全策略 7.4.1制定安全策略的原则第204页第204页原则 目的 内容 层次均衡性 整体性 一致性 易操作性 可靠性 层次性 可评价性 7.4.2制定安全策略的目的和内容第205页课堂练习思考：6.介绍安全策略制定的目的是什么。 7.4.3制定安全策略的层次第206页OSI7层模型 网络层 应用层课堂练习思考：7.叙述制定安全策略中内部网的层次。8.单一注册 7.5 系统备份和紧急恢复方法 7.5.1系统备份方法第207页第207页备份 恢复系统备份 数据备份 课堂练习思考：9.简述基本的数据备份方法。10.双电源 11. S.M.A.R.T技术 12.磁盘冗余阵列(RAID)技术 7.5.2紧急恢复第210页紧急实践 恢复计划7.6 审计与评估 7.6.1 安全审计第211页第212页审计 评估网络系统安全审计 课堂练习思考：13.网络系统安全审计 14.介绍安全审计的主要功能。 7.6.2 网络安全评估第212页评估的内容 评估实例7.7 容灾技术及其典型应用 7.7.1 容灾理论和技术的发展过程第214页第215页 7.7.2 容灾在国内外的规范现状第215页 7.7.3 容灾的基本理论第215页容灾的定义 容灾的技术 容灾的分类 容灾的等级标准课堂练习思考：15.简要比较容灾技术与传统数据系统安全技术。 16容灾备份17.“Share78 7个等级 7.7.4 容灾的关键技术第217页数据存储管理 数据复制 灾难检测 系统迁移课堂练习思考：18.心跳技术和检查点技术 7.7.5 容灾系统第218页技术评价指标 系统结构 课堂练习思考：19RPO 20RTO 7.7.6 远程应用级容灾系统模型第219页远程应用级容灾系统模型 7.7.7 企业如何选择容灾解决方案第220页课堂练习思考：21.企业选择容灾方案时应考虑到哪些方面，请简要叙述。 7.7.8 银行各容灾级别及案例分析第221页4 授课笔记案例：银行各容灾级别分析设计一个容灾系统需要考虑多方面的因素，包括备份/恢复的数据量大小，应用数据中心和备援数据中心之间的距离和连接方法，灾难发生时所要求的恢复速度，备援中心的管理和经营方法，以及可投入的资金多少等。lliM公司的SHARE78标准(1992年)根据这些因素将容灾系统解决方案分为7个等级，分别适用于不同的规模和应用场合。根据银行业务特色和具体情况，综合的概括为以下容灾层次: (1)业务连续性容灾。业务连续性容灾就是保证整个银行(组织)的业务可以不间断地 运行。这是最高级别的容灾。按照现在的技术进步程度来描述，至少需要两个基本相同的数据 中心和处理中心，两套互不关联的通信网络设施，两套独力运作的管理运维队伍，实时(同步) 进行的两个(多个)中心之间的传输和同步能力。当上述技术条件可以通过投资来实现的话，那么，保证两个(多个)中心之间的技术、管理、运维同构，就是至关重要的软门槛。当达到 这种容灾程度时，只要不是所有的数据中心都发生灾难无法运行，客户，甚至银行的绝大多数 员工都基本上无法察觉到容灾系统的切换过程。 (2)数据连续性容灾。数据连续性容灾就是保证整个银行(组织)的永久性和暂时性的数据、信息资源具有连续性，包括银行、客户的各种账户、账务和财富信息以及银行IT设施的运行时信息。这是一种过渡形态的备份、容灾策略，对于应对IT系统故障、通信网络故障，甚至是数据中心灾难性故障都是非常有效的。如果发生类似9-11的人为灾难事件或类似阪神大地震的自然灾难，银行的外部(社会、政治、经济等)环境能够容忍一定的时间恢复运营。 (3) IT设施容灾。这应该是最基本的容灾级别，如双机冷备或互为备份、存储系统中的 容错技术，两点之间通信网络通过至少两条不同的物理链路连接，自备供电机组和不间断电源(UPS)等等。目前，国内大大小小95%以上的银行数据中心都具备这种容灾水平。 思考题：根据银行业务特色和具体情况，结合容灾层次特点，谈谈我国银行如何设计容灾系统？ 本单元教学以“银行各容灾级别分析”案例为先导，通过案例的详细讲解，引入系统评估标准与安全策略的相关概念，告诉学生，尽管电子商务的不安全情况在我们身边时常发生，如发生灾难时交易数据丢失的例子，在日常生活中屡见不鲜，但可以通过采用通过评估的系统和安全策略进行安全保护。教师在进行该案例讲授的时候，既要对学生作启发式的讲解，又要通过该案例使学生了解系统评估准则与安全策略的含义。7.1 系统评估准则7.1节 教师可以以图表展示的方式作适当讲解，让学生熟悉国外系统安全评估标准的主要内容。了解安全评估准则提供的是形式化的准绳，根据这个标准，独立于制造商与产品或系统的购买者之外的被授权的、可信的第三方机构可以鉴定产品或系统的安全等级。表7.1 安全评估准则时间 国 别 名 称 1985年12月1990年5月1990年5月1991年2月1996年1月1999年7月 美国法德荷英四国加拿大美国北美及联盟国际标准化组织ISO 可信计算机系统评估准则（TCSEC）欧洲信息技术安全评估准则（ITSEC）加拿大可信计算机产品评估准则（CTCPEC）美国联邦信息技术安全准则（FC）通用信息技术安全评估准则（CC）批准CC成为国际标准ISO/IEC15408-1999 l 可信计算机系统评估准则表7.2 TCSEC 安全等级和功能说明安全等级名 称功 能D低级保护系统已经被评估，但不满足A到C级要求的等级，最低级安全产品 C1自主安全保护该级产品提供一些必须要知道的保护，用户和数据分离 C2受控存取保护该级产品提供了比C1级更细的访问控制，可把注册过程、审计跟踪和资源分配分开 B1标记性安全保护除了需要C2级的特点外，该级还要求数据标号、目标的强制性访问控制以及正规或非正规的安全模型规范 B2结构性保护该级保护建立在B1级上，具有安全策略的形式描述，更多的自由选择和强制性访问控制措施，验证机制强，并含有隐蔽通道分析。通常，B2级相对可以防止非法访问 B3安全域该级覆盖了B2级的安全要求，并增加了下述内容：传递所有用户行为，系统防窜改，安全特点完全是健全的和合理的。安全信息之中不含有任何附加代码或信息。系统必须要提供管理支持、审计、备份和恢复方法。通常，B3级完全能够防止非法访问 A1验证设计A1级与B3级的功能完全相同，但A1级的安全特点经过了更正式的分析和验证。通常，A1级只适用于军事计算机系统 超A1 已经超出当前技术发展，有待进一步描述 l 欧洲信息技术安全评估准则表7.3 ITSEC和TCSEC的关系ITSEC准则 TCSEC准则 含 义 功能级 可信赖等级 分类等级 E0D非安全保护F1E1C1自主安全保护F2E2C2可控安全保护F3E3B1标记强制安全保护F4E4B2结构强制保护级F5E4B3强制安全区域保护F6E6A1验证设计安全保护超A1超出当前技术发展l 加拿大可信计算机产品评估准则表7.4 CTCPEC功能要求和规格等级功 能 要 求 等 级可计算性审计WA-0WA-5识别和验证WI-0WI-3可信路径WT-0WT-3可用性容量AC-0AC-3容错AF-0AF-3坚固性AR-0AR-3恢复AY-0AY-3机密性隐蔽信道CC-0CC-3选择机密性CD-0CD-4强制机密性CM-0CM-4目标重用CR-0CR-1完整性域完整性IB-0IB-2选择完整性ID-0ID-4强制完整性IM-0IM-4物理完整性IP-0IP-4重新运行IR-0IR-2功能分离IS-0IS-3自测试IT-0IT-3l 美国联邦信息技术安全准则表7.5 四种准则安全等级的近似比较TCSECFCCTCPECITSECDE0C1E1C2T-1T-1E2B1T-2T-2E3T-3 T-3 T-4B2T-5T-4E4B3T-6T-5E5A1T-7T-6E6T-7 l 国际通用准则“信息技术安全性通用标准”（CC）是事实上的国际安全评估标准。1999年，CC 被国际标准化组织（ISO）批准成为国际标准ISO/IEC15408-1999并正式颁布发行。表7.6 通用准则的功能类族功能类名称族成员数量通信2识别和验证10保密性4可信安全功能的保护14资源分配3安全审计10TOE入口9可信路径3用户数据保护13表7.7 通用准则的可信赖性类族可信赖性类名称族成员数量配置管理3传递和操作2开发10引导文件2寿命周期支持4测试4脆弱性测验4l 标准的比较与评价 最初的TCSEC是针对孤立计算机系统提出的，特别是小型机和大型机系统。该标准仅适用于军队和政府，不适用于企业。 TCSEC与ITSEC均是不涉及开放系统的安全标准，仅针对产品的安全保证要求来划分等级并进行评测，且均为静态模型，仅能反映静态安全状况。 CTCPEC虽在二者的基础上有一定发展，但也未能突破上述的局限性。 FC 对TCSEC作了补充和修改，对保护框架（PP）和安全目标（ST )作了定义，明确了由用户提供出其系统安全保护要求的详细框架，由产品厂商定义产品的安全功能、安全目标等。 CC定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构。 CC与早期的评估标准相比，其优势体现在其结构的开放性、表达方式的通用性以及结构和表达方式的内在完备性和实用性三个方面。 CC的几项明显的缺点。 7.2 信息安全测评认证准则7.2节是本单元的一个重点，教师要重点进行讲授，尤其是中国测评认证标准与工作体系。教师应选择信息安全测评认证准则中繁荣重点内容，做成幻灯片显示给学生观看，有可能的话，应逐一进行讲解、分析，以加深学生的认识。l 信息安全测评认证制度 测评认证制度的组成 测评检验产品是否符合所定义的评估标准。 认证检验评估过程是否正确，并保证评估结果的正确性和权威性，且公布于众。 测评认证制度的重要性 根据信息安全测评认证制度，产品的使用者就能在众多销售环境下放心地构筑、运用信息系统，开发者也能在可以信赖的指南下开发产品。 信息安全测评认证制度对维护国家的信息安全起着极其重要的作用，对信息安全产业起步较晚且不够完善的中国而言尤为重要。l 安全产品控制 在市场准入上，发达国家为严格进出口控制。 对国内使用的产品，实行强制性认证。 对信息技术和信息安全技术中的核心技术，由政府直接控制。 形成政府的行政管理与技术支持相结合、相依赖的管理体制。 l 测评认证的标准与规范 信息技术安全性通用标准CC，使大部分的基础性安全机制，在任何一个地方通过了CC准则评价并得到许可进入国际市场时，不需要再作评价，大幅度节省评价支出并迅速推向市场。 各国通常是在充分借鉴国际标准的前提下，制订自己的测评认证标准。 l 中国测评认证标准与工作体系 开展信息安全测评认证的紧迫性 评测认证标准 评测工作体系 信息安全测评认证体系，由3个层次的组织和功能构成 国家信息安全测评认证管理委员会 国家信息安全测评认证中心 若干个产品或信息系统的测评分支机构(实验室，分中心等) 测评认证中心 中国国家信息安全测评认证中心(CNISTEC)对外开展4种认证业务 产品形式认证 产品认证 信息系统安全认证 信息安全服务认证 7.3 安全管理的实施7.3节可以让学生自主学习，或教师可根据学生情况来进行讲授。l 安全管理的类型 系统安全管理 安全服务管理 安全机制管理 OSI管理的安全l 安全管理的原则 安全管理平台的设计原则 标准化设计原则 逐步扩充的原则 集中与分布的原则 安全管理平台的管理原则 多人负责原则 系统管理岗位任期有限原则 职责有限、分离原则 l 安全管理的基础 根据安全等级，确定安全管理的范围，分别进行安全管理 制定安全制度和操作规程 重视系统维护的安全管理 制定紧急恢复措施 加强人员管理，建立有利于保护系统安全的雇佣和解聘制度 网络用户安全管理 7.4 制定安全策略7.4节的内容比较抽象，但也比较重要，教师要仔细进行讲授。l 制定安全策略的原则 均衡性 整体性 一致性 易操作性 可靠性 层次性 可评价性 l 制定安全策略的目的和内容 目的： 保证网络安全保护工作的整体、计划性及规范性，保证各项措施和管理手段的正确实施，使网络系统信息数据的机密性、完整性及可使用性受到全面、可靠的保护 内容： 进行安全需求分析 对网络系统资源进行评估 对可能存在的风险进行分析 确定内部信息对外开放的种类及发布方式和访问方式 明确网络系统管理人员的责任和义务 确定针对潜在风险采取的安全保护措施的主要构成方面，制定安全存取、访问规则 l 制定安全策略的层次 按照网络OSI的7层模型，网络安全应贯穿在整个模型的各个层次。 根据内部网(如Intranet)的层次结构，网络安全的层次分为网络层和应用层两个方面： 网络层该层安全策略的目的，是在可用性的前提下实现网络服务安全性。 应用层应用层的安全措施主要有以下几方面： 建立全网统一、有效的身份认证机制。 单一注册。 信息传输加密。 确定是否采用代理服务（Proxy Service）及选择配置方式、维护方式，根据安全防范的重点对象，灵活运用代理服务器与防火墙的不同配置，以达到最大限度同时满足开放性与安全性的要求。 建立审计和统计分析机制。 7.5 系统备份和紧急恢复方法7.5节是本单元的一个重点，教师要重点进行讲授。尤其是系统备份方法中系统备份、数据备份的内涵、对象、方法。l 系统备份方法 系统备份 系统备份主要的对象包括：数据备份，关键设备及部件，电源备份，外部设备及空调设备备份，通信线路备份等。 系统备份对象中的关键设备、部件以及电源的备份：设备备份方式、主机备份方式、高可靠电源备份、网卡备份。 数据备份 数据备份是指将计算机系统中硬盘上的一部分数据通过适当的形式转录到可脱机保存的介质(如磁带，软盘和光盘)上，以便需要时再输入计算机系统使用。 热备份、冷备份 在线的备份称为热备份 脱机数据备份称为冷备份 数据备份的介质 软磁盘 光盘 磁带 硬盘 基本备份方法 日常业务数据备份 数据库数据备份 永久性数据备份 应用项目基本备份 远程备份 l 紧急恢复紧急恢复又称灾难恢复，是指灾难产生后迅速采取措施恢复网络系统的正常运行。 紧急事件的主要内容 制定紧急恢复计划 制定紧急恢复计划的大的原则和至少要考虑的因素： 明确规定事先的预备措施和事后的应急方案 紧急反应 根据网络的实际情况明确紧急反应的等级 紧急恢复计划的制定应简洁明了 7.6 审计与评估7.6节可以让学生自主学习，或教师可根据学生情况来进行讲授。l 安全审计 安全审计的目的：有针对性地对网络运行的状况和过程进行记录、跟踪和审查，以从中发现安全问题。 安全审计的主要功能： 记录、跟踪系统运行状况。 检测各种安全事故。 保存、维护和管理审计日志。 l 网络安全评估网络安全评估是运用系统的方法，根据各种网络安全保护措施、管理机制以及结合所产生的客观效果，对网络系统作出是否安全的结论。网络安全扫描：基于服务器的安全扫描器、基于网络的安全扫描器 评估的主要内容 环境控制 应用安全 管理机制 远程通信安全 审计机制 评估实例 某行业对计算机信息系统(包括网络)的安全竞选检查评估的评分标准，见表7.9 安全检查评估标准。 7.7 容灾技术及其典型应用7.7是本单元的另一个重点，教师要重点进行讲授。教师应主要讲授容灾的基本理论、容灾的关键技术、容灾系统、远程应用级容灾系统模型和企业如何选择容灾解决方案。其他作为一般了解的内容。教师应选择重点内容，做成幻灯片显示给学生观看，有可能的话，应逐一进行讲解、分析，以加深学生的认识。l 容灾理论和技术的发展过程容灾这个概念出现于90年代初期提出的。国内对于容灾技术领域的研究，最早的是在90年代中后期（在1997年）。l 容灾在国内外的规范现状国外政府对数据备份有详细规定；我国香港特别行政区也针对不同行业的特点，对容灾、数据备份有严格的规定；但在国内，目前对这部分的要求还较少。 l 容灾的基本理论 容灾的相关定义： 容灾是在灾难发生时，能够保证数据尽量少的丢失，系统能够不间断地运行，或者尽量快地恢复正常运行。 容灾备份是通过在异地建立和维护一个备份存储系统，利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。 根据容灾系统对灾难的抵抗程度，可分为数据容灾和应用容灾: 数据容灾是指建立一个异地的数据系统 应用容灾比数据容灾层次更高，即在异地建立一套完整的、与本地数据系统相当的备份应用系统 容灾技术与传统数据系统安全技术比较 传统的数据系统的安全体系主要有数据备份系统和高可用系统两个方面。 容灾不仅是一项技术，而应该把它理解为一项系统工程。 容灾的分类表7.10 容灾的分类级 别内 容说 明第一级本地数据容灾只有很低的灾难恢复能力，能应付计算机软硬件方面的系统灾难，在灾难发生后无法保证业务连续性，且需要较长恢复时间。 第二级本地应用容灾能应付计算机软硬件方面的系统灾难，但系统能迅速切换，保持业务的连续性。 第三级异地数据冷备份在本地将关键数据备份，然后送异地保存。灾难发生后，按预定数据恢复程序恢复系统和数据。特点：成本低，易于配置，是常用的一种方法。问题是：当数据量增大时，存储介质难以管理。灾难发生时，大量数据难以及时恢复，对业务影响仍然很大，损失的数据量也较大。 第四级异地异步数据容灾在异地建立一个数据备份站点，通过网络以异步方式进行数据备份。备份站点只备份数据，不承担业务。在对灾难的容忍程度同第3级。但他采用网络进行数据复制度方式，因此两个站点的数据同步程度要比3高，丢失数据也更少。 第五级异地同步数据容灾除了是同步方式以外，基本和上面相同，出现灾难时，数据丢失量比上面小，基本可以做得零数据丢失，但存在系统恢复较慢地缺点。投入成本较大，注：同步数据容灾有距离限制，超过一定范围（10km100km）在目前情况下性能大打折扣，和异步差别不大。它和第4级存在地共同问题是：没有备用应用系统，因此无法保证业务的连续性。 第六级异地异步应用容灾在异地建立一个与生产系统完全相同的备用系统，他们之间采用异步的方式进行数据同步，当生产中心发生灾难时，备用系统接替其工作。该级别的容灾，既可以保证数据的极少量丢失，又可及时切换，从而保证业务的连续性。现在一般采用广域高可靠集群方式实现。 第七级异地同步应用容灾在异地建立一个与生产系统完全相同的备用系统，他们之间采用同步的方式进行数据复制。当生产中心发生灾难时，备用系统接替其工作。该级别的容灾，在发生灾难时，可以基本保证数据零丢失和业务的连续性。 容灾的等级标准l 容灾的关键技术 数据存储管理 数据存储管理指对于计算机系统数据存储相关的一系列操作（如备份、归档、恢复等）进行的统一管理。 数据存储管理包括数据备份、数据恢复、备份索引、备份设备及媒体和灾难恢复等。 数据复制 数据复制即将一个地点的数据拷贝到另一个不同的物理点上的过程。 数据复制分为同步数据复制和异步数据复制。 实现数据异地复制，有软件和硬件方式两种途径。 灾难检测 对于灾难的发现方式，一般是通过心跳技术和检查点技术。 系统迁移l 容灾系统 衡量容灾系统的技术评价指标：公认的标准有RPO /RTO。 容灾系统的系统结构 本地生产系统本地备用生产系统生产数据中心本地数据备份中心异地应用系统异地数据中心系统迁移灾难检测数据备份数据同步本地高可用系统本地容灾系统异地容灾系统l 远程应用级容灾系统模型数据源容灾主系统容灾平台容灾平台备应用系统主应用系统容灾备系统远程容灾同步数据业务数据信息业务数据信息业务数据信息业务数据信息图7.2 远程应用级容灾系统模型l 企业如何选择容灾解决方案 国外企业在选择容灾解决方案方面积累的经验 国外的主流容灾产品：HP、VERITAS、IBM 公司解决灾备问题的方法l 银行各容灾级别及案例分析 银行各容灾级别分析根据银行业务特色和具体情况，综合的概括为以下容灾层次： 业务连续性容灾 数据连续性容灾 IT设施容灾 案例分析 中国建设银行我国最早引入和应用容灾系统 单元小结 本章介绍了系统评估的准则与安全策略。 系统评估准则，如今国际通用的是信息技术安全标准（CC），其体现了结构的开放性、表达方式的通用性以及结构和表达方式的内在完备性和实用性三个方面的优势。 信息安全测评认证制度由测评和认证两大过程组成，“测评”就是检验产品是否符合所定义的评估标准，“认证”即检验评估过程是否正确，并保证评估结果的正确性和权威性，且公布于众。 按OSI的安全体系结构标准，安全管理可分为系统安全管理、安全服务管理、安全机制管理、OSI管理的安全4种类型。 安全策略要遵循均衡性、整体性、一致性等原则。 安全审计的目的是利用审计机制，有针对性地对网络运行的状况和过程进行记录、跟踪和审查，从中发现安全问题。课后作业阅读教材第一章P193P223，完成教材P223P226的复习题。5 实践内容本单元后3课时安排学生上机，内容可安排：（1）网站，让学生查找、了解相应的有关系统评估准则与安全策略方面的背景资料和内容介绍。（2）素材1：登录公安部信息安全等级保护评估中心网站（/Release/），了解、掌握等级保护的最新发展与关键技术。（3）网站，让学生收集系统评估与安全策略方面的解决方案，给自己的企业案例设计合适的系统评估与安全策略应用解决方案。提交案例。（4）素材2：登录安络科技网站（ /），了解风险评估系统及相关技术。（5）素材3：登录国家信息安全风险评估网站（），了解安全评估有关的评估工程、技术培训、工具推广、系统开发、技术支持、产品研制、工程监理等内容。（6）实验：数据容灾技术的应用实验目的：熟悉数据容灾的概念、原理和数据容灾技术；熟悉用数据备份构建安全商务系统解决方案。 基本要求：在Sql Server 2005上进行各种数据备份技术的配置与应用；了解数据冗余是数据容灾技术的应用。6 参考答案案例思考：案例分析 我国最早引入和应用容灾系统的是中国建设银行，建行总行资金清算容灾系统主要是为 了保障总行的资金清算系统的运行安全而建立的。建设银行的资金清算系统是1996年10月份 正式对外推出的业务，该系统的推出代替了原有的手工联行处理模式，覆盖了全国3000多个营业网点，现在每天处理的交易资金量达到100多亿元，高峰期间能达到四、五百亿元。对于资金清算系统的容灾，原先采用了本地备份的方式，除双机热备份系统外，在本地建立一套冷备份系统，每天晚上进行备份，网络备份依靠拨号线路。由于建总行的资金清算系统是全国资金汇划的枢纽，资金往来数量巨大，一旦出问题各地分支机构的许多业务都将停滞，后果严重。为了保护客户的利益，维护建设银行的声誉，建总行决定着手建立更先进完备的灾难备份系统。 1997年4月份建总行开始对灾难备份系统进行考察、设计和规划，经过对EMC存储设备系统 的大量测试，建行认为其容错性很好，且对业务系统的正常运行没有影响，对用户来说是透明 的，与操作系统、应用软件无关，操作起来较简单。但这套系统相对来说数据传输量大，尤其 是在同步数据复制模式下对通信线路要求很高，而且通信费用颇高。由于此前建设银行与电信 部门合作投资建设了光纤工程，建总行在生产中心、备份中心、办公大楼三地之间建有光纤城 域网络，因此解决了通信线路和通信费用的难题，这给建设灾难备份系统提供了一套非常好的 环境，可以满足EMC存储系统要求2M以上的传输带宽的要求。 经过反复论证及测试，方案采用HP9000/T600作为生产系统主机， HP9000/T500作为异 地灾难备份系统主机， EMC的SRDF远程磁盘镜像技术作为数据备份技术，在生产中心和灾 难备份中心之间通过直连光纤实现数据备份通道，从而构成总行资金清算灾难备份系统。为了 进一步增加系统的可靠性，在方案中还采用了EMC TimeFinder快速可分离逻辑卷技术，在备 份中心另外建立一个数据库DB Space的定时备份，解决由于生产中心系统失败时对数据库 DB Space的破坏，造成数据库备份中心数据库不能启动的问题。课堂练习思考：1CC的一般使用方法是怎样的? CC的一般使用方法是:由用户按照安全功能需求来定义产品的保护框架PP，厂家根据PP文件制订其产品的安全目标文件(ST)，然后根据产品的安全目标文件ST开发产品。 开发出的产品将作为评测对象(TOE)进行安全功能和安全可信度的评测。 2CC与早期的评估标准相比有哪些优势? CC与早期的评估标准相比，其优势体现在其结构的开放性、表达方式的通用性以及结构和表达方式的内在完备性和实用性三个方面。 (1)开放的结构使得CC提出的安全功能要求和安全保证要求都可在具体的PP和ST中 进一步细化和扩展，且这种结构更适应信息技术和信息安全技术的发展。 (2)通用的表达方式则使得用户、开发者、评估者等目标读者都可使用CC的语言，互相之间的沟通与理解就比较容易实现。 (3)CC结构和表达方式的内在完备性和实用性具体体现在PP和ST的编制上。CC的编制，有助于提高安全保护的针对性、有效性;而ST在CC的基础上，则解决了要求的具体实现。 通过CC和ST这两种结构，就便于将CC的安全性要求具体应用到IT产品的开发、生产、测试、评估和信息系统的集成、运行、评估、管理中。3.信息安全测评认证制度 信息安全测评认证制度:具体来说，信息安全测评认证制度由测评和认证二大过程组成，测评就是检验产品是否符合所定义的评估标准，测试是一种技术操作，它按规定的程序对给定产品、材料、设备等的一种或多种特性进行判定；评估是对测试/检验产生的数据进 行分析，形成结论的一种技术活动，由于目前计算机技术和自动化工具的发展，测试和评估往往是合为一体的。认证即检验评估过程是否正确，并保证评估结果的正确性和权威性，且公布于众。 4信息安全测评认证体系的建立和运行，对我国国家的信息化具有怎样的现实意义?信息安全测评认证体系的建立和运行，对我国国家信息化的各个方面都具有十分现实的意义。首先，对我国按国际惯例建立和实施有关信息产品，信息安全产品的市场准入制度，技术管理和信息系统运行控制制度等方面的决策，提供科学公正的技术依据。其次，对各方用户采购信息安全产品、设计、建设、使用和管理安全的信息系统提供权威公正的专业指导；第三，对信息安全产品的研究、开发、生产企业和提供其他信息安全服务的企业，进行严格规范 与科学引导，提高其市场竞争能力和技术进步水平。 5.网络安全 网络安全:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常运行，网络服务不中断。网络安全从本质上来讲就是网络上的信息安全。 6.介绍安全策略制定的目的是什么。 制定安全策略的目的是为了保证网络安全保护工作的整体、计划性及规范性，保证各项措施和管理手段的正确实施，使网络系统信息数据的机密性、完整性及可使用性受到全面、可靠的保护。 7.叙述制定安全策略中内部网的层次。 根据内部网(如Intranet)的层次结构，网络安全的层次可分为网络层和应用层两个方面。 (1)网络层。该层安全策略的目的，是在可用性的前提下实现网络服务安全性。比如为在网络层限制不安全的访问，可设置一道防火墙。根据安全规则过滤可能危及内部网络安全的数据包，但要注意一般防火墙最大的不足是不能进行身份认证和授权管理，并且在安全控制上是粗粒度的，在网络层可以采取网络安全检测工具和手段，以发现网络系统潜在的安全漏洞，主动地防止黑客利用其进行攻击。网络的安全漏洞有时是系统配置、防火墙设置不当造成的，这些都要通过检测工具和手段来发现。 (2)应用层。在网络层重点解决的是网络系统安全问题、应用层重点要解决的是数据安全与保护问题。通过在网络层和应用层实施对系统安全和数据安全保护的有机结合，并采取技术措施与管理手段的结合，形成整体有效的防护体系。应用层的安全措施主要有以下几方面: 1)要建立全网统一、有效的身份认证机制。 2)以身份认证和资源管理为基础，实现对全网用户和资源的集中授权管理。无论单一平台，还是异种平台，应允许用户在客户端通过验证后，所选用的应用软件和资源不再需要其他的验证。 3)单一注册。通过集中式数据库增添、修改、删除用户，根据用户的工作职责和业务需要赋予口令、识别号和对应用软件的访问权限。 4)信息传输加密。这里包括两个方面，一方面是保护数据的完整性，如采取数字签名；另一方面是保护数据的保密性，即数据不是可以随意窃昕的明文，这可以通过加密来实现。 5)确定是否采用代理服务及选择配置方式、维护方式，根据安全防范的重点对象，灵活运用代理服务器与防火墙的不同配置，以达到最大限度同时满足开放性与安全性的要求。 6)建立审计和统计分析机制。 8.单一注册 单一注册:通过集中式数据库增添、修改、删除用户，根据用户的工作职责和业务需要赋予口令、识别号和对应用软件的访问权限。 9.简述基本的数据备份方法。 (1)日常业务数据备份。又可称为增量备份。即在己做了摹本备份之后，对系统中新增加的文件与数据进行拷贝备份，这些数据主要是日常业务中产生的各类信息，数字报表等。数据备份工作可以由系统管理员和数据处理操作人员分别以不同方式共同执行。系统管理员负责定期的全面备份，可以文件的方式备份到磁带上，例如每周末备份一次，每次备份的磁带保存若干个月，循环使用。数据处理操作人员进行本业务的即时数据备份，备份或传送到服务器上做磁带备份，或在客户端用软盘备份，此外，每日业务备份还能提供一个可用于分析非法入侵者入侵系统行径的记录，当系统受到攻击时，应查阅那些先前的备份文件。因为入侵者往往会留下一些文件，或留下对文件改动的记录，尽管他后来会删除或复原但系统做了各份，这些 备份会成为向公安，司法部门提供的依据。 (2)数据库数据备份。数据库管理软件一般具有联机备份和脱机备份两种方法，对于数据修改量较少的数据库可采用脱机备份。变动较频繁的数据库则采用联机备份。如Oracle RDBMS具有装入/输出( Import/Export)功能，可以按表、用户、全库等不同方式输出库中数 据，形成压缩的Oracle格式备份文件送入磁带；也可以用较大容量的备份磁带机联机运行，建立归档运行模式(Archivelog Mode)进行联机备份。如有必要。数据库用户也可以做数据备份，将需要备份的数据，备份到磁带上，如数据量不大时也可备份到客户机上。 (3)永久性数据备份。对于不会改变的、需要水久保存的数据，要采取稳定、持久的备份技术介质做永久性数据备份。 (4)应用项目基本备份。于系统中各个应用项目所涉及的文件数据进行拷贝备份。 (5)远程备份。离开计算机网络中心进行拷贝，将文件、数据备份到远离主机的设备中，比如用远程通信的方法把数据通过通信线路传出进行备份。此外，将数据分别存储在网络的远程工作站上，也是一种异地备份。 10.双电源 双电源:是指服务器由两个电源供电，两个电源都插在UPS上，这两个电源是可热 插拔的，其中一个电源单独工作时应己满足系统的需要。正常情况下，双电源均衡工作，这时如果关掉一个电源，系统不会受到任何影响，也不会出现电源转换时发生的晃动现象， 在这种双电源的基础上，为保证万无一失还要采取双路供电方法，以防止UPS的线路出现了故障致使双电源措施失效。双路供电就是一组电源线路从UPS引出，另一组线路从市电引出， 两个电源分别接在这两组不同的电源线路上，这样即使线路出了故障，服务器也照样能够得到供电。 11. S.M.A.R.T技术 S.M.A.R.T技术:即自动监视分析及报告技术。通过监视和分析硬盘工作时的状态和性能并显示出来，使用户可以随时了解硬盘的工作情况。当硬盘发生故障时，用户可以及时获得警告以及时采取措施挽救硬盘中的数据。 12.磁盘冗余阵列(RAID)技术 磁盘冗余阵列(RAID)技术:即把若干个硬盘驱动器按一定规则组合起来，比如其中一个是热备份盘，其余的盘是数据盘和校验盘，整个阵列统一由阵列控制进行管理，从整体上看好像是一个单一的大磁盘。 13.网络系统安全审计 网络系统安全审计:是指在网络系统中模拟社会的监察机构对网络系统的活动进行监视和记录的一种机制。14.介绍安全审计的主要功能。 安全审计的主要功能: (1)记录、跟踪系统运行状况。利用审计工具，监视和记录系统的活动情况，如记录用户登录账户，登录时间，终端以及所访问的文件，存取操作等。并放入系统日志保存在磁盘上，必要时可打印输出，提供审计报告。使影响系统安全性的存取以及其他非法企图留下线索，以便查出非法操作者。 (2)检测各种安全事故。审计工具能检测和判定出系统的攻击，如多次使用错误口令登录系统的尝试，及时提供报警甚至自动处理，使系统安全管理人员能够了解系统的运行情况，及时堵住非法入侵者，审计工具还能识别合法用户的误操作等。 (3)保存、维护和管理审