教学材料《网络安全》-第九章

9.1身份管理身份管理是信息安全管理重要的组成部分。用户只有在访问相关信息系统或资源时，明确了具体的身份，系统才可以选择是通过还是拒绝。当用户通过了验证后，系统才能根据用户身份进一步明确其授权和责任。

随着计算机网络和信息技术的迅速发展，企业信息化的程度不断提高，在企业信息化过程中，诸如OA,CRM,ERP等越来越多的业务系统应运而生，提高了企业的管理水平和运行效率。与此同时，各个应用系统都有自己的认证体系，随着应用系统的不断增加，一方面企业员工在业务系统的访问过程中，不得不记忆大量的账户口令，而口令又极易遗忘或泄露，为企业带来损失;另一方面，企业信息的获取途径不断增多，但是缺乏对这些信息进行综合展示的平台。下一页返回9.1身份管理身份管理的技术(或ID管理)应设法解决有关用户多账户确认和认证问题的安全漏洞。这些问题包括以下几方面:

弱密码创建。由于用户有多个账户，因此采用弱密钥以便于记忆。

电子商务“瓶颈”。网上安排旅程的用户必须登录网上订票系统、汽车租赁网、旅店预定系统或其他使用不同用户名和密码的系统。很多专家认为，这将限制电子商务的使用范围。

负担过重的支持人员。大家都号召网络和计算机支持人员提供更高水平的支持服务，然而这样会使他们负担繁重的工作。包括前台的重设密码、禁用停职或离开员工的账户和改变访问权限等。上一页下一页返回9.1身份管理总之，组织要努力实现安全管理的认证与内部网和外部网的访问，以及不同平台上的信息，如图9-1所示。

身份管理或许是一个解决方法，即不同网络或网上业务使用同一个认证ID。身份管理如图9-2所示。每个网络或业务都是连接的，例如，在汽车租赁系统输入用户名和密码，因此相同的用户就可以登记票和预订旅店。

身份管理系统有4个重要元素。第一个要素是单一登录(SSO)，它允许用户登录一次网络或系统就可以访问多个应用程序或系统。SSO系统保存了用户登录访问应用程序的数据库。用户可以创建应用于所有程序的安全密码(如由数字和字母组成，长度超过12位，且不是用户名的一部分)。上一页下一页返回9.1身份管理用户使用密码或生物测定法认证后，就可以访问程序。当打开应用程序时，SSO翻译应用请求并自动向该程序提供认证信息。交易对用户是透明的。在允许访问前，SSO需要自己验证用户身份和权限的架构。

整合含有基于网络应用程序的SSO服务器通常比整合遗留系统要容易许多。旧系统通常使用所有权模式处理认证，需要大量定制调整以与SSO服务器交互。正因为如此，许多SSO服务器只应用于网络应用程序。上一页下一页返回9.1身份管理第二个要素是密码同步。与SSO类似，密码同步允许用户使用单一密码登录多个服务器。然而，密码同步并不保存用户机密数据库，而是确保用户登录的每个应用程序都有相同密码。虽然有时会认为密码同步不如SSO先进，但它却不需要自己的架构。

第三个要素是密码重置，它降低了密码相关的前台服务成本。而身份管理系统让用户自己重置密码，不需前台帮忙即可打开账户。用户可以通过网络浏览器、客户端程序或电话系统的交互语音进行操作。所有密码重置需求都必须授权。第四个要素，也是身份管理的最有趣元素之一是访问管理。访问管理软件控制访问网络的人员，同时管理访问内容和用户网上操作的业务。它为管理者提供集中命令结构。功能之一就是管理员可以把管理允许权限授予业务经理及其他方。上一页下一页返回9.1身份管理使用ID管理的SSO系统是基于两个完成的标准之一的自由联盟和身份网络服务框架的。然而，现在有将两个标准合二为一或在它们之间提供无间隙传输的趋势。

目前微软软件部分支持身份管理。例如，分散的用户身份管理缺乏统一的安全管理策略和审计策略，给操作系统的安全性、数据的保密性带来潜在的巨大隐患。AetlVeDlreetnrv作为WindowsServer2003重要组成部分，它具备高度可用性。政府或企业部门通过部署ActiveDirectory，可以实现政务系统或应用系统中统一的数字身份管理。通过AD技术并结合组策略(GroupPolicy)根据不同用户级别、使用范围进行细粒度的用户桌面控制，从而达到对客户端桌面实施严格、周密的统一控制、管理。上一页返回9.2通过权限管理加固系统9.2.1责任

几乎在生活的每一部分，责任都是集中或分散的。考虑快速食品店连锁店。每个地点都是完全自治的，可以决定聘请人员、开门时间、产品价格和调味品品牌。这种分散的方法具有很多优点，如灵活性。每个店都可以适应周围人群的口味，并马上做出反应。然而，由于地点不同，难以实现所有店集中节约成本，不能同时培训所有店的服务员，也不能集中购买调味品，还有每个店都必须有自己的高层管理人员。下一页返回9.2通过权限管理加固系统另一种方法是集中组织。国内总部规定每个店的产品、开门时间和制服。每个店不存在自己的个性。由于管理结构统一，集中管理可以节省成本，但决策时间较长，而且缺少灵活性。

权限管理的责任也是集中或分散的。在集中结构中，集中负责所有权限的授予和撤回。这样就建立了权限管理的统一方法，但同时过程比较缓慢。用户通常要等待几天甚至更长时间。由于用户缺乏控制，他们可能会采取一些权宜方式，如使用同事账户和密码访问文件或从家里带来无线接入口。上一页下一页返回9.2通过权限管理加固系统权限管理的分散管理结构把权限的授予和撤回分为几个小单元，如允许每个地点聘请网络管理员管理权限。缺点是每个地点只有一个网络管理员，造成安全性有限。如果本地网络管理员没有全局意识，提供访问权限的同时可能会损害其他组织单元的利益或出现安全漏洞。

因此应选择一种最佳的方式。或许将集中与分散组织结合起来就是最佳的选择。公司办公室规定权限标准，但每个地方负有实施标准的责任。两种方式的结合可能是授权的最佳平衡。上一页下一页返回9.2通过权限管理加固系统9.2.2授予权限

权限是用户完成既定责任的能力。只有被恰当授权的用户才能在系统中或网络上完成相关操作。但授权要恰当。不足的授权使用户无法完成既定的工作，过高的授权又会增加用户误操作和其他安全事故引起的风险。可以以用户、用户组或用户角色为对象授予权限。下面将详细介绍。上一页下一页返回9.2通过权限管理加固系统1.用户权限

如果以用户为对象授予权限，那么就应该根据用户需求来决定其权限。授予权限的最佳方法是制定应用于所有用户的基准安全模板。

所有操作系统都有一种提供最高权限的账户。MicrosoftWindow*把这类账户称为管理员账户，而UNIX和Linux操作系统称其为超级用户或根用户。这种权限水平可以对所有文件、驱动器和命令进行访问。Linux系统管理员必须成为超级用户后才能执行某些功能，如建立新账户、改变密码及其他普通用户出于安全原因不允许执行的任务。超级用户的登录名一般为根，用户ID号码为0。用户ID(UID)是Linux为特定用户名设置的唯一用户ID号码。UID号码从0到65535;0代表超级用户，0-99是为其他目的而保留的。除了直接以超级用户登录，以系统管理员登录再使用sn命令暂时成为超级用户也是很好的方法。上一页下一页返回9.2通过权限管理加固系统当决定用户访问权限时，可以应用强制访问控制(MAC)和自主访问控制(DAC)。MAC是最受限的模式。在该模式中，用户不允许为其他用户使用的某实体授权。因此所有控制都受限，在实体层没有灵活性。最不受限的模式是DAC。在该模式设置中，可以为其他用户调整权限。虽然这给予了用户某种程度上的自由，但DAC也存在错误授权的危险。当对用户授权时，应使用MAC而不是DAC。上一页下一页返回9.2通过权限管理加固系统2.组权限

因为用户的数量可能较多，为每一个用户设置权限工作较为复杂，工作量也很大。其实在实际工作中，可以根据用户的工作职责和内容将其分组，然后以组为对象设置权限。当希望为某用户设置权限的时候，只需要将用户加入到相关的组中。因为组中的成员会自动继承组的权限。

以组为对象设置权限大大简化了权限设置的复杂程度，减轻了管理员的工作量。但在实际使用中也应注意相关的问题。例如，一个用户可能属于多个组，用户的权限通常是组权限的累加，但各组的权限有冲突时应该如何处理?上一页下一页返回9.2通过权限管理加固系统3.角色权限

处理用户或组权限是很费时的，即要先建立权限，而后随着用户接受新责任或调换新岗位而随时调整。除了对用户和组设置权限外，还可对职位或角色授权，然后授予用户职位或角色。基于角色访问控制—RBAC模式的灵活性使其容易基于工作的分类以建立和加强权限。用户在RBAC中可以有多个角色。上一页下一页返回9.2通过权限管理加固系统9.2.3监督权限

用户应该做到定期监控授予的权限。没有监控，就不可能了解用户是否给予了过多不必要的权限以致造成安全漏洞。目前有3种用户权限监控方式:使用监控、权限监控和增加监控。下面将详细介绍。1.使用监控

使用监控，也叫做日志，是查看用户在系统或网络中操作行为的过程。使用监控提供每个行为的详细记录，如日期和时间、用户名和其他信息。图9-3所示是典型的windows事件查看器，而图9-4显示了Linux系统的文件使用。上一页下一页返回9.2通过权限管理加固系统在WindowsXP中，事件是在系统或程序中发生的、要求通知用户的任何重要事情，或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志，可以获取有关硬件、软件和系统组件的信息，并可以监视本地或远程计算机上的安全事件。事件日志可帮助用户确定和诊断当前系统问题的根源，还可以帮助预测潜在的系统问题。上一页下一页返回9.2通过权限管理加固系统基于WindowsXP的计算机将事件记录在以下3种日志中:(1)应用程序日志。应用程序日志包含由程序记录的事件。例如，数据库程序可能在应用程序日志中记录文件错误。写入到应用程序日志中的事件是由软件程序开发人员确定的。(2)安全日志。安全日志记录有效和无效的登录尝试等事件，以及与资源使用有关的事件(如创建、打开或删除文件)。例如，在启用登录审核的情况下，每当用户尝试登录到计算机上时，都会在安全日志中记录一个事件。用户必须以Administrator或Administrators组成员的身份登录，才能打开、使用安全日志以及指定将哪些事件记录在安全日志中。上一页下一页返回9.2通过权限管理加固系统(3)系统日志。系统日志包含WindowsXP系统组件所记录的事件。例如，如果在启动过程中未能加载某个驱动程序，则会在系统日志中记录一个事件。WindowsXP预先确定由系统组件记录的事件。上一页下一页返回9.2通过权限管理加固系统2.权限监控

权限监控查看授予特定用户、组或角色的权限。监控设置了用户期望权限列表。例如，如果用户在财务部门工作，他们应该有访问月财务报告和数据文件的权限。开发期望权限列表可以通过查看人力资源部的用户工作详细分类来完成。然后，与用户上级交流并了解是否由于用户承担特殊项目而授予了特别权限。应该认真查看权限请求的书面文件。

权限监控包括用户应该授予的权限。通过检测用户权限，把期望权限与用户实际授予的权限进行对比，就可立即反映出差异。如果财务部门的用户暂时授予特别项目的薪水文件，但项目结束后未删除权限，要进行以下步骤。上一页下一页返回9.2通过权限管理加固系统第一，立即终止这些文件的权限。查看日志文件了解该用户在项目结束后是否使用过该权限。如果用户访问过这些文件，则与用户进行交流，且人力资源、人员及其上级都必须参加。

第二，一定要调查用户允许继续访问文件的原因。针对某些问题，例如上级是否终止权限的请求，组织是否缺乏这方面的规定以及网络管理员是否存在这方面工作的失误，确认权限没有按期删除的原因。上一页下一页返回9.2通过权限管理加固系统3.增加监控

增加监控查看监控并确定权限是否过度增加。例如，合理分配Linux用户的权限，避免造成不合理的权限授予，以及避免用户使用权限隐藏自己的真实身份。这样就可决定访问是否合法或是否发生安全漏洞。上一页下一页返回9.2通过权限管理加固系统一种臭名昭著的攻击叫做权限增加攻击，攻击者企图不经允许来增加权限。例如，以前版本的AppleMacintoshVersion10(MacOSX)操作系统就存在该种攻击的漏洞。MacOSX的某程序使用特殊内存区域的信息决定写信息的地点，这叫做环境变量，用户可以在写入文件信息的存储区域设置环境变量。如果文件已经存在，它会被删除;如果文件不存在，它会被创建。然而，创建程序的某些属性就会转移到新文件中。在MacOSX中，此漏洞可以用来建立如“维护脚本”的自动运行文件，并用以清理系统。由于那些脚本在根权限下运行，它们可以创建文件并赋予攻击者MacOSX系统管理员权限。现在已经有针对该攻击的补丁。上一页返回9.3变更管理计划变更管理涉及变更以及跟踪变更的方法。网络设置的偶然变更通常会缓解紧急问题。如果没有适当的文件，未来的变更可能会否定或削弱之前的变更甚至产生安全漏洞。而变更管理寻求系统改变的方法，并提供必要的变更文件。

变更管理要求确认变更并为其创建文档。本节将详细介绍变更管理的每一步骤。虽然变更文档有时也作为变更管理的同义词，但它只是其中的一部分。下一页返回9.3变更管理计划9.3.1变更管理程序

由于变更会影响所有用户，且不一致的变更会导致意外的服务干扰，因此很多组织会创建变更管理团队(LMT)来指导变更工作。技术体系结构或软硬件组件建议的变更(增加、调整、变动或删除)，包括服务的干扰，都必须首先有LMT的允许。团队由IT(如服务器、网络或公司服务)、网络安全和高水平管理人员的代表组成。变更管理协调员统领全队。LMT的职务包括以下几方面:上一页下一页返回9.3变更管理计划查看建议变更。

确保明确了解计划变更的危险和影响。有时请求其他信息和说明是必要的。

投票表决同意、不同意、延期或退出变更。

与该领域工人交流有关建议和允许的变更。

该过程一般从用户或管理者完成变更请求表开始。虽然这些表格不完全相同，但基本包括以下这些信息:上一页下一页返回9.3变更管理计划变更号。唯一的变更控制号码。请求者。提出变更的人，变更管理服务过程的代表，负责变更的主要人员。团队领导/管理者。对变更负责的执行层股东和授权变更的最直接人员，包括必要的资金。代理。最直观受到变更影响的业务过程负责人。变更描述。变更的简要描述。变更原因。变更的业务原因总结，如项目参考。变更日期。每个状态改变的实际、理想或期望的日期，如2006年的3/4时间或2005年9月。上一页下一页返回9.3变更管理计划变更组件。由于变更会影响到一个或多个组件(如硬件、软件、网络、设置数据、建筑设施、组织结构或工作程序)，因此获得并唯一确认每个变更组件及其地点是很必要的。

影响类别。环境和用户影响的宽度和广度分类表。危险类别。影响失败可能性和弥补难易程度的列表。前台。提供变更相关支持的主要责任组。管理核对表。变更批准的内容指示表，如测试计划、通信计划、培训计划和拆除计划。评价结果。实施后评价结果总结。上一页下一页返回9.3变更管理计划正常情况下，变更管理协调员定期举行LMT会议并讨论变更请求表中的变更。变更请求的发起人必须参加会议，否则变更不予考虑。变更请求的截止日期设置必须给LMT成员足够时间考虑，如会议前一天下午一点。特殊情况下，也可能提供紧急变更请求。如果在下次会议前需要完成请求，且提出请求后的24小时后会发生事件，那么说明它很紧急。影响范围的IT管理人员负责认定紧急请求并交与LMT。突发变更管理请求一般是由于请求失败或IT组件即将失灵。上一页下一页返回9.3变更管理计划9.3.2应记录的变更

虽然变更管理涉及信息系统的各种变更，但其中有两种安全变更必须做适当记录。第一种变更是系统架构变更，如网络引入新服务器、路由器或其他设备。这些设备可能会替代已有设备，或新设备会扩展网络功能。需要编辑新设备属性的详细列表，包括以下几方面:上一页下一页返回9.3变更管理计划因特网协议(IP)和MAC地址。

设备名称。

设备种类。

功能。

库存标记号。

地点。

制造商。

制造商序列号。

模型和部件号。

软件或硬件软件版本。上一页下一页返回9.3变更管理计划此外，设备适应网络整体安全架构的方式也该记录。针对某些问题，例如，是在隔离区还是在防火墙背后设置网络安全的架构;哪些地点在网络拓扑结构中存在安全漏洞;攻击者对付网络安全架构的方式及其攻击的策略，对系统架构中所有变更的理解就显得尤为重要了。

第二种变更是分类，它主要涉及记录。政府文件的分类设计基本都是最高秘密、秘密、机密和普通。虽然很多组织不会设置如此多的分类，但可能会有标准文档和机密文档，因此必须明确标明公开使用的文档。大多数文件建立应用程序都有对文档分类的功能，如图9-5所示上一页下一页返回9.3变更管理计划对变更分类时，所有用户必须予以注意，而且文档分类也是必需的。为了保护文档和提醒用户注意，必须有明确清晰的过程。此外，还应记录如下一些影响组织安全的变更内容:

用户权限变更。

网络设备(如服务器或路由器)设置变更。

网络设备的损耗。

客户计算机设置变更。

安全人员变更。上一页下一页返回9.3变更管理计划9.3.3记录变更

对系统架构、文档分类或其他重要安全元素应该明确记录。组织应该有用户必须遵循的标准和方针。应该定期查看和更新日志文件和库存变更。

由于记录为攻击者提供了大量有用信息，因此只有校验时才可以拷贝，而对于拷贝、发送或删除都应有明确规定。升级后，必须要确定文档记录的保留时间。一些安全专家建议所有文档记录的保存期限至少为3年。保存期限过后，文档记录应被安全删除或处理以使其不能恢复。上一页返回9.4持续运行管理持续运行是评价风险的过程，如果风险存在，必须要开发管理战略以确保持续运行。风险可以是外部的，如缺少能源，也可以来自于组织内部，如员工破坏计算机系统。持续运行与后文所述的灾难恢复不同。持续运行不仅关心灾难后的恢复，而且关注一切影响组织连续服务的事情，如特定领域人员的短缺。下一页返回9.4持续运行管理持续运行管理要建立组织在危机事件中的持续运行计划(BCP)。BCP的基本步骤是:(1)了解运行。对组织的目标、重要任务过程和外部影响必须有明确的认识。(2)规范持续战略。战略要根据事件有所不同。战略可以是不做、改变或结束过程和调整运行本身以减少影响。(3)做出反应。危机发生时如何解决。例如，关键员工离开后应该找新人替代吗?(4)检测计划。应该进行BCP组件的实际检测并对其分析，以进行必要的调整。上一页下一页返回9.4持续运行管理9.4.1维护公共事务

公共事务的破坏应该是组织主要的关注点。电力、电话服务、水、污水处理或天然气都是必需的。然而，减少所有这些事务的破坏是不现实的，如储存上千加仑水或维护双重污水处理系统。幸运的是，水和污水处理比其他都稳定。破坏电话系统可以通过员工使用手机而暂时解决。上一页下一页返回9.4持续运行管理持续运行计划(BCP)主要关注的应该是电力服务。组织可以短时间缺水，而断电将使组织立即停止运行。持续供电(UP匀是在电力和其他设备间的外部设备。UPS的主要目的是在断电下持续供应电力。UPS不只是个大电池。例如，UPS系统可以与服务器上的网络操作系统通信以确保正常断电。特别是一旦断电，UPS可以完成以下任务:上一页下一页返回9.4持续运行管理向网络管理员计算机发送特别信息，或给网络管理员打电话呼叫通知。

警告所有用户必须完成工作后立即注销。

防止任何新用户登录。

截断用户连接，并关闭服务器。

除了提供电力外，UPS还可“清理”电力，使其在到达服务器前保持稳定电量。UPS还可以作为电流保护器，防止过猛电流对服务器的伤害。UPS可以提供暂时电力。长时间断电就需要外部发电机了。利用柴油发电，发电机可以供应整个大楼几小时甚至几天。然而，建设发电机是很昂贵的，不仅要持续维护，还要定期测试以确保其可以处理组织对电力的需求。上一页下一页返回9.4持续运行管理9.4.2适当容错建立高可用性

容错可使组织更好地使用该系统。容错防止单一问题发展成整体灾难，并通过保持冗余完成。网络文件服务磁盘是容错的重要区域。网络服务器应该安装一个或多个冗余磁盘以提供保护。如果主硬盘损坏，其他磁盘可以立即投入使用。容错服务器的磁盘是基于RAID(独立冗余磁盘阵列)标准的。RAID的基本思想就是在服务器上安装多个磁盘。服务器上的众多磁盘就如同是一个磁盘。如果一个磁盘坏了，其他磁盘会继续在服务器和网络上运行。上一页下一页返回9.4持续运行管理RAID基本有6层，RAIDO到RAIDS:RAIDOoRAIDO技术是以条带为基础的。每个磁盘存储空间分成的较小部分叫做条带，它可以是512位或上兆位。数据从RAM写入不同磁盘的条带有所不同，如图9-6所示。虽然RAIDO使用多个磁盘，但它不能容错。如果一个磁盘损坏，数据会损失。

RAID1.RAID1可设置为两种方式。第一种是磁盘镜像。磁盘镜像连接服务器上的不同磁盘到同一磁盘控制卡上，如图9-7所示。上一页下一页返回9.4持续运行管理当服务器请求写或删除数据时，控制卡向每个磁盘发送请求。通过在主磁盘的“镜像”，其他磁盘就被完全复制。在主磁盘损坏时，其他磁盘不会损失任何数据。磁盘镜像有时叫做“即时网上备份”。另一种设置叫做磁盘转接。与磁盘镜像带有磁盘控制卡不同，每个磁盘的磁盘转接都有单独卡，如图9-8所示。这种冗余可以预防控制卡失灵。磁盘镜像中，如果控制卡失灵，磁盘和服务器就不能运行。而磁盘转接中，单独控制卡失灵不会影响磁盘，其他磁盘可以继续工作。RAID1还可以通过不同磁盘单独读取数据来改善服务器性能。这使得RAID1成为最有效的RAID技术。上一页下一页返回9.4持续运行管理RAID2。类似RAIDO,RAID2在磁盘中分条带。磁盘故障时使用的特殊错误更正代码(ELL)存储在单独磁盘中。由于每个磁盘都需要ELL，而大多数磁盘控制卡都内嵌ELL，因此目前很少使用RAID2。如图9-9所示。

RAID3。RAID3不使用ELL，而是使用比ELL更有效的奇偶误差检验。奇偶误差检验只需一个磁盘即可检验整个误差信息，如图9-10所示。上一页下一页返回9.4持续运行管理RAID4。RAID4除了使用更大的条，其他的与RAID3相同。RAID5.RAID5把奇偶数据分布在所有磁盘上，而不是用单独一个磁盘存放奇偶差检验信息。然而，数据和奇偶信息通常存储在不同磁盘上，如图9-11所示。这提供了附加的安全性。

除了这些普通的RAID水平，多个硬件RAID列可组成一组。在双重RAID设置中，合并两个或多个硬件。例如，双重RAID10的镜像数据在两个相同的RAID0磁盘中。RAID53中各部分以RAIDS的形式组织，但每部分都是RAID3RAID提供网络文件服务器数据冗余的标准方式。然而，随着更新的RAID水平出现，对旧水平的相应支持不断减少。例如，WindowsServer2003和很多主要的磁盘控制卡生产商只支持RAIDO0,RAID1,RAID5和某些双重RAID设置。上一页下一页返回9.4持续运行管理9.4.3建立和维护备份资源

任何BCP的必要部分都是数据备份。虽然RAID是为磁盘故障提供保护而设计的，但是有时RAID并没有发挥作用。例如，如果服务器被盗或在火灾中损坏，所有数据都会丢失。这就需要定期保存重要数据到安全的地方。将这些内容定义为数据备份。虽然在客户计算机中一般使用CD和DVD技术备份数据，但为服务数据磁带备份仍然是保护服务器数据最简单、最有效和最便宜的方式。上一页下一页返回9.4持续运行管理备份服务器文件关键之一是了解哪些文件需要备份。文件可以通过设置存档属性来判断它是否备份。存档属性设置为0的文件表示文件已备份。然而，一旦文件内容改变，存档属性就变为1，表示这个改动的文件需要备份。存档属性如图9-12所示。

有4种基本备份类型:完全备份、差异备份、增量备份和复制备份。表9-1总结了它们的相关信息。注意每种备份后存档属性并非都清零。这就为文件是否应该备份提供了一定的灵活性。上一页下一页返回9.4持续运行管理为确保存储组织的所需数据，必须开发一套备份政策。最广泛使用的计划之一就是祖父一父亲一儿子备份系统。本系统把备份分为3部分:天备份(儿子)、周备份(父亲)和月备份(祖父)。一个月中，天备份是从周一到周四，每周五进行周备份，在每月的最后一天进行月备份，祖父一父亲一儿子备份如表9-2所示。

祖父一父亲一儿子备份系统按规律可重复使用备份磁带。上一页下一页返回9.4持续运行管理例如，在表9-2中，六月日周二的磁带直到8日周二再被使用。该磁带在每周二(15,22和29)被使用。周一、三和周四的磁带也是每周重复使用。在该月的第一个周五(六月四日)，使用周备份磁带存储到下月的第一个周五。同理，月备份磁带在月末(六月三十日)被使用，但不是在月末重复使用。而是每3个月重复使用一次(一月、四月、六月、十月)，所以就有3个备份磁带。此系统提供最广泛的覆盖和磁带的最佳使用。

备份的重要部分就是测试磁带的可靠性。很多网络管理员认为他们已完成很好的备毛但当他们在灾难后恢复数据时，发现磁带是空白的。如果想要测试可靠性，则运行备份网络中删除服务器;然后将磁道中的所有数据重装到服务器中;最后测试重装的数据。虽这是个费时费力的过程，但对测试备份很重要。上一页返回9.5灾难恢复计划持续运行需要特别关注影响持续服务的事件，而灾难恢复则集中关注从造成组织部门长时间停止运行的灾难中恢复。这些灾难可能是人为的(战争、恐怖活动或化学品泄露)，也可能是自然的(洪水、地震、龙卷风或咫风)。

灾难恢复的准备经常需要有计划。由于大多数灾难恢复要有处理时间，建议准备一个组织可以快速到达的安全地点以持续运行，即使该运行速度有限。保护和传输备份对确保远地点运行很必要下面将详细讨论下一页返回9.5灾难恢复计划9.5.1建立灾难恢复计划

灾难恢复计划(DRP)与持续运行计划不同。DRP基本上是指当重大灾难造成组织停止运行时的措施。DRP范围广泛，它应该是定期更新的详细文档。

所有灾难恢复计划都不相同，但它们应该包括以下基本内容:

单元1:目的和范围。应该明确列出计划的原因和内容包含以及计划需要规定的事件。上一页下一页返回9.5灾难恢复计划单元1中的内容应包括如下几方面:

简介;

目的和范围;

前提;

反应的事件;

附带事件;

物理安全;

计算机服务破坏种类;

保险。上一页下一页返回9.5灾难恢复计划单元2:恢复团队。应明确规定指挥灾难恢复计划的负责团队。每名成员要明确自己的责任并受过良好培训。当员工离岗、家庭电话或手机号改变或团队接受新成员时，这部分计划要持续更新。2DRP单元应包括如下几方面:

灾难恢复团队组织;

灾难恢复团队办公地点;

灾难恢复协调员;

恢复团队领导及其责任。上一页下一页返回9.5灾难恢复计划单元3:灾难准备。一份优秀的DRP不仅要有灾难发生后采取的措施，也应包括减少灾难威胁的程序和保护。单元3应包括如下几方面:

总体程序;

软件保护。单元4:应急程序。灾难发生时应采取的措施。单元4列出程序的基本步骤，包括如下几方面:

灾难恢复团队编制;

供应商联系列表;

其他工作地点;

脱机存储。上一页下一页返回9.5灾难恢复计划单元5:恢复程序。最初反应过后，组织持续运行的程序就应到位，以完全从灾难中恢复并正常运行。本单元包括如下几方面:

重要设施恢复计划;

系统和运行;

限制中央运行的范围;

网络通信;

微型计算机机恢复计划。上一页下一页返回9.5灾难恢复计划优秀DRP的重点是要详细，如以下例子:

通信室有4条以上的电话专线和一台TV/VCR监控本地新闻。设置房间防止监视设备的声音影响电话通信。无线通信要关注警察和其他反应机构的无线广播。房间内还应存放的办公设备包括如下几方面:

便条纸;空白磁带;

便笺本;遮盖胶带;

铅笔;应急灯和备用电池;

削铅笔刀;打印机和打印纸;

黑板和板擦;A结构的黑板架;

文件夹、纸夹、橡皮筋、尺、剪刀、订书器等。上一页下一页返回9.5灾难恢复计划9.5.2确定安全恢复

灾难发生往往需要组织暂时转移到其他地点，这对于不能接受停工期的公司很必要。灾难发生时有3种备用地点。

不能接受停工期的一种是预订系统。机票预订系统AmericanAirlinesandTraveloc.com处理世界内35%的旅行预订，每秒处理15000次交易，自从1957年以来仅停工一次，1989年因硬盘软件缺陷引起了12小时停工。上一页下一页返回9.5灾难恢复计划热站基本上是由商业灾难恢复服务运作。热站具有组织持续运行的所有设备，包括办公空间和家具、电话插座、计算机设备和通信线路。如果组织数据运行中心不能运行，它可在一小时内把所有运行数据转移到热站。冷站提供办公空间，但消费者必须自己安装所有运行设备。冷站的价格较低廉，但公司需要很长的时间恢复到正常运行。暖站安装了所有设备，但没有现成的互联网和电信设施。这就比热站在维护设备连接上节省费用;然而，打开连接和安装备份的所有时间需要半天甚至更长。

基本上，公司每年都会按月支付提供热站和冷站公司的费用。不管是否使用热站或冷站，一些服务商会提供数据备份服务。上一页下一页返回9.5灾难恢复计划9.5.3保护备份

数据备份必须要保护防盗及环境变化。备份媒体可能被损坏。磁带备份应远离损坏磁带的强磁场。不仅不应将磁带放在高温、低温或潮湿环境中;还应避免直接光照。确保备份磁带放在安全环境下。上一页返回9.6复习与思考9.6.1本章小结

身份管理提供了不同网络或网上业务使用同一个认证ID的框架。身份管理包含4个重要元素:SSO、密码同步、密码重置和访问管理。

权限管理就是授予和撤回用户访问控制权限。权限管理的责任也是集中或分散的。权限可以按用户、组或角色授予。监控权限也很重要。目前有3种用户权限监控:使用监控、权限监控和增加监控。下一页返回9.6复习与思考变更管理涉及变更并跟踪变更的方法论。网络设置的偶然变更通常会缓解紧急问题。变更管理寻求系统改变的方法，提供必要的变更文件。

持续运行是评价风险的过程，如果风险存在，必须开发管理战略以确保持续运行。风险可以是外部的，如缺少能源，也可以来自于组织内部，如不满员工破坏计算机系统。

持续运行与灾难恢复不同。BCP应该关注风险后的持续运行，包括维护设施，建立容错高可用性，以及备份的建立和维护。上一页下一页返回9.6复习与思考持续运行强调影响持续服务的事件，而灾难恢复则集中关注从造成组织部门长时间停止运行的灾难中恢复。这些灾难可能是人为或自然的。

灾难恢复计划(DRP)与持续运行计划不同。DRP基本上是指当重大灾难造成组织停止运行时的措施。DRP范围广泛，它应该是定期更新的详细文档。DRP可能还会确认备用安全办公地点。DRP还必须指出备份磁带的存储方法。上一页下一页返回9.6复习与思考9.6.3动手计划项目9-1：设置Linux文件权限Linux系统的用户使用DAL改变文件权限以允许或拒绝访问文件。在本项目中，将改变Linux系统的文件权限。(1)输入用户名和密码，登录Linux系统。(2)使用Linux复制命令，复制密码文件到驱动器中，输入“cp/etc/passwdtnypass"命令，将密码文件命名为“tnypass"，按下Enter键。(如果由于安全原因不能复制文件，请联系指导员或实验室管理员。)(3)输入“1s-1tny'pass”命令，按下Enter键。使用列出命令，查看驱动器上的文件。上一页下一页返回9.6复习与思考

图9-13显示了所有文件包括tnypass件及其权限。第一个一表示这是个文件。后3个字符是用户的权限::是读权限，w是写权限，但一表示没有执行权限。下3个字符(r--)是组的权限。最后3个字符(r--)是所有其他人的权限。(4)作为文件的所有人，可以使用改变模式程序来改变访问权限。加号(+)表示增加权限，而减号(一)表示删除权限。如果想要增加组(g)的写权限(w}，则输入"chtnodg+wtnypass”命令，按下Enter键。(5)如果想要查看权限，则输入“1*一1my'pass”命令，按下Enter键。这样组就具有了写权限.如图9-14所示

上一页下一页返回9.6复习与思考(6)如果想要删除其他用户(n)的读权限(:)，则输入“chmodo-rmypass”命令，按下Enter键。(7)如果想要查看权限，则输入“1*一1tny'pass”命令，按下Enter键。现在其他用户就没有任何权限了。(8)不要注销系统，继续进行下一个项目。上一页下一页返回9.6复习与思考项目9-2：查看Linux日志文件Linux保存了若干使用日志文件。在本项目中，将查看其中的两个日志文件。注意用户账号中可能拒绝查看文件的权限。如果发生这种问题，请联系指导员或实验室管理员。(1)输入“dmesg”命令，按下Enter键，查看Linux启动的日志文件。了解从日志文件中获得了哪些信息内容，并分析这些信息是否对攻击者有用。(2)大多数Linux日志文件存储在驱动器/var/log中。输入“is/var/log”命令，按下Enter键，查看日志文件列表。

一些在/var/log驱动器的文件以数字结尾，这叫做旋转存档。由于日志文件可以很快变大，Linux提供旋转日志的命令，以避免把旧数据和现在的日志信息混淆。旋转日志程序按设定的时间自动运行，但也可以手动运行。执行时，日志旋转在文件名后加上1;然后之前的旋转日志就顺序为2,3等。

上一页下一页返回9.6复习与思考(3)输入“cp/var/log/httpd/acccss_logtnylog”命令，按下Enter键(如果不能访问acccss_log驱动器，请联系指导员或实验室管理员。)(4)输入“lessmylog”命令，按下Enter键，数据显示在屏幕中。“空格”键，查看下一页。了解在httpd访问日志中所获得的信息内容。复制日志文件。杳看文件)按下（5）输入“C”命令，按下Enter键，退出程序。(6)复制一些其他日志文件到账户中。注意很多问题可能会妨碍拷贝和查看。了解所复制的日志文件及其中的信息内容，并分析允许复制日志文件的原因。(7)注销Linux系统。上一页下一页返回9.6复习与思考项目9-3：使用ADOBEACROBAT分类文档

应明确标识不能公开的文件。大多数创建文件的应用程序提供对文档分类的功能。在本项目中，将使用AdobeAcrobat6.0的软件版本分类文档。注意AdobeAcrobat不是免费的AdobeReader软件。上一页下一页返回9.6复习与思考(1)运行MicrosoftWord程序，创建含有姓名和今天日期的文档。保存文档为Adobe机密。(2)创建文档的PDF文件。单击菜单栏中的“文件”选项，再选择“文件”下拉菜单中的“打印”命令，弹出“打印”对话框。(3)单击“名称”列表的下三角按钮，然后选择AdobePDF选项。(4)再单击OK按钮。(5)当询问文件名时，输入“Adobe机密.pdf"，单击“保存”按钮。(6)关闭MicrosoftWord程序。(7)在AdobeAcrobat窗口中，打开“Adobe机密.pdf”文件。上一页下一页返回9.6复习与思考(8)单击菜单栏中的“工具”选项，选择“工具”下拉菜单中的“注释”命令，选择“注释”下级菜单中的“分类工具”命令，在弹出的“分类工具”对话框中，选择“普通商业”(或“标准商业”)选项，选中“机密”选项，再单击“蓝色机密”图标。(9)当指示器变成邮票时，单击文件。(10)实验其他种类。(11)保存并关闭“Adobe机密.pdf"文件。(12)关闭AdobeAcrobat程序。上一页下一页返回9.6复习与思考项目9-4：查看和更改备份存档位

备份服务器上文件的关键是必须了解哪些文件需要备份。备份软件可以通过设置文件属性的存档位来设置文件是否已备份。存档位已清零的文件说明已经备份。然而，当文件内容更改后，存档位就设置为1，说明文件现在需要备份。在本项目中，将查看和更改备份存档位。上一页下一页返回9.6复习与思考(1)运行MicrosoftWord