信息系统安全 总结提纲

信息系统概论

什么是信息系统

信息系统，用于收集、存储和处理数据以及传递信息、知识和数字产品的一套集成组件。商业公司和其他组织依靠信息系统来执行和管理他们的运作，与他们的客户和供应商互动，并在市场中竞争。

信息系统是支持数据密集型应用程序的软件和硬件系统。

信息系统安全与信息安全的区别

信息系统安全是指信息网络的硬件、软件及其系统中的数据收到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断；信息安全指的是保障信息的保密性、完整性、可用性、可控性、不可否认性。

信息系统的例子

管理信息系统：最大限度的利用现代计算机及网络通信技术加强企业信 息管理，通过对企业拥有的人力、物力、财力、设备、 技术等资源的调查了解，建立正确的数据，加工处理并编制成各种信息资料及时提 供给管理人员，以便进行正确的决策，不断提高企业的管理水平和经济效益。

数据处理系统：对数据进行加工（如清洗、去噪等）、整理（如分类等）、计算（数值计算、统计分析、 模型模拟等）及实现数据可视化（如画图、制表等）的人机系统。

决策支持系统：为决策者提供所需的数据、信息和背景资料，帮助明确决策目标和进行问题的识别，建立或修改决策模 型，提供各种备选方案，并且对各种方案进行评价和优选，通过人机交互功能进行分析、比较和判断，为正确的决策提供必要的支持。

电子商务系统：交易各方以电子交易方式而不是通过直接面谈方式进行的任何形式的商业交易，包括交换数据（如电子数据交换、电子邮件）、获得数据（如共享数据库、 电子公告牌）以及自动捕获数据（如条形码）等， 其目的是对整个贸易活动实现电子化。

办公自动化系统：使人们的一部分办公业务借助于各种设备并由这些设备与办公人员构成服务于某种目标的人机信息处理系统。

智慧地球分成三个要素：物联化、 互联化、智能化。

信息系统发展趋势

大型化 复杂化：以信息技术和通信技术为支撑，规模庞大，分布广阔，采用多级网络结构，跨越多个安全域，处理海量的、复杂且形式多样的数据，提供多种类型应用的大系统。

与大数据的结合、和物联网的结合、和5G的结合、和人工智能的结合、和工业互联网的结合

信息系统的架构

单机架构：随着用户数的增长，Tomcat和数据库之间竞争资源，单机性能不足以支撑业务
Tomcat与数据库分开部署：随着用户数的增长，并发读写数据库成为瓶颈
引入本地缓存和分布式缓存：缓存扛住了大部分的访问请求，随着用户数的增长，并发压力主要落在单机的Tomcat上，响 应逐渐变慢。
引入反向代理实现负载均衡：反向代理使应用服务器可支持的并发量大大增加，但并发量的增长也意味着更多请求穿透到数据库，单机的数据库最终成为瓶颈。
数据库读、写分离：业务逐渐变多，不同业务之间的访问量差距较大，不同业务直接竞争数据库，相互影响性能。
数据库按业务分库：随着用户数的增长，单机的写库会逐渐会达到性能瓶颈。
把大表拆分为小表：数据库和Tomcat都能够水平扩展，可支撑的并发大幅提高， 随着用户数的增长，最终单机的Nginx会成为瓶颈。
使用LVS或F5使多个Nginx负载均衡：由于LVS也是单机的，随着并发数增长到几十万时，LVS服务器最终会达到瓶颈，此时用户数达到千万甚至上亿级别，用户分布在不同的地区，与服务器机房距离不同，导致了访问的延迟会明显不同Nginx会成为瓶颈。
通过DNS轮询实现机房间的负载均衡：随着数据的丰富程度和业务的发展，检索、分析等需求越来越丰富， 单单依靠数据库无法解决如此丰富的需求。
引入NoSQL数据库和搜索引擎等技术：引入更多组件解决了丰富的需求，业务维度能够极大扩充，随之而来的是一个应用中包含了太多的业务代码，业务的升级迭代变得困难。
大应用拆分为小应用：不同应用之间存在共用的模块，由应用单独管理会导致相同代码存在多份，导致公共功能升级时全部应用代码都要跟着升级。
复用的功能抽离成微服务：不同服务的接口访问方式不同，应用代码需要适配多种访问方式才能使用服务。此外，应用访问服务，服务之间也可能相互访问，调用链将会变得非常复杂，逻辑变得混乱。
引入容器化技术实现运行环境隔离与动态服务管理：使用容器化技术后服务动态扩缩容问题得以解决，但是机器还是需要公司自身来管理，在非大促的时候，还是需要闲置着大量的机器资源来应对大促， 机器自身成本和运维成本都极高，资源利用率低。
以云平台承载系统：以上所提到的从高并发访问问题，到服务的架构和系统实施的层面都有了各自的解决方案。 针对更复杂的问题， 还需考虑诸如跨机房数据同步、分布式事务实现等实际问题。

边缘计算和云计算互相协同

二者是彼此优化补充的存在，共同使能行业数字化转型。云计算是一个统筹者，它负责长周期数据的大数据分析，能够在周期性维护、业务决策等领域运行。边缘计算着眼于实时、短周期数据的分析，更好地支撑本地业务及时处理执行。边缘计算靠近设备端，也为云端数据采集做出贡献，支撑云端应用的大数据分析，云计算也通过大数据分析输出业务规则下发到边缘处，以便执行和优化处理。

如何解决秒杀技术瓶颈

将请求拦截在系统上游，降低下游压力：秒杀系统特点是并发量极大，但实际秒杀成功的请求数量却很少，所以如果不在前端拦截很可能造成数据库读写锁冲突，甚至导致死锁，最终请求超时。

充分利用缓存（Redis）：利用缓存可极大提高系统读写速度。

消息中间件（ActiveMQ 、Kafka等）：消息队列可以削峰，将拦截大量并发请求，这是一个异步处理过程，后台业务根据自己的处理能力，从消息队列中主动的拉取请求消息进行业务处理。

为什么存在架构的复杂性问题

体系结构是信息系统的基本结构，它的复杂性直接影响着系统的复杂性。在体系结构设计阶段有效控制复杂性，不仅可以减小系统实现的难度、降低成本，而且对提高系统可靠性等也有一定的帮助。因此，对体系结构的复杂性进行度量和评价，对于系统的设计和决策非常重要。通过对体系结构复杂性的研究，对复杂性给出合适的定义和度量方法，就可以采取有效的措施来降低系统复杂性，减小复杂性所带来的不利影响。

如何度量信息系统的复杂度

Halstead 复杂性度量：Halstead把程序看成由可执行的代码行的词汇（操作符和操作数）组成的符号序列。设 n1 表示程序中不同运算符的个数， n2 表示程序中不同操作数的个数，令 H 表示程序的预测长度，

Halstead给出 H的计算公式为：
$$H=n_{1}lo{g}_2{n}_1+n_{2}lo{g}_2{n}_2$$
Halstead的重要结论之一是：程序的实际长度 N与预测长度非常接近。

McCabe度量法：McCabe度量用程序流图的圈数（cycloramic number）来测量程序的复杂 性，并基于程序控制论和图论提出了经典的McCabe圈复杂性度量理论。

复杂度：
流图中的区域数：4（上图中用方框标注的）
流图G的环形复杂度V(G)=E-N+2，其中E是流图中边的条数，N是结点数。本例中：12-10+2=4
流图G的环形复杂度V(G)=P+1，其中P是流图中判定结点的数目。本例中3+1=4（判定节点是2，4，7）

信息系统安全概述

信息系统安全威胁，常见的威胁

信息系统安全威胁是指对于信息系统的组成要素及其功能造成某种损害的潜在可能。

信息系统安全的概念

信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

信息系统安全的实质

安全＝及时的检测和处理 Pt（保护）>Dt（检测）+ Rt（反应）

防护时间Pt：黑客在到达攻击目标之前需要攻破很多的设备（路由器，交换机）、系统（NT，UNIX）和防火墙等障碍，在黑客达到目标之前的时间；
在黑客攻击过程中，我们检测到他的活动的所用时间称之为Dt，检测到黑客的行为后，我们需要作出响应，这段时间称之为Rt.
假如能做到Dt+Rt<Pt，那么我们可以说我们的目标系统是安全的。

基于信息保障的信息系统安全概念

信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命 。

信息系统脆弱性的表现

硬件组件：信息系统硬件组件的安全隐患多来源于设计，主要表现为物理安全方面的问题。

软件组件：软件组件的安全隐患来源于设计和软件工程中的问题。 漏洞；不必要的功能冗余引起安全脆弱性；未按安全等级要求进行模块化设计，安全等级不能达到预期

网络和通信协议：TCP/IP协议族本身的缺陷。基于TCP/IP协议Internet的安全隐患，缺乏对用户身份的鉴别、缺乏对路由协议的鉴别认证、TCP/UDP的缺陷。

Analog Attack 的基本思想

恶意攻击者不在应用程序或者操作系统的底层植入后门了，而是在计算机的处理器芯片中植入后门，这种基于“硅元素”的后门很难被发现。计算机芯片中有着数以亿计的元件，如果想要找出这样的一种单一组件（后门程序），可以算得上是大海捞针了。让问题更加严重的就是，计算机芯片中的每一个组件其大小甚至都不到人类头发丝直径的千分之一。这种后门程序被设计成了一种电容，而这种能够临时存储电荷的恶意容器件是很难被检测到的。

攻防不对称性

攻击者：攻击可以在任意时刻发起、攻击可以选择一个薄弱点进行、攻击包含了对未知缺陷的探测、攻击常在暗处，具隐蔽性、攻击可以肆意进行

防御者：防御必须随时警惕、防御必须全线设防、防御只能对已知的攻击防御、防御常在明处，表面看起来完美，使人容易疏忽，丧失警惕、防御必须遵循一定的规则。

拟态主动防御

拟态：是自然界中一种生物 伪装成另一种生物，或伪装成环境中其它物 体以获取生存优势的能力。

针对一个前提：防范未知漏洞后门等不确定威胁
基于一个公理：相对正确公理
依据一个发现：熵不减系统能稳定抵抗未知攻击
借鉴二种理论：可靠性理论与自动控制理论
发明一种构造：动态异构冗余构造（IT领域创新使能技术）
导入一类机制：拟态伪装机制
形成一个效应：测不准效应
获得一类功能：内生安全功能
达到一种效果：融合现有安全技术可指数量级提升防御增益
实现二个目标：归一化处理传统/非传统安全问题——获得广义鲁棒控制属性

拟态防御拓展了原有信息系统鲁棒的内涵，创建了集“服务提供、可靠性保障、安全可信”功能为一体的控制架构与运行机制，广义鲁棒突破“沙滩建楼不安全”的理论与方法，改变网络空间游戏规则。

5G 对信息系统安全带来的挑战

未来联网设备将数以百亿计，每一个都可能成为攻击的切入点，防不胜防。

网络切片带来的安全挑战：切片授权与接入控制、切片间的资源冲突、切片间的安全隔离、切片用户的隐私保护、以切片方式隔离故障网元。

CMM框架

云计算安全架构

基于可信根的安全架构：该安全架构试图通过可信计算的成果从根本上解决云计算的安全 题。但是，其对硬件要求的严格性有违云计算开放性和经济性的基本要求，不利于对现有资源的继承与利用。

基于隔离的安全架构：该安全架构旨在针对所有的租户构建封闭且安全的运行环境，从而保证其定制服务的安全性。但是，其势必导致资源的不充分利用，增加租户间协作的难度，引起管理成本的增加。

安全即服务的安全架构：SOA安全架构充分考虑到了租户的个性化需求，提出以租户服务要求为导向的云计算安全架构，但是缺乏让租户和提供商及时且明晰地获得各自安全需求的方法。

可管、可控、可度量的云计算安全架构：首先参考SLA确定系统的度量指标体系，然后利用模型分析技术，建立系统行为和用户行为的安全模型，通过模型的分析和求解，获得系统需要完善与维护的安全问题以及进一步的安全优化方案。这里系统的监控机制不仅可以获得系统当前的状态，还可以获得系统和用户的统计数据，这些数据将是安全度量的基础。

安全需求及安全策略

安全需求，一般化的安全需求

安全需求：就是在设计一个安全系统时期望得到的安全保障。交易双方身份的确定性需求、信息的完整性需求、信息的不可伪造性需求、信息的不可抵赖性需求。

一般化的安全需求：

机密性需求：防止信息被泄漏给未授权的用户
完整性需求：防止未授权用户对信息的修改
可用性需求：保证授权用户对系统信息的可访问性
可记账性需求：防止用户对访问过某信息或执行过某一操作以否认

访问控制策略、访问支持策略

访问控制策略：确立相应的访问规则以控制对系统资源的访问

访问支持策略：为保障访问控制策略的正确实施提供可靠的“支持”

主体、客体及其属性

主体：系统内行为的发起者。通常是用户发起的进程

客体：系统内所有主体行为的直接承担者

系统环境（上下文） ：系统主、客体属性之外的某些状态

主体属性（用户特征）：用户ID/ 组ID、用户访问许可级别、权能表、角色

客体属性（客体特征）：敏感性标签、访问控制列表

访问控制列表

访问控制列表是一系列允许或拒绝数据的指令的集合。

基于有限状态自动机的“安全系统”定义

一个“安全系统”是“一个如果起始状态为授权状态，其后也不会进入未授权状态的系统”。

常见的强制访问控制模型

Bell-LaPadula模型：BLP 保密模型基于两种规则来保障数据的机密度与敏感度：不上读（NRU）主体不可读安全级别高于它的数据；不下写（NWD）主体不可写安全级别低于它的数据。

BIBA完整性模型：BIBA模型基于两种规则来保障数据的完整性的保密性：不下读（NRU）属性主体不能读取安全级别低于它的数据；不上写（NWD）属性主体不能写入安全级别高于它的数据。

信息系统的风险评估

风险的概念

风险指在某一特定环境下，在某一特定时间段内，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。

风险越大则安全性越低，反之风险越小则安全性越高。风险就是信息系统安全的一个测度。

风险评估的基本概念

风险评估是参照国家有关标准对信息系统及由其处理、传输和存储信息的保密性、完整性和可用性等安全属性进行分析和评价的过程。它要分析资产面临的威胁及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

风险评估的要素

怎样理解一个信息系统是安全的

信息系统安全是指信息系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

风险处置策略

降低风险：采取适当的控制措施来降低风险，包括技术手段和管理手段，如安装防火墙，杀毒软件，或是改善不规范的工作流程、制定业务连续性计划，等等。

避免风险：通过消除可能导致风险发生的条件来避免风险的发生，如将公司内外网隔离以避免来自互联网的攻击，或是将机房安置在不可能造成水患的位置，等等。

转移风险：将风险全部或者部分地转移到其他责任方，例如购买商业保险。

接受风险：在实施了其他风险应对措施之后，对于残留的风险，可以有意识地选择接受。

信息系统安全风险计算模型

风险计算模型是对通过风险分析计算风险值过程的抽象，它主要包括资产评估、威胁评估、脆弱性评估以及风险分析。

信息系统等级保护

一法一决定

等级保护

网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

定级对象

也称等级保护对象、网络安全等级保护工作的作用对象。包括网络基础设施（广电网、电信网、专用通信网络等）、云计算平台系统、大数据平台系统、物联网、工业控制系统、采用移动互联技术的系统等。

等级保护建设核心思想

信息系统的安全设计应基于业务流程自身特点，建立“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受信息安全攻击和破坏。

可信：即以可信认证为基础，构建一个可信的业务系统执行环境，即用户、平台、程序都是可信的，确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行，不会出现非预期的流程，从而保障了业务系统安全可信。

可控：即以访问控制技术为核心，实现主体对客体的受控访问，保证所有的访问行为均在可控范围之内进行，在防范内部攻击的同时有效防止从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作，永远都按系统设计的策略进行资源访问，保证了系统的信息安全可控。

可管：即通过构建集中管控、最小权限管理与三权分立的管理平台，为管理员创建一个工作平台，使其可以进行技术平台支撑下的安全策略管理，从而保证信息系统安全可管。

等级保护防护框架

建设“一个中心”管理、“三重防护”体系，分别对计算环境、区域边界、通信网络体系进行管理，实施多层隔离和保护，以防止某薄弱环节影响整体安全。

重点对操作人员使用的终端、业务服务器等计算节点进行安全防护，控制操作人员行为，使其不能违规操作，从而把住攻击发起的源头，防止发生攻击行为。

分析应用系统的流程，确定用户（主体）和访问的文件（客体）的级别（标记），以此来制定访问控制安全策略，由操作系统、安全网关等机制自动执行，从而支撑应用安全。

重要行业关键信息系统划分及定级建议，定级流程

确定定级对象、初步确定等级、专家评审、主观部门审核、公安机关备案审查

等级保护管理组织

等级保护主要工作流程，备案的流程，备案地点

流程：定级、备案、建设整改、等级评测

备案：用户初步定级、编写定级报告、专家定级评审、填写备案表、提交备案材料、收到备案证明

云平台定级

云平台通过等保三级，一方面意味着其安全性达到国家标准的较高水准，另一方面则可以助力云平台所承载业务的安全水平提升，有利于业务系统自身的等级保护安全建设。反之，若云平台不通过等保三级，则无法承载三级或三级以上政务系统。

在云计算环境中，应将云服务方侧的云计算平台单独作为定级对象定级，云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台，应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

挑战：数据丢失篡改或泄露、网络攻击、利用不安全接口的攻击、云服务中断、越权、滥用与误操作、滥用云服务、利用共享技术漏洞进行的攻击、过度依赖、数据残留…

信息系统的物理安全

物理安全的概念

物理安全又叫实体安全（Physical Security），是保护计算机设备、设施（网络及通信线路）免遭自然灾害（包括地震、水灾、火灾、有害气体等）、人为破坏及其他环境事故（如电磁污染等）破坏的措施和过程。

环境安全、线路安全、介质安全、设备安全、电源安全

电磁泄漏

指电子设备的杂散电磁能量通过导线或空间向外扩散。任何处于工作状态的电磁信息设备，如计算机、打印机、复印机、传真机、手机电话等，都存在不同程度的电磁泄漏问题，这是无法摆脱的电磁现象。如果这些泄漏“夹带”着设备所处理的信息，均可构成了电磁信息泄漏。

电磁泄漏的途径及防护

以电磁波形式的辐射泄漏；电源线、控制线、信号线和地线造成的传导泄漏；密码破解

物理抑制技术：抑源法：从线路和元器件入手，从根本上阻止计算机系统向外辐射电磁波，消除产生较强电磁波的根源。
电磁屏蔽技术：电磁屏蔽技术包括设备的屏蔽和环境的屏蔽，它是从阻断电磁信息泄漏源发射的角度采取措施。 主要指涉密计算机或系统被放置在全封闭的电磁屏蔽室内，其主要材料分别是金属板或金属网等。
噪声干扰技术：在信道上增加噪声，从而降低窃收系统的信噪比，使其难以将泄露信息还原。

电源调整器，不间断电源（UPS）

持续供电型UPS：将外线交流电源整流成直流电对电池充电。外线电力中断时，把电池直流电源变成交流电源，供电脑使用。
顺向转换型UPS：平时由外线电力带动的发电机发电给电池充电，外线电力一旦中断，电池马上可取代外线电力，用变流器把电池的直流变成交流，供给电脑。
逆向转换型UPS：大部分时间由电池来供电，能忍受外线电压过高、过低或电源线的暂态反应等冲击。而且对外线电力中断要迅速做出反应，在最短的时间间隔内将电力供应给电路。
马达发电机：发电机可使用外线电力、汽油或柴油引擎带动发电机，可提供大容量电压稳定电力，供应电脑系统、家庭或办公室照明所需的电力。

电磁战，防磁柜

电磁战主要是指通信、雷达、光电、网络对抗战法和电磁频谱管控行动能力的战斗，目的是干拢敌方的信息联系、阻断信息沟通，使敌方致盲、失去应有的战斗力。

防磁柜具有防磁、防火、防盗等特点的防磁柜是磁碟、磁盘、CD光盘各种磁性产品的最理想装具。防磁柜具有防止外来磁场对柜内磁性产品磁化作用，到空间磁场强度达到达6000GS（奥斯特）以上时，柜内装具间磁场不大于5GS。

机房三度要求

温度、湿度和洁净度并称为三度，为保证计算机网络系统的正常运行，对机房内的三度都有明确的要求。为使机房内的三度达到规定的要求，空调系统、去湿机、除尘器是必不可少的设备。重要的计算机系统安放处还应配备专用的空调系统，它比公用的空调系统在加湿、除尘等方面有更高的要求。

温度：机房温度一般应控制在18～22℃
湿度：相对湿度一般控制在40％～60％为宜
洁净度：尘埃颗粒直径<0.5um，含尘量<1万颗/升

常见的消防设计

七氟丙烷气体灭火系统、防火分区、防火分区、水喷淋灭火系统

三类供电方式

一类供电：需要建立不间断供电系统。 兵工厂、大型钢厂、火箭发射基地、医院等

二类供电：需要建立带备用的供电系统。

三类供电：按一般用户供电考虑。

电源防护措施

电源：电源调整器、不间断电源、电源相关操作

接地与防雷要求

接地与防雷是保护计算机网络系统和工作场所安全的重要安全措施。接地是指整个计算机系统中各处电位均以大地电位为零参考电位。接地可以为计算机系统的数字电路提供一个稳定的0V参考电位，从而可以保证设备和人身的安全，同时也是防止电磁信息泄漏的有效手段。

要求良好接地的设备有：各种计算机外围设备、多相位变压器的中性线、电缆外套管、电子报警系统、隔离变压器、电源和信号滤波器、通信设备等。

计算机房的接地系统要按计算机系统本身和场地的各种地线系统的设计要求进行具体实施。

信息系统的可靠性

可靠性及其度量指标

可靠性：在规定的条件下、在给定的时间内，系统能实施应有功能的能力。

MTTF：对不可维修的产品的平均寿命是指从开始投入工作，至产品失效的时间平均值，也称平均失效前时间，记以MTTF。

MTBF：对可维修产品而言，其平均寿命是指两次故障间的时间平均值，称平均故障间隔时间，习惯称平均无故障工作时间MTBF。

可靠度R：产品在时刻 t 之前都正常工作（不失效）的概率，即产品在时刻 t 的生存概率，称为无故障工作概率（可靠度函数）。

失效率λ：

λ(t)的浴缸形曲线：λ(t)随时间的变化而变化，呈浴缸形的曲线。

第一阶段 早期失效期：器件在开始使用时失效率很高，但随着产品工作时间的增加，失效率迅速降低。这一阶段失效的原因大多是由于设计、原材料和制造过程中的缺陷造成的。为了缩短这一阶段的时间，产品应在投入运行前进行试运转，以便及早发现、修正和排除故障；或通过试验进行筛选，剔除不合格品。

第二阶段 偶然失效期，也称随机失效期：这一阶段的特点是失效率较低，且较稳定，往往可近似看作常数。这一时期是产品的良好使用阶段。由于在这一阶段中，产品失效率近似为一常数，故设 λ(t)=λ（常数）由可靠度计算公式得
$$R(t)=e^{-\lambda t}$$
这一式表明设备的可靠性与失效率成指数关系。

第三阶段 耗损失效期：该阶段的失效率随时间的延长而急速增加，主要原因是器件的损 失己非常的严重，寿命快到尽头了，可适当的维修或直接更换。

R(t)和λ的关系：

可靠性模型：串联，并联，表决，储备

串联系统：


并联系统：


表决系统：n中取k的表决系统由n个部件组成，当n个部件中有k个或k个以上部件正常工作时，系统才能正常工作（1≤k≤n）。当失效的部件数大于或等于n-k+1时，系统失效。简记为k/n(G)系统。

冷贮备系统：系统由n个部件组成。在初始时刻，一个部件开始工作，其余n-1个部件作冷贮备。当工作部件失效时，存储部件逐个地去替换，直到所有部件都失效时，系统才失效。所谓冷贮备是指贮备的部件不失效也不劣化，贮备期的长短对以后使用时的工作寿命没有影响。假定贮备部件替换失效部件时，转换开关K是完全可靠的，而且转换是瞬时完成的。

可维修产品、不可维修产品的可靠性指标：可用度

可维修产品的可用性定义为，产品的可用性定义为系统保持正常运行时间的百分比。平均无故障时间（MTTF）、平均维修时间（MTTR）
$$\frac{MTBF}{MTBF+MTTR}\ast 100\%$$

网络可靠性，计算机网络可靠性故障特征

网络可靠性：在人为或自然的破坏作用下，网络在特定环境和规定时间内，充分完成规定的通信功能的能力。环境、时间和充分完成功能是这一定义的三要素。当传输设备和交换设备发生故障时网络可以维持正常业务的程度。

计算机网络可靠性故障特征

故障定义：网络不能在用户期望的时间范围内将物质、信息、能量按用户需求完整、正确地在网络中传输的状态或事件。

故障模式：断路：信息、能量不能按用户需求在网络中传输，即“网络不通”
​ 间歇断路：即物质、信息、能量间歇性地不能按用户需求在网络中传输
​ 延时：即物质、信息、能量不能在用户期望时间范围内在网络中传输
​ 丢失：即物质、信息、能量不能完整地在网络中传输
​ 错误：即物质、信息、能量不能正确地在网络中传输

网络可靠性迫切需要解决的关键性问题

尚未形成网络综合可用性体系结构
网络可用性评价指标混乱
对典型网络设备的可用性分析不足
网络业务性能在网络可用性中反映不充分
极少考虑网络协议的影响

硬件可靠性和软件可靠性的不同

硬件可靠性：硬件在使用过程中有磨损、材料的老化、变质和使用环境等多种因素。

软件可靠性：软件使用期间无磨损，也不存在物质老化和变质。

软件可靠性模型

失效时间间隔模型：这类模型最常用的方法是假定第i个失效到第i+1个失效间隔时间服从于某一分布，而分布的参数依赖于各间隔时间内程序中的残留错误数。通过测试所得到的失效间隔时间数据来估计模型的参数，由获得的模型可以估算软件的可靠度以及各失效间的平均工作时间等导出量。

缺陷计数模型：这类模型关心的是在特定的时间间隔内软件的错误数或失效数，并假定故障累计数服从某个己知的随机过程，过程强度是时间的离散或连续函数，根据在给定的测试时间间隔发现的错误数或失效数来估计故障强度、均值等参数。随着错误的不断排除，在单位时间内发现的失效数将不断减少。

错误植入模型：这类模型的基本思路是通过将一组已知的错误人为地植入到一个固有错误总数尚不清楚的程序中，然后在程序的测试中观察并统计发现的植入错误数和程序总的错误数，通过计数的比值估计程序的固有错误总数，从而得到软件可靠度及其有关指标。

基于输入域的模型：这类模型的基本研究方法是根据程序的使用情况，找出程序可能输入的概率分布，根据这种分布产生一个测试用例的集合。由于得到输入的分布难度较大，一般将输入域划分成等价类，每个等价类与程序的一条执行路径相联。在输入域上随机抽取测试用例，执行相应的程序测试，观测故障，从而推断出各项指标。

容错技术，故障检测和诊断技术，故障屏蔽技术，冗余技术

容错技术：容忍故障，即故障一旦发生时能够自动检测出来并使系统能够自动恢复正常运行。当出现某些指定的硬件故障或软件错误时，系统仍能执行规定的一组程序，或者说程序不会因系统中的故障而中止或被修改；执行结果也不包含系统中故障所引起的差错。

故障检测：判断系统是否存在故障的过程。故障检测的作用是确认系统是否发生了故障，指示故障的状态，即查找故障源和故障性质。一般来说，故障检测只能找到错误点（错误单元），不能准确找到故障点。

故障诊断：检测出系统存在故障后要进行故障的定位，找出故障所在的位置。

故障屏蔽技术：防止系统中的故障在该系统的信息结构中产生差错的各种措施的总称，其实质是在故障效应达到模块的输出以前，利用冗余资源将故障影响掩盖起来，达到容错目的。

时间冗余技术：重复执行指令或者一段程序来消除故障的影响，以达到容错的效果，它是用消耗时间来换取容错的目的。
信息容错技术：通过在数据中附加冗余的信息位来达到故障检测和容错的目的。
软件冗余技术：在出现有限数目的软件故障的情况下，系统仍可提供连续正确执行的内在能力。其目的是屏蔽软件故障，恢复因出故障而影响的运行进程。

NVP是一种静态冗余方法，其基本设计思想是用N个具有同一功能而采用不同编程方法的程序执行一项运算，其结果通过多数表决器输出。这种容错结构方法有效避免了由于软件共性故障造成的系统出错，提高了软件的可靠性。

RB是一种动态冗余方法。在RB结构中有主程序块和一些备用程序块构，主程序块和备用程序块采用不同编程方法但具有相同的功能。每个主程序块都可以用一个根据同一需求说明设计的备用程序块替换。首先运行主程序块，然后进行接受测试，如果测试通过则将结果输出给后续程序；否则调用第一个备用块。依次类推，在N个备用程序块替换完后仍没有通过测试，则要进行故障处理。

三模冗余（硬件冗余）原理及优缺点

系统输入通过 3个功能相同的模块，产生的 3个结果送到多数表决器进行表决，即三中取二的原则，如果模块中有一个出错，而另外两个模块正常，则表决器的输出正确，从而可以屏蔽一个故障。

如果3个模块的输出各不相同，则无法进行多数表决；若有两个模块出现一致的故障，则表决的结果会出现错误。

热备份

M运行，S后备；M故障，S接管作M；原M修复，S归还M。

RAID

廉价磁盘冗余阵列，以多个低成本磁盘构成磁盘子系统，提供比单一硬盘更完备的可靠性和高性能。

三个因素：

• 分条：将数据分散到不同物理硬盘上，使读写数据时可以同时访问多块硬盘。
• 数据镜像：将同一数据写在两块不同的硬盘上，从而产生该数据的两个副本。
• 奇偶校验：发现并纠正错误。

纠删码

是一种前向错误纠正技术，主要应用在网络传输中避免包的丢失，存储系统利用它来提高存储可靠性。相比多副本复制而言， 纠删码能够以更小的数据冗余度获得更高数据可靠性， 但编码方式较复杂，需要大量计算 。

是一种编码技术，它可以将n份原始数据，增加m份数据，并能通过n+m份中的任意n份数据，还原为原始数据。即如果有任意小于等于m份的数据失效，仍然能通过剩下的数据还原出来。

提高信息系统可靠性的途径

提高可靠性有两个方面：一是尽量使系统在规定时间内少发生故障和错误；二是发生了故障能迅速排除。

硬件主要考虑如何提高元器件和设备的可靠性；采用抗干扰措施，提高系统对环境的适应能力和冗余结构设计。

软件主要考虑测试技术、故障自诊断技术、自动检错、纠错技术、系统恢复技术方面的设计。

计算机犯罪取证

计算机取证和取证科学

计算机取证：运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，并据此提起诉讼。也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。

取证科学：为了侦破案件还原事实真相，搜集法庭证据的一系列科学方法。

活取证和死取证

活取证：抓取文件metadata、创建时间线、命令历史、分析日志文件、hash摘要；使用未受感染的干净程序执行取证；U盘、网络 存储搜集到的数据。

死取证：关机后制作硬盘镜像，分析镜像。

数字取证中的信息收集目标、信息收集的主要侧重点

收集目标详细信息：应用类型 硬件防护情况 应用权限 相关组件 加固情况 网络管理员提供的信息
收集目标日志信息：系统日志 Web日志 应用程序日志 防护软件日志
排查可疑文件：Webshell查杀 Windows系统后门查杀 Linux系统后门查杀

侧重于以下几点：收集目标详细信息、收集目标日志信息、排查可疑文件、收集脚印信息

操作系统安全

操作系统面临的安全威胁

黑客攻击、蠕虫、拒绝服务攻击、计算机病毒、逻辑炸弹、非法访问、机密信息泄漏、信息篡改、隐蔽通道、后门、木马程序。

隐通道

按常规不会用于传送信息但却被利用于泄漏信息的信息传送渠道。

可以被进程利用来以违反系统安全策略的方式进行非法传输信息的通信通道。

存储隐通道：进程P创建一个文件，命名为0bit或者1bit来代表要传输的比特。

时间隐通道：接收方通过获得CPU的速度可以推断出前者发送的是0还是1。

物联网和虚拟化技术对操作系统带来的安全挑战

物联网：直接沿用原有的安全机制。例如，Android Things 直接沿用了Android系统的一些基础安全机制，并没有深入分析物联网设备实际的软硬件特性与需求；缺乏对终端系统安全设计。现有的物联网操作设计时普遍只关注其功能要求；没有充分利用设备自身硬件架构安全特性。

虚拟化：。Qubes系统利用新一代的硬件技术和虚拟化技术实现物理宿主机的隔离能力，从系统层面对木马病毒和恶意代码进行了防范和遏制，一定程度上解决了系统安全领域的木桶问题。

操作系统的一般性安全机制

隔离机制：物理隔离、时间隔离、加密隔离、逻辑隔离。

访问控制：确定谁能访问系统，能访问系统何种资源以及在何种程度上使用这些资源。访问控制包括对系统各种资源的存取控制。三项基本任务：授权、确定访问授权、试试访问控制的权限。

信息加密：加密机制用于安全传输、文件安全。

审计机制：要求任何影响系统安全性的行为都被跟踪和记录在案，安全系统拥有把用户标识与它被跟踪和记录的行为联系起来的能力。

身份认证的常见方式和协议

基于你所知道的：知识、口令、密码
基于你所拥有的：身份证、信用卡、钥匙、智能卡、令牌等
基于你的个人特征：指纹，笔迹，声音，手型，脸型，视网膜，虹膜

一次性口令认证：在登录过程中加入不确定因素，使每次登录过程中传送的口令信息都不相同，以提高登录过程安全性。

Kerberos 认证：获取票据许可票据、获取访问票据、获取服务

Windows 的 EFS 机制，Windows 2003 Server 的身份认证机制

EFS 机制：EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。

Windows 2003 Server的身份认证：
Kerberos V5与密码或智能卡一起使用，用于交互式登陆的协议
用户尝试访问Web服务器时使用的SSL/TLS协议
客户端或服务器使用早期的NTLMＭ协议
摘要式身份验证，使凭据作为MD5哈希或消息摘要在网络上传递。
Passport身份验证，用来提供单点登录服务的用户身份验证服务

Symbian OS 的能力模型，数据锁定

能力是指访问敏感性系统资源的权限标志。

Symbian系统采用的是客户机/服务器模型架构；Symbian操作系统中内存保护的基本单元是进程；内核负责维护所有进程的能力列表。

数据锁定的目标其实是防止对文件系统非法的写操作。它将文件系统中的代码与数据分开，将非可信计算基进程局限在一个特定空间，不能访问系统空间和其它进程空间。

Symbian OS 体系结构及安全机制，Symbian 内核安全性的三个要素

Symbian的平台安全性主要基于以下目标：保护移动终端的完整性、保证用户数据的隐秘性、控制对敏感性资源的访问。

3个基本元素：可信计算单元、数据锁定、能力模型

资源管理模式：工作组，域，域控制器

域就是共享用户账号、计算机账号和安全策略的计算机集合。

域是一个安全边界，资源在一个域中参与共享。

域中集中存储用户账号的计算机就是域控制器，域控制器存储着目录数据并管理用户域的交互关系，包括用户登录过程、身份验证和目录搜索等。一个域中可有一个或多个域控制器，各域控制器间可以相互复制活动目录。

目录服务，活动目录，schema，目录服务提供的好处

活动目录就其本质来讲，是一种采用LDAP（轻量级目录访问协议）的目录服务。

活动目录包括两个方面：目录、目录相关的服务（目录是存储各种对象的容器）

目录服务的功能：维护目录信息、数据复制、合理组织信息结构、查询机制、全局编目

目录服务提供的好处：
​ 方便管理：让管理员可以集中控制和管理大型、复杂的网络
​ 方便使用：让用户只需要登录一次，就可以访问很多的计算机
​ 方便访问：帮助用户在不知道要访问的共享资源位置的情况下访问到它

Schema：架构用来定义AD中的对象（classes）和属性（attributes）。活动目录的基础架构（base Schema），包括了比如user、computer、OU（organizational Unit）等对象以及用户电话号码、objectsid等属性。

活动目录的逻辑结构和物理结构，为什么需要活动目录的物理结构？

为什么需要活动目录的物理结构：AD物理结构主要是规划站点拓扑，帮助管理员确定在网络的什么地方放置域控制器，以及管理域控制器之间的复制流量和用户登录流量。

组策略

组策略是微软Windows NT家族操作系统的一个特性，它可以控制用户账户和计算机账户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。

组策略很灵活，它包括如下的一些选项：基于注册表的策略设置、安全设置、软件安装、脚本、计算机启动与关闭、用户登录和注销，文件重定向等。

主要优势：降低管理、支持与培训成本；提升用户工作效率；允许极大量的定制项目，其扩展性不会牺牲定制的灵活性。

组织单元OU是一种类型的目录对象⎯⎯容器，其作用主要用来委派对用户、组及资源集合的管理权限。

站点

每个地理位置中的若干台域控制器可以划分为一个站点；站点内部优先同步活动目录数据库，同步后再和其他站点中的域控制器同步。

站点反映了活动目录的物理结构：由于站点内的计算机有着良好的连接，因此用户使用站点来使服务器和网络客户的相关操作都在本地进行，而不需要跨越广域网。

站点目的：优化复制流量，使用户登陆到DC，使用一个可靠的、高速的链接。

Android 的本地类库，Dalvik 虚拟机

本地类库：一系列的C/C++库，相当于Android系统在Linux核心系统上的功能扩展，为Application Framework层的许多功能提供支持，通过JNI供Java调用。

Dalvik虚拟机（DVM）是运行Dalvik 可执行文件（*.dex）的虚拟计算机系统； 使用Java语言编写的Android程序，实际上是运行在DVM之上，而不是运行在Linux操作系统上。

Android系统在Linux内核之上实现了自己的系统架构层，一旦该层出现安全问题，即有可能导致Root权限的泄露。

Android 的 apk 文件，AndroidManifest.xml 文件

apk文件----Android上的安装文件

apk 是Android 安装包的扩展名，一个Android 安装包包含了与该Android 应用程序相关的所有文件； 一个工程只能打进一个.apk文件；apk 文件的本质是一个zip包。

AndroidManifest.xml是一个XML配置文件，它用于定义应用程序中需要的组件、组件的功能及必要条件等。

Android 手机所有者权限、root 权限、应用程序权限

Android手机所有者权限：自用户购买 Android 手机后，用户不需要输入任何密码，就具有安装一般应用软件、使用应用程序等的权限。

Android root 权限：该权限为 Android 系统的最高权限，可以对所有系统中文件、数据进行任意操作。

Android 应用程序权限：应用程序对 Android 系统资源的访问需要有相应的访问权限。如：没有获取 Android root 权限的手机无法运行 Root Explorer，因为运行该应用程序需要 Android root 权限。

Android 的体系架构、组件模型

Linux内核及驱动：Binder作为Linux内核层的进程通信机制，为进程间的共谋攻击提供便利。

本地类库及Java运行环境：Android系统在Linux内核之上实现了自己的系统架构层，一旦该层出现 安全问题，即有可能导致Root权限的泄露。

应用框架、应用：往往来自于安全漏洞

一般情况下Android应用程序由四种组件构造而成
​ Activity：为用户操作而展示的可视化用户界面
​ Service：服务是运行在后台的功能模块，如文件下载、音乐播放程序等
​ Broadcast Receiver：专注于接收广播通知信息，并做出对应处理的组件
​ Content Provider：Android 平台应用程序间数据共享的一种标准接口

四种组件的关系：

Android 的安全目标（objectives）及安全机制

安全目标：保护用户数据、保护系统资源、提供应用程序隔离
安全机制：签名机制、权限机制和沙盒机制

Android 的 Binder 进程间通信机制及存在的安全问题

Binder作为Linux内核层的进程通信机制，为进程间的共谋攻击提供便利

Android sandbox 通过利用开源工具动态分析、静态分析Android 的相关应用，发现应用的具体行为，从而进行判断Android应用的危险程度。

Android 的安全理念（philosophy）和 Symbian 等有何不同？

Linux的安全理念是保护用户资源不受其他资源的影响。

数据库安全

例程

当用户连接到数据库并使用数据库时，实际上是连接到该数据库的例程，通过例程来连接、使用数据库。 所以例程是用户和数据库之间的中间层。

数据库指的是存储数据的物理结构，总是实际存在的；
例程则是由内存结构和一系列进程组成，可以启动和关闭。

进程结构，存储结构，内存结构

内存结构：SGA和PGA，使用内存最多的是SGA，同时也是影响数据库性能的最大参数。

进程结构：包括前台进程、后台进程。前台进程是指服务进程和用户进程。前台进程是根据实际需要而运行的，并在需要结束后立刻结束；后台进程是指在Oracle数据库启动后，自动启动的几个操作系统进程。

存储结构：分为逻辑存储结构、物理存储结构。逻辑存储结构是描述Oracle数据库中如何组织和管理数据，与操作系统平台无关；物理存储结构是数据库的外部存储结构。它对应操作系统相关文件，包括控制文件、数据文件、日志文件等操作系统文件。

Oracle 数据库物理存储结构

物理存储结构是现实的数据存储单元，对应于操作系统文件。

Oracle数据库就是由驻留在服务器的磁盘上的这些操作系统文件所组成的，主要包括数据文件、重做日志文件、控制文件。

数据文件：是物理存储Oracle数据库数据的文件。
重做日志文件：记录所有对数据库数据的修改，以备恢复数据时使用。
控制文件：是一个较小的二进制文件，用于描述数据库结构。
参数文件：也被称为初始化参数文件，用于存储SGA、可选的Oracle特性和后台进程的配置参数。
口令文件：是个二进制文件，验证特权用户。

Oracle 数据库逻辑存储结构，表空间

主要描述Oracle数据库的内部存储结构，从技术概念上描述Oracle数据库中如何组织、管理数据。可以分为4部分：表空间、段、区、块。

表空间是数据库的逻辑划分的最大单元，一个Oracle数据库至少有一个表空间，即system表空间。表空间的设计理念为Oracle的高性能做出了不可磨灭的贡献，其很多优化都是基于该理念而实现的。

Oracle 数据库的内存结构

系统全局区（SGA）：在启动例程时分配，是Oracle例程的基础组件。SGA是ORACLE系统为例程分配的一组共享缓冲存储区，用于存放数据库数据和控制信息，以实现对数据库数据的管理和操作。 SGA是不同用户进程与服务进程进行通信的中心。

程序全局区（PGA）：当启动服务器进程时分配。为每个连接到数据库的用户进程预留内存；当建立服务器进程时分配；当终止服务器进程时释放；只能由一个进程使用。

Oracle 客户端通过例程和后台数据库的交互方式

建立用户连接、建立会话、会话过程。

当前的数据库安全防御体系，传统安全方案的缺陷

网络防火墙产品不对数据库通信协议进行控制。
IPS/IDS/网络审计并不能防范那些看起来合法的数据访问。
WAF系统仅针对HTTP协议进行检测控制，绕过WAF有150多种方法。
核心数据库防护措施被忽略。大多数系统前端层面的安全保护措施并无法覆盖所有的安全攻击和窃取——必须引入数据层面的保护作为最后一道安全防线。

Oracle 的安全体系结构

数据的备份与恢复：为保证数据的完整性和一致性，防止因故障而导致的数据破坏和灾难而采取的防范措施；

用户管理：用户身份认证、角色与权限等；

资源管理：通过系统概要文件限制连接会话等。

本帖仅用于学习交流，内容取自周亚建老师《信息系统安全》课程