信息資源的安全管理課件

信息資源的安全管理《信息資源組織與管理》之第6章陳莊博士教授重慶市經(jīng)委企業(yè)信息化專家組專家重慶市科委制造業(yè)信息化專家組專家重慶市軟件協(xié)會理事；z2005/04/12內(nèi)容提要（1/3）6.1信息資源安全管理概述（掌握）

6.1.1

信息資源安全的概念

6.1.2威脅信息資源安全的主要因素

6.1.3信息資源的安全管理模型

6.2安全管理制度（了解）6.2.1法律法規(guī)6.2.2行政管理6.2.2.1安全管理原則6.2.2.2安全管理的措施6.3環(huán)境安全（掌握）

6.3.1場地安全6.3.2中心機(jī)房安全11/23/20222重慶工學(xué)院計算機(jī)學(xué)院陳莊內(nèi)容提要（2/3）6.4物理實(shí)體安全（了解）6.4.1設(shè)備布置安全6.4.2設(shè)備供電安全6.4.3電纜安全6.4.4設(shè)備維護(hù)安全6.4.5場所外設(shè)備安全6.4.6設(shè)備的處置及再利用安全6.5網(wǎng)絡(luò)安全（難點(diǎn)，了解）6.5.1網(wǎng)絡(luò)安全的涵義6.5.2網(wǎng)絡(luò)安全的技術(shù)措施6.5.2.1數(shù)據(jù)加密技術(shù)6.5.2.2密鑰管理技術(shù)6.5.2.3訪問控制技術(shù)6.5.2.4反病毒技術(shù)6.5.2.5防火墻技術(shù)11/23/20223重慶工學(xué)院計算機(jī)學(xué)院陳莊內(nèi)容提要（3/3）6.6軟件安全（掌握）

6.6.1軟件安全的涵義6.6.2系統(tǒng)軟件安全6.6.3應(yīng)用軟件安全6.7數(shù)據(jù)信息安全（難點(diǎn)，了解）6.7.1數(shù)據(jù)庫系統(tǒng)安全技術(shù)6.7.2數(shù)據(jù)備份技術(shù)6.7.3終端安全技術(shù)

6.7.4數(shù)據(jù)完整性鑒別技術(shù)

6.7.5數(shù)據(jù)簽名技術(shù)6.7.6信息審計跟蹤技術(shù)6.7.7PKI技術(shù)作業(yè)（…….）11/23/20224重慶工學(xué)院計算機(jī)學(xué)院陳莊6.1.1信息資源安全的概念（1/2）1、什么是信息資源安全？是指信息資源所涉及的硬件、軟件及應(yīng)用系統(tǒng)受到保護(hù)，以防范和抵御對信息資源不合法的使用和訪問以及有意無意的泄漏和破壞。

2、信息資源管理涉及的內(nèi)容有哪些？信息資源安全的范疇》計算機(jī)安全/軟件安全/網(wǎng)絡(luò)安全。信息資源安全包括了從信息的采集、傳輸、加工、存儲和使用的全過程所涉及的安全問題。從信息處理的角度，包括：內(nèi)容的真實(shí)無誤，以保證信息的完整性；信息不會被非法泄漏和擴(kuò)散，以保證信息的保密性；信息的發(fā)送和接收者無法否認(rèn)自己所做過的操作行為，以確保信息的不可否認(rèn)性。11/23/20225重慶工學(xué)院計算機(jī)學(xué)院陳莊6.1.1信息資源安全的概念（2/2）2、信息資源管理涉及的內(nèi)容有哪些？（續(xù)）從信息組織層次的角度，包括：系統(tǒng)的管理者對網(wǎng)絡(luò)和信息系統(tǒng)有足夠的控制和管理能力，以保證信息的可控制性；準(zhǔn)確跟蹤實(shí)體運(yùn)行達(dá)到審計和識別的目的，以保證信息的可計算性；網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)和應(yīng)用系統(tǒng)能夠相互連接、協(xié)調(diào)運(yùn)行，以保證信息的互操作性。從信息運(yùn)行環(huán)境角度，包括：各種各樣硬件設(shè)施的物理安全。

從信息管理規(guī)范的角度，包括：各種各樣的規(guī)章制度、法律法規(guī)、人員安全性等。

11/23/20226重慶工學(xué)院計算機(jī)學(xué)院陳莊6.1.2威脅信息資源安全的主要因素（1/3）

三個方面：天災(zāi)、人禍和信息系統(tǒng)自身的脆弱性。

1、天災(zāi)指不可控制的自然災(zāi)害，如地震、雷擊、火災(zāi)、風(fēng)暴、戰(zhàn)爭、社會暴力等。天災(zāi)輕則造成業(yè)務(wù)工作混亂，重則造成系統(tǒng)中斷甚至造成無法估量的損失。

2、人禍人禍包括“無意”人禍和“有意”人禍。（1）

“無意”人禍：是指人為的無意失誤和各種各樣的誤操作。典型“無意”人禍有：操作人員誤刪除文件；操作人員誤輸入數(shù)據(jù)；系統(tǒng)管理人員為操作員的安全配置不當(dāng)；用戶口令選擇不慎；操作人員將自己的帳號隨意轉(zhuǎn)借他人或與別人共享。11/23/20227重慶工學(xué)院計算機(jī)學(xué)院陳莊6.1.2威脅信息資源安全的主要因素（2/3）

2、人禍（續(xù)）（2）“有意”人禍：指人為的對信息資源進(jìn)行惡意破壞的行為。“有意”人禍?zhǔn)悄壳靶畔①Y源安全所面臨的最大威脅?！坝幸狻比说溨饕ㄏ率鋈N類型：惡意攻擊：主要有主動攻擊和被動攻擊兩種形式。其中，主動攻擊是指以某種手段主動破壞信息的有效性和完整性；被動攻擊則是在不影響信息（或網(wǎng)絡(luò)）系統(tǒng)正常工作的情況下，截獲、竊取、破譯重要機(jī)密信息。這兩種惡意攻擊方式均可對信息資源造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。

違紀(jì)：是指內(nèi)部工作人員違反工作規(guī)程和制度的行為。例如：銀行系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)管理員與操作員的口令一致、職責(zé)不分等。

違法犯罪：包括制造和傳播病毒/

非法復(fù)制。例如，侵犯著作權(quán)、版權(quán)等/竊取機(jī)密/

金融犯罪/色情犯罪，例如：利用網(wǎng)絡(luò)傳播色情圖文、販賣色情物品、進(jìn)行色情交易等/宣傳邪教、恐怖主義、種族歧視等/制造謠言。例如，在有關(guān)主頁上發(fā)布虛假信息、假新聞等/

誣蔑誹謗。例如，利用計算機(jī)進(jìn)行非法的圖像合成、搞張冠李戴等。

11/23/20228重慶工學(xué)院計算機(jī)學(xué)院陳莊6.1.2威脅信息資源安全的主要因素（3/3）

3、信息系統(tǒng)自身的脆弱性計算機(jī)硬件系統(tǒng)的故障。因生產(chǎn)工藝或制造商的原因，計算機(jī)硬件系統(tǒng)本身有故障，如電路短路、斷路、接觸不良等引起系統(tǒng)的不穩(wěn)定、電壓波動的干擾等。軟件的“后門”。軟件的“后門”是指軟件公司的程序設(shè)計人員為了自便而在開發(fā)時預(yù)留設(shè)置的，旨在為軟件調(diào)試、進(jìn)一步開發(fā)或遠(yuǎn)程維護(hù)提供了方便。然而，這些軟件“后門”也為非法入侵提供了通道，一旦“后門”洞開，其造成的后果將不堪設(shè)想。軟件的漏洞。軟件不可能是百分之百的無缺陷和無漏洞的，這些漏洞和缺陷往往是黑客攻擊的首選目標(biāo)，軟件的BUGS便是典型的缺陷和漏洞。

11/23/20229重慶工學(xué)院計算機(jī)學(xué)院陳莊6.1.3信息資源的安全管理模型（1/2）1、信息安全資源的安全管理的6層次模型11/23/202210重慶工學(xué)院計算機(jī)學(xué)院陳莊6.1.3信息資源的安全管理模型（2/2）2、每一層次主要包括的安全管理或安全技術(shù)內(nèi)容安全管理制度。包括：法律法規(guī)、行政管理措施。環(huán)境安全。包括：場地安全、中心機(jī)房安全。物理實(shí)體安全。包括：設(shè)備布置安全、設(shè)備供電安全、電纜安全、設(shè)備維護(hù)安全、場所外設(shè)備安全、設(shè)備的處置及再利用安全。網(wǎng)絡(luò)安全。包括：數(shù)據(jù)加密技術(shù)、密鑰管理技術(shù)、訪問控制技術(shù)、反病毒技術(shù)、防火墻技術(shù)。軟件安全。包括：應(yīng)用軟件安全、系統(tǒng)軟件安全。數(shù)據(jù)信息安全。包括：數(shù)據(jù)庫系統(tǒng)安全技術(shù)、數(shù)據(jù)備份技術(shù)、終端安全技術(shù)、數(shù)據(jù)完整性鑒別技術(shù)、數(shù)據(jù)簽名技術(shù)、信息審計跟蹤技術(shù)。11/23/202211重慶工學(xué)院計算機(jī)學(xué)院陳莊6.2.1法律法規(guī)（1/2）1、制定法律法規(guī)的目的通過法律來規(guī)范和制約信息活動中人們的思想與行為，將信息資源安全納入規(guī)范化、法制化和科學(xué)化的軌道。2、我國信息資源安全法規(guī)法律現(xiàn)狀我國已頒布了有關(guān)信息資源安全法規(guī)50余種，如保密法、數(shù)據(jù)保護(hù)法、計算機(jī)安全法、計算機(jī)犯罪法等。這些法規(guī)的頒布，從一定意義上規(guī)范了人們在信息活動的行為，并且也使合法的信息活動受到了保護(hù)。11/23/202212重慶工學(xué)院計算機(jī)學(xué)院陳莊6.2.1法律法規(guī)（2/2）3、信息資源安全法規(guī)法律的基本準(zhǔn)則一般地，合法的信息活動一般應(yīng)滿足下述原則信息系統(tǒng)合法原則。按一定的法律程序注冊、登記信息系統(tǒng)，不符合法律的信息系統(tǒng)不予注冊，未注冊信息系統(tǒng)的安全不受法律保護(hù)。用戶合法原則。進(jìn)入信息系統(tǒng)的用戶及其進(jìn)入系統(tǒng)的目的必須經(jīng)過嚴(yán)格審查，并登記注冊的。信息公開原則。信息系統(tǒng)中允許收集、擴(kuò)散、維護(hù)必要的相關(guān)信息，系統(tǒng)對這些信息的常規(guī)使用方式對法律公開。信息利用原則。用戶的有關(guān)信息可按用戶確認(rèn)和系統(tǒng)允許的形式保存在系統(tǒng)中，用戶有權(quán)查詢和復(fù)制這些信息，有權(quán)修改其相關(guān)內(nèi)容。

資源限制原則。信息系統(tǒng)中保持的信息的類型、時限和精確性應(yīng)給予適當(dāng)限制。11/23/202213重慶工學(xué)院計算機(jī)學(xué)院陳莊6.2.2.1安全管理原則（1/2）1、多人負(fù)責(zé)原則每一項與信息安全有關(guān)的活動，都必須有兩人或多人在場并簽署安全記錄。這些信息安全活動包括：訪問控制使用證件的發(fā)放與回收。信息處理系統(tǒng)使用的媒介發(fā)放與回收。處理保密信息。硬件和軟件的維護(hù)。系統(tǒng)軟件的設(shè)計、實(shí)現(xiàn)和修改。重要程序和數(shù)據(jù)的刪除和銷毀。2、任期有限原則一般而言，任何人都不能長期擔(dān)任與安全有關(guān)的職務(wù)，即信息安全工作不是專有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強(qiáng)制實(shí)行休假制度，并規(guī)定對工作人員進(jìn)行輪流培訓(xùn)，從而使任期有限制度切實(shí)執(zhí)行。11/23/202214重慶工學(xué)院計算機(jī)學(xué)院陳莊6.2.2.1安全管理原則（2/2）3、職責(zé)分離原則在信息處理系統(tǒng)工作的人員，不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。出于對安全的考慮，下面每組內(nèi)的兩項信息處理工作應(yīng)當(dāng)分開：計算機(jī)操作與計算機(jī)編程。機(jī)密資料的接收和傳送。安全管理和系統(tǒng)管理。應(yīng)用程序和系統(tǒng)程序的編制。訪問證件的管理與其它工作。

計算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。11/23/202215重慶工學(xué)院計算機(jī)學(xué)院陳莊6.2.2.2安全管理的措施（1/2）根據(jù)工作的重要程度，確定相關(guān)系統(tǒng)的安全等級。依據(jù)系統(tǒng)的安全等級，確定安全管理的范圍。建立組織及人員制度。加強(qiáng)信息機(jī)構(gòu)、人員的安全意識和技術(shù)培訓(xùn)及人員選擇，嚴(yán)格執(zhí)行上述的多人負(fù)責(zé)原則、任期有限原則和職責(zé)分離原則。制訂相應(yīng)的機(jī)房出入管理制度。對于安全等級要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。出入管理可采用證件識別或安裝自動識別登記系統(tǒng)，采用磁卡、身份卡等手段，對人員進(jìn)行識別、登記管理。制訂嚴(yán)格的操作規(guī)程。操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍。11/23/202216重慶工學(xué)院計算機(jī)學(xué)院陳莊6.2.2.2安全管理的措施（2/2）制訂完備的系統(tǒng)維護(hù)制度。對系統(tǒng)進(jìn)行維護(hù)時，應(yīng)采取數(shù)據(jù)保護(hù)措施，如數(shù)據(jù)備份等。維護(hù)時要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場，故障的原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。制訂應(yīng)急措施。要制訂系統(tǒng)在緊急情況下如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小。建立人員雇用和解聘制度。對工作調(diào)動和離職人員要及時調(diào)整。其他措施。包括：做信息處理用的機(jī)器要專機(jī)專用，不允許兼作其他用機(jī)；終端操作員因事離開終端，必須將終端退回到登錄畫面，避免其他人員使用該終端進(jìn)行非法操作；各種憑證、賬表、資料要妥善保管，嚴(yán)格控制；各種工作安全記錄要交叉復(fù)核，各類人員所掌握的資料要與其身份相符合。11/23/202217重慶工學(xué)院計算機(jī)學(xué)院陳莊6.3.1場地安全1、場地安全的相關(guān)條件信息中心機(jī)房場地的選擇應(yīng)符合國家標(biāo)準(zhǔn)GB/T2887-2000規(guī)定的相關(guān)條件，包括：選址條件；溫度、濕度條件；照明、電磁場干擾的技術(shù)條件；接地、供電、建筑結(jié)構(gòu)條件；媒體的使用和存放條件；腐蝕性氣體的條件等。2、場地安全的基本要求應(yīng)盡量建在電力、水源充足，自然環(huán)境清潔、通信、交通運(yùn)輸方便的地方；應(yīng)盡量遠(yuǎn)離有害氣源及存放腐蝕、易燃、易爆炸物的地方；應(yīng)盡量避免在低洼、潮濕、匿雷區(qū)和地震活動頻繁的地方；應(yīng)盡量避開強(qiáng)電磁場的干擾；應(yīng)盡量遠(yuǎn)離強(qiáng)振動源和強(qiáng)噪聲源；應(yīng)盡量避免建在建筑物的高層及地下室以及用水設(shè)備的下層。

11/23/202218重慶工學(xué)院計算機(jī)學(xué)院陳莊6.3.2中心機(jī)房安全（1/2）1、中心機(jī)房安全的總體要求中心機(jī)房的建設(shè)應(yīng)滿足國家標(biāo)準(zhǔn)GB936l－1988對計算機(jī)機(jī)房建設(shè)的相關(guān)規(guī)定，如內(nèi)部裝修、防火、供配電系統(tǒng)、空調(diào)系統(tǒng)、火災(zāi)報警及消防設(shè)施、防水、防靜電、防雷擊、防鼠害等規(guī)定。2、中心機(jī)房的安全應(yīng)重點(diǎn)考五個系統(tǒng)（1）供配電系統(tǒng)。供配電系統(tǒng)要求能保證對機(jī)房內(nèi)的主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備等的電源供應(yīng)，且在任何情況下都不會間斷。因此，供電系統(tǒng)應(yīng)包括兩路以上的市電供應(yīng)系統(tǒng)、自備發(fā)電機(jī)系統(tǒng)、保證足夠時間供電的UPS系統(tǒng)等。（2）防雷接地系統(tǒng)。為了保證信息系統(tǒng)機(jī)房的各種設(shè)備安全，要求機(jī)房內(nèi)設(shè)有四種接地形式，即計算機(jī)專用直流邏輯地、配電系統(tǒng)交流工作地、安全保護(hù)地、防雷保護(hù)地。11/23/202219重慶工學(xué)院計算機(jī)學(xué)院陳莊6.3.2中心機(jī)房安全（2/2）2、中心機(jī)房的安全應(yīng)重點(diǎn)考慮五個系統(tǒng)（續(xù)）（3）消防報警及自動滅火系統(tǒng)。為實(shí)現(xiàn)火災(zāi)自動滅火功能，在機(jī)房內(nèi)還應(yīng)該設(shè)計火災(zāi)自動監(jiān)測及報警系統(tǒng)，以便能自動監(jiān)測火災(zāi)的發(fā)生，并且啟動自動滅火系統(tǒng)和報警系統(tǒng)。（4）門禁系統(tǒng)。在機(jī)房應(yīng)安裝安全易用的門禁系統(tǒng)以保證信息系統(tǒng)的物理安全，同時也可提高管理的效率。其中，門禁系統(tǒng)需要注意的原則是安全可靠、簡單易用、分級制度、中央控制和多種識別方式的結(jié)合。（5）保安監(jiān)控系統(tǒng)。信息系統(tǒng)的保安監(jiān)控包括閉路監(jiān)視系統(tǒng)、通道報警系統(tǒng)和人工監(jiān)控系統(tǒng)等。

11/23/202220重慶工學(xué)院計算機(jī)學(xué)院陳莊6.4.1設(shè)備布置安全

設(shè)備的布置應(yīng)考慮下述因素：設(shè)備的布置應(yīng)有利于減少對工作區(qū)的不必要的訪問。敏感數(shù)據(jù)的信息處理與存儲設(shè)施的布置應(yīng)降低其使用期間被忽視的風(fēng)險，即設(shè)施應(yīng)處在有效的監(jiān)視范圍之內(nèi)。要求特別保護(hù)的設(shè)備應(yīng)與其他設(shè)備進(jìn)行隔離，以降低所需保護(hù)的總級別。其他。如：機(jī)房內(nèi)設(shè)備的總體布置應(yīng)力求美觀、大方、整潔、清爽，具有一定的參觀價值；為鍵盤配備隔膜，以防止灰塵積累，等等。11/23/202221重慶工學(xué)院計算機(jī)學(xué)院陳莊6.4.2設(shè)備供電安全

設(shè)備的供電可靠性對保證信息系統(tǒng)的正常運(yùn)行至關(guān)重要。因此，應(yīng)采取有效措施，確保設(shè)備的供電安全。設(shè)備供電安全的主要措施包括：為設(shè)備配備電源必須符合設(shè)備制造商的技術(shù)規(guī)范。通過建立多路供電、配備UPS、配備備用發(fā)電機(jī)等措施，確保關(guān)鍵設(shè)備獲得持續(xù)的電力供應(yīng)。對供電設(shè)備的定期維護(hù)。包括：對UPS設(shè)備應(yīng)定期檢查，以確保其電量充足；發(fā)電機(jī)安裝以后，應(yīng)按制造商的要求進(jìn)行定期測試，且應(yīng)配備充足的燃料，以保障發(fā)電機(jī)能長時間工作；應(yīng)急電源開關(guān)應(yīng)位于設(shè)備室的緊急出口附近，以便在緊急事故情況下迅速斷電；主電源故障情況下應(yīng)配備應(yīng)急照明。11/23/202222重慶工學(xué)院計算機(jī)學(xué)院陳莊6.4.3電纜安全

1、電纜安全的重要性用于傳送數(shù)據(jù)或支持信息服務(wù)的電力電纜和通信電纜被截斷后，將會造成信息丟失，甚至造成整個系統(tǒng)的運(yùn)行中斷；用于傳送敏感信息的通信電纜被截獲，會造成秘密泄露。因此，應(yīng)采取適當(dāng)?shù)拇胧﹄娎|進(jìn)行安全保護(hù)，防止裁斷或損壞。2、電纜安全的主要措施無論電力電纜還是通信電纜應(yīng)盡可能埋在地下，或必須得到適當(dāng)?shù)钠渌Ｗo(hù)（如外套PVC管等）。網(wǎng)絡(luò)電纜線路應(yīng)提防未經(jīng)授權(quán)的截取或損壞。電纜線路應(yīng)通過電纜管道進(jìn)行敷設(shè)，盡量避免電纜線路通過公共區(qū)域。電源電纜應(yīng)與通信電纜分離，以防干擾。對于具有敏感信息或重要系統(tǒng)的設(shè)備，應(yīng)采用相關(guān)控制措施保證線路安全。電纜檢查點(diǎn)和端點(diǎn)（或電纜接頭）放在帶鎖的房間或盒里；采用數(shù)據(jù)加密技術(shù)對傳輸?shù)臄?shù)據(jù)進(jìn)行加密。定期對線路進(jìn)行維護(hù)，包括線路巡視檢查和必要的線路技術(shù)指標(biāo)的測試，及時發(fā)現(xiàn)線路故障隱患。11/23/202223重慶工學(xué)院計算機(jī)學(xué)院陳莊6.4.4設(shè)備維護(hù)安全1、設(shè)備維護(hù)安全的重要性設(shè)備維護(hù)不當(dāng)會引起設(shè)備設(shè)障，從而造成信息的不可用，甚至信息的不完整。因此，應(yīng)按照設(shè)備維護(hù)手冊的要求或有關(guān)維護(hù)規(guī)程、程序?qū)υO(shè)備進(jìn)行適當(dāng)?shù)木S護(hù)，確保設(shè)備處于良好的工作狀態(tài)，從而保證設(shè)備的持續(xù)可用性和完整性。2、設(shè)備維護(hù)安全的主要措施按照供應(yīng)商推薦的保養(yǎng)時間間隔和規(guī)范進(jìn)行設(shè)備保養(yǎng)。只有經(jīng)授權(quán)的維護(hù)人員才能維修和保養(yǎng)設(shè)備。維修人員應(yīng)具備一定的維修技能。儲備一定數(shù)量的備品與配件。應(yīng)保存有關(guān)設(shè)備維修、維護(hù)的記錄。當(dāng)設(shè)備送外進(jìn)行保養(yǎng)時，應(yīng)采取適當(dāng)措施，以防止敏感信息的泄露。關(guān)鍵設(shè)備或有關(guān)重要部件應(yīng)保存一定數(shù)量的冗余。11/23/202224重慶工學(xué)院計算機(jī)學(xué)院陳莊6.4.5場所外設(shè)備安全（1/2）1、場所外設(shè)備的定義場所外設(shè)備(EquipmentOff-premises)是指離開組織（或企業(yè)、單位）工作場所的設(shè)備，主要分為兩類：一類是因工作需要，將設(shè)備帶離組織外的工作場所，如因公外出所攜帶的筆記本電腦；另一類是固定在組織場所之外的設(shè)備，如移動通信公司的無人職守機(jī)房內(nèi)的通信設(shè)備。2、場所外設(shè)備安全的重要性場所外設(shè)備可能遭受盜竊、未經(jīng)授權(quán)的訪問或環(huán)境因素的威脅，因此應(yīng)考慮場所外設(shè)備進(jìn)行安全保護(hù)，且所提供的保護(hù)至少應(yīng)等同于單位內(nèi)相同用途的設(shè)備。11/23/202225重慶工學(xué)院計算機(jī)學(xué)院陳莊6.4.5場所外設(shè)備安全（2/2）3、場所外設(shè)備安全的主要措施任何在單位外的設(shè)備使用，不管所有權(quán)、使用權(quán)如何，均應(yīng)經(jīng)管理層授權(quán)許可。從場所帶走的設(shè)備應(yīng)嚴(yán)加保護(hù)。例如：可采用上鎖的文件柜、清除桌面系統(tǒng)及對計算機(jī)的訪問控制等措施。應(yīng)始終遵守制造商有關(guān)保護(hù)設(shè)備的指南要求，如：防止受到強(qiáng)電磁場的干擾。采用合適的物理防護(hù)裝置(如保險罩)，以保護(hù)場所外的設(shè)備安全。11/23/202226重慶工學(xué)院計算機(jī)學(xué)院陳莊6.4.6設(shè)備的處置及再利用安全

1、設(shè)備的處置及再利用安全的重要性設(shè)備到期報廢或改變其使用用途時，由于粗心會造成敏感信息的泄露。2、設(shè)備的處置及再利用安全的主要措施格式化計算機(jī)硬盤。刪除文件記錄。物理銷毀。

11/23/202227重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.1網(wǎng)絡(luò)安全的涵義（1/3）1、網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)中的硬件（主機(jī)、服務(wù)器及其它網(wǎng)絡(luò)設(shè)備）和軟件系統(tǒng)受到保護(hù)而不被偶然的或者惡意的原因遭到破壞，從而保證系統(tǒng)能連續(xù)可靠地運(yùn)行。2、網(wǎng)絡(luò)安全的基本安全功能（1）鑒別（Authentication）提供對網(wǎng)絡(luò)系統(tǒng)中的對等實(shí)體和數(shù)據(jù)來源的鑒別，包括對等實(shí)體鑒別和數(shù)據(jù)原發(fā)鑒別。對等實(shí)體鑒別是在連接對方時或在數(shù)據(jù)傳送階段的某些時刻提供使用，用以證實(shí)一個或多個連接實(shí)體的身份；數(shù)據(jù)原發(fā)鑒別則對數(shù)據(jù)單元的來源提供識別。

（2）訪問控制（AccessControl）提供保護(hù)以對抗開放系統(tǒng)互連可訪問資源的非授權(quán)使用，包括自主型訪問控制和指定型訪問控制。自主型訪問控制的授權(quán)由網(wǎng)絡(luò)資源的所有者或者創(chuàng)建者自主決定；指定型訪問控制的授權(quán)則由網(wǎng)絡(luò)管理者根據(jù)先前制定的安全方針與訪問規(guī)則統(tǒng)一規(guī)定。11/23/202228重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.1網(wǎng)絡(luò)安全的涵義（2/3）2、網(wǎng)絡(luò)安全的基本安全功能（續(xù)）（3）數(shù)據(jù)保密性（Dataconfidentiality）對數(shù)據(jù)提供保護(hù)，防止因數(shù)據(jù)被截獲而造成信息泄密，包括信息保密性、選擇段保密性、業(yè)務(wù)流保密性。信息保密性是指保護(hù)數(shù)據(jù)庫中的信息或者通信系統(tǒng)中的信息；選擇段保密性是指在信息中保護(hù)被選擇的數(shù)據(jù)段；業(yè)務(wù)流保密性是指防止攻擊者通過觀察業(yè)務(wù)流來得到敏感信息。

（4）數(shù)據(jù)完整性（Dataintegrity）防止非法用戶對正常進(jìn)行數(shù)據(jù)交換的數(shù)據(jù)進(jìn)行修改、插入，以及在數(shù)據(jù)交換過程中可能存在的數(shù)據(jù)丟失等。

（5）抗抵賴性（NonRepudiation）提供相關(guān)數(shù)據(jù)，以證實(shí)已經(jīng)發(fā)生的操作，包括數(shù)據(jù)來源證明、數(shù)據(jù)遞交證明和公證。數(shù)據(jù)來源證明是指由接收者提供證據(jù)，防止信息發(fā)送者否認(rèn)發(fā)送過信息；數(shù)據(jù)遞交證明是指由發(fā)送者提供證據(jù)，防止信息接收的對象否認(rèn)接收過信息；公證是指通信雙方基于第三方的絕對信任，且第三方不能篡改信息。11/23/202229重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.1網(wǎng)絡(luò)安全的涵義（3/3）3、網(wǎng)絡(luò)安全的目標(biāo)防止未經(jīng)授權(quán)的數(shù)據(jù)訪問。防止數(shù)據(jù)的意外遺漏或重復(fù)數(shù)據(jù)。防止利用隱含通道竊取機(jī)密信息，甚至設(shè)置“病毒”，使系統(tǒng)陷于癱瘓。確保數(shù)據(jù)的發(fā)送正確無誤。確保數(shù)據(jù)的接收正確無誤。根據(jù)保密要求與數(shù)據(jù)來源對數(shù)據(jù)作標(biāo)記。提供可供安全審計的網(wǎng)絡(luò)通信記錄，防止對用戶進(jìn)行欺騙。可對獨(dú)立的第三方證明通信過程已經(jīng)實(shí)現(xiàn)，并且通信內(nèi)容已被正確接受。在取得明確的可訪問系統(tǒng)的授權(quán)許可后，才能與系統(tǒng)通信。

11/23/202230重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.2.1數(shù)據(jù)加密技術(shù)（1/3）

網(wǎng)絡(luò)數(shù)據(jù)加密是網(wǎng)絡(luò)安全中最有效的信息保護(hù)措施。網(wǎng)絡(luò)數(shù)據(jù)加密的方式主要有鏈路加密、端對端加密以及混合加密等三種方式。

1、鏈路加密1）鏈路加密的概念鏈路層處在ISO參考模型的第二層，是用于傳輸數(shù)據(jù)的通信信道。鏈路加密是對網(wǎng)絡(luò)中兩個相鄰節(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)。

2）鏈路加密的的基本原理在受保護(hù)數(shù)據(jù)所選定的路徑上，任意一對節(jié)點(diǎn)之間的加密是獨(dú)立實(shí)現(xiàn)的，即每條鏈路所使用的加密密鑰是不同的，如圖6.2所示。圖中，Ei(x)（i=1,2,…,n）代表第i條鏈路的加密密鑰。

11/23/202231重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.2.1數(shù)據(jù)加密技術(shù)（2/3）1、鏈路加密（續(xù)）3）鏈路加密的過程網(wǎng)絡(luò)中，傳送的信息由報頭和報文兩部分組成。報頭是為了保證通情所必用的控制信息，如信息傳送的源節(jié)點(diǎn)地址、目的節(jié)點(diǎn)的地址、路徑選擇信息、傳送信息的長度等；報文則是真正要傳送的用戶數(shù)據(jù)信息。鏈路加密的加密算法常同時對報文和報頭進(jìn)行加密，這不僅保護(hù)傳送的信息，而且還掩蓋了源節(jié)點(diǎn)和目的節(jié)點(diǎn)的地址。鏈路加密一般采用硬件實(shí)現(xiàn)。

2、端對端加密1）原理端對端加密是在一對用戶之間的數(shù)據(jù)連續(xù)地提供保護(hù)，所以它要求各對用戶采用相同的密鑰，其原理如圖6.3所示。11/23/202232重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.2.1數(shù)據(jù)加密技術(shù)（3/3）2、端對端加密（續(xù)）2）過程端一端加密方式僅對報文信息進(jìn)行加密，而報頭中的控制信息部分則是以明文形式傳送。端對端加密一般采用軟件實(shí)現(xiàn)，當(dāng)然也可以用硬件實(shí)現(xiàn)。

3、混合加密為了保護(hù)報頭中的敏感信息，獲得更好的安全性，可以采用鏈路加密和端對端加密結(jié)合的混合加密方式。在該方式下，報文將被兩次加密，而報頭則由鏈路加密方式進(jìn)行加密。11/23/202233重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.2.2密鑰管理技術(shù)（1/3）

1、什么是密鑰密鑰（Key）是一系列控制加密、解密操作的符號。加密技術(shù)一般都采用加密算法來實(shí)現(xiàn)，而加密算法必須由密鑰來控制。由于算法是公開的，因此明文的保密主要依賴于密鑰的保密。在網(wǎng)絡(luò)環(huán)境下，因用戶和節(jié)點(diǎn)很多，需要大量的密鑰。因此，如果沒有一套妥善的管理方法，密鑰—旦丟失或出錯，其危險性是可想而知的。2、密鑰管理的基本任務(wù)密鑰管理是一項復(fù)雜的工作，既包括一系列的技術(shù)問題，也包括管理人員的素質(zhì)問題。密鑰管理的基本任務(wù)是：在密鑰的整個生命周期中，為密鑰提供生成、注冊、認(rèn)證、注銷、分發(fā)、安裝、存儲、歸檔、撤銷、衍生和銷毀等管理服務(wù)。11/23/202234重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.2.2密鑰管理技術(shù)（2/3）

3、各項任務(wù)的內(nèi)涵密鑰生成。是指是為特定密碼算法以安全的方式產(chǎn)生密鑰。該項服務(wù)要求：密鑰產(chǎn)生過程不會被篡改，產(chǎn)生方式不可預(yù)測，分發(fā)符合指定規(guī)程；某些密鑰（如主密鑰）生成要求特別的安全措施，因為知道這些密鑰就能訪問所有相關(guān)密鑰或衍生密鑰。密鑰注冊。所謂密鑰注冊，是指將密鑰與實(shí)體聯(lián)系起來。密鑰注冊一般由專門的機(jī)構(gòu)提供，而且是在使用對稱密碼技術(shù)時應(yīng)用。密鑰證書生成。密鑰證書生成是指生成密鑰證書以確保公開密鑰與實(shí)體的聯(lián)系。該項工作也是由專門機(jī)構(gòu)提供。密鑰分發(fā)。密鑰分發(fā)是指為己授權(quán)實(shí)體安全地提供密鑰管理信息的過程。密鑰安裝。是指在保證密鑰不被泄露的方式下將密鑰安裝在密鑰管理設(shè)備內(nèi)。密鑰只有安裝后才能使用。11/23/202235重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.2.2密鑰管理技術(shù)（3/3）

3、各項任務(wù)的內(nèi)涵（續(xù)）密明存儲。密鑰存儲是為當(dāng)前或近期使用的密鑰或備份密鑰提供安全存儲。密鑰存儲的主要方式有：物理存儲，如存放在一個防拆設(shè)備內(nèi)，或存放在磁盤或存儲卡等外部設(shè)備；將密鑰加密后再用物理設(shè)備存儲；用口令或PIN保護(hù)對密鑰進(jìn)行保護(hù)，等等。密鑰歸檔。、密鑰歸檔是指在密鑰正常使用之后所提供安全、長期的存儲。密鑰撤銷。如果懷疑某個密鑰被泄漏或某些情況發(fā)生變更，便需要將密鑰撤消。密鑰被撤銷后，可能僅用于解密和驗證。密鑰注銷。密鑰注銷就是解除密鑰與實(shí)體間的關(guān)系。密鑰注銷是密鑰撤消過程的一部分。密鑰銷毀。密鑰銷毀是指將不再需要的密鑰及其文檔安全地銷毀。密鑰銷毀將刪除該密鑰管理信息的所有記錄，且銷毀后的密鑰將不能再恢復(fù)使用。某些密鑰可能存儲在電子設(shè)備或系統(tǒng)之外，銷毀這些密鑰還需要相關(guān)的管理措施。11/23/202236重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.2.3訪問控制技術(shù)（1/2）1、什么是訪問控制？訪問控制就是對訪問的申請、批準(zhǔn)和撤銷的全過程進(jìn)行有效的控制，以確保只有合法用戶的合法訪問才能予以批準(zhǔn)，而且被批難的訪問只能執(zhí)行授權(quán)的操作。2、為什么需要訪問控制？為了保證網(wǎng)絡(luò)系統(tǒng)的安全，拒絕非法用戶使用系統(tǒng)資源和防止非法用戶的盜竊或破壞。11/23/202237重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.2.3訪問控制技術(shù)（2/2）3、有哪些訪問控制技術(shù)？身份識別。訪問控制的第一道防線就是對用戶身份的識別，通過身份識別來鑒定系統(tǒng)的訪問者究竟是合法的還是非法的，從而阻止非法用戶訪問系統(tǒng)資源。身份識別常用的方法有指紋、掌紋、視網(wǎng)膜紋以及IC智能卡。其中，IC智能卡識別方式是目前較為流行且性價比較高的方式。

訪問操作控制。當(dāng)用用戶被批準(zhǔn)訪問系統(tǒng)后，就要對訪問操作進(jìn)行控制，包括授權(quán)、確定訪問權(quán)限、實(shí)施訪問權(quán)限、信息流動等控制。

審計跟蹤。審計跟蹤是對用戶訪問操作過程進(jìn)行完整的記錄，包括用戶使用的系統(tǒng)資源情況、使用的時間、執(zhí)行的操作等。審計跟蹤是訪問控制的另一個重要方面，其目的在于：當(dāng)非法事件發(fā)生后能進(jìn)行有效的、有原始證據(jù)的追查。

11/23/202238重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.2.4反病毒技術(shù)（1/6）1、什么是計算機(jī)病毒？計算機(jī)病毒是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。計算機(jī)病毒是一種特殊形式的計算機(jī)犯罪，它的產(chǎn)生和蔓延已經(jīng)給網(wǎng)絡(luò)安全造成巨大的損害和威脅。因此，必須在充分分析計算機(jī)病毒的危害、種類、特點(diǎn)的基礎(chǔ)上，研究反病毒技術(shù)，以預(yù)防并消除計算機(jī)病毒。

11/23/202239重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.2.4反病毒技術(shù)（2/6）2、計算機(jī)病毒的危害有哪些？通過“自我復(fù)制”傳染正在運(yùn)行的其他程序，與其他運(yùn)行程序爭奪系統(tǒng)資源。沖毀存儲中的大量數(shù)據(jù)，致使系統(tǒng)其他用戶的數(shù)據(jù)蒙受損失。分割所使用的計算機(jī)系統(tǒng)，同時還會殃及與其聯(lián)網(wǎng)的其他計算機(jī)系統(tǒng)。導(dǎo)致信息系統(tǒng)功能失靈、系統(tǒng)癱瘓等。反復(fù)傳染拷貝，造成存儲空間減少，并影響系統(tǒng)運(yùn)行效率?？諕煜到y(tǒng)，造成顯示屏幕或鍵盤的封鎖狀態(tài)。11/23/202240重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.2.4反病毒技術(shù)（3/6）3、計算機(jī)病毒的種類？按傳染方式分為引導(dǎo)型、文件型和混合型病毒。引導(dǎo)型病毒是利用優(yōu)盤（或軟盤）的啟動原理工作，修改系統(tǒng)啟動扇區(qū)。文件型病毒一般只傳染磁盤上的可執(zhí)行文件（COM、EXE）等?；旌闲筒《炯嬗幸陨蟽煞N病毒的特點(diǎn)，既感染引導(dǎo)區(qū)又感染文件，因此這種病毒具有更強(qiáng)的傳染性。按連接方式分為源碼型、入侵型、操作系統(tǒng)型和外殼型病毒。源碼型(源程序)病毒較為少見，亦難以編寫、傳播；入侵型病毒可用自身代替正常程序中的部分模塊或堆棧區(qū)，只攻擊某些特定程序；操作系統(tǒng)病毒可用其自身部分加入或替代操作系統(tǒng)的部分功能;外殼病毒將自身附在正常程序的開頭或結(jié)尾，相當(dāng)于給正常程序加了個外殼，大部分的文件型病毒都屬于這一類，如“黑色星期五”、“哥倫布日”病毒等。按破壞性可分為惡性病毒和良性病毒。惡性病毒是指在代碼中包含有損傷、破壞計算機(jī)系統(tǒng)的操作;良性病毒是指不包含直接破壞的代碼，只是為了表現(xiàn)其存在或為說明某些事件而存在，如只顯示某些信息，或播放一段音樂。他病毒如宏病毒、網(wǎng)絡(luò)病毒等11/23/202241重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.2.4反病毒技術(shù)（4/6）4、計算機(jī)病毒的特點(diǎn)？人為破壞性。（占用資源、刪除文件或數(shù)據(jù)，降低運(yùn)行效率、中斷系統(tǒng)運(yùn)行）傳染性。（再生機(jī)制：自動復(fù)制擴(kuò)散到磁盤存儲器和整個計算機(jī)系統(tǒng)）隱蔽性。（病毒代碼本身設(shè)計短小，僅幾K字節(jié)，隱藏在程序或磁盤中內(nèi)。）潛伏性。（計算機(jī)病毒具有依附于其他媒體寄生的能力。）

衍生性。（計算機(jī)病毒變種。）可觸發(fā)性。(特定的時間、日期、用戶、文件出現(xiàn)或使用、文件使用次數(shù)等）不可預(yù)見性。(病毒比反病毒技術(shù)永遠(yuǎn)是超前的。）11/23/202242重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.2.4反病毒技術(shù)（5/6）5、計算機(jī)病毒的防范措施？技術(shù)措施技術(shù)措施主要是研制各種功能的防范計算機(jī)病毒的產(chǎn)品，包括軟件、硬件和軟硬結(jié)合的產(chǎn)品，為用戶提供必要的預(yù)防和消除病毒的工具，抑制計算機(jī)病毒的蔓延，達(dá)到控制和消滅計算機(jī)病毒的目的。軟件產(chǎn)品是通過軟件的方法來防止病毒侵入計算機(jī)系統(tǒng)，如病毒預(yù)防軟件；硬件產(chǎn)品是通過硬件的方法來防止病毒，如設(shè)計病毒過濾器、改變現(xiàn)有系統(tǒng)結(jié)構(gòu)等。管理措施是以預(yù)防為主的方式，加強(qiáng)對防范計算機(jī)病毒研究和使用的控制，保護(hù)用戶的合法權(quán)益，防止計算機(jī)病毒的傳染。（1）從整個社會的角度的管理措施建立健全的計算機(jī)法律制度，使得對病毒制造者的處理有法可依，有章可循。加強(qiáng)軟件產(chǎn)品市場的統(tǒng)一管理，尊重知識產(chǎn)權(quán)。加強(qiáng)計算機(jī)病毒研究的管理和有關(guān)防治病毒產(chǎn)品的檢查、控制。加強(qiáng)信息系統(tǒng)安全研究隊伍的建設(shè)，注重人員素質(zhì)、職業(yè)道德和工作能力的培養(yǎng)。抓好機(jī)密信息系統(tǒng)、重要信息系統(tǒng)（如與金融相關(guān)的系統(tǒng)）的計算機(jī)病毒防治工作。

11/23/202243重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.2.4反病毒技術(shù)（6/6）5、計算機(jī)病毒的防范措施？管理措施（續(xù)）（2）從計算機(jī)用戶（個人）角度的管理措施規(guī)定用戶的使用權(quán)限和使用環(huán)境；對外來的系統(tǒng)或軟件作使用規(guī)定；對系統(tǒng)和信息的存儲外設(shè)作使用說明和保護(hù)措施，堵住外界病毒的傳染渠道；不能隨意將本系統(tǒng)計算機(jī)與外界系統(tǒng)聯(lián)通，防止病毒侵入；建立系統(tǒng)應(yīng)急計劃；對系統(tǒng)中予以保護(hù)的程序或數(shù)據(jù)文件進(jìn)行經(jīng)常性檢查；對系統(tǒng)文件和重要的數(shù)據(jù)文件進(jìn)行寫保護(hù)或數(shù)據(jù)加密；嚴(yán)格控制卸載文件的執(zhí)行；建立適當(dāng)?shù)挠脩艨诹?，?guī)定合理的管理權(quán)限；對用戶數(shù)據(jù)和程序要安善保管，最好不要存于系統(tǒng)盤上；對系統(tǒng)中的重要數(shù)據(jù)，要定期拷貝；盡量不采用優(yōu)盤或軟盤引導(dǎo)；要定期對優(yōu)盤、軟盤、硬盤等進(jìn)行檢測和消毒；建立系統(tǒng)使用的登記表制度，完整記錄使用者姓名、時間、操作過程、機(jī)器狀態(tài)等，以及使用期間發(fā)現(xiàn)病毒的時間、危害情況、檢測和消毒情況。11/23/202244重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.2.5防火墻技術(shù)（1/3）1、什么是防火墻？防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一出入口，它能根據(jù)組織的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的重要基礎(chǔ)設(shè)施在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

11/23/202245重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.2.5防火墻技術(shù)（2/3）2、防火墻有哪些作用？

防火墻是網(wǎng)絡(luò)安全的屏障。一個防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。

防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計等）配置在防火墻上。

防火墻還支持具有Internet服務(wù)特性的虛擬專用網(wǎng)（VPN）。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

11/23/202246重慶工學(xué)院計算機(jī)學(xué)院陳莊6.5.2.5防火墻技術(shù)（3/3）3、防火墻的部署位置？在局域網(wǎng)內(nèi)的VLAN之間控制信息流向時加入防火墻。Intranet與Internet之間連接時加入防火墻。在廣域網(wǎng)系統(tǒng)中，由于安全的需要，總部的局域網(wǎng)可以將各分支機(jī)構(gòu)的局域網(wǎng)看成不安全的系統(tǒng)，總部的局域網(wǎng)利各分支機(jī)構(gòu)連接時，—般通過公網(wǎng)連接，需要采用防火墻隔離。并利用某些軟件提供的功能構(gòu)成虛擬專網(wǎng)（VPN）。利用一些防火墻軟件提供的負(fù)載平衡功能。如在公共訪問服務(wù)器和客戶端間加入防火墻進(jìn)行負(fù)載分擔(dān)、存取控制、用戶認(rèn)證、流量控制和日志記錄等功能。兩網(wǎng)對接時，可利用硬件防火墻作為網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)地址轉(zhuǎn)換(NAT)、地址映射MAP)、網(wǎng)絡(luò)隔離(DMZ)及存取安全控制，消除傳統(tǒng)軟件防火墻的瓶頸問題。11/23/202247重慶工學(xué)院計算機(jī)學(xué)院陳莊6.6.1軟件安全的涵義（1/2）1、軟件安全的概念軟件安全（又稱軟件保護(hù)）包含兩層含義：其一是指禁止非法拷貝和使用軟件；其二是防止非法閱讀和修改軟件。2、威協(xié)軟件安全的主要形式以軟件為手段，獲取未經(jīng)授權(quán)或修改授權(quán)以外的信息。例如：邏輯炸彈。以軟件為手段，阻礙信息系統(tǒng)的正常運(yùn)行或其他用戶的正常使用。例如：計算機(jī)病毒。以軟件為對象，破壞軟件完成指定功能。例如：計算機(jī)病毒、故障、干擾、誤操作等以軟件為對象，復(fù)制軟件。如盜版軟件等。11/23/202248重慶工學(xué)院計算機(jī)學(xué)院陳莊6.6.1軟件安全的涵義（2/2）3、保護(hù)軟件安全的主要技術(shù)措施防拷貝。所謂防拷貝，就是通過采取一些加密措施，使得一般用戶利用正常的拷貝命令或拷貝工具軟件都無法將軟件進(jìn)行完整的復(fù)制，或者是所復(fù)制的軟件不能正常運(yùn)行。防拷貝技術(shù)是軟件加密的核心技術(shù)，也是防止軟件非法擴(kuò)散的主要技術(shù)。目前，常采用的防拷貝方法是：通過修改磁盤基數(shù)表中的某些參數(shù)來格式化一些特殊的磁道，然后將被加密軟件的一部分程序放任這些磁道中，使得一般用戶無法拷貝這些特殊磁道中的內(nèi)容，即所拷貝的只是源程序的一部分。防靜態(tài)分析。所謂防靜態(tài)分析，就是采取一些加密措施，防止用戶在靜態(tài)環(huán)境下通過反匯編獲得源程序代碼。防動態(tài)分析。所謂防動態(tài)分析，就是阻止解密者的動態(tài)跟蹤，使得在正常狀態(tài)下無法用調(diào)試程序?qū)浖旧磉M(jìn)行跟蹤執(zhí)行。11/23/202249重慶工學(xué)院計算機(jī)學(xué)院陳莊6.6.2系統(tǒng)軟件安全（1/3）1、系統(tǒng)軟件的概念系統(tǒng)軟件（SystemSoftware）是用于管理計算機(jī)中的CPU、存儲器、通信聯(lián)接以及各種外部設(shè)備等所有系統(tǒng)資源的程序，其主要作用是管理和控制計算機(jī)系統(tǒng)的各個部分，使之協(xié)調(diào)運(yùn)行，并為各種數(shù)據(jù)處理提供基礎(chǔ)功能。2、系統(tǒng)軟件的安全措施（1）訪問控制訪問控制是確定誰能訪問系統(tǒng)，能訪問系統(tǒng)何種資源，以及在何種程序上使用這些資源。訪問控制包括對系統(tǒng)各種資源的存取控制、對設(shè)備（如內(nèi)存、磁盤等）的存放控制以及對文件和數(shù)據(jù)的存取控制等。訪問控制的目的在于：保護(hù)存儲在計算機(jī)內(nèi)主要信息的秘密性。保護(hù)存儲在計算機(jī)內(nèi)個人信息的保密性。維護(hù)計算機(jī)內(nèi)信息的完整性，拒絕非授權(quán)用戶，減少非法用戶對重要文件進(jìn)行修改的機(jī)會。減少病毒感染機(jī)會，從而減少和延緩病毒的傳播。11/23/202250重慶工學(xué)院計算機(jī)學(xué)院陳莊6.6.2系統(tǒng)軟件安全（2/3）2、系統(tǒng)軟件的安全措施（1）訪問控制（續(xù)）訪問控制的基本任務(wù)，包括：規(guī)定要保護(hù)的資源。

規(guī)定可以訪問該資源的實(shí)體，它可以是人，也可以是一段程序。規(guī)定可對該資源執(zhí)行的操作，如讀、寫、執(zhí)行或禁止訪問等。完成上述訪問控制任務(wù)的安全方案，則應(yīng)包括下述基本內(nèi)容：認(rèn)證。在訪問資源之前用戶應(yīng)證明身份。確認(rèn)身份的方法可以用諸如磁卡、密鑰、證書或口令、指紋、掌紋或視網(wǎng)膜等。訪問權(quán)限。對用戶的訪問權(quán)限進(jìn)行規(guī)劃，如可將用戶分為特殊用戶、一般用戶審計用戶和作廢用戶、對不向的用戶賦予不同的權(quán)限。文件保護(hù)。對文件提供附加保護(hù)（如加密等），使非授權(quán)用戶不能讀到修改內(nèi)容。

審計。記錄用戶使用安全系統(tǒng)的過程，包括記錄用戶違反安全規(guī)定的時間、日期以及用戶活動。11/23/202251重慶工學(xué)院計算機(jī)學(xué)院陳莊6.6.2系統(tǒng)軟件安全（3/3）2、系統(tǒng)軟件的安全措施（2）隔離控制隔離控制旨在防止未授權(quán)用戶接觸系統(tǒng)軟件，其主要措施包括：物理隔離，例如把不同用途的計算機(jī)分配給不同安全級別的用戶。時間隔離，例如使不同安全級別的程序在不同的時間使用計算機(jī)。加密隔離，將文件和數(shù)據(jù)加密，使無關(guān)人員無法閱讀。

（3）存儲保護(hù)存儲保護(hù)旨在對內(nèi)存總的程序和數(shù)據(jù)實(shí)施保護(hù)。其措施包括：防止地址越界。對進(jìn)程所產(chǎn)生的地址必須檢查，發(fā)現(xiàn)越界時產(chǎn)生中斷，再由操作系統(tǒng)進(jìn)行處理。防止操作越權(quán)。對于多個進(jìn)程共享的公共區(qū)域，每個進(jìn)程都享有訪問權(quán)，如有些進(jìn)程可執(zhí)行寫操作，而其他進(jìn)程只能執(zhí)行讀操作等。進(jìn)程操作的基本規(guī)則是：對屬于自己區(qū)域的信息，可讀可寫；對公共區(qū)域的共享信息或獲得授權(quán)可使用的信息，可讀而不可修改；對未獲授權(quán)使用的信息，不可讀也不可寫。11/23/202252重慶工學(xué)院計算機(jī)學(xué)院陳莊6.6.3應(yīng)用軟件安全（1/3）

1、應(yīng)用軟件的概念應(yīng)用軟件（ApplicationSoftware）是用來完成用戶所要求的數(shù)據(jù)處理任務(wù)或?qū)崿F(xiàn)用戶特定功能的程序。

2、應(yīng)用軟件的安全措施身份驗證用戶在進(jìn)入應(yīng)用系統(tǒng)前，首先提供自己的身份標(biāo)識和相關(guān)密碼，待系統(tǒng)核對正確后方可進(jìn)入系統(tǒng)。。身份驗證是應(yīng)用軟件最基本的安全機(jī)制，身份驗證能有效地限制非法用戶隨意進(jìn)入軟件系統(tǒng)。

訪問控制訪問控制能防止應(yīng)用軟件系統(tǒng)中出現(xiàn)越權(quán)訪問。注意：身份驗證在系統(tǒng)進(jìn)入時進(jìn)行，而訪問控制則在系統(tǒng)中每個功能模塊的進(jìn)入時進(jìn)行。當(dāng)用戶進(jìn)入系統(tǒng)后要訪問其中某一模塊，系統(tǒng)將自動判斷該用戶是否有權(quán)訪問此模塊。例如：—個應(yīng)用軟件中有財務(wù)管理模塊、銷售管理模塊等，銷售人員只允許訪問銷售管理模塊，財務(wù)人員只允許訪問財務(wù)管理模塊，而企業(yè)領(lǐng)導(dǎo)則可訪問全部模塊。11/23/202253重慶工學(xué)院計算機(jī)學(xué)院陳莊6.6.3應(yīng)用軟件安全（2/3）

2、應(yīng)用軟件的安全措施（續(xù)）故障恢復(fù)故障恢復(fù)機(jī)制就是出現(xiàn)故障后進(jìn)行恢復(fù)的步驟和程序，按照這些步驟和程序，軟件系統(tǒng)能在自動或人工干預(yù)下，確保其從故障狀態(tài)恢復(fù)到正常狀態(tài)而不致造成系統(tǒng)混亂和資料丟失。

當(dāng)系統(tǒng)運(yùn)行出現(xiàn)故障時，為避免故障造成系統(tǒng)混亂和資料丟失，應(yīng)用軟件應(yīng)設(shè)立故障恢復(fù)機(jī)制。安全保護(hù)應(yīng)用軟件總是圍繞對信息的交換、傳輸、存儲進(jìn)行工作的，必須確保其在信息的交換、傳輸、存儲時的安全性。為此，應(yīng)用軟件系統(tǒng)應(yīng)提供安全保護(hù)機(jī)制，如：信息在交換、傳輸時可進(jìn)行加密，存儲時可采用磁盤鏡像、雙機(jī)熱備等。安全審計定期檢查應(yīng)用軟件的訪問日志，查找軟件中的安全隱患，審計已有的安全機(jī)制，對其進(jìn)行完善，建立新的安全機(jī)制。

11/23/202254重慶工學(xué)院計算機(jī)學(xué)院陳莊6.6.3應(yīng)用軟件安全（3/3）

2、應(yīng)用軟件的安全措施（續(xù)2）分權(quán)制約應(yīng)用軟件中，一般將操作者分為操作員和管理員，操作員和管理員的操作權(quán)限相互制約。管理員完成對操作員的授權(quán)，但不能做操作員的工作；操作員根據(jù)自己的操作權(quán)限進(jìn)行相應(yīng)的操作，不能越權(quán)操作。

數(shù)據(jù)操作所有與數(shù)據(jù)庫操作有關(guān)的應(yīng)用程序（包括數(shù)據(jù)庫錄入、修改程序、前置處理程序、人機(jī)對話程序、報表程序等）均采用嚴(yán)格的用戶驗證和口令登錄機(jī)制，設(shè)定多種操作權(quán)限以及擁有操作權(quán)限的時間限定，并有臨時鎖定操作權(quán)限的機(jī)制，這樣可有效限制系統(tǒng)的非法操作和越權(quán)操作。所有應(yīng)用程序的關(guān)鍵操作步驟和對系統(tǒng)的關(guān)鍵模塊的操作均采用嚴(yán)格的用戶驗證和口令登錄機(jī)制以及重復(fù)詢問機(jī)制，這樣可有效避免誤操作的發(fā)生。

11/23/202255重慶工學(xué)院計算機(jī)學(xué)院陳莊6.7.1數(shù)據(jù)庫系統(tǒng)安全技術(shù)（1/4）1、數(shù)據(jù)庫系統(tǒng)安全的概念數(shù)據(jù)庫系統(tǒng)安全旨在保證信息系統(tǒng)中數(shù)據(jù)庫中的數(shù)據(jù)免遭破壞、修改、泄露和竊取等威脅和攻擊。數(shù)據(jù)庫系統(tǒng)安全技術(shù)，主要包括：數(shù)據(jù)庫加密技術(shù)數(shù)據(jù)庫用戶安全管理技術(shù)數(shù)據(jù)訪問安全控制技術(shù)2、數(shù)據(jù)庫加密技術(shù)1)數(shù)據(jù)庫加密技術(shù)的概念數(shù)據(jù)庫的加密方式主要包括庫外加密和庫內(nèi)加密。其中，庫外加密方式是基于文件加密的方法，即把數(shù)據(jù)庫作為一個文件，把每一個數(shù)據(jù)塊當(dāng)作文件的一個記錄進(jìn)行加密，而文件系統(tǒng)與數(shù)據(jù)庫管理系統(tǒng)則是基于塊號來進(jìn)行數(shù)據(jù)交換；庫內(nèi)加密按加密的程度，分為記錄加密、字段加密、數(shù)據(jù)元素加密三種，這三種庫內(nèi)加密方法分別是將庫內(nèi)的記錄、字段以及數(shù)據(jù)元素當(dāng)作一個文件進(jìn)行加密的。11/23/202256重慶工學(xué)院計算機(jī)學(xué)院陳莊6.7.1數(shù)據(jù)庫系統(tǒng)安全技術(shù)（2/4）2、數(shù)據(jù)庫加密技術(shù)（續(xù)）2)被加密后的數(shù)據(jù)庫必須滿足以下的要求：

加密后數(shù)據(jù)庫應(yīng)能在數(shù)據(jù)庫服務(wù)器上進(jìn)行訪問認(rèn)證。數(shù)據(jù)被加密后再存放到數(shù)據(jù)庫系統(tǒng)中。加密后的數(shù)據(jù)庫不會對數(shù)據(jù)庫的原有性能有太大的影響。受權(quán)用戶能確認(rèn)他所使用數(shù)據(jù)的完整性和安全性。

3、數(shù)據(jù)庫用戶安全管理技術(shù)

用戶的安全管理就是對數(shù)據(jù)庫用戶進(jìn)行分類并控制其操作權(quán)限的過程。為此，可將用戶分為下述四類進(jìn)行管理：①系統(tǒng)信息外圍共享用戶。此類用戶僅對系統(tǒng)的部分結(jié)果性數(shù)據(jù)感興趣，并不參與系統(tǒng)數(shù)據(jù)的處理工作，其權(quán)限就應(yīng)該控制在對數(shù)據(jù)庫部分?jǐn)?shù)據(jù)的讀取。11/23/202257重慶工學(xué)院計算機(jī)學(xué)院陳莊6.7.1數(shù)據(jù)庫系統(tǒng)安全技術(shù)（3/4）3、數(shù)據(jù)庫用戶安全管理技術(shù)（續(xù)）

②系統(tǒng)作業(yè)用戶。此類用戶參與系統(tǒng)數(shù)據(jù)的相關(guān)處理工作，其權(quán)限應(yīng)根據(jù)應(yīng)用系統(tǒng)要求，限定其對數(shù)據(jù)庫的操作，但原則上不允許使用數(shù)據(jù)庫提供的各類工具和實(shí)用程序。③系統(tǒng)維護(hù)用戶。應(yīng)具備系統(tǒng)作業(yè)用戶的權(quán)限，以便在維護(hù)過程中能夠順利模擬系統(tǒng)的工作狀況。此外根據(jù)需要，可授權(quán)其使用有關(guān)必須的數(shù)據(jù)庫工具和實(shí)用程序。每位系統(tǒng)維護(hù)人員部應(yīng)有自己的數(shù)據(jù)庫用戶。④數(shù)據(jù)庫管理員(DBA)。其工作是全局性的，具有數(shù)據(jù)庫管理的一切權(quán)限，也是最具破壞力的。對DBA的管理關(guān)鍵在于要針對系統(tǒng)的特點(diǎn)制定數(shù)據(jù)庫的維護(hù)計劃，以便通過口令管理限制DBA的生效時機(jī)和存活期。11/23/202258重慶工學(xué)院計算機(jī)學(xué)院陳莊6.7.1數(shù)據(jù)庫系統(tǒng)安全技術(shù)（4/4）4、數(shù)據(jù)訪問安全控制技術(shù)系統(tǒng)中的數(shù)據(jù)根據(jù)其使用范圍，可以分成公共數(shù)據(jù)和私有數(shù)據(jù)，數(shù)據(jù)訪問控制旨在通過限制不同用戶的訪問模式，使用戶只訪問被批準(zhǔn)的數(shù)據(jù)，從而保證私有數(shù)據(jù)的安全。具體安全訪問方式包括：①運(yùn)用視圖進(jìn)行訪問控制。通過視圖，可以在SQL語句中隱藏資料表中屬于私有信息的字段和記錄，同時限制用戶只能對視圖進(jìn)行操作，使其無法直接訪問數(shù)據(jù)元素。②運(yùn)用存儲過程進(jìn)行訪問控制。通過存儲過程可以限制用戶訪問數(shù)據(jù)的范圍并在控制下間接地存取數(shù)據(jù)。

③運(yùn)用觸發(fā)器進(jìn)行訪問控制。使用觸發(fā)器可以創(chuàng)建更為復(fù)雜的安全機(jī)制。將安全檢查語句加入到觸發(fā)器中，在諸如Insert、Update和Delete等特定事件發(fā)生之前或之后觸發(fā)，從而達(dá)到及時進(jìn)行安全審核的目的。④

運(yùn)用字段加密進(jìn)行訪問控制。

11/23/202259重慶工學(xué)院計算機(jī)學(xué)院陳莊6.7.2數(shù)據(jù)備份技術(shù)（1/5）

1、數(shù)據(jù)備份的概念數(shù)據(jù)備份是指將含有相同信息的數(shù)據(jù)存儲到兩個或多個相同或不同的存儲介質(zhì)上，以一定的機(jī)制判斷數(shù)據(jù)的一致性，需要數(shù)據(jù)時用一定的方法提取數(shù)據(jù)。2、數(shù)據(jù)備份的內(nèi)容數(shù)據(jù)備份的內(nèi)容主要是重要的數(shù)據(jù)和文件，包括：重要的數(shù)據(jù)或數(shù)據(jù)庫。系統(tǒng)文件（如注冊表、System.ini、Win.ini等）。用戶的應(yīng)用程序。日志文件。

整個分區(qū)或整個硬盤內(nèi)容。

11/23/202260重慶工學(xué)院計算機(jī)學(xué)院陳莊6.7.2數(shù)據(jù)備份技術(shù)（2/5）3、數(shù)據(jù)備份的層次數(shù)據(jù)備份的主要有三個層次，即硬件級、軟件級和人工級。1)硬件級備份。硬件級備份是指用冗余的硬件來保證系統(tǒng)的連續(xù)運(yùn)行，當(dāng)主硬件損壞時，后備硬件馬上能夠接替其工作。該方式可以有效地防止硬件故障對系統(tǒng)的影響。常用的硬件級備份有：磁盤鏡像、磁盤陣列、磁盤陣列柜、雙機(jī)容錯和集群、磁帶機(jī)、自動磁帶加載機(jī)、磁帶庫、光盤塔、光盤庫以及光盤網(wǎng)絡(luò)鏡像服務(wù)器等。2)軟件級備份。軟件級備份是指通過某種備份軟件將系統(tǒng)數(shù)據(jù)保存到其他介質(zhì)上，當(dāng)系統(tǒng)出現(xiàn)錯誤時可以再通過軟件將系統(tǒng)恢復(fù)到備份時的狀態(tài)。3)人工級備份。人工級的備份最原始、最煩瑣，但最有效。4）混合備份實(shí)用的備份系統(tǒng)，是在硬件容錯的基礎(chǔ)上，軟件備份和手工備份相結(jié)合。如果系統(tǒng)出錯，備份之前的數(shù)據(jù)用軟件方法恢復(fù)，備份之后的數(shù)據(jù)用手工方式恢復(fù)。這樣，不僅能夠有效地防止邏輯錯誤，還能夠節(jié)省備份和恢復(fù)的時間。11/23/202261重慶工學(xué)院計算機(jī)學(xué)院陳莊6.7.2數(shù)據(jù)備份技術(shù)（3/5）4、數(shù)據(jù)備份的模式數(shù)據(jù)備份的模式主要有三種：集中備份、本地備份和遠(yuǎn)程備份。1)集中備份。集中備份是指整個系統(tǒng)的備份由一套備份系統(tǒng)完成。該模式的優(yōu)點(diǎn)是硬件投資少、操作簡單，缺點(diǎn)是對網(wǎng)絡(luò)速度要求較高，較適合于小型網(wǎng)絡(luò)系統(tǒng)。2)本地備份。本地備份是指將一個大型網(wǎng)絡(luò)劃分成若干小型子網(wǎng)，在每個子網(wǎng)都使用集中備份。該模式的優(yōu)點(diǎn)是不依賴于網(wǎng)絡(luò)速度，備份速度高，響應(yīng)時間短；該模式的缺點(diǎn)是硬件投資較高，每個子網(wǎng)都需安裝備份系統(tǒng)。3)遠(yuǎn)程備份。遠(yuǎn)程備份（又稱異地備份）是指利用網(wǎng)絡(luò)技術(shù)將數(shù)據(jù)備份到遠(yuǎn)程各節(jié)點(diǎn)。該模式的優(yōu)點(diǎn)是克服了本地備份的局限性，能安全的保存重要數(shù)據(jù)，從而能有效的實(shí)現(xiàn)遠(yuǎn)程災(zāi)難恢復(fù)。11/23/202262重慶工學(xué)院計算機(jī)學(xué)院陳莊6.7.2數(shù)據(jù)備份技術(shù)（4/5）5、數(shù)據(jù)備份的方式目前采用最多的備份方式主要有完全備份、增量備份、差分備份。1)完全備份（fullbackup）。是對整個系統(tǒng)進(jìn)行完全的備份，包括系統(tǒng)和數(shù)據(jù)。該方式優(yōu)點(diǎn)：當(dāng)發(fā)生數(shù)據(jù)丟失的災(zāi)難時，只要用一盤磁帶（即災(zāi)難發(fā)生前一天的備份磁帶），就可以恢復(fù)丟失的數(shù)據(jù)；其缺點(diǎn)：備份的數(shù)據(jù)大量重復(fù)，需要備份的數(shù)據(jù)量較大，且備份所需的時間也較長。對于那些業(yè)務(wù)繁忙、備份時間有限的單位來說，選擇這種備份策略是不明智的。2)增量備份（incrementalbackup）。每次備份的數(shù)據(jù)只是相對于上一次備份后新增加和修改后的數(shù)據(jù)。該方式優(yōu)點(diǎn)：節(jié)省了磁帶空間，縮短了備份時間；其缺點(diǎn)：當(dāng)災(zāi)難發(fā)生時，數(shù)據(jù)的恢復(fù)步驟較復(fù)雜；另外，這種備份的可靠性很差，任何一盤增量備份磁帶出了問題都會導(dǎo)致整個恢復(fù)工作失敗。3)差分備份(differentialbackup)。是每次備份的數(shù)據(jù)是相對于上一次全備份之后新增加和修改后的數(shù)據(jù)。差分備份策略有兩個優(yōu)點(diǎn)：首先，它無需每天都對系統(tǒng)做完全備份，因此備份所需時間短，并節(jié)省了磁帶空間；其次，它的災(zāi)難恢復(fù)很方便。11/23/202263重慶工學(xué)院計算機(jī)學(xué)院陳莊6.7.2數(shù)據(jù)備份技術(shù)（5/5）6、數(shù)據(jù)備份的基本策略數(shù)據(jù)備份的基本策略主要包括：在什么時間備份（備份時間）。將什么數(shù)據(jù)備份（備份內(nèi)容）。以什么方式備份（全備份或增量備份）。通過哪組磁帶驅(qū)動器備份（備份通道）。備份到哪一個磁帶組（備份目的地）。備份保存多長時間（備份介質(zhì)保存時間）。具體備份案例：每周在訪問量比較小的時候做一次全備份；每天對業(yè)務(wù)數(shù)據(jù)做一次全備份或增量備份；每次業(yè)務(wù)數(shù)據(jù)有大調(diào)整后立即做一次全備份。11/23/202264重慶工學(xué)院計算機(jī)學(xué)院陳莊6.7.3終端安全技術(shù)（1/2）1、終端安全的概念終端安全是相對于系統(tǒng)級的安全而言的，泛指微機(jī)信息的安全保護(hù)。終端安全也至關(guān)重要，沒有終端的安全就沒有真正的網(wǎng)絡(luò)安全。終端安全案例金融業(yè)的犯罪問題，一般都源于其信息系統(tǒng)的終端，包括業(yè)務(wù)網(wǎng)點(diǎn)的終端和柜員的PC終端。2、終端安全的基本措施1)基于身份驗證的終端訪問方式，防止非法使用機(jī)器。目前主要有三種身份驗證的訪問方式：口令加密身份驗證、IC卡技術(shù)的身份認(rèn)證、非接觸式的感應(yīng)身份驗證?？诹罴用苌矸蒡炞C是最簡單最常用的方式，但因其可通過口令猜解或工具軟件破解，因此僅適合一般業(yè)務(wù)的終端保護(hù)；IC卡技術(shù)的身份驗證則是一種可靠、簡單且較實(shí)用的終端訪問方式，目前很多安全計算機(jī)系統(tǒng)將這種IC卡身份驗證鑰匙作為電腦的標(biāo)準(zhǔn)配置，而一些廠商已經(jīng)推出了單獨(dú)的電子身份認(rèn)證鎖；非接觸式的感應(yīng)身份驗證是目前正在研究的一種新型訪問技術(shù)，將在不僅的將來進(jìn)入實(shí)用化階段。11/23/202265重慶工學(xué)院計算機(jī)學(xué)院陳莊6.7.3終端安全技術(shù)（2/2）2、終端安全的基本措施（續(xù)）

2)終端操作系統(tǒng)（如Windows、Linux等）、應(yīng)用軟件本身的安全問題應(yīng)得到足夠的重視。一方面，開發(fā)商應(yīng)密切跟蹤這些軟件存在的安全隱患，并及時完善之；另一方面，用戶方也應(yīng)該密切關(guān)注這些軟件的“補(bǔ)丁”情況，及時地更新軟件。3)自主和強(qiáng)制存取控制，防止非法訪問文件。4)多級權(quán)限管理，防止越權(quán)操作。5)存儲設(shè)備安全管理，防止非法軟盤拷貝和硬盤啟動。6)數(shù)據(jù)和程序代碼加密存儲，防止信息被竊。7)預(yù)防病毒，防止病毒侵襲。8)嚴(yán)格的審計跟蹤，便于追查責(zé)任事故。11/23/202266重慶工學(xué)院計算機(jī)學(xué)院陳莊