1、1计算机系统安全计算机系统安全于学斗德州学院计算机系2理解安全与不安全概念n讨论:举例说明什么是不安全?n安全:没有危险;不受威胁;不出事故3安全的关注点n通信保密n计算机安全n网络安全n信息保障 4安全的概念n国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。n计算机的硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄露,系统连续正常运行。 5安全需求n可靠性可靠性n可用性可用性n保密性保密性n完整性完整性n不可抵赖性不可抵赖性6可靠性(Reliability)
2、指信息系统能够在规定条件下和规定的时间指信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。度量指标:内完成规定的功能的特性。度量指标:n抗毁性抗毁性 指系统在人为破坏下的可靠性指系统在人为破坏下的可靠性n生存性生存性 随机破坏下系统的可靠性随机破坏下系统的可靠性n有效性有效性 是基于业务性能的可靠性是基于业务性能的可靠性7可用性(Availability) 指信息可被授权实体访问并按需求指信息可被授权实体访问并按需求使用的特性,是系统面向用户的安全性使用的特性,是系统面向用户的安全性能。一般用系统正常使用时间和整个工能。一般用系统正常使用时间和整个工作时间之比来度量作时间之比来度量。
3、8机密性(Confidentiality) 指信息不被泄露给非授权的用户、实指信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。机密性体或过程,或供其利用的特性。机密性是在可靠性和可用性基础上,保障信息是在可靠性和可用性基础上,保障信息安全的重要手段。安全的重要手段。9完整性(Integrity) 指网络信息未经授权不能进行改变指网络信息未经授权不能进行改变的特性,既信息在存储或传输过程中保的特性,既信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。乱序、重放、插入等破坏和丢失的特性。10不可抵赖性(No
4、n-repudiation) 指在信息交互过程中,确信参与者的指在信息交互过程中,确信参与者的真实同一性,既所有参与者都不可能否真实同一性,既所有参与者都不可能否认或抵赖曾经完成的操作和承诺。认或抵赖曾经完成的操作和承诺。11其他安全需求 n可控性可控性n可审查性可审查性n认证认证n访问控制访问控制n不同的系统关注不同的需求(即不同的安全属性),如用户关注隐不同的系统关注不同的需求(即不同的安全属性),如用户关注隐私,网警关注可控;有的系统要求不可否认(电子交易),有的私,网警关注可控;有的系统要求不可否认(电子交易),有的要求可否认(匿名要求可否认(匿名BBSBBS)。)。12计算机系统安全
5、涉及的内容 n物理安全:环境安全、设备安全、媒体物理安全:环境安全、设备安全、媒体安全安全n运行安全:风险分析、审计跟踪、备份运行安全:风险分析、审计跟踪、备份与恢复、应急响应与恢复、应急响应n信息安全:操作系统安全、数据库安全、信息安全:操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密网络安全、病毒防护、访问控制、加密与鉴别与鉴别13安全问题 时间 高级入侵者发现新漏洞 原始的探询漏洞的工具被分发 初级入侵者使用原始工具 开发出自动的扫描/探询工具 自动扫描/探询工具被广泛使用 入侵者开始使用新的探询工具 系统 弱点 14安全问题(续)n 1. 应用中的安全威胁n所有的软件都存在
6、漏洞。比如常用的操作系统Windows或者UNIX及其他各种应用软件:各种WWW服务器、浏览器、FTP服务器、邮件服务器等;一些安全产品,如防火墙、VPN等都存在大量安全漏洞。n2. 设计中的问题nInternet网络协议的安全机制存在先天不足,另外协议还具有许多安全漏洞。15安全问题(续)n 3. 配置中的问题n默认的用户名、口令和开放的服务端口。由于维护人员没有审核这些设置、限制这些用户的权限、更改默认的口令,以及关闭不必要的服务端口等,往往会被攻击者利用,造成网络瘫痪或机密被窃取。n 4. 管理中的问题n网络系统的严格管理是企业、机构及用户免受攻击的重要保障。计算机安全很大程度上取决于优
7、秀的管理人员,任何安全产品和安全设施都需要管理人员的维护、跟踪和审核。16安全问题的表现形式n病毒(包括蠕虫)的扩散n垃圾邮件的泛滥n网页数据的篡改n不良信息的传播n黒客行为n计算机犯罪17安全威胁 n安全威胁n对安全的潜在的侵害 n攻击n威胁的实施n安全策略n允许什么,不允许什么的陈述n安全机制n实现安全策略的方法,工具,过程18安全威胁 n安全威胁的种类 n主要表现:信息泄露、拒绝服务、信息破坏。 n威胁来自多个方面。自然和人为两类。n自然因素包括各种自然灾害n人为因素又有无意和故意之分。19安全威胁(续) n(1)从威胁的来源看可分为内部威胁和外部威胁 。n(2)从攻击者的行为上看可以分
8、成主动威胁和被动威胁n(3)从威胁的动机上看分为偶发性威胁与故意性威胁20威胁的表现形式 n(1)假冒 n(2)未授权访问 n(3)拒绝服务(DoS)n(4)否认(抵赖)n(5)窃听n(6)篡改n(7)复制与重放(重演)21威胁的表现形式(续) n(8)业务流量、流向分析 n(9)隐蔽信道 n(10)人为失误 n(11)自然灾害与人为破坏 n(12)逻辑炸弹 n(13)后门(陷门)n(14)恶意代码n(15)不良信息22P2DR安全模型n安全具有相对相对性。(基于假设的安全,即有条件的安全,没有绝对的安全)n安全具有动态动态性。(今天是安全的,明天不一定安全 n安全具有整体整体性(木桶原理)。
9、 n美国国际互联网安全系统公司(ISS)认为没有一种没有一种技术可完全消除网络中的安全漏洞技术可完全消除网络中的安全漏洞。系统的安全实际上是理想中的安全策略和实际的执行之间的一个平衡,提出了一个可适应网络安全模型ANSM(Adaptive Network Security Model)P2DR安全模型 23P2DR安全模型24P2DR安全模型n(1)策略n安全策略是P2DR安全模型的核心,所有的防护、检测、响应都是依据安全策略实施的,安全策略为安全管理提供管理方向和支持手段。策略体系的建立包括安全策略的制订、评估、执行等。制订可行的安全策略取决于对网络信息系统的了解程度。n安全应该达到什么样的
10、强度、应保护那些资源、应花费多大代价、应采取什么措施等都是由安全策略决定的。不同的国家和单位针对不同的应用都应制定相应的安全策略。如,什么级别的信息应该采取什么保护强度、针对不同级别的风险能承受什么样的代价等问题都应该制定策略。25P2DR安全模型n(2)保护n保护就是采用一切手段保护信息系统的保密性、完整性、可用性、可控性和不可否认性。应该依据不同等级的系统安全要求来完善系统的安全功能、安全机制。26P2DR安全模型n(3)检测n检测是动态响应和加强防护的依据,是强制落实安全策略的工具,通过不断地检测和监控网络和系统,来发现新的威胁和弱点,通过循环反馈来及时作出有效的响应。n(4)响应n在检
11、测到安全漏洞之后必须及时做出正确的响应,从而把系统调整到安全状态;对于危及安全的事件、行为、过程,及时做出处理,杜绝危害进一步扩大,使系统力求提供正常的服务。例如关闭受到攻击的服务器。 27PDRR安全模型 n美国国防部提出了“信息安全保障体系” ,其重要内容包括:n概括了网络安全的整个环节,即保护(Protect)、检测(Detect)、响应(React)、恢复(Restore);28PDRR安全模型(续) n提出了人人、政策政策(包括法律、法规、制度、管理)和技技术术三大要素;n归纳了网络安全的主要内涵,即鉴别、保密、完整性、可用性、不可抵赖性、责任可核查性和可恢复性;n提出了信息安全的几
12、个重点领域,即关键基础设施的网络安全(包括电信、油气管网、交通、供水、金融等)、内容的信息安全(包括反病毒、电子信箱安全和有害内容过滤等)和电子商务的信息安全;n认为密码理论和技术是核心,安全协议是桥梁,安全体系结构是基础,安全的芯片是关键,监控管理是保障,攻击和评测的理论和实践是考验。 29安全体系结构n一个信息系统安全体系结构的形成主要是根据这个信息系统的安全策略,是安全策略细化的总结。n安全体系结构的内容包括:提供安全服务与有关安全机制在本系统下的一般描述,这些服务和机制必须为本系统所配备;确定本系统内部可以提供这些服务的位置。30安全体系结构31OSI安全体系结构nOSI/ISO749
13、8-2OSI/ISO7498-2网络安全体网络安全体系结构(系结构(OSIOSI开放系统互连开放系统互连基本安全参考模型)基本安全参考模型)n如何设计标准的参考标准,如何设计标准的参考标准,不是能实现的标准不是能实现的标准n给出了部分术语的正式定义给出了部分术语的正式定义n安全服务安全服务n安全机制安全机制nOSIOSI体系结构中服务的配置体系结构中服务的配置应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层765432132安全策略 n安全策略都建立在授权授权的基础之上。在安全策略中包含有对“什么构成授权”的说明。在一般性的安全策略中可能写有“未经适
14、当授权的实体,信息不可以给予、不被访问、不允许引用、任何资源也不得为其所用”。n基于身份的安全策略的基础是用户的身份和属性以及被访问的资源或客体的身份和属性。 n基于规则的安全策略的基础是强加于全体用户的总安全策略。在一个安全系统中,数据或资源应该标注安全标记。代表用户进行活动的进程可以得到与其原发者相应的安全标记。 n基于角色的安全策略为每个个体分配角色,按角色分配许可。 33安全服务 n在计算机网络中,主要的安全防护措施安全防护措施被称作安全服务。网络通信中目前主要有五种安全服务n认证认证服务 :提供实体的身份的保证n访问控制访问控制服务 :防止对资源的非授权使用 n机密性机密性服务 :对
15、数据提供保护使之不被非授权地泄露 n完整性完整性服务 :保护数据防止未授权的改变、删除或替代n非否认非否认服务 :提供凭证,防止发送者否认或接收者抵赖已接收到相关的信息 34安全服务 n实现安全服务的非电子机制的实例n认证认证服务 :身份证n访问控制访问控制服务 :钥匙 n机密性机密性服务 :密封的信件 n完整性完整性服务 :激光防伪的全息照片n非否认非否认服务 :公证,挂号信的登记与签名35安全服务 n用于对付典型安全威胁的安全服务n假冒攻击:认证服务n授权侵犯:访问控制服务n窃听攻击:机密性服务n完整性破坏:完整性服务n服务的否认:非否认服务n拒绝服务:认证服务,访问控制服务,完整性服务3
16、61. 1. 认证服务认证服务同等实体认证服务:提供对通信对等实体或数据源的认证。是访问控制中授权的依据。数据起源认证:对来源提供确认。 安全服务37 2. 2. 访问控制服务访问控制服务 对系统的资源提供保护,防止未授权者利用。它与认证服务密切相关,对请求访问者必须经过认证后才授权访问系统。 安全服务38 3. 3. 机密性机密性 保护机密信息不被未授权个人、实体或过程解读和使用。n连接机密服务n无连接机密服务n选择字段机密服务n业务流机密服务安全服务39 4. 4. 数据完整性服务数据完整性服务 保护信息不被未授权改变或破坏n 有恢复的连接完整性服务有恢复的连接完整性服务n无恢复的连接完整
17、性服务无恢复的连接完整性服务n选择字段连接完整性服务选择字段连接完整性服务n无连接完整性服务无连接完整性服务,n选择字段无连接完整性服务选择字段无连接完整性服务安全服务40 5. 5. 非否认服务非否认服务 用来防止参与通信的实体在事后否认曾参与全部或部分通信。n有数据源发证明的不可否认n有交付证明的不可否认 安全服务41实现以上安全服务的安全机制主要包括:n加密机制加密机制n数字签名机制数字签名机制n访问控制机制访问控制机制:n对主体的身份和有关主体的信息进行认证,决定对其授权,防止非法访问和利用系统资源,对入侵进行告警,审计和追踪。安全机制42n数据完整性机制数据完整性机制 顺序检测、序列
18、号、时戳、密码检验和等。n认证交换机制认证交换机制 证实主体身份,X.509中采用密码技术构成较强的认证机制。 n业务流量填充机制业务流量填充机制 防止业务量分析。安全机制43安全机制n路由控制机制路由控制机制 为数据传送动态地或预先安排选定路由,通信系统可能检测主动或被动攻击,因此希望网络服务提供者建立经由不同路由的连接。类似地,数据可能载有某种安全标记指示由安全策略所禁止通行的某些网络或全连路。 n公证机制公证机制 用于保证两个或更多个实体间通信数据的某种特性,如它的完整性、流/时间或目标等。由可信赖第三方TTP(Trusted Third Party)以可测试方式提供这类保证。44基于T
19、CP/IP的网络安全体系结构 ISO/OSI参考模型TCP/IP层次模型TCP/IP体系应用层(A)应用层FTPTELNETHTTPSNMPNFS表示层(P)XDRSMTR会话层(S)RPC传输层(T)传输层TCP/UDP网络层(N)IP层IPICMPARP、RARP数据链路层(DL)网络接口层硬件协议(不指定)物理层(PH)ISO7498-2到TCP/IP的映射45风险管理概述n风险管理的概念n识别风险、评估风险,以及采取步骤降低风险到可接受范围内的过程n风险管理是让管理者在安全和经济成本之间寻求平衡,并最终通过对支持其机构业务的系统和数据进行保护后获益。n风险管理的目的n防止或降低破坏行为
20、发生的可能性,以及降低或限制当系统被破坏后后续的威胁。46风险管理概述(续)n风险管理的生命周期n风险评估:风险评估是风险管理方法中的第一步,风险评估过程包括对风险和风险影响的识别和评价,目的是发现更多潜在并与信息系统有关的风险。风险评估的结果可以帮助企业选择合适的控制措施来降低风险。n风险减缓:风险减缓包括对在风险评估过程中建议的安全控制进行优先级排序、评价和实现,这些控制是用来减轻风险的。n系统监测与再评估:系统监测与再评估是风险管理的最后一个阶段,系统监测将监测网络信息系统的运行。47物理安全与计算机可靠性物理安全与计算机可靠性于学斗于学斗德州学院计算机系德州学院计算机系48物理安全概述
21、物理安全概述 概念:物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故(如电磁污染等)以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。物理安全是整个计算机信息系统安全的前提。人为的对物理安全的威胁包括:偷窃废物搜寻间谍活动49主要包括三个方面主要包括三个方面环境安全:对系统所在环境的安全保护,如区域保护和灾难保护。设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等; 媒体安全:包括媒体数据的安全及媒体本身的安全。 501 1、环境安全、环境安全 对所在环境的安全保护,主要包括受灾防护和区域防护。 受灾防护受灾防护 提供受
22、灾报警,受灾保护和受灾恢复等功能,目的是保护计算机信息系统免受水、火、有害气体、地震、雷击和静电的危害。 安全功能可归纳为三个方面: (1) 灾难发生前,对灾难的检测和报警; (2) 灾难发生时,对正遭受破坏的计算机信息系统,采取紧急措施,进行现场实时保护; (3) 灾难发生后,对已经遭受某种破坏的计算机信息系统进行灾后恢复。 51区域防护区域防护 对特定区域提供某种形式的保护和隔离。 安全功能可归纳为两个方面: (1) 静止区域保护,如通过电子手段(如红外扫描等)或其它手段对特定区域(如机房等)进行某种形式的保护(如监测和控制等); (2) 活动区域保护,对活动区域(如活动机房等)进行某种形
23、式的保护。 1 1、环境安全(续)、环境安全(续) 522 2、设备安全、设备安全 设备安全是指对计算机信息系统设备的安全保护。它主要包括设备的防盗和防毁,防止电磁信息泄漏,防止线路截获,抗电磁干扰以及电源保护等六个方面。 (1)(1)设备防盗设备防盗 提供对计算机信息系统设备的防盗保护。 安全功能可归纳为:使用一定的防盗手段(如移动报警器、数字探测报警和部件上锁)用于计算机信息系统设备和部件,以提高计算机信息系统设备和部件的安全性。 53(2)(2)设备防毁设备防毁 提供对计算机信息系统设备的防毁保护。 安全功能可归纳为两个方面: (1) 对抗自然力的破坏,使用一定的防毁措施(如接地保护等)
24、保护计算机信息系统设备和部件; (2) 对抗人为的破坏,使用一定的防毁措施(如防砸外壳)保护计算机信息系统设备和部件。 2 2、设备安全(续)、设备安全(续) 54(3)(3)防止电磁信息泄漏防止电磁信息泄漏 用于防止计算机信息系统中的电磁信息的泄漏,从而提高系统内敏感信息的安全性。如防止电磁信息泄漏的各种涂料、材料和设备等。 安全功能可归纳为三个方面: (1) 防止电磁信息的泄漏(如屏蔽室等防止电磁辐射引起的信息泄漏); (2) 干扰泄漏的电磁信息(如利用电磁干扰对泄漏的电磁信息进行置乱); (3) 吸收泄漏的电磁信息(如通过特殊材料/涂料等吸收泄漏的电磁信息)。2 2、设备安全(续)、设备
25、安全(续) 55(4)(4)防止线路截获防止线路截获 用于防止对计算机信息系统通信线路的截获和外界对计算机信息系统的通信线路的干扰。 安全功能可归纳为四个方面: (1) 预防线路截获,使线路截获设备无法正常工作; (2) 探测线路截获,发现线路截获并报警; (3) 定位线路截获,发现线路截获设备工作的位置;(4) 对抗线路截获,阻止线路截获设备的有效使用。 2 2、设备安全(续)、设备安全(续) 56(5)(5)抗电磁干扰抗电磁干扰 用于抵抗对计算机信息系统的电磁干扰,从而保护系统内部的信息。 安全功能可归纳为两个方面: (1) 对抗外界对系统的电磁干扰; (2) 消除来自系统内部的电磁干扰。
26、 2 2、设备安全(续)、设备安全(续) 57(6)(6)电源保护电源保护 为计算机信息系统设备的可靠运行提供能源保障,例如不间断电源、纹波抑制器、电源调节软件等。 安全功能可归纳为两个方面: (1) 对工作电源的工作连续性的保护,如不间断电源 (2) 对工作电源的工作稳定性的保护,如纹波抑制器。 2 2、设备安全(续)、设备安全(续) 58提供对媒体数据和媒体本身的安全保护。 (1)(1)媒体的安全媒体的安全 提供对媒体的安全保管,目的是保护存储在媒体上的信息。 安全功能可归纳为两个方面:(1)媒体的防盗;(2)媒体的防毁,如防霉和防砸等。 3 3、媒体安全、媒体安全 59(2)(2)媒体数
27、据的安全媒体数据的安全 提供对媒体数据的保护。媒体数据的安全删除和媒体的安全销毁是为了防止被删除的或者被销毁的敏感数据被他人恢复。 安全功能可归纳为三个方面: (1) 媒体数据的防盗,如防止媒体数据被非法拷贝;(2) 媒体数据的销毁,包括媒体的物理销毁(如媒体粉碎等)和媒体数据的彻底销毁(如消磁等),防止媒体数据删除或销毁后被他人恢复而泄露信息; (3) 媒体数据的防毁,防止意外或故意的破坏使媒体数据的丢失。 3 3、媒体安全(续)、媒体安全(续)60可靠性可靠性系统可靠性(系统可靠性(ReliabilityReliability)的定义是指从它开始运行()的定义是指从它开始运行(t=0t=0
28、)到)到某时刻某时刻t t这段时间内能够正常运行的概率。这段时间内能够正常运行的概率。系统可靠性在数值的度量中采取可靠度衡量。在给定的时间间隔内,在给定的条件下,系统仍然能正确执行其功能的概率称为可靠度。平均无故障时间MTBF(Meantime Between Failures)是指两次故障之间能正常工作的平均值。故障即可能是元器件故障、软件故障、也可能是人为攻击造成的系统故障。计算机的可维修性是指计算机的维修效率,通常用平均修复时间(MTRF)来表示。MTRF是指从故障发生到系统恢复平均所需要的时间。61可用性和可维修性可用性和可维修性 系统可维修性有时用可维修度来度量。在给定时间内,将一失
29、效系统恢复到运行状态的概率称为可维修度。可用性(Availability)是指计算机的使用效率,它以系统在执行任务的任意时刻能正常工作的概率。系统可用性用可用度来度量。系统在t时刻处于正确状态的概率称为可用度,用A(t)来表示。 其计算方法为:A =平均无故障时间/ (平均无故障时间+平均修复时间)62提高可靠性的措施提高可靠性的措施完美性perfection。提高软硬件的质量,抵御故障的发生。完美性追求一种避错技术,即避免出错。要求组成系统的各个部件、器件、软件具有高可靠性,不允许出错,或者出错率降至最低。容错性Fault Tolerance。发展容错技术,使的在故障发生时,系统仍能继续运行
30、,提供服务与资源。这就是所说的“容错能力”。63完美性完美性 1、硬件的可靠性与完美性提高可靠性,可以通过元器件的精选、严格的工艺、精心的设计来实现。换句话说,系统应尽量不出故障,一旦出故障,系统则失效。这样的设计是以系统“不出故障”为前提的,故称之为“避错设计”。在现有条件下避错设计是提高系统可靠性的有效办法。 2、软件的可靠性与完美性软件可靠性的衡量一般采用统计方式。规定时间内正常使用系统时的故障率,或在规定的时间周期内在所述条件下执行所要求的功能的程序的能力。64容错性容错性 容错系统的概念容错系统的概念容错技术:在一定程度上容忍故障的技术。也称为故障掩盖技术(fault masking
31、)。容错系统:采用容错技术的系统。容错主要依靠冗余设计来实现,它以增加资源的办法换取可靠性。由于资源的不同,冗余技术分为硬件冗余、软件冗余、时间冗余和信息冗余。可以是元器件级的冗余设计,也可以是部件级的、分系统级的、或系统级的冗余设计。65容错系统工作方式容错系统工作方式1.自动侦测(Auto-Detect):运行中自动地通过专用的冗余侦测线路和软件判断系统运行情况,检测冗余系统各冗余单元是否存在故障。2.自动切换(Auto-Switch) :当确认某一主机出错时,正常主机除了保证自身原来的任务继续运行外,将根据各种不同的容错后备模式,接管预先设定的后备作业程序,进行后续程序及服务。3.自动恢
32、复(Auto-Recovery): 故障主机被替换后,进行故障隔离,离线进行故障修复。修复后通过冗余通信线与正常主机连线,继而将原来的工作程序和磁盘上的数据自动切换回修复完成的主机上。容错性容错性 66(1)(1)增加线路、设备、部件,形成备份增加线路、设备、部件,形成备份硬件容错方法之一是硬件堆积冗余。物理域的恢复作用是自动的。在逻辑域可采用多数表决方案。冗余部分处于热状态另一硬件容错的方法叫待命储备冗余。该系统中共有M1个模块,其中只有一块处于工作状态,其余M块都处于待命接替状态。冗余部分处于冷状态混合冗余系统是堆积冗余和待命储备冗余的结合应用。当堆积冗余中有一个模块发生故障时,立刻将其切
33、除,并代之以无故障待命模块。这种方法可达到较高的可靠性。 硬件冗余硬件冗余 67(2)(2)数据备份数据备份数据容错的主要策略即数据备份,数据备份指的是将计算机系统中硬磁盘上的一部分数据通过适当的形式转录到可脱机保存的介质 (如磁带、软磁盘和光盘 )上 。硬件冗余硬件冗余68按备份的策略可分为完全备份、差分备份、增量备份、按需备份。完全备份:对包括系统应用程序和数据库等一个备份周期内的数据完全备份。差分备份:只备份上次完全备份以后有变化的数据。增量备份:只备份上次备份以后有变化的数据。按需备份:根据临时需要有选择地进行数据备份。 硬件冗余硬件冗余69按备份介质存放的位置可分为本地备份、异地备份
34、。 按备份后的数据是否可更改可分为活备份与死备份。 按选择的备份软件的功能可分为动态备份与静态备份。 硬件冗余硬件冗余70对重要系统,应明确以下问题:系统是否有备份?备份间隔是可接受的吗?系统是按规定进行备份的吗?是否确认备份介质正确的保存了数据?备份介质是否在室内得到了正确的保护?是否在另一处还有操作系统和存储设施的备份?(包括必要的license key)存储过程是否被测试及确认? 硬件冗余硬件冗余71灾难恢复操作通常分为两类系统恢复、个别文件恢复。系统恢复:在服务器发生意外灾难导致数据全部丢失、系统崩溃或是有计划的系统升级、系统重组等,需要系统恢复。个别文件恢复:个别文件恢复可能要比全盘
35、恢复常见得多,利用网络备份系统的恢复功能,我们很容易恢复受损的个别文件。只需浏览备份数据库或目录,找到该文件,触动恢复功能,软件将自动驱动存储设备,加载相应的存储媒体,然后恢复指定文件。 硬件冗余硬件冗余72(3)(3)双机容错系统双机容错系统当一个 CPU板出现故障时,其他 CPU板保持继续运行。这个过程对用户是透明的,系统没有受到丝毫影响,更不会引起交易的丢失,充分保证数据的一致性和完整性。冗余部分处于热状态。硬件冗余硬件冗余73(4)(4)双机热备份双机热备份双机热备份是当CPU出现故障时由闲置状态的备份系统接替,但正在处理的交易有可能丢失,从而导致数据的不一致。冗余部分处于冷状态。 硬
36、件冗余硬件冗余74三机表决系统三机表决系统在三机表决系统中,三台主机同时运行,由表决器 (Voter)根据三台机器的运行结果进行表决,有两个以上的机器运行结果相同,则认定该结果为正确。硬件冗余硬件冗余75集群系统集群系统均衡负载的双机或多机系统就是集群系统 (Clusting)。DEC公司最早在其 VAX系统上实现了集群技术。集群系统对于军队、金融、证券等大型关键业务系统,无疑是最好的选择。硬件冗余硬件冗余76硬盘的数据恢复n硬盘作为操作系统的载体,是各种程序运行的主要场所,也是进行数据交换的重要平台。在使用过程中,因使用不当、病毒破坏等原因造成的数据丢失现象最为常见。77软件容错技术:恢复块
37、方法、N版本程序设计,防卫式程序设计等。 故障的恢复策略一般有两种:前向恢复和后向恢复。前向恢复:指使当前的计算继续下去,把系统恢复成连贯的正确状态,弥补当前状态的不连贯情况,这需有错误的详细说明。(杀毒)后向恢复:指系统恢复到前一个正确状态,继续执行。(系统还原) 软件冗余软件冗余 78恢复块方法恢复块方法恢复块方法是一种动态屏蔽技术。采用“自动后向错误恢复”的策略。软件冗余软件冗余 79N N版本程序设计版本程序设计N版本程序设计是一种静态的故障屏蔽技术,采用前向错误恢复的策略。N份程序必须由不同的人独立设计,使用不同的方法,不同的设计语言,不同的开发环境和工具来实现。 软件冗余软件冗余8
38、0防卫式程序设计防卫式程序设计基本思想是通过在程序中包含错误检查代码和错误恢复代码,使得一旦错误发生,程序能撤消错误状态,恢复到一个已知的正确状态中去。实现策略包括错误检测,破坏估计和错误恢复三个方面。软件冗余软件冗余81信息冗余是为了检测或纠正信息在运算或传输中的错误为目的而外加的一部分信息。在通信和计算机系统中 ,信息常以编码的形式出现。采用奇偶码、定重码、循环码等冗余码就可检错和纠错。信息冗余信息冗余82例如检查点 (Check-Point)就属于时间冗余的一种,将机器运行的某一时刻称作检查点,此时检查系统运行的状态是否正确,不论正确与否,都将这一状态存储起来,一旦发现运行故障,就返回到
39、最近一次正确的检查点重新运行。时间冗余时间冗余83密码学的起源和发展n三个阶段:n1949年之前密码学是一门艺术n19491975年密码学成为科学n1976年以后密码学的新方向公钥密码学 84第第1 1阶段古典密码阶段古典密码主要特点:数据的安全基于算法的保密主要特点:数据的安全基于算法的保密85第第1 1阶段古典密码阶段古典密码1883年Kerchoffs第一次明确提出了编码的原则:加密算法应建立在算法的公开不影响明文和密钥加密算法应建立在算法的公开不影响明文和密钥的安全的安全。这一原则已得到普遍承认,成为判定密码强度的衡量标准,实际上也成为传统密码和现代密码的传统密码和现代密码的分界线。分
40、界线。86计算机使得基于复杂计算的密码成为可能计算机使得基于复杂计算的密码成为可能主要特点:主要特点:数据的安全基于密钥而不是算法的保密数据的安全基于密钥而不是算法的保密 第第2 2阶段阶段 19491975194919758719771977年年DESDES正式成为标准正式成为标准8080年代出现年代出现“过渡性过渡性”的的“Post DES”Post DES”算法算法, ,如如IDEA,RCx,CASTIDEA,RCx,CAST等等9090年代对称密钥密码进一步成熟年代对称密钥密码进一步成熟 Rijndael,RC6, MARS, Rijndael,RC6, MARS, Twofish,
41、SerpentTwofish, Serpent等出现等出现20012001年年RijndaelRijndael成为成为DESDES的替代者的替代者第第3 3阶段阶段 1976197688保密通信89密码学起源n密码是通信双方按约定的法则进行信息特殊变换的一种重要保密手段。依照这些法则,变明文为密文,称为加密变换;变密文为明文,称为解密变换。n世纪,英国著名的哲学家弗朗西斯培根在他所著的学问的发展一书中最早给密码下了定义,他说,“所谓密码应具备三个必要的条件,即易于翻译、第三者无法理解、在一定场合下不易引人生疑。” 加密解密明文密文原始明文90密码学起源n古典密码学包含两个互相对立的分支,即密码
42、编码学(Cryptography)和密码分析学(Cryptanalytics)。n前者编制密码以保护秘密信息,而后者则研究加密消息的破译以获取信息。二者相反相成,共处于密码学的统一体中。 n现代密码学除了包括密码编码学和密码分析学外,还包括安全管理、安全协议设计、散列函数等内容。91加密与解密n现代密码学涉及数学、信息论、计算机科学等学科。1949年,信息论之父C.E.Shannon发表了保密系统的通信理论,密码学走上科学和理性之路。n1976年W.Diffie和M.E.Hellman发表的密码学的新方向,以及1977年美国公布实施的数据加密标准DES,标志着密码学发展的革命。n2001年11
43、月美国国家标准技术研究所发布高级数据加密标准AES代表着密码学的最新发展。 92加密与解密n使用两个密钥的加/解密。nEK1(P)=CnDK2(C)=PnDK2 (EK1(P)=P解密密钥加密密钥原始明文密文加密解密明文93加密与解密n加密通信的模型信源Mm加密器)(1mEck解密器)(2cDmk接收者m非法接入者搭线信道(主动攻击)C 搭线信道(被动攻击)密码分析员m密钥源K1k1密钥源K2k2密钥信道94加密与解密n对称算法就是加密密钥能够从解密密钥中推算出来,反过来也成立。在大多数对称算法中,加/解密密钥是相同的。这些算法也叫秘密密钥算法或单密钥算法。n对称算法可分为两类。序列密码序列密
44、码(流密码)与分组分组密码密码。95序列密码(流密码)n序列密码主要应用于军事和外交场合。n序列密码的优点是错误扩展小、速度快、利于同步、安全程度高。密钥流密钥流产生器产生器密钥密钥k k明文明文mm密文密文c c异或运算96序列密码n伪随机序列发生器是指输入真随机的较短的密钥(种子)通过某种复杂的运算产生大量的伪随机位流。 n随机数是较短的随机位序列。 seed(short)PRBS(long)011011010010110.97分组密码n分组密码是将明文按一定的位长分组,明文组和密钥组的全部经过加密运算得到密文组。n 98公钥密码n公开密钥算法中用作加密的密钥不同于用作解密的密钥,而且解密
45、密钥不能根据加密密钥计算出来(至少在合理假定的长时间内),所以加密密钥能够公开,每个人都能用加密密钥加密信息,但只有解密密钥的拥有者才能解密信息。n在公开密钥算法系统中,加密密钥叫做公开密钥(简称公钥),解密密钥叫做秘密密钥(私有密钥,简称私钥)。n公开密钥算法主要用于加密/解密、数字签名、密钥交换。 99公钥密码n多个用户加密,一个用户解密n一个用户签名,多个用户验证100公钥密码n1976年,美国学者Diffie和Hellman为解决密钥的分发与管理问题发表了著名论文密码学的新方向New Direction in Cryptography,提出一种密钥交密钥交换协议换协议,允许在不安全的媒
46、体上通过通讯双方交换允许在不安全的媒体上通过通讯双方交换信息,安全地传送秘密密钥,并提出了建立信息,安全地传送秘密密钥,并提出了建立“公开公开密钥密码体制密钥密码体制”(Public Key)的新概念。 n比较流行的有基于大整数因了分解问题大整数因了分解问题的RSA体制和Rabin体制、基于有限域上的离散对数有限域上的离散对数问题的Differ-Hellman公钥体制和ElGamal体制、基于椭圆曲线上的离散对数问题的Differ-Hellman公钥体制和ElGamal体制。这些密码体制有的只适合于密钥交换,有的只适合于加密/解密。 101量子密码n量子密码学利用物理学原理保护信息。通常把“以
47、量子为信息载体,经由量子信道传送,在合法用户之间建立共享的密钥的方法”,称为量子密钥分配,其安全性由“海森堡测不准原理海森堡测不准原理”及“单量子不可单量子不可复制定理复制定理”保证。量子的特性可以用来解决密钥的分配问题,从而突破传统信息论的束缚,设计出无条件安全的密码。 102密码分析n密码分析学是在不知道密钥的情况下,恢复出密文中隐藏的明文信息。 103置换密码n置换加密是将明文字母互相换位,明文的字母保持相同,但顺序被打乱了。例如“天书”104置换密码n逆序密码nPlain: SIMPLE CIPHER nCipher:REHP ICEL PMISn围栏密码nPlain:S M L C
48、P E I P E I H RnCipher: SMLC PEIP EIHRn几何图形nI came I saw I conquered105代换密码n代换密码(代替密码)就是明文中每一个字符被替换成密文中的另外一个字符,代替后的各字母保持原来位置。106代换密码n凯撒密码就是单表代替密码,它的每一个明文字符都由其右边第3个(模26)字符代替(A由D代替,B由E代替,W由Z代替,X由A代替,Y由B代替,Z由C代替)。 107代换密码nVigenere密码方法如下:n例如:明文为System,密钥为dog,加密过程如下:明文:S y s t e m密钥:d o g d o g密文:V m g w
49、 r s108密码分析n字母分布109密码分析n凯撒密码加密后字母分布(利用统计特性统计特性攻破)110一次一密密码 n一种理想的加密方案,叫做一次一密密码(one-time pad),由Major Joseph Mauborgne和AT&T公司的Gilbert Vernam在1917年发明的。n一次一密乱码本是一个大的不重复的真随机密钥字母集,这个密钥字母集被写在几张纸上,并一起粘成一个乱码本。n发方用乱码本中的每一密钥字母准确地加密一个明文字符。加密是明文字符和一次一密乱码本密钥字符的模26加法。111一次一密密码 mm密文密文 COne-Time Padk bits of random
50、key K1 0 0 1 1 0 1 0 1 00 1 1 1 0 1 1 0 1 11 1 0 1 0 0 0 1 1 1使用随机数序列,并且只能使用一次使用随机数序列,并且只能使用一次k00 = 001 = 110 = 111 = 0异或112数据加密标准n采用代替和置换的方法进行加密n假定信息空间都是由0,1组成的字符串,信息被分成64比特的块,密钥(去掉奇偶校验位后)是56比特。经过DES加密的密文也是64比特的块。n主要弱点n密钥容量:56位不太可能提供足够的安全性n S盒:可能隐含有陷井(Hidden trapdoors)113高级加密标准nAES被设计为支持128/192/256
