第第 22 章 信息安全的基本概念和技术章 信息安全的基本概念和技术

摘 要摘 要 本章从整体角度介绍信息安全的一些基本概念，并本章从整体角度介绍信息安全的一些基本概念，并简要说明信息安全系统的设计原则与设计方法。简要说明信息安全系统的设计原则与设计方法。 重点讨论实体安全、运行安全、信息保护安全和安重点讨论实体安全、运行安全、信息保护安全和安全管理的安全技术，具体包括环境安全、设备安全、介全管理的安全技术，具体包括环境安全、设备安全、介质安全，风险分析技术、信息系统的检测监控与审计跟质安全，风险分析技术、信息系统的检测监控与审计跟踪、应急措施和备份与故障恢复、容错与冗余、灾难恢踪、应急措施和备份与故障恢复、容错与冗余、灾难恢复计划、标识与认证、标记与访问控制、客体安全重用、复计划、标识与认证、标记与访问控制、客体安全重用、审计、数据完整性技术、密码技术、防火墙技术、入侵审计、数据完整性技术、密码技术、防火墙技术、入侵者（黑客）攻击、安全管理制度、安全教育等安全技术。者（黑客）攻击、安全管理制度、安全教育等安全技术。 简介信息安全标准的概念和桔皮书简介信息安全标准的概念和桔皮书 TCSEC/TDTTCSEC/TDT

22 ．． 1 1 信息安全的概念和技术信息安全的概念和技术

22 ．． 11 ．． 1 1 信息安全问题信息安全问题22 ．． 11 ．． 2 2 信息安全的研究范畴信息安全的研究范畴22 ．． 11 ．． 3 3 信息安全系统的基本要求信息安全系统的基本要求22 ．． 11 ．． 4 4 信息防护过程信息防护过程22 ．． 11 ．． 5 5 系统安全体系结构系统安全体系结构22 ．． 11 ．． 6 6 信息安全的内容信息安全的内容

22 ．． 11 ．． 1 1 信息安全问题信息安全问题

信息安全的静态定义是为计算机系统、信息安全的静态定义是为计算机系统、数据处理系统建立和采取的技术和管理的数据处理系统建立和采取的技术和管理的安全保护，使得系统的硬件、软件和数据安全保护，使得系统的硬件、软件和数据不被偶然或故意地泄露、更改和破坏。不被偶然或故意地泄露、更改和破坏。

信息安全的动态定义则增加了对信息系信息安全的动态定义则增加了对信息系统能连续正常工作的要求。统能连续正常工作的要求。

22 ．． 11 ．． 2 2 信息安全的研究范畴信息安全的研究范畴

从技术的角度，研究内容至少要包括通信安全、从技术的角度，研究内容至少要包括通信安全、计算机安全、操作安全、信息本身的安全、人事计算机安全、操作安全、信息本身的安全、人事安全、工业安全、资源保护和实体安全等，而从安全、工业安全、资源保护和实体安全等，而从更大范围的角度，研究内容还包括管理和法律等更大范围的角度，研究内容还包括管理和法律等方面。方面。

信息安全研究方向包括：对突发事件处理的计算信息安全研究方向包括：对突发事件处理的计算机运行安全机运行安全 SSystem Securityystem Security ，物理条件的计算，物理条件的计算机实体安全机实体安全 EEntities Securityntities Security ，通信与数据库的计，通信与数据库的计算机数据安全算机数据安全 DData Securityata Security ，以及不被非法复制、，以及不被非法复制、替换、修改、不受病毒侵害的软件安全替换、修改、不受病毒侵害的软件安全 SSoftware oftware SecuritySecurity 。 。

22 ．． 11 ．． 3 3 信息安全系统的基本要求信息安全系统的基本要求

信息系统对安全的基本要求信息系统对安全的基本要求

（（ 11 ）保密性）保密性 （（ 22 ）完整性）完整性 （（ 33 ）可用性）可用性 （（ 44 ）可控性）可控性

22 ．． 11 ．． 4 4 信息防护过程信息防护过程

威胁攻击 设计 保护 验证

征 候 , 告警威胁评估

信息基础设施 关键信息功能

战 术 告 警 ， 监视 ， 检 测 ， 报告

损坏控制 / 恢复 攻击评估

22 ．． 11 ．． 5 5 系统安全体系结构系统安全体系结构

信息系统安全的体系包含安全保密技术体系、信息系统安全的体系包含安全保密技术体系、协议安全性及安全协议体系和系统安全的体系结协议安全性及安全协议体系和系统安全的体系结构。构。

安全保密系统将由下面所列的技术手段形成技安全保密系统将由下面所列的技术手段形成技术体系：密码、数字签名、数据完整性、鉴别、术体系：密码、数字签名、数据完整性、鉴别、访问控制、信息流填充、路由控制、认证、审计访问控制、信息流填充、路由控制、认证、审计追踪和信息过滤、病毒防治、信息泄漏防护和安追踪和信息过滤、病毒防治、信息泄漏防护和安全评估等，以实现信息的保密性、可用性、完整全评估等，以实现信息的保密性、可用性、完整性和可控性。 性和可控性。

OSIOSI 安全体系安全体系

7 层 层次

安全机制：加密 - 签名 - 访问控制 - 完整性 - 鉴别 - 信息流填充 - 路由 -公证

安全服务：对等实体鉴别 - 访问控制 - 保密（数据，信息流） - 完整性 - 源点鉴别 -抗抵赖

22 ．． 11 ．． 6 6 信息安全的内容信息安全的内容

实体安全 运行安全 信息保护

安全管理

特性：物理性、静态、客观、被动

特性：人的因素、动态、主观、主动

信息安全内容的中心

22 ．． 2 2 信息安全系统的设计信息安全系统的设计

22 ．． 22 ．． 1 1 设计原则 设计原则

22 ．． 22 ．． 2 2 设计方法设计方法

22 ．． 22 ．． 3 3 设计步骤设计步骤

22 ．． 22 ．． 4 4 安全系统的设计举例安全系统的设计举例

22 ．． 22 ．． 1 1 设计原则设计原则

（（ 11 ）安全性原则 ）安全性原则 （（ 22 ）整体性）整体性 // 全面性原则 全面性原则 （（ 33 ）投资保护原则 ）投资保护原则 （（ 44 ）实用性原则 ）实用性原则 （（ 55 ）可适应性原则 ）可适应性原则 （（ 66 ）技术与管理相结合原则）技术与管理相结合原则

22 ．． 22 ．． 2 2 设计方法设计方法

外挂式设计方法对现有信息系统进行改造，通外挂式设计方法对现有信息系统进行改造，通过增加安全机制来增强系统的安全性，如美国过增加安全机制来增强系统的安全性，如美国 CACA公司的公司的 ACWNTACWNT 和和 ACXACX （（ for Unixfor Unix ）。）。

内核式设计方法在设计信息系统的同时，设内核式设计方法在设计信息系统的同时，设计安全机制，以提供系统的安全性，即从安全内计安全机制，以提供系统的安全性，即从安全内核逐层向上扩展，此方式可较完整地实现信息安核逐层向上扩展，此方式可较完整地实现信息安全，如全，如 HoneywellHoneywell公司的公司的 B2B2级级 MULTICSMULTICS 和和 A1A1级的级的 SCOMPSCOMP 系统。系统。

22 ．． 22 ．． 3 3 设计步骤设计步骤

（（ 11 ）需求分析与风险评估 ）需求分析与风险评估 （（ 22 ）确定安全目标要求和对策 ）确定安全目标要求和对策 （（ 33 ）安全系统设计）安全系统设计 （（ 44 ）明确相应的安全管理要求 ）明确相应的安全管理要求 （（ 55 ）安全系统测试和试运行 ）安全系统测试和试运行

22 ．． 22 ．． 4 4 安全系统的设计举例安全系统的设计举例用户录入

SAMDB安全账户管理数据库

本地安全策略库

安全账户 管理 SAM

本地安全授权 LSA

事件记录器

审计日志

安全访问控制器 SRM

用户模型

核心模型

Windows NT 4.0 安全系统的组成关系

安全系统安全系统

在在 C2C2级的级的 Windows NTWindows NT 、、 UNIXUNIX上，增加了安上，增加了安全管理软件全管理软件 SMS/OSSMS/OS ，使之具有，使之具有 B1B1级 的安全特级 的安全特征。征。

强制访问机制，三权分立（管理员、安全员、审强制访问机制，三权分立（管理员、安全员、审计员），安全审计等。计员），安全审计等。

提高可用性 ，兼容性较好 。提高可用性 ，兼容性较好 。

安全功能安全功能

①①强制访问控制——使用访问监督器，实现多级化 强制访问控制——使用访问监督器，实现多级化 控制； 控制；

②②按最小授权原则，实现管理员、安全员、审计员的按最小授权原则，实现管理员、安全员、审计员的三权分立； 三权分立；

③③对注册表作安全保护，以免受非授权用户的更改；对注册表作安全保护，以免受非授权用户的更改； ④④安全审计——记录审计日志 ，并对违规事件作出相安全审计——记录审计日志 ，并对违规事件作出相

应的处理； 应的处理；

⑤⑤SMS/OSSMS/OS自身的保护——不可改自身的保护——不可改 //删本系统的文件删本系统的文件// 数据，仅授权人员才可启动数据，仅授权人员才可启动 //终止系统的运行。终止系统的运行。

22 ．． 3 3 实体与运行安全实体与运行安全22 ．． 33 ．． 1 1 实体安全实体安全

实体安全内容包括：①环境安全，涉及计算机机房的安全，实体安全内容包括：①环境安全，涉及计算机机房的安全，计算机网络系统平台的安全和计算机、网络的环境条件对计算机网络系统平台的安全和计算机、网络的环境条件对信息系统安全的影响等；②设备安全，涉及主客观地对各信息系统安全的影响等；②设备安全，涉及主客观地对各类设备的保护，电源保护，防电磁干扰，防电路截获等；类设备的保护，电源保护，防电磁干扰，防电路截获等；③介质安全，涉及对介质上所记录的数据和介质本身采取③介质安全，涉及对介质上所记录的数据和介质本身采取的安全保护等。的安全保护等。

有关实体安全的标准可查阅：有关实体安全的标准可查阅： GB50173-93GB50173-93电子计算机机电子计算机机房设计规范，房设计规范， GB2887-89GB2887-89 计算站场地技术条件，计算站场地技术条件， GB936GB9361-881-88 计算站场地安全要求，和计算站场地安全要求，和 ITUITU 的的 LL 系列推荐标准系列推荐标准（（ HTTPHTTP ：： //INFO.ITU.CH/ITUDOC/ITU-T/REC/L.HTM//INFO.ITU.CH/ITUDOC/ITU-T/REC/L.HTMLL ）等。）等。

22 ．． 33 ．． 2 2 运行安全运行安全

22 ．． 33 ．． 22 ．． 1 1 运行安全的定义和安全内容运行安全的定义和安全内容 22 ．． 33 ．． 22 ．． 2 2 风险分析技术风险分析技术 22 ．． 33 ．． 22 ．． 3 3 系统的检测、监控与审计跟踪系统的检测、监控与审计跟踪 22 ．． 33 ．． 22 ．． 4 4 容错与网络冗余容错与网络冗余 22 ．． 33 ．． 22 ．． 5 5 应急措施、备份与故障恢复应急措施、备份与故障恢复 22 ．． 33 ．． 22 ．． 6 6 灾难恢复计划灾难恢复计划 22 ．． 33 ．． 22 ．． 7 7 病毒检测与防治病毒检测与防治

22 ．． 33 ．． 22 ．． 1 1 运行安全的定义和安全运行安全的定义和安全内容内容

运行安全内容包括： 运行安全内容包括： 风险分析，风险分析， 检测 、监控与审计跟踪，检测 、监控与审计跟踪， 容错与网络冗余，容错与网络冗余， 应急措施、备份与故障恢复，应急措施、备份与故障恢复， 灾难恢复计划，灾难恢复计划， 病毒检测与预防。病毒检测与预防。

22 ．． 33 ．． 22 ．． 2 2 风险分析技术风险分析技术

风险分析的目的是通过对影响系统安全运行风险分析的目的是通过对影响系统安全运行的诸多因素的了解和分析，明确系统存在的风险，的诸多因素的了解和分析，明确系统存在的风险，找出克服这些风险的方法。 找出克服这些风险的方法。

在系统设计前、试运行前、运行期及运行后在系统设计前、试运行前、运行期及运行后都应进行风险分析。都应进行风险分析。

这体现静态和动态的观点。进行风险分析时，这体现静态和动态的观点。进行风险分析时，

一般采用相应的一般采用相应的风险分析工具风险分析工具，收集数据，进行，收集数据，进行分析，得出结果，从而确定危险的严重性以及发分析，得出结果，从而确定危险的严重性以及发生危险的可能性及其对策。 生危险的可能性及其对策。

常用分析工具常用分析工具

①① 自动自动 LivermoreLivermore 风险分析方法风险分析方法

②②自动风险评估系统（自动风险评估系统（ ARESARES ））

③③CCTACCTA 风险分析管理方法学（风险分析管理方法学（ CRAMMCRAMM ））

④④国防安全技术／风险分析管理程序（国防安全技术／风险分析管理程序（ IST/RAMIST/RAMPP ））

⑤⑤Love AlamosLove Alamos脆弱性与风险评估工具（脆弱性与风险评估工具（ LAVALAVA ））

22 ．． 33 ．． 22 ．． 33 系统的检测、监控与审计跟踪系统的检测、监控与审计跟踪

所谓检测是指通过扫描分析来发现信息系统的弱点和漏洞。所谓检测是指通过扫描分析来发现信息系统的弱点和漏洞。检测内容包括账户是否有差异、数据是否被修改和删除、检测内容包括账户是否有差异、数据是否被修改和删除、系统运行性能、异常通信模式、异常系统使用时间、登陆系统运行性能、异常通信模式、异常系统使用时间、登陆失败的次数等；检测方法使用统计分析法和基于规则的方失败的次数等；检测方法使用统计分析法和基于规则的方法，一般使用软件工具定期或不定期地进行检测。法，一般使用软件工具定期或不定期地进行检测。

监控是指通过实时监测，发现入侵行为，并采取一定的应监控是指通过实时监测，发现入侵行为，并采取一定的应急防范措施。要对监测到的可疑信号进行分析，并及时地、急防范措施。要对监测到的可疑信号进行分析，并及时地、自动地作出正确响应将有一定的难度。自动地作出正确响应将有一定的难度。

审计是一种保证安全运行的重要措施。它可对计算机网络审计是一种保证安全运行的重要措施。它可对计算机网络信息系统的工作过程进行详尽的审计跟踪，同时保存审计信息系统的工作过程进行详尽的审计跟踪，同时保存审计记录和审计日志 。记录和审计日志 。

检测分析系统检测分析系统

①①网络安全检测分析系统网络安全检测分析系统

②②操作系统安全性分析系统操作系统安全性分析系统

③③防火墙安全性分析系统防火墙安全性分析系统

基于网络环境的安全监测将实时监听网络数据流；监视并基于网络环境的安全监测将实时监听网络数据流；监视并记录内记录内 // 外用户出入网络的相关操作以发现违规模式和未外用户出入网络的相关操作以发现违规模式和未授权访问；当出现违规模式和未授权访问时，报告监测中授权访问；当出现违规模式和未授权访问时，报告监测中心，中心则由安全策略作出反应，并进行审计、报告、事心，中心则由安全策略作出反应，并进行审计、报告、事件记录和报警。监测中心还有一定的远程管理功能，能对件记录和报警。监测中心还有一定的远程管理功能，能对探测器进行远程参数设置、远程数据下载、远程关闭探测器进行远程参数设置、远程数据下载、远程关闭 // 启启动和封锁等。动和封锁等。

基于主机的安全监测由安全监测管理中心和分布式探测器基于主机的安全监测由安全监测管理中心和分布式探测器（置于通信枢纽或主机内部）所组成。它的原理与基于网（置于通信枢纽或主机内部）所组成。它的原理与基于网络环境的类似，只是探测器的具体探测任务、探测的数据络环境的类似，只是探测器的具体探测任务、探测的数据种类与类型不同而已。种类与类型不同而已。

实现安全监测的关键技术则有：攻击分析和响应技术实时实现安全监测的关键技术则有：攻击分析和响应技术实时监控行为、识别攻击特征和病毒、侦探行为及未授权修改监控行为、识别攻击特征和病毒、侦探行为及未授权修改系统存取控制的可疑行为。误操作分析和响应技术对内部系统存取控制的可疑行为。误操作分析和响应技术对内部资源的误操作进行分析并做出相应的处理。漏洞分析和响资源的误操作进行分析并做出相应的处理。漏洞分析和响应技术由软件自动扫描、找出安全策略的漏洞（包含物理应技术由软件自动扫描、找出安全策略的漏洞（包含物理的、软件的、不兼容的漏洞）。 的、软件的、不兼容的漏洞）。

安全监测产品安全监测产品

INTERNET SCANNERINTERNET SCANNER

REAL SECURE 2.0 for Win NTREAL SECURE 2.0 for Win NT

SYSTEM SECURITY SCANNERSYSTEM SECURITY SCANNER

22 ．． 33 ．． 22 ．． 4 4 容错与网络冗余容错与网络冗余

避错是构造一个“完美”系统，使得其尽可能地避错是构造一个“完美”系统，使得其尽可能地不出故障。而容错是指当系统出现某些硬不出故障。而容错是指当系统出现某些硬 // 软件软件错误时，系统仍能执行规定的一组程序；或者说错误时，系统仍能执行规定的一组程序；或者说程序不会因系统中的故障而中断或被修改，并且程序不会因系统中的故障而中断或被修改，并且执行结果也不会包含系统中故障所引起的差错。执行结果也不会包含系统中故障所引起的差错。

实现容错的基本思想是在系统体系结构上精心设实现容错的基本思想是在系统体系结构上精心设计，利用外加资源的冗余技术来达到屏蔽故障的计，利用外加资源的冗余技术来达到屏蔽故障的影响，从而自动地恢复系统或达到安全停机的目影响，从而自动地恢复系统或达到安全停机的目的。 的。

容错与网络冗余技术随着系统的不断复杂化而向容错与网络冗余技术随着系统的不断复杂化而向芯片容错、动态冗余技术、分布式容错、容错性芯片容错、动态冗余技术、分布式容错、容错性能评价、容错系统和综合方法论等方向发展。能评价、容错系统和综合方法论等方向发展。

实现容错的方法与技术：实现容错的方法与技术： ① ① 空闲备件空闲备件 ,,

② ② 负载平衡，负载平衡， ③ ③ 镜像技术，镜像技术， ④ ④ 复现即延迟镜像，复现即延迟镜像， ⑤ ⑤ 冗余系统配件，冗余系统配件， ⑥ ⑥ 存储系统冗余，存储系统冗余， ⑦ ⑦ 网络冗余技术网络冗余技术 ..

22 ．． 33 ．． 22 ．． 5 5 应急措施、备份与故障应急措施、备份与故障恢复恢复

备份系统的内容：文件备份与恢复、数据库备份备份系统的内容：文件备份与恢复、数据库备份与恢复、系统灾难恢复和备份任务管理等。与恢复、系统灾难恢复和备份任务管理等。

备份技术及其特点：备份技术及其特点： 全盘备份全盘备份 增量备份增量备份 全盘及增量备份全盘及增量备份 差别备份差别备份 按需备份按需备份 排除排除

恢复技术及其特点恢复技术及其特点

全盘恢复——一般在灾难发生后或系统升级和系全盘恢复——一般在灾难发生后或系统升级和系统重组及合并时使用，操作之后，应检查最新的统重组及合并时使用，操作之后，应检查最新的错误登记文件（日志 ，审计），以免漏掉有关文错误登记文件（日志 ，审计），以免漏掉有关文件。件。

个别文件恢复——采用文件系统列表（仅需一次个别文件恢复——采用文件系统列表（仅需一次搜索）或文件登录排序（需建登录索引）方法，搜索）或文件登录排序（需建登录索引）方法，选择待恢复的文件。选择待恢复的文件。

重定向恢复——恢复到另一位置或不同系统上，重定向恢复——恢复到另一位置或不同系统上，具体技术有全盘恢复和个别恢复。具体技术有全盘恢复和个别恢复。

备份系统的组成备份系统的组成

⑴ ⑴ 物理主机系统 ⑼ 物理目标系统物理主机系统 ⑼ 物理目标系统⑵ ⑵ 逻辑主机系统 ⑽ 逻辑目标系统逻辑主机系统 ⑽ 逻辑目标系统

⑶ ⑶ I/OI/O总线 ⑾ 网络连接总线 ⑾ 网络连接⑷ ⑷ 外部设备 ⑿ 网络协议外部设备 ⑿ 网络协议⑸ ⑸ 设备驱动软件 ⒀ 系统日志设备驱动软件 ⒀ 系统日志⑹ ⑹ 备份存储介质 ⒁ 系统监控备份存储介质 ⒁ 系统监控⑺ ⑺ 备份计划 ⒂ 系统管理备份计划 ⒂ 系统管理⑻ ⑻ 操作执行者操作执行者

【【例例 22 ．． 11】设有两台】设有两台 NetwareNetware 服务器，一台为服务器，一台为文件服务器，另一台为数据库服务器，运行文件服务器，另一台为数据库服务器，运行 BetriBetrieveeve ，要求设计一个实现整个网络的数据备份和，要求设计一个实现整个网络的数据备份和系统备份的方案。系统备份的方案。

① ① 方案一方案一 将数据库服务器作为备份服务器，将数据库服务器作为备份服务器， ARC ServerARC Server配置配置 ARC Server for Netware ARC Server for Netware 和和 Pisaster RecovPisaster Recovery Optionery Option 。该方案的备份功能有整个网络中非。该方案的备份功能有整个网络中非活跃文件备份、数据库关闭状态备份、系统关键活跃文件备份、数据库关闭状态备份、系统关键信息（信息（ NDSNDS 或或 BinderyBindery ）备份和系统灾难恢复。）备份和系统灾难恢复。

②② 方案二方案二 将将数据库服务器作为备份服务器，数据库服务器作为备份服务器， ARC ServeARC Serve

rr配置配置 ARC Server for Netware ARC Server for Netware 和和 Disaster RecoDisaster Recovery optionvery option 以及 以及 Backup Agent for BetriereBackup Agent for Betriere 。。

这样的备份方案使得系统提供整个网络中非活跃这样的备份方案使得系统提供整个网络中非活跃文件备份、数据库打开状态备份、系统关键信息文件备份、数据库打开状态备份、系统关键信息(NDS(NDS 或或 Bindery)Bindery) 备份和系统灾难恢复等功能。备份和系统灾难恢复等功能。

③ ③ 方案三方案三 将数据库服务器作为备份服务器将数据库服务器作为备份服务器 ,, 用磁带库作用磁带库作

为备份硬件为备份硬件 ,ARC Server,ARC Server 配置配置 ARC Server for NeARC Server for Netwaretware 、、 Disaster Recovery optionDisaster Recovery option 、、 Backup AbBackup Abent for Betrieveent for Betrieve 、、 Backup Agent for open filesBackup Agent for open files和和 TAPE LibraryTAPE Library 。。

此方案的功能包括整个网络文件备份、包括活此方案的功能包括整个网络文件备份、包括活跃文件备份、数据库打开状态备份、系统关键信跃文件备份、数据库打开状态备份、系统关键信息息 (NDS(NDS 或或 Bindery)Bindery) 备份、系统灾难恢复、备份备份、系统灾难恢复、备份数据的数据的 RAIDRAID 容错和无人值班备份。容错和无人值班备份。

数据库备份的方法有冷备份和热备份。 数据库备份的方法有冷备份和热备份。

一种热备份方案是按日志文 件进行。进行备份时，一种热备份方案是按日志文 件进行。进行备份时，日志文 件将需要更新日志文 件将需要更新 // 更改的指令“堆起来”。 更改的指令“堆起来”。

另一种热备份方法是逻辑备份，它使用软件技术另一种热备份方法是逻辑备份，它使用软件技术从数据库中提取数据并将结果写入一输出文件，从数据库中提取数据并将结果写入一输出文件，即逆即逆 SQLSQL 技术。 技术。

数据库的恢复则有单纯以备份为基础、以备份和数据库的恢复则有单纯以备份为基础、以备份和运行日志 为基础、基于多备份和易地更新恢复四运行日志 为基础、基于多备份和易地更新恢复四种技术。种技术。

单独以备份为基础的恢复技术周期性地把磁盘上单独以备份为基础的恢复技术周期性地把磁盘上的库文件拷贝或转储到磁带上。为缓解恢复的量的库文件拷贝或转储到磁带上。为缓解恢复的量的问题，可采用增量转储（的问题，可采用增量转储（ increamental dumpinincreamental dumpingg ，， IDID ）法，即只转储更新过的物理块。）法，即只转储更新过的物理块。

以备份和日志 为基础的恢复技术使用日志来 记录以备份和日志 为基础的恢复技术使用日志来 记录数据库的运行情。数据库的运行情。

当数据库失效时，取出最近备份，然后根据日志 记当数据库失效时，取出最近备份，然后根据日志 记录，对未提交的事务用前象卷回，即向后恢复；对录，对未提交的事务用前象卷回，即向后恢复；对已提交的事务，必要时做后象重做，即向前恢复。已提交的事务，必要时做后象重做，即向前恢复。以备份和日志 为基础的恢复技术的缺点是运行记录以备份和日志 为基础的恢复技术的缺点是运行记录的存储量大，且影响数据库的正常工作性能。的存储量大，且影响数据库的正常工作性能。

基于多备份的恢复技术是基于分布式数据库的，要基于多备份的恢复技术是基于分布式数据库的，要求每一备份必须具有独立的失效模式（各备份不至求每一备份必须具有独立的失效模式（各备份不至于因同一故障而一起失效），这才能实现互为备份于因同一故障而一起失效），这才能实现互为备份以实现恢复。以实现恢复。

易地更新恢复技术，处理方法是每个关系有一页表，易地更新恢复技术，处理方法是每个关系有一页表，页表中每一项是一指针，指向关系中每一页块，提页表中每一项是一指针，指向关系中每一页块，提交时把页表的指针从旧页拨向新页，当数据库损坏交时把页表的指针从旧页拨向新页，当数据库损坏时，需用备份和人工智能方法重做。时，需用备份和人工智能方法重做。

22 ．． 33 ．． 22 ．． 6 6 灾难恢复计划灾难恢复计划

制订灾难恢复计划的目的是当发生安全问制订灾难恢复计划的目的是当发生安全问题时以最小损失、尽快地使系统恢复正常题时以最小损失、尽快地使系统恢复正常工作。 工作。

灾难恢复计划灾难恢复计划

数据备份技术数据备份技术

风险分析过程风险分析过程

风险评估风险评估

由应用程序及子系统的轻重缓急来确定其优先级别，以便作由应用程序及子系统的轻重缓急来确定其优先级别，以便作选择性恢复选择性恢复

建立恢复需求时间目标（建立恢复需求时间目标（ Recovery Time ObjectiveRecovery Time Objective ，， RTRTOO ））

生成实际灾难恢复文本生成实际灾难恢复文本

22 ．． 33 ．． 22 ．． 7 7 病毒检测与防治病毒检测与防治

计算机病毒本质上是一“计算机程序”，它不仅能破坏计计算机病毒本质上是一“计算机程序”，它不仅能破坏计算机系统，并且能传播或感染到其他系统。计算机病毒具算机系统，并且能传播或感染到其他系统。计算机病毒具有隐藏性、复制性、破坏性、准时性、动态性、随机性、有隐藏性、复制性、破坏性、准时性、动态性、随机性、不易取证性，其表现特征为感染、变异、触发、破坏及隐不易取证性，其表现特征为感染、变异、触发、破坏及隐身、多态等。身、多态等。

常见的计算机病毒分为文件病毒、引导区病毒、多裂变病常见的计算机病毒分为文件病毒、引导区病毒、多裂变病毒（文件和引导区病毒的混合）、异性病毒（随时间变毒（文件和引导区病毒的混合）、异性病毒（随时间变异）、宏病毒（用宏语言编号）和邮件病毒等。异）、宏病毒（用宏语言编号）和邮件病毒等。

病毒的检测方法有：①特征代码法，特点是适应差、静态、病毒的检测方法有：①特征代码法，特点是适应差、静态、开销大、不能检出隐蔽病毒；②校验和法，其缺点是易误开销大、不能检出隐蔽病毒；②校验和法，其缺点是易误报；③行为监测法，它体现动态性检测；④软件模拟法，报；③行为监测法，它体现动态性检测；④软件模拟法，优点是适应性好；⑤比较法；⑥分析法。优点是适应性好；⑤比较法；⑥分析法。

22 ．． 4 4 信息保护信息保护

22 ．． 44 ．． 1 1 信息保护的内容信息保护的内容 信息保护是确保计算机及网络系统中的信息不被泄露﹑破信息保护是确保计算机及网络系统中的信息不被泄露﹑破

坏﹑更改﹑删除或使之不可用。实体安全是信息安全的基坏﹑更改﹑删除或使之不可用。实体安全是信息安全的基础，运行安全是信息安全强有力的支持，而信息保护则是础，运行安全是信息安全强有力的支持，而信息保护则是核心和目标。核心和目标。

信息的形式不同，则信息保护的技术和机制也不同。其中，信息的形式不同，则信息保护的技术和机制也不同。其中，存储和处理的信息由安全的操作系统和安全的数据库系统存储和处理的信息由安全的操作系统和安全的数据库系统加以保护；传输中的信息由加密和安全的传输协议加以保加以保护；传输中的信息由加密和安全的传输协议加以保护；此外，还有防止入侵等。 护；此外，还有防止入侵等。

对传输信息采取的安全措施有身份及信息验证、网络访问对传输信息采取的安全措施有身份及信息验证、网络访问控制、通信信息加密、密钥管理、网络安全协议、鉴别技控制、通信信息加密、密钥管理、网络安全协议、鉴别技术、数字签名和安全审计等技术。 术、数字签名和安全审计等技术。

22 ．． 44 ．． 2 2 信息保护技术信息保护技术

信息保护技术是为确保信息在计算机及网络系统信息保护技术是为确保信息在计算机及网络系统中存储、处理和传输过程中的安全所采取的安全中存储、处理和传输过程中的安全所采取的安全措施。措施。

信息保护技术涉及标识与认证、标记与访问控制、信息保护技术涉及标识与认证、标记与访问控制、客体安全重用、审计、数据完整性、信息加密和客体安全重用、审计、数据完整性、信息加密和防火墙等，其中信息加密保护是确保信息安全的防火墙等，其中信息加密保护是确保信息安全的关键。关键。

22 ．． 44 ．． 22 ．． 1 1 标识与认证标识与认证

标识是用来表明用户的身份，确保用户在系统中标识是用来表明用户的身份，确保用户在系统中的惟一性，可辨认性，它由用户名和标识符的惟一性，可辨认性，它由用户名和标识符 IDID来来标明，属于公开的明码信息。标明，属于公开的明码信息。

认证是对用户身份的真实性进行鉴别，认证信息认证是对用户身份的真实性进行鉴别，认证信息不公开，难以仿造。 不公开，难以仿造。

22 ．． 44 ．． 22 ．． 2 2 标记与访问控制标记与访问控制

标记是实施强制访问控制的基础。系统应维护与主体及其控标记是实施强制访问控制的基础。系统应维护与主体及其控制的客体（进程、文件、设备、数据信息）相关的敏感标识。制的客体（进程、文件、设备、数据信息）相关的敏感标识。通过这些标识，把主、客体与一定的安全属性联系起来，并通过这些标识，把主、客体与一定的安全属性联系起来，并在系统运行的全过程起作用。而访问控制一是限制访问系统在系统运行的全过程起作用。而访问控制一是限制访问系统的人员（这在身份认证中已讲述）；二是限制进入系统的用的人员（这在身份认证中已讲述）；二是限制进入系统的用户所做的工作，这分为自主访问控制户所做的工作，这分为自主访问控制 DACDAC 和强制访问控制和强制访问控制 MMACAC两种技术。两种技术。

访问控制目标与内容有：①保护被访问的客体；②对访问权访问控制目标与内容有：①保护被访问的客体；②对访问权限的确定，授予和实施；③在保证系统安全的前提下，最大限的确定，授予和实施；③在保证系统安全的前提下，最大限度地共享资源。限度地共享资源。

实施访问控制的安全原则是：①最小特权原则；②对存取访实施访问控制的安全原则是：①最小特权原则；②对存取访问的监督检查；③实体权限的时效性；④访问控制的可靠性；问的监督检查；③实体权限的时效性；④访问控制的可靠性；⑤存取权分离原则；⑥最小共享存取原则；⑦设计的安全性；⑤存取权分离原则；⑥最小共享存取原则；⑦设计的安全性；⑧用户的承受能力和经济性。⑧用户的承受能力和经济性。

22 ．． 44 ．． 22 ．． 3 3 客体安全重用客体安全重用 客体指存储信息的载体，而客体安全重用是指各客体指存储信息的载体，而客体安全重用是指各种动态使用的资源（客体）在被释放前必须将其种动态使用的资源（客体）在被释放前必须将其中的残留信息全部清除，以防敏感信息丢失，即中的残留信息全部清除，以防敏感信息丢失，即清除一切痕迹。清除一切痕迹。

要求系统确保已被删除或被释放的信息不再是可要求系统确保已被删除或被释放的信息不再是可用的，并且新生成的客体确实不包含该客体以前用的，并且新生成的客体确实不包含该客体以前的任何信息内容，包括有形的或无形的。的任何信息内容，包括有形的或无形的。

当某客体在释放资源时，同时清除其内存缓冲区；当某客体在释放资源时，同时清除其内存缓冲区；关闭文件后，清除磁盘缓冲区；通信结束，则清关闭文件后，清除磁盘缓冲区；通信结束，则清除通信缓冲区；为避免剩磁，所谓清除内存区域除通信缓冲区；为避免剩磁，所谓清除内存区域不是清不是清 00 ，而是写入随机数等。，而是写入随机数等。

22 ．． 44 ．． 22 ．． 4 4 审计审计

审计要能识别、记录、存储、分析与安全相关的活动和有审计要能识别、记录、存储、分析与安全相关的活动和有关的信息；要确保可查性；要减少系统开销，有安全方便关的信息；要确保可查性；要减少系统开销，有安全方便的操作界面。审计的信息可用来检测、判断发生了哪些活的操作界面。审计的信息可用来检测、判断发生了哪些活动，以及这些活动由哪个用户负责。动，以及这些活动由哪个用户负责。

审计内容包括：审计内容包括： ① ①安全审计的自动响应，安全审计的自动响应， ② ②安全审计数据的产生，安全审计数据的产生， ③ ③安全审计分析，安全审计分析， ④ ④安全审计查阅安全审计查阅 ⑤ ⑤安全审计事件选择，安全审计事件选择， ⑥ ⑥安全审计事件存储，创建并维护安全的审计跟踪记录。安全审计事件存储，创建并维护安全的审计跟踪记录。

22 ．． 44 ．． 22 ．． 5 5 数据完整性技术数据完整性技术

数据完整性技术包含存储数据完整性、传输数据完整性和数据完整性技术包含存储数据完整性、传输数据完整性和处理数据完整性三方面。处理数据完整性三方面。

存储数据完整性是对以文件形式或以数据库形式存放在计存储数据完整性是对以文件形式或以数据库形式存放在计算机系统中的数据进行完整性保护，使其不因内部的算机系统中的数据进行完整性保护，使其不因内部的 // 外外部的原因遭到不应有的破坏；以及进行完整性监测（读写部的原因遭到不应有的破坏；以及进行完整性监测（读写时利用校验码）及其遭到破坏时，应采取冗余和纠错措施。时利用校验码）及其遭到破坏时，应采取冗余和纠错措施。

传输数据完整性的含义与存储数据完整性类似，其方法是传输数据完整性的含义与存储数据完整性类似，其方法是检测数据是否被篡改（校验码）、其纠错方法一般为重传检测数据是否被篡改（校验码）、其纠错方法一般为重传方法。方法。

处理数据完整性的主要技术有两阶段：处理数据完整性的主要技术有两阶段： 提交方法和复制服务器方法提交方法和复制服务器方法

22 ．． 44 ．． 22 ．． 6 6 密码技术密码技术

密码体制分对称密钥密码体制和非对称密钥密码密码体制分对称密钥密码体制和非对称密钥密码体制，也可分序列密码体制和分组密码体制。体制，也可分序列密码体制和分组密码体制。

评价密码体制优劣的标准是密码安全性和保密性、评价密码体制优劣的标准是密码安全性和保密性、用户使用方便性、加用户使用方便性、加 //解密算法效率、密钥生成解密算法效率、密钥生成与管理简便性等。与管理简便性等。

常用的密码技术有分组密码系统常用的密码技术有分组密码系统 DESDES ，公钥密码，公钥密码系统系统 RSARSA ，椭圆曲线密码系统，椭圆曲线密码系统 ECCECC 和背包公钥和背包公钥密码系统等。密码系统等。

22 ．． 44 ．． 22 ．． 7 7 防火墙技术防火墙技术

防火墙技术的作用是隔离，用粗粒度的访问控制方法以控制防火墙技术的作用是隔离，用粗粒度的访问控制方法以控制不安全服务，控制访问网点，实现集中安全性控制，以达到不安全服务，控制访问网点，实现集中安全性控制，以达到保护信息的目的。保护信息的目的。

防火墙的组成：防火墙的组成： ① ① 网络安全策略网络安全策略 ② ② 验证工具验证工具 ③ ③ 包过滤包过滤 ④ ④ 应用网关应用网关 ⑤ ⑤ 电路层网关电路层网关 ⑥ ⑥ 规则检查规则检查

防火墙分为分组过滤防火墙、双宿网关防火墙分为分组过滤防火墙、双宿网关 Dual-humedDual-humed 防火墙、防火墙、甄别主机甄别主机 Screened hostScreened host 防火墙和甄别子网防火墙和甄别子网 Screened SubneScreened Subnett 防火墙等。防火墙等。

22 ．． 44 ．． 22 ．． 8 8 入侵攻击入侵攻击 入侵是非法用户（黑客）恶意地攻击未经授权的计算机及入侵是非法用户（黑客）恶意地攻击未经授权的计算机及网络信息系统的一种破坏性行为。网络信息系统的一种破坏性行为。

常见的攻击及其防护方法：常见的攻击及其防护方法： ① ① 可用加密、标识和认证等技术来对付口令攻击；②可用加密、标识和认证等技术来对付口令攻击；② IPIP欺欺骗——放弃以地址为基础的验证及信任策略，其防护方法骗——放弃以地址为基础的验证及信任策略，其防护方法是不使用是不使用 R*R*类的远程调用命令，进行包过滤和加密，使类的远程调用命令，进行包过滤和加密，使用随机化的初始序列号等。用随机化的初始序列号等。

③ ③ 对于对于 BACK Orifice-BACK Orifice- 特洛伊木马攻击，可监视特洛伊木马攻击，可监视 UDP3133UDP313377端口或注册表，发现时即删除之；④对缓冲器溢出及非端口或注册表，发现时即删除之；④对缓冲器溢出及非法法 shellshell ，可强制写正确代码（如，可强制写正确代码（如 LinuxLinux在堆栈段中放置在堆栈段中放置执行代码），数组边界、程序指针作完整性检查等。执行代码），数组边界、程序指针作完整性检查等。

⑤ ⑤ 对分布式拒绝服务，可要求对分布式拒绝服务，可要求 ISPISP 协助合作，优化路由和协助合作，优化路由和网络结构，优化对外开放的主机（多网络结构，优化对外开放的主机（多 IPIP主机）主机） ,, 确保主机确保主机是安全的是安全的 ,, 周期审计系统，检查文件完整性等。周期审计系统，检查文件完整性等。

22 ．． 5 5 安全管理安全管理

安全管理是确保计算机网络信息系统安全的非“技术”的安全管理是确保计算机网络信息系统安全的非“技术”的技术，体现以人为本。它包含制度和教育两方面的内容。技术，体现以人为本。它包含制度和教育两方面的内容。

安全管理的目的是阻止非法用户进入，减少受破坏可能性；安全管理的目的是阻止非法用户进入，减少受破坏可能性；快速检测非法行为，迅速测定非法入口位置；审计追踪；快速检测非法行为，迅速测定非法入口位置；审计追踪；以最大限度减少损失，并促进系统恢复；能有效监控破坏以最大限度减少损失，并促进系统恢复；能有效监控破坏者的每个操作，以便抓获之，使罪犯最终受到应有惩罚。者的每个操作，以便抓获之，使罪犯最终受到应有惩罚。

安全管理涉及硬件、软件和政策等，应综合考虑安全立法、安全管理涉及硬件、软件和政策等，应综合考虑安全立法、安全教育、职员安全筛选和综合管理等，设置安全管理中安全教育、职员安全筛选和综合管理等，设置安全管理中心，实施统一分层和统一管理。心，实施统一分层和统一管理。

为此，必须建立和完善安全立法、职员安全筛选，建立安为此，必须建立和完善安全立法、职员安全筛选，建立安全管理中心，从行政、安全、人员等方面加强管理和审计。全管理中心，从行政、安全、人员等方面加强管理和审计。

安全管理的三项原则安全管理的三项原则

多人负责原则，即至少应有两人以上实施安全管多人负责原则，即至少应有两人以上实施安全管理理

任期有限原则，即应不定期循环任职，或强制休任期有限原则，即应不定期循环任职，或强制休假假

职责分离原则，编程与操作、信息传送与信息接职责分离原则，编程与操作、信息传送与信息接收、操作介质与介质保密、系统管理与安全管理、收、操作介质与介质保密、系统管理与安全管理、应用程序编制与系统程序编制、访问证件管理与应用程序编制与系统程序编制、访问证件管理与其他工作等实施分离其他工作等实施分离

明确人员安全指责和权限明确人员安全指责和权限

管理员任务是启动管理员任务是启动 //停止系统、安装系统软件、停止系统、安装系统软件、增增 //删用户和系统扩充等，以防止未授权存取、删用户和系统扩充等，以防止未授权存取、防泄密、防止用户拒绝系统管理、防止丢失系统防泄密、防止用户拒绝系统管理、防止丢失系统的完整性的完整性

超级用户应有其合适的特权，并对其有监督措施超级用户应有其合适的特权，并对其有监督措施

对用户需设置口令、分配权限对用户需设置口令、分配权限

对程序员要求可改变指定文件的属性、有限制地对程序员要求可改变指定文件的属性、有限制地存取安全属性和执行加存取安全属性和执行加 //解密操作等解密操作等

22 ．． 6 6 信息安全的标准信息安全的标准 22 ．． 66 ．． 1 1 信息安全标准的发展信息安全标准的发展

19601960 年代末、年代末、 19701970 年代初，美国出现有关信息安全的论文，之后提出可年代初，美国出现有关信息安全的论文，之后提出可信信 TrustedTrusted 、评测级别等概念；、评测级别等概念；

19701970 年，年， Tast ForceTast Force 等人提出《计算机系统的安全控制》报告；美国发等人提出《计算机系统的安全控制》报告；美国发表计算机系统的安全控制条例；表计算机系统的安全控制条例；

19721972 年，美国发表年，美国发表 DoD5200.28DoD5200.28 条令；美国条令；美国 DoDDoD 制定《自动数据处理系制定《自动数据处理系统的安全要求》报告；统的安全要求》报告；

19731973 年，美国年，美国 DoDDoD 推出《推出《 ADPADP 安全手册安全手册 -- 实施、撤销、测试和评估安全实施、撤销、测试和评估安全的资源共享的资源共享 ADPADP 系统的技术与过程》；美国发表系统的技术与过程》；美国发表 DoD5200.28-MDoD5200.28-M 指南；指南；

19761976 年，美国年，美国 DoDDoD 公布《主要防卫系统中计算机资源的管理》；公布《主要防卫系统中计算机资源的管理》； 19781978 年，年， MITREMITRE公司发表《可信计算机系统的建设技术评估标准》；公司发表《可信计算机系统的建设技术评估标准》； 19831983 年，美国发布“可信计算机系统评价标准年，美国发布“可信计算机系统评价标准 TCSEC”TCSEC” 桔皮书（桔皮书（ 19851985 年年

正式版正式版 DoD85DoD85 ）；）； 19911991 年，欧洲四国年，欧洲四国 (( 英、荷兰、法等英、荷兰、法等 )) 发布“信息技术安全评价标准发布“信息技术安全评价标准 IT-SIT-S

EC”EC” ；； 19931993 年，加拿大发布“可信计算机系统评价标准年，加拿大发布“可信计算机系统评价标准 CTCPEC”CTCPEC” ；国际标准；国际标准组织组织 IEEE/POSIXIEEE/POSIX颁布了颁布了 FIPSFIPS 和和 X/OPENX/OPEN ；；

19941994 年年 44 月，美国国家计算机安全中心月，美国国家计算机安全中心 NCSCNCSC 颁布颁布 TDITDI 可信计算机系统可信计算机系统评估标准在数据库管理系统的解释；美、加、欧提出信息技术安全评测公评估标准在数据库管理系统的解释；美、加、欧提出信息技术安全评测公共标准共标准 CC V0.9CC V0.9 。。

中国制订、颁布信息安全方面的标准中国制订、颁布信息安全方面的标准 相当于相当于 ISO7498-2-1989ISO7498-2-1989 的的 GB/T9387-2-1995GB/T9387-2-1995 标准标准 GJB2646-96GJB2646-96军用计算机安全评估准则——相当于桔皮书；军用计算机安全评估准则——相当于桔皮书； GB17859-1999GB17859-1999 计算机系统安全特性等级划分准则计算机系统安全特性等级划分准则 GB4943-1995GB4943-1995 信息技术设备的安全（信息技术设备的安全（ IEC950IEC950 ）） GB9254-88GB9254-88 信息技术设备的无线电干扰限值和测量方法信息技术设备的无线电干扰限值和测量方法 GB9361-88GB9361-88 计算机场地安全计算机场地安全 GB/T9387.2-1995——GB/T9387.2-1995——相当于相当于 OSIOSI 的第二部分安全体系结构的第二部分安全体系结构 ISO7498.2ISO7498.2 GB/T15277-1994GB/T15277-1994 信息处理信息处理 6464位块加密算法——对应于位块加密算法——对应于 ISO8372ISO8372 GB/T15278-1994GB/T15278-1994 信息技术（数据加密，物理层互操作性要求）——信息技术（数据加密，物理层互操作性要求）—— ISO9160ISO9160 GB15851-1995GB15851-1995 信息技术（安全技术，带消息恢复的数字签名方案）——信息技术（安全技术，带消息恢复的数字签名方案）—— ISO/IEC9ISO/IEC9

796796 GB15852-1995GB15852-1995 信息技术（安全技术，用块加密算法校验函数的数据完整性）——信息技术（安全技术，用块加密算法校验函数的数据完整性）—— II

SO/IEC9797SO/IEC9797 GB15853.1-1995GB15853.1-1995 信息技术（安全技术，实体鉴别机制Ⅰ部分：一般模型）——信息技术（安全技术，实体鉴别机制Ⅰ部分：一般模型）—— ISIS

O/IEC 9798.1O/IEC 9798.1 GB15853.2-1995GB15853.2-1995 信息技术（安全技术，实体鉴别机制Ⅱ部分：对称加密算法的实信息技术（安全技术，实体鉴别机制Ⅱ部分：对称加密算法的实

体鉴别）——体鉴别）—— ISO/IEC9798.2ISO/IEC9798.2 GB15853.3GB15853.3 信息技术（安全技术，实体鉴别机制Ⅲ部分：非对称签名技术机制）—信息技术（安全技术，实体鉴别机制Ⅲ部分：非对称签名技术机制）——— ISO/IEC9798.3ISO/IEC9798.3

GB15853.7GB15853.7 信息技术信息技术 ((开放系统连接开放系统连接 -- 系统管理系统管理 -- 安全报警功能安全报警功能 )—ISO/IEC10164-7)—ISO/IEC10164-7 GB15853.8GB15853.8 信息技术（开放系统连接信息技术（开放系统连接 -- 系统管理系统管理 -- 安全审计跟踪—安全审计跟踪— ISO/IEC10164-8ISO/IEC10164-8 19941994年年 22月由国务院颁布的“计算机信息安全保护条例”月由国务院颁布的“计算机信息安全保护条例”

中国的国家军用安全标准中国的国家军用安全标准 GJB1281-91 GJB1281-91 指挥自动化计算机网络安全要求指挥自动化计算机网络安全要求 GJB1295-91 GJB1295-91 军队通用计算机使用安全要求军队通用计算机使用安全要求

GJB1894-94 GJB1894-94 自动化指挥系统数据加密要求自动化指挥系统数据加密要求

GJB2256-94 GJB2256-94 军用计算机安全术语军用计算机安全术语

GJB2646-96 GJB2646-96 军用计算机安全评估准则军用计算机安全评估准则 GJB2824-GJB2824-97 97 军用数据库安全要求军用数据库安全要求

习 题 习 题 22

11 ．请叙述．请叙述 OSIOSI 的安全体系标准。的安全体系标准。22 ．信息安全系统的设计原则及设计步骤是什么？．信息安全系统的设计原则及设计步骤是什么？33 ．为您所接触到的计算机网络（如宿舍的、系的、．为您所接触到的计算机网络（如宿舍的、系的、办公室的、实验室的网络系统），设计并分析一办公室的、实验室的网络系统），设计并分析一个安全防御体系。个安全防御体系。

44 ．为您所接触到的任一信息系统（如教务管理系．为您所接触到的任一信息系统（如教务管理系统、学生管理系统、机房管理控制系统），设计统、学生管理系统、机房管理控制系统），设计并分析一个达到保密性、完整性和可用性要求的并分析一个达到保密性、完整性和可用性要求的安全系统。安全系统。