此文章摘自：#5天修炼笔记#

十六、信息安全

从外部给系统造成的损害，称为威胁∶从内部给系统造成的损害，称为脆弱性、系统风

险则是威胁利用脆弱性造成损坏的可能。

蛋的裂缝可以看成"鸡蛋"系统的脆弱性，而苍蝇可以看成威胁，苍蝇叮有缝的蛋表示威胁利用脆弱性造成了破坏。

信息系统安全属性有不可抵赖性、完整性、保密性、可用性。

（1）不可抵赖性。

数据的发送方与接收方都无法对数据传输的事实进行抵赖。

（2）完整性。

信息只能被得到允许的人修改，并且能够被判别该信息是否已被篡改过。常用的保证完

整性手段有安全协议、纠错编码、数字签名、密码检验、公证。应用数据完整性机制可以防

止数据在途中被攻击者篡改或破坏。

（3）保密性。保证信息不泄露给未经授权的进程或实体，只供授权者使用。常用保密技术有最小授权

原则、防暴露、信息加密、物理保密。

应用系统运行中涉及的安全和保密层次包括四层，这四个层次按粒度从粗到细的排列顺

序是系统级安全、资源访问安全、功能性安全、数据域安全。

1）系统级安全。

系统级安全是分析现行安全技术，制定系统级安全策略。具体策略有隔离敏感系统、IP

地址限制、登录时间和会话时间限制、连接数和登录次数的限制、远程访问控制等。

2）资源访问安全。

对程序资源的访问进行安全控制。

3）功能性安全。

功能性安全会对程序流程产生影响，如用户操作业务记录、是否需要审核、上传附件不

能超过指定大小等。安全限制不是入口级的限制，是程序流程内的限制，会影响程序流程运行。

4）数据域安全。数据域安全包括两个方面∶

● 行级数据域安全∶用户可以访问哪些业务记录;

● 字段级数据域安全∶用户可以访问业务记录的哪些字段。

（4）可用性。

只有授权者才可以在需要时访问该数据，而非授权者应被拒绝访问数据。

1.加密技术

（1）对称加密技术。在对称加密算法中，数据发信方将明文（原始数据）和加率密钥

一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若

想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢

复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数

据进行加密和解密，这就要求解密方事先必须知道加密密钥。常用的对称加密算法有 DES

和 IDEA 等。

DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位，产生最大 64 位的分组大小。

这是一个迭代的分组密码，使用称为 Feistel 的技术，其中将加密的文本块分成两半。使

用子密钥对其中一半应用循环功能，然后将输出与另一半进行"异或"运算;接着交换这两半，

这一过程会继续下去，但最后一个循环不交换。DES 使用 16 个循环，使用异或、置换、代

换、移位操作四种基本运算。

DES 的常见变体是三重 DES，是使用 168 位的密钥对资料进行三次加密的一种机制，通

常（但非始终）提供极其强大的安全性。如果三个 56 位的子元素都相同，则三重 DES 向后

兼容 DES.

类似于 DES，IDEA 算法也是一种数据块加密算法，它设计了一系列加密轮次，每轮加

密都使用从完整的加密密钥中生成的一个子密钥。与 DES 的不同处在于，它采用软件实现

和硬件实现的速度相同。IDEA 的密钥为 128 位。

（2）不对称加密算法。不对称加密算法使用两把完全不同但又完全匹配的一对钥匙—

—公钥和私钥。在使用不对称加密算法加密文件时，只有使用匹配的一对公钥和私钥，才能

完成对明文的加密和解密过程。加密明文时采用公钥加密，解密密文时使用私钥才能完成，

而且发信方（加密者）知道收信方的公钥，只有收信方（解密者）才是唯一知道自己私钥的

人。广泛应用的不对称加密算法有 RSA 和 DSA。

RSA 算法是第一个能同时用于加密和数字签名的算法，也易于理解和操作。RSA 的安全

性依赖于大数的因子分解。

DSA 是基于整数有限域离散对数难题的，其安全性与 RSA 相比差不多。DSA 的一一个重要特占是两个素数公开，这样当使用他人的 p 和 q 时，即使不知道私钥，也能确认它们是随

机产生的还是做了手脚，RSA 算法却做不到。

（3）不可逆加密算法。不可逆加密算法的特征是加密过程中不需要使用密钥，输入明

文后由系统直接经过加密算法处理成密文，这种加密后的数据是无法被解密的，只有重新输

入明文，并再次经过同样不可逆的加密算法处理，得到相同的加密密文并被系统重新识别后，

才能真正解密。不可逆加密算法常用的有 MD5 和 SHA 等。

MD5 为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护。MD5 用

的是哈希函数。SHA 算法的思想是接收一段明文，然后以一种不可逆的方式将它转换成一段

（通常更小）密文，也可以简单地理解为取一串输入码（称为预映射或信息），并把它们转

化为长度较短、位数固定的输出序列（即散列值，也称为信息摘要或信息认证代码）的过程。

2.数字签名

数字签名（又称公钥数字签名、电子签章）就是附加在数据单元上的一些数据，或是

对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来

源和数据单元的完整性并保护数据，防止被人（例如接收者）伪造。它是对电子形式的消息

进行签名的一种方法，一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密

码体制都可以获得数字签名，目前主要是基于公钥密码体制的数字签名。

数字签名技术是不对称加密算法的典型应用。数字签名的应用过程是，数据源发送方使

用自己的私钥对数据校验和/或其他与数据内容有关的变量进行加密处理，完成对数据的合

法"签名"，数据接收方则利用对方的公钥来解读收到的"数字签名"，并将解读结果用于对数

据完整性的检验，以确认签名的合法性。

3.数字信封

数字信封是公钥密码体制在实际中的一个应用，用加密技术来保证只有规定的特定收信

人才能阅读通信的内容。

在数字信封中，信息发送方采用对称密钥来加密信息内容，然后将此对称密钥用接收方

的公开密钥来加密（这部分称数字信封）之后，将它和加密后的信息一起发送给接收方，接

收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开加密信息。

4. PKI/CA

PKI（Public Key Infrastructure，公钥基础设施）从技术上解决了网络通信安全的种

种障碍。CA（Certificate Authority，认证中心）从运营、管理、规范、法律、人员等多

个角度来解决网络信任问题。人们统称为 PKI/CA。从总体构架来看，PKI/CA 主要由最终用

户、认证中心和注册机构组成。

PKI/CA 的工作原理就是通过发放和维护数字证书来建立一套信任网络，同一信任网络

中的用户通过申请到的数字证书来完成身份认证和安全处理。

数字证书是由认证中心经过数字签名后发给网上交易主体（企业或个人）的一段电子文

档。在这段文档中包括主体名称、证书序号、发证机构名称、证书有效期、密码算法标识、

公钥信息和其他信息等。利用数字证书，配合相应的安全代理软件，可以在网上交易过程中

检验对方的身份真伪，实现交易双方的相互信任，并保证交易信息的真实性、完整性、私密

性和不可否认性。

5.访问控制

（1）DAC（Discretionary Access Control，自主访问控制）是根据自主访问控制策略

建立的一种模型，针对主体的访问控制技术，对每个用户给出访问资源的权限，如该用户能

够访问哪些资源。

允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客

体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。DAC 模型一般采

用访问控制矩阵和基于主体的访问控制列表来存放不同主体的访问控制信息，从而达到对主体访问权限的限制目的。

（2）ACL（Access Control List，访问控制列表）是目前应用得最多的方式，是针对

客体的访问控制技术，对每个目标资源拥有访问者列表，如该资源允许哪些用户访问。允许

合法用户以用户或用户组的身份访问策略规定的客体，同时阻止其他非授权用户的访问。

ACL 模型一般采用访问控制矩阵和基于客体的访问控制列表来存放不同主体的访问控制信息，从

而达到对主体访问权限的限制目的

（3）MAC（Mandatory Access Control，强制访问控制模型）是一种多级访问控制策略，

它的主要特点是系统对访问主体和受控对象实行强制访问控制，系统事先给访问主体和受控

对象分配不同的安全级别属性（如客体安全属性可定义为公开、限制、秘密、机密、绝密等）。

在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，再决定访问主

体能否访问该受控对象。主体安全级别低于客体信息资源的安全级别时限制其操作，主体安

全级别高于客体安全级别可以允许其操作。

（4）RBAC Model（Role-Based Access Model，基于角色的访问控制模型）的基本思想

是将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可

权。

6.各种等级划分

（1）系统可靠性和保密性等级。

1）系统可靠性等级。

根据系统处理数据的重要性，系统可靠性分 A 级、B 级、C 级。其中可靠性要求最高

的是 A 级，最低的是 C 级。

2）系统保密性等级。

系统保密等级分为绝密、机密、秘密三级。

（2）机房等级划分。

按《电子信息系统机房设计规范》（GB50174-2008），电子信息系统机房应划分为 A、B、

C 三级。设计时应根据机房的使用性质、管理要求及其在经济和社会中的重要性确定所属级

别。

7. 安全管理与制度

（1）日常安全管理。

常考的日常管理手段如下∶

● 企业加强应用系统管理工作，至少每年组织一次系统运行检查工作，而部门则需要

按季度检查一次。检查方式∶普查、抽查、专项检查。

● 分配用户权限应该遵循"最小特权"原则，避免滥用。

● 系统维护、数据转储、擦除、卸载硬盘、卸载磁带等必须有安全人员在场。

（2）系统运行安全管理制度。

系统运行安全管理制度能确保系统按照预定目标运行，并充分发挥效益的必要条件、运

行机制、保障措施。为保证系统安全，可行的用户管理办法有∶

● 建立用户身份识别与验证机制，拒绝非法用户;

● 设定严格的权限管理，遵循"最小特权"原则∶

● 用户密码应严格保密，并定时更新;

● 重要密码交专人保管，并且相关人员调离需修改密码。

8.信息安全等级保护管理办法

《信息安全等级保护管理办法》（公通字 200743 号文）是为规范信息安全等级保护管理， 提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的办法，由四部委下发。

该办法重要条款如下∶

第七条 信息系统的安全保护等级分为以下五级∶

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不

损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，

或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安

全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国

家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

第十二条 在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保

护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照

《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术网络基础

安全技术要求》（GB/T20270-2006）、《信息安全技术操作系统安全技术要求》

（GB/T20272-2006）、《信息安全场 2I 技术数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术服务器技术要求》《信息城安全技术终端计算机系统安全等级技术要求》

（GAT671-2006）等技术标准，同步建设符合该等级要求的信息安全设施。

十七、安全机房设计

机房部分主要集中考查《电子信息系统机房设计规范》（GB50174-2008）。该知识点可以

浓缩到两张卡片中。

《电子信息系统机房设计规范》重要考点如下。

1.机房位置与设备布置

（1）机房组成。

1）电子信息系统机房的组成应根据系统运行特点及设备具体要求确定，宣由主机房、

辅助区、支持区、行政管理区等功能区组成。

2）主机房的使用面积应根据电子信息设备的数量、外形尺寸和布置方式确定，并应预

留今后业务发展需要的使用面积。在对电子信息设备外形尺寸不完全掌握的情况下，主机房

的使用面积可按下式确定∶①当电子信息设备已确定规格时，可按下式计算∶

A-K×∑S

式中∶A——主机房使用面积;K——系数，可取 5~7;S——电子设备的投影面积。

②当电子信息设备尚未确定规格时，可按下式计算∶

A=F×N

式中∶F——单台设备占用面积，可取 3.5~5.5（/台）;N——主机房内所有设备（机柜）

的总台数。

3）辅助区的面积宜为主机房面积的 0.2~1 倍。

4）用户工作室的面积，可按 3.5～4/人计算;硬件及软件人员办公室等人长期工作的房

间面积，可按 5～7/人计算。

（2）设备布置。

1）电子信息系统机房的设备布置应满足机房管理、人员操作和安全、设备和物料运输、

设各备散热、安装和维护的要求。

2）产生尘埃及废物的设备应远离对尘埃敏感的设备，并宜布置在有隔断的单独区域内。

3）当机柜内或机架上的设备为前进风/后出风方式冷却时，机柜或机架的布置宜采用面

对面/背对背方式。

4）主机房内通道与设备间的距离应符合下列规定∶

①用于搬运设备的通道净宽不应小于 1.5m;

②面对面布置的机柜或机架正面之间的距离不宜小于 1.2m;

③背对背布置的机柜或机架背面之间的距离不宜小于 1m;

④当需要在机柜侧面维修测试时，机柜与机柜、机柜与墙之间的距离不宜小于 1.2m;⑤

成行排列的机柜，其长度超过 6m 时，两端应设有出口通道;当两个出口通道之间的距离超

过 15m 时，在两个出口通道之间还应增加出口通道。出口通道的宽度不宜小于 Im，局部可

为 0.8m。

2.建筑与结构

（1）人流、物流及出入口。

1）主机房宜设置单独出入口，当与其他功能用房共用出入口时，应避免人流和物流的

交叉。

2）电子信息系统机房内通道的宽度及门的尺寸应满足设备和材料的运输要求，建筑

入口至主机房的通道净宽不应小于 1.5m。

3）电子信息系统机房可设置门厅、休息室、值班室和更衣间。更衣间使用面积可按最

大班人数的 1～3m²/人计算。

（2）防火和疏散。

1）电子信息机房的耐火等级不应低于二级。

2）面积大于 100m²的主机房，安全出口不应少于两个，且应分散布置。面积不大于 100m

²的主机房可设置一个安全出口，并可通过其他相邻房间的门进行疏散。门应向疏散方向开

启，且应自动关闭，并应保证在任何情况下均能从机房内开启。走廊、楼梯间应畅通，并应

有明显的疏散指示标志。

3）主机房的顶棚、壁板（包括夹芯材料）和隔断应为不燃烧体。

（3）室内装修。

A.级和 B 级申子信息系统机房的主机房不宜设置外窗。当主机房设有外窗时，应采用

双层固定窗，并应有良好的气密性。不间断电源系统的电池室设有外窗时，应避免阳光直射。

3. 电气

（1）照明。

电子信息系统机房内的照明线路宜穿钢管暗敷或在吊顶内穿钢管明敷。

（2）静电防护。

电子信息系统机房内所有设备的金属外壳、各类金属管道、金属线槽、建筑物金属结构

等必须进行等电位联结并接地。

4. 电磁屏蔽

（1）所有进入电磁屏蔽室的信号电缆应通过信号滤波器或进行其他屏蔽处理。

（2）进出电磁屏蔽室的网络线宜采用光缆或屏蔽缆线，光缆不应带有金属加强芯。

（3）截止波导通风窗内的波导管宜采用等边六角形，通风窗的截面积应根据室内换气

次数进行计算。

（4）非金属材料穿过屏蔽层时应采用波导管。波导管的截面尺寸和长度应满足电磁屏

蔽的性能要求。

5.给水排水

管道敷设;穿越主机房的给水排水管道应暗敷或采取防漏保护的套管。管道穿过主机房

墙壁和楼板处应设置套管，管道与套管之间应采取密封措施。

6.消防

消防设施;主机房是电子信息系统的核心，在确定消防措施时，应同时保证人 员和设各

的安全，避免灭火系统误操作造成损失。只有当两种火灾探测器同时发出报警后，才能确认为真

正的灭火信号。两种火灾探测器可采用感烟和感温、感烟和离子或感烟和光电探测器的组合，

也可采用两种不同灵敏度的感烟探测器。对于含有可燃物的技术夹层（吊顶内和活动地板

下），也应同时设置两种火灾探测器。