資訊系統概論

什么是資訊系統

資訊系統，用于收集、存盤和處理資料以及傳遞資訊、知識和數字產品的一套集成組件，商業公司和其他組織依靠資訊系統來執行和管理他們的運作，與他們的客戶和供應商互動，并在市場中競爭，

資訊系統是支持資料密集型應用程式的軟體和硬體系統，

資訊系統安全與資訊安全的區別

資訊系統安全是指資訊網路的硬體、軟體及其系統中的資料收到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，資訊服務不中斷；資訊安全指的是保障資訊的保密性、完整性、可用性、可控性、不可否認性，

資訊系統的例子

管理資訊系統：最大限度的利用現代計算機及網路通信技術加強企業信 息管理，通過對企業擁有的人力、物力、財力、設備、 技術等資源的調查了解，建立正確的資料，加工處理并編制成各種資訊資料及時提 供給管理人員，以便進行正確的決策，不斷提高企業的管理水平和經濟效益，

資料處理系統：對資料進行加工（如清洗、去噪等）、整理（如分類等）、計算（數值計算、統計分析、 模型模擬等）及實作資料可視化（如畫圖、制表等）的人機系統，

決策支持系統：為決策者提供所需的資料、資訊和背景資料，幫助明確決策目標和進行問題的識別，建立或修改決策模 型，提供各種備選方案，并且對各種方案進行評價和優選，通過人機互動功能進行分析、比較和判斷，為正確的決策提供必要的支持，

電子商務系統：交易各方以電子交易方式而不是通過直接面談方式進行的任何形式的商業交易，包括交換資料（如電子資料交換、電子郵件）、獲得資料（如共享資料庫、 電子公告牌）以及自動捕獲資料（如條形碼）等， 其目的是對整個貿易活動實作電子化，

辦公自動化系統：使人們的一部分辦公業務借助于各種設備并由這些設備與辦公人員構成服務于某種目標的人機資訊處理系統，

智慧地球分成三個要素：物聯化、 互聯化、智能化，

資訊系統發展趨勢

大型化 復雜化：以資訊技術和通信技術為支撐，規模龐大，分布廣闊，采用多級網路結構，跨越多個安全域，處理海量的、復雜且形式多樣的資料，提供多種型別應用的大系統，

與大資料的結合、和物聯網的結合、和5G的結合、和人工智能的結合、和工業互聯網的結合

資訊系統的架構

單機架構：隨著用戶數的增長，Tomcat和資料庫之間競爭資源，單機性能不足以支撐業務
Tomcat與資料庫分開部署：隨著用戶數的增長，并發讀寫資料庫成為瓶頸
引入本地快取和分布式快取：快取扛住了大部分的訪問請求，隨著用戶數的增長，并發壓力主要落在單機的Tomcat上，響 應逐漸變慢，
引入反向代理實作負載均衡：反向代理使應用服務器可支持的并發量大大增加，但并發量的增長也意味著更多請求穿透到資料庫，單機的資料庫最終成為瓶頸，
資料庫讀、寫分離：業務逐漸變多，不同業務之間的訪問量差距較大，不同業務直接競爭資料庫，相互影響性能，
資料庫按業務分庫：隨著用戶數的增長，單機的寫庫會逐漸會達到性能瓶頸，
把大表拆分為小表：資料庫和Tomcat都能夠水平擴展，可支撐的并發大幅提高， 隨著用戶數的增長，最終單機的Nginx會成為瓶頸，
使用LVS或F5使多個Nginx負載均衡：由于LVS也是單機的，隨著并發數增長到幾十萬時，LVS服務器最侄訓達到瓶頸，此時用戶數達到千萬甚至上億級別，用戶分布在不同的地區，與服務器機房距離不同，導致了訪問的延遲會明顯不同Nginx會成為瓶頸，
通過DNS輪詢實作機房間的負載均衡：隨著資料的豐富程度和業務的發展，檢索、分析等需求越來越豐富， 單單依靠資料庫無法解決如此豐富的需求，
引入NoSQL資料庫和搜索引擎等技術：引入更多組件解決了豐富的需求，業務維度能夠極大擴充，隨之而來的是一個應用中包含了太多的業務代碼，業務的升級迭代變得困難，
大應用拆分為小應用：不同應用之間存在共用的模塊，由應用單獨管理會導致相同代碼存在多份，導致公共功能升級時全部應用代碼都要跟著升級，
復用的功能抽離成微服務：不同服務的介面訪問方式不同，應用代碼需要適配多種訪問方式才能使用服務，此外，應用訪問服務，服務之間也可能相互訪問，呼叫鏈將會變得非常復雜，邏輯變得混亂，
引入容器化技術實作運行環境隔離與動態服務管理：使用容器化技術后服務動態擴縮容問題得以解決，但是機器還是需要公司自身來管理，在非大促的時候，還是需要閑置著大量的機器資源來應對大促， 機器自身成本和運維成本都極高，資源利用率低，
以云平臺承載系統：以上所提到的從高并發訪問問題，到服務的架構和系統實施的層面都有了各自的解決方案， 針對更復雜的問題， 還需考慮諸如跨機房資料同步、分布式事務實作等實際問題，

邊緣計算和云計算互相協同

二者是彼此優化補充的存在，共同使能行業數字化轉型，云計算是一個統籌者，它負責長周期資料的大資料分析，能夠在周期性維護、業務決策等領域運行，邊緣計算著眼于實時、短周期資料的分析，更好地支撐本地業務及時處理執行，邊緣計算靠近設備端，也為云端資料采集做出貢獻，支撐云端應用的大資料分析，云計算也通過大資料分析輸出業務規則下發到邊緣處，以便執行和優化處理，

如何解決秒殺技術瓶頸

將請求攔截在系統上游，降低下游壓力：秒殺系統特點是并發量極大，但實際秒殺成功的請求數量卻很少，所以如果不在前端攔截很可能造成資料庫讀寫鎖沖突，甚至導致死鎖，最終請求超時，

充分利用快取（Redis）：利用快取可極大提高系統讀寫速度，

訊息中間件（ActiveMQ 、Kafka等）：訊息佇列可以削峰，將攔截大量并發請求，這是一個異步處理程序，后臺業務根據自己的處理能力，從訊息佇列中主動的拉取請求訊息進行業務處理，

為什么存在架構的復雜性問題

體系結構是資訊系統的基本結構，它的復雜性直接影響著系統的復雜性，在體系結構設計階段有效控制復雜性，不僅可以減小系統實作的難度、降低成本，而且對提高系統可靠性等也有一定的幫助，因此，對體系結構的復雜性進行度量和評價，對于系統的設計和決策非常重要，通過對體系結構復雜性的研究，對復雜性給出合適的定義和度量方法，就可以采取有效的措施來降低系統復雜性，減小復雜性所帶來的不利影響，

如何度量資訊系統的復雜度

Halstead 復雜性度量：Halstead把程式看成由可執行的代碼行的詞匯（運算子和運算元）組成的符號序列，設 n1 表示程式中不同運算子的個數， n2 表示程式中不同運算元的個數，令 H 表示程式的預測長度，

Halstead給出 H的計算公式為：
H = n 1 l o g 2 n 1 + n 2 l o g 2 n 2 H= n_1 log_2 n_1 + n_2 log_2 n_2 H=n1?log2?n1?+n2?log2?n2?
Halstead的重要結論之一是：程式的實際長度 N與預測長度非常接近，

McCabe度量法：McCabe度量用程式流圖的圈數（cycloramic number）來測量程式的復雜 性，并基于程式控制論和圖論提出了經典的McCabe圈復雜性度量理論，

復雜度：
流圖中的區域數：4（上圖中用方框標注的）
流圖G的環形復雜度V(G)=E-N+2，其中E是流圖中邊的條數，N是結點數，本例中：12-10+2=4
流圖G的環形復雜度V(G)=P+1，其中P是流圖中判定結點的數目，本例中3+1=4（判定節點是2，4，7）

資訊系統安全概述

資訊系統安全威脅，常見的威脅

資訊系統安全威脅是指對于資訊系統的組成要素及其功能造成某種損害的潛在可能，

資訊系統安全的概念

資訊網路的硬體、軟體及其系統中的資料受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，資訊服務不中斷，

資訊系統安全的實質

安全＝及時的檢測和處理 Pt（保護）>Dt（檢測）+ Rt（反應）

防護時間Pt：黑客在到達攻擊目標之前需要攻破很多的設備（路由器，交換機）、系統（NT，UNIX）和防火墻等障礙，在黑客達到目標之前的時間；
在黑客攻擊程序中，我們檢測到他的活動的所用時間稱之為Dt，檢測到黑客的行為后，我們需要作出回應，這段時間稱之為Rt.
假如能做到Dt+Rt<Pt，那么我們可以說我們的目標系統是安全的，

基于資訊保障的資訊系統安全概念

資訊系統安全保障是在資訊系統的整個生命周期中，通過對資訊系統的風險分析，制定并執行相應的安全保障策略，從技術、管理、工程和人員等方面提出安全保障要求，確保資訊系統的保密性、完整性和可用性，降低安全風險到可接受的程度，從而保障系統實作組織機構的使命 ，

資訊系統脆弱性的表現

硬體組件：資訊系統硬體組件的安全隱患多來源于設計，主要表現為物理安全方面的問題，

軟體組件：軟體組件的安全隱患來源于設計和軟體工程中的問題， 漏洞；不必要的功能冗余引起安全脆弱性；未按安全等級要求進行模塊化設計，安全等級不能達到預期

網路和通信協議：TCP/IP協議族本身的缺陷，基于TCP/IP協議Internet的安全隱患，缺乏對用戶身份的鑒別、缺乏對路由協議的鑒別認證、TCP/UDP的缺陷，

Analog Attack 的基本思想

惡意攻擊者不在應用程式或者作業系統的底層植入后門了，而是在計算機的處理器芯片中植入后門，這種基于“硅元素”的后門很難被發現，計算機芯片中有著數以億計的元件，如果想要找出這樣的一種單一組件（后門程式），可以算得上是大海撈針了，讓問題更加嚴重的就是，計算機芯片中的每一個組件其大小甚至都不到人類頭發絲直徑的千分之一，這種后門程式被設計成了一種電容，而這種能夠臨時存盤電荷的惡意容器件是很難被檢測到的，

攻防不對稱性

攻擊者：攻擊可以在任意時刻發起、攻擊可以選擇一個薄弱點進行、攻擊包含了對未知缺陷的探測、攻擊常在暗處，具隱蔽性、攻擊可以肆意進行

防御者：防御必須隨時警惕、防御必須全線設防、防御只能對已知的攻擊防御、防御常在明處，表面看起來完美，使人容易疏忽，喪失警惕、防御必須遵循一定的規則，

擬態主動防御

擬態：是自然界中一種生物 偽裝成另一種生物，或偽裝成環境中其它物 體以獲取生存優勢的能力，

針對一個前提：防范未知漏洞后門等不確定威脅
基于一個公理：相對正確公理
依據一個發現：熵不減系統能穩定抵抗未知攻擊
借鑒二種理論：可靠性理論與自動控制理論
發明一種構造：動態異構冗余構造（IT領域創新使能技術）
匯入一類機制：擬態偽裝機制
形成一個效應：測不準效應
獲得一類功能：內生安全功能
達到一種效果：融合現有安全技術可指數量級提升防御增益
實作二個目標：歸一化處理傳統/非傳統安全問題——獲得廣義魯棒控制屬性

擬態防御拓展了原有資訊系統魯棒的內涵，創建了集“服務提供、可靠性保障、安全可信”功能為一體的控制架構與運行機制，廣義魯棒突破“沙灘建樓不安全”的理論與方法，改變網路空間游戲規則，

5G 對資訊系統安全帶來的挑戰

未來聯網設備將數以百億計，每一個都可能成為攻擊的切入點，防不勝防，

網路切片帶來的安全挑戰：切片授權與接入控制、切片間的資源沖突、切片間的安全隔離、切片用戶的隱私保護、以切片方式隔離故障網元，

CMM框架

云計算安全架構

基于可信根的安全架構：該安全架構試圖通過可信計算的成果從根本上解決云計算的安全 題，但是，其對硬體要求的嚴格性有違云計算開放性和經濟性的基本要求，不利于對現有資源的繼承與利用，

基于隔離的安全架構：該安全架構旨在針對所有的租戶構建封閉且安全的運行環境，從而保證其定制服務的安全性，但是，其勢必導致資源的不充分利用，增加租戶間協作的難度，引起管理成本的增加，

安全即服務的安全架構：SOA安全架構充分考慮到了租戶的個性化需求，提出以租戶服務要求為導向的云計算安全架構，但是缺乏讓租戶和提供商及時且明晰地獲得各自安全需求的方法，

可管、可控、可度量的云計算安全架構：首先參考SLA確定系統的度量指標體系，然后利用模型分析技術，建立系統行為和用戶行為的安全模型，通過模型的分析和求解，獲得系統需要完善與維護的安全問題以及進一步的安全優化方案，這里系統的監控機制不僅可以獲得系統當前的狀態，還可以獲得系統和用戶的統計資料，這些資料將是安全度量的基礎，

安全需求及安全策略

安全需求，一般化的安全需求

安全需求：就是在設計一個安全系統時期望得到的安全保障，交易雙方身份的確定性需求、資訊的完整性需求、資訊的不可偽造性需求、資訊的不可抵賴性需求，

一般化的安全需求：

機密性需求：防止資訊被泄漏給未授權的用戶
完整性需求：防止未授權用戶對資訊的修改
可用性需求：保證授權用戶對系統資訊的可訪問性
可記賬性需求：防止用戶對訪問過某資訊或執行過某一操作以否認

訪問控制策略、訪問支持策略

訪問控制策略：確立相應的訪問規則以控制對系統資源的訪問

訪問支持策略：為保障訪問控制策略的正確實施提供可靠的“支持”

主體、客體及其屬性

主體：系統內行為的發起者，通常是用戶發起的行程

客體：系統內所有主體行為的直接承擔者

系統環境（背景關系） ：系統主、客體屬性之外的某些狀態

主體屬性（用戶特征）：用戶ID/ 組ID、用戶訪問許可級別、權能表、角色

客體屬性（客體特征）：敏感性標簽、訪問控制串列

訪問控制串列

訪問控制串列是一系列允許或拒絕資料的指令的集合，

基于有限狀態自動機的“安全系統”定義

一個“安全系統”是“一個如果起始狀態為授權狀態，其后也不會進入未授權狀態的系統”，

常見的強制訪問控制模型

Bell-LaPadula模型：BLP 保密模型基于兩種規則來保障資料的機密度與敏感度：不上讀（NRU）主體不可讀安全級別高于它的資料；不下寫（NWD）主體不可寫安全級別低于它的資料，

BIBA完整性模型：BIBA模型基于兩種規則來保障資料的完整性的保密性：不下讀（NRU）屬性主體不能讀取安全級別低于它的資料；不上寫（NWD）屬性主體不能寫入安全級別高于它的資料，

資訊系統的風險評估

風險的概念

風險指在某一特定環境下，在某一特定時間段內，特定的威脅利用資產的一種或一組薄弱點，導致資產的丟失或損害的潛在可能性，即特定威脅事件發生的可能性與后果的結合，

風險越大則安全性越低，反之風險越小則安全性越高，風險就是資訊系統安全的一個測度，

風險評估的基本概念

風險評估是參照國家有關標準對資訊系統及由其處理、傳輸和存盤資訊的保密性、完整性和可用性等安全屬性進行分析和評價的程序，它要分析資產面臨的威脅及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響，

風險評估的要素

怎樣理解一個資訊系統是安全的

資訊系統安全是指資訊系統的硬體、軟體及其系統中的資料受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，資訊服務不中斷，

風險處置策略

降低風險：采取適當的控制措施來降低風險，包括技術手段和管理手段，如安裝防火墻，殺毒軟體，或是改善不規范的作業流程、制定業務連續性計劃，等等，

避免風險：通過消除可能導致風險發生的條件來避免風險的發生，如將公司內外網隔離以避免來自互聯網的攻擊，或是將機房安置在不可能造成水患的位置，等等，

轉移風險：將風險全部或者部分地轉移到其他責任方，例如購買商業保險，

接受風險：在實施了其他風險應對措施之后，對于殘留的風險，可以有意識地選擇接受，

資訊系統安全風險計算模型

風險計算模型是對通過風險分析計算風險值程序的抽象，它主要包括資產評估、威脅評估、脆弱性評估以及風險分析，

資訊系統等級保護

一法一決定

等級保護

網路安全等級保護是指對國家重要資訊、法人和其他組織及公民的專有資訊以及公開資訊和存盤、傳輸、處理這些資訊的資訊系統分等級實行安全保護，對資訊系統中使用的資訊安全產品實行按等級管理，對資訊系統中發生的資訊安全事件分等級回應、處置，

定級物件

也稱等級保護物件、網路安全等級保護作業的作用物件，包括網路基礎設施（廣電網、電信網、專用通信網路等）、云計算平臺系統、大資料平臺系統、物聯網、工業控制系統、采用移動互聯技術的系統等，

等級保護建設核心思想

資訊系統的安全設計應基于業務流程自身特點，建立“可信、可控、可管”的安全防護體系，使得系統能夠按照預期運行，免受資訊安全攻擊和破壞，

可信：即以可信認證為基礎，構建一個可信的業務系統執行環境，即用戶、平臺、程式都是可信的，確保用戶無法被冒充、病毒無法執行、入侵行為無法成功，可信的環境保證業務系統永遠都按照設計預期的方式執行，不會出現非預期的流程，從而保障了業務系統安全可信，

可控：即以訪問控制技術為核心，實作主體對客體的受控訪問，保證所有的訪問行為均在可控范圍之內進行，在防范內部攻擊的同時有效防止從外部發起的攻擊行為，對用戶訪問權限的控制可以確保系統中的用戶不會出現越權操作，永遠都按系統設計的策略進行資源訪問，保證了系統的資訊安全可控，

可管：即通過構建集中管控、最小權限管理與三權分立的管理平臺，為管理員創建一個作業平臺，使其可以進行技術平臺支撐下的安全策略管理，從而保證資訊系統安全可管，

等級保護防護框架

建設“一個中心”管理、“三重防護”體系，分別對計算環境、區域邊界、通信網路體系進行管理，實施多層隔離和保護，以防止某薄榷訓節影響整體安全，

重點對操作人員使用的終端、業務服務器等計算節點進行安全防護，控制操作人員行為，使其不能違規操作，從而把住攻擊發起的源頭，防止發生攻擊行為，

分析應用系統的流程，確定用戶（主體）和訪問的檔案（客體）的級別（標記），以此來制定訪問控制安全策略，由作業系統、安全網關等機制自動執行，從而支撐應用安全，

重要行業關鍵資訊系統劃分及定級建議，定級流程

確定定級物件、初步確定等級、專家評審、主觀部門審核、公安機關備案審查

等級保護管理組織

等級保護主要作業流程，備案的流程，備案地點

流程：定級、備案、建設整改、等級評測

備案：用戶初步定級、撰寫定級報告、專家定級評審、填寫備案表、提交備案材料、收到備案證明

云平臺定級

云平臺通過等保三級，一方面意味著其安全性達到國家標準的較高水準，另一方面則可以助力云平臺所承載業務的安全水平提升，有利于業務系統自身的等級保護安全建設，反之，若云平臺不通過等保三級，則無法承載三級或三級以上政務系統，

在云計算環境中，應將云服務方側的云計算平臺單獨作為定級物件定級，云租戶側的等級保護物件也應作為單獨的定級物件定級，對于大型云計算平臺，應將云計算基礎設施和有關輔助服務系統劃分為不同的定級物件，

挑戰：資料丟失篡改或泄露、網路攻擊、利用不安全介面的攻擊、云服務中斷、越權、濫用與誤操作、濫用云服務、利用共享技術漏洞進行的攻擊、過度依賴、資料殘留…

資訊系統的物理安全

物理安全的概念

物理安全又叫物體安全（Physical Security），是保護計算機設備、設施（網路及通信線路）免遭自然災害（包括地震、水災、火災、有害氣體等）、人為破壞及其他環境事故（如電磁污染等）破壞的措施和程序，

環境安全、線路安全、介質安全、設備安全、電源安全

電磁泄漏

指電子設備的雜散電磁能量通過導線或空間向外擴散，任何處于作業狀態的電磁資訊設備，如計算機、列印機、復印機、傳真機、手機電話等，都存在不同程度的電磁泄漏問題，這是無法擺脫的電磁現象，如果這些泄漏“夾帶”著設備所處理的資訊，均可構成了電磁資訊泄漏，

電磁泄漏的途徑及防護

以電磁波形式的輻射泄漏；電源線、控制線、信號線和地線造成的傳導泄漏；密碼破解

物理抑制技術：抑源法：從線路和元器件入手，從根本上阻止計算機系統向外輻射電磁波，消除產生較強電磁波的根源，
電磁屏蔽技術：電磁屏蔽技術包括設備的屏蔽和環境的屏蔽，它是從阻斷電磁資訊泄漏源發射的角度采取措施， 主要指涉密計算機或系統被放置在全封閉的電磁屏蔽室內，其主要材料分別是金屬板或金屬網等，
噪聲干擾技術：在信道上增加噪聲，從而降低竊收系統的信噪比，使其難以將泄露資訊還原，

電源調整器，不間斷電源（UPS）

持續供電型UPS：將外線交流電源整流成直流電對電池充電，外線電力中斷時，把電池直流電源變成交流電源，供電腦使用，
順向轉換型UPS：平時由外線電力帶動的發電機發電給電池充電，外線電力一旦中斷，電池馬上可取代外線電力，用變流器把電池的直流變成交流，供給電腦，
逆向轉換型UPS：大部分時間由電池來供電，能忍受外線電壓過高、過低或電源線的暫態反應等沖擊，而且對外線電力中斷要迅速做出反應，在最短的時間間隔內將電力供應給電路，
馬達發電機：發電機可使用外線電力、汽油或柴油引擎帶動發電機，可提供大容量電壓穩定電力，供應電腦系統、家庭或辦公室照明所需的電力，

電磁戰，防磁柜

電磁戰主要是指通信、雷達、光電、網路對抗戰法和電磁頻譜管控行動能力的戰斗，目的是干攏敵方的資訊聯系、阻斷資訊溝通，使敵方致盲、失去應有的戰斗力，

防磁柜具有防磁、防火、防盜等特點的防磁柜是磁碟、磁盤、CD光碟各種磁性產品的最理想裝具，防磁柜具有防止外來磁場對柜內磁性產品磁化作用，到空間磁場強度達到達6000GS（奧斯特）以上時，柜內裝具間磁場不大于5GS，

機房三度要求

溫度、濕度和潔凈度并稱為三度，為保證計算機網路系統的正常運行，對機房內的三度都有明確的要求，為使機房內的三度達到規定的要求，空調系統、去濕機、除塵器是必不可少的設備，重要的計算機系統安放處還應配備專用的空調系統，它比公用的空調系統在加濕、除塵等方面有更高的要求，

溫度：機房溫度一般應控制在18～22℃
濕度：相對濕度一般控制在40％～60％為宜
潔凈度：塵埃顆粒直徑<0.5um，含塵量<1萬顆/升

常見的消防設計

七氟丙烷氣體滅火系統、防火磁區、防火磁區、水噴淋滅火系統

三類供電方式

一類供電：需要建立不間斷供電系統， 兵工廠、大型鋼廠、火箭發射基地、醫院等

二類供電：需要建立帶備用的供電系統，

三類供電：按一般用戶供電考慮，

電源防護措施

電源：電源調整器、不間斷電源、電源相關操作

接地與防雷要求

接地與防雷是保護計算機網路系統和作業場所安全的重要安全措施，接地是指整個計算機系統中各處電位均以大地電位為零參考電位，接地可以為計算機系統的數字電路提供一個穩定的0V參考電位，從而可以保證設備和人身的安全，同時也是防止電磁資訊泄漏的有效手段，

要求良好接地的設備有：各種計算機外圍設備、多相位變壓器的中性線、電纜外套管、電子報警系統、隔離變壓器、電源和信號濾波器、通信設備等，

計算機房的接地系統要按計算機系統本身和場地的各種地線系統的設計要求進行具體實施，

資訊系統的可靠性

可靠性及其度量指標

可靠性：在規定的條件下、在給定的時間內，系統能實施應有功能的能力，

MTTF：對不可維修的產品的平均壽命是指從開始投入作業，至產品失效的時間平均值，也稱平均失效前時間，記以MTTF，

MTBF：對可維修產品而言，其平均壽命是指兩次故障間的時間平均值，稱平均故障間隔時間，習慣稱平均無故障作業時間MTBF，

可靠度R：產品在時刻 t 之前都正常作業（不失效）的概率，即產品在時刻 t 的生存概率，稱為無故障作業概率（可靠度函式），

失效率λ：

λ(t)的浴缸形曲線：λ(t)隨時間的變化而變化，呈浴缸形的曲線，

第一階段 早期失效期：器件在開始使用時失效率很高，但隨著產品作業時間的增加，失效率迅速降低，這一階段失效的原因大多是由于設計、原材料和制造程序中的缺陷造成的，為了縮短這一階段的時間，產品應在投入運行前進行試運轉，以便及早發現、修正和排除故障；或通過試驗進行篩選，剔除不合格品，

第二階段 偶然失效期，也稱隨機失效期：這一階段的特點是失效率較低，且較穩定，往往可近似看作常數，這一時期是產品的良好使用階段，由于在這一階段中，產品失效率近似為一常數，故設 λ(t)=λ（常數）由可靠度計算公式得
R ( t ) = e ? λ t R(t)=e^{-λt} R(t)=e?λt
這一式表明設備的可靠性與失效率成指數關系，

第三階段 耗損失效期：該階段的失效率隨時間的延長而急速增加，主要原因是器件的損 失己非常的嚴重，壽命快到盡頭了，可適當的維修或直接更換，

R(t)和λ的關系：

可靠性模型：串聯，并聯，表決，儲備

串聯系統：


并聯系統：


表決系統：n中取k的表決系統由n個部件組成，當n個部件中有k個或k個以上部件正常作業時，系統才能正常作業（1≤k≤n），當失效的部件數大于或等于n-k+1時，系統失效，簡記為k/n(G)系統，

冷貯備系統：系統由n個部件組成，在初始時刻，一個部件開始作業，其余n-1個部件作冷貯備，當作業部件失效時，存盤部件逐個地去替換，直到所有部件都失效時，系統才失效，所謂冷貯備是指貯備的部件不失效也不劣化，貯備期的長短對以后使用時的作業壽命沒有影響，假定貯備部件替換失效部件時，轉換開關K是完全可靠的，而且轉換是瞬時完成的，

可維修產品、不可維修產品的可靠性指標：可用度

可維修產品的可用性定義為，產品的可用性定義為系統保持正常運行時間的百分比，平均無故障時間（MTTF）、平均維修時間（MTTR）
M T B F M T B F + M T T R ? 100 % \frac{MTBF}{MTBF + MTTR} * 100\% MTBF+MTTRMTBF??100%

網路可靠性，計算機網路可靠性故障特征

網路可靠性：在人為或自然的破壞作用下，網路在特定環境和規定時間內，充分完成規定的通信功能的能力，環境、時間和充分完成功能是這一定義的三要素，當傳輸設備和交換設備發生故障時網路可以維持正常業務的程度，

計算機網路可靠性故障特征

故障定義：網路不能在用戶期望的時間范圍內將物質、資訊、能量按用戶需求完整、正確地在網路中傳輸的狀態或事件，

故障模式：斷路：資訊、能量不能按用戶需求在網路中傳輸，即“網路不通”
? 間歇斷路：即物質、資訊、能量間歇性地不能按用戶需求在網路中傳輸
? 延時：即物質、資訊、能量不能在用戶期望時間范圍內在網路中傳輸
? 丟失：即物質、資訊、能量不能完整地在網路中傳輸
? 錯誤：即物質、資訊、能量不能正確地在網路中傳輸

網路可靠性迫切需要解決的關鍵性問題

尚未形成網路綜合可用性體系結構
網路可用性評價指標混亂
對典型網路設備的可用性分析不足
網路業務性能在網路可用性中反映不充分
極少考慮網路協議的影響

硬體可靠性和軟體可靠性的不同

硬體可靠性：硬體在使用程序中有磨損、材料的老化、變質和使用環境等多種因素，

軟體可靠性：軟體使用期間無磨損，也不存在物質老化和變質，

軟體可靠性模型

失效時間間隔模型：這類模型最常用的方法是假定第i個失效到第i+1個失效間隔時間服從于某一分布，而分布的引數依賴于各間隔時間內程式中的殘留錯誤數，通過測驗所得到的失效間隔時間資料來估計模型的引數，由獲得的模型可以估算軟體的可靠度以及各失效間的平均作業時間等匯出量，

缺陷計數模型：這類模型關心的是在特定的時間間隔內軟體的錯誤數或失效數，并假定故障累計數服從某個己知的隨機程序，程序強度是時間的離散或連續函式，根據在給定的測驗時間間隔發現的錯誤數或失效數來估計故障強度、均值等引數，隨著錯誤的不斷排除，在單位時間內發現的失效數將不斷減少，

錯誤植入模型：這類模型的基本思路是通過將一組已知的錯誤人為地植入到一個固有錯誤總數尚不清楚的程式中，然后在程式的測驗中觀察并統計發現的植入錯誤數和程式總的錯誤數，通過計數的比值估計程式的固有錯誤總數，從而得到軟體可靠度及其有關指標，

基于輸入域的模型：這類模型的基本研究方法是根據程式的使用情況，找出程式可能輸入的概率分布，根據這種分布產生一個測驗用例的集合，由于得到輸入的分布難度較大，一般將輸入域劃分成等價類，每個等價類與程式的一條執行路徑相聯，在輸入域上隨機抽取測驗用例，執行相應的程式測驗，觀測故障，從而推斷出各項指標，

容錯技術，故障檢測和診斷技術，故障屏蔽技術，冗余技術

容錯技術：容忍故障，即故障一旦發生時能夠自動檢測出來并使系統能夠自動恢復正常運行，當出現某些指定的硬體故障或軟體錯誤時，系統仍能執行規定的一組程式，或者說程式不會因系統中的故障而中止或被修改；執行結果也不包含系統中故障所引起的差錯，

故障檢測：判斷系統是否存在故障的程序，故障檢測的作用是確認系統是否發生了故障，指示故障的狀態，即查找故障源和故障性質，一般來說，故障檢測只能找到錯誤點（錯誤單元），不能準確找到故障點，

故障診斷：檢測出系統存在故障后要進行故障的定位，找出故障所在的位置，

故障屏蔽技術：防止系統中的故障在該系統的資訊結構中產生差錯的各種措施的總稱，其實質是在故障效應達到模塊的輸出以前，利用冗余資源將故障影響掩蓋起來，達到容錯目的，

時間冗余技術：重復執行指令或者一段程式來消除故障的影響，以達到容錯的效果，它是用消耗時間來換取容錯的目的，
資訊容錯技術：通過在資料中附加冗余的資訊位來達到故障檢測和容錯的目的，
軟體冗余技術：在出現有限數目的軟體故障的情況下，系統仍可提供連續正確執行的內在能力，其目的是屏蔽軟體故障，恢復因出故障而影響的運行行程，

NVP是一種靜態冗余方法，其基本設計思想是用N個具有同一功能而采用不同編程方法的程式執行一項運算，其結果通過多數表決器輸出，這種容錯結構方法有效避免了由于軟體共性故障造成的系統出錯，提高了軟體的可靠性，

RB是一種動態冗余方法，在RB結構中有主程式塊和一些備用程式塊構，主程式塊和備用程式塊采用不同編程方法但具有相同的功能，每個主程式塊都可以用一個根據同一需求說明設計的備用程式塊替換，首先運行主程式塊，然后進行接受測驗，如果測驗通過則將結果輸出給后續程式；否則呼叫第一個備用塊，依次類推，在N個備用程式塊替換完后仍沒有通過測驗，則要進行故障處理，

三模冗余（硬體冗余）原理及優缺點

系統輸入通過 3個功能相同的模塊，產生的 3個結果送到多數表決器進行表決，即三中取二的原則，如果模塊中有一個出錯，而另外兩個模塊正常，則表決器的輸出正確，從而可以屏蔽一個故障，

如果3個模塊的輸出各不相同，則無法進行多數表決；若有兩個模塊出現一致的故障，則表決的結果會出現錯誤，

熱備份

M運行，S后備；M故障，S接管作M；原M修復，S歸還M，

RAID

廉價磁盤冗余陣列，以多個低成本磁盤構成磁盤子系統，提供比單一硬碟更完備的可靠性和高性能，

三個因素：

• 分條：將資料分散到不同物理硬碟上，使讀寫資料時可以同時訪問多塊硬碟，
• 資料鏡像：將同一資料寫在兩塊不同的硬碟上，從而產生該資料的兩個副本，
• 奇偶校驗：發現并糾正錯誤，

糾刪碼

是一種前向錯誤糾正技術，主要應用在網路傳輸中避免包的丟失，存盤系統利用它來提高存盤可靠性，相比多副本復制而言， 糾刪碼能夠以更小的資料冗余度獲得更高資料可靠性， 但編碼方式較復雜，需要大量計算 ，

是一種編碼技術，它可以將n份原始資料，增加m份資料，并能通過n+m份中的任意n份資料，還原為原始資料，即如果有任意小于等于m份的資料失效，仍然能通過剩下的資料還原出來，

提高資訊系統可靠性的途徑

提高可靠性有兩個方面：一是盡量使系統在規定時間內少發生故障和錯誤；二是發生了故障能迅速排除，

硬體主要考慮如何提高元器件和設備的可靠性；采用抗干擾措施，提高系統對環境的適應能力和冗余結構設計，

軟體主要考慮測驗技術、故障自診斷技術、自動檢錯、糾錯技術、系統恢復技術方面的設計，

計算機犯罪取證

計算機取證和取證科學

計算機取證：運用計算機辨析技術，對計算機犯罪行為進行分析以確認罪犯及計算機證據，并據此提起訴訟，也就是針對計算機入侵與犯罪，進行證據獲取、保存、分析和出示，計算機證據指在計算機系統運行程序中產生的以其記錄的內容來證明案件事實的電磁記錄物，

取證科學：為了偵破案件還原事實真相，搜集法庭證據的一系列科學方法，

活取證和死取證

活取證：抓取檔案metadata、創建時間線、命令歷史、分析日志檔案、hash摘要；使用未受感染的干凈程式執行取證；U盤、網路 存盤搜集到的資料，

死取證：關機后制作硬碟鏡像，分析鏡像，

數字取證中的資訊收集目標、資訊收集的主要側重點

收集目標詳細資訊：應用型別 硬體防護情況 應用權限 相關組件 加固情況 網路管理員提供的資訊
收集目標日志資訊：系統日志 Web日志 應用程式日志 防護軟體日志
排查可疑檔案：Webshell查殺 Windows系統后門查殺 Linux系統后門查殺

側重于以下幾點：收集目標詳細資訊、收集目標日志資訊、排查可疑檔案、收集腳印資訊

作業系統安全

作業系統面臨的安全威脅

黑客攻擊、蠕蟲、拒絕服務攻擊、計算機病毒、邏輯炸彈、非法訪問、機密資訊泄漏、資訊篡改、隱蔽通道、后門、木馬程式，

隱通道

按常規不會用于傳送資訊但卻被利用于泄漏資訊的資訊傳送渠道，

可以被行程利用來以違反系統安全策略的方式進行非法傳輸資訊的通信通道，

存盤隱通道：行程P創建一個檔案，命名為0bit或者1bit來代表要傳輸的位元，

時間隱通道：接收方通過獲得CPU的速度可以推斷出前者發送的是0還是1，

物聯網和虛擬化技術對作業系統帶來的安全挑戰

物聯網：直接沿用原有的安全機制，例如，Android Things 直接沿用了Android系統的一些基礎安全機制，并沒有深入分析物聯網設備實際的軟硬體特性與需求；缺乏對終端系統安全設計，現有的物聯網操作設計時普遍只關注其功能要求；沒有充分利用設備自身硬體架構安全特性，

虛擬化：，Qubes系統利用新一代的硬體技術和虛擬化技術實作物理宿主機的隔離能力，從系統層面對木馬病毒和惡意代碼進行了防范和遏制，一定程度上解決了系統安全領域的木桶問題，

作業系統的一般性安全機制

隔離機制：物理隔離、時間隔離、加密隔離、邏輯隔離，

訪問控制：確定誰能訪問系統，能訪問系統何種資源以及在何種程度上使用這些資源，訪問控制包括對系統各種資源的存取控制，三項基本任務：授權、確定訪問授權、試試訪問控制的權限，

資訊加密：加密機制用于安全傳輸、檔案安全，

審計機制：要求任何影響系統安全性的行為都被跟蹤和記錄在案，安全系統擁有把用戶標識與它被跟蹤和記錄的行為聯系起來的能力，

身份認證的常見方式和協議

基于你所知道的：知識、口令、密碼
基于你所擁有的：身份證、信用卡、鑰匙、智能卡、令牌等
基于你的個人特征：指紋，筆跡，聲音，手型，臉型，視網膜，虹膜

一次性口令認證：在登錄程序中加入不確定因素，使每次登錄程序中傳送的口令資訊都不相同，以提高登錄程序安全性，

Kerberos 認證：獲取票據許可票據、獲取訪問票據、獲取服務

Windows 的 EFS 機制，Windows 2003 Server 的身份認證機制

EFS 機制：EFS加密的用戶驗證程序是在登錄Windows時進行的，只要登錄到Windows，就可以打開任何一個被授權的加密檔案，

Windows 2003 Server的身份認證：
Kerberos V5與密碼或智能卡一起使用，用于互動式登陸的協議
用戶嘗試訪問Web服務器時使用的SSL/TLS協議
客戶端或服務器使用早期的NTLMＭ協議
摘要式身份驗證，使憑據作為MD5哈希或訊息摘要在網路上傳遞，
Passport身份驗證，用來提供單點登錄服務的用戶身份驗證服務

Symbian OS 的能力模型，資料鎖定

能力是指訪問敏感性系統資源的權限標志，

Symbian系統采用的是客戶機/服務器模型架構；Symbian作業系統中記憶體保護的基本單元是行程；內核負責維護所有行程的能力串列，

資料鎖定的目標其實是防止對檔案系統非法的寫操作，它將檔案系統中的代碼與資料分開，將非可信計算基行程局限在一個特定空間，不能訪問系統空間和其它行程空間，

Symbian OS 體系結構及安全機制，Symbian 內核安全性的三個要素

Symbian的平臺安全性主要基于以下目標：保護移動終端的完整性、保證用戶資料的隱秘性、控制對敏感性資源的訪問，

3個基本元素：可信計算單元、資料鎖定、能力模型

資源管理模式：作業組，域，域控制器

域就是共享用戶賬號、計算機賬號和安全策略的計算機集合，

域是一個安全邊界，資源在一個域中參與共享，

域中集中存盤用戶賬號的計算機就是域控制器，域控制器存盤著目錄資料并管理用戶域的互動關系，包括用戶登錄程序、身份驗證和目錄搜索等，一個域中可有一個或多個域控制器，各域控制器間可以相互復制活動目錄，

目錄服務，活動目錄，schema，目錄服務提供的好處

活動目錄就其本質來講，是一種采用LDAP（輕量級目錄訪問協議）的目錄服務，

活動目錄包括兩個方面：目錄、目錄相關的服務（目錄是存盤各種物件的容器）

目錄服務的功能：維護目錄資訊、資料復制、合理組織資訊結構、查詢機制、全域編目

目錄服務提供的好處：
? 方便管理：讓管理員可以集中控制和管理大型、復雜的網路
? 方便使用：讓用戶只需要登錄一次，就可以訪問很多的計算機
? 方便訪問：幫助用戶在不知道要訪問的共享資源位置的情況下訪問到它

Schema：架構用來定義AD中的物件（classes）和屬性（attributes），活動目錄的基礎架構（base Schema），包括了比如user、computer、OU（organizational Unit）等物件以及用戶電話號碼、objectsid等屬性，

活動目錄的邏輯結構和物理結構，為什么需要活動目錄的物理結構？

為什么需要活動目錄的物理結構：AD物理結構主要是規劃站點拓撲，幫助管理員確定在網路的什么地方放置域控制器，以及管理域控制器之間的復制流量和用戶登錄流量，

組策略

組策略是微軟Windows NT家族作業系統的一個特性，它可以控制用戶賬戶和計算機賬戶的作業環境，組策略提供了作業系統、應用程式和活動目錄中用戶設定的集中化管理和配置，

組策略很靈活，它包括如下的一些選項：基于注冊表的策略設定、安全設定、軟體安裝、腳本、計算機啟動與關閉、用戶登錄和注銷，檔案重定向等，

主要優勢：降低管理、支持與培訓成本；提升用戶作業效率；允許極大量的定制專案，其擴展性不會犧牲定制的靈活性，

組織單元OU是一種型別的目錄物件??容器，其作用主要用來委派對用戶、組及資源集合的管理權限，

站點

每個地理位置中的若干臺域控制器可以劃分為一個站點；站點內部優先同步活動目錄資料庫，同步后再和其他站點中的域控制器同步，

站點反映了活動目錄的物理結構：由于站點內的計算機有著良好的連接，因此用戶使用站點來使服務器和網路客戶的相關操作都在本地進行，而不需要跨越廣域網，

站點目的：優化復制流量，使用戶登陸到DC，使用一個可靠的、高速的鏈接，

Android 的本地類別庫，Dalvik 虛擬機

本地類別庫：一系列的C/C++庫，相當于Android系統在Linux核心系統上的功能擴展，為Application Framework層的許多功能提供支持，通過JNI供Java呼叫，

Dalvik虛擬機（DVM）是運行Dalvik 可執行檔案（*.dex）的虛擬計算機系統； 使用Java語言撰寫的Android程式，實際上是運行在DVM之上，而不是運行在Linux作業系統上，

Android系統在Linux內核之上實作了自己的系統架構層，一旦該層出現安全問題，即有可能導致Root權限的泄露，

Android 的 apk 檔案，AndroidManifest.xml 檔案

apk檔案----Android上的安裝檔案

apk 是Android 安裝包的擴展名，一個Android 安裝包包含了與該Android 應用程式相關的所有檔案； 一個工程只能打進一個.apk檔案；apk 檔案的本質是一個zip包，

AndroidManifest.xml是一個XML組態檔，它用于定義應用程式中需要的組件、組件的功能及必要條件等，

Android 手機所有者權限、root 權限、應用程式權限

Android手機所有者權限：自用戶購買 Android 手機后，用戶不需要輸入任何密碼，就具有安裝一般應用軟體、使用應用程式等的權限，

Android root 權限：該權限為 Android 系統的最高權限，可以對所有系統中檔案、資料進行任意操作，

Android 應用程式權限：應用程式對 Android 系統資源的訪問需要有相應的訪問權限，如：沒有獲取 Android root 權限的手機無法運行 Root Explorer，因為運行該應用程式需要 Android root 權限，

Android 的體系架構、組件模型

Linux內核及驅動：Binder作為Linux內核層的行程通信機制，為行程間的共謀攻擊提供便利，

本地類別庫及Java運行環境：Android系統在Linux內核之上實作了自己的系統架構層，一旦該層出現 安全問題，即有可能導致Root權限的泄露，

應用框架、應用：往往來自于安全漏洞

一般情況下Android應用程式由四種組件構造而成
? Activity：為用戶操作而展示的可視化用戶界面
? Service：服務是運行在后臺的功能模塊，如檔案下載、音樂播放程式等
? Broadcast Receiver：專注于接收廣播通知資訊，并做出對應處理的組件
? Content Provider：Android 平臺應用程式間資料共享的一種標準介面

四種組件的關系：

Android 的安全目標（objectives）及安全機制

安全目標：保護用戶資料、保護系統資源、提供應用程式隔離
安全機制：簽名機制、權限機制和沙盒機制

Android 的 Binder 行程間通信機制及存在的安全問題

Binder作為Linux內核層的行程通信機制，為行程間的共謀攻擊提供便利

Android sandbox 通過利用開源工具動態分析、靜態分析Android 的相關應用，發現應用的具體行為，從而進行判斷Android應用的危險程度，

Android 的安全理念（philosophy）和 Symbian 等有何不同？

Linux的安全理念是保護用戶資源不受其他資源的影響，

資料庫安全

例程

當用戶連接到資料庫并使用資料庫時，實際上是連接到該資料庫的例程，通過例程來連接、使用資料庫， 所以例程是用戶和資料庫之間的中間層，

資料庫指的是存盤資料的物理結構，總是實際存在的；
例程則是由記憶體結構和一系列行程組成，可以啟動和關閉，

行程結構，存盤結構，記憶體結構

記憶體結構：SGA和PGA，使用記憶體最多的是SGA，同時也是影響資料庫性能的最大引數，

行程結構：包括前臺行程、后臺行程，前臺行程是指服務行程和用戶行程，前臺行程是根據實際需要而運行的，并在需要結束后立刻結束；后臺行程是指在Oracle資料庫啟動后，自動啟動的幾個作業系統行程，

存盤結構：分為邏輯存盤結構、物理存盤結構，邏輯存盤結構是描述Oracle資料庫中如何組織和管理資料，與作業系統平臺無關；物理存盤結構是資料庫的外部存盤結構，它對應作業系統相關檔案，包括控制檔案、資料檔案、日志檔案等作業系統檔案，

Oracle 資料庫物理存盤結構

物理存盤結構是現實的資料存盤單元，對應于作業系統檔案，

Oracle資料庫就是由駐留在服務器的磁盤上的這些作業系統檔案所組成的，主要包括資料檔案、重做日志檔案、控制檔案，

資料檔案：是物理存盤Oracle資料庫資料的檔案，
重做日志檔案：記錄所有對資料庫資料的修改，以備恢復資料時使用，
控制檔案：是一個較小的二進制檔案，用于描述資料庫結構，
引數檔案：也被稱為初始化引數檔案，用于存盤SGA、可選的Oracle特性和后臺行程的配置引數，
口令檔案：是個二進制檔案，驗證特權用戶，

Oracle 資料庫邏輯存盤結構，表空間

主要描述Oracle資料庫的內部存盤結構，從技術概念上描述Oracle資料庫中如何組織、管理資料，可以分為4部分：表空間、段、區、塊，

表空間是資料庫的邏輯劃分的最大單元，一個Oracle資料庫至少有一個表空間，即system表空間，表空間的設計理念為Oracle的高性能做出了不可磨滅的貢獻，其很多優化都是基于該理念而實作的，

Oracle 資料庫的記憶體結構

系統全域區（SGA）：在啟動例程時分配，是Oracle例程的基礎組件，SGA是ORACLE系統為例程分配的一組共享緩沖存盤區，用于存放資料庫資料和控制資訊，以實作對資料庫資料的管理和操作， SGA是不同用戶行程與服務行程進行通信的中心，

程式全域區（PGA）：當啟動服務器行程時分配，為每個連接到資料庫的用戶行程預留記憶體；當建立服務器行程時分配；當終止服務器行程時釋放；只能由一個行程使用，

Oracle 客戶端通過例程和后臺資料庫的互動方式

建立用戶連接、建立會話、會話程序，

當前的資料庫安全防御體系，傳統安全方案的缺陷

網路防火墻產品不對資料庫通信協議進行控制，
IPS/IDS/網路審計并不能防范那些看起來合法的資料訪問，
WAF系統僅針對HTTP協議進行檢測控制，繞過WAF有150多種方法，
核心資料庫防護措施被忽略，大多數系統前端層面的安全保護措施并無法覆寫所有的安全攻擊和竊取——必須引入資料層面的保護作為最后一道安全防線，

Oracle 的安全體系結構

資料的備份與恢復：為保證資料的完整性和一致性，防止因故障而導致的資料破壞和災難而采取的防范措施；

用戶管理：用戶身份認證、角色與權限等；

資源管理：通過系統概要檔案限制連接會話等，