系统评估准则与安全策略.pptx

1、1第第7章章 系统评估准则与安全策略系统评估准则与安全策略 27.1 系统评估准则系统评估准则7.2 信息安全测评认证准则信息安全测评认证准则7.3 安全管理的实施安全管理的实施7.4 制定安全策略制定安全策略7.5 系统备份和紧急恢复方法系统备份和紧急恢复方法7.6 审计与评估审计与评估7.7 容灾技术及其典型应用容灾技术及其典型应用37.1 系统评估准则系统评估准则7.1.1 可信计算机系统评估准则7.1.2 欧洲信息技术安全评估准则7.1.3 加拿大可信计算机产品评估准则7.1.4 美国联邦信息技术安全准则7.1.5 国际通用准则7.1.6 标准的比较与评价47.1 系统评估准则系统评估

2、准则表表7.1 7.1 安全评估准则安全评估准则时间时间 国国 别别 名名 称称 19851985年年1212月月19901990年年5 5月月19901990年年5 5月月19911991年年2 2月月19961996年年1 1月月19991999年年7 7月月 美国美国法德荷英四国法德荷英四国加拿大加拿大美国美国北美及联盟北美及联盟国际标准化组织国际标准化组织ISO ISO 可信计算机系统评估准则（可信计算机系统评估准则（TCSECTCSEC）欧洲信息技术安全评估准则（欧洲信息技术安全评估准则（ITSECITSEC）加拿大可信计算机产品评估准则加拿大可信计算机产品评估准则（CTCPECCT

3、CPEC）美国联邦信息技术安全准则（美国联邦信息技术安全准则（FCFC）通用信息技术安全评估准则（通用信息技术安全评估准则（CCCC）批准批准CCCC成为国际标准成为国际标准ISO/IEC15408-ISO/IEC15408-1999 1999 57.1 系统评估准则系统评估准则7.1.1 可信计算机系统评估准则表表7.2 TCSEC 7.2 TCSEC 安全等级和功能说明安全等级和功能说明安全等级安全等级名名 称称功功 能能D D低级保护低级保护系统已经被评估，但不满足系统已经被评估，但不满足A A到到C C级要求的等级，最低级安全产品级要求的等级，最低级安全产品 C1C1自主安全保护自主安

4、全保护该级产品提供一些必须要知道的保护，用户和数据分离该级产品提供一些必须要知道的保护，用户和数据分离 C2C2受控存取保护受控存取保护该级产品提供了比该级产品提供了比C1C1级更细的访问控制，可把注册过程、审计跟踪和资级更细的访问控制，可把注册过程、审计跟踪和资源分配分开源分配分开 B1B1标记性安全保护标记性安全保护除了需要除了需要C2C2级的特点外，该级还要求数据标号、目标的强制性访问控制级的特点外，该级还要求数据标号、目标的强制性访问控制以及正规或非正规的安全模型规范以及正规或非正规的安全模型规范 B2B2结构性保护结构性保护该级保护建立在该级保护建立在B1B1级上，具有安全策略的形式

5、描述，更多的自由选择和级上，具有安全策略的形式描述，更多的自由选择和强制性访问控制措施，验证机制强，并含有隐蔽通道分析。通常，强制性访问控制措施，验证机制强，并含有隐蔽通道分析。通常，B2B2级级相对可以防止非法访问相对可以防止非法访问 B3B3安全域安全域该级覆盖了该级覆盖了B2B2级的安全要求，并增加了下述内容：传递所有用户行为，级的安全要求，并增加了下述内容：传递所有用户行为，系统防窜改，安全特点完全是健全的和合理的。安全信息之中不含有任系统防窜改，安全特点完全是健全的和合理的。安全信息之中不含有任何附加代码或信息。系统必须要提供管理支持、审计、备份和恢复方法。何附加代码或信息。系统必须

6、要提供管理支持、审计、备份和恢复方法。通常，通常，B3B3级完全能够防止非法访问级完全能够防止非法访问 A1A1验证设计验证设计A1A1级与级与B3B3级的功能完全相同，但级的功能完全相同，但A1A1级的安全特点经过了更正式的分析和级的安全特点经过了更正式的分析和验证。通常，验证。通常，A1A1级只适用于军事计算机系统级只适用于军事计算机系统 超超A1 A1 已经超出当前技术发展，有待进一步描述已经超出当前技术发展，有待进一步描述 67.1.2 7.1.2 欧洲信息技术安全评估准则欧洲信息技术安全评估准则表表7.3 ITSEC7.3 ITSEC和和TCSECTCSEC的关系的关系7.1 系统评

7、估准则系统评估准则 ITSEC ITSEC准则准则 TCSECTCSEC准则准则 含含 义义 功能级功能级 可信赖等级可信赖等级 分类等级分类等级 E0E0D D非安全保护非安全保护F1F1E1E1C1C1自主安全保护自主安全保护F2F2E2E2C2C2可控安全保护可控安全保护F3F3E3E3B1B1标记强制安全保护标记强制安全保护F4F4E4E4B2B2结构强制保护级结构强制保护级F5F5E4E4B3B3强制安全区域保护强制安全区域保护F6F6E6E6A1A1验证设计安全保护验证设计安全保护超超A1A1超出当前技术发展超出当前技术发展77.1.3 加拿大可信计算机产品评估准则 表表7.4 C

8、TCPEC7.4 CTCPEC功能要求和规格等级功能要求和规格等级7.1 系统评估准则系统评估准则功 能 要 求 等 级可计算性审计WA-0WA-5识别和验证WI-0WI-3可信路径WT-0WT-3可用性容量AC-0AC-3容错AF-0AF-3坚固性AR-0AR-3恢复AY-0AY-3机密性隐蔽信道CC-0CC-3选择机密性CD-0CD-4强制机密性CM-0CM-4目标重用CR-0CR-1完整性域完整性IB-0IB-2选择完整性ID-0ID-4强制完整性IM-0IM-4物理完整性IP-0IP-4重新运行IR-0IR-2功能分离IS-0IS-3自测试IT-0IT-38 表表7.5 7.5 四种准

9、则安全等级的近似比较四种准则安全等级的近似比较7.1.4 美国联邦信息技术安全准则TCSECTCSECFCFCCTCPECCTCPECITSECITSECD DE0E0C1C1E1E1C2C2T-1T-1T-1T-1E2E2B1B1T-2T-2T-2T-2E3E3T-3 T-3 T-3 T-3 T-4T-4B2B2T-5T-5T-4T-4E4E4B3B3T-6T-6T-5T-5E5E5A1A1T-7T-7T-6T-6E6E6T-7 T-7 7.1 系统评估准则系统评估准则97.1.5 国际通用准则“信息技术安全性通用标准信息技术安全性通用标准”（CCCC）是事实上的国际安全评估标准。）是事实上

10、的国际安全评估标准。19991999年，年，CC CC 被国际标准化组织（被国际标准化组织（ISOISO）批准成为国际标准）批准成为国际标准ISO/IEC15408-ISO/IEC15408-19991999并正式颁布发行。并正式颁布发行。表表7.6 7.6 通用准则的功能类族通用准则的功能类族功能类名称功能类名称族成员数量族成员数量通信通信2 2识别和验证识别和验证1010保密性保密性4 4可信安全功能的保护可信安全功能的保护1414资源分配资源分配3 3安全审计安全审计1010TOETOE入口入口9 9可信路径可信路径3 3用户数据保护用户数据保护13137.1 系统评估准则系统评估准则1

11、07.1.5 国际通用准则表表7.7 7.7 通用准则的可信赖性类族通用准则的可信赖性类族7.1 系统评估准则系统评估准则可信赖性类名称可信赖性类名称族成员数量族成员数量配置管理配置管理3 3传递和操作传递和操作2 2开发开发1010引导文件引导文件2 2寿命周期支持寿命周期支持4 4测试测试4 4脆弱性测验脆弱性测验4 4117.1.6 标准的比较与评价最初的最初的TCSECTCSEC是针对孤立计算机系统提出的，特别是小型机和是针对孤立计算机系统提出的，特别是小型机和大型机系统。该标准仅适用于军队和政府，不适用于企业。大型机系统。该标准仅适用于军队和政府，不适用于企业。TCSECTCSEC与

12、与ITSECITSEC均是不涉及开放系统的安全标准，仅针对产品均是不涉及开放系统的安全标准，仅针对产品的安全保证要求来划分等级并进行评测，且均为静态模型，的安全保证要求来划分等级并进行评测，且均为静态模型，仅能反映静态安全状况。仅能反映静态安全状况。CTCPECCTCPEC虽在二者的基础上有一定发展，但也未能突破上述的虽在二者的基础上有一定发展，但也未能突破上述的局限性。局限性。FC FC 对对TCSECTCSEC作了补充和修改，对保护框架（作了补充和修改，对保护框架（PPPP）和安全目标）和安全目标（ST)ST)作了定义，明确了由用户提供出其系统安全保护要求作了定义，明确了由用户提供出其系统

13、安全保护要求的详细框架，由产品厂商定义产品的安全功能、安全目标等。的详细框架，由产品厂商定义产品的安全功能、安全目标等。CCCC定义了作为评估信息技术产品和系统安全性的基础准则，定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构。提出了目前国际上公认的表述信息技术安全性的结构。CCCC与早期的评估标准相比，其优势体现在其结构的开放性、与早期的评估标准相比，其优势体现在其结构的开放性、表达方式的通用性以及结构和表达方式的内在完备性和实用表达方式的通用性以及结构和表达方式的内在完备性和实用性三个方面。性三个方面。CCCC的几项明显的缺点。的几项明显的缺

14、点。7.1 系统评估准则系统评估准则127.2 信息安全测评认证准则信息安全测评认证准则7.2.1 信息安全测评认证制度7.2.2 安全产品控制7.2.3 测评认证的标准与规范7.2.4 中国测评认证标准与工作体系137.2.1 信息安全测评认证制度测评认证制度的组成测评认证制度的组成测评测评检验产品是否符合所定义的评估标准。检验产品是否符合所定义的评估标准。认证认证检验评估过程是否正确，并保证评估检验评估过程是否正确，并保证评估结果的正确性和权威性，且公布于众。结果的正确性和权威性，且公布于众。测评认证制度的重要性测评认证制度的重要性 根据信息安全测评认证制度，产品的使用者就根据信息安全测评

15、认证制度，产品的使用者就能在众多销售环境下放心地构筑、运用信息系能在众多销售环境下放心地构筑、运用信息系统，开发者也能在可以信赖的指南下开发产品。统，开发者也能在可以信赖的指南下开发产品。信息安全测评认证制度对维护国家的信息安全信息安全测评认证制度对维护国家的信息安全起着极其重要的作用，对信息安全产业起步较起着极其重要的作用，对信息安全产业起步较晚且不够完善的中国而言尤为重要。晚且不够完善的中国而言尤为重要。7.2信息安全测评认证准则信息安全测评认证准则147.2.2 安全产品控制在市场准入上，发达国家为严格进出口控制。在市场准入上，发达国家为严格进出口控制。对国内使用的产品，实行强制性认证。

16、对国内使用的产品，实行强制性认证。对信息技术和信息安全技术中的核心技术，由政府对信息技术和信息安全技术中的核心技术，由政府直接控制。直接控制。形成政府的行政管理与技术支持相结合、相依赖的形成政府的行政管理与技术支持相结合、相依赖的管理体制。管理体制。7.2.3 测评认证的标准与规范信息技术安全性通用标准信息技术安全性通用标准CCCC，使大部分的基础性安，使大部分的基础性安全机制，在任何一个地方通过了全机制，在任何一个地方通过了CCCC准则评价并得到准则评价并得到许可进入国际市场时，不需要再作评价，大幅度节许可进入国际市场时，不需要再作评价，大幅度节省评价支出并迅速推向市场。省评价支出并迅速推向

17、市场。各国通常是在充分借鉴国际标准的前提下，制订自各国通常是在充分借鉴国际标准的前提下，制订自己的测评认证标准。己的测评认证标准。7.2信息安全测评认证准则信息安全测评认证准则157.2.4 中国测评认证标准与工作体系开展信息安全测评认证的紧迫性开展信息安全测评认证的紧迫性 评测认证标准评测认证标准 评测工作体系评测工作体系信息安全测评认证体系，由信息安全测评认证体系，由3 3个层次的组织和功能构成个层次的组织和功能构成国家信息安全测评认证管理委员会国家信息安全测评认证管理委员会 国家信息安全测评认证中心国家信息安全测评认证中心 若干个产品或信息系统的测评分支机构若干个产品或信息系统的测评分支

18、机构(实验室，分中心等实验室，分中心等)测评认证中心测评认证中心 中国国家信息安全测评认证中心中国国家信息安全测评认证中心(CNISTEC)(CNISTEC)对外开展对外开展4 4种认证种认证业务业务 产品形式认证产品形式认证 产品认证产品认证 信息系统安全认证信息系统安全认证 信息安全服务认证信息安全服务认证 7.2信息安全测评认证准则信息安全测评认证准则167.3 安全管理的实施安全管理的实施7.3.1 安全管理的类型7.3.2 安全管理的原则7.3.3 安全管理的基础177.3.1 安全管理的类型系统安全管理系统安全管理安全服务管理安全服务管理安全机制管理安全机制管理OSIOSI管理的安

19、全管理的安全7.3.2 安全管理的原则安全管理平台的设计原则安全管理平台的设计原则标准化设计原则标准化设计原则 逐步扩充的原则逐步扩充的原则 集中与分布的原则集中与分布的原则 安全管理平台的管理原则安全管理平台的管理原则多人负责原则多人负责原则 系统管理岗位任期有限原则系统管理岗位任期有限原则 职责有限、分离原则职责有限、分离原则 7.3 安全管理的实施安全管理的实施187.3.3 安全管理的基础根据安全等级，确定安全管理的范围，分别根据安全等级，确定安全管理的范围，分别进行安全管理进行安全管理制定安全制度和操作规程制定安全制度和操作规程重视系统维护的安全管理重视系统维护的安全管理 制定紧急恢

20、复措施制定紧急恢复措施 加强人员管理，建立有利于保护系统安全的加强人员管理，建立有利于保护系统安全的雇佣和解聘制度雇佣和解聘制度 网络用户安全管理网络用户安全管理 7.3 安全管理的实施安全管理的实施197.4 制定安全策略制定安全策略7.4.1 制定安全策略的原则7.4.2 制定安全策略的目的和内容7.4.3 制定安全策略的层次 207.4.1 制定安全策略的原则7.4.2 制定安全策略的目的和内容目的：目的：保证网络安全保护工作的整体、计划性及规范性，保证各项措施和管理手段的保证网络安全保护工作的整体、计划性及规范性，保证各项措施和管理手段的正确实施，使网络系统信息数据的机密性、完整性及可

21、使用性受到全面、可靠正确实施，使网络系统信息数据的机密性、完整性及可使用性受到全面、可靠的保护的保护内容：内容：进行安全需求分析进行安全需求分析 对网络系统资源进行评估对网络系统资源进行评估对可能存在的风险进行分析对可能存在的风险进行分析确定内部信息对外开放的种类及发布方式和访问方式确定内部信息对外开放的种类及发布方式和访问方式明确网络系统管理人员的责任和义务明确网络系统管理人员的责任和义务 确定针对潜在风险采取的安全保护措施的主要构成方面，制定安全存取、确定针对潜在风险采取的安全保护措施的主要构成方面，制定安全存取、访问规则访问规则 7.4 制定安全策略制定安全策略均衡均衡性性 整体整体性性

22、一致一致性性 易操易操作性作性可靠性可靠性 层次性层次性 可评价性可评价性217.4.3 制定安全策略的层次按照网络按照网络OSIOSI的的7 7层模型，网络安全应贯穿在整个模层模型，网络安全应贯穿在整个模型的各个层次。型的各个层次。根据内部网根据内部网(如如Intranet)Intranet)的层次结构，网络安全的的层次结构，网络安全的层次分为网络层和应用层两个方面：层次分为网络层和应用层两个方面：网络层网络层该层安全策略的目的，是在可用性的前提下实现网络该层安全策略的目的，是在可用性的前提下实现网络服务安全性。服务安全性。应用层应用层应用层的安全措施主要有以下几方面：应用层的安全措施主要有

23、以下几方面：建立全网统一、有效的身份认证机制。建立全网统一、有效的身份认证机制。单一注册。单一注册。信息传输加密。信息传输加密。确定是否采用代理服务（确定是否采用代理服务（Proxy ServiceProxy Service）及选择配置方式、）及选择配置方式、维护方式，根据安全防范的重点对象，灵活运用代理服务器维护方式，根据安全防范的重点对象，灵活运用代理服务器与防火墙的不同配置，以达到最大限度同时满足开放性与安与防火墙的不同配置，以达到最大限度同时满足开放性与安全性的要求。全性的要求。建立审计和统计分析机制。建立审计和统计分析机制。7.4 制定安全策略制定安全策略227.5 系统备份和紧急恢

24、复方法系统备份和紧急恢复方法7.5.1 系统备份方法7.5.2 紧急恢复237.5.1 系统备份方法系统备份系统备份系系统统备备份份主主要要的的对对象象包包括括：数数据据备备份份，关关键键设设备备及及部部件件，电源备份，外部设备及空调设备备份，通信线路备份等。电源备份，外部设备及空调设备备份，通信线路备份等。系系统统备备份份对对象象中中的的关关键键设设备备、部部件件以以及及电电源源的的备备份份：设设备备备份方式、主机备份方式、高可靠电源备份、网卡备份。备份方式、主机备份方式、高可靠电源备份、网卡备份。数据备份数据备份数数数数据据据据备备备备份份份份 是是指指将将计计算算机机系系统统中中硬硬盘盘

25、上上的的一一部部分分数数据据通通过过适适当当的的形形式式转转录录到到可可脱脱机机保保存存的的介介质质(如如磁磁带带，软软盘盘和和光光盘盘)上，以便需要时再输入计算机系统使用上，以便需要时再输入计算机系统使用。热备份、冷备份热备份、冷备份在线的备份称为在线的备份称为 热备份热备份热备份热备份脱机数据备份称为脱机数据备份称为 冷备份冷备份冷备份冷备份 7.5 系统备份和紧急恢复方法系统备份和紧急恢复方法247.5.1 系统备份方法数据备份数据备份数据备份的介质数据备份的介质软磁盘软磁盘 光盘光盘 磁带磁带 硬盘硬盘 基本备份方法基本备份方法日常业务数据备份日常业务数据备份 数据库数据备份数据库数据

26、备份 永久性数据备份永久性数据备份 应用项目基本备份应用项目基本备份 远程备份远程备份 7.5 系统备份和紧急恢复方法系统备份和紧急恢复方法257.5.2 紧急恢复紧急恢复紧急恢复紧急恢复紧急恢复 又称灾难恢复，是指灾难产生后迅速采取措施恢又称灾难恢复，是指灾难产生后迅速采取措施恢复网络系统的正常运行。复网络系统的正常运行。紧急事件的主要内容紧急事件的主要内容制定紧急恢复计划制定紧急恢复计划制定紧急恢复计划的大的原则和至少要考虑的因素：制定紧急恢复计划的大的原则和至少要考虑的因素：明确规定事先的预备措施和事后的应急方案明确规定事先的预备措施和事后的应急方案 紧急反应紧急反应 根据网络的实际情况

27、明确紧急反应的等级根据网络的实际情况明确紧急反应的等级紧急恢复计划的制定应简洁明了紧急恢复计划的制定应简洁明了 7.5 系统备份和紧急恢复方法系统备份和紧急恢复方法267.6 审计与评估审计与评估7.6.1 安全审计7.6.2 网络安全评估277.6.1 安全审计安全审计的目的：有针对性地对网络安全审计的目的：有针对性地对网络运行的状况和过程进行记录、跟踪和运行的状况和过程进行记录、跟踪和审查，以从中发现安全问题。审查，以从中发现安全问题。安全审计的主要功能：安全审计的主要功能：记录、跟踪系统运行状况。记录、跟踪系统运行状况。检测各种安全事故。检测各种安全事故。保存、维护和管理审计日志。保存、

28、维护和管理审计日志。7.6 审计与评估审计与评估287.6.2 网络安全评估网络安全评估网络安全评估网络安全评估网络安全评估 是运用系统的方法，根据各种网络安全保护是运用系统的方法，根据各种网络安全保护措施、管理机制以及结合所产生的客观效果，对网络系统作出是措施、管理机制以及结合所产生的客观效果，对网络系统作出是否安全的结论。否安全的结论。网络安全扫描：基于服务器的安全扫描器、基于网络的安全网络安全扫描：基于服务器的安全扫描器、基于网络的安全扫描器扫描器 评估的主要内容评估的主要内容 环境控制环境控制 应用安全应用安全 管理机制管理机制 远程通信安全远程通信安全审计机制审计机制 评估实例评估实

29、例 某行业对计算机某行业对计算机信息系统信息系统(包括网络包括网络)的安全竞选检查评估的安全竞选检查评估的评分标准，见表的评分标准，见表7.9 7.9 安全检查评估标准。安全检查评估标准。7.6 审计与评估审计与评估297.7 容灾技术及其典型应用容灾技术及其典型应用7.7.1 容灾理论和技术的发展过程7.7.2 容灾在国内外的规范现状7.7.3 容灾的基本理论7.7.4 容灾的关键技术7.7.5 容灾系统7.7.6 远程应用级容灾系统模型7.7.7 企业如何选择容灾解决方案7.7.8 银行各容灾级别及案例分析 307.7.1 容灾理论和技术的发展过程容灾这个概念出现于容灾这个概念出现于909

30、0年代初期提出的。年代初期提出的。国内对于容灾技术领域的研究，最早的是在国内对于容灾技术领域的研究，最早的是在9090年代中后期（在年代中后期（在19971997年）。年）。7.7.2 容灾在国内外的规范现状国外政府对数据备份有详细规定；我国香国外政府对数据备份有详细规定；我国香港特别行政区也针对不同行业的特点，对容灾、港特别行政区也针对不同行业的特点，对容灾、数据备份有严格的规定；但在国内，目前对这数据备份有严格的规定；但在国内，目前对这部分的要求还较少。部分的要求还较少。7.7 容灾技术及其典型应用容灾技术及其典型应用317.7.3 容灾的基本理论容灾的相关定义：容灾的相关定义：容灾容灾容

31、灾容灾 是在灾难发生时，能够保证数据尽量少的丢失，系是在灾难发生时，能够保证数据尽量少的丢失，系统能够不间断地运行，或者尽量快地恢复正常运行。统能够不间断地运行，或者尽量快地恢复正常运行。容灾备份容灾备份容灾备份容灾备份 是通过在异地建立和维护一个备份存储系统，是通过在异地建立和维护一个备份存储系统，利用地理上的分离来保证系统和数据对灾难性事件的抵利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。御能力。根据容灾系统对灾难的抵抗程度，可分为数据容灾和应根据容灾系统对灾难的抵抗程度，可分为数据容灾和应用容灾用容灾:数据容灾是指建立一个异地的数据系统数据容灾是指建立一个异地的数据系统 应用容

32、灾比数据容灾层次更高，即在异地建立一套应用容灾比数据容灾层次更高，即在异地建立一套完整的、与本地数据系统相当的备份应用系统完整的、与本地数据系统相当的备份应用系统 容灾技术与传统数据系统安全技术比较容灾技术与传统数据系统安全技术比较传统的数据系统的安全体系主要有数据备份系统和高可传统的数据系统的安全体系主要有数据备份系统和高可用系统两个方面。用系统两个方面。容灾不仅是一项技术，而应该把它理解为一项系统工程。容灾不仅是一项技术，而应该把它理解为一项系统工程。7.7 容灾技术及其典型应用容灾技术及其典型应用327.7.3 容灾的基本理论容灾的分类容灾的分类表表7.10 7.10 容灾的分类容灾的分

33、类7.7 容灾技术及其典型应用容灾技术及其典型应用级级 别别内内 容容说说 明明第一级第一级本地数据容灾本地数据容灾只有很低的灾难恢复能力，能应付计算机软硬件方面的系统灾难，在灾难发生后无只有很低的灾难恢复能力，能应付计算机软硬件方面的系统灾难，在灾难发生后无法保证业务连续性，且需要较长恢复时间。法保证业务连续性，且需要较长恢复时间。第二级第二级本地应用容灾本地应用容灾能应付计算机软硬件方面的系统灾难，但系统能迅速切换，保持业务的连续性。能应付计算机软硬件方面的系统灾难，但系统能迅速切换，保持业务的连续性。第三级第三级异地数据冷备份异地数据冷备份在本地将关键数据备份，然后送异地保存。灾难发生后

34、，按预定数据恢复程序恢复在本地将关键数据备份，然后送异地保存。灾难发生后，按预定数据恢复程序恢复系统和数据。特点：成本低，易于配置，是常用的一种方法。问题是：当数据量增系统和数据。特点：成本低，易于配置，是常用的一种方法。问题是：当数据量增大时，存储介质难以管理。灾难发生时，大量数据难以及时恢复，对业务影响仍然大时，存储介质难以管理。灾难发生时，大量数据难以及时恢复，对业务影响仍然很大，损失的数据量也较大。很大，损失的数据量也较大。第四级第四级异地异步数据容灾异地异步数据容灾在异地建立一个数据备份站点，通过网络以异步方式进行数据备份。备份站点只备在异地建立一个数据备份站点，通过网络以异步方式进

35、行数据备份。备份站点只备份数据，不承担业务。在对灾难的容忍程度同第份数据，不承担业务。在对灾难的容忍程度同第3级。但他采用网络进行数据复制级。但他采用网络进行数据复制度方式，因此两个站点的数据同步程度要比度方式，因此两个站点的数据同步程度要比3高，丢失数据也更少。高，丢失数据也更少。第五级第五级异地同步数据容灾异地同步数据容灾除了是同步方式以外，基本和上面相同，出现灾难时，数据丢失量比上面小，基本除了是同步方式以外，基本和上面相同，出现灾难时，数据丢失量比上面小，基本可以做得零数据丢失，但存在系统恢复较慢地缺点。投入成本较大，注：同步数据可以做得零数据丢失，但存在系统恢复较慢地缺点。投入成本较

36、大，注：同步数据容灾有距离限制，超过一定范围（容灾有距离限制，超过一定范围（10km100km）在目前情况下性能大打折扣，）在目前情况下性能大打折扣，和异步差别不大。它和第和异步差别不大。它和第4级存在地共同问题是：没有备用应用系统，因此无法保级存在地共同问题是：没有备用应用系统，因此无法保证业务的连续性。证业务的连续性。第六级第六级异地异步应用容灾异地异步应用容灾在异地建立一个与生产系统完全相同的备用系统，他们之间采用异步的方式进行数在异地建立一个与生产系统完全相同的备用系统，他们之间采用异步的方式进行数据同步，当生产中心发生灾难时，备用系统接替其工作。该级别的容灾，既可以保据同步，当生产中

37、心发生灾难时，备用系统接替其工作。该级别的容灾，既可以保证数据的极少量丢失，又可及时切换，从而保证业务的连续性。现在一般采用广域证数据的极少量丢失，又可及时切换，从而保证业务的连续性。现在一般采用广域高可靠集群方式实现。高可靠集群方式实现。第七级第七级异地同步应用容灾异地同步应用容灾在异地建立一个与生产系统完全相同的备用系统，他们之间采用同步的方式进行数在异地建立一个与生产系统完全相同的备用系统，他们之间采用同步的方式进行数据复制。当生产中心发生灾难时，备用系统接替其工作。该级别的容灾，在发生灾据复制。当生产中心发生灾难时，备用系统接替其工作。该级别的容灾，在发生灾难时，可以基本保证数据零丢失

38、和业务的连续性。难时，可以基本保证数据零丢失和业务的连续性。容灾的等级标准容灾的等级标准337.7.4 容灾的关键技术数据存储管理数据存储管理 数据存储管理数据存储管理数据存储管理数据存储管理 指对于计算机系统数据存储相关的一系列指对于计算机系统数据存储相关的一系列操作（如备份、归档、恢复等）进行的统一管理。操作（如备份、归档、恢复等）进行的统一管理。数据存储管理数据存储管理包括数据备份、数据恢复、备份索引、备份包括数据备份、数据恢复、备份索引、备份设备及媒体和灾难恢复等。设备及媒体和灾难恢复等。数据复制数据复制 数据复制数据复制数据复制数据复制 即将一个地点的数据拷贝到另一个不同的物理即将一

39、个地点的数据拷贝到另一个不同的物理点上的过程。点上的过程。数据复制分为同步数据复制和异步数据复制。数据复制分为同步数据复制和异步数据复制。实现数据异地复制，有软件和硬件方式两种途径。实现数据异地复制，有软件和硬件方式两种途径。灾难检测灾难检测对于灾难的发现方式，一般是通过心跳技术和检查点技术。对于灾难的发现方式，一般是通过心跳技术和检查点技术。系统迁移系统迁移7.7 容灾技术及其典型应用容灾技术及其典型应用347.7.5 容灾系统衡量容灾系统的技术评价指标：衡量容灾系统的技术评价指标：公认的标准有公认的标准有RPO/RTORPO/RTO。容灾系统的系统结构容灾系统的系统结构 7.7 容灾技术及

40、其典型应用容灾技术及其典型应用本本地地生生产产系系统统本本地地备备用用生生产产系系统统生产数据中心生产数据中心本地数据备份中心本地数据备份中心异异地地应应用用系系统统异异地地数数据据中心中心系统迁移灾难检测数据备份数据同步本本地地高高可可用用系系统统本地容灾系统本地容灾系统异地异地容灾系统容灾系统35数据源数据源容灾主系统容灾主系统容灾平台容灾平台容灾平台容灾平台备应用系统备应用系统主应用系统主应用系统容灾备系统容灾备系统远程容灾同步数据远程容灾同步数据业务数据信息业务数据信息业务数据信息业务数据信息7.7.6 远程应用级容灾系统模型7.7 容灾技术及其典型应用容灾技术及其典型应用图图7.2

41、7.2 远程应用级容灾系统模型远程应用级容灾系统模型业务数据信息业务数据信息业务数据信息业务数据信息367.7.7 企业如何选择容灾解决方案国外企业在选择容灾解决方案方面积累的经验国外企业在选择容灾解决方案方面积累的经验国外的主流容灾产品：国外的主流容灾产品：HPHP、VERITASVERITAS、IBM IBM 公司解决灾备问题的方法公司解决灾备问题的方法 7.7.8 银行各容灾级别及案例分析银行各容灾级别分析银行各容灾级别分析根据银行业务特色和具体情况，综合的概括为以下容灾根据银行业务特色和具体情况，综合的概括为以下容灾层次：层次：业务连续性容灾业务连续性容灾数据连续性容灾数据连续性容灾I

42、TIT设施容灾设施容灾 案例分析案例分析 中国建设银行中国建设银行我国最早引入和应用容灾系统我国最早引入和应用容灾系统 7.7 容灾技术及其典型应用容灾技术及其典型应用37本章小结本章小结 本章介绍了系统评估的准则与安全策略。本章介绍了系统评估的准则与安全策略。系统评估准则，如今国际通用的是信息技术安全标准（系统评估准则，如今国际通用的是信息技术安全标准（CCCC），），其体现了结构的开放性、表达方式的通用性以及结构和表达方式其体现了结构的开放性、表达方式的通用性以及结构和表达方式的内在完备性和实用性三个方面的优势。的内在完备性和实用性三个方面的优势。信息安全测评认证制度由测评和认证两大过程组

43、成，信息安全测评认证制度由测评和认证两大过程组成，“测评测评”就是检验产品是否符合所定义的评估标准，就是检验产品是否符合所定义的评估标准，“认证认证”即检验评即检验评估过程是否正确，并保证评估结果的正确性和权威性，且公布于估过程是否正确，并保证评估结果的正确性和权威性，且公布于众。众。按按OSIOSI的安全体系结构标准，安全管理可分为系统安全管理、的安全体系结构标准，安全管理可分为系统安全管理、安全服务管理、安全机制管理、安全服务管理、安全机制管理、OSIOSI管理的安全管理的安全4 4种类型。种类型。安全策略要遵循均衡性、整体性、一致性等原则。安全策略要遵循均衡性、整体性、一致性等原则。安全审计的目的是利用审计机制，有针对性地对网络运行的安全审计的目的是利用审计机制，有针对性地对网络运行的状况和过程进行记录、跟踪和审查，从中发现安全问题。状况和过程进行记录、跟踪和审查，从中发现安全问题。38Thanks!