安全系统的设计原则

资金安全系统架构的设计

设计资金安全框架，制定资金安全策略、建立资金安全管理机制，只是实施资金安全系统的第一步，只有当各级组织机构都能严格执行资金安全的各项规定，认真维护各自负责的分系统的资金安全，才能保证资金的整体安全。

一、资金安全建设原则

一个所谓的资金安全系统实际上应该是“使入侵者花费不可接受的成本和风险才能闯入”的系统，它与资金的规模、结构、应用业务的程序、功能和实现方式密切相关。一个好的安全设计应该结合现有资金和业务的特点，充分考虑发展的需求。资金安全系统应根据企业的总体规划，有关建设原则和技术规范，做出资金安全系统总体设计规划，并提出解决方案，以期解决资金的主要安全风险，最大限度发挥资金效能。一方面，总体规划可以全面分析资金系统存在的安全风险，并指导安全工程的一次性或分步实施另一方面，结合安全总体规划，考虑资金系统发展的需求，能使人们的安全投入不会因为系统、资金和业务的发展而不适应，造成投资浪费。资金安全系统应包括资金的筹集、存储和使用等各个方面。

(一)完整性原则

资金安全建设必需保证整个防御系统的完整性。一个较好的安全措施往往是多种方法适当综合的应用结果。单一的安全措施对安全问题的发现、处理、控制等能力各有优劣，从安全性的角度考虑，需要不同安全措施之间的安全互补，通过这种对照、比较，可以提高系统对安全事件响应的准确性和全面性。

(二)动态性原则

威胁攻击技术的发展，使资金安全变成了一个动态的过程，静止不变的安全机制根本无法适应资金安全的需要。所选用的安全措施必须及时地、不断地改进和完善，适时进行技术和设备的升级换代，只有这样才能保证系统的安全性。

(三)专业性原则

攻击技术和防御技术是资金安全的一对矛盾体，两种技术从不同角度不断地对系统的安全提出了挑战。“知己知彼、百战不殆”，只有同时掌握了这两种技术才能对系统的安全有全面的认识，才能提供有效的安全技术及服务，这就需要资金管理人员及相关人员要拥有扎实的专业技术，并能长期的进行技术研究、积累。

(四)可控性原则

安全系统的任何一个环节都应有很好的可控性，而这一点也是安全的核心，这就要求安全措施本身具有安全性和针对性。换言之，一项不易控制的技术或措施，其本身就是不安全的。

(五)可操作性原则

安全措施要由人来完成，如果措施过于复杂，对人的要求过高，一般人员难以胜任，有可能降低系统的安全性。

二、常见的资金安全隐患

常见的资金安全隐患大致有以下几个方面：

1.物理安全。物理安全包括环境安全、设备安全。包含了资金以及资金数据在物理介质中存储和传输的安全性、可靠性和完整性。因此，要采取措施提高介质的安全级别。如许多企业在财务办公场所和重要物质的存放地安装较高级别的防火防盗设备，在办公自动化和网络支付条件下，不断升级计算机加密软件等。

2.“黑客”入侵。资金“黑客”一直处心积虑地找寻资金管理系统的漏洞，伺机攻击，一旦成功，将带来巨大的损失。这里的“黑客”是相对资金系统而言，可以来自企业的外部和内部。“黑客”行为非法，采用自外向里的侵犯路径，目的为占用企业合法资金。比如，外来人员的抢、盗、骗行为，内部人员挪用公款、截留收入，套取现金、变卖设备等行为。

3.资金“泄漏”。各类资金连接的项目众多、关系纵横交错，结成庞大的资金关系网本身难免安全薄弱环节，有可能造成资金自内向外的“泄漏”，游离到安全系统之外。这实质上是资金安全系统本身的隐患，包括设计隐患、建设隐患、使用隐患。如有些单位的资金审批制度不健全，一些重大投资项目也由一人说了算，最后导致投资失败，资金外流，损失重大。有些单位预算项目与实际执行的项目不衔接，不按规定专款专用，专项核算，也会使得管理混乱，为懈怠、渎职、腐朽等提供方便。

三、资金安全框架

资金安全系统由三部分组成，即资金安全保证系统、资金安全监察系统、资金安全评价系统。

1.资金安全保证系统，是保证资金可靠完成企业各项任务的系统工程。对资金的安全负有具体的实施、完成职责。系统内容包括：对相关人员的教育：决策、指挥工作各岗位的职责：相应的规章制度物理环境安全尽可能采用先进的设备和技术可靠地进行资金及其相关信息的管理保证符合相关的法律法规：适时组织安全检查制订、落实反事故措施等。

2.资金安全监察系统，是监督、监察安全保证系统在完成任务的全过程中。是否严格遵守各种安全法规及规章制度，是否保证了资金过程的安全可靠的独立系统，对资金安全负有监督、监察的职责。系统内容包括：深入工作现场进行监督、检查，及时发现问题督促有关部门及时整改监督、检查各单位认真贯彻、执行各项规章制度：落实各项规章制度的'修订、审批工作参加事故调查，提出处理和整改意见，并督促落实：及时进行事故通报及时向相关部门报告。

3.资金安全评价也称危险度评价或风险评价。安全评价是以实现资金安全为目的，应用安全系统工程原理和方法，对系统中存在的危险因素、有害因素进行辨识与分析，判断系统发生事故和危害的可能性及其严重程度，从而寻求最低事故率、最少损失和最优的安全投资效益的最优方案，系统地从计划、渠道、应用、维护等全过程进行观测，建立以量化指标为主的评价指标系统，设定合理的“警戒线”，为管理决策提供科学依据。

资金安全的保证、监察、评价虽然是在同一领导、同一决策、同一指导方针下为资金的安全开展的工作，但在各项工作上都有自身的特点和侧重面。所以，不能将它们混为一谈，否则将会造成分工不明，职责不清的状况。

四、资金安全策略

在整体框架内，遵循资金安全建设原则，在实施时采用如下策略：

1.使用不同等级的安全措施进行集成，在不同的资金环境使用与之相应等级的安全措施，普通资金与重要资金要分别管理，如对职工借款和对在建工程的预付款，安全等级就不同，采用的审批程序等管理措施也不同。

2.采用有效的预警方案，及时提供必要的安全响应和提示，最大程度的保护企业资金安全，如对应收账款余额设定“警戒线”。

3.采用可分级、分布、集中管理并可进行互动的管理控制模式。由于资金和系统的复杂性，对其管理控制提出了更高的

要求，不仅要进行集中、分布的管理控制，还要采用能够进行分级的管理控制以适应大规模资金的需要，同时不同类型资金之间应能够进行有效的互动，以提高系统的防御能力。在分级核算、管理的企业和一些分权管理的大型公司，这项策略尤为重要。

4.在选择安全措施时需要保证符合相应的法规，尤其是相关的资金安全标准。如制订企业内部资金管理办法，必须符合国家有关国有资金的管理法规、以及内部控制规范等财经法规的规定。

5.随着计算机网络技术的普及，企业资金管理越来越依靠计算机系统，但在承担安全保证任务上，即便是最好的、最值得信赖的计算机系统，也不能完全取代人的作用，因此必须建立完备的安全组织和管理制度。对涉及资金及其数据的人员，要在任职条件、聘用程序、专业胜任能力的保持等方面，做出详细规定，尤其是要明确在企业资金活动中每个人的职责，并保证每个人的权力都会受到不同程度的监督和约束。

五、资金安全管理机制

资金系统的安全管理主要基于三个原则：

1.多人负责原则。每项与资金安全有关的活动都必须有两人或多人参与，对重大资金活动，必须有一个权责明晰的决策群体负责。

2.任期有限原则。一般地讲，任何人最好不要长期担任与资金安全有关的职务，以免误认为这个职务是专有的或永久性的。所以除了会计人员轮岗制度，还应制定相关决策层人员的轮换制度。

3.职责分离原则。在资金处理系统工作的人员不要参与职责以外、与安全有关的事情。如出纳人员不应参与采购、投资等资金应用的决策、运作，这也是内部控制中职务不相容原则的细化。

资金系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应规范，其具体工作是：(I)确定各类资金的安全等级及安全管理的范围。(2)制订相应的出入管理制度。对安全等级要求较高的系统，要实行分区控制，限制工作人员出入与自己工作无关的区域。如非出纳人员不得擅自接触保险箱。(3)制订严格的操作规程。操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。如验收、登记设备时的程序要求。(4)制订完备的资金安全系统检查维护制度。对检查维护的内容和维护前后的情况要详细记录，如发现资金异动，要分析原因，提出改进或解决的办法。(5)制订应急措施。要制订在紧急情况下，如何尽快恢复的应急措施，使损失减至最小。如制定丢失票据时的处理办法。(6)建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。(7)加强对资金用户的培训，只有当员工对资金安全性都有了深入了解后，才能真正降低资金系统的安全风险。所以，有计划、有目的地进行财会知识的宣传，是创建资金安全环境的重要举措。

总体上说，一份安全解决方案的框架涉及6大方面：

1、概要安全风险分析；

2、实际安全风险分析；

3、网络系统的安全原则；

4、安全产品；

5、风险评估；

6、安全服务。

一份网络安全方案需要从以下8个方面来把握

1、体现唯一性，由于安全的复杂性和特殊性，唯一性是评估安全方案最重要的一个标准。实际中，每一个特定网络都是唯一的，需要根据实际情况来处理。

2、对安全技术和安全风险有一个综合把握和理解，包括可能出现的所有情况。

3、对用户的网络系统可能遇到的安全风险和安全威胁，结合现有的安全技术和安全风险，要有一个合适、中肯的评估，不能夸大，也不能缩小。

4、对症下药，用相应的安全产品、安全技术和管理手段，降低用户的网络系统当前可能遇到的风险和威胁，消除风险和威胁的根源，增强整个网络系统抵抗风险和威胁的能力，增强系统本身的免疫力。

5、方案中要体现出对用户的服务支持。

6、在设计方案的时候，要明白网络系统安全是一个动态的、整体的、专业的工程，不能一步到位解决用户所有的问题。

7、方案出来后，要不断的和用户进行沟通，能够及时的得到他们对网络系统在安全方面的要求、期望和所遇到的问题。

8、方案中所涉及的产品和技术，都要经得起验证、推敲和实施，要有理论根据，也要有实际基础。

1）全网易受入侵。侵袭者可以通过三种方式很容易地获取通行字：一是内部的管理人员因安全管理不当而造成泄密；二是通过在公用网上搭线窃取通行字；三是通过假冒，植入嗅探程序，截获通行字。侵袭者一旦掌握了通行字，即可在任何地方通过网络访问全网，并可能造成不可估量的损失。同时，由于XXX国税网与Internet连接，导致全网受攻击点明显增多。

（2）系统保密性差。由于覆盖全市的网络系统大多是通过DDN连接，全部线路上的信息多以明文的方式传送，其中包括登录通行字和一些敏感信息，可能被侵袭者截获、窃取和篡改，造成泄密。

（3）易受欺骗性。由于网络主要采用的是TCP/IP协议，不法分子就可能获取IP地址，在合法用户关机时，冒充该合法用户，从而窜入网络服务或应用系统，窃取甚至篡改有关信息，乃至会破坏整个网络。

（4）数据易损。由于目前尚无安全的数据库及个人终端安全保护措施，还不能抵御来自网络上的各种对数据库及个人终端的攻击；同时一旦不法分子针对网上传输数据作出伪造、删除、窃取、窜改等攻击，都将造成十分严重的影响和损失。

（5）破坏系统的可用性：使合法用户不能正常访问网络资源；使有时间要求的服务不能及时得到响应；使信息系统处于瘫痪状态。

（6）缺乏对全网的安全控制与管理。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。

具体安全目标为：

1．实现多级的访问控制。税局LAN能对本网络中的主机及服务进行基于地址的粗粒度访问控制或基于用户及文件的细粒度访问控制。

2．对涉密信息进行加密保护。连接XXX税局与各分局的广域网线路，采用相应的链路加密设备，以保证各节点网络之间交换的数据都是加密传送。

3．对重点服务器加强保护。在系统中配备监控及入侵检测系统，为不断提高重点服务器的系统安全强度、强化安全管理提供有效的技术手段。

4．网络防病毒。应采用网络防病毒系统，并与单机防病毒软件相结合，构建起一套完整的防病毒体系。

5．网络安全评估。采用网络安全性分析系统，定期评估网络的安全性，以便及时发现网络或系统漏洞，并建议提高网络安全强度的策略。

6．对个人终端加强安全防护。对既可以访问INTERNET（特别是通过PSTN的方式），又可以访问内部网大量资源的用户，需采用可靠的PC数据保护设备，有效地隔离内外网络。

摘要：如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。

3 安全方案设计描述

3.1 安全系统基本设计原则

（1）大幅度地提高系统的安全性和保密性；

（2）保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性；

（3）易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；

（4）尽量不影响原网络拓扑结构，便于系统及系统功能的扩展；

（5）安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；

（6）安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。

基于上述思想，XXX国税局网络信息安全系统的设计应遵循如下设计原则：

3.1.1 综合性、整体性原则

应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。

3.1.2 需求、风险、代价平衡的原则

对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

摘要：如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。

3.1.3 可用性原则

安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。

3.1.4 分步实施原则

由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。

3.2 安全方案分类描述

3.2.1 物理安全

保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：

环境安全：对系统所在环境的安全保护，如区域保护和灾难保护；（参见国家标准GB50173－93《电子计算机机房设计规范》、国标GB2887－89《计算站场地技术条件》、GB9361－88《计算站场地安全要求》

设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；

媒体安全：包括媒体数据的安全及媒体本身的安全。

为保证信息网络系统的物理安全，在XXX国税网络安全建设中可主要通过几个方面来实现：

机房环境和场地安全方面达到标准

网络的机房场地按照国家有关标准建设,基本上能够实现环境安全。但仍需要将有关国家标准汇编成册并认真学习，在对机房结构和布局进行调整时，必须按照这些标准进行。

摘要：如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。

访问控制

访问控制可以通过如下几个方面来实现：

制定严格的管理制度

如：《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》。

防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤，能根据企业的安全政策来控制（允许、拒绝、监测）出入网络的信息流。同时可实现网络地址转换（NAT）、审记与实时告警等功能。由于这种防火墙安装在被保护网络与路由器之间的通道上，因此也对被保护网络和外部网络起到隔离作用。

认证服务器

除使用防火墙进行基于地址、协议等的访问控制外，还可以通过专用的认证系统对用户身份进行鉴别，既而实现基于用户的访问控制。

摘要：如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。

数据保护

数据保护所包含的内容比较广，除了前面讲过的通信保密和访问控制外，还包括以下几个方面：

制定明确的数据保护策略和管理制度如：《系统信息安全保密等级划分及保护规范》、《数据安全管理办法》、《上网数据的审批规定》。

个人终端数据安全保护机制：网络安全隔离卡

如果系统内一台PC既可以连接外部网，有可以连接内部网。尽管内部网和外部网在系统内隔离，但当该PC连接外部网时，网络黑客就可能渗入系统，或窃取数据、或恶意破坏记录。同时，内部使用者可能会有意或无意地将敏感信息泄露出去。为了保护PC上数据的安全，并满足PC既可连接内部网，又可连接外部网的需求，我们建议在这样的PC上安装网络隔离卡。

网络安全隔离卡可以在一台PC上创立两个虚拟电脑，即实现机器的双重状态。它既可以是安全状态（此时使用安全硬盘或硬盘安全区，与内部网连接，与外部网断开），也可以在公开状态（此时使用公开硬盘或硬盘公开区，连接外部网，与内部网断开）。在这两种状态间进行安全切换时，所有临时文件全部从共同区域删除。网络隔离卡被设置在PC中最低的物理层，在硬件中运行，并且提供牢靠的物理分离。

3.2.5 防病毒

防病毒措施主要包括技术和管理方面，技术上可在服务器中安装服务器端防病毒系统，以提供对病毒的检测、清除、免疫和对抗能力。在客户端的主机也应安装单机防病毒软件，将病毒在本地清除而不致于扩散到其他主机或服务器。管理上应制定一整套有关的规章制度，如：不许使用来历不明的软件或盗版软件，软盘使用前要首先进行消毒等。只有提高了工作人员的安全意识，并自觉遵守有关规定，才能从根本上防止病毒对网络信息系统的危害。具体可通过以下几方面来实现：

制订防病毒制度、措施和病毒侵害的应急计划

有:《计算机防范病毒制度、措施、与应急计划》。

网络防病毒体系

为了使内部网络免受病毒侵害，保证网络系统中信息的可用性，必须构建一个从主机到服务器的完善的防病毒体系。

摘要：如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。

3.2.6 安全备份

安全备份主要通过以下方面来实现：

制订完善的安全备份管理制度

管理制度有：《系统安全备份规范》、《数据介质保存规定》。

主要技术途径

1．对重要设备进行设备备份。

2．数据备份则主要通过磁盘、磁带、光盘等介质来进行。

3．服务器灾难恢复（或称WEB保护系统）

为了保护WWW服务器的完整性防止其上的信息被非法篡改，保护系统运安全，应使用服务器灾难恢复系统。服务器灾难恢复系统可以将服务器上的重要信息进行备份，并定期检测服务器上的信息内容的完整性，一旦发现信息被非法篡改，就会使用原始数据对服务器进行灾难恢复。该系统尤其适合于XXX国税对外发布信息的WWW服务器,也可以用于其他基于文件系统的服务器，如FTP、Email和DNS服务器等。

3.2.7 网络安全分析或评估

使用专门的网络安全分析工具，可以实现对网络安全漏洞和安全隐患的扫描，对操作系统中与安全相关的配置进行检查，这样就可以随时发现网络系统和主机系统中的安全问题，并及时解决。

3.2.8 网络监控与入侵检测

网络监视和入侵检测系统位于有感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录，或执行用户自定义的安全策略等。网络监控系统可以部署在网络中有安全风险的地方，如局域网出入口、重点保护主机、远程接入服务器、内部网重点工作站组等。在重点保护区域，可以单独各部署一套网络监控系统（管理器+监控器），也可以在每个需要保护的地方单独部署一个监控器，在全网使用一个管理器，这种方式便于进行集中管理。

摘要：如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一

为保证信息系统正常、有效和安全地运行，必须首先建立健全一套与之相应的安全管理机构。

摘要：如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。

4 系统可达到的安全目标

按照本实施方案构建起来的系统在以下方面实现设计的安全目标：

1.防火墙的使用，使各节点能对内外网络进行隔离和访问控制

祝愿沈理朋友们 顺利过-安全不挂科 多个豆豆！！谢谢

针对企业对于OA系统安全性要求，泛微OA系统在解决系统安全性方面有如下措施：

1、准入层面安全

认证体系方面：CA认证体系，可支持证书认证等多种强安全身份认证方式，解决弱口令所存在的安全隐患。

登录安全体系方面：双音子体系支撑（Ukey支撑、动态密码支撑、短信支撑）和硬件对接支撑（指纹、面部识别等硬件支撑）

密码要求体系方面：可以自定义密码安全要求级别（密码复杂性要求、密码变更周期要求、强制密码修改要求、密码锁定要求）；登录策略要求（对于设备的重复登录管理、对于网断的重复登录管理、对于时间控制的登录管理）

2、传输层面安全

DMZ区域：DMZ区域+端口映射——将移动应用服务器放置在DMZ区域，PC应用服务器放置在服务器区域，通过端口向外映射的方式进行对外通讯。

优点：较为安全，仅开放一个端口；多重防火墙保护；策略设置方便；带宽占用相对较小；

缺点：仍然有一处端口对外；仍然承受扫描风险和DDOS风险；一般数据不加密传输；

建议在中间件端开启Https，增强传输安全性；

VPN区域：通过VPN设备构建内网统一环境

优点：安全性高，通过VPN拨入形成统一的内网环境；数据通过Https加密保证传输安全；

缺点：需要进行一步VPN拨号操作；需要额外的VPN开销；需要额外的带宽开销

SSL中间件生成：通过resin设置，在不增加VPN硬件的情况下实现外部线路的SSL加密。

3、数据层面安全

结构化数据方面：分库、加密、审计

非结构化数据方面：加密、切分、展现层控制

文件切分、加密存储方式——所有数据通过切分、加密技术保证：文件服务器不存在由于文件有毒而中毒情况；文件服务器所有数据不可以直接从后台读取；所有数据必须通过应用服务器才可以展现

当然也支持不加密方式以方便对于文件有独立访问要求的客户

4、硬件层面安全

三层次部署结构：最常见的OA系统集中部署方式，我们建议采用DMZ+服务器区+数据区

三层结构，以保证数据的安全性；

防火墙体系：各区域中间通过硬体或软体防火墙进行边界防护和区域防护，保证DDOS攻击和入侵的防控。

5、实施运营运维层面安全

实施层面的安全操守与运营层面的数据和权限保证：稳定团队、专业操守、工作详细记录和确认、对于敏感数据可以进行虚拟数据实施

运维层面的响应和记录要求：通过变更评估流程形成统一的问题提交窗口，减少直接修正造成的权限错误和管控缺失；减少直接修正造成的部门间管理冲突；明确变更成本（IT成本和运营成本）；有章可循、有迹可查。

6、灾难回复层面安全

数据的保存：

①数据备份内容

a.程序文件：不需要自动周期备份，只需要在安装或升级后将服务器的程序安装的文件夹手动备份到其他服务器或电脑中；

b.数据文件：一般可通过服务器的计划执行命令来备份；

c.数据库内容：可直接使用数据库的定期备份功能进行备份；

②备份周期频率

a.数据备份保留周期

b.备份频率：数据文件—每日增量备份、每周全备份；数据库—每日全备份；

c.取备份的时间表：数据短期保留周期14日；数据中、长期保留周期-抽取每月最后一周全备份进行中、长期保留；

d.备份保留周期的要求：年度全备份需永久保留；保留最近12个月的月度全备份；保留最近1个月内的周全备份；保留最近1个月内的日增量备份；

e.针对不需要双机热备的运行状态，还需要对e-cology日常运行的数据和程序周期进行备份，以便系统或服务器出现异样时可快速还原正常状态。

系统的快速恢复：程序文件、数据文件、数据库内容已损坏的数据都可以快速恢复

数据权限的终端：若终端不慎遗失，系统管理员可直接进行销号操作，并绑定新设备

企业信息系统做面临的威胁大体可分为两类：一是对系统中信息的威胁；二是对系统中的设备包括软件硬件的威胁。制定企业信息系统安全规划一方面要满足系统安全要求并描述为满足系统安全要求所采取或所采取的安全控制方法，另一方面要明确所有对系统进行访问的人员的责任和行为规范。企业安全规划设计过程中应在信息系统可承受的安全风险范围内尽可能地考虑成本与效率，同时还要紧密结合企业系统的安全要求及面临的威胁制定科学，合理，可行的安全设计规划原则，总结各方面因素进行安全方案设计规划时应遵循以下几个原则：

系统化原则

按照系统化的世纪思想，在整合和综合考虑企业信息应用系统，各个分系统安全需求的基础上，统一进行企业信息系统的安全设计规划确保整个信息系统安全运行以及信息得到有效的安全保护。在网络基础设施方面，统一规划设计安全的系统网络环境，确保在网上传输的信息得到应有的保护，并为各种企业网络应用的安全提供必要的支持。

层次化原则

企业安全系统的规划设计，从应用系统层安全，网络层安全，到软硬件系统存安全，按层层防御的思想进行设计，每一层应实现所需要的安全功能，共同实现系统的整体安全。

等级化原则

按照区域化保护的思想，根据企业信息系统在不同域中的信息在储存传输和处理过程中需要保护的程度，确定各个域所需要进行保护的安全等级，并明确划分每一个保护域的边界，按要求进行边界保护，防止来自外部的攻击和非授权访问，防止内部信息随意流出保护域确保各个域中的系统安全运行。

摘要：本文介绍了BLP、DTE和RBAC三种安全策略访问模型，并结合这三种安全策略模型，形成一个适应各类安全产品的实用操作系统。此设计方案遵循GB17859-1999[1]中规定的结构化保护级（相当于《TCSEC》标准的B2级[2]）的安全要求进行设计，并在Linux操作系统上得以实现。

关键字：安全技术；安全模型；Linux操作系统

中图分类号：TP309 文献标识码：② 文章编号：

1. 引言

随着社会信息化的发展，计算机安全问题日益严重，建立安全防范体系的需求越来越强烈。操作系统是整个计算机信息系统的核心，操作系统安全是整个安全防范体系的基础，同时也是信息安全的重要内容。

本课题将通过研究操作系统的安全策略访问模型，结合国内、外的相关安全标准和已有的先进技术，将密码服务与高级别存取控制机制有机地结合起来，探索适合国情的安全操作系统结构，最终形成一个适应各类安全产品系统安全需求的结构化保护级（相当于TCSEC中规定的B2级）实用操作系统。并且通过推动安全操作系统的应用，取得良好的经济效益和社会效益。

2. 安全模型

该类模型是从安全策略和访问控制的角度描述安全系统，主要针对系统中主体对客体的访问及其安全控制。[3]

2.1 多级安全及自主访问策略模型

多级安全及自主访问策略模型的每个主体在替代用户之前，必须被配置最大安全级及标签范围；除某些可信客体外，每一个客体都要配置标签范围。

Bell&Lapadula(BLP)模型[4,5]是最典型的信息保密性多级安全模型，包括强制访问控制和自主访问控制两部分。强制访问控制中的安全特性，要求对给定安全级别的主体，仅被允许对同一安全级别和较低安全级别上的客体进行“读”，对给定安全级别上的主体，仅被允许向相同安全级别或较高安全级别上的客体进行“写”，任意访问控制允许用户自行定义是否让个人或组织存取数据。

2.2 多域安全策略模型

多域策略的基本思想是：赋予保护对象一种抽象的数据类型，该类型表明了保护对象要保护的完整性属性，然后规定只有经授权的主动进程能替代用户访问这一完整性属性，并限制该主动进程的活动范围，使其获得它应该完成目标以外的能力极小化。

DTE （Domain and Type Enforcement）模型[6]是近年来被较多的作为实现信息完整性保护的模型。该模型定义了多个域（Domain）和型（Type），并将系统中的主体分配到不同的域中，不同的客体分配到不同的型中，通过定义不同的域对不同的型的访问权限，以及主体在不同的域中进行转换的规则来达到保护信息完整性的目的。

2.3 基于角色的访问控制模型

基于角色的访问控制模型的目的就是通过域隔离，确保对系统的完整性破坏的极小化。

RBAC模型[6]是基于角色的访问控制模型。该模型主要用于管理特权，在基于权能的访问控制中实现职责隔离及极小特权原理。其基本要素之间的关系如图1所示：

图1 RBAC基本要素关系

Fig.1 the relationship of basic elements in RBAC

在本系统中，将实现基于角色的授权和控制，支持角色互斥，不支持角色的继承，不支持同一个用户的多个角色。

3. 安全系统的设计

3.1 安全模型的设计

本系统中的安全服务器将遵循改进的BLP模型、DTE模型以及RBAC模型来实现系统的安全策略。其中，BLP模型保护信息的机密性；DTE模型保护信息的完整性；RBAC模型是授权模型。通过三种模型的相互作用和制约，保证系统中的信息以及系统自身的安全性。图2为本系统中三种模型以及重要功能的相互关系。

图2 模型间的相互关系

Fig.2 the relationship of models

如图2所示，授权策略RBAC是整个系统的基础，它通过为用户设置特定角色，影响IA控制、特权控制、多域访问控制和强制访问控制等基本功能，达到控制系统中用户/主体对客体/对象的访问目的。在本系统中，每个用户都有且只有一个角色。为某个用户给定一个角色，相当于给定该用户的最大特权集、安全标记范围、DTE域范围和最小审计掩码。该用户的上述属性只能够在给定角色的范围内指定。RBAC是通过最小特权、强制访问控制（包括MAC机密性保护和DTE完整性保护）和安全审计等功能组合实现的。

而多域策略DTE和多级安全策略BLP则是在授权策略授权的基础上，调用多域访问控制和强制访问控制功能，实现对客体/对象信息的完整性和机密性保护。

本系统在BLP模型的基础上进行了一些改动：

1. 对BLP模型“上写下读”的信息流规则进行了限制，将其中的“上写”改为：低安全等级的主体可以创建高安全等级的客体或向高安全等级的客体中添加信息，但是不能修改或删除高安全等级客体中的原有信息。例如，低安全等级的主体可以在高安全等级目录下（在通过了DAC和DTE检查的情况下）创建新的文件（包括子目录、命名管道等），但是不能删除原有的文件（包括子目录、命名管道等），也不能改写高安全等级文件的内容；

2. 引入可信主体的概念，即：所谓可信主体，就是拥有多个安全级或一个安全级范围的主体；

3. 引入可信客体的概念，即：所谓可信客体，就是拥有多个安全级或一个安全级范围的客体。

本系统中DTE实现采用为主体/客体指定域/型标识（统称为DTE标识）的方法，DTE策略将通过为主体赋“域”（Domain），为客体赋“型”（Type），并定义“域”和“型”之间的访问权限实现DTE完整性保护，并采用DTEL（DTE Language）语言进行描述，通过命令设置到系统核心。

核心中将为每个主体维护一个“域”标记，为每个文件维护一个“型”标记。当操作发生时，系统将根据主体“域”标记、文件“型”标记以及访问控制表判断是否允许操作发生。

原则上，构造一个安全系统必须同时兼顾用户应用系统、O/S服务系统、Linux 内核、硬件这四个子系统，使它们都获得有效的保护；但本系统主要关心用户应用系统和Linux 内核系统，因为它们与Linux 系统安全联系最直接。构筑安全Linux 系统的最终目标就是支持各种安全应用，如果系统在构造之初就没有区别地对待不同的应用，或者说不采取隔离的方式对待不同的应用，那么这样的系统是不实用的，因为不同的应用对系统安全可能造成的威胁是不同的。对用户应用系统的控制，我们主要采用角色模型与DTE技术的结合；而对Linux 内核的控制，则通过权能访问控制、增强的BLP模型及DTE策略来实现。

3.2 安全系统的结构设计

图3 Linux 结构化保护级安全服务器系统结构图

Fig.3 the structure chart of Linux structure protection security server

图3说明了本系统的体系结构。如图3，用户请求的系统操作进入核心后，首先经过安全策略执行点，调用相应的安全策略执行模块，安全策略执行模块读取相关的系统安全信息和主/客体安全属性，并调用安全策略判定模块进行安全判定，决定是否允许用户请求的操作继续执行；当用户请求的系统操作得到允许并执行结束后，再次通过安全策略执行点，进行相关安全信息/属性的设置和安全审计。

安全服务器中的功能模块与原有的系统操作是相对独立的，双方通过hook函数进行联系。通过改变hook函数的指向，可以启用不同的安全服务器。不同的安全服务器可以选择不同的安全策略，从而达到支持多安全策略的目的。

3.3 安全系统的功能特性

安全系统在原有Linux操作系统基础上，新增了的强制访问控制、最小特权管理、可信路径、隐通道分析和加密卡支持等功能组成，系统的主要功能如下：

1. 标识与鉴别

标识与鉴别功能用于保证只有合法的用户才能存取系统资源。本系统的标识与鉴别部分包括角色管理、用户管理和用户身份鉴别等三个部分：

 角色管理是实现RBAC模型的重要部分，将角色配置文件存放在/etc/security/role文件中，角色管理就是对角色配置文件的维护。

 用户管理就是对用户属性文件的维护，是在系统原有用户管理的基础上修改和扩充而来；本系统改变了原有系统集中存放用户属性的方式，在/etc/security/ia目录下为每个用户创建一个属性文件。

 用户身份鉴别过程就是控制用户与系统建立会话的过程；本系统将修改原有系统的pam模块和建立会话的程序，增加对管理员用户的强身份鉴别（使用加密卡），增加为用户设置初始安全属性（特权集、安全标记、域、审计掩码）的功能。

2. 自主访问控制（DAC）

用于进行按用户意愿的存取控制。使用DAC，用户可以说明其资源允许系统中哪个(些)用户使用何种权限进行共享。

本系统在自主访问控制中加入ACL机制。利用ACL，用户能够有选择地授予其他用户某些存取权限，来对信息进行保护，防止信息被非法提取。

3. 强制访问控制（MAC）

提供基于数据保密性的资源存取控制方法。MAC是多级安全及自主访问策略的具体应用，通过限制一个用户只能在低级别上读访问信息、只能在自身的级别上写访问信息，来加强对资源的控制能力，从而提供了比DAC更严格的访问约束。

4. 安全审计

审计是模拟社会监督机制而引入到计算机系统中，用于监视并记录系统活动的一种机制。审计机制的主要目标是检测和判定对系统的渗透，识别操作并记录进程安全级活动的情况。

本系统中的审计事件分为可信事件与系统调用。系统对每个用户审计的内容不同，需要设置系统的审计事件掩码和用户的审计事件掩码。在形成审计记录时，核心将根据审计掩码进行选择。

5. 客体重用

客体重用是指TSF必须确保受保护资源内的任何信息，在资源被重用时不会被泄露。

客体重用功能可以防止重要的客体介质在重新分配给其他主体的时候产生信息泄漏。在本系统中，出于系统效率和可靠性的考虑，只实现对核心重要数据结构剩余信息的自动清除和文件内容的人工清除。

6. 最小特权管理

根据《TESCE》B2级中提出的最小特权原理，系统中的每个进程只应具有完成其任务和功能所需要的最小特权。因此，在本系统中开发了一种灵活的特权管理机制，把超级用户的特权划分成一组细粒度特权的集合，通过对系统中用户和进程特权的赋值、继承和传递的控制，将其中的部分特权赋给系统中的某个用户，从而使系统中的普通用户也能具有部分特权来操作和管理系统。

7. 可信路径

可信路径要求为用户提供与系统交互的可信通道。可信路径的实现方法是通过核心对安全注意键的监控，并退出当前终端下的所有应用程序，启动新的可信登陆程序。

根据《TESEC》B2级对可信通路的要求，在本系统中开发了可信通路机制，以防止特洛伊木马等欺诈行为的发生。用户无论在系统的什么状态下，只要激活一个安全注意键（一般设置为Ctrl-Alt-A），就可以进入一个安全的登录界面。另外，本系统还采用了管理员用户的强身份认证和建立加密通道等技术，也可以保证用户与系统间交互的安全性。

8. 隐蔽通道分析

我国《计算机信息系统安全保护等级划分准则》[1]要求第四级及以上级别安全信息系统产品必须分析与处理隐蔽通道。本系统掩蔽通道分析将基于源代码，采用下列方法进行：

分析所有操作，列出操作及其涉及的共享资源（客体属性）

 列出操作与共享资源的关系图

 找出所有可能的存储隐蔽通道

 分析、标识每个存储隐蔽通道，并给出带宽

9. 加密卡支持

本系统基于国产密码硬件资源，实现的密码服务主要包括三个方面：

文件存储加解密：在命令层为用户提供一套SHELL命令，实现文件的机密性、完整性保护，同时提供一套接口库函数，供用户编程使用。

特权用户强身份认证：结合RBAC、DTE策略，对特权（角色）用户实施强身份认证。

数据传输加解密：在核心提供一套函数接口，用于实现数据的机密性和完整性。

4. 结论

本方案通过对Linux核心结构和操作系统域外层安全体系的层次结构的研究，遵循国内、外的相关安全标准，将三种安全策略模型和已有的先进技术有机地结合起来，增加了强制访问控制、最小特权、可信路径等安全功能，成功的在Linux操作系统上得已实现，基本达到了GB17859-1999中规定的结构化保护级（相当于《TCSEC》标准的B2级）的要求。

操作系统安全增强技术作为信息安全的关键部分，得到了国内、外的普遍重视。在安全领域，系统的安全性总是相对的。因此，对安全模型的研究和建模以及信息安全系统体系和方案设计的研究还有待进一步的深入。本设计方案已经在Linux操作系统上得到具体的实现，还有待于在实际应用中对安全操作系统进一步的考验和完善。

参考文献

[1] GB17859-1999, 计算机信息系统安全保护等级划分准则[S].

[2] DoD 5200. 28-STD, Department of Defense Trusted Computer System Evaluation Criteria[S]. Department of Defense, Washington,DC, 1985.

[3] 石文昌, 孙玉芳. 计算机安全标准演化与安全产品发展[J]. 广西科学, 2001, 8 (3): 168-171.

[4] BELL D E, LaPADULA L J. Secure computer system: mathematical foundation and model[R]. Bedford MA: Mitre Corp, 1973. M74-244.

[5] 石文昌, 孙玉芳, 梁洪亮. 经典BLP安全公理的一种适应性标记实施方法及其正确性[J]. 计算机研究与发展, 2001,11 (38): 1366~1371

[6] 季庆光，唐柳英.《结构化保护级》安全操作系统安全策略模型[R]. 北京：中科院信息安全技术工程研究中心，中软网络技术股份有限公司，2002.

The Research and Design of Security Model

LI Fang， HU Zhi-xing

(Information Engineering Institute, University of Science and Technology Beijing, Beijing 100083, China)

Abstract: After study of BLP model, DTE model and RBAC model, and combination of the three security models, an implementation scheme of security system and its components and functions is provided, which achieves the structure protection of GB17859 (as the level B2 of TCSEC standard). The scheme is implemented on Linux operating system successfully.

Key words: security techniquessecurity modelLinux operating system

尽管没有绝对安全的网络，但是，如果在网络方案设计之初就遵从一些合理的原则，那么相应网络系统的安全和保密就更加有保障。设计时如不全面考虑，消极地将安全和保密措施寄托在网管阶段事后“打补丁”的思路上，这是相当危险的和不可取的做法。从工程技术角度出发，在设计网络方案时，应该遵守以下原则：1．网络信息系统安全与保密的“木桶原则”强调对信息均衡、全面地进行安全保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的是“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分

1.网络系统的不安全因素

计算机网络系统的不安全因素按威胁的对象可以分为三种:一是对网络硬件的威胁，这主要指那些恶意破坏网络设施的行为，如偷窃、无意或恶意毁损等等二是对网络软件的威胁，如病毒、木马入侵，流量攻击等等三是对网络上传输或存储的数据进行的攻击，比如修改数据，解密数据，删除破坏数据等等。这些威胁有很多很多，可能是无意的，也可能是有意的，可能是系统本来就存在的，也可能是我们安装、配置不当造成的，有些威胁甚至会同时破坏我们的软硬件和存储的宝贵数据。如CIH病毒在破坏数据和软件的同时还会破坏系统BIOS，使整个系统瘫痪。针对威胁的来源主要有以下几方面:

1.1无意过失

如管理员安全配置不当造成的安全漏洞，有些不需要开放的端口没有即时用户帐户密码设置过于简单，用户将自己的帐号密码轻意泄漏或转告他人，或几人共享帐号密码等，都会对网络安全带来威胁。

1.2恶意攻击

这是我们赖以生存的网络所面临的最大威胁。此类攻击又可以分为以下两种:一种是显在攻击，它有选择地破坏信息的有效性和完整性，破坏网络的软硬件系统，或制造信息流量使我们的网络系统瘫痪另一类是隐藏攻击，它是在不影响用户和系统日常工作的前提下，采取窃取、截获、破译和方式获得机密信息。这两种攻击均可对计算机网络系统造成极大的危害，并导致机密数据的外泄或系统瘫痪。

1.3漏洞后门

网络操作系统和其他工具、应用软件不可能是百分之百的无缺陷和无漏洞的，尤其是我们既爱又恨的“Windows”系统，这些漏洞和缺陷就是病毒和黑客进行攻击的首选通道，无数次出现过的病毒(如近期的冲击波和震荡波就是采用了Windows系统的漏洞)造成的重大损失和惨痛教训，就是由我们的漏洞所造成的。黑客浸入网络的事件，大部分也是利用漏洞进行的。“后门”是软件开发人员为了自己的方便，在软件开发时故意为自己设置的，这在一般情况下没有什么问题，但是一旦该开发人员有一天想不通要利用利用该“后门”，那么后果就严重了，就算他自己安分守己，但一旦“后门”洞开和泄露，其造成的后果将更不堪设想。

如何提高网络信息系统安全性

2.1 物理安全策略

物理安全策略的目的是保护计算机系统、服务器、网络设备、打印机等硬件实体和通信链路的物理安全，如采取措施防止自然灾害、化学品腐蚀、人为盗窃和破坏、搭线窃取和攻击等等由于很多计算机系统都有较强的电磁泄漏和辐射，确保计算机系统有一个良好的电磁兼容工作环境就是我们需要考虑的另外建立完备的安全管理制度，服务器应该放在安装了监视器的隔离房间内，并且要保留1天以上的监视记录，另外机箱、键盘、电脑桌抽屉要上锁，钥匙要放在另外的安全位置，防止未经授权而进入计算机控制室，防止各种偷窃、窃取和破坏活动的发生。

2.2 访问控制策略

网络中所能采用的各种安全策略必须相互配合、相互协调才能起到有效的保护作用，但访问控制策略可以说是保证网络安全最重要的核心策略之一。它的主要目的是保证网络信息不被非法访问和保证网络资源不被非法使用。它也是维护网络系统安全、保护网络资源的重要手段。下面我们分述各种访问控制策略。

2.2.1 登陆访问控制

登陆访问控制为网络访问提供了第一层访问控制。通过设置帐号，可以控制哪些用户能够登录到服务器并获取网络信息和使用资源通过设置帐号属性，可以设置密码需求条件，控制用户在哪些时段能够登陆到指定域，控制用户从哪台工作站登陆到指定域，设置用户帐号的失效日期。

注:当用户的登录时段失效时，到域中网络资源的链接不会被终止。然而，该用户不能再创建到域中其他计算机的新链接。

用户的登陆过程为:首先是用户名和密码的识别与验证、然后是用户帐号的登陆限制的检查。两个过程只要有一个不成功就不能登陆。

由于用户名和密码是对网络用户的进行验证的第一道防线。所以作为网络安全工作人员在些就可以采取一系列的措施防止非法访问。

a. 基本的设置

应该限制普通用户的帐号使用时间、方式和权限。只有系统管理员才能建立用户帐号。用户密码方面应该考虑以下情况:密码的复杂情况、最小密码长度、密码的有效期等。应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。应对所有用户的访问进行审计，如果多次输入口令不正确，则应该认为是非法入侵，应给出报警信息，并立即停用该帐户。

b. 认真考虑和处理系统内置帐号

建议采取以下措施:i.停用Guest帐号，搞不懂Microsoft为何不允许删除Guest帐号，但不删除我们也有办法:在计算机管理的用户和组里面，把Guest帐号禁用，任何时候都不允许Guest帐号登陆系统。如果还不放心，可以给Guest帐号设置一个长而复杂的密码。这里为对Windows 2有深入了解的同行提供一个删除Guest帐号的方法:Windows 2系统的帐号信息，是存放在注册表HKEY_LOCAL_MACHINE\SAM里的，但即使我们的系统管理员也无法打开看到这个主键，这主要也是基于安全的原因，但是“System”帐号却有这个权限，聪明的读者应该知道怎么办了吧，对了，以“SYSTEM”权限启动注册表就可以了，具体方法为:以“AT”命令来添加一个计划任务来启动Regedit.exe程序，然后检查注册表项，把帐号Guest清除掉。首先，看一下时间 :3,在“运行”对话框中或“cmd”中运行命令:at :31 /interactive regedit.exe。这样启动regedit.exe的身份就是“SYSTEM”了，/interactive的目的是让运行的程序以交互式界面的方式运行。一分钟后regedit.exe程序运行了，依次来到以下位置: HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users，将以下两个相关键全部删掉:一个是1F5，一个是Names下面的Guest。完成后我们可是用以下命令证实Guest帐号确实被删掉了“net user guest”。ii.系统管理员要拥有两个帐号，一个帐号是具有管理员权限，用于系统管理，另一个帐号只有一般权限，用于日常操作。这样只有在维护系统或安装软件时才用管理员身份登陆，有利于保障安全。iii.将administrator帐号改名。Microsoft不允许将administrator帐号删除和停用，这样Microsoft就给Hacker们提供了特别大的帮助，但我们也可将之改名，如改为everyones等看视普通的名字。千万不要改为Admin、Admins等改了等于白改的名字。

c. 设置欺骗帐号

这是一个自我感觉非常有用的方法:创建一个名为Administrator的权限最低的欺骗帐号，密码设置相当复杂，既长又含特殊字符，让Hacker们使劲破解，也许他破解还没有成功我们就已经发现了他的入侵企图，退一步，即使他破解成功了最后还是会大失所望的发现白忙半天。

d. 限制用户数量

因为用户数量越多，用户权限、密码等设置的缺陷就会越多，Hacker们的机会和突破口也就越多，删除临时帐号、测试帐号、共享帐号、普通帐号、已离职员工帐号和不再使用的其他帐号能有效地降低系统缺陷。

e. 禁止系统显示上次登陆的用户名

Win9X以上的操作系统对以前用户登陆的信息具有记忆功能，下次重启时，会在用户名栏中提示上次用户的登陆名，这个信息可能被别有用心的人利用，给系统和用户造成隐患，我们可以通过修改注册表来隐藏上次用户的登陆名。修改方法如下:打开注册表，展开到以下分支:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

在此分支下新建字符串命名为:DontDisplayLastUserName，并把该字符串值设为:“1”，完成后重新启动计算机就不会显示上次登录用户的名字了。

f. 禁止建立空连接

默认情况下，任何用户通过空连接连上服务器后，可能进行枚举帐号，猜测密码，我们可以通过修改注册表来禁止空连接。方法如下:打开注册表，展开到以下分支:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa，然后将该分支下的restrictanonymous的值改为“1”即可。

g. 通过智能卡登录

采用便携式验证器来验证用户的身份。如广泛采用的智能卡验证方式。通过智能卡登录到网络提供了很强的身份验证方式，因为，在验证进入域的用户时，这种方式使用了基于加密的身份验证和所有权证据。

例如，如果一些别有用心的人得到了用户的密码，就可以用该密码在网络上冒称用户的身份做一些他自己想做的事情。而现实中有很多人都选择相当容易记忆的密码(如姓名、生日、电话号码、银行帐号、身份证号码等)，这会使密码先天脆弱，很容易受到攻击。

在使用智能卡的情况下，那些别有用心的人只有在获得用户的智能卡和个人识别码 (PIN) 前提下才能假扮用户。由于需要其它的信息才能假扮用户，因而这种组合可以减少攻击的可能性。另一个好处是连续几次输入错误的 PIN 后，智能卡将被锁定，因而使得采用词典攻击智能卡非常困难。

2.2.2 资源的权限管理

资源包括系统的软硬件以及磁盘上存储的信息等。我们可以利用Microsoft 在Windows 2中给我们提供的丰富的权限管理来控制用户对系统资源的访问，从而起到安全管理的目的。

a. 利用组管理对资源的访问

组是用户帐号的集合，利用组而不用单个的用户管理对资源的访问可以简化对网络资源的管理。利用组可以一次对多个用户授予权限，而且在我们对一个组设置一定权限后，以后要将相同的权限授予别的组或用户时只要将该用户或组添加进该组即可。

如销售部的成员可以访问产品的成本信息，不能访问公司员工的工资信息，而人事部的员工可以访问员工的工资信息却不能访问产品成本信息，当一个销售部的员工调到人事部后，如果我们的权限控制是以每个用户为单位进行控制，则权限设置相当麻烦而且容易出错，如果我们用组进行管理则相当简单，我们只需将该用户从销售组中删除再将之添加进人事组即可。

b. 利用NTFS管理数据

NTFS文件系统为我们提供了丰富的权限管理功能，利用了NTFS文件系统就可以在每个文件或文件夹上对每个用户或组定义诸如读、写、列出文件夹内容、读和执行、修改、全面控制等权限，甚至还可以定义一些特殊权限。NTFS只适用于NTFS磁盘分区，不能用于FAT或FAT32分区。不管用户是访问文件还是文件夹，也不管这些文件或文件夹是在计算机上还是在网络上，NTFS的安全功能都有效。NTFS用访问控制列表(ACL)来记录被授予访问该文件或文件夹的所有用户、帐号、组、计算机，还包括他们被授予的访问权限。注意:要正确和熟练地使用NTFS控制权限的分配必须深入了解NTFS权限的特点、继承性、“拒绝”权限的特性以及文件和文件夹在复制和移动后的结果。一个网络系统管理员应当系统地考虑用户的工作情况并将各种权限进行有效的组合，然后授予用户。各种权限的有效组合可以让用户方便地完成工作，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。

2.2.3 网络服务器安全控制

网络服务器是我们网络的心脏，保护网络服务器的安全是我们安全工作的首要任务，没有服务器的安全就没有网络的安全。为了有效地保护服务器的安全，我们必须从以下几个方面开展工作。

a. 严格服务器权限管理

由于服务器的重要地位，我们必须认真分析和评估需要在服务器上工作的用户的工作内容和工作性质，根据其工作特点授予适当的权限，这些权限要保证该用户能够顺利地完成工作，但也决不要多给他一点权限(即使充分相信他不会破坏也要考虑他的误操作)，同时删除一些不用的和没有必要存在的用户和组(如员工调动部门或辞退等)。根据情况限制或禁止远程管理，限制远程访问权限等也是网络安全工作者必需考虑的工作。

b. 严格执行备份操作

作为一个网络管理员，由于磁盘驱动器失灵、电源故障、病毒感染、黑客攻击、误操作、自然灾害等原因造成数据丢失是最为常见的事情。为了保证系统能够从灾难中以最快的速度恢复工作，最大化地降低停机时间，最大程度地挽救数据，备份是一个最为简单和可靠的方法。Windows 2 集成了一个功能强大的图形化备份实用程序。它专门为防止由于硬件或存储媒体发生故障而造成数据丢失而设计的。它提供了五个备份类型:普通、副本、差异、增量和每日，我们根据备份所耗时间和空间可以灵活安排这五种备份类型来达到我们的目的。

警告:对于从Windows 2 NTFS卷中备份的数据，必须将之还原到一个Windows 2 NTFS卷中，这样可以避免数据丢失，同时能够保留访问权限、加密文件系统(Encrypting File System)设置信息、磁盘限额信息等。如果将之还原到了FAT文件系统中，将丢失所有加密数据，同时文件不可读。

c. 严格起用备用服务器

对于一些非常重要的服务器，如域控制器、桥头服务器、DHCP服务器、DNS服务器、WINS服务器等担负网络重要功能的服务器，也包括那些一旦瘫痪就要严重影响公司业务的应用程序服务器，我们应该不惜成本建立备份机制，这样即使某个服务器发生故障，对我们的工作也不会造成太大的影响。我们也可以利用Windows 2 Advance Server的集群功能使用两个或两个以上的服务器，这样不但可以起到备用的作用，同时也能很好地提高服务性能。

d. 使用RAID实现容错功能

使用RAID有软件和硬件的方法，究竟采用哪种要考虑以下一些因素:

硬件容错功能比软件容错功能速度快。

硬件容错功能比软件容错功能成本高。

硬件容错功能可能被厂商限制只能使用单一厂商的设备。

硬件容错功能可以实现硬盘热交换技术，因此可以在不关机的情况下更换失败的硬盘。

硬件容错功能可以采用高速缓存技术改善性能。

Microsoft Windows 2 Server支持三种类型的软件RAID，在此作一些简单描述:

u RAID (条带卷)

RAID 也被称为磁盘条带技术，它主要用于提高性能，不属于安全范畴，在此略过，有兴趣的朋友可以参阅相关资料。

u RAID 1(镜像卷)

RAID 1 也被称为磁盘镜像技术，它是利用Windows 2 Server的容错驱动程序(Ftdisk.sys)来实现，采用这种方法，数据被同时写入两个磁盘中，如果一个磁盘失败了，系统将自动用来自另一个磁盘中的数据继续运行。采用这种方案，磁盘利用率仅有5%。

可以利用镜像卷保护系统磁盘分区或引导磁盘分区，它具有良好的读写性能，比RAID 5 卷使用的内存少。

可以采用磁盘双工技术更进一步增强镜像卷的安全性，它不需要附加软件支持和配置。(磁盘双工技术:如果用一个磁盘控制器控制两个物理磁盘，那么当磁盘控制器发生故障，则两个磁盘均不能访问，而磁盘双工技术是用两个磁盘控制器控制两个物理磁盘，当这两个磁盘组成镜像卷时更增强了安全性:即使一个磁盘控制器损坏，系统也能工作。)

镜像卷可以包含任何分区，包括引导磁盘分区或系统磁盘分区，然而，镜像卷中的两个磁盘必须都是Windows 2 的动态磁盘。

u RAID 5(带有奇偶校验的条带卷)

在Windows 2 Server中，对于容错卷，RAID 5是目前运用最广的一种方法，它至少需要三个驱动器，最多可以多达32个驱动器。Windows 2 通过在RAID-5卷中的各个磁盘分区中添加奇偶校检翻译片来实现容错功能。如果单个磁盘失败了，系统可以利用奇偶信息和剩余磁盘中的数据来重建丢失的数据。

注:RAID-5卷不能保护系统磁盘和引导磁盘分区。

e. 严格监控系统启动的服务

很多木马或病毒程序都要在系统中创建一个后台服务或进程，我们应该经常检查系统，一旦发现一些陌生的进程或服务，就要特别注意是否有木马、病毒或间谍等危险软件运行。作为网络管理员，经常检查系统进程和启动选项是应该养成的一个经常习惯。这里有一个对初级网络管理员的建议:在操作系统和应用程序安装完成后利用工具软件(如Windows优化大师等软件)导出一个系统服务和进程列表，以后经常用现有的服务和进程列表与以前导出的列表进行比较，一旦发现陌生进程或服务就要特别小心了。

2.2.4 网络监测和锁定控制

网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形、文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该帐户将被自动锁定。

服务器允许在服务器控制台上执行一些如装载和卸载管理模块的操作，也可以进行安装和删除软件等操作。网络服务器的安全控制包括设置口令锁定服务器控制台，以防止非法用户修改、删除重要服务组件或破坏数据可以设定服务器登录时间和时长、非法访问者检测和关闭的时间间隔。

2.2.5 防火墙控制

防火墙的概念来源于古时候的城堡防卫系统，古代战争中为了保护一座城市的安全，通常是在城市周围挖出一条护城河，每一个进出城堡的人都要通过一个吊桥，吊桥上有守卫把守检查。在设计现代网络的时候，设计者借鉴了这一思想，设计出了现在我要介绍的网络防火墙技术。

防火墙的基本功能是根据一定的安全规定，检查、过滤网络之间传送的报文分组，以确定它们的合法性。它通过在网络边界上建立起相应的通信监控系统来隔离内外网络，以阻止外部网络的侵入。我们一般是通过一个叫做分组过滤路由器的设备来实现这个功能的，这个路由器也叫做筛选路由器。作为防火墙的路由器与普通路由器在工作机理上有较大的不同。普通路由器工作在网络层，可以根据网络层分组的IP地址决定分组的路由而分组过滤路由器要对IP地址、TCP或UDP分组头进行检查与过滤。通过分组过滤路由器检查过的报文还要进一步接受应用网关的检查。因此，从协议层次模型的角度看，防火墙应覆盖网络层、传输层与应用层。

其他的你去:http://www.haolw.net/HaoLw/JvJueWeiXie-AnQuanYingYongWindowsXiTong/ 上面都有太多了`我复制不下来``