【文章內(nèi)容簡(jiǎn)介】 人員，最好也能獨(dú)立于系統(tǒng)開發(fā)員。實(shí)用的系統(tǒng)中只保留經(jīng)編譯的程序，系統(tǒng)的源程序要有嚴(yán)格的控制和妥善的保管，只有經(jīng)授權(quán)且工作需要的人經(jīng)登記才能接觸系統(tǒng)的源程序。程序經(jīng)維護(hù)修改后，要注意復(fù)制并保存最新版本的源程序，以免下次修改時(shí)用到的不是最新的源程序版本。 （四）計(jì)算中心的安全和控制（Computer Center Security and Control） 日常重要業(yè)務(wù)由計(jì)算機(jī)處理的單位是不能承受數(shù)據(jù)處理中心受到災(zāi)難性事故破壞的?；馂?zāi)、水災(zāi)、風(fēng)暴、人為破壞、地震和掉電等均可產(chǎn)生災(zāi)難性的破壞，使得資產(chǎn)和數(shù)據(jù)損失，嚴(yán)重的可使企業(yè)無(wú)法生存下去。計(jì)算中心應(yīng)有的安全控制措施如下： （1）物理位置的選擇。計(jì)算中心應(yīng)遠(yuǎn)離人造和自然災(zāi)害多發(fā)的地方，例如加油站、儲(chǔ)氣站、蓄水池、機(jī)場(chǎng)、低洼地帶、高犯罪率地區(qū)等。 （2）建筑最好是單層的堅(jiān)固建筑（防地震），電線電纜等應(yīng)埋入地下，窗戶應(yīng)緊閉，裝上空氣過(guò)濾器以防塵，安裝空調(diào)機(jī)、抽濕機(jī)等。 （3）訪問(wèn)控制。要鎖門及設(shè)門衛(wèi)，進(jìn)出登記，有閉路電視或攝像系統(tǒng)、報(bào)警系統(tǒng)等監(jiān)視，防止未經(jīng)授權(quán)的人進(jìn)入。 （4）火災(zāi)監(jiān)控。安裝煙霧探測(cè)器和自動(dòng)報(bào)警系統(tǒng)，并連到專職防火責(zé)任人或消防站，火災(zāi)一旦發(fā)生，即有救火人員知道。重要之處放上滅火裝置。（5）電源控制。計(jì)算中心應(yīng)配備穩(wěn)壓電源和配備不間斷電源，以保證系統(tǒng)電壓的穩(wěn)定，以及萬(wàn)一外電路掉電或電壓低于一定值時(shí)，不間斷電源能自動(dòng)向系統(tǒng)以額定電壓供電，保證系統(tǒng)正常運(yùn)行。（6）災(zāi)難恢復(fù)計(jì)劃。災(zāi)難恢復(fù)計(jì)劃是一些成文的、經(jīng)過(guò)試驗(yàn)可行的在災(zāi)難發(fā)生之前、之中和之后應(yīng)采取的行動(dòng)的詳細(xì)的陳述。事先做好計(jì)劃與指引，能保證計(jì)算中心受到災(zāi)難性損毀后能繼續(xù)經(jīng)營(yíng)，可使損失降到最低。其基本內(nèi)容包括： ①后備的第二工作場(chǎng)所。建立后備的第二工作場(chǎng)所對(duì)于重要的企業(yè)和重要的業(yè)務(wù)是必要的，可采取的形式有： A)互助合約（Mutual Aid Pact）。幾個(gè)業(yè)務(wù)和計(jì)算機(jī)設(shè)備相近的單位之間訂立合約，當(dāng)一個(gè)單位發(fā)生災(zāi)難時(shí)可利用另一個(gè)單位的計(jì)算機(jī)設(shè)備和場(chǎng)所繼續(xù)重要的業(yè)務(wù)。這時(shí)，提供場(chǎng)所和設(shè)備的單位可能需把自己原來(lái)的一些較次要的工作暫停。但這種方式在平時(shí)成本是低的，沒有場(chǎng)地和設(shè)備閑置。 B)空殼(The Empty Shell)。幾個(gè)企業(yè)合買或租用一個(gè)建筑，改建成計(jì)算中心模式，但不安裝計(jì)算機(jī)設(shè)備。一旦災(zāi)難發(fā)生，則可利用此場(chǎng)所裝上必要的設(shè)備恢復(fù)重要的工作。這需要相關(guān)的硬件供應(yīng)商承諾，一旦災(zāi)難發(fā)生時(shí)保證及時(shí)供應(yīng)所需的硬件設(shè)備。另一個(gè)問(wèn)題是當(dāng)水災(zāi)地震等大范圍的災(zāi)害發(fā)生時(shí)，可能幾個(gè)公司同時(shí)受災(zāi)，都要使用這個(gè)空殼，形成競(jìng)爭(zhēng)和沖突。因此，事先必須訂好協(xié)議，合用空殼的單位不要太多。 C)恢復(fù)運(yùn)作中心(The Recovery Operations Center)。與空殼不同，這種中心安裝了必要的計(jì)算機(jī)硬軟件，成本較高。可以較多的公司合建一個(gè)恢復(fù)中心，或者大家按月交費(fèi)。這種方式的優(yōu)點(diǎn)是遇到災(zāi)害時(shí)短時(shí)間內(nèi)即可恢復(fù)工作。 D)內(nèi)部后備(Internal Provided Backup)。單位內(nèi)部有多個(gè)計(jì)算中心的，可在各中心適當(dāng)增加某一應(yīng)用的處理能力的硬軟件，其中一個(gè)計(jì)算中心災(zāi)難發(fā)生時(shí)即可在另外的計(jì)算中心上進(jìn)行有關(guān)的業(yè)務(wù)處理。 ②確定重要的應(yīng)用。災(zāi)難發(fā)生時(shí)短時(shí)間內(nèi)只能先恢復(fù)一些最重要的應(yīng)用系統(tǒng)，因此事前必須確定好本單位的重要應(yīng)用是什么。通常，應(yīng)是一些對(duì)現(xiàn)金流入影響較大的應(yīng)用，以保證有足夠的現(xiàn)金支付各種所需。如銷售、應(yīng)收賬款管理、生產(chǎn)和促銷決策、采購(gòu)、各分公司間的通信系統(tǒng)等。一個(gè)企業(yè)的重要應(yīng)用會(huì)隨企業(yè)的發(fā)展而改變，因此應(yīng)由領(lǐng)導(dǎo)、計(jì)算機(jī)專業(yè)人員、用戶一起經(jīng)常審查確定企業(yè)的重要業(yè)務(wù)，在發(fā)生災(zāi)難時(shí)首先恢復(fù)這些應(yīng)用。 ③后備物品并遠(yuǎn)離機(jī)房存放。用于恢復(fù)的后備物品包括備份的數(shù)據(jù)文件、程序、系統(tǒng)開發(fā)的文檔資料、必要的辦公用品、空白單據(jù)等。這些都應(yīng)該在遠(yuǎn)離機(jī)房的地方保管。④建立災(zāi)難恢復(fù)隊(duì)伍。事先必須建立好災(zāi)難恢復(fù)隊(duì)伍，一旦發(fā)生災(zāi)難，可以有條不紊地指揮和進(jìn)行恢復(fù)工作。一個(gè)企業(yè)的恢復(fù)隊(duì)伍可參考圖33所列。 這里沒有控制部門和某些職責(zé)分離。在災(zāi)難發(fā)生時(shí)職責(zé)分離不是最重要的，重要的是能盡快正確地恢復(fù)工作。因之隊(duì)伍成員應(yīng)是專家、專業(yè)人員，平時(shí)經(jīng)常實(shí)踐過(guò)相應(yīng)的工作。程序和數(shù)據(jù)備份組災(zāi)難恢復(fù)負(fù)責(zé)人數(shù)據(jù)轉(zhuǎn)換和控制組第二場(chǎng)所設(shè)備組 計(jì)劃負(fù)責(zé)人 系統(tǒng)開發(fā)負(fù)責(zé)人 數(shù)據(jù)控制負(fù)責(zé)人 廠房工程師 系統(tǒng)維護(hù)負(fù)責(zé)人 數(shù)據(jù)轉(zhuǎn)換負(fù)責(zé)人 計(jì)算機(jī)安裝負(fù)責(zé)人 高級(jí)系統(tǒng)程序員 數(shù)據(jù)轉(zhuǎn)換監(jiān)督員 遠(yuǎn)程處理負(fù)責(zé)人 高級(jí)維護(hù)程序員 用戶部門代表 用戶部門代表 內(nèi)審人員代表 內(nèi)審人員代表 圖33 災(zāi)難恢復(fù)隊(duì)伍組成 （五）數(shù)據(jù)通信控制（Data Communications Controls） 網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)通信所受到的威脅可歸于兩大類：一是人為的破壞，二是設(shè)備故障。前者如有意竊取所傳送的信息，黑客的進(jìn)攻，通過(guò)Internet等未經(jīng)許可的入侵訪問(wèn)，傳播病毒等；后者如通信線路、設(shè)備的故障等。為防止或及時(shí)發(fā)現(xiàn)這些問(wèn)題，可采用下列控制措施： 1．針對(duì)人為破壞的控制 （1）防火墻（Firewall）。它是置于一個(gè)單位內(nèi)部網(wǎng)與外部網(wǎng)之間，用于防止外部訪問(wèn)者入侵系統(tǒng)的軟件或硬軟件組合，可檢查內(nèi)部網(wǎng)外來(lái)的訪問(wèn)者的權(quán)限級(jí)別而自動(dòng)堵塞或引導(dǎo)到相應(yīng)的程序、數(shù)據(jù)和服務(wù)器上，也可分隔局網(wǎng)內(nèi)不同部分之間的訪問(wèn)。防火墻一般分過(guò)濾型和代理服務(wù)器型。過(guò)濾型防火墻通過(guò)截獲要進(jìn)入本單位內(nèi)部網(wǎng)的信息包，檢查其源地址、目的地址、路由和數(shù)據(jù)內(nèi)容等特性，過(guò)濾出可疑的東西，拒絕一切未經(jīng)授權(quán)的信息與訪問(wèn)的企圖。但黑客可以通過(guò)ＩＰ地址的循詢方法而把自己偽裝成合法的用戶攻入內(nèi)部網(wǎng)。代理服務(wù)器型防火墻不允許外部信息直接進(jìn)入內(nèi)部網(wǎng)，而只能到達(dá)代理服務(wù)器，數(shù)據(jù)通過(guò)時(shí)代理服務(wù)器要求要完成準(zhǔn)確的注冊(cè)與鑒定，對(duì)訪問(wèn)提供控制與過(guò)濾作用，生成報(bào)告以報(bào)告非授權(quán)的活動(dòng)，從而提高內(nèi)部網(wǎng)的安全性。防火墻的控制授權(quán)功能越復(fù)雜、高級(jí)，靈活性就越差，影響對(duì)外來(lái)信息訪問(wèn)的方便性，嚴(yán)重的會(huì)影響企業(yè)的電子商務(wù)能力，所以必須全面考慮安裝何種級(jí)別的防火墻為宜。 防火墻能提高內(nèi)部網(wǎng)的安全性，但不能防范內(nèi)部用戶的誤操作產(chǎn)生的威脅，也不能防范因口令、賬號(hào)等泄密被外部用戶攻擊，不能完全防止病毒的傳播。 （2）一次性口令（Onetime Password）。采用這種控制，訪問(wèn)網(wǎng)絡(luò)的用戶需使用一個(gè)智能卡，它與存儲(chǔ)在服務(wù)器上的相應(yīng)軟件同步地每６０秒產(chǎn)生一個(gè)相同的密碼，不同的用戶的智能卡有不同的同步密碼，且每次產(chǎn)生的密碼是不同的。當(dāng)用戶訪問(wèn)網(wǎng)絡(luò)時(shí)，首先必須輸入用戶標(biāo)識(shí)ＰＩＮ（Personal Identification Number），然后輸入自己智能卡上當(dāng)前顯示的密碼。這樣黑客即使使用循詢方法，也很難得到你當(dāng)時(shí)的準(zhǔn)確密碼。某人即使檢到了你的智能卡，但他不知道你的ＰＩＮ，也無(wú)法冒充你。 另一種一次性口令的產(chǎn)生方法是所謂挑戰(zhàn)/應(yīng)戰(zhàn)方式。當(dāng)用戶登錄網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)防火墻的授權(quán)軟件發(fā)出一個(gè)6位的挑戰(zhàn)字給用戶的計(jì)算機(jī)，用戶的智能卡可接收挑戰(zhàn)字，經(jīng)智能卡的內(nèi)置密碼生成程序產(chǎn)生一個(gè)即時(shí)應(yīng)戰(zhàn)密碼于顯示屏上，用戶鍵入此密碼即可登錄網(wǎng)絡(luò)。 （3）對(duì)轟炸式進(jìn)攻的控制(Controlling DenialofService Attacks)。Internet上通過(guò)TCP/IP協(xié)議訪問(wèn)一個(gè)目標(biāo)時(shí)其應(yīng)答過(guò)程是這樣的：訪問(wèn)者首先發(fā)出一個(gè)同步信號(hào)SYN給被訪者，被訪服務(wù)器發(fā)回一個(gè)SYN/ACK的確認(rèn)信號(hào)，最后訪問(wèn)者再發(fā)一個(gè)ACK信號(hào)確認(rèn)，開始通信。如果一個(gè)黑客一直發(fā)送SYN信號(hào)給某目標(biāo)服務(wù)器，但總不發(fā)ACK確認(rèn)信號(hào)給該服務(wù)器，則該服務(wù)器一直發(fā)SYN/ACK信息給黑客所在服務(wù)器，使其他用戶的訪問(wèn)請(qǐng)求無(wú)法進(jìn)入該服務(wù)器，形成堵塞狀態(tài)。被炸的服務(wù)器端的防火墻很難查出黑客所在地址，因?yàn)樗麜?huì)使用不斷變更的IP地址（已有這種軟件），使轟炸似乎是來(lái)自整個(gè)Internet的。解決的辦法是安裝半開放的連接軟件，當(dāng)檢查到只有SYN信號(hào)而沒有ACK回音的訪問(wèn)者時(shí)，屏蔽其訪問(wèn)。 （4）數(shù)據(jù)加密(Data Encription)。數(shù)據(jù)加密是重要數(shù)據(jù)傳輸中必用的控制方法，以防止中途被人竊取。今天Internet上的電子商務(wù)活動(dòng)往往涉及許多高度保密的信息，如身份證號(hào)碼、信用卡號(hào)碼、個(gè)人簽名等，通常都要加密傳送。常用的數(shù)據(jù)加密方法是標(biāo)準(zhǔn)數(shù)據(jù)加密DES（Data Encription Standard）和公共密鑰加密(Public Key Encription)和混合加密法。172。標(biāo)準(zhǔn)數(shù)據(jù)加密DES。又稱通用密碼體制或單密碼體制、對(duì)稱加密法，是加密和解密鑰匙（即密碼字）相同的密碼體制。通信的雙方用相同的加密、解密密鑰，但接收方的解密算法是發(fā)送方加密算法的逆運(yùn)算。它是美國(guó)商業(yè)部1977年制定的，是目前普遍應(yīng)用的加密方法。它把明文按64位分組，經(jīng)加密算法變?yōu)?4位的密文，接收方用相反變換解密。如圖34 所示： 發(fā)方 收方 加密鑰K 解密鑰K加密算法E(K)解密算法D(K) 明文 密文 明文 圖34 對(duì)稱加密法因?yàn)橐粋€(gè)發(fā)信者與不同的收信者通信應(yīng)使用不同的密鑰，所以他必須保存有許多不同的密鑰，以便能跟許多用戶通信（如供應(yīng)商對(duì)客戶）。同樣，每一個(gè)收信者要接收許多不同信源發(fā)來(lái)的信息，他也必須保存有每一個(gè)發(fā)信者的密鑰（如客戶必須有每一個(gè)供應(yīng)商的加密密鑰）。就是說(shuō)，網(wǎng)絡(luò)上的每個(gè)用戶都要記住許多密鑰，并且不能泄露出去，這是單密鑰體制的致命缺點(diǎn)。173。公共密鑰加密。典型的是RSA（Revest ，Shamir，Adleman三人所共同發(fā)明）非對(duì)稱密碼體制或稱雙鑰體制。這種加密體制加密與解密的密鑰不同，其加密鑰匙Ke為e,n兩個(gè)整數(shù)，解密鑰匙Kd為d,n兩個(gè)整數(shù)，n足夠大。明文M加密的算法為：密文C=Me MOD（n）, 解密算法為：明文M=Cd MOD（n）。由此兩式可見，若用d,n 作為加密匙對(duì)明文Ｃ進(jìn)行加密得密文Ｍ，用e,n對(duì)密文Ｍ解密，也會(huì)得到明文Ｃ。公共密鑰體制正是利用了這種互換性，使兩個(gè)不相同的密鑰，用一個(gè)加密，則另外一個(gè)可以解密，反之亦然。實(shí)用上每個(gè)用戶擁有自己的一對(duì)密鑰，把其中一個(gè)密鑰公開作為公共密鑰，而另一個(gè)則由用戶自己保管成為私鑰。若發(fā)信方不想別人知道其所發(fā)的信息，可以用收信方的公開密鑰對(duì)發(fā)送的信息加密，接收方收到密文后可用自己的私鑰解密，別人由于不掌握私鑰，將無(wú)法竊取傳送的信息。如果不僅要防止信息失密，而且要證實(shí)發(fā)送方的身份，發(fā)送方可先用自己的私鑰對(duì)要發(fā)送的信息加密，然后再用接收方的公鑰對(duì)密文再次加密后發(fā)送。接收方收到密文后先用自己的私鑰進(jìn)行第一層解密，再用發(fā)送方的公鑰再次解密得到明文，如圖35所示： 發(fā)方 發(fā)方 收方 收方 發(fā)方 收方 私鑰 公鑰 私鑰 公鑰解密算法解密算法加密算法加密算法 明文 密文 明文 明文 密 文 圖35 實(shí)用的非對(duì)稱加密法 這樣，由于私鑰是唯一的，上圖的過(guò)程保證了一個(gè)網(wǎng)上傳送的信息只有唯一的一個(gè)用戶可以對(duì)其解密，其他人即使截獲了這個(gè)信息也無(wú)法對(duì)其解密，同時(shí)也保證了所收到的信息必然是擁有發(fā)方私鑰的用戶所發(fā)出的，實(shí)現(xiàn)了兩個(gè)用戶之間的保密通信，但又不必保管很多密碼，僅需保管好自己的私有密鑰，再在自己的網(wǎng)頁(yè)或其他媒體上公布一個(gè)自己的公開密鑰即可與任何一個(gè)伙伴進(jìn)行秘密通信。174?；旌霞用芊?。上述的雙鑰加密的公鑰體制在加解密速度上比單鑰的對(duì)稱加解密方法要慢，不適宜對(duì)長(zhǎng)文件加密。為克服兩者的缺點(diǎn)，充分利用兩者的優(yōu)點(diǎn)，可把兩種方法結(jié)合起來(lái)，用對(duì)稱的單鑰加密法加密要傳送的主信息，用非對(duì)稱的雙鑰體制加密單鑰制的加密鑰匙本身。接收方收到信息后先用自己的私鑰解密，得到對(duì)稱加密的解密鑰匙，再用它解出傳送的主信息，如圖36所示。 非對(duì)稱法加密鑰 非對(duì)稱法解密鑰非對(duì)稱加密算法非對(duì)稱解密算法 對(duì)稱法密鑰 對(duì)稱密鑰密文