信息系统项目管理师考试要点

20. 面向对象方法学

20.1. 对象与封装

对象是系统中用来描述客观事物的一个实体，它是构成系统的一个基本单位。

对象三要素：对象标志、属性和服务

对象标志，即对象名字，供系统内部唯一地识别对象

属性，也称状态、数据、成员变量、变量，用来描述对象的静态特征

服务，也称操作、行为、方法、成员函数、函数，用来描述对象的动态特征。

封装是对象的一个重要原则，它有两层含义：第一：对象是其全部属性和全部服务紧密结合

而形成的一个不可分割的整体；第二，对象是一个不透明的黑盒子，表示对象状态的数据和

实现操作的代码都被封装在黑盒子里面。

20.2. 类与类库

类是一组具有相同数据结构和相同操作的对象的集合，是对对象的抽象定义，类与对象是抽

象描述与具体实例的关系，一个具体的对象被称为类的一个实例。

类属类描述了适用于一组类型的通用样板，由于所处理对象的数据类型尚未确定，因此不可

用类属类直接创建对象实例，即一个类属类并不是一种真正的类类型，类属类的实例化是指

用某一数据类型替代类属类的类型参数。类属类定义中给出的类型参数称为形式类属参数，

类属类实例化时给出的类型参数为实际类属参数。如果类属类实例化的实际类属参数可以是

任何类型，这种类属类称为无约束类属类，如果要求实际类属参数必须具有某些特殊的性质，

称为约束类属类。

20.3. 继承与多态

继承是使用已存在的定义作为基础建立新定义的技术，被继承的类称为父类、泛化类、基类

或超类，继承的类称为子类、派生类。

多态是解决功能和行为的再抽象问题，考虑的是类与类之间的层次关系，以及类自身内部

特定成员函数之间的关系问题。多态性可分为四类：重载多态、强制多态，包含多态和参数

多态，重载多态和强制多态称为特定（专用）多态，包含多态和参数多态称为通用多态。

1、 包含多态：主要用虚函数来实现，类族中定义于不同类中的同名成员函数的多态行为。

2、 参数多态：参数多态与类属相关联，同一对象、函数或过程能以一致的形式用于不同的

类型

3、 重载多态：同一算子（操作符、函数名）被用来表示不同的功能。通过语法对不同语义

的对象使用相同的算子。

4、 强制多态：通过语义操作把一个变元的类型加以变换，以符合一个函数的要求，如果不

做这一强制性变换将出现类型错误。 （int）i

从实现的角度，多态分为编译时多态和运行时多态，联编是把一个标志符和一个存储地址联

系在一起的过程，在编译时完成的联编称为静态联编、早期联编、前联编，在运行时完成的

联编称为动态联编、晚期联编或后联编。

20.4. 消息通信

消息是指向对象发出的服务请求，一个消息包含下述信息：提供服务的对象标志、消息名、

输入信息和回答信息。

消息通信是面向对象方法学中的一条重要原则，封装使对象成为互不干扰的独立单位，消息

通信提供了唯一合法的动态联系途径，使它们的行为能够互相配合。

只有同时使用对象、类、继承与消息通信，才是真正面向对象的方法。

20.5. UML

UML（统一建模语言）是通用的可视化标准建模语言。由构造块、公共机制、构架三部分组

成。

1、 构造块：包括基本的 UML 建模元素（类、接口、用例等）、关系（关联关系、依赖关系、

泛化关系、实现关系）和图（9 种图形，分为静态模型和动态模型）

2、 公共机制：包括规格说明、修饰、公共分类、扩展机制

3、 构架：系统的五个视图，逻辑视图、进程视图、实现视图、部署视图、用例视图

UML 包括 9 种不同的图，分为表示系统静态结构的静态模型（类图、构件图、部署图），表

示系统动态结构的动态模型（对象图、用例图、序列图、协作图、状态图、活动图）

掌握由什么组成、实现什么功能、用在什么地方

用例图

一个用例定义一组用例实例，它确定了一个和系统参与者进行交互，并可由系统执行的动作

序列。用例模型描述外部执行者所理解的系统功能。表明了开发者和用户对需求规格达成

的共识，用于需求分析阶段。

用例图的元素

1、 参与者：代表与系统接口的任何事物或人，它是指代表某一特定功能的角色，是虚拟的

概念

2、 用例：用例实例是在系统中执行的一系列动作。是对系统行为的动态描述，可以促进设

计人员、开发人员与用户的沟通，理解正确的需求，还可以划分系统与外部实体的界限，

是系统设计的起点。

3、 包含和扩展：两个用例之间的关系分为两种，一种是用于重用的包含关系，用 include

表示，一种是用于分离出不同的行为，用 extend 表示

包含关系：从两个或两个以上的原始用例（A）中提取出公共行为（B），a 与 b 为包含关

系，在包含关系中被包含用例对基用例来说是必须的，如果没有被包含用例则基用例就

不完整。使用包含关系的目的是为了提高组件的重用性。

扩展关系：一个用例由多个用例组成，当其中部分用例并不是每次都发生的，可将在特

定情况下发生的用例定义为扩展用例，扩展用例对基用例来说不是必须执行的动作序

列。使用扩展关系的目的是为了提高用例的稳定性。

类图和对象图

类图和对象图揭示了系统的结构，类图描述类和类之间的静态关系，它不仅显示信息的结

构还描述了系统的行为。对象图是类图的一个实例，常用于表示复杂的类图的一个实例。

类之间的关系

1、 依赖关系：如果元素 A 的变化会引起元素 B 的变化，则称元素 B 信赖于元素 A，使用带

箭头的虚线表示依赖关系。依赖关系有一个类向另一个类发消息，一个类是另一个类的

成员，一个类是另一个类的操作参数等。

2、 泛化关系：描述一般事物与该事物特殊种类之间的关系，泛化关系是继承关系的反关系，

使用空心箭头的实线表示，箭头指向父类。泛化关系有三个要求：一是子类应包含父类

的所有内容，父类所具有的关联、属性和操作，子类都应具有；二是子类除了包含父类

的信息外，还包括额外的信息；三可以使用父类实例的地方，也可以使用子类实例。

3、 关联关系：表示两个类的实例之间存在的某种语义上的联系，如一个学校有多间教室，

是学校和教室间存在关联关系，关联关系可分为两种

聚合关系：是关联关系的特例，表示一种松散的整体和部分的关系，如一个电脑包括显

示器，用一个带空心菱的实线表示。

组合关系：如果部分对整体来说是必不可少的，则称为组合关系，如公司和部门，用带

有实心菱形的实线表示。

4、 实现关系：用来规定接口与实现接口的类或组件之间的关系，接口是操作的集合，用来

规定类或组件的服务，用带空心箭头的虚线表示。

顺序图和协作图

顺序图和协作图统称为交互图，是表示各组对象如何进行协作的模型，通常用来表示和说

明一个用例的行为，顺序图和协作图本质上没有不同，只是排版方式不相同，顺序图强调对

象交互行为的时间顺序，协作图强调对象之间的协作。

1、 顺序图：描述对象之间动态的交互关系，着重体现对象间消息传递的时间顺序。顺序图

可以直观地表示出对象的生存期，在生存期内，对象可以对输入消息做出响应，并可以

发送信息。顺序图存在两个轴，水平轴表示不同的对象，垂直轴表示时间，即对象、类

的生命期。

2、 协作图：描述相互合作的对象间的交互关系和链接关系，侧重体现交互对象间的链接关

系。

状态图

描述对象状态和事件之间的关系，通常用来描述单个对象的行为，不适合于表述包括若干

协作的对象行为，通常不需要对每一个类编制状态图，只有那些重要的交互行为的类，如在

业务流程、控制对象、用户界面的设计方面使用状态图。如数码冲印店的订单状态图。

状态图的元素包括

1、 状态：又称为中间状态，用圆角矩形表示；

2、 初始状态：又称为初态，用一个黑色的实心圆表示，在一张状态图中只能有一个初始状

态。

3、 结束状态：又称为终态，在黑色的实心圆外面套上一个空间圆，在一张状态图中可能有

多个结束状态。

4、 状态转移：用箭头说明状态的转移情况，用文字说明引发这个状态变化的事件。

活动图

活动图用来表示系统中各种活动的次序，既可用来描述用例的工作流程，也可用来描述类

中某个方法的操作行为，活动图依据对象状态的变化来捕获动作与动作的结果。活动图是由

状态图变化而来的，也包括初始状态、终止状态、中间活动状态，活动图中一个活动结束后

将立即进入下一个活动，状态图中状态的变迁需要事件的触发。

活动图可分为基本活动图和带泳道的活动图，基本活动图描述系统发生了什么，带泳道的活

动图更进一步，可描述出各个活动由哪个类完成。

构件图

构件图是面向对象系统的物理方面进行建模的两种图之一，可以有效地显示一组构件，以

及它们之间的逻辑关系。构件图中通常包括构件、接口、以及各种关系。构件是指源代码文

件、二进制文件和可执行文件等。构件图可对源代码、可执行体、物理数据库进行建模。

部署图

部署图也称为实施图。是面向对象系统的物理方面建模的图之一，构件图是说明构件之间的

逻辑关系，部署图则在此基础上更进一步，描述系统硬件的物理拓扑结构，以及在此结构

上执行的软件。部署图可以显示计算结点的拓扑结构和通信路径、结点上运行的软件构件，

常常用于帮助理解分布式系统，可以使系统的安装、部署更为简单。主要元素包括节点和

连接、接口和构件。

UML 九种图形总结：

九种图形总体上可分为静态模型图（类图、构件图、部署图）和动态模型（用例图、对象图、

顺序图、协作图、状态图、活动图），其中顺序图和协作图统称为交互图，顺序图着重描述

对象交互的时间顺序，协作图着重于描述对象之间的交互和关联；构件图和部署图是对系统

进行物理建模的两种图形，构件图是对系统构件进行逻辑建模，部署图在构件图的基础上描

述系统的物理拓扑结构，并描述各节点运行的构件及接口、交互关系等。

20.6. 面向对象分析

OMT（对象建模技术）

OMT 方法的 OOA 模型包括对象模型、动态模型和功能模型

1、 对象模型：是对客观世界实体模拟的对象及对象彼此之间的关系的映射，描述了系

统的静态结构。通常用类图表示

2、 动态模型：规定对象模型中的对象的合法变化序列。通常用状态图表示。

3、 功能模型：指明系统应该做什么。更直接地反映了用户对目标系统的需求。用数据

流图表示。

功能模型指明应该做什么，动态模型明确了什么时候做，对象模型定义做事情的实体。

建立对象模型

对象模型通常由五个层次组成：类及对象层、结构层、主题层、属性层、服务层

1、 确定类与对象：类与对象是在问题域中客观存在的，系统分析的重要任务之一就是

找出这些类与对象。

2、 确定结构与关联：即确定对象（或类）之间的关系，关系可分为一般-特殊结构、

整体-部分结构、实例关联、消息关联

3、 划分主题：为了降低复杂程度，需要把系统划分成几个不同的主题。应该按问题域

而不是用功能分解方法来确定主题。

4、 定义属性

5、 定义服务

建立动态模型

1、 编写典型交互行为的脚本，确保不遗漏交互行为

2、 从脚本中提取事件，确定触发每个事件的动作对象及接受事件的目标对象

3、 排列事件发生的次序，用状态图描绘每个对象可能的状态及状态间的转换关系。

4、 比较各个对象的状态图，检查它们之间的一致性，确保事件之间的匹配。

建立功能模型

使用数据流图建立系统功能模型

UML 统一建模语言

整个分析阶段通常包括两个任务：建立一个反映问题域静态关系的概念模型，使用类

图表示。建立一个反应系统行为的动态模型，用用例图来表示。

建立域模型

问题域是指一个包含现实世界事物与概念的领域，这些事物和概念与所设计的系统要解

决的问题有关，建立域模型又称为问题域建模或域建模，就是找到代表事物与概念的“对

象”

10、 寻找类：名词动词法，阅读需求文档，找出名词和名词短语，从中提取对象与

属性

11、 确定类之间的关联：依赖关系、泛化关系、实现关系、关联关系

12、 为类添加职责：添加属性和方法

13、 把握好域模型的详细度：

建立用例模型

1、 用例的定义：用例实例是在系统中执行的一系列动作，这些动作将生成特定参与者

可见的价值结果，一个用例定义一组用例实例。

2、 用例模型如何产生：采用现有的需求捕获技术从客户、原有系统、文档中找到需求，

然后进行整理、提炼，从而建立用例模型

3、 识别参与者：参与者是同系统交互的所有事物，不仅可以由人承担，还可以是其他

系统、硬件设备等。参与者一定在系统之外，不是系统的一部分。

4、 合并需求获得用例：将参与者找到之后，仔细检查参与者，为每一个参与者确定用

例。

5、 绘制成用例图：将识别到的参与者及生成的用例通过用例图的形式整理出来，获得

用例模型的框架

6、 细化用例描述：用例描述包括：用例名称、简要说明、事件流、非功能要求、前置

条件、后置条件、扩展点、优先级

20.7. 面向对象设计

21. 信息系统安全和安全体系

21.1. 信息系统安全三维空间

1、 OSI（开放式系统互连）：物理层、数据链路层、网络层、传输层、会话层、表示层、应

用层

2、 安全服务：提供给信息系统中各个层次需要的安全服务支持。对等实体认证服务、访问

控制服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务、犯罪

证据提供服务。

3、 安全机制：提供某些安全服务，利用各种安全技术和技巧所形成的一个较为完善的结构

体系。基础设施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安

全、授权和审计安全、安全防范体系

21.2. 安全机制

1、 第一层：基础设施实体安全：机房安全、场地安全、设施安全、动力系统安全、灾难预

防与恢复

2、 第二层：平台安全：操作系统漏洞检测与修复、网络基础设施漏洞检测与修复、通用基

础应用程序漏洞检测与修复、网络安全产品部署

3、 第三层：数据安全：介质与载体安全保护、数据访问控制、数据完整性、数据可用性、

数据监控和审计、数据存储与备份安全

4、 第四层：通信安全：通信线路和网络基础设施安全性测试与优化、安装网络加密设施、

设置通信加密软件、设置身份鉴别机制

5、 第五层：应用安全：业务软件的程序安全性测试、业务交往的防抵赖测试、业务资源的

访问控制验证、业务实体的身份鉴别、业务现场的备份与恢复机制、业务系统的可靠性、

业务系统的可用性

6、 第六层：运行安全：应急处置机制和配套服务、定期检查和评估、系统升级和补丁提供、

系统改造管理

7、 第七层：管理安全：人员管理、培训管理、设备管理、文档管理、操作管理

8、 第八层：授权和审计安全：授权安全提供用户身份到应用授权的映射功能，实现与实际

应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制。审计安全是

指监控网络内部的用户活动、侦察系统中存在的潜在威胁、对日常运行状况的统计和分

析、对突发案件和异常事件的事后分析、辅助侦破和取证。安全审计是一个安全的网络

必须支持的功能特性。

9、 第九层：安全防范体系：企业安全防范体系建立的核心是实现企业信息安全资源的综合

管理（EISRM），使其包含预警、保护、检测、反应、恢复和反击（WPDRRC）六项能力

21.3. 安全服务

1、 对等实体认证服务：用于两个开放系统同等层中的实体建立链接或数据传输时，对对方

实体的合法性、真实性进行确认，以防假冒。

2、 数据保密服务：可提供链接方式和无链接方式两种数据保密，同时也可对用户可选字段

的数据进行保护，如密码加密保护。

3、 数据完整性服务：防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中

的数据丢失，分为带恢复功能的链接方式数据完整性、不带恢复功能的链接方式数据完

整性、选择字段链接方式数据完整性、选择字段无链接方式数据完整性、无链接方式数

据完整性

4、 数据源点认证服务：用于确保数据发自真正的源点，防止假冒

5、 禁止否认服务：用以防止发送方在发送数据后否认自己发送过此数据，接收方在收到数

据后否认自己收到此数据或伪造接收数据，由不得否认发送和不得否认接收两种服务组

成。

6、 犯罪证据提供服务：

21.4. 安全技术

1、 加密技术：是确保数据安全性的基本方法。在 OSI 安全体系结构中应根据加密所处的层

次及加密对象的不同，而采用不同的密码技术。

2、 数字签名技术：是确保数据真实性的基本方法。利用数字签名技术还可以进行报文认证

和用户身份认证。数字签名具有解决收发双方纠纷的能力。这是其它安全技术所没有。

3、 访问控制技术：访问控制按照事先确定的规则决定主体对客体的访问是否合法。当一主

体试图非法使用一个未经授权的资源时，访问控制将拒绝这一企图，并将这一事件报告

给审计跟踪系统，审计跟踪系统将给出报警并记录日志档案。

4、 数据完整性技术：数据在信道中传输时受信道干扰影响产生错误、或是被非法侵入篡改，

或是被病毒感染，数据完整性技术通过纠错编码和差错控制来应对信道干扰，通过报文

认证来应对非法入侵者的主动攻击，通过病毒实时检测来应对计算机病毒。数据完整性

技术包括数据单元的完整性、数据单元序列的完整性。

5、 认证技术：主要有站点认证、报文认证、用户认证和进程认证。多数认证过程采用密码

技术和数字签名技术。

21.5. 信息系统安全架构体系

1、 MIS+S，初级信息安全保障系统（基本信息安全保障系统），特点是应用基本不变、硬件

和系统软件通用、安全设备基本不带密码

2、 S-MIS，标准信息安全保障系统，特点是应用系统根本改变、硬件和系统软件软件通用、

PKI/CA 安全保障系统必须带密码

3、 S

2

-MIS，超安全的信息安全保障系统，特点是应用系统根本改变、硬件和系统软件专用、

PKI/CA 安全保障系统必须带密码，主要的硬件和系统软件需要 PKI/CA 认证。

信息安全保障系统是一个在网络上，集成各种硬件、软件和密码设备，以保障其他应用信息

系统正常运行的信息应用系统，以及与之相关的岗位、人员、策略、制度和规程的总和。

22. 信息系统安全风险评估

22.1. 信息安全与安全风险

为一个新系统设计信息安全保障系统的过程

1、 拟定新系统的功能、目标

2、 风险识别，对现有系统、业务流程分析

3、 风险评估，对识别的风险预估出可能造成的后果

4、 控制风险，按照风险大小和主次、设计相应的对策

5、 对设计的对策进行投入产出评估

6、 设计实施方案

7、 实施

22.2. 风险识别

安全风险识别就是把安全威胁找出来。

有形资产指银行的账户、存折、信用卡、商家的商品证券、债券、股票，产品，产品生产的

工艺、工艺参数，无形资产指诚信、可靠的信誉，以及产品的商标、商家的专利、知识产权

等。从计算机信息应用信息系统安全威胁的分析来看，无形资产是在有形资产破坏之后才引

发的结果。因此，信息安全保障系统首先要考虑有形资产的保护。

由于风险具有不确定性，因此完全消除风险是不切实际的。

22.3. 安全威胁的分类

按性质分为静态风险和动态风险。静态风险是自然力的不规则作用和人们的错误判断和错误

行为导致的风险，动态风险是由于人们欲望的变化、生产方式和生产技术的变化以及企业组

织的变化导致的风险。

按风险引起的结果分为纯粹风险和投机风险。纯粹风险是当风险发生时，仅会造成损害的风

险，投机风险是当风险发生时，可能产生利润也可能造成损失的风险。

按风险源可分为自然事件风险、人为事件风险、软件风险、软件过程风险、项目管理风险、

应用风险、用户使用风险。

1、 自然事件风险：地震、雷击、洪灾

2、 人为事件风险：分为意外人为事件风险和有意的人为事件风险

意外人为事件风险：不正确的操作、配置、设计或人员的疏忽大意

有意人为事件风险：内部窃密和破坏、恶意的黑客行为、工（商）业间谍、恶意代码

3、 软件系统风险：兼容风险、维护风险、使用风险（指软件被用户接受的程度而产生的风

险）

4、 软件过程风险：需求阶段的风险、设计阶段的风险、实施阶段风险、维护阶段的风险

5、 项目管理风险：缺少开发标准、缺少正规开发程序、

6、 应用风险：安全性、未授权访问和改变数据

22.4. 安全威胁的对象及资产评估鉴定

安全威胁的对象就是一个单位的有形资产和无形资产，而且主要是有形资产。一个信息系统

中的资产不仅仅是软件和硬件，还包括其他内容，一个信息系统中的资产包括：信息或数据、

硬件、软件、文档资料、各种服务、环境、工作人员、单位的形象、产品的商标、专利、知

识产权等

资产评估鉴定：确定各类资产的不同价值和重要级别以区别对待。一般可以分为可忽略的、

较低的、中等的、较高的、非常高的

22.5. 信息系统安全薄弱环节鉴定评估

威胁、脆弱性、影响之间存在着一定的对应关系，威胁可看成从系统外部对系统产生的作用

而导致系统功能及目标受阻的所有现象。脆弱性是系统内部的薄弱点，脆弱性是客观存在的，

并且本身没有实际的伤害，但威胁可以利用脆弱性发挥作用。如果系统不存在脆弱性，那么

威胁就不存在，风险也就没有了。影响是威胁与脆弱性的特殊组合，受时间、地域、行业、

性质的影响，系统面临的威胁不一样，风险发生的频率、概率不尽相同，因此影响程度也很

难确定。

计算风险值的数学模型：风险 = 威胁 * 脆弱性 * 影响

22.6. 风险识别与风险评估的方法

风险识别常用的方法：头脑风暴法、面谈法、德尔菲法、流程图法、类比法历史资料。

安全风险的量化是按公式：风险值=威胁 * 脆弱性 * 影响 计算出来的，因此在定量的计算

风险时需要将威胁、脆弱性、影响进行量化，最简单的量化方法是将这三个要素分成高（3

分）、中（2 分）、低（1 分）或零（0）等几个等级，事件发生的概率在 0~1 之间，产生的风

险分值在 0~6 之间。

23. 安全策略

23.1. 建立安全策略

安全策略是指人们为保护因为使用计算机信息应用系统可能招致的对单位资产造成损失而

进行保护的各种措施、手段，以及建立的各种管理制度、法规等。

安全策略必须由单位的最高行政执行长官和部门或组织授权完成安全策略的制定。

安全策略的核心内容是七定：定方案、定岗、定位、定员、定目标、定制度、定工作流程。

23.2. 需要处理好的关系

1、 安全与应用的依存关系：应用需要安全，安全为了应用。没有应用，就不会产生相应的

安全需求；不妥善地解决安全问题，就不能更好地开展应用。安全是有代价的，会增加

系统建设和运行的费用，会增加系统的开销，会规定对使用的限制，给应用带一些不便。

2、 风险度的观点：安全是相对的，是一个风险大小的问题，它是一个动态的过程，没有所

谓的绝对安全，而是要将安全风险控制在合理程度或允许的范围内，这就是风险度的观

点。

3、 适度安全观点：应评估控制风险所需的安全代价，在此基础上对风险和代价进行均衡，

确定相应的安全策略。安全代价低，安全肯定大，安全代价大，安全风险相应地降低，

代价不仅指资金投入，包括系统性能下降、效率低下等引出的代价。

4、 桶效应的观点：

5、 全等级保护的概念：国家强制性安全标准《计算机信息安全保护等级划分准则》将计算

机信息系统分为五个安全保护等级

第一级：用户自主保护级，适用于普通内联网用户

第二级：系统审计保护级，适用于通过内联网或国际网进行商务活动、要保密的非重要

单位；

第三级：为安全标记保护级，适用于地方各级国家机关、金融单位机构、邮电通信、能

源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位

第四级：为结构化保护级，适用于中央级国家机关、广播电视部门、重要物资储备单位、

社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门

第五级：为访问验证保护级，适用于国防关键部门和依法需要对计算机信息系统实施特

殊隔离的单位。

23.3. 设计原则

信息系统安全管理的总原则

1、 主要领导人负责原则

2、 规范定级原则

3、 依法行政原则

4、 以人为本原则

5、 注重效费比原则

6、 全面防范、突出重点原则

7、 系统、动态原则

8、 特殊的安全管理原则

1、分权制衡

2、最小特权原则

3、准化原则

4、用成熟的先进技术原则

5、失效保护原则

6、普遍参与原则

7、职责分离原则

8、审计独立原则

9、控制社会影响原则

10、保护资源和效率原则，这是安全管理的最终目的

23.4. 系统安全方案

系统安全方案有关的系统组成的因素包括：

1、 主要硬件设备的选型

2、 操作系统和数据库的选型

3、 网络拓扑结构的选型

4、 数据存储方案和存储设备的选型

5、 安全设备的选型

6、 应用软件开发平台的选型

7、 应用软件的系统结构的确定

8、 供货商和集成商的选择

确定系统安全方案主要包括以下内容

1、 首先确定采用 MIS+S、S-MIS 或 S

2

-MIS 系统架构

2、 确定业务和数据存储的方案

3、 网络拓扑结构

4、 基础安全设施和主要安全设备的选型

5、 信息应用系统的安全级别的确定

6、 系统资金和人员投入的档次

23.5. 系统安全策略内容

信息安全保障系统是一个在网络上，集成各种硬件、软件和密码设备，以保障其他应用信息

系统正常运行的信息应用系统，以及与之相关的岗位、人员、策略、制度和规程的总和。

安全策略的核心内容是七定：定方案、定岗、定位、定员、定目标、定制度、定工作流程，

具体的安全策略包括：机房设备安全管理策略、主机和操作系统管理策略、网络和数据库管

理策略、应用和输入输出管理策略、应用开发管理策略、应急事故管理策略、密码和安全设

备管理策略、信息审计管理策略等。

24. 信息安全技术基础

24.1. 密码技术

未加密的消息是明文，用 M 表示，加密的消息是密文，用 C 表示。

C=E(M)表示加密，M=D(C)表示解密

密钥：C=E{k}(M)，M=D{k}(C)

24.2. 对称与不对称加密

若等式 M=D{k1}（E{k1}(M)成立，加密和解密函数都使用同一个密钥“k1”，则这个算法是

对称的。

常见的对称密钥算法有 SDBI（国家密码办公室批准的国内算法，仅硬件中存在）、IDEA、RC4、

DES、3DES。

DES 采用分组乘积密码，该算法输入 64 比特明文，经 64 比特密钥的运算，最后得到 64 比

特密文，64 比特密钥中包含了 8 比特奇偶校验位，实际密钥长度为 56 比特

3DES 是三重 DES，3DES 密钥长度是 128 比特（实际为 112 比特）

IDEA 国际数据加密算法，在 PGP 中采用，该算法中明文和密文分组长度是 64 比特，密钥长

度为 128 比特。

对称密钥算法优点：加/解密速度快、密钥管理简单、适宜一对一的信息加密传输

缺点：加密算法简单，密钥长度有限（56 比特/128 比特），加密强度不高、密钥分发困难，

不适宜一对多的加密信息传输。

非对称密钥算法，又称为公钥算法，即使用两个不同但是相关的密钥来执行加密和解密。用

于加密的密钥称为公钥，用于解密的密钥称为私钥。

设 k-priv 为私钥，设 k-pub 为公钥，D{k-priv}(M)为解密函数，E{k-pub}(M)为加加密函数。

则 M=D{k-priv}(E{k-pub}(M))

可以将公钥公之于众，使用公钥加密的消息，只有私钥的持有者才能对它解密

常见的非对称密钥算法：RSA（基于大数分解）、DSA、数字签名算法、ECC（椭圆曲线）等

RSA 是迄今为止在理论上和实践检验结果最为成熟完善的公钥密码体制，ECC 是为了进一步

提高 RSA 算法的安全性而提出，对比 RSA，ECC 有以下优点，安全性高，密钥量小，算法灵

活性好

非对称密钥算法优点：加密算法复杂，密钥长度任意，加密强度高，适宜一对多的信息加密

交换 缺点：加/解密速度慢，密钥管理复杂，明文攻击很脆弱，不适用于数据的加密传输。

24.3. 哈希算法

HASH算法输入一个长度不固定的字符串返回一串长度固定的字符串，称为HASH值，单向HASH

算法用于产生信息摘要。MD2、MD4 和 MD5（MD 表示信息摘要）是被广泛使用的 HASH 函数，

HASH 算法主要解决两个问题：在某一特定的时间内，无法查找经 HASH 操作后生成特定 HASH

值的原报文，也无法查找两个经 HASH 操作后生成相同 HASH 值的不同报文。这样在数字签名

中就可以解决验证签名和用户身份验证、不可抵赖性的问题。

24.4. 消息摘要算法与数字指纹

消息摘要算法即 HASH 算法，信息摘要（MD）简要地描述了一分较长的信息或文件，它可以

被看做一分长文件的数字指纹。信息摘要用于创建数字签名。

24.5. 数字签名与数字签名验证

数字签名：对某个数据块的签名，就是先计算数据块的散列值，然后使用私钥加密数据块的

散列值，即得到数据签名。

数字签名验证：计算数据块的散列值，使用公钥解密数据签名得到另一个散列值，比较两个

散列值，如果相同则表示真实，如果不同则表示假冒。

24.6. 数字时间戳技术

数字时间戳服务（DTS）是网上电子商务安全服务项目之一，由专门的单位机构提供电子日

期和时间信息的安全保护。

如果在签名时加上一个时间标记，即是有数字时间戳的数字签名。

时间戳是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要、DTS

收到文件的日期和时间、DTS 的数字签名。

时间戳产生的过程为：用户首先将需要加时间戳的文件用 HASH 编码加密形成信息摘要，然

后将该摘要发送到 DTS，DTS 在加了收到文件摘要的日期和时间信息后再对该文件加密（数

字签名）然后送回用户。书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，

它是由认证单位 DTS 来加的，以 DTS 收到文件的时间为依据。

24.7. 利用不对称密钥传送对称密钥

hash运算 数字信息 （明文） 信息摘要 甲私钥加密 数字签名 合并 带甲数字签名 的数字信息 （明文） DES密钥 生成DES密钥

加密 带甲数字签名 的数字信息 （密文） 加密 乙的公钥 DES密钥的密 文 传递给乙

带甲数字签名 的数字信息 （密文）

DES密钥的密 文 乙的私钥 解密 DES密钥 解密 带甲数字签名 的数字信息 （明文） 甲的公钥

甲的数字签名 解密 甲生成的信息 摘要 hash运算 乙生成的信息 摘要 比较 是 相同？ 真实 假冒

否

发送方（甲） 接收方（乙）

24.8. 国家密码和安全产品管理

我国实行密码分级管理制度，密码等级及适用范围如下

商用密码 国内企业、事业单位

普用密码 政府、党政部门

绝密密码 中央和机要部门

军用密码 军队

24.9. 虚拟专用网和虚拟本地网

VPN 和 VLAN

VPN 虚拟专用网/虚拟个人网，VLAN 虚拟本地网，在共享的基础公共网络上（通常是因特网）

建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道，向用户提

供等同于专有网络的通信结果。VPN 能够抗拒非法入侵、防范网络阻塞、安全及时地交付用

户的重要数据。

目前有两种 VPN：IPSec VPN 和 MPLS VPN

IPSec 在 IP 协议层定义了用于网络加密的协议，它不需要基于 PK 的技术，它可用共享密钥

在网络端点进行加密。IPSec VPN 是基于设备的，而不是基于网络的，它比 BGP/MPLS VPN

在实施上提供了更大的灵活性，IPSec VPN 可以在主机或站点之间通过安全网关实现。IPSec

使用两个协议来保障 IP 上的安全传输，AH（认证头）协议为 IP 数据报提供无连接的数据完

整性和数据源身份认证，同时具有防重放攻击的能力，ESP（封装安全载荷）协议为 IP 数据

提供加密机制，为数据流提供有限的机密性保护。IPSec 传输加密数据的两种模式：传输模

式和隧道模式。

IPSec 有以下优点：

1、 IPSec 服务在 IP 层提供，能被更高层次的协议所利用（如 TCP、UDP、ICMP、BGP）

2、 对于应用程序和终端用户来说是透明的，应用和终端用户不需要更改程序和进行安全方

面的专门培训

3、 对现有网络的改动最小。

MPLS VPN

24.10. 无线安全网络 WLAN

25. PKI 公开密钥基础设施

25.1. 安全五要素

安全五要素是指认证、权限、完整、加密、不可否认，就是在信息传递过程中，接收数据的

人是否是应该得到它的人？接收数据的人是否拥有相应的等级来看这些信息？数据在传输

和保存过程中，是否被他人暗中修改？数据的加密措施是否可靠？某人看到数据之后，如何

证明是他这样做了？

PKI 可作为支持认证、完整性、机密性和不可否认性的技术基础，从技术上解决网上身份认

证、信息完整性和抗抵赖等安全问题

25.2. PKI 基础概念

公钥基础设施 PKI 是以公开密钥技术为基础，以数据机密性、完整性、身份认证和行为不可

抵赖性为安全目的，来实施和提供安全服务的具有普适性的安全基础设施。

一个公共密钥基础架构是软件、加密技术和服务的组合。

一个网络的 PKI 包括以下几个基本组件。

1、 数字证书：一个电子的证书，包含一个公共密钥和一个私有密钥，用于验证用户。证书

提供了 PKI 的基础

2、 密钥和证书管理工具。管理和审计数字证书的工具。使用证书管理单元来管理在一个 CA

上的证书。

3、 认证机构：一个值得信任的机构或服务，它颁发数字证书并提供数字证书认证服务。

4、 证书出版点：目录服务或储存和出版证书的位置。

公钥基础设施采用双证书体系，非对称算法支持 RSA 和 ECC 算法，对称密码算法支持国密办

的算法。

公钥基础设施包含信任服务体系和密钥管理中心

1、 信任服务体系：是为整个电子政务系统，提供基于 PKI 数字证书认证机制的实体身份鉴

别服务，它包括了认证机构、注册机构、证书库、证书撤消和交叉认证等。

2、 密钥管理中心提供密钥管理服务，向授权管理部门提供应急情况下的特殊密钥恢复功

能。包括密钥管理机构、密钥备份和恢复、密钥更新和密钥历史档案等。

数字证书是把一个密钥对绑定到一个身份上的被签署的数据结构，整个证书有可信赖的第

三方签名（即 CA）。

X．509 证书格式（内容）

1、 版本号：区分 X.509 的不同版本号

2、 序列号：由 CA 给每一个证书分配惟一的数字型编号

3、 签名算法标识符：指定 CA 签发证书时所使用的公开密钥算法和 HASH 算法，需向国际指

一标准组织注册。

4、 认证机构：发出证书的机构惟一的 CA 的 X.500 名字

5、 有效期限：证书有效的开始时间和结束时间

6、 主题信息：证书持有人的姓名、服务处所等信息

7、 认证机构的数字签名：以确保这个证书在发放之后没有被改过。

8、 公钥信息：包括被证明有效的公钥值和加上使用这个公钥的方法名称。

主体（用户）公钥可两种产生方式

1、 用户自己生成密钥对，然后将公钥以安全的方式传送给 CA。

2、 CA 替用户生成密钥对，然后将其以安全的方式传送给用户。

用户 A 可通过两种方式获取用户 B 的数字证书和公钥，一种是由 B 将数字证书随同发送的正

文信息一起传送给 A，另一种是所有的数字证书集中存放于一个数字证书库中，用户 A 可从

该地点取得 B 的数字证书。

公钥必须按规定的用途来使用，公钥有两大类用途

1、 用于验证数字签名。消息接收者使用发送者的公钥对消息的数字签名进行验证

2、 用于加密信息。消息发送者使用接收者的公钥加密用于加密消息的密钥，进行数据加密

密钥的传递。

签名密钥对和加密密钥对

签名密钥对由签名私钥和验证公钥组成，签名私钥具有日常生活中公章、私章的效力，为保

证其惟一性，签名私钥不能作备份和存档，丢失后只需重新生成新的密钥对，原来的签名可

以使用旧公钥的备份来验证。验证公钥需要存档，用于验证旧的数字签名，签名密钥对一般

有较长的生命期。

加密密钥对：由加密公钥和脱密私钥组成。为防止密钥丢失时丢失数据，脱密私钥应该进行

备份，以便能在任何时候脱密历史密文数据，加密公钥无须备份，加密公钥丢失时，只需重

新产生密钥对。加密密钥对的生命周期较短。

数字证书注册审批机构 RA 系统是 CA 的数字证书发放、管理的延伸。负责数字证书申请者的

信息录入、审核以及数字证书发放等工作。

25.3. 数字证书的生命周期

数字证书的生命周期包括证书的安全需求确定、证书申请、证书登记、分发、审计、撤回和

更新。

1、 安全需求确定：标识需要证书的应用程序，确定所需要的安全级别（密钥的长度，加密

技术的算法等），标识需要证书的用户、计算机和服务，确定如何保护私有密钥（备份）

2、 证书登记：申请和接收一个证书的过程称为登记。过程为生成一个密钥对，收集登记信

息，申请证书，用 CA 的公共密钥对申请进行加密，然后把加密的申请发送给 CA，CA 验

证信息，CA 创建证书，CA 发送或邮寄证书。

3、 证书分发：

4、 证书撤回：如果不能够得到 CRL，就不能够验证证书，而且访问也将会被拒绝。

5、 证书更新：

6、 证书审计：监控证书的颁布情况，记录所有证书请求，也可用审计踪迹来监控破坏网络

安全的行为。

证书到用户帐户的映射分为一对一映射、多对一映射。多对一映射用户单位可能需要支持外

部用户的身份验证，这些用户在活动目录中没有帐户，通过证书映射允许单位给用户提供访

问权。

25.4. X.509 的信任模型

1、 层次信任结构

认证机构（CA）的严格层次结构可以描绘为一倒转的树，根代表一个对整个 PKI 域内的

所有实体都有特别意义的 CA，通常被叫做根 CA，在根 CA 的下面是零层或多层中间 CA

（子 CA），与非 CA 的 PKI 实体相对应的树叶称作终端实体或终端用户。在层次结构中的

每个实体（包括中介 CA 和终端实体）都必须拥有根 CA 的公钥。

2、 分布式信任结构

3、 WEB 模型

4、 以用户为中心的信任模型

5、 交叉认证的信任关系

认证机构（CA）职责

认证中心是使用 PKI/CA 提供服务的核心执行机构，是数字证书的申请注册、证书签发和管

理机构，从广义上讲，认证中心还应该包括证书申请注册机构 RA。

CA 的主要职责包括

1、 数字证书管理

2、 证书和证书库，数字证书是网上实体身份的证明。证书库是 CA 颁发证书和撤消证书的

集中存放地。

3、 密钥备份及恢复

4、 密钥和证书的更新

5、 证书历史档案

6、 客户端软件

7、 交叉认证，交叉认证是多个 PKI 域之间实现互操作。交叉认证实现的方法有多种，一种

方法是桥接 CA，即用一个第三方 CA 作为桥，将多个 CA 连接起来，成为一个可信任的统

一体，另一种方法是多个 CA 的根 CA 互想签发根证书，这样当不同 PKI 域中的终端用户

沿着不同的认证链检验认证到根时，就能达到互相信任的上的。

认证中心的服务主要包括

1、 认证

2、 数据完整性服务

3、 数据保密性服务

4、 不可否认性服务：数据来源的不可否认，接收的不可否认，创建的不可否认等

5、 公证服务：PKI 中支持的公证服务是指“数据认证”即证明数据的有效性和正确性。

26. PMI 权限（授权）管理基础设施

26.1. 访问控制的基础概念

访问控制是为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使

用，访问控制机制决定用户及代表一定用户利益的程序能做什么，及做到什么程度。访问控

制是信息安全保障机制的核心内容，是实现数据保密性和完整性机制的主要手段。

访问控制的两个重要过程

1、 通过鉴别来检验主体的合法身份

2、 通过授权来限制用户对资源的访问级别

访问控制可分为以下两种：

1、 强制访问控制（MAC）：系统独立于用户行为强制执行访问控制，用户不能改变他们的安

全级别或对象的安全属性，通常对数据和用户安全等级划分标签，访问控制机制通过比

较安全标签来确定接受还是拒绝用户对资源的访问

2、 自主访问控制（DAC）：允许对象的属主来制定针对该对象的保护策略，通常 DAC 通过授

权列表来限定主体对客体可以执行什么操作。每个主体拥有一个用户名并属于一个组或

具有一个角色，每个客体拥有一个限定主体对其访问权限的访问控制列表。

访问控制安全模型

1、 BLP 访问控制安全模型：基于强制访问控制系统，以敏感度来划分资源的安全级别，将

数据和用户划分为公开、受限、秘密、机密、高密五个保密等级，主体不可读安全级别

高于它的数据，不可写安全级别低于它的数据（可读）。

2、 Biba 完整性模型：基于强制访问控制系统，数据和用户被划分为公开、受限、秘密、机

密、高密五个级别。主体不能读取安全级别低于它的数据（可写），不能写入安全级别

高于它的数据（可读）。

BLP 模型为数据保密性提供保障，Biba 模型为数据完整性提供保障。

基于角色的访问控制（RBAC）

角色由应用系统的管理员定义，角色成员的增减只能由应用系统的管理员来执行，授权规定

是强加给用户的，用户只能被动接受，不能自主决定，也不能自主地将访问权限传给他人。

RBAC 与 DAC 的区别是用户不能自主地将访问权限授给别的用户

RBAC 与 MAC 的区别是 MAC 基于多级安全需求，而 RBAC 主要关心保护信息的完整性。

26.2. PMI 的术语与概念

PMI 即权限管理基础设施或授权管理基础设施，核心思想是以资源管理为核心，将对资源的

访问控制权统一交由授权机构进行管理。即由资源的所有者来进行访问控制管理。

PMI 建立在 PKI 基础上，以向用户和应用程序提供权限管理和授权服务为目标，负责向业务

应用系统提供授权服务管理，提供用户身份到应用授权的映射功能。实现与具体应用系统开

发和管理无关的访问控制机制，简化应用中访问控制和权限管理系统的开发与维护。

PMI 与 PKI 的不同

PMI 主要进行授权管理，证明这个用户有什么权限，能干什么，即“你能做什么“，PKI 主

要进行身份鉴别，证明用户身份，即“你是谁“

属性证书（AC）是对一个实体的权限的表示，由属性证书管理中心（AA）签发并管理。

公钥证书是对用户名称和公钥进行绑定，属性证书是将用户名称与一个或多个权限属性进行

绑定，数字签名公钥证书的实体为 CA，签名属性证书的实体为 AA。

PKI 信任源被称为根 CA，PMI 信任源称为 SOA。

如果用户需要废除签字密钥，则 CA 将签发证书撤消列表（CRL），如果用户需要废除授权，

AA 将签发一个属性证书撤消列表（ACRL）。

PMI 与 PKI 比较表

概念 PKI 实体 PMI 实体

证书 公钥证书 属性证书

证书签发者 认证证书管理中心 属性证书管理中心

证书用户 主体 持有者

证书绑定 主体名和公钥绑定 持有者名和权限绑定

撤销 证书撤消列表（CRL） 属性证书撤消列表（ACRL）

信任根 根 CA 权威源（SOA）

从属权威 子 CA 属性管理中心 AA

属性证书的格式

1、 持有者

2、 颁发者

3、 签名算法

4、 序列号

5、 有效期

6、 属性

7、 扩展项

8、 签名信息：属性证书签发者对属性证书的签名

公钥证书将一个身份标识和公钥绑定，属性证书将一个标识和一个角色、权限、或属性绑

定。

属性证书的使用

1、 推模式：当用户在要求访问资源时，由用户自己直接提供其属性证书，即用户将属性证

书推给资源服务管理器

2、 拉模式：业务应用授权机构发布属性证书到目录服务系统，当用户需要用到属性证书时，

由服务器从属性证书发放者（AA）拉回属性证书。

26.3. PMI 应用支撑框架

PMI 应用支撑框架包括权限管理、访问控制框架、策略规则。

主要的访问控制框架

1、 DAC（自主访问控制），针对每个用户指明能够访问的资源，对于不在指定资源列表中的

对象不允许访问。

2、 ACL（访问控制列表），目标资源拥有访问控制列表，指明允许哪些用户访问，如用户不

在访问控制列表，则不允许访问这个资源。

3、 MAC（强制访问控制），主体和客体具有一个包含等级的安全标签（公开，受限，秘密，

机密，高密）

4、 RBAC（基于角色的访问控制），首先定义一些角色，再组这些角色分配相应的权限，每

个用户分配一个或多个角色。

27. 信息安全审计系统 S-Audit

27.1. 安全审计的概念

中华人民共和国国家标准-计算机信息系统安全保持等级划分准则，规定了计算机系统安全

保护能力的五个等级

1、 第一级：用户自主保护级

2、 第二级：系统审计保护级

3、 第三级：安全标记保护级

4、 第四级：结构化保护级

5、 第五级：访问验证保护级

安全审计是指对主体访问和使用客体的情况进行记录和审查，以保证安全规则被正确执行，

并帮助分析安全事故产生的原因。安全审计机制应作为 C2 及以上安全级别的计算机系统必

须具备的安全机制，其功能包括：

1、 能够记录系统被访问的过程以及系统保护机制的运行情况

2、 能够发现试图绕过保护机制的行为

3、 能够及时发现用户身份的跃迁

4、 能够报告并阻碍绕过保护机制的行为并记录相关过程

5、 为灾难恢复提供信息等

安全审计是落实系统安全策略的重要机制和手段，通过安全审计识别与防止计算机网络系统

内的攻击行为、追查计算机网络系统内的泄密行为。

安全审计主要由两部分组成：

1、 采用网络监控与入侵防范系统，识别网络各种违规操作与攻击行为，即时响应（报警）

并进行阻断

2、 对信息内容和业务流程的审计，可以防止内部机密或敏感信息的非法泄漏和单位资产的

流失。

安全审计是采用数据挖掘和数据仓库技术，实现在不同网络环境中终端对终端的监控和管

理，在必要进通过多种途径向管理员发出警告或自动采取排错措施，能对历史数据进行分析、

处理和追踪。

安全审计属于安全管理类产品，主要包括主机类、网络类、数据库类和应用系统级的审计产

品。

入侵检测是从信息安全审计派生出来的，彼此涉及的内容、要达到的目的以及采用的方式、

方法都非常接近，信息安全审计更偏向业务应用系统的范畴，入侵检测更偏向入侵的、业务

应用系统之外的范畴

安全审计的作用

1、 对潜在的攻击者起到震慑或警告作用

2、 对已经发生的系统破坏行为提供有效的追究证据

3、 对系统安全管理员提供有价值的系统使用日志，从而帮助系统安全管理员及时发现入侵

行为或潜在的系统漏洞

4、 为系统安全管理员提供系统运行的统计日志，使系统安全管理员能够发现系统性能上的

不足或需要改进与加强的地方。

网络安全审计的具体内容包括：

1、 监控网络内部的用户活动

2、 侦察系统中存在的潜在威胁

3、 对日常运行状况的统计和分析

4、 对突发案件和异常事件的事后分析

5、 辅助侦破和取证

CC 标准与安全审计功能

CC 标准将安全审计功能分为 6 个部分

1、 安全审计自动响应：在检测到一个潜在的安全攻击时作出响应，如报警、中断服务、终

止进程，帐号失效等。

2、 安全审计自动生成：记录与安全相关的事件的出现，如对敏感数据项的访问，目标对象

的删除，改变主体的安全属性

3、 安全审计分析：分析系统活动和审计数据来寻找可能的安全违规操作，可以用于入侵检

测或对安全违规的自动响应。

4、 安全审计浏览：使授权的用户有效地浏览审计数据

5、 安全审计事件选择：要求系统管理员能够维护、检查或修改审计事件的集合，能够选择

对哪些安全属性进行审计，如目标标识、用户标识、主体标识

6、 安全审计事件存储：防止由于资源的不可用丢失审计数据，能够创造、维护、访问它所

保护的对象的审计踪迹，并保护其不被修改、非授权访问或破坏。

网络与主机信息监测审计，应用系统信息监测审计，网络安全系统设备信息审计和系统安全

评估报告作为安全审计系统的主体，物理安全日志记录作为安全审计系统的辅助系统。

27.2. 如何建立安全审计系统

利用入侵监测预警系统实现网络与主机信息监测审计

1、 基于网络和主机监测的安全审计基本结构：由一台安全审计、控制中心和若干台网络探

测器组成，网络探测器负责监视通过网络相连的计算机主机，向安全控制中心发送报警

和网络活动信息，实时阻断非法的网络连接等。探测器设置在网络的敏感部位，如内部

网络的入口处或担负重要任务或具有重要数据的用血器的周围。探测器应与被监测的主

机或网络处于一个共享的以太网环境内。

2、 基于主机监测的安全审计：由一台安全审计、控制中心和安装于网内若干台服务器和网

络工作站中的系统代理程序组成，运行于重要的网络服务器上的系统代理，实时监视分

析系统活动和系统日志审计数据，对敏感事件和用户关注的事件实时报警，基于主机的

监测与基于网络的监测相比最显著的弱点就是它不具备入侵实时阻断功能，因而，难以

阻止非法操作。

3、

对重要应用系统运行情况的审计

1、 基于主机操作系统代理：应用系统在启动自身审计功能之后自动将部分系统审核数据传

送到主机系统审计日志，再通过运行于主机操作系统下的实时监控代理程序来读取并分

析系统审计日志中的相关数据。与应用编程无关，通用性、实时性好，但审计粒度粗，

对确认的违规行为不能实现阻断控制。

2、 基于应用系统代理：根据不同应用，开发不同的应用代理程序，并在相应应用系统内运

行，实时性好，审计粒度由用户控制，缺点是应用单独编写代理程序，通用性差。

3、 在应用系统内嵌入一个与应用服务同步运行专用的审计服务应用进程。用以全程跟踪应

用服务进程的运行。与应用系统密切相关，每个应用系统需要开发相应的独立程序，通

用性、实时性不好，审计粒度可设置。

基于网络旁路监控方式

与基于网络监测的安全审计实现原理及系统配置相同（由网络探测器和安全控制中心组成。

），仅是作用目标不同系统结构，基于网络监测的安全审计作用于网络安全，基于网络旁路

监控方式作用于应用系统。此种方式的优点是审计系统的运行不对应用系统本身的正常运行

产生任何影响。不需要战胜数据库主机上的 CPU，内存和硬盘。

28. 信息安全系统工程 ISSE-CMM

28.1. 信息安全系统工程概述

信息安全系统又称为信息安全保障系统，是信息系统的一部分，并且与信息系统工程同步进

行，工程的目的是为了保证信息系统正常运营，信息安全系统与信息系统有着相同的生命周

期，没有信息系统也就不存在信息安全系统。建设信息安全系统的工程称为信息安全系统工

程。

信息安全系统工程活动

1、 信息安全风险评估

2、 信息安全策略制订

3、 信息安全需求确定

4、 信息安全人员组织和培训

5、 信息安全岗位、制度和信息安全系统运营策划和管理

6、 信息安全系统总体设计

7、 信息安全系统详细设计

8、 信息安全系统设备选型

9、 信息安全工程招投标

10、 密钥密码机制确定

11、 资源界定和授权

28.2. ISSE-CMM 基础

ISSE-CMM 即信息安全系统工程能力成熟度模型是一种衡量信息安全系统工程实施能力的方

法。主要用于指导信息安全系统工程的完善和改进，使信息安全系统工程成为一个清晰定义

的、成熟的、可管理的、可控制的、有效的和可度量的学科。

ISSE 是系统工程的一部分，分为发现信息安全需求、定义信息安全系统、设计信息安全系

统和信息安全系统实施四个阶段

ISSE-CMM 本身并不是安全技术模型，它给的是信息系统安全工程需要考虑的关键过程域。

ISSE 体系结构：发现需求、定义系统需求、设计系统需求、详细设计、系统设计

29. 计算机网络知识

29.1. 网络的功能、分类与组成

计算机网络是由通信线路互相连接的许多独立自主工作的计算机构成的资源共享集合体。

计算机网络的作用：资源共享

计算机网络的组成：许多独立自主工作的计算机

计算机网络的实现方式：使用通信线路互相连接

计算机网络的分类（按传输距离）：

1、 局域网（LAN）：

特点：距离短，0.1km~25km、速度快，4Mb/s~1Gb/s、高可靠性、成本较低

传输媒介：双绞线、细/粗同轴电缆、微波、射频信号、红外等

2、 广域网（WAN）：

特点：长距离、低速率、高成本

传输媒介：电话线路、光纤、卫星

3、 城域网（MAN）：城域网的覆盖范围介于局域网和广域网之间，城域网的主要技术是分布

式队列总线（DQDB）

计算机网络分类（按工作模式分类）

1、 对等网络：由直接面向用户的 PC 组成，这些 PC 机在网络中没有主次之分，互相作为其

他 PC 的资源来共享和使用

优点：架设成本低廉、技术简单、用户对自己的资源能够完全管理

缺点：扩充能力有限、无法进行集中的管理所以管理相对混乱、安全性不高

2、 基于服务器的网络：在一组 PC 中，包含有专用的高性能计算机，这些计算机专门执行

某些任务，如文件服务器、打印服务器、数据库服务器、WEB 服务器、电子邮件服务器

等，普通 PC 机与高性能计算机之间是客户/服务器的关系，一个提供服务，一个使用服

务，有鲜明的主次之分

优点：整个网络的可控制性较好、网络安全性较高、利于网络的扩大，

缺点：专用的高性能服务器使网络整体成本较高、管理相对复杂

计算机网络的组成

1、 服务器：是专门为网络其他计算机提供服务的计算机，如文件服务器、打印服务器等，

服务器的处理速度是整个网络交通的瓶颈点

2、 工作站：也称客户机

3、 传输媒体：计算机通信的基础是各种传输媒体，传输媒体可分为有线、无线两大类，有

线包括：双绞线、细/粗同轴电缆、光纤等，无线包括：无线电、微波、红外、激光、

卫星通信等。

传输媒介 指标 速率 成本 安装 抗扰 备注

同 轴电缆 细同轴电缆（RG58） 185m， 50欧 10Mb/s，电缆较细、弹性好 最低 容易 5-4-规则：最多只能用 4 个中继器连接 5 个区域，仅有 3个区域可以连接工作站，适用局设 粗同轴电缆（RG11） 500m， 50欧 10Mb/s，电缆粗、弹性较、 较低 较难 强 常用于主由于仅能提供 10Mb/s，逐渐被光纤替代 双 绞线 无屏蔽双绞 线（UTP） 100m 10Mb/s~1000Mb/s 最低 最 容易 最低 按双绞线外是否多加一层外皮包覆分为 UTP 和 STP，UTP应用较广泛

1 类：无缠绕，只能传输声音，

不能传输数据

2 类：无缠绕，最大 4Mb/s

3 类：每分米缠 绕一次，

10Mb/s

4 类：过渡型线材，16Mb/s

5 类：100Mb/s

超 5 类：

6 类：1000Mb/ 屏蔽双绞线（STP） 100m 10Mb/s~1000Mb/s 较低 容易 强

光纤 多模 2km 51Mb/s~1000Mb/s

次贵 最难 最强 宽芯线，用 LED 作为发光源，

以多个方向射入光纤，信号相

对较弱，适用短距离或速度更

低一些的领域，成本较低

单模 2~10km 1~10Gb/s

最贵 最难 最强 窄芯线，用激光作为发光源，

激光以一个方向射入光纤，信

号比较强，适用于高速度、长

距离的传输，成本较高

单模光纤：适用于传输要求高的网络，或者作为网络主干或高速广域网的连接

多模光纤：适用于广域网的连接

无屏蔽双绞线：最适合用于局域网布线，可选用 3、5、6 类

细同轴电缆：适用于以最低的价格建立一个最简单、最小型的工作组级小网络

传输媒介 特点

无线电波 不沿地球表面弯曲，与卫星结合，可提供长距离的通信，向各个方向传

播，安全性较低，需要天线接收

微波 传播时集中于某一方向，安全性较好，不能透过金属，一般需要发送端

与接收端之间无障碍

红外 距离短，不需要天线

激光 光束走直线，收、发方之间不能有障碍物，不能穿过植物、雨、雪，雾

等。局限性较大。

4、 网卡（NIC）：完成以下功能

1、读入由其他网络设备传输过来的数据包，并将其变成计算机可以识别的数据

2、将 PC 设备发送的数据，打包后输送至其他的网络设备中

3、代表着一个固定的地址（MAC 地址）：拥有一个 6 字节的全球唯一地址。

5、 调制解调器：将计算, 机的数字信号转换为模拟信号发送到电话线路上，将电话线路上的

模拟信号转换为数字信号输入到计算机上

6、 中继器：工作在物理层，将衰减了的信号放大后，再传送出去

7、 集线器：工作在数据链路层，是一个多端口的中继器，并加上一些数据链路控制的功能

8、 网桥：工作在数据链路层，增加了“过滤帧”的功能，降低整个网络的通信负荷

9、 路由器：工作在网络层，可以连接遵守不同协议的网络，能从多条路径中选择最佳的路

径发送数据

10、 网关：工作在网络层，可以连接网络协议不同，而且硬件和数据结构都大相径庭的

网络

11、 交换机：第二层交换机工作在数据链路层，用来代替集线器的一种应用在小型网络

中的设备，第三层交换机工作在网络层，可以完成普通路由器的部分或全部功能，高层

交换机工作在网络层之上，在完成普通路由器功能的基础上，实现一些特殊的功能。

29.2. 网络协议与标准

网络通信协议就是计算机网络通信实体之间的语言

OSI 只是一个通信框架，并不在具体的通信过程中起作用。真正的通信是由适当的软、硬件

实现的。

OSI 七层模型

1、 物理层：人为规定了不同种类传输设备、传输媒介如何将数字信号从一端传送到另一端，

而不管传送的是什么数据，是完全面向硬件的，定义了通信设备机械的、电气的、功能

的、规程的特性。传送单位为比特。

机械特性：规定线缆与网络接口卡的连接头的形状、几何尺寸、引脚线数等外形特征

电气特性：规定在传输过程中多少伏特的电压代表 1，多少伏特电压代表 0

功能特性：规定连接双方每个连接线的作用，如数据线、控制线、定时线、地线

过程特性：具体规定了通信双方的通信步骤

2、 数据链路层：负责建立一条可靠的数据传输通道，完成相邻结点之间有效地传送数据的

任务，传送单位为数据帧

1、封装成帧：把数据组成一定大小的数据块（帧）以帧为单位发送、接收、校验数据

2、流量控制：实时地进行传输速率控制，以免出现发送数据过快，接收方来不及处理

而丢失数据的情况

3、差错控制：当接收到数据帧后对其进行检验，如果发现错误，则通知发送方重传

4、传输管理：在发送端与接收端通过某种特定形式的对话来建立、维护和终止一批数

据的传输过程，以此对数据链路进行管理。IEEE 802 将数据链路层分成两个子层：逻辑

链路控制层（LLC）和介质访问控制层（MAC），LLC 层负责建立和维护两台通信设备之间

的逻辑通信链路，MAC 层控制多个信息复用一个物理介质，MAC 层提供对网卡的共享访

问与网卡的直接通信。MAC 地址提供给 LLC 层建立同一个局域网中两台设备之间的逻辑

链路

3、 网络层：用于从发送端向接收端传送分组，负责确保信息到达预定的目标，解决以下问

题，传送单位为数据包

1、通信双方不相邻的问题，

2、异构网络的互连问题，

4、 传输层：实现发送端和接收端的端口到端口的数据分组传送，负责保证实现数据包无差

错、按顺序、无丢失和无冗余地传输，所执行的任务包括检错和纠错，TCP 传输单位为

数据段，UDP 传输单位为数据报

1、将一个较长的数据分成几个小数据报发送，确保数据包无差错，按顺序的发送和接

收

2、解决通信双方不只有一个数据连接的问题，（在复制文件的同时进行网络聊天），即

端到端的通信

5、 会话层：负责管理远程用户或进程间的通信。提供如名字查找和安全验证等服务，通话

两个程序能够相互识别并建立和维护通信连接。

1、通信控制

2、检查点设置

3、重建中断的传输链路

4、名字查找和安全验证服务

6、 表示层：负责将收到的数据转换为计算机内的表示方法或特定的程序的表示方法，负责

通信协议的转换、数据的翻译、数据的加密、字符的转换等工作

1、数据编码方式的约定

2、本地句法的转换

各种表示数据的格式的协议也属于表示层，如 MPEG，JPEG 等

7、 应用层：直接提供服务给使用者的应用软件的层，如电子邮件、在线交谈程序。

1、各类应用过程的接口

2、提供用户接口

OSI 参考模型的工作模式

首先，发送端由应用层的软件产生通信数据，然后各个层均对这些数据进行相应的处理，最

后将它转换成比特流，通过物理层的传输人质传送到接收端，接收端从物理层获得比特流，

然后逐层分析，最后将发给相应层的数据，传给相应层。

OSI 参考模型小结

层 功能描述 数据传输单位 对应协议

应用层 用户接口，具体的网络应用 HTTP、Telnet、

FTP、SMTP、NFS

表示层 将接收到的数据转换为计算机内的表示

方法，通信协议的转换，数据翻译，数据

加密，字符转换

JPEG、ASCII、

GIF、DES、MPEG

会话层 管理远程用户或进程间的通信，使通信双

方能相互识别并建立和维护通信连接，检

查点设置，重建中断的传输链路，名字查

找和安全验证

RPC、SQL、NFS

传输层 实现端口到端口的数据分组传送，确保数

据包无差错，按顺序的发送和接收，解决

通信双方不只一个数据连接的问题

TCP：数据段

UDP：数据报

TCP、UDP、SPX…

网络层 通信双方不相邻的问题，

异构网络的互连问题

数据包 IP、IPX

数据链路层 两个相邻节点的通信，数据分帧、流量控

制、差错控制、传输管理

帧 IEEE802.3/.2、

HDLC、PPP、ATM…

物理层 人为规定了不同种类传输设备、传输媒介

如何将数字信号从一端传送到另一端，而

不管传送的是什么数据，是完成面向硬件

的，定义了通信设备机械的、电气的、功

能的、规程的特性

比特 RS232、RJ-45、

FDDI

IEEE802 规范主要包括：

802.1：802 协议概论

802.2：逻辑链路控制层（LLC）协议

802.3：以太网的 CSMA/CD（载波监听多路访问/冲突检测）协议

802.4：令牌总线协议

802.5：令牌环协议

802.6：城域网协议

802.7：宽带技术协议

802.8：光纤技术协议

802.9：局域网上的语音/数据集成规范

802.10：局域网安全互操作标准

802.11：无线局域网（WLAN）标准协议

局域网协议

工作在数据链路层

以太网/IEEE802.3

IEEE 802.3 标准局域网，速度为 10Mb/s，传输介质为细同轴电缆

IEEE 802.3u 快速以太网，速度为 100Mb/s，传输介质为双绞线

IEEE 802.3z 千兆以太网，速度为 1000Mb/s，传输介质为光纤或双绞线

存取方法 CSMA/CD（载波侦听多路访问/碰撞检测技术）：以竞争的方式抢夺传送数据的权力

802.3：10Mb/s 10BASE5、10BASE2、10BASE-T、10BASE-F 前两种为总线，后两种为星型

802.3u：100BaseTX、100BaseT4、100BaseFX

802.3z：

令牌环网/IEEE 802.5

存取方法：令牌是在网络中传递一个很小的帧，在网络上依次按顺序传递，当工作站要发送

数据时等待捕获一个空令牌，然后将要发送的信息附加到后边，发往下一站，如此直到目标

站，将令牌释放。

IEEE802.3 以太网 IEEE802.5

协议复杂性 碰撞解决较复杂 令牌和环维护复杂

访问确定性 不确定 确定

支持优先级 不支持 支持

模拟技术 碰撞检测使用 完全数字化

可靠性 好 较好

轻负载时网络性能 无延迟 有延迟

重负载时网络性能 急剧下降 好

适用场合 中等负载情况 重负载，要求实时

FDDI/光纤分布式数据接口

采用类似令牌环网的协议，用光纤作为传输介质，数据传输率可达到 100Mb/s，环路长度可

扩展到 200km，连接的站点数可以达到 1000 个。

广域网协议

PPP、DDN、ISDN、X.25、FR、ATM

PPP（点对点协议）

用公用交换电话线路实现的拨号上网的广域连接模式，通过拨打电话号码来建立双方联接，

传输线路是模拟线路，所以传输速度较慢

ISDN（综合业务数字网）

ISDN 将数据、声音、视频信号集成进一根数字电话线路，ISDN 分为 N-ISDN（窄带 ISDN）和

B-ISDN（宽带 ISDN），常用的是 N-ISDN，由 2 个 B 信道和 1 个 D 信道组成（2B+D），B 信道

为 64K，D 信道为 16Kb/s。

xDSL（数字用户线路）

是以铜电话线为传输介质的传输技术组合，DSL 技术分为对称和非对称两大类

HDSL（高速对称 DSL）：两对双绞线

SDSL（对称 DSL）：单对双绞线

MVL：

ADSL（非对称 DSL）：利用现有铜双绞线（即普通电话线），提高到 8Mb/s 下行速度，1Mb/s

上行速度，传输距离 3km 到 5km。

DDN 数字专线

利用光纤、数字微波或卫星数字交驻连接设备组成的数字数据业务网，这些数字线路用于出

租给最终用户。DDN比PPP具有更高的传输速度和质量，在DDN的客户端要一个称为DDN MODEM

的 CSU/DSU 设备，以及一个路由器，它的价格与 DDN 线路的带宽相关。

X.25

FR 帧中继

帧中继和分组交换类似，但却以比分组容量大的帧为单位而不是以分组为单位进行数据传

输，帧中继的层次结构只有物理层和链路层，不考虑传输差错问题，其中节点只做帧的转发

操作，不需要执行接收确认和请求重发等操作，差错控制和流量控制均交由高层端系统完成，

所以大大缩短了节点的时延，提高了网内数据的传输速率。

ATM 异步传输模式

ATM（Asynchronous Transfer Mode）异步传输模式。异步转移模式的特征是信息的传

输、复用和交换都以信元为基本单位。异步是指属于同一用户的信元并不一定按固定的时间

间隔周期性地出现。ATM 信元是固定长度的分组，共有 53 个字节，分为 2 个部分。前面 5

个字节为信头，主要完成寻址的功能；后面的 48 个字节为信息段，用来装载来自不同用户，

不同业务的信息。ATM 交换是指把入线上的 ATM 信元，根据其信头上的 VPI（虚路径标识符）

和 VCI（虚通路标识符）转送到相应的出线上去，从而完成交换传送的目的。由于 ATM 技术

简化了交换过程，去除了不必要的数据校验，采用易于处理的固定信元格式，所以 ATM 交换

速率大大高于传统的数据网，如 x.25，DDN,帧中继等。此外对不同业务赋予不同的"特权"，

如语音的实时性特权最高，一般数据文件传输的正确性特权最高，网络对不同业务分配不同

的网络资源

ATM 的优点：

1、 速度：高达 622Mb/s

2、 可扩展性：允许在现在结构中增加带宽和端口密度

3、 高传输质量 QoS：QoS 是指网络提供更高优先服务的一种能力，包括专用带宽、抖

动控制和延迟（用于实时和交互式流量情形）、丢包率的改进以及不同 WAN、LAN 和

MAN 技术下的指定网络流量等，同时确保为每种流量提供的优先权不会阻碍其它流

量的进程。QoS 是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种

技术。

4、 一体化安装

适合于以下应用：

1、 基于专用带宽的设计和数据优先级设计，适合多媒体和视频应用

2、 具有良好的扩展能力及高性能的网络传输能力，适合构架骨干网

3、 具有高性能的无缝集成广域网和局域网的能力，被广泛应用于广域网建设中

因特网协议

TCP/IP 协议簇

29.3. 网络结构与通信

计算机网络结构又称为拓扑结构，通常包括三种基本形式：总线型拓扑、星型拓扑、环型拓

扑。

总线形拓扑结构

所有的电脑用电缆将整个网络从头串到尾，

优点：所需电缆少、布线容易、单点可靠性高

缺点：故障诊断困难、对站点要求较高

星型拓扑结构

由中央结点和通过点到点链路连接到中央结点的各站点组成，整个网络由中央结点执行集中

式通信控制管理，因此中央结点相当复杂，各站点的通信处理负担很小，中央结点一般为集

线器或交换机，负责将各个站点的数据广播转发，或直接转发给接收方结点

优点：整体可靠性高、故障诊断容易、对站点要求不高

缺点：所需电缆多、整个网络可靠性信赖中央结点

环型拓扑结构

整个网络的电缆绕成一圈，没有头尾之分，所有站点被绕成一圈的电缆所连接起来，整个结

构看起来像是一个圆圈。环中有一个控制发送数据权力的“令牌”在环中流动。

优点：所需电缆较少、适用于光纤

缺点：整体可靠性差、诊断故障困难、对站点要求高

拓扑结构的选择主要考虑总成本、灵活性和可靠性三个因素。

29.4. Internet 和 Intranet 初步

TCP/IP 协议集与 OSI 各层的对应关系

应用层 FTP TELNET

SMTP：简单邮件传输协议，用来控制信件的中转方式

HTTP

SNMP：简单网络管理协议，用来对通信线路进行管理

表示层

会话层

传输层 TCP：面向连接（连接导向）的、可靠的、基于字节流的运输层

通信协议

UDP：用户数据报协议一种无连接的、面向事务的简单不可靠信

息传送服务。

网络层 ICMP：Internet 控制报文协议(网际控制报文协议)

IP：网际协议，网络之间互连的协议

路由选择协议：当两台非直接连接的计算机需要经过几个网络

通信时，通常就需要路由器，路由选择协议的任务是，为路由

器提供他们建立通过网状网络最佳路径所需要的相互共享的路

由信息

数据链路层 ARP：以太网上的地址转换协议，IP 地址到物理地址的转换

RARP：反向地址转换协议，物理地址到 IP 地址的转换

物理层 任意

IP 协议

网络协议（IP）是网络上信息从一台计算机传递给另一台计算机的方法或者协议，工作在网

络层。

IP 地址

IP 地址的长度为 32 位，分为网络号和主机号两部分，网络号标志一个网络，网络号的部分

字长决定互联网可以为多少个网络分配 IP 地址，一般由互联网络信息中心（InterNIC）统

一分配，主机号用来标志网络中的一个主机，主机号部分字长决定网络中最大的主机数，由

网络管理员分配，IP 地址采用点分十进制表示法表示。

IP 地址分类：

1、 A 类：0nnn nnnn xxxx xxxx xxxx xxxx xxxx xxxx 1.0.0.0 至 126.0.0.0

2、 B 类：10nn nnnn nnnn nnnn xxxx xxxx xxxx xxxx 128.1.0.0 至 191.254.0.0

3、 C 类：110n nnnn nnnn nnnn nnnn nnnn xxxx xxxx 192.0.1.0 至 223.225.254.0

4、 D 类：1110 xxxx xxxx xxxx xxxx xxxx xxxx xxxx 224.0.0.0 至 239.255.255.255 特

殊用途

5、 E 类：1111 xxxx xxxx xxxx xxxx xxxx xxxx xxxx 240.0.0.0 至 254.255.255.255 保

留

IP 地址中，全 0 代表网络，如 202.101.105.0，全 1 代表广播，如 202.101.105.255，127.0.0.1

为本机回送地址。

子网掩码

用来指明哪些是网络号部分，哪些是主机号部分，对应的网络号部分用 1 填上，主机号部分

用 0 填上

Ipv6

现在使用的 IP 协议版本号为 4，即 Ipv4，Ipv6 是为了克服 Ipv4 地址短缺和无法适应对时

间敏感的通信等缺点，Ipv6 将 Ipv4 的 32 位地址扩展成为 128 位地址。

ARP 地址解析协议

将一台计算机的 IP 地址映射成相对应的硬件地址的过程叫地址解析，这个解析过程的规范

叫地址解析协议 ARP，RARP 将物理地址转换成 IP 地址，工作在数据链路层

ICMP 因特网控制消息协议

是 TCP/IP 协议族的一个子协议，工作在网络层，用于在 IP 主机、路由器之间传递控制消息。

控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。

传输控制协议 TCP

TCP 是一种面向连接（连接导向）的、可靠的、基于字节流的运输层（Transport layer）

通信协议

用户数据报协议 UDP

是 OSI 参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。

是一个简单的面向数据报的传输层协议

Internet 应用

1、 DNS 域名服务：负责将字符名（域名）转换成实际相对应的 IP 地址。工作在 TCP 协议之

上。

2、 WWW 万维网服务：是一个大规模在线式的信息储藏所，用户可以通过一个被称为浏览器

的交互式应用程序来查找它所要的信息，WWW 依赖于标准化的统一资源定位 URL 地址来

定位信息的内容，在进行页面访问时，通常采用超文本传送协议 HTTP，其服务端口就是

HTTP 服务端口。

3、 E-MAIL 电子邮件：

4、 FTP 文件传输服务：TCP/IP 包括两种文件传输服务，FTP 和 TFTP，FTP 功能更强，它支

持面向命令的交互界面。FTP 使用 TCP 协议进行数据传输，TFTP 使用 UDP 进行数据传输

5、 TELNET 远程登录服务：通过 TCP 建立与主机的连接，TELNET 将用户键盘上的键入直接

传递到主机，也将主机的输出送回到用户屏幕上。

29.5. 网络服务器

DNS 服务器、邮件服务器、FTP 服务器、代理服务器和 DHCP 服务器

DNS 服务器

DNS 域名空间是由树状结构组织的分层域名组成的集合。域是由 DNS 树状结构中的一个分枝

或叶来表示的。

DNS 服务器分类：

1、 根服务器：用于管理根域和顶级域名，目前有 13 个根域名服务器

2、 主域名服务器：每个域有且只有一个主域名服务器，作用：

对该域的所有 DNS 数据库文件的修改都在这台服务器上进行

主域名服务器对该域中的辅助域名服务器进行周期性的更新和同步

主域名服务器管理对其子域的授权

3、 辅助域名服务器：每个域可以有一个或多个辅助域名服务器，

定期从主域名服务器更新数据

和其他域名服务器分担负载

在其他域名服务器不能工作时，起备份作用

4、 专用缓存域名服务器：用来缓存任何 DNS 域的信息，缓存已查询过的域名信息、不授权

管理任何域，可以分担辅助域名服务器从主域名服务器获得数据库文件拷贝负担。

5、 转发域名服务器：是主域名服务器或辅助域名服务器的一种变形，负责所有非本地域名

的本地查询，通常用来集中所有的非本地域名查询请求，减少了非本地域名查询的重复

次数，转发域名服务器不能解析域名查询。

DNS 服务器规划：应该包括软、硬件平台规划和域名系统规划两个部分

电子邮件服务器

完全标志地址：user@subdomain.top-level-domain，@右边是邮件域名，表明用户所在的地

方，user 是用户名，subdomain 是 top-level-domain 域中的子域。

FTP 服务器

FTP 服务器根据服务对象不同分为匿名服务器和系统 FTP 服务器，前者是任何人都可以使用，

后者只能是在 FTP 服务器上有合法账号的人才能使用。

代理服务器（Proxy Server）

代理服务器是介于浏览器和 WEB 服务器之间的一台服务器。使用代理服务器后，浏览器先访

问代理服务器，然后由代理服务器获取所需要的信息并传送给浏览器，

1、 可以有效保障本机的 IP 地址不泄漏，

2、 可以节省大量的 IP 地址资源，有效地降低网络的维护成本

3、 缓存功能可以提高网络的访问速度。

代理服务器按用途分类为 HTTP 代理、SSL 代理、HTTP CONNECT 代理、FTP 代理、POP3 代理、

TELNET 代理、SOCKS 代理。还有一种网络代理服务器，是代理访问，而且一般代理服务器地

址也是不固定的。

SSL：用以保障在 Internet 上数据传输之安全，利用数据加密(Encryption)技术，可确保数

据在网络上之传输过程中不会被截取及窃听。

POP3(Post Office Protocol 3)即邮局协议的第 3 个版本,它规定怎样将个人计算机连接到

Internet 的邮件服务器和下载电子邮件的电子协议

DHCP 服务器（动态主机配置协议）

CIDR (Classless InterDomain Routing)无类别域间路由选择，可以减少由核心路由器运载

的路由选择信息的数量。这是一种为解决地址耗尽而提出的一种措施。它是将好几个 IP 网

络结合在一起，使用一种无类别的域际路由选择算法，

DHCP 节省 IP 地址资源、方便地址管理，减轻网络管理人员的工作强度，特性：

1、 自动管理 IP 地址，防止重复的 IP 地址

2、 支持 BOOTP 客户

3、 可设置地址的租用时间

4、 可限制哪些以太网硬件地址可以享有动态 IP 地址服务

5、 可以定义一个被动态分配的 IP 地址池

6、 支持在不同的 IP 网络上两个以上 IP 地址池的联合

在局域网中各类服务器、受保护的计算机及其他需要固定 IP 地址才能被访问的计算机不能

纳入此类动态地址分配范围中。

BOOTP 是一个基于 TCP/IP 协议的协议，它可以让无盘站从一个中心服务器上获得 IP 地址，

为局域网中的无盘工作站分配动态 IP 地址，并不需要每个用户去设置静态 IP 地址。

29.6. 网络交换技术

多路复用技术

数据发送方将多个用户的数据通过复用器进行汇聚，然后将汇聚后的数据通过一条物理线路

传送到接收设备；接收设备通过分用器将数据分离成各个单独的数据，再分发给接收方的多

个用户。

多路复用技术一般可以划分为频分多路复用（FDMA）、波分多路复用（WDMA）、时分多路复用

（TDMA）和码分多路复用（CDMA）

FDMA：频分多路复用

将信道带宽按频率划分为若干个子信道，各子信道之间留一个宽度（称为保护带），每个子

信道可传输一路信号，即频分多路复用。电话信号的频分多路复用：载波通信系统是 FDMA

技术的典型例子。

WDMA：波分多路复用

波分多路复用采用的是光的频分多路复用，采用多个波长在单个光纤上传送信号，把输出光

纤通道划分成对应每个输入通道的不同的光波长，不同光纤上的光波信号通过无源的棱柱或

衍射光栅复用到一根长距离传输的光纤上。波分多路复用中使用的衍射光栅是无源的。

TDMA：时分多路复用

时分多路复用通过为多个信道分配互不重叠的时间片的方法来实现多路复用，时分多路复用

更适合于数字数据信号的传输。T1 标准就是采用时分复用技术

CDMA 码分多路复用

不同用户传输信息用各自不同的编码序列来区分，即取信号的不同波形来区分。CDMA 比

FDMA、TDMA 有更大的系统容量、更高的话音质量，以及抗干扰、保密等优点，是第三代数

字蜂窝移动通信系统首选方案。

交换技术

根据不同的网络交换方式，交换可分为电路交换方式、存储转发交换、分组数据报方式、虚

电路方式、ATM 交换方式。数据报方式和虚电路方式属于分组交换方式。通常最佳的分组长

度一般为 0.1KB~1KB。

电路交换方式：电话交换系统使用这种方式

两台计算机通过通信子网进行数据交换之前，首先要在通信子网中建立一个实际的物理链路

连接的交换方式，电路交换过程可分为线路建立、线路传输、线路释放三个阶段。

特点：

信号和数据的传输时延短且时延固定不变，适用于实时大批量连续的数据和信号传输

交换网对用户信息的编码方法、信息格式，以及传输控制程序等不加限制。

呼叫建立时间长且存在呼损（连接建立失败时，需拆除已建立的部分电路，用户需挂断电话

重新拨号，这个时间称为呼损）

线路（信道）利用率低，由于电路建立以后，信道是专用的，再加上通信建立、拆除时间和

呼损，其利用效率较低。

报文交换：适用于 EMAIL

也叫存储转发交换，数据传输的单位是报文。把要发送的信息组织成一个报文，其长度不

限且可变。报文是需要发送数据与目的地址、源地址、控制信息按照一定的格式组成的数据

单元，存储转发交换方式，不需要在两个站点之间建立一条专用通路。通信子网中的结点是

通信控制处理机。

特点：

1、 信道的利用率高

2、 在存储转发过程中，结点可以对数据进行处理，易于实现速度和代码的转换，为速度不

同、代码不同的计算机之间的互连和通信提供了条件。同时便于对数据进行差错检查与

恢复，提高数据传输的可靠性。

3、 通信子网中通信控制处理机具有路由功能，可以动态选择报文通过通信子网的最佳路

径，同时可以平滑通信量，提高系统效率。

分组交换

数据包有固定的长度，因而交换结点只要在内存中开辟一个小的缓冲区就可以了，进行分组

交换时，发送结点先要对传送的信息分组，对各个分组编号，加上源地址和目的地址以及

约定的分组头信息，这个过程叫做信息打包，一次通信中的所有分组在网络中传播分为两种

方式：数据报和虚电路

1、 数据报方式：类似于报文交换，每个分组在网络中的传播路径完全是由网络当时的善随

机决定的，到达目的地的顺序可能和发送的顺序不一致，在接收端要对收到的分组重排

顺序。数据报方式适合于单向在传送短信息。

2、 虚电路方式：在分组发送之前，需要在发送方和接收方建立一条逻辑连接的虚电路。报

文分组不必带目的地址、源地址等辅助信息。分组到达目的结点时不会出现丢失、重复

与乱序的现象。虚电路适合与交互式通信

ATM 交换：异步传输模式交换

ATM 数据传送单位是一固定长度的分组，称为信元，它有一个信元头及一个信元信息域。信

元长度为 53 个字节，其中信元头占 5 个字节，信息域占 48 个字节。信元头主要功能是：

信元的网络路由，采用了异步时分多路复用技术 ATDM。

ATM 网可分为三大部分：公用 ATM 网、专用 ATM 网和 ATM 接入网，专用 ATM 网是指一个单位

或部门范围内的 ATM 网，专用 ATM 网主要用于局域网互连或直接构成 LAN。

29.7. 网络存储技术

网络存储技术是基于数据存储的一种通用网络术语。网络存储设备提供网络信息系统的信息

存取和共享服务，其主要特征体现在：超大存储容量、大数据传输率、高系统可用性。

目前有三种存储技术：即 DAS（直接附加存储）、SAN（存储区域网络）、NAS（网络附加存储）

DAS：直接附加存储

存储设备是通过电缆（通常是 SCSI 接口电缆）直接到服务器的，I/O 请求直接发送到存储

设备，它依赖于服务器，本身是硬件的堆叠，不带任何存储操作系统

适用于：服务器地理位置分散，互连非常困难，存储系统必须直接连接到应用服务器（如使

用 ORACLE）、容量再分配困难、没有集中管理解决方案。容量扩展时会造成业务系统的停机。

NAS：网络附加存储

存储系统不通过 I/O 产品线附属于某个特定的服务器或客户机，而是直接通过网络接口与网

络直接相连，由用户通过网络访问。

NAS 实际上是一个带有瘦服务器的存储设备，硬件专门对数据传输进行了优化，数据不再通

过服务器内存转发，数据直接在客户机和存储设备间传送，使服务器从原先的 I/O 负载中解

脱出来，服务器仅起控制管理的作用，不需要在服务器和客户机上安装任何软件，可通过集

线器或交换机方便地接入到用户网络上，是一种即插即用的网络设备，扩展性好。

SAN 存储区域网络

SAN 是一种类似于普通局域网的调整存储网络，允许企业独立地增加它们的存储容量，并使

网络性能不至受到数据访问的影响，Open SAN（开放式存储区域网）是 SAN 存储技术发展的

最高境界。

SAN 主要适用于存储量大的工作环境，并且 SAN 的适用性和通用性差，在系统的安装和升级

方面效率不高，成本也比较高。

NAS：用户通过 TCP/IP 协议访问数据，采用业界标准文件共享协议如：NFS、HTTP、CIFS 实

现共享。

SAN：通过专用光纤通道交换机访问数据，采用 SCSI、FC-AL 接口。

NAS 和 SAN 最大的区别在于，NAS 结构中文件管理系统在每一个应用服务器上，SAN 有自己

的文件管理系统，应用服务器通过网络共享协议使用同一个文件管理系统。

数据管理

备份策略：

一般的数据备份操作有三种

1、 全盘备份，即将所有文件写入备份介质；所需时间长，恢复时间短，适用于数据量不大

2、 增量备份，只备份那些上次备份之后更改过的文件，是最有效的备份方法；

3、 差分备份，备份上次全盘备份之后更改过的所有文件，其优点是只需两组磁带就可恢复

最后一次全盘备份的磁带和最后一次差分备份的磁带。

4、 按需备份：根据临时需要有选择地进行数据备份

需备份的数据量：全盘备份最大，差分备份次之，增量备份最小。

备份介质

备份的设备包括磁盘、磁带和光盘塔，磁盘备份常用的方法是磁盘镜像、磁盘双工以及磁盘

阵列，磁盘镜像是指系统中使用两块一样大小的磁盘，在写入数据时，先将数据写入原盘，

然后再写入镜像盘，镜像盘中的数据与原盘的数据一模一样，起到备份的作用；磁盘双工是

两个互为备份的盘同时写入。磁盘阵列是将多个类型、容量、接口甚至品牌一致的专用磁盘

或普通磁盘连成一个阵列，使其能以某种快速、准确和安全的方式来读写磁盘数据，可提高

网络数据的可用性及存储容量，并能免除单块硬盘故障所带来的灾难性后果。

备份技术：冷备份、热备份

热备份是指在线备份，如磁盘镜像、磁盘双工、磁盘阵列，特点是调用快，使用方便，成本

高。

冷备份是指不在线备份，如磁带，特点是便于保管。

HSM 分级存储管理：是一套自动化的网络存储管理设备，利用硬盘、可擦写磁光盘、磁带进

行三层式存储管理，HSM 会自动判断硬盘中资料的使用频率，自动将不常用的资料移到速度

较慢的光盘，而最不常用的资料则移到磁带中，这些都由系统管理员自行设定。

在线恢复

带有在线恢复配置的系统能检测了故障，并重建处理、信息访问、通信等能力，它是通过使

用冗余硬件来自动处理的，冗余技术包括：

1、 磁盘系统冗余

2、 电源系统冗余

3、 网络系统冗余

4、 冷却系统冗余

5、 系统冗余：双机热备份高可用系统，通过对关键部件的冗余设计，可以保证系统硬件具

有很高的可用性。

灾难恢复

灾难恢复是针对大的灾难来保护系统、信息和能力，通常可分为两类，全盘恢复和个别文件

恢复，重定向恢复，重定向恢复是将备份的文件恢复到另一个不同的位置或系统上去，而不

是进行备份操作时它们当时所在的位置。重定向恢复可以是整个系统恢复也可以是个别文件

恢复，恢复时需要确认恢复后的可用性。

29.8. 网络接入技术

从电信网的角度来讲，可以将全网划分为公用网和用户驻地网（CPN）两大块，CPN 属用户

所有，通常意义的电信网指公用电信网部分。公用电信网又可以划分为长途网、中继网和接

入网。长途网和中继网合并称为核心网，接入网介于本地交换机和用户之间，主要完成使

用户接入到核心网的任务。

接入网由业务节点接口（SNI）和相关用户网络接口（UNI）及为传送电信业务所需承载能力

的系统组成。接入网由三个接口办公室，即网络侧经由 SNI 与业务节点相连，用户侧由 UNI

与用户相连，管理方面则经 Q3 接口与电信管理网（TMN）相连。

接入技术可分有有线接入和无线接入两大类，有线接入技术包括：基于双绞线的 ADSL 技术、

基于 HFC 网(光纤和同轴电缆混合网)的 Cable MODEN 技术、基于五类线的以太网接入技术，

以及光纤接入技术。

xDSL 接入

DSL（Digital Subscriber Line）数字用户线是基于普通电话线的宽带接入技术。在同一铜

线上分别传送数据和语音信号，数据信号不通过电话交换机设备，减轻了电话交换机的负载，

并且不需要拨号，一直在线，属于专线上网。x 代表各种数字用户环路技术，包括 HDSL、SDSL、

ADSL、RADSL、VDSL 等。

1、 HDSL：高速率数字用户线，对称 DSL 技术，现有的普通电话双绞铜线（两对或三对），

全双工 1.544Mb/s（T1）或 2.048b/s（E1），6~10km。，主要用在企事业单位，视频会议，

LAN 互联，PBX 程控交换机互连，升级型号 HDSL2

2、 SDSL：单线数字用户环路，对称的 DSL 技术，一对铜线

3、 ADSL：非对称数字用户线，上行 512Kb/s~1Mb/s，下行 1~8Mb/s。在保证不影响正常电

话使用的前提下，利用原有的电话双绞线进行高速数据传输。主要用于 Internet 接入、

居家购物、远程医疗等。属于 OSI 模型的物理层，主要实现信号的调制及提供接口类型

等一系列底层的电气特性。ADSL 标准主要有两种 G.DMT（上 1.5Mb/s，下 8Mb/s）和

G.Lite(上 128~384Kb/s，下 1.544Mb/s~6Mb/s)。

4、 RADSL ： 速 率自 适 应非对称 数字 用 户环 路 ，是 自 适应 速 率的 ADSL 技术 ， 上

272Kb/s~1.088Mb/s，下行 640Kb/s~22Mb/s。RADSL 的速率可以传输距离动态自适应，

当距离增大时，速率降低。

5、 VDSL：甚高速数字用户环路，非对称，是 xDSL 技术中最快的一种，上行 1.6Mb/s 以上，

下行 51Mb/s~55Mb/s。特点是速率高距离短（300m），适合中国实际情况的宽带接入解决

方案，和光纤到路边（FTTC）相结合，可作为无源光网络（PON）的补充，实现宽带接

入。

6、 CDSL：是 DSL 注册商标版本

7、 IDSL：ISDN-DSL 接入

8、 UDSL：单向 DSL 接入，是 HDSL 的单向版本。

HFC 接入

基于 HFC（光纤同轴电缆混合网）的 Cable MODEM 技术，对有线电视网络和电信公司。

Cable MODEM 的传输介质是 HFC 网，结构比普通 MODEM 复杂，由调制解调器、调谐器、加/

解密模块、桥接器、网络接口卡、以太网集线器等组成，无需拨号上网，不占用电话线，可

提供随时在线连接的全天候服务。

高速以太网接入

基于 5 类线的高速以太网由局侧设备和用户侧设备组成。容量分为 10/100/1000Mb/s 三级，

可按需升级。提供强大的网管功能和丰富的计费信息。以太网接入方式，在性能价格比上既

适合中国国情，又符合网络未来发展趋势。

X.25 接入

和 OSI 的数据链路层和物理层对应，由 ITU-T 提出，允许不同网络中的计算机通过一台工作

在网络层的中间计算机相互通信，X.25 协议提供了点对点的面向连接的通信，确保每个包

都可以到达其预期的目标地址。X.25 可以通过三种模式传输数据：交换型虚拟电路、永久

型虚拟电路和数据报。

DDN 接入

数字数据网是利用数字信道来连续传输数据信号的，不具备数据交换的功能。主要作用是

向用户提供永久性和半永久性连接的数字数据传输信道。可用于计算机之间的通信，可传送

数字传真、数字话音、数字图像信号等。永久性连接是指用户建立固定连接，传输速率不变

的独占带宽电路，半永久性对用户来说是非交换性的，由网络管理人员对其提出的传输速率、

传输数据的目的地和传输路由进行修改。

DDN 的特点

1、 传输速率高：2Mb/s

2、 传输质量高

3、 协议简单

4、 灵活的连接方式

5、 电路可靠性高

6、 网络运行管理简便

DDN 网络的结构

DDN 网由数字传输电路和数字交叉利用设备组成，数字传输主要以光缆传输为主。

DTE：数字终端设备，DSU：数据业务单元，NMC：网管中心

按照基本功能 DDN 网可分为核心层、接入层、用户接口层

29.9. 无线网络技术

无线接入可分为移动接入与固定接入两种。

WiMax（802.16 无线城域网接入）

是面向城域网的宽带无线接入技术（802.16）的代名词。最大覆盖范围是 50km，速率 100Mb/s，

是一种定位于 IP 城域网的无线接入技术。主要用于固定无线宽带接入地理位置分散的信息

节点的回程传输，WiMax 系统可以连接 WLAN 的节点和因特网，可作为企业 T1 或家庭 xDSL

和 Cable MODEM 的无线扩充技术，或取代有线宽带接入的市场。

WiMax 的技术特点：

1、 链路层技术

2、 QoS 性能：可向用户提供 QoS 性能的数据、视频、话音业务，可提供三种等级服务：CBR

（固定带宽）、CIR（承诺带宽）、BE（尽力而为）

Wi-Fi（802.11 无线局域网接入）

Wi-Fi 是 802.11 标准的代名词，是针对局域网的无线接入技术制定的，覆盖距离 10~300 米，

是解决“最后 100 米”的通信接入。实际应用的有 802.11、802.11b、802.11a、802.11g

CDMA2000

WCDMA（宽带码分多路访问）

3G 的主流技术之一，

第三代的主要技术体制中的 WCDMA-FDD/TDD 和 TD-SCDMA 都是以 CDMA 技术为核心。

29.10. 光网络技术

光纤通信具有通信容量大、质量高、性能稳定、防电磁干扰、保密性强等优点。

光纤接入网是指接入网中的传输媒介为光纤的接入网，光纤接入网从技术可分为两大类：有

源光网络（AON）和无源光网络（PON），有源光网络分为基于 SDH（同步光网络）和基于 PDH

（异步光网络）的 AON，无源光网络分为 APON（ATM PON）和 EPON（以太网 PON）。

根据光网络单元的位置，光纤接入方式可分为

1、 FTTR：光纤到远端接点，Fiber to the Remote

2、 FTTB：光纤到大楼，Fiber To The Building

3、 FTTC：光纤到路边，Fibre to the Curb

4、 FTTZ：光纤到小区，Fiber To The Zone

5、 FTTH：光纤到户，Fiber to the Home

接入网用 SDH 系统

无源光网络 PON

无源光网络是一种纯介质网络，避免了外部设备的电磁干扰和雷电影响，减少了线路和外部

设备的故障率，提高了系统可靠性。

标称速率有两种

1、 适用 FTTC 的对称 155.52Mb/s

2、 适用 FTTC 的非对称，下行 622.08Mb/s，上行 155.52Mb/s。

FSO（Free Space Optics 无线光通信）

FSO 技术基于光传输方式，具有高带宽，部署迅捷、费用合同等优势，FSO 以激光为载体，

用点对点或点对多点的方式实现连接，以空气为传输介质。

29.11. 网络规划与设计

1、 应用需求分析：对应用系统在网络需求进行深入调查是做好网络系统需求分析的基础

1、应用需求调研：，包括应用系统性能、应用系统的节点、数据量和频度、数据类型和

数据流向，

2、网络应用分析：

2、 现有网络系统分析：

1、现有网络系统结构调研：服务器数量和位置，客户机的数量和位置，同时访问的用

户数量，每天的用户数，每次使用的时间，每次数据传输的数据量，网络拥塞的时间段，

采用的协议，通信模式。

2、现有网络体系结构分析：

3、 需求分析：用户对目标网络系统在功能上、通信能力、性能、可靠性、安全性、运行维

护及管理方面的期望。

4、 技术和产品的调研和评估：网络产品、网络技术

5、 网络设计的目标原则：

1、网络设计目标：功能性、可升级性、可适应性、可管理性、费用有限性，高效率性

2、网络设计原则：先进性、实用性，可扩充、可维护性、可靠性、安全保密性

3、网络设计标准：布线标准、节点编码标准、设备选择标准、物理安全标准

6、 网络系统的设计

1、确定协议

2、确定拓扑结构：分析原有拓扑结构，确定拓扑结构，定服务器位置，确定配线间位

置，节点编号和线路编号

3、确定连接：布线

4、确定节点

5、确定网络的性能

6、确定可靠性措施

7、确定安全性措施

8、网络设备的选择

7、 设计评审

29.12. 综合布线系统

建筑物与建筑群综合布线系统简称综合布线系统，它是指一幢建筑物内或建筑群体中的信息

传输媒质系统，是将相同或相似的缆线（如双绞线、同轴电缆或光纤），连接硬件组合在一

套标准的且能用的、按一定秩序和内部关系而集成的整体。

综合布线系统的特点：

1、 兼容性

2、 开放性

3、 灵活性

4、 可靠性

5、 先进性

6、 经常性

综合布线系统的范围分为两种：单幢建筑和建筑群体。

综合布线系统的组成（六个子系统）

1、 建筑群子系统：实现建筑物之间的相互连接，光缆

2、 垂直干线子系统：负责连接管理间子系统到设备间子系统，使用光缆或 UTP

3、 水平配线子系统：实现信息插座和管理子系统的连接。

4、 设备间子系统：由设备中的电缆、连接器和相关支撑设备组成，与公共系统设备相连。

5、 管理子系统：为连接其他子系统提供连接手段，由配线架、HUB 和机柜、电源

6、 工作区子系统：由终端设备连接到信息插座的连线组成。包括连接器和适配器

综合布线系统的性能指标

应用级别

A 级：包括语音频带及低频应用

B 级：包括中比特率的数据应用

C 级：包括高比特率的数据应用

D 级：包括甚高比特率的数据应用

光纤级：包括高和甚高比特率的数据应用

29.13. 机房工程

机房工程结合了机房的环境条件、消防与安全、室内装修、送配电、综合布线、空气调节、

照明、接地等方面的内容

机房宜设于建筑物的第 2、3 层

29.14. 网络管理

网络管理工具

HP 的 Open View

IBM 的 Net View

Sun 的 SunNet Manager

Cabletron 的 SPECTURM

Cisco 的 Work 2000

网络故障分类

1、 硬件故障

2、 网络和配置故障

3、 线路故障

4、 路由器故障

5、 主机故障

网络安全管理

攻击类型

1、 入侵

2、 拒绝服务

3、 信息窃取

安全机制

1、 身份验证

2、 授权

3、 审核

4、 数据加密

5、 公共密匙加密和数字签名

6、 数据包过滤

7、 防火墙

8、 入侵监测系统

9、 物理安全

网络防病毒措施

1、 保护服务程序的安全

2、 保护工作站的安全