今年{zh1}一个模块，我把我学习到的东西共享给大家。我{dy}年的目标：公司信息安全评估工程师

{dy}章 － 概括

说道安全各位首先能想到的是什么黑客，入侵，木马乱七八糟的，其实不然。
但你在一家有5000名员工的公司工作时，会感觉压力很大，嗯，鸭梨很大。
要保证公司内部信息不会被泄露首先你得知道哪些信息重要哪些是次要的，其次将其一一分类。
其次就是物理了，说道物理就是指的员工与服务器。

这里插入一个小插曲，记得不久以前我在网上订购了一家酒店的房间，这家酒店除了需要你的名字等相关信息以外还需要一个凭证，这个凭证得自己打印。可是当天不巧打印机坏了，我就把凭证装在了u盘中到时候去前台打印。到了前台问小姐能不能把凭证打印出来对方回答说可以。于是我把u盘给她，她把电脑屏幕转过来问我是那个文件，然后我指给她了。

作为一个还没毕业的评估工程师我只找到了5处可以泄密与不安全的地方。
1.她让我指出文件的时候我最少看到了3个住户的信息。
2.电脑链接着局域网
3.没有装杀软
4.右下角有windowds update提示
5.如果我在u盘中装一个木马，说不定我可以免费住几天呢，嘿嘿

在说一个员工的例子，某个员工，打印了一张a客户订单发现有错误，揉纸，扔掉...
如果这张纸被b客户发现了，而且这个b客户发现他的优惠比a客户的少，那将是什么后果？

用户说完了说说物理。
说道物理当然是，保密性，可用性，完整性这三条了。

首先说道机房，这个地方可不是随便进的，就连管理员也不能近他们远程操作就行了，在一家公司中只有，老板，会计总管，信息安全评估人员了。接着是机房的位置，首先...你千万别放地下室，万一发大水就完蛋了，那你会说了放顶楼好不好？我说不好，一个机柜服务器的重量大于100公斤，你公司6楼还好要是160楼呢？那到底放哪里？大部分公司都把他放置在3楼，有些资金雄厚的公司还专门租一块地牵一条专线。接着在说说可用性，除了保证一台备用服务器以外，raid技术，双电源，经常的备份是不可缺少的，当然购买服务器时的保修也要要求商家在8小时内进行修复。{zh1}在说说完整xx，什么是完整性呢？很多人和可用性搞混，举一个例子。

你有2台服务器每天都进行备份。突然有{yt}2台的硬盘同时坏了，不巧的是a服务器在坏之前已经有了坏道。这时你恢复的文件有些能正常打开有些却是乱码，这里说的就是完整性了。

其实说得更简单一点，完整性＝不能信任 可用性＝可以信任。

今天就写到这里。各位可以看看下面的文章，可能要fanqiang，是我学校的老师和学校已经毕业在岗学生写的一些技术文章，有英语的。都是讲一些如何保护系统信息。

http://www.clusif.asso.fr