网络安全概论 网络与信息安全研究所 HFUT DSP Lab 苏兆品

Presentation on theme: "网络安全概论 网络与信息安全研究所 HFUT DSP Lab 苏兆品"— Presentation transcript:

1 网络安全概论 网络与信息安全研究所 HFUT DSP Lab 苏兆品 http://dsp.hfut.edu.cn/agent

2 与网络安全相关的问题

3 网络安全的重要性

4 教学内容及课时安排（32课时） 网络安全概述 密码学相关知识 网络安全协议 访问控制技术

5 网络攻防技术 信息隐藏与数字水印 无线网络安全 生物认证技术 信息安全新技术

6 教材 刘建伟，网络安全概论，电子工业出版社 黄传河等，网络安全，武汉大学出版社
William Stallings著，刘玉珍等译，密码编码学与网络安全，，电子工业出版社

7 如何上？ 内容不局限于教材 补充和学习最新的资料 阅读材料 学习报告 分组讨论

8

9 第一讲 网络安全概述

10 提纲 网络安全的本质和内容 计算机网络的脆弱性 网络安全的六大目标 网络安全的主要威胁 网络安全的攻击手段 网络安全的八大机制
安全标准和组织 安全保障

11 1 网络安全的本质和内容 网络安全从其本质上来讲就是网络上的信息安全。
从广义上来说，凡是涉及到网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。 网络安全主要涉及网络安全威胁的主要类型、网络攻击的手段、网络安全机制、网络安全技术以及信息安全等级标准等方面内容。

12 网络安全的目标 进不来 拿不走 看不懂 改不了 跑不了
即非合法用户进入不了系统；非授权用户拿不走信息；重要的信息进行了加密，即使看到了也看不懂；进入系统或在涉密系统内进行违规操作，就会留下痕迹，走不脱；拿走或篡改了信息，就有相关记录，想赖也赖不掉。

13 信息安全概念与技术的发展 信息安全的概念与技术是随着人们的需求，随着计算机、通信与网络等信息技术的发展而不断发展的。 单机系统的信息保密阶段
（1） （2）网络信息安全阶段。研究成果：被动防御技术[—与事先准备的入侵模式库进行匹配来检测攻击]（安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等）；CC通用评估准则 （3）信息保障阶段 ●信息保障（IA）的定义：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。 网络信息安全阶段 信息保障阶段

14 单机系统的信息保密阶段 各种密码算法及其应用（DES、RSA、ECC） 安全评价准则（TCSEC、ITSEC）

15 网络信息安全阶段 该阶段中，除了采用和研究各种加密技术外，还开发了许多针对网络环境的信息安全与防护技术（被动防御）：
安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等。 1988年莫里斯蠕虫爆发 对网络安全的关注与研究 CERT成立 计算机紧急响应组织（CERT）

16 信息保障阶段 信息保障（IA）概念与思想是20世纪90年代由美国国防部长办公室提出。
定义：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。 美国国家安全局制定的信息保障技术框架IATF，提出“纵深防御策略”DiD（Defense-in-Depth Strategy）。 信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。

17 引发网络安全事件的主要因素

18 为什么网络安全变得非常重要 进行网络攻击变得越来越简单 越来越多的个人或公司连入Internet 并不是所有的用户都具有基本的安全知识

19 Internet为什么不安全 Internet的设计思想:几乎所有的 Internet 协议都没有考虑安全机制。
技术资料公开:核心技术资料,源代码 安全意识缺乏：方便性和安全性总是相互冲突，很难兼得的。 Internet的设计思想：Internet 在其早期是一个开放的为研究人员服务的网际网，是完全非赢利性的信息共享载体，所以，几乎所有的 Internet 协议都没有考虑安全机制。 技术资料公开：Internet 不安全的另一个因素是因为人们很容易从 Internet 上获得相关的核心技术资料，特别是有关 Internet 自身的技术资料，比如 RFC, FAQ 文档，各类应用程序原代码，如 TCP/IP, Sendmail, FTP 等， 还有各类安全工具的原代码也是公开免费的， 象颇有争议的 逍遥,Crack 等。这些资料拿出来共享其愿望是好的， 但也难免产生事与愿违的效果。 安全意识缺乏：Internet 不安全的另一个致命因素是使用者普遍缺乏安全意识，特别是那些对计算机和 Internet 技术不了解的用户。很少用户会去读 RFC1244 安全手册，或关注 CERT 安全组织提出的忠告。对大多数用户来说， 能管好自己的密码就万事大吉了，但又有多少用户愿意取一个不好记的密码呢？ 方便性和安全性总是相互冲突，很难兼得的。

20 2 计算机网络的脆弱性 体系结构的脆弱性。网络体系结构要求上层调用下层的服务，上层是服务调用者，下层是服务提供者，当下层提供的服务出错时，会使上层的工作受到影响。 网络通信的脆弱性。网络安全通信是实现网络设备之间、网络设备与主机节点之间进行信息交换的保障，然而通信协议或通信系统的安全缺陷往往危及到网络系统的整体安全。 网络操作系统的脆弱性。目前的操作系统，无论是Windows、UNIX还是Netware都存在安全漏洞，这些漏洞一旦被发现和利用将对整个网络系统造成巨大的损失 网络应用系统的脆弱性。 网络管理的脆弱性。

21 3 信息安全的六大目标 可靠性 可用性 真实性 保密性 完整性 不可抵赖性 信 息 安 全

22 可靠性 可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。 可靠性包括： 硬件可靠性 软件可靠性 通讯可靠性
人员可靠性 环境可靠性 可靠性主要表现在硬件可靠性、软件可靠性、人员可靠性、环境可靠性等方面。硬件可靠性最为直观和常见。软件可靠性是指在规定的时间内，程序成功运行的概率。人员可靠性是指人员成功地完成工作或任务的概率。人员可靠性在整个系统可靠性中扮演重要角色，因为系统失效的大部分原因是人为差错造成的。人的行为要受到生理和心理的影响，受到其技术熟练程度、责任心和品德等素质方面的影响。因此，人员的教育、培养、训练和管理以及合理的人机界面是提高可靠性的重要方面。环境可靠性是指在规定的环境内，保证网络成功运行的概率。这里的环境主要是指自然环境和电磁环境。

23 可用性 可用性即网络信息系统在需要时，允许授权用户或实体使用的特性；或者是网络信息系统部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。 可用性还应该满足以下要求： 身份识别与确认、 访问控制 业务流控制 路由选择控制 审计跟踪 访问控制:对用户的权限进行控制，只能访问相应权限的资源，防止或限制经隐蔽通道的非法访问。包括自主访问控制和强制访问控制)、 业务流控制:利用均分负荷方法，防止业务流量过度集中而引起网络阻塞 路由选择控制:选择那些稳定可靠的子网，中继线或链路等 审计跟踪:把网络信息系统中发生的所有安全事件情况存储在安全审计跟踪之中，以便分析原因，分清责任，及时采取相应的措施。审计跟踪的信息主要包括：事件类型、被管客体等级、事件时间、事件信息、事件回答以及事件统计等方面的信息。

24 真实性 确保网络信息系统的访问者与其声称的身份是一致的； 确保网络应用程序的身份和功能与其声称的身份和功能是一致的；
确保网络信息系统操作的数据是真实有效的数据。

25 保密性 保密性是防止信息泄漏给非授权个人或实体，只允许授权用户访问的特性。
保密性是一种面向信息的安全性，它建立在可靠性和可用性的基础之上，是保障网络信息系统安全的基本要求。 常用的保密技术包括： 防侦收：使对手侦收不到有用的信息 防辐射：防止有用信息以各种途径辐射出去 信息加密：在密钥的控制下，用加密算法对信息进行加密处理 物理保密：利用各种物理方法，如限制、隔离、掩蔽、控制等措施，保护信息不被泄露 常用的保密技术包括：防侦收(使对手侦收不到有用的信息)、防辐射()、信息加密(。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息)、物理保密()。

26 完整性 完整性是信息在未经合法授权时不能被改变的特性，也就是信息在生成、存储或传输过程中保证不被偶然或蓄意地删除、修改、伪造、乱序、插入等破坏和丢失的特性。 完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成、正确存储和正确传输 影响网络信息完整性的主要因素有：设备故障、误码(传输、处理和存储过程中产生的误码，定时的稳定度和精度降低造成的误码，各种干扰源造成的误码)、人为攻击、计算机病毒等。 保障网络信息完整性的主要方法有： 　　协议：通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段; 　　纠错编码方法：由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法; 　　密码校验和方法：它是抗撰改和传输失败的重要手段; 　　数字签名：保障信息的真实性; 　　公证：请求网络管理或中介机构证明信息的真实性。

27 影响因素有：设备故障、误码、人为攻击、病毒等
主要方法有：协议、纠错编码方法、密码校验和方法、数字签名、公证

28 不可抵赖性 不可抵赖性也称作不可否认性，即在网络信息系统的信息交互过程中所有参与者都不可能否认或抵赖曾经完成的操作的特性。
当发方发送信息时，收方能够证明信息源是合法的； 当收方接到信息时，发方能够证明信息目的地是合法的。 为作到这一点，发方发送信息时要有发方的签名，收方应发收方签名的回执， 不得否认发送：这种服务向数据接收者提供数据源的证据，从而可防止发送者否认发送过这个数据。  不得否认接收：这种服务向数据发送者提供数据已交付给接收者的证据，因而接收者事后不能否认曾收到此数据。 

29 4 网络安全的主要威胁 威胁类型 设信息是从源地址流向目的地址，那么正常的信息流向是： 信息源 信息目的地 四个方面的威胁：

30 中断威胁 使在用信息系统毁坏或不能使用的攻击，破坏可用性（availability）。
如硬盘等一块硬件的毁坏，通信线路的切断，文件管理系统的瘫痪等。 信息源 信息目的地

31 侦听威胁 一个非授权方介入系统的攻击，破坏保密性(confidentiality). 非授权方可以是一个人，一个程序，一台微机。
这种攻击包括搭线窃听，文件或程序的不正当拷贝。 信息源 信息目的地

32 修改威胁 一个非授权方不仅介入系统而且在系统中‘瞎捣乱’的攻击，破坏完整性（integrity）.
这些攻击包括改变数据文件，改变程序使之不能正确执行，修改信件内容等。 信息目的地 信息源

33 伪造威胁 一个非授权方将伪造的客体插入系统中，破坏真实性（authenticity）的攻击。 包括网络中插入假信件，或者在文件中追加记录等。
信息目的地 信息源

34 主要威胁 主 要 威 胁 内部窃密和破坏 窃听和截收 非法访问 破坏信息的完整性 冒充 流量分析攻击 其他威胁
非法访问(以未经授权的方式使用网络资源) 破坏信息的完整性(通过篡改、删除和插入等方式破坏信息的完整性) 冒充(攻击者利用冒充手段窃取信息、入侵系统、破坏网络正常通讯或欺骗合法主机和合法用户。) 流量分析攻击(分析通信双方通信流量的大小，以期获得相关信息。) 其他威胁(病毒、电磁泄漏、各种自然灾害、战争、失窃、操作失误等) 34

35 5 信息与网络安全的攻击手段 物理破坏 窃听 数据中断攻击 数据篡改攻击 数据伪造攻击 数据重放攻击 盗用口令攻击 中间人攻击
缓冲区溢出攻击 分发攻击 野蛮攻击 SQL注入攻击 计算机病毒 蠕虫 后门攻击 欺骗攻击 拒绝服务攻击 特洛伊木马

36 网络信息系统 天灾 后门、隐蔽通道 黑客攻击 特洛伊木马 计算机病毒 信息泄漏、篡改、破坏 拒绝服务攻击 社会工程 逻辑炸弹 内部人员威胁
蠕虫 社会工程 天灾 系统Bug 社会工程就是黑客们利用人与人之间的交往，取得被害人的信任，然后就是想干嘛干嘛了。社会工程是一种非技术手段的黑客行为，利用了网络安全体系中最没有办法控制、没有办法打补丁的一个因素——人

37 物理破坏 攻击者可以直接接触到信息与网络系统的硬件、软件和周边环境设备。通过对硬件设备、网络线路、电源、空调等的破坏，使系统无法正常工作，甚至导致程序和数据无法恢复。

38 窃听 一般情况下，攻击者侦听网络数据流，获取通信数据，造成通信信息外泄，甚至危及敏感数据的安全。其中的一种较为普遍的是sniffer 攻击（sniffer attack）。 sniffer是指能解读、监视、拦截网络数据交换并且阅读数据包的程序或设备。

39 数据阻断攻击 攻击者在不破坏物理线路的前提下，通过干扰、连接配置等方式，阻止通信各方之间的数据交换。 阻断攻击

40 数据篡改攻击 攻击者在非法读取数据后，进行篡改数据，以达到通信用户无法获得真实信息的攻击目的。
如信件“允许张三读机密帐簿”可被修改成“允许李四读机密帐簿”。 篡改攻击

41 数据伪造攻击 又称冒充攻击 一个实体假装成另外一个实体。
攻击者在了解通信协议的前提下，伪造数据包发给通讯各方，导致通讯各方的信息系统无法正常的工作，或者造成数据错误。 在鉴别过程中，获取有效鉴别序列，在以后冒名重播的方式获得部分特权。 伪造攻击

42 数据重放攻击 阿里巴巴和40大盗的故事 获取有效数据段以重播的方式获取对方信任：攻击者尽管不了解通信协议的格式和内容，但只要能够对线路上的数据包进行窃听，就可以将收到的数据包再度发给接收方，导致接收方的信息系统无法正常的工作，或者造成数据错误。 在远程登录时如果一个人的口令不改变，则容易被第三者获取，并用于冒名重放。 假设Alice向Bob认证自己。Bob要求她提供密码作为身份信息。同时，Eve窃听了两人的通讯，并记录了密码。在Alice和Bob完成通讯后，Eve联系Bob，假装自己为Alice，当Bob要求密码时，Eve将Alice的密码发出，Bob认可和自己通讯的人是Alice ； 阿里巴巴和40大盗的故事 重放攻击

43 盗用口令攻击 盗用口令攻击（password-based attacks）
攻击者通过多种途径获取用户合法账号进入目标网络，攻击者也就可以随心所欲地盗取合法用户信息以及网络信息；修改服务器和网络配置；增加、篡改和删除数据等等。

44 中间人攻击 中间人攻击（man-in-the-middle attack）是指通过第三方进行网络攻击，以达到欺骗被攻击系统、反跟踪、保护攻击者或者组织大规模攻击的目的。 中间人攻击类似于身份欺骗，被利用作为中间人的的主机称为Remote Host（黑客取其谐音称之为“肉鸡”）。网络上的大量的计算机被黑客通过这样的方式控制，将造成巨大的损失，这样的主机也称做僵尸主机。

45

46 缓冲区溢出攻击 缓冲区溢出（又称堆栈溢出）攻击是最常用的黑客技术之一。
攻击者输入的数据长度超过应用程序给定的缓冲区的长度，覆盖其它数据区，造成应用程序错误，而覆盖缓冲区的数据恰恰是黑客的入侵程序代码，黑客就可以获取程序的控制权。

47 后门攻击 后门一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。
后门攻击（backdoor attack）是指攻击者故意在服务器操作系统或应用系统中制造一个后门，以便可以绕过正常的访问控制。攻击者往往就是设计该应用系统的程序员。 在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。

48 欺骗攻击 欺骗攻击可以分为地址欺骗、电子信件欺骗、WEB欺骗和非技术类欺骗。攻击者隐瞒个人真实信息，欺骗对方，以达到攻击的目的。

49 拒绝服务攻击 DoS（Denial of Service，拒绝服务攻击）的目的是使计算机或网络无法提供正常的服务。
常见的方式是：使用极大的通信量冲击网络系统，使得所有可用网络资源都被消耗殆尽，最后导致网络系统无法向合法的用户提供服务。 如果攻击者组织多个攻击点对一个或多个目标同时发动DoS攻击，就可以极大地提高DoS攻击的威力，这种方式称为DDoS（Distributed Denial of Service，分布式拒绝服务）攻击。

50 分发攻击 指攻击者在生产、销售和安装过程中恶意修改硬件或软件，引入恶意代码（如后门）等的攻击行为
有时也指利用系统或管理人员向用户分发帐号和密码的过程窃取资料。

51 野蛮攻击 野蛮攻击包括字典攻击和穷举攻击。
字典攻击是使用常用的术语或单词列表进行验证，攻击取决于字典的范围和广度。由于人们往往偏爱简单易记的口令，字典攻击的成功率往往很高。 如果字典攻击仍然不能够成功，入侵者会采取穷举攻击。穷举攻击采用排列组合的方式生成密码。一般从长度为1的口令开始，按长度递增进行尝试攻击。

52 SQL注入攻击 攻击者利用被攻击主机的SQL数据库和网站的漏洞来实施攻击，入侵者通过提交一段数据库查询代码，根据程序返回的结果获得攻击者想得知的数据，从而达到攻击目的。 statement := "SELECT * FROM data WHERE id = " + a_variable + "; "

53 计算机病毒与蠕虫 计算机病毒（Computer Virus）是指编制者编写的一组计算机指令或者程序代码，它能够进行传播和自我复制，修改其他的计算机程序并夺取控制权，以达到破坏数据、阻塞通信及破坏计算机软硬件功能的目的。 蠕虫也是一种程序，它可以通过网络等途径将自身的全部代码或部分代码复制、传播给其他的计算机系统，但它在复制、传播时，不寄生于病毒宿主之中。 蠕虫病毒是能够是寄生于被感染主机的蠕虫程序，具有病毒的全部特成，通常利用计算机系统的漏洞在网络上大规模传播。

54 特洛伊木马 特洛伊木马简称木马，它由两部分组成：服务器程序和控制器程序，当主机被装上服务器程序，攻击者就可以使用控制器程序通过网络来控制主机。 木马通常是利用蠕虫病毒、黑客入侵或者使用者的疏忽将服务器程序安装到主机上的。

55 6 网络安全的八大机制 数据加密机制 数据完整性机制 数字签名机制 访问控制机制 实体认证机制 业务填充机制 路由控制机制 公证机制

56 数据加密机制 密码技术是保障信息安全的核心技术。 信息加密是保障信息安全的最基本、最核心的技术措施和理论基础。
消息被称为明文。用某种方法伪装消息以隐藏它的内容的过程称为加密。 加了密的消息称为密文。而把密文转变为明文的过程称为解密。 信息加密是保障信息安全的最基本、最核心的技术措施和理论基础。

57 信息加密也是现代密码学主要组成部分。 按密钥类型划分，加密算法可分为对称密钥加密算法和非对称密钥两种；
按密码体制分，可分为序列密码和分组密码算法两种。 用加密的方法与其他技术相结合，可以提供数据的保密性和完整性。 与加密机制伴随而来的是密钥管理机制。

58 数据完整性机制 附加一个量 比较这个量 还要加上顺序号、时间标记和密码链 是保护数据，以免未授权的数据乱序、丢失、重放、插入和纂改。
数据完整性机制的两个方面 单个数据单元或字段的完整性（不能防止单个数据单元的重放） 数据单元串或字段串的完整性：是要求数据编号的连续性和时间标记的正确性，以防止假冒、丢失、重发、插入或修改数据。 发送方 接收方 附加一个量 比较这个量 保证数据完整性的一般方法是：发送实体在一个数据单元上加一个标记，这个标记是数据本身的函数，如一个分组校验，或密码校验函数，它本身是经过加密的。接收实体是一个对应的标记，并将所产生的标记与接收的标记相比较，以确定在传输过程中数据是否被修改过。 还要加上顺序号、时间标记和密码链

59 数字签名机制 数字签名保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。 解决如下安全问题：
否认：发送者事后不承认自己发送过某份文件。 伪造：接收者伪造一份文件，声称它发自发送者。 冒充：网上的某个用户冒充另一个用户接收或发送信息。 篡改：接收者对收到的信息进行部分篡改。

60 访问控制机制 访问控制的目的是防止对信息资源的非授权访问和非授权使用信息资源。
允许用户对其常用的信息库进行适当权限的访问，限制他随意删除、修改或拷贝信息文件。 还可以使系统管理员跟踪用户在网络中的活动，及时发现并拒绝“黑客”的入侵。 自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC）

61 实体认证机制 用于认证交换的技术 为防止重放攻击，常与以下技术结合使用 认证信息，如口令 密码技术 被认证实体的特征 时间戳 两次或三次握手
数字签名

62 路由控制机制 路由控制机制可使信息发送者选择特殊的路由，以保证连接、传输的安全。其基本功能为： 路由选择 路由连接
路由可以动态选择，也可以预定义，以便只用物理上安全的子网、中继或链路进行连接和/或传输； 路由连接 在监测到持续的操作攻击时，端系统可能同意网络服务提供者另选路由，建立连接； 安全策略 携带某些安全标签的数据可能被安全策略禁止通过某些子网、中继或路。连接的发起者可以提出有关路由选择的警告，要求回避某些特定的子网、中继或链路进行连接和/或传输。

63 业务填充机制 所谓的业务填充是指即使在业务闲时发送无用的随机数据，增加攻击者通过通信流量获得信息的困难，是一种制造假的通信、产生欺骗性数据单元或在数据单元中产生数据的安全机制。 目的： 防止对业务进行分析，使非法者无法区分有用信息和无用信息。 增加了密码通讯的破译难度

64 公证机制 有关在两个或多个实体之间通信的数据的性质, 如完整性、原发、时间和目的地等能够借助公证机制而得到确保。
这种保证是由第三方公证人提供的。公证人为通信实体所信任, 并掌握必要信息以一种可证实方式提供所需的保证。 每个通信实例可使用数字签名、加密和完整性机制以适应公证人提供的服务。当这种公证机制被用到时, 数据便在参与通信的实体之间经由受保护的通信和公证方进行通信

65 普适性安全机制 安全标签 事件检测 审计跟踪 安全恢复

66 7 安全标准和组织 信息安全是信息系统实现互联、互用、互操作过程中提出的安全需求，因此迫切需要技术标准来规范系统的设计和实现。
信息安全标准是一种多学科、综合性、规范性很强的标准，其目的在于保证信息系统的安全运行。 一个完整、统一、科学、先进的国家信息安全标准体系是十分重要的。没有标准就没有规范，无规范就无法形成规模化信息安全产业，无法生产出满足信息社会广泛需求的产品；没有标准同时无法规范人们的安全防范行为，提高全体人员的信息安全意识和整体水平。

67 有关信息安全的国内外标准 TCSEC （可信计算机系统评价准则) Itsec（信息技术安全评价准则 ）
Ctcpec（加拿大可信计算机产品评价准则 ） Fc（信息技术安全评价联邦准则 ） CC(Common Criteria standard，通用准则 ) 中国计算机安全等级划分 cc是国际标准化组织统一现有多种准则的结果，是目前最全面的评价准则。1996年6月，cc第一版发布；1998年5月，cc第二版发布；1999年10月cc v2.1版发布，并且成为iso标准。cc的主要思想和框架都取自itsec和fc，并充分突出了“保护轮廓”概念。cc将评估过程划分为功能和保证两部分，评估等级分为eal1、eal2、eal3、eal4、eal5、eal6和eal7共七个等级。每一级均需评估7个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。 BS7799由英国标准协会提出。2000年由ISO审核通过成为国际标准（代号ISO17799），现已成为信息安全领域中应用最普遍、最典型的标准之一。 BS7799是一个非常详细的安全标准，有10个组成部分，每部分覆盖一个不同的主题或领域。 （1）商务可持续计划 （2）系统访问权限控制 （3）系统开发和维护 （4）物理与环境安全 （5）遵守法律和规定 （6）人事安全 （7）安全组织 （8）计算机和网络管理 （9）资产分类和控制 （10）安全方针

68 = 从TCSEC到CC国际标准的演变 ctcpec 桔皮书 加拿大 93’ CC标准 CC标准 美国联邦 项目 美国 1.0 fc
85’ 美国联邦 fc ‘93 CC标准 1.0 ‘96 CC标准 项目 ‘93 国际标准 ISO/IEC 15408 ‘99 = 桔皮书 第一个有关信息技术安全评价的标准诞生于八十年代的美国，就是著名的“可信计算机系统评价准则”（tcsec，又称桔皮书）。该准则对计算机操作系统的安全性规定了不同的等级。从九十年代开始，一些国家和国际组织相继提出了新的安全评价准则。1991年，欧共体发布了“信息技术安全评价准则”（itsec）。1993年，加拿大发布了“加拿大可信计算机产品评价准则”（ctcpec），ctcpec综合了tcsec和itsec两个准则的优点。同年，美国在对tcsec进行修改补充并吸收itsec优点的基础上，发布了“信息技术安全评价联邦准则”（fc）。1993年6月，上述国家共同起草了一份通用准则（cc），并将cc推广为国际标准。 欧洲ITSEC 标准 ‘91 ISO 建标工作 ‘92-- 从TCSEC到CC国际标准的演变

69 TCSEC(可信计算机系统评价准则) 第一个有关信息技术安全评价的标准，即橙皮书。橙皮书是一个比较成功的计算机安全标准，得到了广泛的应用，并且已成为其他国家和国际组织制定计算机安全标准的基础和参照，具有划时代的意义。 TCSEC标准定义4个等级（d<c<b<a）、7个级别（d1<c1<c2< b1<b2<b3<a1） d类安全等级只包括d1一个级别。d1的安全等级最低。

70 中国计算机安全等级划分 1999年中国颁布《计算机信息系统安全保护等级划分准则》 《准则》对计算机信息系统安全保护能力划分了5个等级
第一级：用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。 第二级：系统审计保护级。除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己行为的合法性负责。 第三级：安全标记保护级。除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访间对象的强制访问。 第四级：结构化保护级。在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。 第五级：访问验证保护级。这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。

71 作业1 请比较可信计算机系统评价准则和中国计算机安全等级划分标准之间的区别和联系。

72 8 安全保障 信息安全是涉及面极广的系统，要实现真正意义上的安全保密，必须同时从法规政策、管理、技术三个层面全方位采取有效措施，其中包括：
正确的认识 先进的技术 严格的管理 完善的法规 坚实的理论

73 正确的认识 信息安全的重要性：过左，过右 需求的准确性： 风险意识 利弊分析 信息安全的重要性
左的认识往往过分强调信息安全的重要性，夸大危害和后果，不讲利弊的辩证关系，动不动提到国家安全的高度 右的认识则对信息安全过分不重视，看不到网络入侵所造成的严重后果，因而没有投入必要的人、财、物力来加强网络的安全性，未能采取正确的安全策略和安全机制。 需求的准确性 用户首先对自身系统所面临的威胁进行风险评估，决定所需要的安全服务，选择相应的安全机制，然后集成先进的安全技术，提供可靠的安全功能，形成一个良好的信息安全方案，并能正确实现，就能在享受网络信息化优势的同时，把风险减到最小。 风险意识 风险意识的建立是以利弊分析为基础的 利弊分析 利弊分析是具体的，需要将抽象事物要具体量化，笼统的分析是得不出准确得结果的。 应当把安全所投入的经费和所带来的效益作一详细的分析。建设投入和运行投入很容易量化，经济效益和损失也较容易量化，但社会效益和损失不好量化。 特定的安全系统是一个实在的运行系统，应当以量化的指标来衡量其效益或损失。在这些方面保险公司的做法是可以借鉴的

74 先进的技术 当前普遍采用的新技术大致有：规模化密钥管理技术、虚拟网技术、防火墙技术、入侵监控技术、安全漏洞扫描技术、网络防病毒技术、加密技术、鉴别和数字签名技术等，可以综合应用，构成多层次的网络安全解决方案。

75 严格的管理 安全管理按照不同业务系统而不同 在开放业务系统中：用户口令的管理 在封闭环境或专用网特别是涉密网络系统中： 加强内部管理
建立安全审计和安全跟踪体系，建立必要的信息安全管理系统

76 完善的法规 美国 俄罗斯 日本 中国

77 美国

78 俄罗斯 1995年颁布《联邦信息、信息化和信息保护法》，为提供高效益、高质量的信息保障创造条件，明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任。 1997年出台《俄罗斯国家安全构想》。明确提出“保障国家安全应把保障经济安全放在第一位”，而“信息安全又是经济安全的重中之重。 2000年普京总统批准了《国家信息安全学说》，明确了联邦信息安全建设的任务、原则和主要内容。第一次明确了俄罗斯在信息领域的利益是什么，受到的威胁是什么，以及为确保信息安全首先要采取的措施等。

79 日本 出台《21世纪信息通信构想》和《信息通信产业技术战略》，强调“信息安全保障是日本综合安全保障体系的核心”。
加紧建立与信安全相关的政策和法律法规，发布了《信息通信网络安全可靠性基准》和《IT安全政策指南》。 成立了信息安全措施促进办公室，综合安全保障阁僚会议、IT安全专家委员会和内阁办公室下的IT安全分局。

80 中国 制定了一系列基本管理办法 尚未形成完整的体系 “中华人民共和国计算机安全保护条例” “中华人民共和国商用密码管理条例”
“计算机信息网络国际联网管理暂行办法” “计算机信息网络国际联网安全保护管理办法” “计算机信息系统安全等级划分标准”等 《刑法》修订中，增加了有关计算机犯罪的条款 尚未形成完整的体系

81 我国信息安全建设的现状 我国信息化建设基础设备依靠国外引进，信息安全防护能力只是处于相对安全阶段，无法做到自主性安全防护和有效监控：
核心芯片 系统内核程序源码 其它大型应用系统

82 我国信息安全建设的现状 国内开发研制的一些防火墙、安全路由器、安全网关、“黑客”入侵检测、系统弱点扫描软件等在完善性、规范性、实用性方面还存许多不足，特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面与先进国家产品和系统相比还存在很大差距。 信息安全是一个综合性交叉学科领域，它涉及应用数学、密码学、计算机、通信、控制、人工智能、安全工程、人文科学等诸多学科，是近几年迅速发展的一个热点学科领域。信息对抗和信息防护是其核心热点，它的研究和发展又将刺激、推动和促进相关学科的研究和发展。