網絡信息安全三

《網絡信息安全》中國科學技術大學肖明軍xiaomj@/~xiaomj復習計算機網絡安全的基本概念網絡面臨的各種安全威脅第一章計算機網絡安全概述教學目的：掌握計算機網絡安全的基本概念、網絡面臨的各種安全威脅、產生安全威脅的原因，以及網絡的安全機制。重點與難點：網絡安全基本概念、產生安全威脅的原因1.3.2網絡出現(xiàn)安全威脅的原因1薄弱的認證環(huán)節(jié)網絡上的認證通常是使用口令來實現(xiàn)的，但口令有公認的薄弱性。網上口令可以通過許多方法破譯，其中最常用的兩種方法是把加密的口令解密和通過信道竊取口令。1.3.2網絡出現(xiàn)安全威脅的原因2.系統(tǒng)的易被監(jiān)視性用戶使用Telnet或FTP連接他在遠程主機上的賬戶，在網上傳的口令是沒有加密的。入侵者可以通過監(jiān)視攜帶用戶名和口令的IP包獲取它們，然后使用這些用戶名和口令通過正常渠道登錄到系統(tǒng)。如果被截獲的是管理員的口令，那么獲取特權級訪問就變得更容易了。成千上萬的系統(tǒng)就是被這種方式侵入的。1.3.2網絡出現(xiàn)安全威脅的原因3.易欺騙性

TCP或UDP服務相信主機的地址。如果使用“IPSourceRouting”，那么攻擊者的主機就可以冒充一個被信任的主機或客戶。具體步驟：第一，攻擊者要使用那個被信任的客戶的IP地址取代自己的地址；第二，攻擊者構造一條要攻擊的服務器和其主機間的直接路徑，把被信任的客戶作為通向服務器的路徑的最后節(jié)點；第三，攻擊者用這條路徑向服務器發(fā)出客戶申請；第四，服務器接受客戶申請，就好象是從可信任客戶直接發(fā)出的一樣，然后給可信任客戶返回響應；第五，可信任客戶使用這條路徑將包向前傳送給攻擊者的主機。1.3.2網絡出現(xiàn)安全威脅的原因4.有缺陷的局域網服務和相互信任的主機主機的安全管理既困難又費時。為了降低管理要求并增強局域網，一些站點使用了諸如NIS和NFS之類的服務。這些服務通過允許一些數(shù)據(jù)庫（如口令文件）以分布式方式管理以及允許系統(tǒng)共享文件和數(shù)據(jù)，在很大程度上減輕了過多的管理工作量。但這些服務帶來了不安全因素，可以被有經驗闖入者利用以獲得訪問權。一些系統(tǒng)（如rlogin）處于方便用戶并加強系統(tǒng)和設備共享的目的，允許主機們相互“信任”。如果一個系統(tǒng)被侵入或欺騙，那么闖入者來說，獲取那些信任其他系統(tǒng)的訪問權就很簡單了。1.3.2網絡出現(xiàn)安全威脅的原因5.復雜的設置和控制主機系統(tǒng)的訪問控制配置復雜且難于驗證。因此偶然的配置錯誤會使闖入者獲取訪問權。一些主要的Unix經銷商仍然把Unix配置成具有最大訪問權的系統(tǒng)，這將導致未經許可的訪問。許多網上的安全事故原因是由于入侵者發(fā)現(xiàn)的弱點造成。6.無法估計主機的安全性主機系統(tǒng)的安全性無法很好的估計：隨著一個站點的主機數(shù)量的增加，確保每臺主機的安全性都處在高水平的能力卻在下降。只用管理一臺系統(tǒng)的能力來管理如此多的系統(tǒng)就容易犯錯誤。另一因素是系統(tǒng)管理的作用經常變換并行動遲緩。這導致一些系統(tǒng)的安全性比另一些要低。這些系統(tǒng)將成為薄弱環(huán)節(jié)，最終將破壞這個安全鏈。1.3.3網絡安全面臨的困難網絡安全是一個“永恒的”問題，沒有一勞永逸的解決方案。網絡攻擊與網絡防守的不對稱性攻擊行動是主動行為，相關工具易于獲取，攻擊行為往往精心準備，且難以被追蹤，風險較低。網絡安全的動態(tài)性網絡操作系統(tǒng)、軟硬件、網絡協(xié)議不斷更新，即使舊的問題解決了，但總會出現(xiàn)新的安全問題。網絡安全的成本問題網絡安全的本質人性的弱點：缺乏安全意識，缺少安全管理。1.4網絡安全組織機構1.4網網絡絡安全組組織機構構1.5安全體系系框架網絡系統(tǒng)統(tǒng)安全的的總需求求是物理安全全、網絡安全全、信息內容容安全、應用系統(tǒng)統(tǒng)安全的總和，，安全的的最終目目標是確確保信息息的機密密性、完完整性、、可用性性、可控控性和抗抗抵賴性性，以及及信息系系統(tǒng)主體體(包括括用戶、、團體、、社會和和國家)對信息息資源的的控制。。完整的信信息系統(tǒng)統(tǒng)安全體體系框架架由技術體系系、組織機構構體系和管理體系系共同構建建。信息安全全體系框框架圖技術體系系1）物理安全全技術。信息系系統(tǒng)的建建筑物、、機房條條件及硬硬件設備備條件滿滿足信息息系統(tǒng)的的機械防防護安全全；通過過對電力力供應設設備以及及信息系系統(tǒng)組件件的抗電電磁干擾擾和電磁磁泄露性性能的選選擇性措措施達到到相應的的安全目目的。物物理安全全技術運運用于物物理保障障環(huán)境(含系統(tǒng)統(tǒng)組件的的物理環(huán)環(huán)境)。。2）系統(tǒng)安全技技術。通過對信信息系統(tǒng)與與安全相關關組件的操操作系統(tǒng)的的安全性選選擇措施或或自主控制制，使信息息系統(tǒng)安全全組件的軟軟件工作平平臺達到相相應的安全全等級，一一方面避免免操作平臺臺自身的脆脆弱性和漏漏洞引發(fā)的的風險，另另一方面阻阻塞任何形形式的非授授權行為對對信息系統(tǒng)統(tǒng)安全組件件的入侵或或接管系統(tǒng)統(tǒng)管理權。。組織機構體體系組織機構體體系是信息息系統(tǒng)安全全的組織保保障系統(tǒng)，，由機構、、崗位和人人事三個模模塊構成一一個體系。。機構的設置置分為三個個層次：決策層、管理層和執(zhí)行層崗位是信息息系統(tǒng)安全全管理機關關根據(jù)系統(tǒng)統(tǒng)安全需要要設定的負負責某一個個或某幾個個安全事務務的職位人事機構是是根據(jù)管理理機構設定定的崗位，，對崗位上上在職、待待職和離職職的雇員進進行素質教教育、業(yè)績績考核和安安全監(jiān)管的的機構。管理是信息息系統(tǒng)安全全的靈魂。。信息系統(tǒng)統(tǒng)安全的管管理體系由由法律管理理、制度管管理和培訓訓管理三個個部分組成成。三分技術，，七分管理理1）法律管管理是根據(jù)據(jù)相關的國國家法律、、法規(guī)對信信息系統(tǒng)主主體及其與與外界關聯(lián)聯(lián)行為的規(guī)規(guī)范和約束束。2）制度管管理是信息息系統(tǒng)內部部依據(jù)系統(tǒng)統(tǒng)必要的國國家、團體體的安全需需求制定的的一系列內內部規(guī)章制制度。3）培訓管管理是確保保信息系統(tǒng)統(tǒng)安全的前前提。管理體系1.6OSI安安全體系結結構ISO于1989年年正式公布布的國際標標準ISO7498-2是是闡述OSI（OpenSystemInterconnection）參考考模型安全全體系結構構的權威性性文獻。它它為網絡安安全共同體體提供一組組公共的概概念和術語語，包括安安全性要求求、安全策策略、安全全服務、安安全機制、、安全管理理等方面的的內容，主主要用來描描述和討論論安全問題題和解決方方案。OSI安全全體系結構構主要包括括：安全服服務、安全全機制和安安全管理。。1.6.1OSI安全服服務認證服務訪問控制服服務數(shù)據(jù)保密性性服務數(shù)據(jù)完整性性服務抗否認服務務1.6.1OSI安全服服務認證（authentication）服務對等實體鑒鑒別：該服務在在數(shù)據(jù)交換換連接建立立時提供，，用來識別別參與數(shù)據(jù)據(jù)交換的對對等實體，，防止假冒冒。數(shù)據(jù)源點鑒鑒別：該服務向向接收方保保證所接收收到的數(shù)據(jù)據(jù)單元來自自所要求的的源點。它它不能防止止重播或修修改數(shù)據(jù)單單元。1.6.1OSI安全服服務訪問控制（（accesscontrol）服服務該服務防止止非授權使使用資源。。這些資源源包括OSI資源和和通過OSI協(xié)議可可以訪問到到的非OSI資源。。該服務可可應用于對對資源的各各種訪問類類型(如通通信資源的的使用；信信息資源源的讀、寫寫和刪除；；進程資資源的執(zhí)行行)或對資資源的所有有訪問。1.6.1OSI安全服服務數(shù)據(jù)保密性性（dataconfidentiality）服務務提供數(shù)據(jù)保保護，防止止數(shù)據(jù)非授授權泄露。。連接保密性性向某個連接接的所有用用戶數(shù)據(jù)提提供保密性性。無連接保密密性向單個無連連接安全數(shù)數(shù)據(jù)單元中中的所有用用戶數(shù)據(jù)提提供保密性性。選擇字段保保密性向連接上的的用戶數(shù)據(jù)據(jù)內或單個個無連接SDU（服服務數(shù)據(jù)單單元）中的的被選字段段提供保密密性。業(yè)務流保密密性防止通過觀觀察業(yè)務流流而得到有有用的保密密信息。1.6.1OSI安全服服務數(shù)據(jù)完整性性（dataintegrity））服務這些服務用用以抗擊主主動攻擊。。帶恢復的連連接完整性性該服務提供供存一個(N)連接接上所有(N)數(shù)數(shù)據(jù)的完整整性。檢測測在整個SDU序列列中任何數(shù)數(shù)據(jù)的任何何修改、插插入、刪除除和重播，，并予以以恢復。不帶恢復的的連接完整整性與帶恢復連連接完整性性的差別僅僅在于不提提供恢復。。選擇字段的的連接完整整性提供在一個個連接上，，傳輸一個個(N)SDU的(N)用戶戶數(shù)據(jù)內選選擇字段的的完整性，，并以某某種形式確確定該選擇擇字段是否否已被修改改、插入、、刪除或重重播。1.6.1OSI安全服服務無連接完整整性提供單個無無連接的SDU的完完整性，并并以某種形形式確定接接收到的SDU是否否已被修改改。還可確確定一種檢檢測重播的的限定形式式。選擇字段無無連接完整整性提供在單個個無連接SDU內選選擇字段的的完整性，，并以某種種形式確定定選擇字段段是否已被被修改。1.6.1OSI安全服服務抗否認（non-repution））服務具有源點證證明的不能能否認：為數(shù)數(shù)據(jù)接收者者提供數(shù)據(jù)據(jù)源證明，，防止發(fā)送送者以后任任何企圖否否認發(fā)送數(shù)數(shù)據(jù)或它的的內容。具有交付證證明的不能能否認：為數(shù)數(shù)據(jù)發(fā)送者者提供數(shù)據(jù)據(jù)交付證明明，防止接接收者以后后任何企圖圖否認接收收數(shù)據(jù)或它它的內容。。1.6.2OSI安全機機制加密機制訪問控制機機制數(shù)據(jù)完整性性機制數(shù)字簽名機機制鑒別交換機機制公證機制業(yè)務流填充充機制路由控制機機制1.6.2OSI安全機機制1.加密機機制（enciphermentmechanism）加密是提供供信息保密密的核心方方法。按照照密鑰的類類型不同，，加密算法法可分為對稱密鑰算算法和非對稱密鑰鑰算法兩種。按照照密碼體制制的不同，，又可以分分為序列密碼算算法和分組密碼算算法兩種。加密密算法除了了提供信息息的保密性性之外，它它和其他技技術結合，，例如hash函數(shù)數(shù)，還能提提供信息的的完整性。。加密技術不不僅應用于于數(shù)據(jù)通信信和存儲，，也應用于于程序的運運行，通過過對程序的的運行實行行加密保護護，可以防防止軟件被被非法復制制，防止軟軟件的安全全機制被破破壞，這就就是軟件加密技技術。1.6.2OSI安全機機制2.訪問控控制機制訪問控制可可以防止未經授授權的用戶戶非法使用用系統(tǒng)資源源，這種服務務不僅可以以提供給單單個用戶，，也可以提提供給用戶戶組的所有有用戶。訪問控制是是通過對訪訪問者的有有關信息進進行檢查來來限制或禁禁止訪問者者使用資源源的技術，，分為高層訪問控控制和低層訪問控控制高層訪問控控制包括身份檢查和和權限確認認，是通過對對用戶口令令、用戶權權限、資源源屬性的檢檢查和對比比來實現(xiàn)的的。低層訪問控控制是通過過對通信協(xié)協(xié)議中的某某些特征信信息的識別別、判斷，，來禁止或或允許用戶戶訪問的措措施。如在在路由器上上設置過濾濾規(guī)則進行行數(shù)據(jù)包過濾濾，就屬于低低層訪問控控制。1.6.2OSI安全機機制3.數(shù)據(jù)完完整性機制制數(shù)據(jù)完整性性包括數(shù)據(jù)據(jù)單元的完整性和和數(shù)據(jù)序列的完整性兩兩個方面。。數(shù)據(jù)單元的的完整性是是指組成一一個單元的的一段數(shù)據(jù)據(jù)不被破壞壞和增刪篡篡改，通常常是把包括括有數(shù)字簽簽名的文件件用hash函函數(shù)產生一個標標記，接收收者在收到到文件后也也用相同的的hash函數(shù)處理理一遍，看看看產生的的標記是否否相同就可可知道數(shù)據(jù)據(jù)是否完整整。數(shù)據(jù)序列的的完整性是是指發(fā)出的的數(shù)據(jù)分割割為按序列列號編排的的許多單元元時，在接接收時還能能按原來的的序列把數(shù)數(shù)據(jù)串聯(lián)起起來，而不不要發(fā)生數(shù)數(shù)據(jù)單元的的丟失、重重復、亂序序、假冒等等情況。1.6.2OSI安全機機制4.數(shù)字簽簽名機制（（digitalsignaturemechanism））數(shù)字簽名機機制主要解解決以下安安全問題：：1．否認：事后發(fā)送送者不承認認文件是他他發(fā)送的。。2．偽造：有人自己己偽造了一一份文件，，卻聲稱是是某人發(fā)送送的。3．冒充：冒充別人人的身份在在網上發(fā)送送文件。4．篡改：接收者私私自篡改文文件的內容容。數(shù)字簽名機機制具有可證實性、不可否認性性、不可偽造性性和不可重用性性。1.6.2OSI安全機機制5.鑒別交交換機制（（authenticationmechanism）交換鑒別機機制是通過過互相交換信信息的方式來確確定彼此的的身份。用用于交換鑒鑒別的技術術有：1．口令：由發(fā)送方方給出自己己的口令，，以證明自自己的身份份，接收方方則根據(jù)口口令來判斷斷對方的身身份。2．密碼技術：發(fā)送方和和接收方各各自掌握的的密鑰是成成對的。接接收方在收收到已加密密的信息時時，通過自自己掌握的的密鑰解密密，能夠確確定信息的的發(fā)送者是是掌握了另另一個密鑰鑰的那個人人。在許多多情況下，，密碼技術術還和時間間標記、同同步時鐘、、雙方或多多方握手協(xié)協(xié)議、數(shù)字字簽名、第第三方公證證等相結合合，以提供供更加完善善的身份鑒鑒別。3．特征實物：例如IC卡、指紋紋、聲音頻頻譜等。1.6.2OSI安安全機制6.公證機制制（notarizationmechanism）網絡上魚龍混混雜，很難說說相信誰不相相信誰。同時時，網絡的有有些故障和缺缺陷也可能導導致信息的丟丟失或延誤。。為了免得事事后說不清，，可以找一個個大家都信任任的公證機構，各方的交換換的信息都通通過公證機構構來中轉。公公證機構從中中轉的信息里里提取必要的的證據(jù)，日后后一旦發(fā)生糾糾紛，就可以以據(jù)此做出仲仲裁。1.6.2OSI安安全機制7.業(yè)務流填填充機制（trafficpaddingmechanism））業(yè)務流填充機機制提供針對數(shù)據(jù)流量量分析的保護護。外部攻擊者者有時能夠根根據(jù)數(shù)據(jù)交換換的出現(xiàn)、消消失、數(shù)量或或頻率而提取取出有用信息息。數(shù)據(jù)交換換量的突然改改變也可能泄泄露有用信息息。例如當公公司開始出售售它在股票市市場上的份額額時，在消息息公開以前的的準備階段中中，公司可能能與銀行有大大量通信。因因此對購買該該股票感興趣趣的人就可以以密切關注公公司與銀行之之間的數(shù)據(jù)流流量以了解是是否可以購買買。業(yè)務流填充機機制能夠保持持流量基本恒定定，因此觀測者者不能獲取任任何信息。流流量填充的實實現(xiàn)方法是：：隨機生成數(shù)數(shù)據(jù)并對其加加密，再通過過網絡發(fā)送。。1.6.2OSI安安全機制8.路由控制制機制（routingcontrolmechanism）路由控制機制制使得可以指指定通過網絡絡發(fā)送數(shù)據(jù)的的路徑。這樣，可以以選擇那些可可信的網絡節(jié)節(jié)點，從而確確保數(shù)據(jù)不會會暴露在安全全攻擊之下。。而且，如果果數(shù)據(jù)進入某某個沒有正確確安全標志的的專用網絡時時，網絡管理理員可以選擇擇拒絕該數(shù)據(jù)據(jù)包。1.6.3OSI安安全管理OSI安全管管理包括對OSI安全全的管理以及OSI管理本本身的安全性性的各個方面面。通過對計算算機網絡操作作的管理，OSI安全管管理能夠支持持分布式開放放系統(tǒng)管理的的多種安全策策略，既支持持網絡整體的強制安安全管理策略略，又支持網絡絡中對安全有有更高要求的的個別系統(tǒng)的自自主安全策略略。由一個OSI安全管理機機構所管理的的多個安全實實體構成的OSI安全環(huán)環(huán)境稱為安全域OSI安全管管理由三部分分組成：系統(tǒng)安全管理理、安全服務管理理和安全機制管理理1.6.3OSI安安全管理系統(tǒng)安全管理理是對OSI安安全域的整體體管理總的安全策略略管理，主要要是一致性的維護護和更新提供OSI安安全域之間的的安全信息交換換提供安全服務管理理和安全機制制管理之間的交互作用提供安全事件管理理，包括事件報報告的生產、、存儲和查詢詢提供安全審計管理理，當故障發(fā)生生時能夠檢測測和追蹤故障障點提供安全恢復管理理，當故障發(fā)生生后，能利用用系統(tǒng)備份迅迅速恢復系統(tǒng)統(tǒng)1.6.3OSI安安全管理安全服務管理理是指對各個特特定安全服務務的管理為某種特定安安全服務定義安全目標標為指定的安全全服務提供能夠使用的安全機制對能夠使用的的各個安全機制進行協(xié)商通過適當?shù)陌踩珯C制管理理、協(xié)調所需的安全機機制與系統(tǒng)安全管管理和安全機機制管理相互互作用，實現(xiàn)安全服服務管理1.6.3OSI安安全管理安全機制管理理是指對一些特特定安全機制制的管理密鑰管理，對密鑰的產產生、存儲和和分配進行管管理數(shù)據(jù)加密管理理，對加密算法法和參數(shù)選擇擇進行管理數(shù)字簽名管理理，對數(shù)字簽名名算法和參數(shù)數(shù)選擇進行管管理訪問控制管理理，通過建立和和維護訪問控控制表來實現(xiàn)現(xiàn)管理數(shù)據(jù)完整性管管理，利用加密技技術實現(xiàn)對數(shù)數(shù)據(jù)完整性保保護1.6.3OSI安安全管理鑒別管理，通過產生和和分配鑒別信信息實現(xiàn)鑒別別交換信息的的功能業(yè)務流填充管管理，通過對預定定的數(shù)據(jù)率和和隨機數(shù)據(jù)率率的管理實現(xiàn)現(xiàn)填充管理路由控制管理理，通過確定信信任的鏈路或或子網，實現(xiàn)現(xiàn)選擇安全的的路由公證管理，通過對公眾眾信息分配、、公證機構的的選擇和通信信協(xié)議的管理理等來實現(xiàn)公公證管理1.7網絡絡與信息安全全相關法規(guī)網絡信息安全全法規(guī)系統(tǒng)離離不開立法、司法和執(zhí)法三個過程。目目前，我國的的網絡信息安安全法規(guī)體系系已經具備一一定的規(guī)模。。1.7.1我我國網絡絡與信息安全全法規(guī)信息系統(tǒng)安全全保護國務院于1994年2月月18日發(fā)布布了《中華人民共共和國計算機機信息系統(tǒng)安安全保護條例例》，條例分五章共三十一一條，目的是保護護信息系統(tǒng)的的安全，促進進計算機的應應用和發(fā)展第285條違違反國家規(guī)規(guī)定，侵入國國家事務、國國防建設、尖尖端科學技術術領域的計算算機信息系統(tǒng)統(tǒng)的，處三年以下有期徒刑刑或者拘役。。第286條違違反國家規(guī)規(guī)定，對計算算機信息系統(tǒng)統(tǒng)功能進行刪刪除、修改、、增加、干擾擾，造成計算算機信息系統(tǒng)統(tǒng)不能正常運運行，后果嚴嚴重的，處五年以下有期徒刑或者者拘役，后果果特別嚴重的的，處五年以上有期徒刑?！?.7.1我我國網絡絡與信息安全全法規(guī)國際聯(lián)網管理理《中華人民共共和國計算機機信息網絡國國際聯(lián)網管理理暫行規(guī)定》》《中華人民共共和國計算機機信息網絡國國際聯(lián)網管理理暫行規(guī)定實實施辦法》《計算機信息息網絡國際聯(lián)聯(lián)網安全保護護管理辦法》》《中國公用計計算機互聯(lián)網網國際聯(lián)網管管理辦法》《計算機信息息網絡國際聯(lián)聯(lián)網出入口信信道管理辦法法》《計算機信息息系統(tǒng)國際聯(lián)聯(lián)網保密管理理規(guī)定》1.7.1我我國網絡絡與信息安全全法規(guī)商用密碼管理理條例《商用密碼管管理條例》計算機病毒防防治《計算機病毒毒防治管理辦辦法》安全產品檢測測與銷售《計算機信息息系統(tǒng)安全專專用產品檢測測和銷售許可可證管理辦法法》1.7.2國國外網絡與與信息安全法法規(guī)美國聯(lián)邦政府制定定有《計算機機安全法》、、《電子通信信秘密法》、、《偽造存取取手段及計算算機詐騙與濫濫用法》、《《聯(lián)邦計算機機安全處罰條條例》等歐盟于1996年年2月頒布了了《歐洲議會會與歐盟理事事會關于數(shù)據(jù)據(jù)庫法律保護護的指令》日本郵政省于2000年6月月8日公布了了旨在對付黑黑客的信息安安全對策《信信息網絡安全全可靠性基淮淮》的補充修修改方案1.8風險險評估引言網絡與信息安安全已上升為為一個事關國國家政治穩(wěn)定定、社會安定定、經濟有序序運行和社會會主義精神文文明建設的全全局性問題。。黨的十六屆四四中全會，更更是把信息安全和政政治安全、經經濟安全、文文化安全放在在同等重要的的位置并列提提出。如何確切掌握握網絡和信息息系統(tǒng)的安全程度、分析安全威脅脅來自何方、安全風險有多多大，加強信息安安全保障工作作應采取哪些措施施，要投入多少少人力、財力力和物力；確確定已采取的的信息安全措施是否否有效以及提出按照照相應信息安安全等級進行行安全建設和和管理的依據(jù)據(jù)等一系列具具體問題。安全評估是解解決上述問題題的重要方法法和基礎性工工作。1安全評估的的目的和意義義(1/2)為什么要進行行安全評估？？計算機網絡是是一個龐大的的系統(tǒng)。影響因素多。。對安全分析的的結論因人而而異因此，要有一一套比較規(guī)范范、通用的安安全評估標準準。評估標準可以以作為安全評評價的依據(jù)，，也是衡量產產品和服務是是否符合系統(tǒng)統(tǒng)安全需求的的依據(jù)。1安全評估的的目的和意義義(2/2)安全評估的意意義在于：指導用戶建立立符合安全需需求的網絡根據(jù)安全級別別，選用計算算機網絡系統(tǒng)統(tǒng)產品建立系統(tǒng)內其其他部件的安安全評估標準準有利于廠家和和用戶雙向選選擇1983年8月，美國國國家安全局計計算機安全評評估中心提出出了《可信計計算機系統(tǒng)安安全評價準則則》。2制定評估標標準的策略與計算機網絡絡的實際環(huán)境境相結合首先考慮計算算機網絡的實實際環(huán)境，適適當超前。還要考慮應用用環(huán)境。如數(shù)據(jù)庫系統(tǒng)統(tǒng)與國際環(huán)境結結合信息產業(yè)是全全球性的，因因此評估標準準要符合全球球性。具有一定程度度上的穩(wěn)定性性核心內容在一一定時期內基基本不變。具有一定程度度上的模糊性性不可能面面俱俱到，容許一一定的模糊性性3安全標準的的制定(1/2)安全策略（SecurityPolicy））任何主體缺少少適當?shù)陌踩炞C就不能能獲得對敏感感信息的訪問問。只有指定用戶戶才能獲得對對信息的訪問問客體標記（ObjectMarking）按敏感程度對對客體進行標標記主體識別（SubjectIdentification）只有在鑒別主主體身份后，，才能對客體體進行訪問。。3安全標準的的制定(2/2)可檢查性（Accountability）有選擇地保存存審計信息。。安全保證（SecurityAssurance）前面的功能要要由可靠的軟軟硬件系統(tǒng)完完成連續(xù)保保證（（ContinuesProtection）連續(xù)保保護要要求直直接延延續(xù)到到計算算機網網絡的的整個個生命命周期期。我國1999年年9月月公安安部制制定的的《計計算機機信息息安全全保護護等級級劃分分準則則》4安全全評估估的方方法一般計計算機機網絡絡系統(tǒng)統(tǒng)的評評估方方法可可分為為三類類：風險評評估、電子信信息處處理審審計和安全評評估。1風風險險評估估指在風風險事事件發(fā)發(fā)生之之后，，對于于風險險事件件給計計算機機網絡絡系統(tǒng)統(tǒng)的各各個方方面造造成的的影響響和損損失進進行量量化評評估的的工作作。一般從從財產產遭受受威脅脅和攻攻擊引引起損損失等等方面面來考考慮，，按照照有意意或無無意破破壞、、修改改、泄泄漏信信息及及設備備誤用用所出出現(xiàn)的的概率來來定量量地確定定。中國信信息安安全風風險評評估論論壇4安全全評估估的方方法電子信信息處處理審審計對系統(tǒng)統(tǒng)及其其環(huán)境境連續(xù)續(xù)性和和完整整性的的管理理方法法進行行評估估，并并對獲獲取數(shù)數(shù)據(jù)進進行審審計。。主要要集中控控制威威脅和和風險險上，對威威脅和和攻擊擊頻度度和財財產損損失進進行考考慮。。特殊輸輸出審審計指定打打印某某些文文件或或報表表，供供檢查查審核核。數(shù)據(jù)審審計將受控控數(shù)據(jù)據(jù)送入入系統(tǒng)統(tǒng)處理理，比比較結結果。。系統(tǒng)審審計評估系系統(tǒng)任任務的的處理理狀態(tài)態(tài)4安全全評估估的方方法安全評評估評估系系統(tǒng)的的假設設的威威脅和和攻擊擊。重重點在在控制，數(shù)據(jù)據(jù)的質質量不不是主主要問問題。。比較較典型型：美美國國國防部部制定定的““可信信計算算機評評估準準則””。對對系統(tǒng)統(tǒng)安全全評估估審核核提出出27條要要求。。4安全全評估估的方方法風險評估電子信息處理審計安全評估財政預算上的最佳資源分配評估控制檢查政策的適應性評估保護措施強調威脅攻擊的頻率強調控制強調控制強調平衡風險強調修改、保證系統(tǒng)可用強調泄漏、保證系統(tǒng)安全保密控制存在和總量影響預料的威脅和攻擊不可預料的破壞或繞過控制通常是定量通常是定性的通常是定性的面向裝置，對系統(tǒng)和應用不太適用主要面向應用，也適用系統(tǒng)全部包括相互排斥的風險相互重疊的風險往往是部分風險平衡評估強調關鍵方面強調關鍵方面5信信息安安全評評價標標準計算機機信息息系統(tǒng)統(tǒng)安全全產品品種類類繁多多，功功能也也各不不相同同，典典型的的信息息安全全評價價標準準主要要有美美國國國防部部頒布布的《《可信計計算機機系統(tǒng)統(tǒng)評價價標準準》；歐歐洲德德國、、法國國、英英國、、荷蘭蘭四國國聯(lián)合合頒布布的《《信息息技術術安全全評價價標準準》；；加拿拿大頒頒布的的《可可信計計算機機產品品評價價標準準》；；美國國、加加拿大大、德德國、、法國國、英英國、、荷蘭蘭六國國聯(lián)合合頒布布的《《信息息技術術安全全評價價通用用標準準》；；中國國國家家質量量技術術監(jiān)督督局頒頒布的的《計算機機信息息系統(tǒng)統(tǒng)安全全保護護等級級劃分分準則則》。5.1信信息安安全評評價標標準簡簡介表1.1信信息息安全全評價價標準準發(fā)展展歷程程信息安全標準名稱頒布國家頒布年份美國可信計算機系統(tǒng)評價標準TCSEC美國國防部1985美國TCSEC修訂版美國國防部1987德國計算機安全評價標準德國信息安全部1988英國計算機安全評價標準英國貿易部和國防部1989信息技術安全評價標準ITSEC歐洲德、法、英、荷四國1991加拿大可信計算機產品評價標準CTCPEC加拿大政府1993信息技術安全評價聯(lián)邦標準草案FC美國標準技術委員會和安全局1993信息技術安全評價公共標準CC美、加、德、法、英、荷六國1996國家軍用標準軍用計算機安全評估準則中國國防科學技術委員會1996國際標準ISO/IEC15408（CC）國際標準化組織1999計算機信息系統(tǒng)安全保護等級劃分準則中國國家質量技術監(jiān)督局1999信息技術-安全技術-信息技術安全評估準則中國國家質量技術監(jiān)督局20015.2安全全等級級(1/5)美國國國防部部按處處理信信息的的等級級和應應采取取的相相應措措施，，將計計算機機系統(tǒng)統(tǒng)安全全分為為A、、B、、C、、D四四等八八個級級別。。從低低等級級D等等到A等，，隨著著安全全等級級的提提高，，系統(tǒng)統(tǒng)的可可信度度隨之之提高高，風風險逐逐漸減減小。。D－非非保護護級不能用用于多多用戶戶環(huán)境境處理理敏感感信息息對硬件件沒有有任何何保護護作用用操作系系統(tǒng)容容易受受到損損害計算機機上的的信息息訪問問權限限沒有有身份份認證證如：MS-DOS、、Windows3.X等等5.2安全全等級級(2/5)C－自自主保保護有一定定保護護功能能，采采用措措施主主要是是自主主訪問問控制制和審審計跟跟蹤，，適用用多用用戶環(huán)環(huán)境