網(wǎng)絡(luò)安全和防火墻 第部分 安全的概念安全標(biāo)準(zhǔn)和安全組織

CIW網(wǎng)絡(luò)安全認(rèn)證體系網(wǎng)絡(luò)安全基礎(chǔ)與防火墻

第一單元什么是安全學(xué)習(xí)目標(biāo)理解有關(guān)安全的定義理解網(wǎng)絡(luò)安全的必要性識(shí)別需要保護(hù)的資源識(shí)別常見(jiàn)的安全威脅類(lèi)型了解如何建立有效的安全矩陣安全的定義隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，保護(hù)網(wǎng)絡(luò)安全也變得更加復(fù)雜，對(duì)于網(wǎng)絡(luò)來(lái)說(shuō)，可以定義安全為一個(gè)持續(xù)的過(guò)程，目的是提高識(shí)別和消除不安全因素的能力。谷歌掃描器(GoolagScanner)免費(fèi)下載威脅互聯(lián)網(wǎng)安全Google又惹麻煩了，知名的計(jì)算機(jī)黑客組織CultoftheDeadCow(以下簡(jiǎn)稱(chēng)CDC)周五表示，該組織計(jì)劃提供一個(gè)軟件工具，利用該軟件工具，人們可以通過(guò)谷歌對(duì)其它網(wǎng)站進(jìn)行掃描，尋找這些網(wǎng)站的安全漏洞。CDC組織稱(chēng)，這個(gè)軟件工具名為“谷歌掃描器”(GoolagScanner)，它是一名黑客的杰作，這名黑客使用的名字是“JohnnyIHackStuff”，該軟件工具可以在其網(wǎng)站上免費(fèi)下載。想不到吧,用GOOGLE可以進(jìn)入別人的監(jiān)視系統(tǒng)哦!!!2007年網(wǎng)絡(luò)安全熱點(diǎn)回顧“熊貓燒香”病毒作者已被逮捕！-01月2006年底，“熊貓燒香”開(kāi)始在我國(guó)互聯(lián)網(wǎng)上肆虐。這是國(guó)內(nèi)制作計(jì)算機(jī)病毒的第一案，公安部十一局和湖北省公安廳副廳長(zhǎng)黃洪對(duì)此高度重視，要求湖北網(wǎng)監(jiān)部門(mén)不惜一切代價(jià)，拿下此案。熊貓燒香案宣判主犯李俊被判四年互聯(lián)網(wǎng)遭受五年以來(lái)最大規(guī)模黑客襲擊-02月北京時(shí)間2月7日消息據(jù)國(guó)外媒體報(bào)道，黑客在周二至少已經(jīng)控制了管理全球互聯(lián)網(wǎng)流量的13臺(tái)根服務(wù)器中的3臺(tái)，這是繼2002年以來(lái)，互聯(lián)網(wǎng)根服務(wù)器遭到的最嚴(yán)重黑客襲擊。有專(zhuān)家稱(chēng)這起非同一般的攻擊事件持續(xù)了12個(gè)小時(shí)后，感染了大量無(wú)防備的電腦用戶(hù)，全世界的電腦專(zhuān)家正忙于應(yīng)付有滲透入網(wǎng)絡(luò)致命通道危險(xiǎn)的大量數(shù)據(jù)。取代美國(guó)中中國(guó)成“惡意意軟件”頭號(hào)號(hào)基地-04月賽門(mén)鐵克指出出，現(xiàn)今的全全球網(wǎng)絡(luò)攻擊擊有33％來(lái)自美國(guó)，，惡意網(wǎng)絡(luò)活活動(dòng)也有31％，均居全球球之首，而第第二位的中國(guó)國(guó)只有10％，德國(guó)為7％；同時(shí)全球球受木馬感染染和控制的計(jì)計(jì)算機(jī)中有26％位于中國(guó)。。溫柔地“殺””死你諾頓頓誤殺事件專(zhuān)專(zhuān)題報(bào)道-05月5月18日，諾頓殺毒毒軟件升級(jí)病病毒庫(kù)后，會(huì)會(huì)把WindowsXP系統(tǒng)的關(guān)鍵系系統(tǒng)文件當(dāng)作作病毒清除，，重啟后系統(tǒng)統(tǒng)將會(huì)癱瘓。。安裝了諾頓頓MS06-070補(bǔ)丁的XP系統(tǒng)，如果將將諾頓升級(jí)最最新病毒庫(kù)，，則諾頓殺毒毒軟件會(huì)把系系統(tǒng)文件netapi32.dll、lsasrv.dll隔離清除，從從而造成系統(tǒng)統(tǒng)崩潰。北京警方破獲獲首例DDoS黑客攻擊案(組圖)-07月今年5月，市公安局局網(wǎng)監(jiān)處接到到了網(wǎng)絡(luò)游戲戲運(yùn)營(yíng)商聯(lián)眾眾公司的報(bào)案案，該公司托托管在北京、、上海、石家家莊的多臺(tái)服服務(wù)器遭受到到200萬(wàn)個(gè)不同程度度的大流量DDOS拒絕服務(wù)攻擊擊包，長(zhǎng)達(dá)近近一個(gè)月，公公司經(jīng)濟(jì)損失失達(dá)數(shù)百萬(wàn)元元。由于該公公司電腦服務(wù)務(wù)器癱瘓，玩玩家無(wú)法登錄錄網(wǎng)站玩網(wǎng)絡(luò)絡(luò)游戲。公司司工程師曾經(jīng)經(jīng)試圖修改被被攻擊服務(wù)器器的IP地址以躲避攻攻擊，但5分鐘后攻擊隨隨即轉(zhuǎn)向更改改IP后的服務(wù)器。。民警勘察發(fā)發(fā)現(xiàn)這些攻擊擊包，IP來(lái)源是偽造的的218XXX和219XXX段。黑客入侵中國(guó)國(guó)游戲中心系系統(tǒng)盜22億游戲幣-08月利用木馬病毒毒，3名網(wǎng)絡(luò)黑客非非法侵入了中中國(guó)游戲中心心系統(tǒng)，在3天時(shí)間內(nèi)陸續(xù)續(xù)將22億個(gè)游戲金幣幣轉(zhuǎn)入自己控控制的游戲賬賬號(hào)中，隨后后將游戲金幣幣以低價(jià)出售售，共獲利人人民幣14萬(wàn)元中國(guó)女解碼高高手十年破譯譯五部頂級(jí)密密碼-09月MD5密碼算法，運(yùn)運(yùn)算量達(dá)到2的80次方。即使采采用現(xiàn)在最快快的巨型計(jì)算算機(jī)，也要運(yùn)運(yùn)算100萬(wàn)年以上才能能破解。但王王小云和她的的研究小組用用普通的個(gè)人人電腦，幾分分鐘內(nèi)就可以以找到有效結(jié)結(jié)果。SHA-1密碼算法，由由美國(guó)專(zhuān)門(mén)制制定密碼算法法的標(biāo)準(zhǔn)機(jī)構(gòu)構(gòu)———美國(guó)國(guó)家標(biāo)準(zhǔn)準(zhǔn)技術(shù)研究院院與美國(guó)國(guó)家家安全局設(shè)計(jì)計(jì)，早在1994年就被推薦給給美國(guó)政府和和金融系統(tǒng)采采用，是美國(guó)國(guó)政府目前應(yīng)應(yīng)用最廣泛的的密碼算法。。2005年初，王小云云和她的研究究小組宣布，，成功破解SHA-1?！侗罎?密碼學(xué)的危機(jī)機(jī)》，美國(guó)《新科學(xué)家》雜志用這樣富富有驚聳的標(biāo)標(biāo)題概括王小小云里程碑式式的成就。因因?yàn)橥跣≡频牡某霈F(xiàn)，美國(guó)國(guó)國(guó)家標(biāo)準(zhǔn)與與技術(shù)研究院院宣布，美國(guó)國(guó)政府5年內(nèi)將不再使使用SHA-1，取而代之的的是更為先進(jìn)進(jìn)的新算法，，微軟、Sun和Atmel等知名公司也也紛紛發(fā)表各各自的應(yīng)對(duì)之之策。Google大清洗4萬(wàn)惡意網(wǎng)站被被刪除-11月Google于近日清洗了了搜索結(jié)果中中幾萬(wàn)個(gè)含有有惡意軟件及及代碼的網(wǎng)站站。這些網(wǎng)站站將不再出現(xiàn)現(xiàn)在搜索結(jié)果果中。MSN蠕蟲(chóng)病毒借借助“圣誕誕照片傳播播”-12月12月18日下午，瑞瑞星全球反反病毒監(jiān)測(cè)測(cè)網(wǎng)截獲一一個(gè)通過(guò)MSN快速傳播的的蠕蟲(chóng)病毒毒，并命名名為“MSN圣誕照片(Backdoor.Win32.PBot.a)”。該病毒會(huì)會(huì)大量散發(fā)發(fā)“MyChristmaspictureforyou””等誘惑性消消息，中毒毒機(jī)器會(huì)向向MSN上的所有好好友發(fā)送名名為“photo2007-12.zip””的病毒壓縮縮包，用戶(hù)戶(hù)運(yùn)行后就就會(huì)被感染染。MSN病毒毒截圖病毒的產(chǎn)業(yè)業(yè)鏈病毒在進(jìn)行行著一次可可怕的演變變，它們不不再安于破破壞你的系系統(tǒng)，銷(xiāo)毀毀你的數(shù)據(jù)據(jù)，它們更更喜歡你的的財(cái)產(chǎn)，關(guān)關(guān)注你的隱隱私。2007年上半年僅僅瑞星一家家公司就截截獲新病毒毒133717個(gè)，其中木木馬病毒83119個(gè)，后門(mén)病病毒31204個(gè)，兩者之之和超過(guò)11萬(wàn)，相當(dāng)于于2006年同期截獲獲的新病毒毒總和。這這兩類(lèi)病毒毒都以侵入入用戶(hù)電腦腦，竊取個(gè)個(gè)人資料、、銀行賬號(hào)號(hào)等信息為為目的，帶帶有直接的的經(jīng)濟(jì)利益益特征。從從統(tǒng)計(jì)數(shù)據(jù)據(jù)看來(lái)，今今年上半年年的病毒數(shù)數(shù)量比去年年同期增加加11.9%。白熱化產(chǎn)品品時(shí)代2008年的安全產(chǎn)產(chǎn)品競(jìng)爭(zhēng)將將徹底進(jìn)入入白熱化階階段。在2007年各廠商打打出的免費(fèi)費(fèi)牌已經(jīng)讓讓人聞到了了硝煙的味味道。CA(中國(guó))的淡出更是是體現(xiàn)了競(jìng)競(jìng)爭(zhēng)的激烈烈程度。2008將是創(chuàng)新的的一年，所所有的安全全廠商不再再安于換個(gè)個(gè)版本就上上市的簡(jiǎn)單單模式，他他們將會(huì)用用更新的技技術(shù)、更貼貼心的服務(wù)務(wù)來(lái)最大限限度吸納客客戶(hù)。戰(zhàn)國(guó)國(guó)的時(shí)代，，必然需要要和平的使使者。主動(dòng)動(dòng)防防御御和和免免費(fèi)費(fèi)將將成成為為2008年安安全全產(chǎn)產(chǎn)品品的的關(guān)關(guān)鍵鍵詞詞，，產(chǎn)產(chǎn)品品的的網(wǎng)網(wǎng)絡(luò)絡(luò)化化也也是是大大勢(shì)勢(shì)所所趨趨。。如如今今網(wǎng)網(wǎng)民民更更需需要要的的是是一一種種服服務(wù)務(wù)，，他他們們不不再再滿滿足足于于一一套套產(chǎn)產(chǎn)品品的的簡(jiǎn)簡(jiǎn)單單使使用用，，也也不不會(huì)會(huì)像像以以前前一一樣樣做做產(chǎn)產(chǎn)品品的的簇簇?fù)頁(yè)碚哒撸?，消消費(fèi)費(fèi)觀觀念念也也隨隨之之理理性性。。惡意意軟件件的轉(zhuǎn)轉(zhuǎn)型型2008年惡惡意意軟軟件件在在行行為為上上將將有有所所改改觀觀，，但但在在技技術(shù)術(shù)手手段段上上會(huì)會(huì)更更加加““高高明明””。。2007年惡惡意意軟軟件件在在國(guó)國(guó)內(nèi)內(nèi)的的聲聲音音越越來(lái)來(lái)越越小小，，但但據(jù)據(jù)卡卡巴巴斯斯基基的的調(diào)調(diào)查查顯顯示示，，中中國(guó)國(guó)仍仍然然是是惡惡意意軟軟件件最最多多的的國(guó)國(guó)家家，，已已經(jīng)經(jīng)占占到到全全球球惡惡意意軟軟件件總總數(shù)數(shù)的的三三成成。。Vista的安安全全模模式式2007年，，WindowsVista并沒(méi)沒(méi)有有替替代代WindowsXP成為為操操作作系系統(tǒng)統(tǒng)的的繼繼任任者者。。2008年這這一一情情況況將將有有所所改改觀觀。。隨隨著著ServicePack1forWindowsVista的發(fā)布也會(huì)使使更多的用戶(hù)戶(hù)使用Vista。專(zhuān)業(yè)黑客攻攻擊者和惡意意軟件開(kāi)發(fā)者者將會(huì)發(fā)現(xiàn)此此操作系統(tǒng)對(duì)對(duì)他們業(yè)務(wù)所所產(chǎn)生的不利利影響，并將將探索新的方方法以攻克這這一難題。Web2.0的威脅論以博客、論壇壇為首的Web2.0產(chǎn)品將受到新新的安全挑戰(zhàn)戰(zhàn)。在2008年將成為病毒毒和網(wǎng)絡(luò)釣魚(yú)魚(yú)的主要攻擊擊目標(biāo)。2007年，許多全球球性的社交網(wǎng)網(wǎng)站都遭受到到不同程度的的攻擊，其中中包括S和M兩大網(wǎng)站。網(wǎng)網(wǎng)絡(luò)罪犯利用用從LinkedIn等網(wǎng)站竊取的的個(gè)人信息發(fā)發(fā)動(dòng)了數(shù)次目目標(biāo)精確的攻攻擊。攻擊者者通過(guò)利用用用戶(hù)共享的個(gè)個(gè)人信息，從從而使自己的的攻擊看起來(lái)來(lái)更加真實(shí)可可信。有效的安全矩矩陣一個(gè)合理有效效的安全矩陣陣應(yīng)該具有如如下特點(diǎn)：允許訪問(wèn)控制制容易使用合理的花費(fèi)靈活性和伸縮縮性?xún)?yōu)秀的警報(bào)和和報(bào)告安全投資回報(bào)報(bào)安全投資作為為一種特殊投投資形式，其其目的是降低低信息安全風(fēng)風(fēng)險(xiǎn)，投資回回報(bào)主要來(lái)自自于風(fēng)險(xiǎn)損失失的降低。保護(hù)什么劃分需要保護(hù)護(hù)的資源可以將資產(chǎn)劃劃分為4個(gè)資源組：終端用戶(hù)資源源網(wǎng)絡(luò)資源服務(wù)器資源信息存儲(chǔ)資源源終端用戶(hù)資源源許多損害是來(lái)來(lái)自于公司內(nèi)內(nèi)部，用戶(hù)操操作失誤或是是缺乏安全意意識(shí)往往會(huì)帶帶來(lái)嚴(yán)重的安安全問(wèn)題。網(wǎng)絡(luò)資源作為公司主要要的通信媒介介，網(wǎng)絡(luò)聯(lián)系系著公司的各各方面，若黑黑客侵入了網(wǎng)網(wǎng)絡(luò)，則黑客客也可能隨意意地訪問(wèn)到各各種資源，甚甚至進(jìn)行各種種極具危害的的操作。服務(wù)器資源用于存儲(chǔ)重要要資料或是負(fù)負(fù)責(zé)安全管理理的服務(wù)器是是最吸引黑客客攻擊的，而而服務(wù)器遭受受攻擊造成的的損失往往也也是最大的。。信息存儲(chǔ)資源源發(fā)現(xiàn)信息并獲獲得信息可以以認(rèn)為是黑客客行為的最終終目的，黑客客通過(guò)各種手手段侵入網(wǎng)絡(luò)絡(luò)，也是為了了通過(guò)網(wǎng)絡(luò)來(lái)來(lái)得到他們所所要的信息。。各種資源易受受的攻擊重要資源潛在的威脅終端用戶(hù)資源病毒，木馬，Java小程序可以對(duì)本地系統(tǒng)造成危險(xiǎn)網(wǎng)絡(luò)資源IP欺騙，系統(tǒng)探測(cè)，及獲得相關(guān)信息服務(wù)器資源非授權(quán)侵入，截取服務(wù)，木馬。服務(wù)器資源經(jīng)常成為最主要的目標(biāo)數(shù)據(jù)庫(kù)和信息資源得到商業(yè)機(jī)密，交易行為，消費(fèi)者的數(shù)據(jù)等等潛在的威脅信息泄密信息被篡改傳輸非非法信信息流流網(wǎng)絡(luò)資資源的的錯(cuò)誤誤使用用非法使使用網(wǎng)網(wǎng)絡(luò)資資源計(jì)算機(jī)機(jī)病毒毒網(wǎng)絡(luò)中中存在在的不不安全全因素素自然災(zāi)災(zāi)害：：水災(zāi)災(zāi)、火火災(zāi)、、地震震等人為災(zāi)災(zāi)害：：戰(zhàn)爭(zhēng)爭(zhēng)、縱縱火、、盜竊竊設(shè)備備等系統(tǒng)物物理故故障：：硬件件故障障、軟軟件故故障、、網(wǎng)絡(luò)絡(luò)故障障等人為的的無(wú)意意失誤誤：程程序設(shè)設(shè)計(jì)錯(cuò)錯(cuò)誤、、誤操操作、、無(wú)意意中損損壞和和無(wú)意意中泄泄密等等人為的的惡意意攻擊擊：主主動(dòng)攻攻擊、、被動(dòng)動(dòng)攻擊擊存在百分之之百的安全全嗎開(kāi)銷(xiāo)風(fēng)險(xiǎn)性能盡管不可能能實(shí)現(xiàn)絕對(duì)對(duì)安全，但但是仍可以以達(dá)到某種種水平，使使得幾乎所所有最熟練練的和最堅(jiān)堅(jiān)定的黑客客也不能登登錄到系統(tǒng)統(tǒng)。一個(gè)有有效的安全全策略能夠夠使不安全全因素最小小化。安全就是在在動(dòng)態(tài)環(huán)境境中尋求平平衡的過(guò)程程在安全實(shí)施施的過(guò)程中中，安全人人員所要做做的工作就就是在易用用性和安全全性之間尋尋求平衡，，賦予用戶(hù)戶(hù)能完成所所有工作的的最小權(quán)限限，以使安安全最大化化。網(wǎng)絡(luò)安全的的目標(biāo)身份真實(shí)性性：能對(duì)通通訊實(shí)體身身份的真實(shí)實(shí)性進(jìn)行鑒鑒別。信息機(jī)密性性：保證機(jī)機(jī)密信息不不會(huì)泄露給給非授權(quán)的的人或?qū)嶓w體。信息完整性性：保證數(shù)數(shù)據(jù)的一致致性，防止止數(shù)據(jù)被非非授權(quán)用戶(hù)戶(hù)或?qū)嶓w建立、、修改和破破壞。服務(wù)可用性性：保證合合法用戶(hù)對(duì)對(duì)信息和資資源的使用用不會(huì)被不不正當(dāng)當(dāng)?shù)鼐芙^絕。不可否認(rèn)性性：建立有有效的責(zé)任任機(jī)制，防防止實(shí)體否否認(rèn)其行為為。系統(tǒng)可控性性：能夠控控制使用資資源的人或或?qū)嶓w的使使用方式。。系統(tǒng)易用用性：在在滿足安安全要求求的條件件下，系系統(tǒng)應(yīng)當(dāng)當(dāng)操作簡(jiǎn)簡(jiǎn)單、維護(hù)護(hù)方便。?？蓪彶樾孕裕簩?duì)對(duì)出現(xiàn)現(xiàn)的網(wǎng)絡(luò)絡(luò)安全問(wèn)問(wèn)題提供供調(diào)查的的依據(jù)和和手段。第二單元元安全標(biāo)準(zhǔn)準(zhǔn)及組織織概況學(xué)習(xí)目標(biāo)標(biāo)了解安全全標(biāo)準(zhǔn)的的意義ISO17799/ISO27001的主要內(nèi)內(nèi)容了解公共共準(zhǔn)則熟悉主要要的網(wǎng)絡(luò)絡(luò)安全組組織國(guó)際標(biāo)準(zhǔn)準(zhǔn)化組織織國(guó)際標(biāo)準(zhǔn)準(zhǔn)化組織織，簡(jiǎn)稱(chēng)稱(chēng)ISO，是一個(gè)個(gè)全球性性的非政政府組織織，是國(guó)國(guó)際標(biāo)準(zhǔn)準(zhǔn)化領(lǐng)域域中一個(gè)個(gè)十分重重要的組組織。其其任務(wù)是是促進(jìn)全全球范圍圍內(nèi)的標(biāo)標(biāo)準(zhǔn)化及及其有關(guān)關(guān)活動(dòng)。。ISO定義的安安全服務(wù)務(wù)認(rèn)證：提提供供身份驗(yàn)驗(yàn)證的過(guò)過(guò)程。訪問(wèn)控制制：訪訪問(wèn)控制制確定用用戶(hù)能做做些什么么。數(shù)據(jù)保密密性：保保護(hù)數(shù)數(shù)據(jù)不被被未授權(quán)權(quán)的暴露露。數(shù)據(jù)完整整性：通通過(guò)檢檢查或維維護(hù)信息息的一致致性來(lái)防止主動(dòng)動(dòng)的威脅脅。不可否定定性：是是防止止參與交交易的全全部或部部分的抵抵賴(lài)。不不可否定定性可以以防止來(lái)來(lái)自源源端端的欺騙騙。安全機(jī)制制安全機(jī)制制是一種種技術(shù)，，一些軟軟件或?qū)崒?shí)施一個(gè)個(gè)或多個(gè)個(gè)安全服服務(wù)的過(guò)過(guò)程。。特殊安全全機(jī)制加密數(shù)字簽名名機(jī)制訪問(wèn)控制制數(shù)據(jù)完整整性身份驗(yàn)證證流量填充充普通的機(jī)機(jī)制信任功能能安全標(biāo)簽審核跟蹤安全恢復(fù)ISO17799BS7799-1:1999被ISO委員會(huì)評(píng)審、、討論通過(guò)，，成為信息安安全領(lǐng)域的國(guó)國(guó)際標(biāo)準(zhǔn)ISO/IEC17799:2000，于2005年6月15日發(fā)發(fā)布布了了ISO/IEC17799:2005版（（全全稱(chēng)稱(chēng)為為信信息息技技術(shù)術(shù)—安全全技技術(shù)術(shù)—信息息安安全全管管理理實(shí)實(shí)踐踐規(guī)規(guī)范范））。。199519981999.042000.1220022005.62005.10BS7799-2:1998信息息安安全全管管理理體體系系規(guī)規(guī)范范BS7799:1999BS7799的兩兩個(gè)個(gè)部部分分進(jìn)進(jìn)行行合合并并ISO/IEC17799:2000信息息技技術(shù)術(shù)———信息息安安全全管管理理實(shí)實(shí)施施規(guī)規(guī)則則BS7799-2:2002安全全管管理理體體系系規(guī)規(guī)范范與使使用用指指南南ISO/IEC17799:2005信息息安安全全管管理理體體系系實(shí)實(shí)施施規(guī)規(guī)則則ISO/IEC27001:2005信息息技技術(shù)術(shù)－－安安全全技技術(shù)術(shù)－－信信息息安安全全管管理理體體系系要要求求BS7799-1:1995信息息安安全全管管理理實(shí)實(shí)施施規(guī)規(guī)則則ISO17799標(biāo)準(zhǔn)準(zhǔn)的的內(nèi)內(nèi)容容信息息安安全全方方針針組織織安安全全資產(chǎn)產(chǎn)的的分分類(lèi)類(lèi)與與控控制制人員員安安全全物理理與與環(huán)環(huán)境境安安全全通信信和和運(yùn)運(yùn)作作方方式式管管理理訪問(wèn)問(wèn)控控制制系統(tǒng)統(tǒng)開(kāi)開(kāi)發(fā)發(fā)與與維維護(hù)護(hù)信息息安安全全事事件件管管理理業(yè)務(wù)務(wù)持持續(xù)續(xù)性性管管理理符合合法法律律ISO17799標(biāo)準(zhǔn)的的作用用ISO/IEC17799不是技技術(shù)性性的信信息安安全操操作手手冊(cè)，，它討討論的的主題題很廣廣泛，，但對(duì)對(duì)每一一項(xiàng)內(nèi)內(nèi)容的的討論論都沒(méi)沒(méi)有深深入下下去，，也沒(méi)沒(méi)有提提供足足夠的的信息息以幫幫助組組織建建立信信息安安全管管理體體系，，還不不能滿滿足認(rèn)認(rèn)證的的要求求。但但是，，作為為對(duì)各各類(lèi)信信息安安全主主題的的高級(jí)級(jí)別概概述，，它有有助于于人們們?cè)诠芄芾碇兄欣斫饨饷恳灰活?lèi)信信息安安全主主題的的基礎(chǔ)礎(chǔ)性問(wèn)問(wèn)題。。ISO27001BS7799-2:2002，經(jīng)修修訂后后，于于2005年10月15日作為為國(guó)際際標(biāo)準(zhǔn)準(zhǔn)ISO/IEC27001:2005發(fā)布。。它規(guī)規(guī)定了了建立立、實(shí)實(shí)施、、文件件化信信息安安全管管理體體系(ISMS)的要求求，規(guī)規(guī)定了了根據(jù)據(jù)單獨(dú)獨(dú)組織織需要要定制制安全全控制制的要要求。。新標(biāo)準(zhǔn)準(zhǔn)的正正式標(biāo)標(biāo)題是是:《BS7799-2:2005(ISO/IEC27001:2005)信息技技術(shù)-安全技技術(shù)-信息安安全管管理體體系-要求》公共準(zhǔn)則則（CC）公共準(zhǔn)則則（CommonCriteria）是一個(gè)個(gè)標(biāo)準(zhǔn)，，它統(tǒng)一一了各種種各樣的的地區(qū)和和國(guó)家安安全準(zhǔn)則則。CC目前是ISO國(guó)際標(biāo)準(zhǔn)準(zhǔn)（IS）15408，它是ISO的CC2.1版本。CC的兩個(gè)基基本功能能標(biāo)準(zhǔn)化的的方法描描述安全全必要條條件，如如安全需需要、實(shí)實(shí)現(xiàn)這些些需要的的產(chǎn)品和和系統(tǒng)以以及分析析和測(cè)試試這些產(chǎn)產(chǎn)品和系系統(tǒng)?？煽康募技夹g(shù)作為為評(píng)估產(chǎn)產(chǎn)品和系系統(tǒng)安全全特性的的基礎(chǔ)。。CC的重要概概念保護(hù)概況況（PP）由于IT管理員、、用戶(hù)、、產(chǎn)品開(kāi)開(kāi)發(fā)者和和其他方方創(chuàng)建的的文檔，，定義了了一套詳詳細(xì)的安安全需求求。PP文檔用于廠商商之間進(jìn)行需需求交流。安全目標(biāo)（ST）來(lái)自于廠商的的一段綜述，，描述了IT產(chǎn)品或系統(tǒng)可可以提供的安安全。包括特特定產(chǎn)品的信信息，解釋了了特殊產(chǎn)品或或系統(tǒng)如何滿滿足PP的需求。評(píng)估目標(biāo)（TOE）IT產(chǎn)品或系統(tǒng)需需要評(píng)估，必必須使用PP和ST文檔列出的特特殊安全要求求來(lái)評(píng)估產(chǎn)品品。產(chǎn)品還必必須按照CC的要求，由一一個(gè)公認(rèn)的第第三方進(jìn)行分分析和測(cè)試。。桔皮書(shū)可信任計(jì)算機(jī)機(jī)標(biāo)準(zhǔn)評(píng)估準(zhǔn)準(zhǔn)則（桔皮書(shū)書(shū)）是根據(jù)美美國(guó)國(guó)防部開(kāi)開(kāi)發(fā)的計(jì)算機(jī)機(jī)安全標(biāo)準(zhǔn)。。它規(guī)定了了一些級(jí)別用用于:保護(hù)硬件、軟軟件和存儲(chǔ)的的信息免受攻攻擊。它的范圍從從級(jí)別A到級(jí)別D，其中A是最高級(jí)別別。級(jí)別A、B和C還分?jǐn)?shù)字標(biāo)標(biāo)明的子級(jí)級(jí)別，例如如，級(jí)別A有A1，級(jí)級(jí)別別B有B1、B2和B3，級(jí)級(jí)別別C有C1和C2。聯(lián)邦邦信信息息安安全全管管理理法法案案聯(lián)邦邦信信息息安安全全管管理理法法案案(FISMA)取代代了了政政府府信信息息安安全全改改革革法法案案(GISRA)，并并且且包包含含更更強(qiáng)強(qiáng)的的永永久久性性條條款款，，其其中中包包括括對(duì)對(duì)信信息息安安全全最最低低強(qiáng)強(qiáng)制制標(biāo)標(biāo)準(zhǔn)準(zhǔn)的的要要求求。。FISMA確定了安安全計(jì)劃劃必需的的元素，，但是沒(méi)沒(méi)有提供供有關(guān)如如何達(dá)到到這些要要求的安安全基準(zhǔn)準(zhǔn)或指導(dǎo)導(dǎo)。計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全全事件應(yīng)應(yīng)急小組組（CERT）國(guó)際上著著名的應(yīng)應(yīng)急響應(yīng)應(yīng)組織美國(guó)計(jì)算算機(jī)緊急急事件響響應(yīng)小組組協(xié)調(diào)中中心事件響應(yīng)應(yīng)與安全全組織論論壇亞太地區(qū)區(qū)計(jì)算機(jī)機(jī)應(yīng)急響響應(yīng)組歐洲計(jì)算算機(jī)網(wǎng)絡(luò)絡(luò)研究教教育協(xié)會(huì)會(huì)其它有用用的網(wǎng)絡(luò)絡(luò)安全援援助機(jī)構(gòu)構(gòu)網(wǎng)絡(luò)110SANS(美國(guó)系統(tǒng)統(tǒng)網(wǎng)絡(luò)安安全協(xié)會(huì)會(huì))SANS(系統(tǒng)管理理、審核核、網(wǎng)絡(luò)絡(luò)、安全全)是信息安安全培訓(xùn)訓(xùn)和認(rèn)證證最可靠靠的來(lái)源源和最大大的機(jī)構(gòu)構(gòu)，它也也在不斷斷發(fā)展壯壯大，并并且是最最大的免免費(fèi)提供供信息安安全各方方面研究究文獻(xiàn)資資料的組組織，它它具有互互聯(lián)網(wǎng)業(yè)業(yè)務(wù)的預(yù)預(yù)警系統(tǒng)統(tǒng)以及互互聯(lián)網(wǎng)威威脅監(jiān)測(cè)測(cè)中心。。SANS提供各類(lèi)類(lèi)資源，，如每周周風(fēng)險(xiǎn)類(lèi)類(lèi)別及危危害等級(jí)級(jí)，每周周新聞?wù)セヂ?lián)網(wǎng)預(yù)預(yù)警系統(tǒng)統(tǒng)以及網(wǎng)網(wǎng)絡(luò)風(fēng)暴暴中心等等。ISSA信息系統(tǒng)統(tǒng)安全協(xié)協(xié)會(huì)(ISSA)是一個(gè)由由信息安安全專(zhuān)家家以及相相關(guān)從業(yè)業(yè)人員組組成的一一個(gè)非營(yíng)營(yíng)利性質(zhì)質(zhì)的國(guó)際際組織。。ISSA的目標(biāo)是是促進(jìn)安安全管理理措施