數(shù)據(jù)庫(kù)引論課件

信息系統(tǒng)安全教程課件電子郵件：信息系統(tǒng)安全教程

張基溫

著

基本內(nèi)容引論數(shù)據(jù)保密認(rèn)證——數(shù)據(jù)認(rèn)證、身份認(rèn)證訪問(wèn)控制入侵與攻擊網(wǎng)絡(luò)防衛(wèi)安全管理0.1信息系統(tǒng)風(fēng)險(xiǎn)系統(tǒng)風(fēng)險(xiǎn)是指系統(tǒng)遭受意外損失的可能性，它主要來(lái)自系統(tǒng)可能遭受的各種威脅、系統(tǒng)本身的脆弱性以及系統(tǒng)對(duì)于威脅的失策。信息已經(jīng)有多種的解釋認(rèn)識(shí)論：把信息看作不確定性的減少或傳遞中的知識(shí)差（degreeofknowledge）哲學(xué)界：信息是以傳遞知識(shí)差的形式來(lái)減少不確定性、增加系統(tǒng)有序度的資源。0.1.1信息系統(tǒng)及其重要性信息系統(tǒng)信息系統(tǒng)就是一種減少不確定性、減少風(fēng)險(xiǎn)的工具。信息系統(tǒng)就是一種開(kāi)發(fā)信息資源的工具，是信息以及用于信息的采集、傳輸、存儲(chǔ)、管理、檢索和利用等工具的有機(jī)整體。按照威脅的來(lái)源分類（1）自然災(zāi)害威脅（2）濫用性威脅（3）有意人為威脅按照作用對(duì)象分類（1）針對(duì)信息的威脅機(jī)密性（confidentiality）完整性（integrity）可用性（availability）真實(shí)性（authenticity）因此，針對(duì)信息（資源）的威脅可以歸結(jié)為三類：信息破壞：非法取得信息的使用權(quán)，刪除、修改、插入、惡意添加或重發(fā)某些數(shù)據(jù)，以影響信息正常用戶的正常使用。信息泄密：故意或偶然地非法偵收、截獲、分析某些信息系統(tǒng)中的信息，造成系統(tǒng)數(shù)據(jù)泄密。假冒或否認(rèn)：假冒某一可信任方進(jìn)行通信或者對(duì)發(fā)送的數(shù)據(jù)事后予以否認(rèn)。（2）針對(duì)系統(tǒng)的威脅包括對(duì)系統(tǒng)硬件的威脅和對(duì)系統(tǒng)軟件的威脅。按照方法的分類（1）信息泄露在傳輸中被利用電磁輻射或搭接線路的方式竊??；授權(quán)者向未授權(quán)者泄露存儲(chǔ)設(shè)備被盜竊或盜用；未授權(quán)者利用特定的工具捕獲網(wǎng)絡(luò)中的數(shù)據(jù)流量、流向、數(shù)據(jù)長(zhǎng)度等數(shù)據(jù)進(jìn)行分析，從中獲取敏感信息。（2）掃描（scan）掃描是利用特定的軟件工具向目標(biāo)發(fā)送特制的數(shù)據(jù)包，對(duì)響應(yīng)進(jìn)行分析，以了解目標(biāo)網(wǎng)絡(luò)或主機(jī)的特征。（3）入侵（intrusion）旁路控制假冒口令破解合法用戶的非授權(quán)訪問(wèn)0.1.3信息系統(tǒng)安全的脆弱性信息系統(tǒng)脆弱性的根源（1）基于信息屬性的本源性脆弱（2）基于系統(tǒng)復(fù)雜性的結(jié)構(gòu)性脆弱（3）基于攻防不對(duì)稱性的普通性脆弱基于信息屬性的本源性脆弱依附性和多質(zhì)性：依附于物質(zhì)及其運(yùn)動(dòng)過(guò)程，隨著它所依附的物質(zhì)及其運(yùn)動(dòng)方式的不同，形成信息的多媒體性質(zhì)——多質(zhì)性。非消耗性：不像物質(zhì)和能量那樣會(huì)在傳輸、存儲(chǔ)和使用中被消耗?？晒蚕硇?可重用性：信息不像物質(zhì)和能量那樣具有獨(dú)占性，它容易被復(fù)制、被共享。聚變性和增值性：信息對(duì)于不確定性的減少，具有1+1不等于2的性質(zhì)，即多個(gè)相關(guān)信息一起作用可能會(huì)大于（也可能小于）單個(gè)信息被分別獲取所起的作用，而且在信息的使用過(guò)程中，不僅不會(huì)被消耗，還會(huì)被增值，形成消除更多不確定性的信息。易偽性：由于多質(zhì)性，使信息很容易被偽造、被篡改、被破壞。基于攻防不對(duì)稱性的普通性脆弱攻擊可以在任意時(shí)刻發(fā)起，防御必須隨時(shí)警惕；攻擊可以選擇一個(gè)薄弱點(diǎn)進(jìn)行，防御必須全線設(shè)防；攻擊包含了對(duì)未知缺陷的探測(cè)，防御只能對(duì)已知的攻擊防御；攻擊常在暗處，具隱蔽性，防御常在明處，表面看起來(lái)完美，使人容易疏忽，喪失警惕；攻擊可以肆意進(jìn)行，防御必須遵循一定的規(guī)則?；诰W(wǎng)絡(luò)的開(kāi)放和數(shù)據(jù)庫(kù)共享的應(yīng)用性脆弱現(xiàn)代信息系統(tǒng)是基于信息處理和信息傳輸技術(shù)的。現(xiàn)代信息處理中重要的支撐技術(shù)是數(shù)據(jù)庫(kù)技術(shù)，現(xiàn)代通信技術(shù)的支撐是電磁通信和計(jì)算機(jī)網(wǎng)絡(luò)。而數(shù)據(jù)庫(kù)的共享性、電磁通信的易攻擊性和計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性，都使信息系統(tǒng)顯得非常脆弱。信息系統(tǒng)脆弱性的表現(xiàn)（1）芯片的安全脆弱性（2）操作系統(tǒng)安全漏洞下面列舉操作系統(tǒng)脆弱性的一些共性：后門式漏洞。“補(bǔ)丁”式漏洞。遠(yuǎn)程創(chuàng)建進(jìn)程式漏洞。0.2信息系統(tǒng)安全概念0.2.1基于通信保密的信息系統(tǒng)安全概念0.2.2基于信息系統(tǒng)防護(hù)的信息系統(tǒng)安全概念0.2.3基于信息保障的信息系統(tǒng)安全概念0.2.1基于通信保密的信息系統(tǒng)安全概念早期的信息保密2.計(jì)算機(jī)時(shí)代的信息保密Enigma加密機(jī)0.2.2基于信息系統(tǒng)防護(hù)的信息系統(tǒng)安全概念具體目標(biāo)：系統(tǒng)保護(hù)：對(duì)設(shè)施或技術(shù)系統(tǒng)的可靠性、完整性和可用性保護(hù)；信息內(nèi)容保護(hù)：保護(hù)系統(tǒng)中數(shù)據(jù)的機(jī)密性、完整性、可用性。這個(gè)概念的形成經(jīng)歷了兩個(gè)階段：計(jì)算機(jī)安全這一時(shí)代的標(biāo)志是1970年美國(guó)國(guó)防科學(xué)委員會(huì)提出，并于1985年12月美國(guó)國(guó)防部（DoD）公布的可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則（TCSEC，橘皮書）。它將計(jì)算機(jī)的安全分為4個(gè)方面（安全策略、可說(shuō)明性、安全保障和文檔）、7個(gè)等級(jí)（D、C1、C2、B1、B2、B3、A1）。A1級(jí)別最高。0.2.3基于信息保障的信息系統(tǒng)安全概念信息保障（Information

Assurace）的概念最初是由美國(guó)國(guó)防部長(zhǎng)辦公室提出來(lái)的后被寫入命令《DoD

Directive

S-3600.1

Information

Operation》中，在1996年12月9日以國(guó)防部的名義發(fā)表，將信息安全的屬性從過(guò)去的保密性、完整性、可用性，又增添了可驗(yàn)證性和不可否認(rèn)性。但是，信息保障的思想應(yīng)該說(shuō)在這個(gè)命令的前一年，即1995年12月美國(guó)國(guó)防部提出的PDR模型中就已經(jīng)體現(xiàn)出來(lái)了?？梢哉f(shuō)，信息保障的概念也是在PDR（protection–detection–response，防護(hù)—檢測(cè)—響應(yīng)）模型的不斷完善中發(fā)展的。從被動(dòng)防御走向主動(dòng)防御從靜態(tài)防御走向動(dòng)態(tài)防御從技術(shù)與管理分離到技術(shù)與管理融合PDRR模型防護(hù)（Protect）、檢測(cè)（Detect）、響應(yīng)（React）、恢復(fù)（Restore）從被動(dòng)到主動(dòng)防御ＰＤＲ模型PDRR模型日本阪神大地震美國(guó)911事件時(shí)間是量化的，可以被計(jì)算。Ｐt是系統(tǒng)整體防護(hù)時(shí)間;Dt是檢測(cè)時(shí)間;Rt是系統(tǒng)響應(yīng)時(shí)間，再引入Et=暴露時(shí)間，則可以得到如下關(guān)系如果Pt>Dt+Rt，那么系統(tǒng)是安全的；如果Pt≤Dt+Rt，那么Et=（Dt+Rt）?Pt。從技術(shù)與管理分離到技術(shù)與管理融合PPDR模型信息安全保障要依賴于人、技術(shù)和管理三者共同完成，通過(guò)提高系統(tǒng)的預(yù)警能力、保護(hù)能力、檢測(cè)能力、反應(yīng)能力和恢復(fù)能力，在信息和系統(tǒng)生命周期全過(guò)程的各個(gè)狀態(tài)下提供適當(dāng)?shù)陌踩δ?。其中，管理的作用是非常突出的。管理是PPDR模型的核心，是整個(gè)信息系統(tǒng)安全的依據(jù)，是所有的保護(hù)、檢測(cè)、響應(yīng)的實(shí)施依據(jù)。強(qiáng)調(diào)安全策略的實(shí)質(zhì)就是要充分考慮人的管理因素。0.2.4基于經(jīng)濟(jì)學(xué)的信息系統(tǒng)安全概念對(duì)于信息系統(tǒng)安全來(lái)說(shuō)，需要考慮如下三個(gè)與經(jīng)濟(jì)有關(guān)的問(wèn)題：系統(tǒng)資產(chǎn)：需要保護(hù)系統(tǒng)的哪些資源？這些被保護(hù)的資源統(tǒng)稱系統(tǒng)資產(chǎn)。資產(chǎn)損失：明確系統(tǒng)被攻擊成功時(shí)遭受的損失。投入：確定為保護(hù)系統(tǒng)安全需要投入的資金。1.資產(chǎn)（1）物理資源（2）信息資源（3）時(shí)間資源（4）人力資源（5）信譽(yù)（形象）資源2.資產(chǎn)損失3種情形：（1）一時(shí)性損失。如系統(tǒng)死機(jī)、人員不能工作、處理時(shí)間拖延等。（2）長(zhǎng)期恢復(fù)損失。如信息資源的重新配置等，需要一定的時(shí)間。（3）潛在損失。損失內(nèi)容：（1）資金損失：生產(chǎn)力損失；直接損失的設(shè)備和資金；調(diào)查成本；修復(fù)或更換設(shè)備付出的成本；專家咨詢成本；員工加班的報(bào)酬等。（2）形象損失（3）業(yè)務(wù)損失（4）人員流失。3.安全投資安全強(qiáng)度高中低高中低侵入可能性安全投入平衡點(diǎn)安全強(qiáng)度高高中中低低較低侵入可能性安全投入平衡點(diǎn)1較高侵入可能性平衡點(diǎn)2（a）安全投入與侵入可能性的折中（b）平衡點(diǎn)的變化4.適度的安全適度的安全包含了如下3個(gè)安全概念：（1）不夠安全：安全投入小于所減少的損失。（2）適度安全：安全投入等于所減少的損失。（3）過(guò)分安全：安全投入大于所減少的損失。0.3信息系統(tǒng)安全體系0.3.1OSI信息系統(tǒng)安全體系結(jié)構(gòu)概述定義：信息系統(tǒng)安全體系是一個(gè)能為所保障對(duì)象提供可用性、機(jī)密性、完整性、不可抵賴性、可授權(quán)性的可持續(xù)系統(tǒng)。機(jī)制：

（1）風(fēng)險(xiǎn)分析（Risk）

（2）安全防護(hù)（Protect）

（3）安全檢測(cè)（Detect）

（4）測(cè)試與評(píng)估（TestandEvaluate）

（5）應(yīng)急響應(yīng)（React）

（6）恢復(fù)（Restore）0.3.2OSI安全體系的安全服務(wù)1.認(rèn)證服務(wù)通信的對(duì)等實(shí)體鑒別服務(wù)：使N+1層實(shí)體確信某一時(shí)刻與之建立連接或進(jìn)行數(shù)據(jù)傳輸?shù)氖撬枰囊粋€(gè)或多個(gè)N層實(shí)體。數(shù)據(jù)原發(fā)鑒別：使N+1層實(shí)體確信接收到的數(shù)據(jù)單元的來(lái)源是自己要求的。2.訪問(wèn)控制服務(wù)建立用戶（主體）與資源（客體）之間的訪問(wèn)關(guān)系（如讀、寫、刪除、運(yùn)行等），防止對(duì)某一資源的非授權(quán)使用。3.機(jī)密性服務(wù)·連接機(jī)密性保護(hù)：保證一次（Ｎ）連接上的全部（Ｎ）用戶數(shù)據(jù)都保護(hù)起來(lái)不使非授權(quán)泄露?！o(wú)連接機(jī)密性保護(hù)：為單個(gè)無(wú)連接的Ｎ層服務(wù)數(shù)據(jù)單元（N-SDU）中的全部N用戶數(shù)據(jù)提供機(jī)密性保護(hù)。·選擇字段機(jī)密性保護(hù)：僅對(duì)處于N連接的用戶數(shù)據(jù)或無(wú)連接的N-SDU中所選擇的字段提供機(jī)密性保護(hù)?！ねㄐ艠I(yè)務(wù)流機(jī)密性保護(hù)：提供機(jī)密性保護(hù)，并保護(hù)不能通過(guò)觀察通信業(yè)務(wù)流推斷出其中的機(jī)密信息。0.3.2OSI安全體系的安全服務(wù)0.3.2OSI安全體系的安全服務(wù)4.完整性服務(wù)帶恢復(fù)的連接完整性服務(wù)；不帶恢復(fù)的連接完整性服務(wù)；選擇字段連接完整性服務(wù)；無(wú)連接完整性服務(wù)；選擇字段無(wú)連接完整性服務(wù)。5.抗抵賴服務(wù)有數(shù)據(jù)原發(fā)證明的抗抵賴：防止發(fā)送方抵賴；有數(shù)據(jù)交付證明的抗抵賴：防止接收方抵賴。OSI安全體系結(jié)構(gòu)中的安全服務(wù)配置安全服務(wù)協(xié)議層1234567對(duì)等實(shí)體鑒別YYY數(shù)據(jù)原發(fā)鑒別YYY訪問(wèn)控制YYY連接機(jī)密性YYYYYY無(wú)連接機(jī)密性YYYYY選擇字段機(jī)密性Y通信業(yè)務(wù)流機(jī)密性YYY帶恢復(fù)的連接完整性Y不帶恢復(fù)的連接完整性YYY選擇字段連接完整性Y無(wú)連接完整性YYY選擇字段無(wú)連接完整性YYY有數(shù)據(jù)原發(fā)證明的抗抵賴Y有數(shù)據(jù)交付證明的抗抵賴Y0.3.3OSI安全體系的特定安全機(jī)制1.加密機(jī)制能為數(shù)據(jù)提供機(jī)密性，也能為通信業(yè)務(wù)流信息提供機(jī)密性，通常采用密碼、信息隱藏等方法實(shí)現(xiàn)2.數(shù)字簽名機(jī)制用以提供認(rèn)證或抗抵賴服務(wù)，是基于密碼體制的一種機(jī)制。3.訪問(wèn)控制機(jī)制數(shù)據(jù)機(jī)密性；數(shù)據(jù)完整性；可用性。4.完整性保護(hù)機(jī)制避免未授權(quán)的數(shù)據(jù)亂序、丟失、重放、插入以及篡改，具體技術(shù)有校驗(yàn)碼（抗修改）、順序號(hào)（防亂序）、時(shí)間標(biāo)記（防重放、防丟失）等。5.通信業(yè)務(wù)流填充機(jī)制通信業(yè)務(wù)流填充機(jī)制是一種用于提供業(yè)務(wù)流機(jī)密性保護(hù)的反分析機(jī)制，它可以生成偽造的通信實(shí)例、偽造的數(shù)據(jù)單元或/和數(shù)據(jù)單元中偽造的數(shù)據(jù)，使攻擊者難于從數(shù)據(jù)流量對(duì)通信業(yè)務(wù)進(jìn)行分析。0.3.3OSI安全體系的特定安全機(jī)制0.3.3OSI安全體系的特定安全機(jī)制6.路由選擇控制機(jī)制：可以動(dòng)態(tài)的或預(yù)定的選擇路由，以便只使用物理上安全的子網(wǎng)絡(luò)、中繼站或鏈路。例如：當(dāng)檢測(cè)到持續(xù)的攻擊時(shí)，便指示網(wǎng)絡(luò)服務(wù)提供者經(jīng)別的路由建立連接；依據(jù)安全策略，可以禁止帶有某些安全標(biāo)記的數(shù)據(jù)通過(guò)某些子網(wǎng)絡(luò)、中繼站或鏈路；連接的發(fā)起者或無(wú)連接中數(shù)據(jù)的發(fā)送者，可以指定路由選擇說(shuō)明，以請(qǐng)求回避某些特定的子網(wǎng)絡(luò)、中繼站或鏈路。7.公證機(jī)制仲裁方式和判決方式。8.鑒別交換機(jī)制·鑒別信息：如口令、生物信息、身份卡等；·密碼技術(shù)。鑒別技術(shù)的選用取決于使用環(huán)境。在許多場(chǎng)合下，還必須附加一些其他技術(shù)。如：·時(shí)間標(biāo)記與同步時(shí)鐘；·二次握手（對(duì)應(yīng)單方鑒別）或三次握手（對(duì)應(yīng)雙方鑒別）；·抗否認(rèn)機(jī)制：數(shù)字簽名和公證機(jī)制。0.3.3OSI安全體系的特定安全機(jī)制OSI安全服務(wù)與安全機(jī)制之間的關(guān)系安全服務(wù)安全機(jī)制加密數(shù)字簽名訪問(wèn)控制數(shù)據(jù)完整性鑒別交換通信業(yè)務(wù)填充路由選擇控制公證對(duì)等實(shí)體鑒別YYY數(shù)據(jù)原發(fā)鑒別Y訪問(wèn)控制YY連接機(jī)密性YY無(wú)連接機(jī)密性YY選擇字段機(jī)密性Y通信業(yè)務(wù)流機(jī)密性YYY帶恢復(fù)的連接完整性YY不帶恢復(fù)的連接完整性YY選擇字段連接完整性YY無(wú)連接完整性YYY選擇字段無(wú)連接完整性YYY有數(shù)據(jù)原發(fā)證明的抗抵賴YYY有數(shù)據(jù)交付證明的抗抵賴YYY0.3.4OSI安全體系的普遍性安全機(jī)制（1）1.安全標(biāo)記機(jī)制顯式的：校驗(yàn)碼等與傳送數(shù)據(jù)相連的附加數(shù)據(jù)。隱含的：加密數(shù)據(jù)中隱含著密鑰約束。2.事件檢測(cè)機(jī)制 指對(duì)那些與安全有關(guān)的事件進(jìn)行檢測(cè)。例如：對(duì)于特定安全侵害事件、特定選擇事件、對(duì)事件發(fā)生次數(shù)計(jì)數(shù)溢出等的檢測(cè)。這些檢測(cè)，一般要引起一個(gè)或多個(gè)動(dòng)作，如對(duì)事件的報(bào)告、記錄以及恢復(fù)等。3.安全審計(jì)跟蹤機(jī)制·記錄可疑事件（可以產(chǎn)生一個(gè)安全報(bào)警）；·記錄許多日常事件（如連接的建立和終止、使用安全機(jī)制和訪問(wèn)敏感資源等）；·將事件消息傳遞給維護(hù)日志；·為檢查和調(diào)查安全的漏洞提供資料；·通過(guò)列舉被記錄的安全事件類型，對(duì)某些潛在的攻擊起威懾作用。0.3.4OSI安全體系的普遍性安全機(jī)制（1）0.3.4OSI安全體系的普遍性安全機(jī)制（2）4.安全恢復(fù)機(jī)制立即動(dòng)作：立即放棄操作（如斷開(kāi)連接）；暫時(shí)動(dòng)作：使實(shí)體暫時(shí)無(wú)效（如關(guān)閉）；長(zhǎng)期動(dòng)作：把實(shí)體列入黑名單等。5.可信功能機(jī)制可信功能機(jī)制具有如下一些作用：延伸其他安全機(jī)制的范圍或所建立的有效性。因?yàn)橹苯犹峁┑陌踩珯C(jī)制或安全訪問(wèn)機(jī)制的任意功能都應(yīng)當(dāng)是可信的。提供對(duì)某些硬件和軟件可信賴性的保證。0.3.5信息系統(tǒng)的安全管理1.安全策略安全策略（securitypolicy）是在一個(gè)特定的環(huán)境（安全區(qū)域）里，為保證提供一定級(jí)別的安全保護(hù)所必須遵循的一系列條例、規(guī)則。2.安全管理活動(dòng)3.信息系統(tǒng)安全管理的原則4.信息系統(tǒng)的安全標(biāo)準(zhǔn)標(biāo)準(zhǔn)是衡量、評(píng)估、評(píng)測(cè)的準(zhǔn)則。5.信息系統(tǒng)安全立法法律是由國(guó)家政權(quán)保證執(zhí)行的行為規(guī)范。安全策略（1）對(duì)系統(tǒng)安全的定義、總體目標(biāo)和保護(hù)范圍。（2）支持安全目標(biāo)和原則的管理意向聲明。（3）對(duì)于安全政策、原則、標(biāo)準(zhǔn)和要求的簡(jiǎn)要解釋，例如：符合立法和契約的規(guī)定；安全教育的要求；對(duì)于攻擊的預(yù)防和檢測(cè)；持續(xù)運(yùn)行管理；違反安全策略的后果等。（4）安全管理的總體定義，具體權(quán)責(zé)要求等。（5）有關(guān)支持政策的文獻(xiàn)援引，例如適用于具體信息系統(tǒng)的較為詳細(xì)的安全政策、流程或使用者應(yīng)當(dāng)遵循的安全條例等。安全管理活動(dòng)（1）（1）安全服務(wù)管理為該安全服務(wù)確定和指派安全保護(hù)目標(biāo)；為該安全服務(wù)選擇特定的安全機(jī)制；對(duì)需要事先取得管理者同意的可用安全機(jī)制進(jìn)行協(xié)商；通過(guò)適當(dāng)?shù)陌踩珯C(jī)制管理功能調(diào)用特定安全機(jī)制。（2）安全機(jī)制管理安全機(jī)制管理是對(duì)各項(xiàng)安全機(jī)制的功能、參數(shù)和協(xié)議的管理。（3）安全事件處理管理報(bào)告包括遠(yuǎn)程的明顯違反系統(tǒng)安全的企圖；確定和修訂觸發(fā)安全事件報(bào)告的閾值。（4）安全審計(jì)管理收集、記錄安全事件；授予或取消對(duì)所選用事件進(jìn)行審計(jì)跟蹤（記錄、調(diào)查）的能力；準(zhǔn)備安全審計(jì)報(bào)告。安全管理活動(dòng)（2）（5）安全恢復(fù)管理制定并維護(hù)安全事故的恢復(fù)計(jì)劃、操作規(guī)程和細(xì)則；提出完備的安全恢復(fù)報(bào)告。（6）安全行政管理建立專門的安全管理機(jī)構(gòu)；建立完善的安全管理制度；配備專門安全管理人員，并進(jìn)行培訓(xùn)、考察、評(píng)價(jià)等管理。（7）系統(tǒng)安全管理管理總體安全策略，維護(hù)其一致性；依據(jù)系統(tǒng)總體安全策略，在系統(tǒng)中建立不同等級(jí)的安全管理信息庫(kù)（SMIB），以存儲(chǔ)與系統(tǒng)安全有關(guān)的全部信息；維護(hù)安全管理協(xié)議，保證安全服務(wù)管理和安全機(jī)制管理之間的正常交互功能。信息系統(tǒng)安全的防御原則（1）木桶原則（2）成本效率原則（3）可擴(kuò)展性原則（4）分權(quán)制衡原則（5）最小特權(quán)原則（6）失效保護(hù)原則（7）公開(kāi)揭露原則（8）立足國(guó)內(nèi)原則（9）可評(píng)估原則信息系統(tǒng)的安全標(biāo)準(zhǔn)（1）針對(duì)信息系統(tǒng)（包括產(chǎn)品）的安全性評(píng)測(cè)準(zhǔn)則（2）針對(duì)使用信息系統(tǒng)的組織的安全管理標(biāo)準(zhǔn)（3）針對(duì)不同安全產(chǎn)品的互操作性的互操作標(biāo)準(zhǔn)針對(duì)信息系統(tǒng)（包括產(chǎn)品）的

安全性評(píng)測(cè)準(zhǔn)則美國(guó)國(guó)防部的《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》（TrustedComputerSystemEvaluationCriteria，TCSEC，1983），也稱桔皮書。這是IT歷史上第一個(gè)安全評(píng)估標(biāo)準(zhǔn)。這個(gè)安全測(cè)試標(biāo)準(zhǔn)的建立旨在：確保用戶的信息安全、為系統(tǒng)集成供應(yīng)商提供指導(dǎo)、為信息安全提供一個(gè)標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)將安全分為四個(gè)等級(jí)：D到A1。每一級(jí)都是在上一級(jí)基礎(chǔ)上添加新的條件。安全等級(jí)D最低，依次為：C1（任意安全保護(hù)），C2（受約束訪問(wèn)安全保護(hù)），B1（標(biāo)簽安全保護(hù)），B2（結(jié)構(gòu)保護(hù)），B3（安全域），A1（校驗(yàn)設(shè)計(jì)）。共七個(gè)等級(jí)，A1等級(jí)最高。

歐洲（英、德、法、荷四國(guó)）的《信息技術(shù)安全性評(píng)估準(zhǔn)則》（InformationTechnologySecurityEvaluationCriteria，ITSEC，1990），也稱白皮書。加拿大的《可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則3.30》（CTCPEC3.0，1992.4），將安全需求分為4個(gè)層次：機(jī)密性、完整性、可靠性和可說(shuō)明性。六國(guó)七方（英國(guó)、加拿大、法國(guó)、德國(guó)、荷蘭、美國(guó)家安全局和美國(guó)標(biāo)準(zhǔn)技術(shù)研究所）的《信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)》（CommonCriteriaofInformationTechnicalSecurityEvaluation，CCITSE），簡(jiǎn)稱CC，是在TCSEC基礎(chǔ)上的改進(jìn)，從對(duì)操作系統(tǒng)評(píng)估擴(kuò)充到信息技術(shù)產(chǎn)品和系統(tǒng)。

ISO/IEC21827：2002，《信息安全工程能力成熟度模型》（SystemSecrrityEngineeringCapabilityMaturityModel，SSE-CMM），是一個(gè)關(guān)于信息安全建設(shè)工程實(shí)施方面的標(biāo)準(zhǔn)，通常用過(guò)程改善、能力評(píng)估和保證三種方式應(yīng)用。中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB17895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分為5個(gè)等級(jí)，于2001年1月1日起實(shí)施。針對(duì)信息系統(tǒng)（包括產(chǎn)品）的

安全性評(píng)測(cè)準(zhǔn)則針對(duì)使用信息系統(tǒng)的組織

的安全管理標(biāo)準(zhǔn)ISO/IEC17799：2000《信息技術(shù)信息安全管理實(shí)用規(guī)則》，從信息安全策略、組織的安全、資產(chǎn)分類和管理、人員安全、物理和環(huán)境安全、通信和操作管理、訪問(wèn)控制、系統(tǒng)開(kāi)發(fā)和維護(hù)、業(yè)務(wù)