信息安全的體系結(jié)構(gòu)

關(guān)于信息安全的體系結(jié)構(gòu)第1頁，共116頁，2023年，2月20日，星期三一、信息的定義和特征第2頁，共116頁，2023年，2月20日，星期三1.1信息定義●概念體系：什么是信息？確切地說至今無定義，但它是一個(gè)人人皆知的概念，大約有100多種定義；從不同的側(cè)面，不同層次揭示信息的特征與性質(zhì)。（分廣義和狹義兩大類）第3頁，共116頁，2023年，2月20日，星期三●信息爆炸（一種消息）?！裥畔⑹鞘挛镞\(yùn)動狀態(tài)和方式（廣義信息）?！?975年，意大利Lango“客體間的差別”——有差異就有信息。第4頁，共116頁，2023年，2月20日，星期三●香農(nóng)信息：《通信的數(shù)學(xué)理論》消除的隨機(jī)不確定性的東西。缺少物質(zhì)的世界——缺少能量的世界——缺少信息的世界——空虛的世界死寂的世界混亂的世界第5頁，共116頁，2023年，2月20日，星期三1.2信息性質(zhì)和特征●普遍性和可識別性：利用感官或儀器●存儲性和可處理性：信息載體的多樣性●時(shí)效性和可共享性：價(jià)值隨時(shí)衰減●增值性和可開發(fā)性：資源最佳配置，有限的資源發(fā)揮最大的作用。開發(fā)利用新能源。第6頁，共116頁，2023年，2月20日，星期三●轉(zhuǎn)換性、可傳遞性、可繼承性?！裥畔⒌纳鐣δ埽嘿Y源功能、教育功能、啟迪功能、方法論功能、娛樂功能和輿論功能。第7頁，共116頁，2023年，2月20日，星期三二、信息安全的基本概念第8頁，共116頁，2023年，2月20日，星期三2.1信息安全定義●“安全”：客觀上不存在威脅，主觀上不存在恐懼?！瘛靶畔踩保壕唧w的信息技術(shù)系統(tǒng)的安全；某一特定信息體系（銀行、軍事系統(tǒng)）的安全。（狹義）第9頁，共116頁，2023年，2月20日，星期三●一個(gè)國家的信息化狀態(tài)不受外來的威脅與侵害，一個(gè)國家的信息技術(shù)體系不受外來的威脅與侵害?！裥畔踩紫葢?yīng)該是一個(gè)國家宏觀的社會信息化狀態(tài)是否處于自主控制之下，是否穩(wěn)定，其次才是信息技術(shù)安全問題。第10頁，共116頁，2023年，2月20日，星期三2.2信息安全屬性●完整性（integrity）：存儲或傳輸中不被修改●可用性（availability）：DoS攻擊●保密性（confidentiality）：軍用信息（保密），商用信息（完整）●可控制性（controlability）：授權(quán)機(jī)構(gòu)隨時(shí)控制。第11頁，共116頁，2023年，2月20日，星期三●可靠性（reliability）：對信息系統(tǒng)本身而言。第12頁，共116頁，2023年，2月20日，星期三2.3信息安全分類監(jiān)察安全監(jiān)控查驗(yàn)發(fā)現(xiàn)違規(guī)確定入侵定位損害監(jiān)控威脅犯罪起訴起訴量刑糾偏建議第13頁，共116頁，2023年，2月20日，星期三管理安全技術(shù)管理安全安多級安全鑒別術(shù)管理多級安全加密術(shù)管理密鑰管理術(shù)的管理行政管理安全人員管理系統(tǒng)應(yīng)急管理安全應(yīng)急措施入侵自衛(wèi)與反擊第14頁，共116頁，2023年，2月20日，星期三技術(shù)安全實(shí)體安全環(huán)境安全建筑安全網(wǎng)絡(luò)與設(shè)備安全軟件安全軟件的安全開發(fā)與安裝軟件的復(fù)制與升級軟件加密軟件安全性能測試第15頁，共116頁，2023年，2月20日，星期三技術(shù)安全數(shù)據(jù)安全數(shù)據(jù)加密數(shù)據(jù)存儲安全數(shù)據(jù)備份運(yùn)行安全訪問控制審計(jì)跟蹤入侵告警與系統(tǒng)恢復(fù)第16頁，共116頁，2023年，2月20日，星期三立法安全有關(guān)信息安全的政策、法令、法規(guī)認(rèn)知安全辦學(xué)、辦班獎懲與楊抑信息安全宣傳與普及教育第17頁，共116頁，2023年，2月20日，星期三三、OSI信息安全體系結(jié)構(gòu)第18頁，共116頁，2023年，2月20日，星期三3.1ISO7498-2標(biāo)準(zhǔn)●國際普遍遵循的計(jì)算機(jī)信息系統(tǒng)互聯(lián)標(biāo)準(zhǔn)，首次確定了開放系統(tǒng)互連（OSI）參考模型的信息安全體系結(jié)構(gòu)。我國將其作為GB/T9387-2標(biāo)準(zhǔn)，并予以執(zhí)行。第19頁，共116頁，2023年，2月20日，星期三物理鏈路網(wǎng)絡(luò)傳輸會話表示應(yīng)用OSI參考模型1234567加密數(shù)字簽名訪問控制數(shù)據(jù)完整性認(rèn)證交換業(yè)務(wù)流填充路由控制公證安全機(jī)制訪問控制服務(wù)鑒別服務(wù)數(shù)據(jù)保密服務(wù)數(shù)據(jù)完整性服務(wù)抗抵賴服務(wù)安全服務(wù)安全構(gòu)架三維圖第20頁，共116頁，2023年，2月20日，星期三在ISO7498-2中描述了開放系統(tǒng)互聯(lián)安全的體系結(jié)構(gòu)，提出設(shè)計(jì)安全的信息系統(tǒng)的基礎(chǔ)架構(gòu)中應(yīng)該包含5種安全服務(wù)（安全功能）、能夠?qū)@5種安全服務(wù)提供支持的8類安全機(jī)制和普遍安全機(jī)制，以及需要進(jìn)行的5種OSI安全管理方式。第21頁，共116頁，2023年，2月20日，星期三其中5種安全服務(wù)為：鑒別服務(wù)、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、抗抵賴性；8類安全機(jī)制：加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)交換、業(yè)務(wù)流填充、路由控制、公證；第22頁，共116頁，2023年，2月20日，星期三3.2安全服務(wù)●安全服務(wù)是由參與通信的開放系統(tǒng)的某一層所提供的服務(wù)，確保該系統(tǒng)或數(shù)據(jù)傳輸具有足夠的安全性。ISO7498-2確定了五大類安全服務(wù)。第23頁，共116頁，2023年，2月20日，星期三鑒別●單向或雙向?qū)嶓w鑒別：防治假冒（在連接或數(shù)據(jù)傳輸期間的某些時(shí)刻使用）●數(shù)據(jù)源鑒別：但不提供防治數(shù)據(jù)單元復(fù)制或竄改的保護(hù)。第24頁，共116頁，2023年，2月20日，星期三訪問控制●防止未授權(quán)而利用OSI可訪問的資源。（數(shù)據(jù)庫的訪問控制）第25頁，共116頁，2023年，2月20日，星期三數(shù)據(jù)保密性●連接保密性：請求中的數(shù)據(jù)不適合加密?！駸o連接保密性：●選擇字段保密性：●業(yè)務(wù)流保密性：防止流量分析第26頁，共116頁，2023年，2月20日，星期三數(shù)據(jù)完整性●對付主動威脅（竄改、插入、刪除、重放攻擊）第27頁，共116頁，2023年，2月20日，星期三不可否認(rèn)●帶數(shù)據(jù)源證明的不可否認(rèn)：向數(shù)據(jù)接收者提供數(shù)據(jù)來源的證明。（防止發(fā)信者欺詐）●帶遞交證明的不可否認(rèn)：向數(shù)據(jù)發(fā)送者提供遞交的證明。（防止收信者事后否認(rèn)）第28頁，共116頁，2023年，2月20日，星期三3.3安全機(jī)制●ISO7498-2確定了八大類安全機(jī)制：加密、數(shù)據(jù)簽名機(jī)制、訪問控制機(jī)制、數(shù)據(jù)完整性機(jī)制、鑒別交換機(jī)制、業(yè)務(wù)填充機(jī)制、路由控制機(jī)制和公證機(jī)制。第29頁，共116頁，2023年，2月20日，星期三加密●保密性：向數(shù)據(jù)或業(yè)務(wù)流信息提供保密性?！窦用芩惴ǎ悍謨纱箢悺獙ΨQ加密以及非對稱加密。（可逆與不可逆）第30頁，共116頁，2023年，2月20日，星期三數(shù)字簽名機(jī)制●對數(shù)據(jù)單元簽名●驗(yàn)證簽過名的數(shù)據(jù)單元●簽名只有利用簽名者的私有信息才能產(chǎn)生出來，這樣在簽名得到驗(yàn)證之后，就可在任何時(shí)候向第三方證明：只有秘密信息的惟一擁有者才能夠產(chǎn)生那個(gè)簽名。第31頁，共116頁，2023年，2月20日，星期三訪問控制機(jī)制●確定訪問權(quán)：拒絕訪問未授權(quán)的資源●訪問控制手段：1、訪問控制信息庫。2、口令機(jī)制。3、權(quán)標(biāo)：擁有或出示，不可偽造。4、路由。5、持續(xù)時(shí)間。第32頁，共116頁，2023年，2月20日，星期三數(shù)據(jù)完整性機(jī)制●兩個(gè)方面：單個(gè)數(shù)據(jù)單元或字段完整性（附加校驗(yàn)碼）；數(shù)據(jù)單元串或字段串的完整性?！衿蛐问健＃ǚ罃_亂、丟失、重演）第33頁，共116頁，2023年，2月20日，星期三鑒別交換機(jī)制●通過信息交換以確保實(shí)體身份的一種機(jī)制?！窦夹g(shù)：鑒別信息，如通行字；密碼技術(shù)；實(shí)體的特征或占有物。●對等實(shí)體鑒別：第34頁，共116頁，2023年，2月20日，星期三業(yè)務(wù)填充機(jī)制●制造假的通信實(shí)例，產(chǎn)生欺騙性的數(shù)據(jù)單元或防止業(yè)務(wù)分析。第35頁，共116頁，2023年，2月20日，星期三路由控制機(jī)制●路由選擇：動態(tài)或事先固定（以便利用子網(wǎng)、中繼站）?！癜踩呗裕簲y帶某些安全標(biāo)簽的數(shù)據(jù)可能被禁止通行。第36頁，共116頁，2023年，2月20日，星期三公證機(jī)制●公證人能夠得到通信實(shí)體的信任，而且可以掌握按照某種可證實(shí)方式提供所需保證的必要信息。第37頁，共116頁，2023年，2月20日，星期三3.4安全服務(wù)與安全機(jī)制關(guān)系●一種安全服務(wù)可以通過某種安全機(jī)制單獨(dú)提供，也可以通過多種安全機(jī)制聯(lián)合提供，而且一種安全機(jī)制還可以用于提供一種或多種安全服務(wù)。第38頁，共116頁，2023年，2月20日，星期三P2DR模型P2DR模型是美國ISS公司提出的動態(tài)網(wǎng)絡(luò)安全體系的代表模型，也是動態(tài)安全模型的雛形。P2DR模型包括四個(gè)主要部分：Policy(安全策略)、Protection(防護(hù))、Detection(檢測)和Response(響應(yīng))。第39頁，共116頁，2023年，2月20日，星期三第40頁，共116頁，2023年，2月20日，星期三P2DR模型是在整體的安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具(如防火墻、操作系統(tǒng)身份認(rèn)證、加密等)的同時(shí)，利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)。防護(hù)、檢測和響應(yīng)組成了一個(gè)完整的、動態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全。第41頁，共116頁，2023年，2月20日，星期三該理論的最基本原理就是認(rèn)為，信息安全相關(guān)的所有活動，不管是攻擊行為、防護(hù)行為、檢測行為和響應(yīng)行為等等都要消耗時(shí)間。因此可以用時(shí)間來衡量一個(gè)體系的安全性和安全能力。第42頁，共116頁，2023年，2月20日，星期三作為一個(gè)防護(hù)體系，當(dāng)入侵者要發(fā)起攻擊時(shí)，每一步都需要花費(fèi)時(shí)間。當(dāng)然攻擊成功花費(fèi)的時(shí)間就是安全體系提供的防護(hù)時(shí)間Pt；在入侵發(fā)生的同時(shí)，檢測系統(tǒng)也在發(fā)揮作用，檢測到入侵行為也要花費(fèi)時(shí)間―檢測時(shí)間Dt；在檢測到入侵后，系統(tǒng)會做出應(yīng)有的響應(yīng)動作，這也要花費(fèi)時(shí)間―響應(yīng)時(shí)間Rt。第43頁，共116頁，2023年，2月20日，星期三公式1：Pt>Dt+Rt。

Pt代表系統(tǒng)為了保護(hù)安全目標(biāo)設(shè)置各種保護(hù)后的防護(hù)時(shí)間。Dt代表從入侵者開始發(fā)動入侵開始，系統(tǒng)能夠檢測到入侵行為所花費(fèi)的時(shí)間。Rt代表從發(fā)現(xiàn)入侵行為開始，系統(tǒng)能夠做出足夠的響應(yīng)，將系統(tǒng)調(diào)整到正常狀態(tài)的時(shí)間。那么，針對于需要保護(hù)的安全目標(biāo)，如果上述數(shù)學(xué)公式滿足防護(hù)時(shí)間大于檢測時(shí)間加上響應(yīng)時(shí)間，也就是在入侵者危害安全目標(biāo)之前就能被檢測到并及時(shí)處理。第44頁，共116頁，2023年，2月20日，星期三公式2：Et=Dt+Rt，如果Pt=0。公式的前提是假設(shè)防護(hù)時(shí)間為0。Dt代表從入侵者破壞了安全目標(biāo)系統(tǒng)開始，系統(tǒng)能夠檢測到破壞行為所花費(fèi)的時(shí)間。Rt代表從發(fā)現(xiàn)遭到破壞開始，系統(tǒng)能夠做出足夠的響應(yīng)，將系統(tǒng)調(diào)整到正常狀態(tài)的時(shí)間。比如，對WebServer被破壞的頁面進(jìn)行恢復(fù)。那么，Dt與Rt的和就是該安全目標(biāo)系統(tǒng)的暴露時(shí)間Et。針對于需要保護(hù)的安全目標(biāo)，如果Et越小系統(tǒng)就越安全。第45頁，共116頁，2023年，2月20日，星期三通過上面兩個(gè)公式的描述，實(shí)際上給出了安全一個(gè)全新的定義：“及時(shí)的檢測和響應(yīng)就是安全”，“及時(shí)的檢測和恢復(fù)就是安全”。而且，這樣的定義為安全問題的解決給出了明確的方向：提高系統(tǒng)的防護(hù)時(shí)間Pt，降低檢測時(shí)間Dt和響應(yīng)時(shí)間Rt。第46頁，共116頁，2023年，2月20日，星期三P2DR模型也存在一個(gè)明顯的弱點(diǎn)，就是忽略了內(nèi)在的變化因素．如人員的流動、人員的素質(zhì)和策略貫徹的不穩(wěn)定性．實(shí)際上，安全問題牽涉面廣，除了涉及到防護(hù)、檢測和響應(yīng)，系統(tǒng)本身安全的＂免疫力＂的增強(qiáng)、系統(tǒng)和整個(gè)網(wǎng)絡(luò)的優(yōu)化，以及人員這個(gè)在系統(tǒng)中最重要角色的素質(zhì)的提升，都是該安全系統(tǒng)沒有考慮到的問題．第47頁，共116頁，2023年，2月20日，星期三四、信息管理體系第48頁，共116頁，2023年，2月20日，星期三●技術(shù)：網(wǎng)絡(luò)系統(tǒng)自身的安全脆弱性，TCP/IP協(xié)議的不完善，操作系統(tǒng)的漏洞。●管理：內(nèi)部管理制度，安全意識，黑客入侵，內(nèi)部人員誤操作引起的后果。第49頁，共116頁，2023年，2月20日，星期三●1995年英國標(biāo)準(zhǔn)協(xié)會（BSI）制定《信息安全管理體系標(biāo)準(zhǔn)》，現(xiàn)已成為國際標(biāo)準(zhǔn)。規(guī)定了127種安全控制指南，對計(jì)算機(jī)網(wǎng)絡(luò)與信息安全的控制措施做了詳盡的描述。第50頁，共116頁，2023年，2月20日，星期三網(wǎng)絡(luò)與信息安全＝信息安全技術(shù)＋信息安全管理體系（ISMS）第51頁，共116頁，2023年，2月20日，星期三4、1信息安全管理體系構(gòu)建●遵循國際通行的并適合中國國情的ISMS：1）建立信息安全管理框架：安全政策、范圍、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)管理2）在ISMS基礎(chǔ)上建立相關(guān)的文檔、文件。3）安全事件記錄，反饋。第52頁，共116頁，2023年，2月20日，星期三五、信息安全測評認(rèn)證體系第53頁，共116頁，2023年，2月20日，星期三相關(guān)的國際標(biāo)準(zhǔn)化組織國際標(biāo)準(zhǔn)化組織ISO(InternationalOrganizationStandardization)，ISO中涉及信息安全的機(jī)構(gòu)主要任務(wù)分工有：SCl4(電子數(shù)據(jù)交換(EDI)安全，SCl7(標(biāo)識卡和信用卡安全)，SC22(操作系統(tǒng)安全)，SC27(信息技術(shù)安全)，ISO/TC46(信息系統(tǒng)安全)，ISO/TC68(銀行系統(tǒng)安全)等；第54頁，共116頁，2023年，2月20日，星期三相關(guān)的國際標(biāo)準(zhǔn)化組織國際電信聯(lián)盟ITU(InternationalelecommunicationUnion)原稱國際電報(bào)和電話咨詢委員會CCITT(ConsultativeCommitteeInternationalTelegraphandTelephone)。其中x.400和x.500對信息安全問題有一系列表述.第55頁，共116頁，2023年，2月20日，星期三相關(guān)的國際標(biāo)準(zhǔn)化組織電氣和電子工程師學(xué)會IEEE(InstituteofElectricalandElectronicEngineers)，近年來關(guān)注公開密鑰密碼標(biāo)準(zhǔn)化工作，如P1363；第56頁，共116頁，2023年，2月20日，星期三相關(guān)的國際標(biāo)準(zhǔn)化組織Internet體系結(jié)構(gòu)委員會IAB(InternetArchitectureBoard)，在報(bào)文加密和鑒別，證書的密鑰管理，算法模塊和識別，密鑰證書和相關(guān)服務(wù)方面提出不少建議，如RFC1421-RFC1424，其中包括MD5、DES、RC5、PGP等密碼用法建議第57頁，共116頁，2023年，2月20日，星期三相關(guān)的國際標(biāo)準(zhǔn)化組織美國國家標(biāo)準(zhǔn)局NBS(NationalBureauofStandards)第58頁，共116頁，2023年，2月20日，星期三相關(guān)的國際標(biāo)準(zhǔn)化組織美國國家技術(shù)研究所NIST(NationalInstituteofStandardandTechnology)，NBS和NIST隸屬于美國商業(yè)部。他們制定的信息安全規(guī)范和標(biāo)準(zhǔn)很多，涉及方面有：訪問控制和認(rèn)證技術(shù)、評價(jià)和保障、密碼、電子商務(wù)、一般計(jì)算機(jī)安全、網(wǎng)絡(luò)安全、風(fēng)險(xiǎn)管理、電信、聯(lián)邦信息處理標(biāo)準(zhǔn)等.第59頁，共116頁，2023年，2月20日，星期三相關(guān)的國際標(biāo)準(zhǔn)化組織美國電子工業(yè)協(xié)會EIA(ElectronicIndustriesAssociation)：美國國防部DOD(DepartmentOfDefence)：第60頁，共116頁，2023年，2月20日，星期三相關(guān)的國際標(biāo)準(zhǔn)化組織中國信息安全產(chǎn)品測評認(rèn)證中心、國家保密局、公安部計(jì)算機(jī)管理中心、國家技術(shù)監(jiān)督局等單位正在聯(lián)手合作，制定相關(guān)的電子信息安全產(chǎn)品的有關(guān)標(biāo)準(zhǔn)和規(guī)范性文件。第61頁，共116頁，2023年，2月20日，星期三5、1信息安全度量基準(zhǔn)●美國是信息安全測評認(rèn)證的發(fā)源地。1985年美國國防部正式公布了可行計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC），即桔皮書，開始作為軍用標(biāo)準(zhǔn)，后來延伸到民用。第62頁，共116頁，2023年，2月20日，星期三TCSEC●安全級別由高到低分為A、B、C、D四類，每類之下又分為A1、B1、B2、B3、C1、C2、D七級。第63頁，共116頁，2023年，2月20日，星期三歐洲評估標(biāo)準(zhǔn)ITSEC●結(jié)合法國、英國、德國等開發(fā)成果。第64頁，共116頁，2023年，2月20日，星期三ISO著手國際標(biāo)準(zhǔn)●由于全球IT市場發(fā)展，國際標(biāo)準(zhǔn)可以減少各國開支，推動全球信息化發(fā)展。1999年12月ISO正式將CC2.0——ISO15408發(fā)布。第65頁，共116頁，2023年，2月20日，星期三通用準(zhǔn)則CC●評估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)準(zhǔn)則。建立信息技術(shù)安全性評估的通用準(zhǔn)則庫，就能使其評估結(jié)果能被更多人所理解和信任，并讓各種獨(dú)立的安全評估結(jié)果具有可比性，從而達(dá)到相互認(rèn)證的目的。第66頁，共116頁，2023年，2月20日，星期三1991歐洲ITSEC1985美國TCSEC1990加拿大CTCPEC1996國際通用準(zhǔn)則CC1999國際標(biāo)準(zhǔn)ISO154081991美國聯(lián)邦準(zhǔn)則FC第67頁，共116頁，2023年，2月20日，星期三目前，我國共制定了50多個(gè)與信息安全有關(guān)的標(biāo)準(zhǔn)，例如：(1)GB4943--2001《信息技術(shù)設(shè)備的安全》。(2)GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》。第68頁，共116頁，2023年，2月20日，星期三通用準(zhǔn)則的內(nèi)容分三部分●簡介和一般模型●安全功能要求●安全保證要求我國也將采用這一標(biāo)準(zhǔn)對產(chǎn)品、系統(tǒng)和系統(tǒng)方案進(jìn)行測試、評估和認(rèn)可。第69頁，共116頁，2023年，2月20日，星期三國際互認(rèn)●1999年，CC項(xiàng)目組成立CC國際互認(rèn)工作組。美國NSA和NIST、加拿大CSE和英國CESG隨后加入。目前非政府的認(rèn)證機(jī)構(gòu)也可以加入CC認(rèn)證協(xié)定。第70頁，共116頁，2023年，2月20日，星期三ISO著手國際標(biāo)準(zhǔn)●由于全球IT市場發(fā)展，國際標(biāo)準(zhǔn)可以減少各國開支，推動全球信息化發(fā)展。1999年12月ISO正式將CC2.0——ISO15408發(fā)布。第71頁，共116頁，2023年，2月20日，星期三5、2國家信息安全

測評認(rèn)證體系●組織結(jié)構(gòu)：專門的測評認(rèn)證機(jī)構(gòu)（國家安全或情報(bào)部門控制），管理多個(gè)CC評估/測試實(shí)驗(yàn)室。第72頁，共116頁，2023年，2月20日，星期三國家標(biāo)準(zhǔn)化部門國家安全/情報(bào)部門政府授權(quán)的認(rèn)證機(jī)構(gòu)CC評估/測試實(shí)驗(yàn)室監(jiān)管授權(quán)提交報(bào)告技術(shù)監(jiān)督第73頁，共116頁，2023年，2月20日，星期三信息安全測評認(rèn)證體系●目前基于CC的信息安全測評體系一般具有下圖所示的形式。第74頁，共116頁，2023年，2月20日，星期三測評認(rèn)證機(jī)構(gòu)CC及其通用評估方法政府授權(quán)的認(rèn)證機(jī)構(gòu)CC評估/測試實(shí)驗(yàn)室ISO導(dǎo)則25要求IT產(chǎn)品評估結(jié)果技術(shù)監(jiān)督實(shí)驗(yàn)室認(rèn)證報(bào)告產(chǎn)品實(shí)驗(yàn)室認(rèn)可機(jī)構(gòu)評估發(fā)起者技術(shù)支持方案需求第75頁，共116頁，2023年，2月20日，星期三5、3中國信息安全測評認(rèn)證中心●國家技術(shù)監(jiān)督局1999年2號公告發(fā)布，開展以下四種認(rèn)證業(yè)務(wù)：1）產(chǎn)品信號認(rèn)證：認(rèn)證的基礎(chǔ)形式。2）產(chǎn)品認(rèn)證：從產(chǎn)品檢驗(yàn)到質(zhì)量保證第76頁，共116頁，2023年，2月20日，星期三3）信息系統(tǒng)安全認(rèn)證：對網(wǎng)絡(luò)運(yùn)行安全、管理安全和控制安全的綜合認(rèn)證4）信息安全服務(wù)認(rèn)證：對服務(wù)提供者的實(shí)力、服務(wù)能力、資質(zhì)條件認(rèn)證第77頁，共116頁，2023年，2月20日，星期三5.4攻擊評估在對攻擊事件進(jìn)行評估時(shí)，Seanconvery提供了一個(gè)很好的評估方案，該方案從四個(gè)方面定義了攻擊類型的評估。

1．檢測難度檢測難度是指網(wǎng)管員是否能夠檢測到這些攻擊的近似難度。例如有些端口掃描器掃描頻率過高將會被很多IDS檢測到，而SQL注入等則相對難以察覺。第78頁，共116頁，2023年，2月20日，星期三攻擊評估2．攻擊難度攻擊難度是指可以在公共場合隨意使用的攻擊相對來說攻擊難度較低采用一些0day漏洞的腳本攻擊難度也非常低，而像精妙構(gòu)造SQL語句則成為難度較高的一種攻擊方式。第79頁，共116頁，2023年，2月20日，星期三攻擊評估3．頻度頻度是指攻擊的頻率。端口掃描幾乎每天都會發(fā)生，而SQL注入、ARP欺騙等發(fā)生的頻率則相對低得多。

4．影響要評估網(wǎng)絡(luò)安全問題爆發(fā)后產(chǎn)生的影響。DDoS攻擊可能對電子商務(wù)、政務(wù)系統(tǒng)等帶來極大的影響和經(jīng)濟(jì)損失，而對于國防、軍事等重要系統(tǒng)，它的影響則來自數(shù)據(jù)的丟失和機(jī)密的泄露等。第80頁，共116頁，2023年，2月20日，星期三攻擊評估通過對以上四方面按5分制打分后，可以通過如下公式計(jì)算出總體評價(jià)：總體評價(jià)=檢測難度+攻擊難度×2+頻度×3+影響×4如果總體評價(jià)低于10，則可以不用過多擔(dān)心這類威脅；如果總體評價(jià)高于35則需要關(guān)注這類攻擊；如果高于40，則屬于高危漏洞，需要及時(shí)彌補(bǔ)。SeanConveFy對常見攻擊作了如表所示的評價(jià)。第81頁，共116頁，2023年，2月20日，星期三攻擊評估攻擊類型檢測難度攻擊難度頻度影響總體評價(jià)緩沖溢出435545身份欺騙434542撥號式掃描543542病毒蠕蟲木馬345442直接訪問255339遠(yuǎn)程控制443437刺探、掃描455237Rootkit424436第82頁，共116頁，2023年，2月20日，星期三攻擊評估攻擊類型檢測難度攻擊難度頻度影響總體評價(jià)監(jiān)聽

553336TCP欺騙

511530應(yīng)用程序泛洪

355236UDP欺騙

543334無賴設(shè)備

322533Web應(yīng)用

334333數(shù)據(jù)整理

545132中間人

421531第83頁，共116頁，2023年，2月20日，星期三攻擊評估攻擊類型檢測難度攻擊難度頻度影響總體評價(jià)分布式拒絕服務(wù)(DDoS)

223431ARP欺騙和重定向

341430TCPSYN泛洪

353230IP欺騙

345130IP重定向

222428Smurf242328傳輸重定向

432328MAC泛洪

351328第84頁，共116頁，2023年，2月20日，星期三攻擊評估攻擊類型檢測難度攻擊難度頻度影響總體評價(jià)MAC欺騙351328STP重定向

331220第85頁，共116頁，2023年，2月20日，星期三五、信息安全與法律第86頁，共116頁，2023年，2月20日，星期三6、1網(wǎng)絡(luò)立法的現(xiàn)狀●仍然處于探索階段。一方面，在具體的立法上已經(jīng)走出了可喜的一步。（屬于行政管理，“低級別”的法律）另一方面，理論上的探索和研究，處于立法的前期準(zhǔn)備階段。第87頁，共116頁，2023年，2月20日，星期三6、2網(wǎng)絡(luò)立法的內(nèi)容●三個(gè)方面的內(nèi)容：第一部分是公法的內(nèi)容：對網(wǎng)絡(luò)依法進(jìn)行行政管理第88頁，共116頁，2023年，2月20日，星期三第二部分是私法內(nèi)容：民法角度，對網(wǎng)絡(luò)主體的權(quán)利與義務(wù)第三部分網(wǎng)絡(luò)利用的法律問題：既有公法又有私法部分。第89頁，共116頁，2023年，2月20日，星期三6、3網(wǎng)絡(luò)立法的形式●建立類似于《著作權(quán)法》、《商標(biāo)法》的獨(dú)立的法律?！裨谝恍┗痉ㄖ醒a(bǔ)充一些有關(guān)網(wǎng)絡(luò)內(nèi)容的規(guī)定。●建立配套的行政法規(guī)和部門規(guī)章，對網(wǎng)絡(luò)法還要作出實(shí)施細(xì)則。第90頁，共116頁，2023年，2月20日，星期三立法形式總結(jié)以網(wǎng)絡(luò)法為核心、由基本法的相關(guān)內(nèi)容為配套的、由行政法規(guī)和行政規(guī)章作補(bǔ)充的、由最高司法機(jī)關(guān)的司法解釋作為法律實(shí)施說明的一套完整的法律體系。第91頁，共116頁，2023年，2月20日，星期三6、4計(jì)算機(jī)記錄的法律價(jià)值什么是敏感數(shù)據(jù)沒有統(tǒng)一分類；對于遠(yuǎn)距離犯罪用誰的法律去判定？計(jì)算機(jī)取證困難，不能使用傳統(tǒng)的取證手段；計(jì)算機(jī)犯罪的損失評估的困難性。第92頁，共116頁，2023年，2月20日，星期三舉證責(zé)任的轉(zhuǎn)移通常，舉證責(zé)任在于原告。但是目前，已經(jīng)有許多國家傾向于將舉證責(zé)任轉(zhuǎn)移到提供計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)的這一方，因?yàn)樗麄冇懈嗟臋C(jī)會賴獲得證據(jù)，而用戶沒有足夠的技術(shù)力量和經(jīng)濟(jì)能力提供備份或記錄。第93頁，共116頁，2023年，2月20日，星期三6、5用戶行為規(guī)范●一對一通信：電子郵件●一對多通信：郵件分發(fā)和電子新聞●信息服務(wù)提供：WWW和FTP第94頁，共116頁，2023年，2月20日，星期三幾點(diǎn)規(guī)范●不發(fā)送垃圾郵件●不在網(wǎng)上進(jìn)行人身攻擊，討論敏感話題●不在學(xué)術(shù)問題討論組內(nèi)發(fā)布廣告●不轉(zhuǎn)發(fā)可疑郵件第95頁，共116頁，2023年，2月20日，星期三案例:十萬水軍網(wǎng)海撈金網(wǎng)絡(luò)公關(guān)公司在背后領(lǐng)航被稱為頭號網(wǎng)絡(luò)黑社會的某網(wǎng)絡(luò)營銷機(jī)構(gòu)，被央視報(bào)道號稱“短平快、5萬塊”的網(wǎng)絡(luò)公關(guān)公司，該公司營銷總監(jiān)稱“5萬塊可影響法院判決”。第96頁，共116頁，2023年，2月20日，星期三無道德底線給錢啥事都干

在這群水軍背后，正在興起的網(wǎng)絡(luò)公關(guān)公司是真正的“領(lǐng)航人”，他們充當(dāng)推手，將需要推廣、推銷的目標(biāo)推向公眾。現(xiàn)在的網(wǎng)絡(luò)熱聞，背后很可能是一場炒作，而這種炒作先需要策劃點(diǎn)子、向媒體購買入口文字鏈、焦點(diǎn)圖、將水軍分組進(jìn)行瘋狂頂帖。第97頁，共116頁，2023年，2月20日，星期三網(wǎng)絡(luò)水軍是“中國特色”網(wǎng)絡(luò)水軍被冠以“網(wǎng)絡(luò)黑社會”的稱號。人們對其的反感一是他們虛擬了民意，二是他們制造了大量的網(wǎng)絡(luò)垃圾。在這些浩蕩水軍背后，網(wǎng)絡(luò)公關(guān)公司是那只看不見的手。而隨著行業(yè)完善和技術(shù)發(fā)展，網(wǎng)絡(luò)水軍將成為歷史第98頁，共116頁，2023年，2月20日，星期三業(yè)內(nèi)資深人士劉韌在博客里透露，并不是只有中小公司才雇傭“網(wǎng)絡(luò)打手”，一知名跨國公司CEO曾在公開場合疾呼停止網(wǎng)絡(luò)暴力，但私底下他也雇傭論壇打手回罵“罵他的人”。第99頁，共116頁，2023年，2月20日，星期三隨著互聯(lián)網(wǎng)的發(fā)展，越來越多的傳統(tǒng)企業(yè)也開始了互聯(lián)網(wǎng)營銷，如10XX、XX華夏、陳X公關(guān)之類的公司已開始涉足500強(qiáng)企業(yè)的公關(guān)項(xiàng)目。一些傳統(tǒng)的公關(guān)公司如藍(lán)色光標(biāo)、奧美、迪思等知名公關(guān)企業(yè)也開始增加網(wǎng)絡(luò)公關(guān)的業(yè)務(wù)。第100頁，共116頁，2023年，2月20日，星期三隨著灌水機(jī)的發(fā)展，水軍地位也受到威脅。灌水機(jī)即自動發(fā)帖機(jī)器人，是個(gè)幾百K的小軟件。水軍人工操作成本高，灌水軟件可有效控制成本，最大程度散布廣告帖，還有刷點(diǎn)擊、自動注冊ID等功能。謝先生說，隨著中國互聯(lián)網(wǎng)的發(fā)展完善，水軍終將成為歷史。第101頁，共116頁，2023年，2月20日，星期三第102頁，共116頁，2023年，2月20日，星期三案例2人肉搜索七年來，“人肉搜索”已經(jīng)成為在網(wǎng)絡(luò)上風(fēng)行的一個(gè)詞匯。人肉搜索引擎最早起源于貓撲網(wǎng)，是指利用人工參與來提純搜索引擎提供信息的一種機(jī)制，實(shí)際上就是通過其他人來搜索自己搜不到的東西，與知識搜索的概念差不多，只是更強(qiáng)調(diào)搜索過程的互動而已。第103頁，共116頁，2023年，2月20日，星期三虐貓事件

2006年2月28日，網(wǎng)民“碎玻璃渣子”在網(wǎng)上公布了一組虐貓視頻截圖。不久，網(wǎng)友“12ookie_hz”把有關(guān)“踩貓”事件的網(wǎng)址放在“貓撲”網(wǎng)，網(wǎng)友“黑暗執(zhí)政官”在“天涯社區(qū)”上貼出了踩貓女人的照片，做成一張“宇宙通緝令”，讓天下網(wǎng)友舉報(bào)。不少網(wǎng)友發(fā)愿捐出貓幣、人民幣懸賞捉拿兇手，連貓撲網(wǎng)官方也將賞金從1000元漲到5000元。2006年3月2日上午10點(diǎn)20分，網(wǎng)友“我不是沙漠天使”在貓撲上發(fā)帖:“這個(gè)女人是在黑龍江的一個(gè)小城……”，他的帖子讓事件出現(xiàn)關(guān)鍵性轉(zhuǎn)變。3月4日中午12點(diǎn)，虐貓事件的三個(gè)嫌疑人基本確定，距離“碎玻璃渣子”在網(wǎng)上貼虐貓組圖不過6天時(shí)間，其效率之高可能不亞于警方的辦案速度。第104頁，共116頁，2023年，2月20日，星期三天價(jià)理發(fā)事件

2008年3月兩名14歲女生在“保羅國際”店里剪發(fā)后，被要價(jià)1.2萬元，兩人借了十幾個(gè)同學(xué)的生活費(fèi)才交上這筆錢。4月1日，全國各大媒體對此跟進(jìn)報(bào)道。新聞在網(wǎng)絡(luò)上發(fā)布后，網(wǎng)友啟動“人肉搜索”，公布出保羅國際的注冊信息，固定電話和手機(jī)號碼，以及汽車牌照等，進(jìn)而發(fā)展為到店門口聚集并打出標(biāo)語等。4月2日中午12時(shí)許，鄭州市地稅局稽查局執(zhí)法人員來到保羅國際，依法將其經(jīng)營賬目暫扣。4月3日，保羅國際被鄭州有關(guān)部門責(zé)令停業(yè)整頓。

第105頁，共116頁，2023年，2月20日，星期三遼寧女事件

2008年5月21日，國外最大視頻網(wǎng)YouTube上出現(xiàn)一段長4分40秒的視頻，在視頻中一名女子身處網(wǎng)吧，用很輕蔑的口氣大談對四川地震和災(zāi)區(qū)難民的看法。隨后不到1個(gè)小時(shí)，該視頻被中國網(wǎng)民鏈接到了天涯、貓撲等國內(nèi)大型論壇