《信息安全理論與技術(shù)》課件1-信息安全基礎(chǔ)知識(shí)

學(xué)習(xí)內(nèi)容概念類信息安全基本概念、密碼基礎(chǔ)密碼類密鑰管理、身份認(rèn)證、訪問控制、安全審計(jì)網(wǎng)絡(luò)應(yīng)用類防火墻、入侵檢測、惡意代碼、網(wǎng)絡(luò)攻擊與防御，系統(tǒng)安全學(xué)習(xí)目的了解信息安全的基本理論知識(shí)和概念了解信息安全最常用的安全技術(shù)信息安全體系結(jié)構(gòu)的基本規(guī)劃與設(shè)計(jì)

網(wǎng)絡(luò)與信息系統(tǒng)總體結(jié)構(gòu)初步分析

信息安全需求分析設(shè)計(jì)目標(biāo)、指導(dǎo)思想與設(shè)計(jì)原則安全策略的制定與實(shí)施3第1章信息安全基礎(chǔ)知識(shí)42024/3/314學(xué)習(xí)重點(diǎn)：網(wǎng)絡(luò)與信息安全基礎(chǔ)知識(shí)信息安全體系結(jié)構(gòu)與模型信息安全管理體系信息安全評(píng)測認(rèn)證體系難點(diǎn)：信息安全與網(wǎng)絡(luò)安全的關(guān)系與區(qū)別信息安全體系結(jié)構(gòu)與模型5目錄信息安全現(xiàn)狀與分析信息安全相關(guān)概念安全協(xié)議安全模型信息安全管理體系方法61信息安全現(xiàn)狀和分析互聯(lián)網(wǎng)絡(luò)發(fā)展現(xiàn)狀我國的網(wǎng)絡(luò)安全現(xiàn)狀網(wǎng)絡(luò)安全問題和案例71.1互聯(lián)網(wǎng)絡(luò)發(fā)展現(xiàn)狀第49次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告截至2021年12月，我國網(wǎng)民總體規(guī)模持續(xù)增長，規(guī)模達(dá)10.32億，較2020年12月增長4296萬，互聯(lián)網(wǎng)普及率達(dá)73.0%。城鄉(xiāng)上網(wǎng)差距繼續(xù)縮小，我國現(xiàn)有行政村已全面實(shí)現(xiàn)“村村通寬帶”，貧困地區(qū)通信難等問題得到歷史性解決。我國農(nóng)村網(wǎng)民規(guī)模已達(dá)2.84億，農(nóng)村地區(qū)互聯(lián)網(wǎng)普及率為57.6%。我國網(wǎng)民的互聯(lián)網(wǎng)使用行為呈現(xiàn)新特點(diǎn)：一是人均上網(wǎng)時(shí)長保持增長。截至2021年12月，我國網(wǎng)民人均每周上網(wǎng)時(shí)長達(dá)到28.5個(gè)小時(shí)，較2020年12月提升2.3個(gè)小時(shí)，互聯(lián)網(wǎng)深度融入人民日常生活。二是上網(wǎng)終端設(shè)備使用更加多元。截至2021年12月，我國網(wǎng)民使用手機(jī)上網(wǎng)的比例達(dá)99.7%，手機(jī)仍是上網(wǎng)的最主要設(shè)備；網(wǎng)民中使用臺(tái)式電腦、筆記本電腦、電視和平板電腦上網(wǎng)的比例分別為35.0%、33.0%、28.1%和27.4%。2021年我國互聯(lián)網(wǎng)應(yīng)用用戶規(guī)模保持平穩(wěn)增長。一是即時(shí)通信等應(yīng)用基本實(shí)現(xiàn)普及。截至2021年12月，在網(wǎng)民中，即時(shí)通信、網(wǎng)絡(luò)視頻、短視頻用戶使用率分別為97.5%、94.5%和90.5%，用戶規(guī)模分別達(dá)10.07億、9.75億和9.34億。二是在線辦公、在線醫(yī)療等應(yīng)用保持較快增長。截至2021年12月，在線辦公、在線醫(yī)療用戶規(guī)模分別達(dá)4.69億和2.98億，同比分別增長35.7%和38.7%，成為用戶規(guī)模增長最快的兩類應(yīng)用；網(wǎng)上外賣、網(wǎng)約車的用戶規(guī)模增長率緊隨其后，同比分別增長29.9%和23.9%，用戶規(guī)模分別達(dá)5.44億和4.53億。891信息安全現(xiàn)狀和分析互聯(lián)網(wǎng)絡(luò)發(fā)展現(xiàn)狀我國的網(wǎng)絡(luò)安全現(xiàn)狀網(wǎng)絡(luò)安全問題和案例1.2

網(wǎng)絡(luò)安全現(xiàn)狀

2021年，全國網(wǎng)絡(luò)資產(chǎn)暴露加劇，數(shù)字資產(chǎn)暴露面不斷擴(kuò)大，用戶的數(shù)據(jù)和個(gè)人隱私面臨泄露風(fēng)險(xiǎn)，這些潛在威脅不容忽視。與此同時(shí)，安全漏洞、高風(fēng)險(xiǎn)端口開放、DDoS攻擊、惡意軟件等網(wǎng)絡(luò)威脅幾乎遍布全國各省市，為我國的網(wǎng)絡(luò)安全防護(hù)工作帶來了嚴(yán)重挑戰(zhàn)。新增漏洞數(shù)量相比2020年，呈現(xiàn)上升的趨勢?？缯灸_本CWE-79類型的漏洞數(shù)量最多；Windowsms17-010系列漏洞掃描攻擊事件最多；服務(wù)器中Web服務(wù)器受到的攻擊是最多，Web服務(wù)器中CGI的漏洞利用數(shù)量最多。2021年，勒索軟件主要攻擊目標(biāo)為制造業(yè)、服務(wù)業(yè)等傳統(tǒng)行業(yè)，美國遭受勒索軟件攻擊數(shù)量最多；僵尸網(wǎng)絡(luò)仍然以Mirai、Gafgyt等傳統(tǒng)DDoS家族為主；竊密木馬與釣魚郵件仍深度綁定，企業(yè)應(yīng)注意釣魚郵件的潛在風(fēng)險(xiǎn)。IPv6規(guī)模部署取得明顯成效的同時(shí)，安全問題也逐漸暴露出來，IPv6Web攻擊、漏洞利用和掃描事件占比位居前三。相比2020年，IPv6漏洞和利用攻擊事件大幅增加，境外的IPv6攻擊源大幅增加，成為了國內(nèi)企業(yè)面臨的主要IPv6威脅來源，教育行業(yè)依舊是被攻擊的重災(zāi)區(qū)。隨著物聯(lián)網(wǎng)設(shè)備數(shù)量呈指數(shù)級(jí)增長，其攻擊面暴漲。2021年針對(duì)物聯(lián)網(wǎng)的攻擊事件數(shù)量上升，不斷出現(xiàn)新的攻擊方式，并帶來巨大的危害，物聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)化與自動(dòng)化的需求迫在眉睫。隨著2021年《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》正式落地和實(shí)施，如何遵循合規(guī)性和保護(hù)敏感數(shù)據(jù)成為國內(nèi)企業(yè)必答的一個(gè)安全命題。2021年數(shù)據(jù)安全泄露問題依然嚴(yán)峻，其中在國內(nèi)源代碼泄露事件中，金融和政府行業(yè)需重點(diǎn)關(guān)注。11121信息安全現(xiàn)狀和分析互聯(lián)網(wǎng)絡(luò)發(fā)展現(xiàn)狀我國的網(wǎng)絡(luò)安全現(xiàn)狀網(wǎng)絡(luò)安全問題和案例13案例一：2016年10月21日，美國東海岸（世界最發(fā)達(dá)地區(qū)）發(fā)生世界上癱瘓面積最大（大半個(gè)美國）、時(shí)間最長（6個(gè)多小時(shí)）的分布式拒絕服務(wù)（DDoS）攻擊?！拔锫?lián)網(wǎng)破壞者”（“Mirai”未來）劫持網(wǎng)絡(luò)攝像頭（杭州制造），讓上百萬攝像頭同時(shí)請(qǐng)求訪問互聯(lián)網(wǎng)，造成網(wǎng)絡(luò)堵塞癱瘓。更有進(jìn)一步攻擊，升級(jí)為PDoS（永久拒絕服務(wù)攻擊），清除設(shè)備里的所有文件。1.3網(wǎng)絡(luò)安全問題和案例14案例二：2017年5月12日爆發(fā)的“WannaCry”的勒索病毒，通過將系統(tǒng)中數(shù)據(jù)信息加密，使數(shù)據(jù)變得不可用，借機(jī)勒索錢財(cái)。病毒席卷近150個(gè)國家，教育、交通、醫(yī)療、能源網(wǎng)絡(luò)成為本輪攻擊的重災(zāi)區(qū)。2018年8月3日，臺(tái)積電遭到勒索病毒入侵，幾個(gè)小時(shí)之內(nèi)，臺(tái)積電在中國臺(tái)灣地區(qū)的北、中、南三個(gè)重要生產(chǎn)基地全部停擺，造成約十幾億美元的營業(yè)損失，最近的5.4俠盜版危害極大。15目錄信息安全現(xiàn)狀與分析信息安全相關(guān)概念安全協(xié)議安全模型信息安全管理體系方法162信息安全相關(guān)概念概念特征關(guān)鍵技術(shù)安全威脅安全威脅的主要來源信息：消息？信號(hào)？資料？情報(bào)？用通俗的語言來描述，所謂信息，就是有意義的資料，人們可以通過它獲得一些知識(shí)“信息”具有如下一些特點(diǎn)：沒有物理實(shí)體形態(tài)具有價(jià)值具有擁有者，他有權(quán)對(duì)掌握的信息做處置信息被泄露、破壞，會(huì)給擁有者帶來損失信息與信息安全18

ProblemsinInfoSec1）沒有統(tǒng)一定義什么是安全？理想狀態(tài)下：客觀上不存在威脅主觀上不存在恐懼誰真正能做到？誰真正能感覺到？19信息安全面臨的問題統(tǒng)一的標(biāo)準(zhǔn)問題無窮域中給出一個(gè)限定解問題安全是需要根據(jù)具體的應(yīng)用、具體的需求、具體的客戶、具體的實(shí)現(xiàn)能力，進(jìn)行實(shí)施的沒有完美的安全，但要做到“最安全”安全是手段，管理是根本三分技術(shù)，七分管理20安全——“遠(yuǎn)離危險(xiǎn)、威脅的狀態(tài)或特性”和“為防范間諜活動(dòng)或蓄意破壞、犯罪、攻擊等而采取的措施”。信息安全：防止對(duì)數(shù)據(jù)進(jìn)行未授權(quán)訪問的措施或防止信息的有意無意泄露、破壞、篡改、丟失等破壞信息完整性的有關(guān)措施。網(wǎng)絡(luò)空間（CyberSpace）安全網(wǎng)絡(luò)空間是哲學(xué)和計(jì)算機(jī)領(lǐng)域中的一個(gè)抽象概念，指在計(jì)算機(jī)以及計(jì)算機(jī)網(wǎng)絡(luò)里的虛擬現(xiàn)實(shí)。賽博空間一詞是控制論（cybernetics）和空間（space）兩個(gè)詞的組合，對(duì)Cyberspace的譯法繁多，有人將它譯作“賽博空間”，更有“異次元空間”、“多維信息空間”、“電腦空間”、“網(wǎng)絡(luò)空間”等譯法。21網(wǎng)絡(luò)空間（CyberSpace）安全“賽博空間”理論最早由美國科學(xué)家提出，實(shí)質(zhì)就是指網(wǎng)絡(luò)電磁空間。進(jìn)入21世紀(jì)，隨著網(wǎng)絡(luò)以指數(shù)速度滲透到社會(huì)生活的各個(gè)角落，并創(chuàng)造出人類活動(dòng)的第五維空間--網(wǎng)絡(luò)電磁空間，傳統(tǒng)的戰(zhàn)爭形態(tài)及戰(zhàn)爭觀由此發(fā)生了急劇變化。嶄新形態(tài)的網(wǎng)絡(luò)政治、網(wǎng)絡(luò)經(jīng)濟(jì)、網(wǎng)絡(luò)文化、網(wǎng)絡(luò)軍事和網(wǎng)絡(luò)外交等，形成了新空間的道道風(fēng)景，催生了網(wǎng)絡(luò)戰(zhàn)的閃亮登場。由此可見，賽博空間是一個(gè)廣泛、無所不在的網(wǎng)絡(luò)（UbiquitousandPervasiveNetworks）。22網(wǎng)絡(luò)空間（CyberSpace）安全網(wǎng)絡(luò)空間具有四大特性：網(wǎng)絡(luò)融合性：互聯(lián)網(wǎng)，電信網(wǎng)絡(luò)，廣播電視網(wǎng)絡(luò)，物聯(lián)網(wǎng)IoT等；終端多樣性：智能手機(jī)，電視，PC，IPAD等；內(nèi)容多樣化：云計(jì)算，社交網(wǎng)絡(luò)，對(duì)等網(wǎng)絡(luò)服務(wù)等；領(lǐng)域廣泛性：涉及政治，經(jīng)濟(jì)，文化。23網(wǎng)絡(luò)空間（CyberSpace）安全網(wǎng)絡(luò)空間的對(duì)抗將是全球性、高速性、大范圍的對(duì)抗，賽博空間的博弈，以網(wǎng)絡(luò)為中心，以信息為主導(dǎo)。防的是基礎(chǔ)網(wǎng)絡(luò)、信息數(shù)據(jù)、心理認(rèn)知和社會(huì)領(lǐng)域不受侵犯，打的是基于“芯片”直接癱瘓敵戰(zhàn)爭基礎(chǔ)和戰(zhàn)爭潛力的“比特戰(zhàn)”.2425年代通信安全發(fā)展時(shí)期

古代至60年代60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期安全保障能力信息安全發(fā)展的四個(gè)階段26年代通信安全發(fā)展時(shí)期

古代至60年代60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期安全保障能力信息安全發(fā)展的四個(gè)階段這一時(shí)期主要關(guān)注“機(jī)密性”，即如何防范敵方/競爭對(duì)手獲得自己的秘密。40年代以前“通信安全”也稱“通信保密”。40年代增加了“電子安全”，50年代歐美國家將“通信安全”和“電子安全”合稱為“信號(hào)安全（SIGSEC）”密碼學(xué)是解決“機(jī)密性”的核心技術(shù)。二戰(zhàn)及戰(zhàn)后密碼學(xué)得到了很好的發(fā)展。Shannon于1949年發(fā)表的論文《保密系統(tǒng)的信息理論》，為對(duì)稱密碼學(xué)建立了理論基礎(chǔ)，從此密碼學(xué)從“藝術(shù)”發(fā)展成為真正的科學(xué)。27年代通信安全發(fā)展時(shí)期

古代至60年代60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期安全保障能力信息安全發(fā)展的四個(gè)階段1946年世界上第一臺(tái)電子計(jì)算機(jī)誕生，1965年美國率先提出了計(jì)算機(jī)安全（COMPUSEC）。這一時(shí)期主要關(guān)注“機(jī)密性、訪問控制、認(rèn)證”，即針對(duì)計(jì)算機(jī)操作系統(tǒng)及數(shù)據(jù)的安全保護(hù)。這一時(shí)期現(xiàn)代密碼學(xué)得到了快速發(fā)展，Diffiee和Hellman于1976年發(fā)表的論文《密碼編碼學(xué)新方向》；美國于1977年制定的數(shù)據(jù)加密標(biāo)準(zhǔn)DES，這兩個(gè)事件標(biāo)志著現(xiàn)代密碼學(xué)的誕生，計(jì)算機(jī)安全走向標(biāo)準(zhǔn)化。美國軍方提出了著名的TCSEC標(biāo)準(zhǔn)，為計(jì)算機(jī)安全評(píng)估奠定了基礎(chǔ)。標(biāo)準(zhǔn)化的工作帶動(dòng)了安全產(chǎn)品的大量出現(xiàn)。28年代通信安全發(fā)展時(shí)期

古代至60年代60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期安全保障能力信息安全發(fā)展的四個(gè)階段80年代中期，美國和歐洲先后在學(xué)術(shù)界和軍事領(lǐng)域開始使用“信息安全”這個(gè)名詞。這一時(shí)期對(duì)于信息安全的認(rèn)知得以發(fā)展，跳出了長久以來單純關(guān)注機(jī)密性的局限，開始全方位關(guān)注“機(jī)密性、完整性、可用性、真實(shí)性、非否認(rèn)性”等多種安全特性。對(duì)于安全保護(hù)目標(biāo)的認(rèn)識(shí)也從計(jì)算機(jī)轉(zhuǎn)變?yōu)樾畔⒈旧怼Ｃ艽a技術(shù)得到了空前的發(fā)展，提出了很多新觀點(diǎn)和新方法如ECC、密鑰托管、盲簽名、零知識(shí)證明協(xié)議。安全評(píng)估標(biāo)準(zhǔn)得到重視，可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）、信息技術(shù)安全評(píng)估準(zhǔn)則(ITSEC)、信息技術(shù)安全性評(píng)估通用準(zhǔn)則（CC）相繼頒布。計(jì)算機(jī)應(yīng)急響應(yīng)受到重視?！靶畔⑹琴Y產(chǎn)”的概念確立，1989年NSA資助卡內(nèi)基—梅隆大學(xué)建立世界上第一個(gè)“計(jì)算機(jī)應(yīng)急小組（CERT）”及其協(xié)調(diào)中心（CERT/CC）CERT的成立標(biāo)志著信息安全由靜態(tài)保護(hù)向動(dòng)態(tài)防護(hù)的轉(zhuǎn)變。29年代通信安全發(fā)展時(shí)期

古代至60年代60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期安全保障能力信息安全發(fā)展的四個(gè)階段這一時(shí)期主要關(guān)注“保護(hù)、檢測、響應(yīng)、恢復(fù)”的動(dòng)態(tài)、主動(dòng)防御過程。在這一時(shí)期，被動(dòng)防御被認(rèn)為不足以應(yīng)對(duì)信息安全威脅，信息安全保障強(qiáng)調(diào)保護(hù)、檢測、反應(yīng)和恢復(fù)這四種能力，圍繞人、技術(shù)和管理這三個(gè)層面，以支持機(jī)構(gòu)的任務(wù)和職能為目標(biāo)，注重體系建設(shè)，強(qiáng)化組織與協(xié)調(diào)功能。1995年，美國國防部提出了“信息安全保障體系”（IA）概念，并給出了“保護(hù)（Protection）—監(jiān)測（detection）—響應(yīng)（Response）”即“P2DR”模型。后來增加了恢復(fù)（Restore）,變?yōu)椤癙DRR”模型。在這一時(shí)期，信息安全管理得到重視。人們逐漸意識(shí)到信息安全并非一個(gè)純技術(shù)的過程，從長期來看是一個(gè)管理過程。信息安全管理不但要考慮技術(shù)機(jī)制的使用，還要考慮人事安全、物理安全、操作安全、符合性、業(yè)務(wù)連續(xù)性等多個(gè)方面。30年代通信安全發(fā)展時(shí)期

古代至60年代60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期安全保障能力機(jī)密性機(jī)密性、訪問控制與認(rèn)證

機(jī)密性、完整性、可用性、可控性和非否認(rèn)性

“預(yù)警、保護(hù)、檢測、響應(yīng)、恢復(fù)、反擊”整個(gè)過程

信息安全發(fā)展的四個(gè)階段312信息安全相關(guān)概念概念特征安全威脅關(guān)鍵技術(shù)保密性（confidentiality）：對(duì)信息資源開放范圍的控制，不讓不應(yīng)涉密的人知道秘密。保密性措施：信息加密、解密；信息劃分密級(jí)，對(duì)用戶分配不同權(quán)限，對(duì)不同權(quán)限的用戶訪問的對(duì)象進(jìn)行訪問控制；防止硬件輻射泄露、網(wǎng)絡(luò)截獲、竊聽等。33完整性（integrity）：使信息保持完整、真實(shí)或未受損狀態(tài)，任何中斷、竊取、篡改和偽造信息應(yīng)用特性或狀態(tài)等行為都是破壞信息的完整性的。完整性措施：嚴(yán)格控制對(duì)系統(tǒng)中數(shù)據(jù)的寫訪問。只允許許可的當(dāng)事人進(jìn)行更改。34可用性（availability）：意味著資源只能由合法的當(dāng)事人使用，保證合法用戶對(duì)信息的合法利用?？捎眯源胧涸趫?jiān)持嚴(yán)格的訪問控制機(jī)制的條件下，為用戶提供方便和快速的訪問接口。提供安全性的訪問工具。即使在突發(fā)事件下，依然能夠保障數(shù)據(jù)和服務(wù)的正常使用，例如可防范病毒及各種惡意代碼攻擊包括DDos攻擊，可進(jìn)行災(zāi)難備份35不可否認(rèn)性：信息的發(fā)送者無法否認(rèn)已發(fā)出的信息，信息的接收者無法否認(rèn)已經(jīng)接收的信息。不可否認(rèn)性措施：數(shù)字簽名，可信第三方認(rèn)證技術(shù)。36可控性：授權(quán)機(jī)構(gòu)對(duì)信息的內(nèi)容傳播具有控制能力的特性，可以控制授權(quán)范圍內(nèi)的信息流向以及方式。

可控性措施：實(shí)現(xiàn)信息和信息系統(tǒng)的認(rèn)證（可認(rèn)證性即真實(shí)性）、授權(quán)（訪問控制）和監(jiān)控管理372信息安全相關(guān)概念概念特征安全威脅安全威脅的主要來源關(guān)鍵技術(shù)38安全威脅

拒絕服務(wù)攻擊內(nèi)部、外部泄密邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲Internet計(jì)算機(jī)病毒PVVPPPPPPPPPPPPPPPPPPPPPVPVPPVPVPVPVPVPVPVPVPVPVPVPVPVPVPVPVPVPVPVPVPVPVP系統(tǒng)有毒程序帶毒潛伏代碼滿足條件否？監(jiān)視滿足而爆炸易損芯片,軟件后門,政治目的滿足而爆炸伊拉克的打印機(jī)香港的銀行系統(tǒng)……..….間諜程序，后門TCPSYN攻擊死亡之PingofDeah消耗系統(tǒng)資源(帶寬、內(nèi)存、隊(duì)列、CPU…)當(dāng)機(jī)……阻止授權(quán)用戶正常訪問服務(wù)(慢、不能連接、沒有響應(yīng)……)CPU拒絕服務(wù)DOSWeDoNotKnowWhatIsAddressed

AndWhatIs

Not!ModemAccess路由器CommsTheWorldTheWorld外部人員外部人員內(nèi)部人員內(nèi)部人員防火墻&路由器配置減少30%的漏洞內(nèi)，外部人員的威脅搭線捕包竊聽設(shè)備竊密以搭線竊聽、電磁泄露捕獲、信息流分析等為手段進(jìn)行信息的非法獲取的行為。線路竊聽與截取系統(tǒng)分析--端口掃描PortScan弱點(diǎn)漏洞的利用--技術(shù)入侵Vulnerabilities特洛伊木馬Trojan蠕蟲Worm隱蔽通道Pipe，后門Backdoor，嗅探器Sniffer強(qiáng)力攻擊Bruteforce拒絕服務(wù)DOS/分布式DOS電子欺騙IPSpoofing社會(huì)工程SocialEngineering……黑客的攻擊462信息安全相關(guān)概念概念特征安全威脅關(guān)鍵技術(shù)信息安全信息傳輸安全（動(dòng)態(tài)安全）

數(shù)據(jù)加密

數(shù)據(jù)完整性鑒別

防抵賴

信息存儲(chǔ)安全（靜態(tài)安全）

數(shù)據(jù)庫安全終端安全

信息的防泄密信息內(nèi)容審計(jì)

用戶鑒別授權(quán)運(yùn)行安全風(fēng)險(xiǎn)評(píng)估審計(jì)跟蹤備份恢復(fù)應(yīng)急響應(yīng)。。。網(wǎng)絡(luò)安全

身份認(rèn)證，訪問控制、入侵檢測、網(wǎng)絡(luò)安全檢測、VPN、審計(jì)技術(shù)

……系統(tǒng)安全

身份認(rèn)證，訪問控制，防病毒技術(shù)，漏洞掃描技術(shù)。。物理安全

環(huán)境安全

設(shè)備安全

媒體安全

安全技術(shù)體系結(jié)構(gòu)訪問控制是主體對(duì)客體的一種訪問授權(quán)。典型的訪問控制有：----用戶入網(wǎng)的訪問控制----服務(wù)器的安全訪問控制----目錄級(jí)的訪問控制----操作系統(tǒng)的訪問控制安全技術(shù)體系結(jié)構(gòu)◆訪問控制技術(shù)例子安全技術(shù)體系結(jié)構(gòu)防火墻在被保護(hù)網(wǎng)絡(luò)和因特網(wǎng)之間，或在其他網(wǎng)絡(luò)之間限制訪問的一種或一系列部件。防火墻的作用：1、過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包2、管理進(jìn)出網(wǎng)絡(luò)的訪問行為3、封堵某些禁止的訪問行為4、記錄通過防火墻的信息內(nèi)容和活動(dòng)5、對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警◆防火墻技術(shù)例子國外：CheckpointNetscreenCiscoPix國內(nèi)：華為天融信飛塔安全技術(shù)體系結(jié)構(gòu)入侵者攻擊系統(tǒng)的行為稱為入侵行為，主要是指對(duì)系統(tǒng)資源的非授權(quán)使用。IDS的作用

*監(jiān)控網(wǎng)絡(luò)和系統(tǒng)*發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象*實(shí)時(shí)報(bào)警*主動(dòng)響應(yīng)*審計(jì)跟蹤◆入侵檢測系統(tǒng)（IDS）常見產(chǎn)品國外ISSRealSecureNFREnterasys公司DragonCAeTrustIntrusionDetection國內(nèi)啟明星辰天闐華為神州

監(jiān)控室=控制中心CardKey入侵檢測系統(tǒng)的作用監(jiān)控前門和保安監(jiān)控屋內(nèi)人員監(jiān)控后門監(jiān)控樓外防病毒系統(tǒng)是用來實(shí)時(shí)檢測病毒、蠕蟲及后門的程序，通過不斷更新病毒庫來清除上述具有危害性的惡意代碼。網(wǎng)絡(luò)防病毒具有---全方位、多層次防病毒---統(tǒng)一安裝，集中管理---自動(dòng)更新病毒定義庫的特點(diǎn)◆防病毒技術(shù)安全技術(shù)體系結(jié)構(gòu)常見產(chǎn)品國外F-securePandaKillNorton國內(nèi)360瑞星金山安全技術(shù)體系結(jié)構(gòu)漏洞掃描是對(duì)網(wǎng)絡(luò)和主機(jī)的安全性進(jìn)行風(fēng)險(xiǎn)分析和評(píng)估的軟件，是一種能自動(dòng)檢測遠(yuǎn)程或本地主機(jī)系統(tǒng)在安全性方面弱點(diǎn)和隱患的程序包?！袈┒磼呙杓夹g(shù)常見產(chǎn)品國外SSSISSNessus國內(nèi)啟明星辰天鏡綠盟極光54信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術(shù)完整性技術(shù)認(rèn)證技術(shù)數(shù)字簽名

關(guān)鍵技術(shù)◆加密技術(shù)安全技術(shù)體系結(jié)構(gòu)加密技術(shù)是為保證數(shù)據(jù)的保密性和完整性通過特定算法完成的明文與密文的轉(zhuǎn)換?！艉灻夹g(shù)安全技術(shù)體系結(jié)構(gòu)數(shù)字簽名技術(shù)為確保數(shù)據(jù)不被篡改而做的簽名，不能保證數(shù)據(jù)的保密性。VPN即虛擬專用網(wǎng)，是實(shí)現(xiàn)數(shù)據(jù)在傳輸過程中的保密性和完整性而雙方建立的安全通道。◆VPN技術(shù)安全技術(shù)體系結(jié)構(gòu)VPN虛擬專用網(wǎng)防火墻內(nèi)容檢測防病毒入侵探測各技術(shù)在網(wǎng)絡(luò)安全中的位置59目錄信息安全現(xiàn)狀與分析信息安全相關(guān)概念信息安全體系結(jié)構(gòu)安全模型信息安全管理體系方法無論是OSI參考模型還是TCP／IP參考模型，它們?cè)谠O(shè)計(jì)之初都沒有充分考慮網(wǎng)絡(luò)通信中存在的安全問題。因此，只要在參考模型的任何一個(gè)層面發(fā)現(xiàn)安全漏洞，就可以對(duì)網(wǎng)絡(luò)通信實(shí)施攻擊。在開放式網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)通信會(huì)遭受兩種方式的攻擊：主動(dòng)攻擊和被動(dòng)攻擊。主動(dòng)攻擊包括對(duì)用戶信息的篡改、刪除及偽造，對(duì)用戶身份的冒充和對(duì)合法用戶訪問的阻止。被動(dòng)攻擊包括對(duì)用戶信息的竊取，對(duì)信息流量的分析等。因此，需要建立網(wǎng)絡(luò)安全體系結(jié)構(gòu)，以實(shí)現(xiàn)數(shù)據(jù)加密、身份認(rèn)證、數(shù)據(jù)完整性鑒別、數(shù)字簽名、訪問控制等方面的功能。612024/3/31611.7.1ISO/OSI安全體系結(jié)構(gòu)1982年，開放系統(tǒng)互聯(lián)（OSI）基本模型建立之初，就開始進(jìn)行OSI安全體系結(jié)構(gòu)的研究。1989年12月ISO頒布了計(jì)算機(jī)信息系統(tǒng)互聯(lián)標(biāo)準(zhǔn)的第二部分，即ISO7498-2標(biāo)準(zhǔn)，并首次確定了開放系統(tǒng)互聯(lián)（OSI）參考模型的安全體系結(jié)構(gòu)。我國將其稱為GB／T9387-2標(biāo)準(zhǔn)，并予以執(zhí)行。ISO安全體系結(jié)構(gòu)包括了三部分內(nèi)容：安全服務(wù)、安全機(jī)制和安全管理。安全服務(wù):ISO安全體系結(jié)構(gòu)確定了五大類安全服務(wù)：1認(rèn)證服務(wù)2訪問控制3數(shù)據(jù)保密性4數(shù)據(jù)完整性5不可否認(rèn)（抗抵賴）性622024/3/3162安全機(jī)制為了支持ISO體系結(jié)構(gòu)定義的安全服務(wù)，ISO安全體系結(jié)構(gòu)定義了八大類安全機(jī)制，即：1加密機(jī)制2數(shù)據(jù)簽名機(jī)制3訪問控制機(jī)制4數(shù)據(jù)完整性機(jī)制5鑒別交換機(jī)制6業(yè)務(wù)填充機(jī)制7路由控制機(jī)制8公證機(jī)制

以上這些安全機(jī)制可以設(shè)置在適當(dāng)?shù)膶哟紊?，以便提供某些安全服?wù)。63安全管理

（1）系統(tǒng)安全管理（2）安全服務(wù)管理（3）安全機(jī)制管理64目錄信息安全現(xiàn)狀與分析信息安全相關(guān)概念信息安全體系結(jié)構(gòu)安全模型信息安全管理體系方法65安全模型?

P2DR模型?

PDR2模型在實(shí)際環(huán)境中沒有絕對(duì)的安全網(wǎng)絡(luò)的開放性越來越多的基于網(wǎng)絡(luò)應(yīng)用企業(yè)的業(yè)務(wù)要求網(wǎng)絡(luò)連接的不間斷性

糟糕的設(shè)計(jì)OS存在的安全漏洞應(yīng)用存在的安全漏洞協(xié)議（Protocol）在設(shè)計(jì)時(shí)存在的安全漏洞錯(cuò)誤的實(shí)現(xiàn)、錯(cuò)誤的安全配置糟糕的管理和培訓(xùn)黑客的攻擊為什么安全問題很難解決？所有軟件都是有錯(cuò)的通常情況下99.99%無錯(cuò)的程序很少會(huì)出問題同安全相關(guān)的99.99%無錯(cuò)的程序可以確信會(huì)被人利用那0.01%的錯(cuò)誤0.01%安全問題等于100%的失敗68安全模型A.靜態(tài)安全模型典型代表模型是美國國防部NCSC（國家計(jì)算機(jī)安全中心）于1995年推出的TCSEC（可信計(jì)算機(jī)安全評(píng)估準(zhǔn)則）。TCSEC講安全等級(jí)分為4類7級(jí)，由低到高依次是D級(jí)、C1~C2級(jí)、B1~B3級(jí)和A級(jí)。B.動(dòng)態(tài)安全模型針對(duì)日益嚴(yán)重的網(wǎng)絡(luò)安全問題和越來越突出的安全需求，人們一直致力于對(duì)傳統(tǒng)安全模型的改進(jìn)，使其能夠適應(yīng)動(dòng)態(tài)變化的、多維互聯(lián)的網(wǎng)絡(luò)環(huán)境，于是動(dòng)態(tài)網(wǎng)絡(luò)安全理論逐步形成。 如P2DR模型、PDR2模型。策略P檢測D響應(yīng)R防護(hù)P69P2DR模型策略Policy保護(hù)Protection檢測Detection響應(yīng)Response安全＝風(fēng)險(xiǎn)分析＋執(zhí)行策略＋系統(tǒng)實(shí)施＋漏洞監(jiān)測＋實(shí)時(shí)響應(yīng)70模型的基本描述：策略：系統(tǒng)核心，為安全管理提供管理方向和支持手段。保護(hù)：采用各種技術(shù)手段（如防火墻、加密技術(shù)、身份驗(yàn)證技術(shù)等）保護(hù)信息系統(tǒng)的5大基本特性。檢測：是動(dòng)態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù)。利用檢測工具（如漏洞評(píng)估、IDS等）了解和評(píng)估系統(tǒng)的安全狀態(tài)。響應(yīng)：在檢測到安全漏洞之后及時(shí)做出正確的響應(yīng)，把系統(tǒng)調(diào)整到安全狀態(tài)。PDRR模型PDRR模型，或者叫PPDRR（或者P2DR2），與P2DR唯一的區(qū)別就是把恢復(fù)環(huán)節(jié)提到了和防護(hù)、檢測、響應(yīng)等環(huán)節(jié)同等的高度。在PDRR模型中，安全策略、防護(hù)、檢測、響應(yīng)和恢復(fù)共同構(gòu)成了完整的安全體系。保護(hù)、檢測、恢復(fù)、響應(yīng)這幾個(gè)階段并不是孤立的，構(gòu)建信息安全保障體系必須從安全的各個(gè)方面進(jìn)行綜合考慮，只有將技術(shù)、管理、策略、工程過程等方面緊密結(jié)合，安全保障體系才能真正成為指導(dǎo)安全方案設(shè)計(jì)和建設(shè)的有力依據(jù)。PDRR模型保護(hù)檢測恢復(fù)響應(yīng)信息保障采用一切手段（主要指靜態(tài)防護(hù)手段）保護(hù)信息系統(tǒng)的五大特性。及時(shí)恢復(fù)系統(tǒng)，使其盡快正常對(duì)外提供服務(wù)，是降低網(wǎng)絡(luò)攻擊造成損失的有效途徑對(duì)危及網(wǎng)絡(luò)安全的事件和行為做出反應(yīng)，阻止對(duì)信息系統(tǒng)的進(jìn)一步破壞并使損失降到最低檢測本地網(wǎng)絡(luò)的安全漏洞和存在的非法信息流，從而有效阻止網(wǎng)絡(luò)攻擊73PDR2模型時(shí)間保護(hù)時(shí)間Pt檢測時(shí)間Dt響應(yīng)時(shí)間Rt+>及時(shí)的檢測和響應(yīng)就是安全保護(hù)檢測響應(yīng)恢復(fù)失敗失敗成功成功失敗成功攻擊74目錄信息安全現(xiàn)狀與分析信息安全相關(guān)概念安全協(xié)議安全模型信息安全等級(jí)與標(biāo)準(zhǔn)信息安全管理體系方法75信息安全等級(jí)與標(biāo)準(zhǔn)1．TCSEC標(biāo)準(zhǔn)2．歐洲ITSEC標(biāo)準(zhǔn)3．加拿大CTCPEC評(píng)價(jià)標(biāo)準(zhǔn)4．美國聯(lián)邦準(zhǔn)則FC5．聯(lián)合公共準(zhǔn)則CC標(biāo)準(zhǔn)6．BS7799標(biāo)準(zhǔn)7．我國有關(guān)網(wǎng)絡(luò)信息安全的相關(guān)標(biāo)準(zhǔn)76目錄信息安全現(xiàn)狀與分析信息安全相關(guān)概念信息安全體系結(jié)構(gòu)安全模型安全等級(jí)與標(biāo)準(zhǔn)信息安全管理體系方法信息安全管理體系方法什么是ISMS風(fēng)險(xiǎn)管理ISMS的實(shí)現(xiàn)方法什么是ISMSISMS：InformationSecurityManagementSystem信息安全管理體系ISO9000-2000術(shù)語和定義組織organization職責(zé)、權(quán)限和相互關(guān)系得到安排的一組人員及設(shè)施,如：公司、集團(tuán)、商行、企事業(yè)單位、研究機(jī)構(gòu)、慈善機(jī)構(gòu)、代理商、社團(tuán)、或上述組織的部分或組合。管理management指揮和控制組織的協(xié)調(diào)的活動(dòng)體系system相互關(guān)聯(lián)和相互作用的一組要素管理體系managementsystem建立方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的體系管理學(xué)中的定義管理是指通過計(jì)劃、組織、領(lǐng)導(dǎo)、控制等環(huán)節(jié)來協(xié)調(diào)人力、物力、財(cái)力等資源，以期有效達(dá)到組織目標(biāo)的過程。風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理是信息安全管理體系的核心內(nèi)容，是信息安全管理體系(ISMS)建立的基礎(chǔ)風(fēng)險(xiǎn)與風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)（Risk）在信息安全領(lǐng)域講，就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負(fù)面影響的潛在可能性。風(fēng)險(xiǎn)評(píng)估（RiskAssessment）就是對(duì)信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點(diǎn)以及威脅發(fā)生的可能性的評(píng)估。風(fēng)險(xiǎn)管理（RiskManagement）就是以可接受的代價(jià)，識(shí)別、控制、減少或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程。風(fēng)險(xiǎn)RISKRISKRISKRISK風(fēng)險(xiǎn)只有靠相應(yīng)的手段來降低企業(yè)風(fēng)險(xiǎn)基本的威脅采取措施后剩余的威脅資產(chǎn)威脅漏洞資產(chǎn)威脅漏洞安全成本與利益的平衡絕對(duì)安全是不現(xiàn)實(shí)的尋求達(dá)到安全目標(biāo)與安全成本的平衡

ISO27001-風(fēng)險(xiǎn)管理的過程模型應(yīng)用于ISMS過程的PDCA模型計(jì)劃：建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過程和規(guī)程，以提供與組織總體方針和總體目標(biāo)一致的結(jié)果。實(shí)施：實(shí)施和運(yùn)行ISMS方針、控制措施和規(guī)程。檢查：基于ISMS內(nèi)部審核和管理評(píng)審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，已持續(xù)改進(jìn)ISMS。處置：對(duì)照ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)檢測過程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評(píng)審。制訂信息安全方針方針文檔定義ISMS范圍進(jìn)行風(fēng)險(xiǎn)評(píng)估實(shí)施風(fēng)險(xiǎn)管理選擇控制目標(biāo)措施準(zhǔn)備適用聲明第一步：第二步：第三步：第四步：第五步：第六步：ISMS范圍評(píng)估報(bào)告文件文件文件文件文件文件文檔化文檔化聲明文件建立ISMS框架2024/3/31851.9.1網(wǎng)絡(luò)信息安全度量標(biāo)準(zhǔn)美國是信息安全評(píng)測認(rèn)證的發(fā)源地，早在20世紀(jì)70年代，就開展了信息安全評(píng)測認(rèn)證標(biāo)準(zhǔn)的有關(guān)工作，并于1985年有美國國防部正式頒布了TCSEC（可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)估準(zhǔn)則）評(píng)測標(biāo)準(zhǔn)。目前也是大家公認(rèn)的第一個(gè)計(jì)算機(jī)信息系統(tǒng)評(píng)估標(biāo)準(zhǔn)。TCSEC已經(jīng)成為了現(xiàn)行的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。在隨后的幾十年里，許多國家以此為基礎(chǔ)主動(dòng)制定了相關(guān)評(píng)價(jià)準(zhǔn)則，這些準(zhǔn)則更加靈活，更適應(yīng)IT技術(shù)的發(fā)展。

1993年6月，美國、加拿大、英國、法國、德國等聯(lián)合行動(dòng)將各自獨(dú)立的準(zhǔn)則整合成一系列單一的、能被廣泛接受的IT安全準(zhǔn)則，并提交給了ISO，稱為信息技術(shù)安全性評(píng)估通用準(zhǔn)則，通常簡稱為通用準(zhǔn)則（CC），是評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)準(zhǔn)則。1.9網(wǎng)絡(luò)信息安全評(píng)測認(rèn)證體系2024/3/3186此標(biāo)準(zhǔn)是現(xiàn)階段中最完善的信息技術(shù)的安全性評(píng)估標(biāo)準(zhǔn)，我國也將采用這一標(biāo)準(zhǔn)對(duì)產(chǎn)品、系統(tǒng)和系統(tǒng)方案進(jìn)行測試、評(píng)估和認(rèn)可。建立信息技術(shù)安全性評(píng)估的通用準(zhǔn)則庫，就是使評(píng)估結(jié)果能被更多的人所理解和信任，并讓各種獨(dú)立的安全評(píng)估結(jié)果具有可比性，從而達(dá)到了互相認(rèn)可的目的。在1996年頒布了1.0版，1998年頒布了2.0版，199年12月ISO正式將CC2.0作為國際標(biāo)準(zhǔn)——ISO15408發(fā)布。

通用準(zhǔn)則內(nèi)容分為3部分：第1部分是“簡介和一般模型”；第2部分是“安全功能要求”；而第3部分是“安全保證要求”。2024/3/3187通用準(zhǔn)則評(píng)估保證級(jí)與常見的幾種安全測評(píng)標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系如下表所示：CCTCSECFCCTEPECITSECEALl－－－－EAL2C1－－ElEAL3C2T—1T－1E2EAI4B1T－2T－2E3－－T－3T－3－－－T－4－－EAL5B2T－5T－4E4EAL6B3T－6T－5E5EAL7A1T－7T－6E6－－－T－7－2024/3/3188評(píng)估保證級(jí)別（1）評(píng)估保證級(jí)別1(EALl):功能測試；（2）評(píng)估保證級(jí)別2(EAL2):結(jié)構(gòu)測試；（3）評(píng)估保證級(jí)別3(EAL3):功能測試與校驗(yàn)（4）評(píng)估保證級(jí)別4(EAL4):系統(tǒng)地設(shè)計(jì)、測試和評(píng)審（5）評(píng)估保證級(jí)別5(EAL5):半形式化設(shè)計(jì)和測試（6）評(píng)估保證級(jí)別6(EAL6):半形式化驗(yàn)證的設(shè)計(jì)和測試（7）評(píng)估保證級(jí)別7(EAL7):形式化驗(yàn)證的設(shè)計(jì)和測試2024/3/31891.9.2各國測評(píng)認(rèn)證體系與發(fā)展現(xiàn)狀美國

美國于1997年由國家標(biāo)準(zhǔn)技術(shù)研究所和國家安全局共同組建了國家信息保證伙伴(NIAP)，專門負(fù)責(zé)基于CC信息安全的測試和評(píng)估，并研究開發(fā)相關(guān)的測評(píng)認(rèn)證方法和技術(shù)。在國家安全局中對(duì)NIAP的具體管理則由專門管理保密信息系統(tǒng)安全的辦公室負(fù)責(zé)。英國

在英國的IT安全評(píng)估認(rèn)證體系中，評(píng)估體系管委會(huì)主要負(fù)責(zé)制定國家信息安全評(píng)估認(rèn)證政策、監(jiān)督認(rèn)證機(jī)構(gòu)和仲裁訴訟及爭議。它由評(píng)估認(rèn)證體系的高級(jí)執(zhí)行官、認(rèn)證機(jī)構(gòu)主任、CESG、DTI和國防部(MOD)的高級(jí)官員以及其他政府部門和工業(yè)界的代表所組成，其主席由CESG的人員擔(dān)任。它直接向內(nèi)閣會(huì)議建議和匯報(bào)認(rèn)證機(jī)構(gòu)的財(cái)政和資源狀況。2024/3/31901.9.3我國網(wǎng)絡(luò)信息安全評(píng)測認(rèn)證體系中國國家信息安全測評(píng)認(rèn)證中心：是經(jīng)國家授權(quán)，依據(jù)國家認(rèn)證的法律、法規(guī)和信息安全管理的政策，并按照國際通用準(zhǔn)則建立的中立的技術(shù)機(jī)構(gòu)。它代表國家對(duì)信息技術(shù)、信息系統(tǒng)、信息安全產(chǎn)品以及信息安全服務(wù)的安全性實(shí)施測試、評(píng)估和認(rèn)證，為社會(huì)提供相關(guān)的技術(shù)服務(wù)，為政府有關(guān)主管部門的信息安全行政管理和行政執(zhí)法提供必要的技術(shù)支持。

中華人民共和國國家信息安全認(rèn)證:是國家對(duì)信息安全技術(shù)、產(chǎn)品或系統(tǒng)安全質(zhì)量的最高認(rèn)可。中國國家信息安全測評(píng)認(rèn)證中心開展（1999年公布）四種認(rèn)證業(yè)務(wù)（1）產(chǎn)品型號(hào)認(rèn)證：是認(rèn)證的基礎(chǔ)形式，僅包括質(zhì)量認(rèn)證中的“型式試驗(yàn)”和“監(jiān)督檢驗(yàn)”兩個(gè)要素2024/3/3191（2）產(chǎn)品認(rèn)證：是認(rèn)證的完整形式，包括了質(zhì)量認(rèn)證中從產(chǎn)品檢驗(yàn)到質(zhì)量保證能力評(píng)審的全部要素（3）信息系統(tǒng)安全認(rèn)證：是對(duì)信息系統(tǒng)或網(wǎng)絡(luò)的運(yùn)行安全、信息安全和管理控制安全的綜合認(rèn)證（4）信息安全服務(wù)認(rèn)證：是對(duì)向社會(huì)提供信息安全服務(wù)的企業(yè)、組織、機(jī)構(gòu)或團(tuán)體的技術(shù)實(shí)力、服務(wù)能力和資質(zhì)條件的系統(tǒng)認(rèn)證。2024/3/3192中國國家信息安全測評(píng)認(rèn)證中心的認(rèn)證準(zhǔn)則（1）達(dá)到中心認(rèn)證標(biāo)準(zhǔn)的產(chǎn)品或系統(tǒng)只是達(dá)到了國家規(guī)定的管理安全風(fēng)險(xiǎn)的能力，并不表明該產(chǎn)品完全消除了安全風(fēng)險(xiǎn)（2）中心的認(rèn)證程序能夠確保產(chǎn)品安全的風(fēng)險(xiǎn)降低到了國家標(biāo)準(zhǔn)規(guī)定的和公眾可以接受的水平（3）中心的認(rèn)證程序是一個(gè)動(dòng)態(tài)的過程，中心將根據(jù)信息安全產(chǎn)品的技術(shù)發(fā)展和最終用戶的使用要求，動(dòng)態(tài)增加認(rèn)證測試的難度（4）中心的認(rèn)證準(zhǔn)則和認(rèn)證程序最終須經(jīng)專家委員會(huì)和管理委員會(huì)審查批準(zhǔn)。中國已接受了OSI安全體系結(jié)構(gòu)即IS07498-2標(biāo)準(zhǔn)，在中國命名為GB/T9387-2標(biāo)準(zhǔn)，并完善了國家信息安全測評(píng)認(rèn)證體系，即CC評(píng)估認(rèn)證體系。931、我國等級(jí)保護(hù)工作創(chuàng)新發(fā)展我國的等級(jí)保護(hù)工作是有序推進(jìn)的。在80年代興起了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)研究基礎(chǔ)上，1994年，國務(wù)院發(fā)布《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院令第147