信息安全培訓課件

02四月2024信息安全培訓課件01四月2024信息安全培訓課件1信息安全與保密的意義信息安全與保密的內(nèi)涵安全標準、法規(guī)和政策信息安全的研究內(nèi)容信息安全與保密的意義信息安全與保密的內(nèi)涵安全標準、法規(guī)和政策2信息安全與保密的意義當今社會是信息化社會，電子計算機和通信網(wǎng)絡(luò)已經(jīng)廣泛的應(yīng)用于社會的各個領(lǐng)域，以此為基礎(chǔ)建立起來的各種信息系統(tǒng)，給人們的生活、工作帶來了巨大變革。大型信息系統(tǒng)將眾多的計算機和智能化設(shè)備連在一個四通八達的通信網(wǎng)絡(luò)中，共享豐富的數(shù)據(jù)庫信息和計算機資源，存儲大量的數(shù)據(jù)文件，完成異地之間的數(shù)據(jù)交換與通信。信息系統(tǒng)的應(yīng)用，加速了社會自動化的進程，減輕了日常繁雜的重復(fù)勞動，同時也提高了生產(chǎn)率，創(chuàng)造了經(jīng)濟效益。信息安全與保密的意義當今社會是信息化社會，電子計算機和通信網(wǎng)3信息安全與保密的意義信息、材料和能源是人類社會賴以生存和發(fā)展的基礎(chǔ)。在現(xiàn)代信息化社會里，人類的一切活動都離不開對信息的獲取與處理，信息作為一種無形資產(chǎn)已經(jīng)成為人們最寶貴的財富。日常生活中的信息化?電視 ?電話?手機 ?計算機?信息家電 ?銀行業(yè)務(wù)?郵局業(yè)務(wù)?網(wǎng)絡(luò):求職、購物、電子郵件、聊天信息安全與保密的意義信息、材料和能源是人類社會賴以生存和發(fā)展4信息安全與保密的意義信息系統(tǒng)是各種方法、過程、技術(shù)按一定規(guī)律構(gòu)成的一個有機整體，它是信息采集、存儲、加工、分析和傳輸?shù)墓ぞ?。然而信息系統(tǒng)越是重要，它就越容易受到攻擊，攻擊者以求從中獲取非法的利益，因此，信息系統(tǒng)的安全保密成為迫切需要解決的問題。目前，在信息系統(tǒng)的開發(fā)設(shè)計過程中，安全性能被放在首要的位置，成為信息系統(tǒng)生存的關(guān)鍵。信息安全與保密的意義信息系統(tǒng)是各種方法、過程、技術(shù)按一定規(guī)律5信息安全與保密的意義信息系統(tǒng)的概念(1/4)信息系統(tǒng)是復(fù)雜系統(tǒng)中的小系統(tǒng)，它的作用是溝通各個子系統(tǒng)使整體系統(tǒng)協(xié)調(diào)一致。

社會組織的類型和功能各不相同，但它們都有自己一定形式的信息系統(tǒng)，而且信息系統(tǒng)功能的好壞直接影響全局組織的效益，因此可以說信息系統(tǒng)是整個系統(tǒng)的中樞。

信息安全與保密的意義信息系統(tǒng)的概念(1/4)信息系統(tǒng)是復(fù)雜6信息安全與保密的意義信息系統(tǒng)的概念(2/4)信息系統(tǒng)的功能包括以下幾個方面：1)信息的采集這是信息系統(tǒng)最基本的功能，它將分散在各部門、各地方的相關(guān)信息收集起來其數(shù)據(jù)，然后整理成為信息系統(tǒng)所需要的格式。2)信息的加工信息系統(tǒng)對信息進行加工處理的具體含義是：排序、分類、歸納、檢索、統(tǒng)計、模擬、預(yù)測以及各種數(shù)學運算。所有這些工作，都依靠規(guī)模大小不同的計算機來完成。信息安全與保密的意義信息系統(tǒng)的概念(2/4)信息系統(tǒng)的功能7信息安全與保密的意義信息系統(tǒng)的概念(3/4)3)信息的存儲信息系統(tǒng)經(jīng)過上述兩個步驟后，形成了對管理決策有價值的信息，由信息系統(tǒng)完成對這些有用信息的存儲保管。若信息過于龐大、就必須有良好的組織結(jié)構(gòu)和先進的存儲技術(shù)。通常，信息的存儲分為邏輯組織和物理存儲兩個方面，前者依賴合理的數(shù)據(jù)結(jié)構(gòu)，后者把信息存儲存合適的介質(zhì)上。

信息安全與保密的意義信息系統(tǒng)的概念(3/4)3)信息的存84)信息的檢索檢索查詢是信息系統(tǒng)重要的功能，存儲在系統(tǒng)內(nèi)的信息要便于查詢，滿足各方面用戶的需求，通常信息檢索需要用到數(shù)據(jù)庫的技術(shù)與方法。5)信息的傳輸信息系統(tǒng)中的信息必須具有相互交換的功能，各部門之間要完成通信工作，一定要解決好信息的傳輸問題，以便使信息準確迅速地送往使用者手中。信息系統(tǒng)的設(shè)計需要針對不同的管理層次：即：戰(zhàn)略計劃層、管理控制層、操作運行層

信息安全與保密的意義信息系統(tǒng)的概念(4/4)4)信息的檢索信息安全與保密的意義信息系統(tǒng)的概念(4/49信息安全與保密的意義信息系統(tǒng)安全受到的威脅（1/5）由于信息系統(tǒng)是以計算機和數(shù)據(jù)通信網(wǎng)絡(luò)為基礎(chǔ)的應(yīng)用管理系統(tǒng)，因而它是一個開放式的互聯(lián)網(wǎng)絡(luò)系統(tǒng)，如果不采取安全保密措施，與網(wǎng)絡(luò)系統(tǒng)連接的任何終端用戶，都可以進入和訪問網(wǎng)絡(luò)中的資源。目前，管理信息系統(tǒng)已經(jīng)被用于金融、貿(mào)易、商業(yè)、企業(yè)各個部門，它在給人們帶來極大方便的同時，也為那些不法分子利用計算機信息系統(tǒng)進行經(jīng)濟犯罪提供了可能。信息安全與保密的意義信息系統(tǒng)安全受到的威脅（1/5）由于信10信息安全與保密的意義信息系統(tǒng)安全受到的威脅（2/5）據(jù)不完全統(tǒng)計，每年因利用計算機系統(tǒng)進行犯罪所造成的經(jīng)濟損失高達上千億美元。在我國，利用管理和決策信息系統(tǒng)從事經(jīng)濟活動起步較晚，但各種計算機犯罪活動已時有報道，直接影響了信息系統(tǒng)的普及使用。歸納起來，信息系統(tǒng)所面臨的威脅分為以下幾類。

信息安全與保密的意義信息系統(tǒng)安全受到的威脅（2/5）據(jù)不完11信息安全與保密的意義信息系統(tǒng)安全受到的威脅（3/5）1)通信過程中的威脅信息系統(tǒng)的用戶，在進行信息通信的過程中，常常受到兩方面的攻擊：一是主動攻擊．攻擊者通過網(wǎng)絡(luò)線路將虛假信息或計算機病毒，卷入信息系統(tǒng)內(nèi)部，破壞信息的真實性與完整性，造成系統(tǒng)無法正常運行，嚴重的甚至使系統(tǒng)處于癱瘓；二是被動攻擊，攻擊者非法竊取通信線路中的信息，使信息機密性遭到破壞，信息泄漏而無法察覺，給用戶帶來巨大的損失。信息安全與保密的意義信息系統(tǒng)安全受到的威脅（3/5）1)12信息安全與保密的意義信息系統(tǒng)安全受到的威脅（4/5）2)存儲過程中的威脅存儲于計算機系統(tǒng)中的信息，易于受到與通信線路同樣的威脅。非法用戶在獲取系統(tǒng)訪問控制權(quán)后，瀏覽存儲介質(zhì)上的機密數(shù)據(jù)或?qū)＠浖?，并且對有價值的信息進行統(tǒng)計分析，推斷出所需的數(shù)據(jù)，這樣就使信息的保密性、真實性、完整性遭到破壞。信息安全與保密的意義信息系統(tǒng)安全受到的威脅（4/5）2)13信息安全與保密的意義信息系統(tǒng)安全受到的威脅（5/5）3)加工處理中的威脅信息系統(tǒng)一般都具有對信息進行加工分析的處理功能，而信息在進行處理過程中，通常都是以源碼出現(xiàn)，加密保護對處理中的信息不起作用。因此，在這個期間有意攻擊和意外操作都極易使系統(tǒng)遭受破壞，造成損失。除此之外．信息系統(tǒng)還會因為計算機硬件的缺陷、軟件的脆弱、電磁輻射和客觀環(huán)境等原因造成損害，威脅計算機信息系統(tǒng)的安全。信息安全與保密的意義信息系統(tǒng)安全受到的威脅（5/5）3)14信息安全與保密的意義信息安全的嚴峻形勢（1/16）1.信息安全事件統(tǒng)計（一）年份事件報道數(shù)目年份事件報道數(shù)目19886199524121989132199625731990252199721341991406199837341992773199998591993133420002175619942340200152658信息安全與保密的意義信息安全的嚴峻形勢（1/16）1.15信息安全與保密的意義信息安全的嚴峻形勢（2/16）2.信息安全事件統(tǒng)計（二）年份報道事件數(shù)與軟件漏洞相關(guān)事件數(shù)目2002年上半年43136214820015265824372000217561090信息安全與保密的意義信息安全的嚴峻形勢（2/16）2.163.信息化與國家安全——政治安全99年—2001年，我們國家的一些政府網(wǎng)站，遭受了四次大的黑客帶有政治性的網(wǎng)上攻擊事件。第一次在99年1月份左右，但是美國黑客組織“美國地下軍團”聯(lián)合了波蘭的、英國的黑客組織，世界上各個國家的一些黑客組織，有組織地對我們國家的政府網(wǎng)站進行了攻擊。第二次，99年7月份，臺灣李登輝提出了兩國論。第三次是在2000年5月8號，美國轟炸我國駐南聯(lián)盟大使館后。第四次在2001年4月到5月，美機撞毀王偉戰(zhàn)機侵入我海南機場信息安全與保密的意義信息安全的嚴峻形勢（3/16）3.信息化與國家安全——政治安全信息安全與保密的意義信息174.信息化與國家安全——經(jīng)濟安全一個國家信息化程度越高，整個國民經(jīng)濟和社會運行對信息資源和信息基礎(chǔ)設(shè)施的依賴程度也越高。

我國計算機犯罪的增長速度超過了傳統(tǒng)的犯罪97年20幾起，98年142起，99年908起，2000年上半年1420起。利用計算機實施金融犯罪已經(jīng)滲透到了我國金融行業(yè)的各項業(yè)務(wù)。近幾年已經(jīng)破獲和掌握100多起。涉及的金額幾個億。信息安全與保密的意義信息安全的嚴峻形勢（4/16）4.信息化與國家安全——經(jīng)濟安全信息安全與保密的意義信息18信息安全與保密的意義信息安全的嚴峻形勢（5/16）安全事件造成經(jīng)濟損失——2000年2月份黑客攻擊的浪潮，是互連網(wǎng)問世以來最為嚴重的黑客事件。2月7日10時15分，洶涌而來的垃圾郵件堵死了雅虎網(wǎng)站除電子郵件服務(wù)等三個站點之外的所有服務(wù)器，雅虎大部分網(wǎng)絡(luò)服務(wù)陷入癱瘓。

第二天，世界最著名的網(wǎng)絡(luò)拍賣行電子灣（eBay）也因神秘客襲擊而癱瘓。

美國有線新聞網(wǎng)CNN的網(wǎng)站隨后也因遭神秘客的襲擊而癱瘓近兩個小時；頂級購物網(wǎng)站亞馬遜也被迫關(guān)閉一個多小時。信息安全與保密的意義信息安全的嚴峻形勢（5/16）安全事19信息安全與保密的意義信息安全的嚴峻形勢（6/16）

在此之后又有一些著名網(wǎng)站被襲擊：ZDnet，Etrade，Excite，Datek……到2月17日為止，黑客攻擊個案已增至17宗，而且可能有更多網(wǎng)站受襲而未被察覺–引起美國道窮斯股票指數(shù)下降了200多點。成長中的高科技股納斯達克股票也一度下跌了80個點。美國NASDAQ事故1994年8月1日，由于一只松鼠通過位于康涅狄格網(wǎng)絡(luò)主計算機附近的一條電話線挖洞，造成電源緊急控制系統(tǒng)損壞，NASDAQ電子交易系統(tǒng)日均超過3億股的股票市場暫停營業(yè)近34分鐘。信息安全與保密的意義信息安全的嚴峻形勢（6/16）在此20信息安全與保密的意義信息安全的嚴峻形勢（7/16）99年4月26日，臺灣人編制的CIH病毒的大爆發(fā)，有統(tǒng)計說我國大陸受其影響的PC機總量達36萬臺之多。有人估計在這次事件中，經(jīng)濟損失高達近12億元?；ㄆ煦y行損失1995年8月21日，一自稱是前蘇聯(lián)克格勃人員通過計算機網(wǎng)絡(luò)進入美國花旗銀行。轉(zhuǎn)走1160萬元美金的巨款。江蘇揚州金融盜竊案1998年9月，郝景龍、郝景文兩兄弟通過在工行儲蓄所安裝遙控發(fā)射裝置，侵入銀行電腦系統(tǒng)，非法存入72萬元，取走26萬元。這是被我國法學界稱為98年中國十大罪案之一的全國首例利用計算機網(wǎng)絡(luò)盜竊銀行巨款的案件。信息安全與保密的意義信息安全的嚴峻形勢（7/16）9921信息安全與保密的意義信息安全的嚴峻形勢（8/16）據(jù)美國加利福尼亞州的名為“電腦經(jīng)濟”的研究機構(gòu)發(fā)布的初步統(tǒng)計數(shù)據(jù)，“愛蟲”大爆發(fā)兩天之后，全球約有4500萬臺電腦被感染，造成的損失已經(jīng)達到26億美元。今后幾天里，“愛蟲”病毒所造成的損失還將以每天10億美元到15億美元的速度增加。1995年計算機安全雜志在全球抽樣調(diào)查了300家典型的公司，69%的公司報告上年度遇到過計算機網(wǎng)絡(luò)安全問題，59%的公司報告，上述安全問題造成的損超過1萬美元。信息安全與保密的意義信息安全的嚴峻形勢（8/16）據(jù)美22信息安全與保密的意義信息安全的嚴峻形勢（9/16）5.信息化與國家安全——社會安全互連網(wǎng)上散布一些虛假信息、有害信息對社會管理秩序造成的危害，要比現(xiàn)實社會中一個造謠要大的多。99年4月，河南商都熱線一個BBS，一張說交通銀行鄭州支行行長協(xié)巨款外逃的帖子，造成了社會的動蕩，三天十萬人上街排隊，擠提了十個億。網(wǎng)上治安問題，民事問題，進行人身侮辱。

信息安全與保密的意義信息安全的嚴峻形勢（9/16）5.23信息安全與保密的意義信息安全的嚴峻形勢（10/16）針對社會公共信息基礎(chǔ)設(shè)施的攻擊嚴重擾亂了社會管理秩序

2001年2月8日正是春節(jié)，新浪網(wǎng)遭受攻擊，電子郵件服務(wù)器癱瘓了18個小時。造成了幾百萬的用戶無法正常的聯(lián)絡(luò)。廣東163.net免費郵箱，黑客進去以后進行域名修改，打開郵箱就向美國去了，造成400多萬用戶不能使用。網(wǎng)上不良信息腐蝕人們靈魂

色情資訊業(yè)日益猖獗網(wǎng)上賭博盛行信息安全與保密的意義信息安全的嚴峻形勢（10/16）針對24信息安全與保密的意義信息安全的嚴峻形勢（11/16）6.信息化與國家安全——信息戰(zhàn)信息戰(zhàn)指雙方為爭奪對于信息的獲取權(quán)、控制權(quán)和使用權(quán)而展開的斗爭。是以計算機網(wǎng)絡(luò)為戰(zhàn)場，計算機技術(shù)為核心、為武器，是一場智力的較量，以攻擊敵方的信息系統(tǒng)為主要手段，破壞敵方核心的信息系統(tǒng)，是現(xiàn)代戰(zhàn)爭的“第一個打擊目標”。通常來說它利用的手段有計算機病毒、邏輯炸彈、后門（BackDoor）、黑客、電磁炸彈、納米機器人和芯片細菌等.信息安全與保密的意義信息安全的嚴峻形勢（11/16）6.25信息安全與保密的意義信息安全的嚴峻形勢（12/16）信息戰(zhàn)重要實例

1990年海灣戰(zhàn)爭，被稱為“世界上首次全面信息戰(zhàn)”，充分顯示了現(xiàn)代高技術(shù)條件下“制信息權(quán)”的關(guān)鍵作用。美軍通過向帶病毒芯片的打印機設(shè)備發(fā)送指令，致使伊拉克軍隊系統(tǒng)癱瘓，輕易地摧毀了伊軍的防空系統(tǒng)。多國部隊運用精湛的信息技術(shù),僅以傷亡百余人的代價取得了殲敵十多萬的成果.在科索沃戰(zhàn)爭中，美國的電子專家成功侵入了南聯(lián)盟防空體系的計算機系統(tǒng)。當南聯(lián)盟軍官在計算機屏幕上看到敵機目標的時候，天空上其實什么也沒有。通過這種方法，美軍成功迷惑了南聯(lián)盟，使南聯(lián)盟浪費了大量的人力物力資源。信息安全與保密的意義信息安全的嚴峻形勢（12/16）信息26信息安全與保密的意義信息安全的嚴峻形勢（13/16）同樣的方法還應(yīng)用到南聯(lián)盟首領(lǐng)米洛舍維奇的頭上，美軍雇傭黑客闖入瑞士銀行系統(tǒng)，調(diào)查米氏的存款情況并加以刪除，從心理上給予米氏以沉重的打擊。信息戰(zhàn)的特點

戰(zhàn)略信息戰(zhàn)是一場沒有前線的戰(zhàn)斗?！稇?zhàn)略信息戰(zhàn)》的報告綜合了信息戰(zhàn)的特點：

-信息攻擊花費低-傳統(tǒng)邊界模糊-管理觀念的困難-戰(zhàn)略情報的不可靠性-戰(zhàn)術(shù)警報/攻擊估計極端困難-建立和維持合作關(guān)系變得更為復(fù)雜-無安全的戰(zhàn)略后方信息安全與保密的意義信息安全的嚴峻形勢（13/16）同27信息安全與保密的意義信息安全的嚴峻形勢（14/16）蘭德公司的對華建議策略

蘭德公司于1999年6月份向美國政府提出的建議報告：美國的對華戰(zhàn)略應(yīng)該分三步走：第一步是西化、分化中國，使中國的意識形態(tài)西方化，從而失去與美國對抗的可能性；第二步是在第一步失效或成效不大時，對中國進行全面的遏制，并形成對中國戰(zhàn)略上的合圍；第三步就是在前兩招都不能得逞時，不惜與中國一戰(zhàn)，當然作戰(zhàn)的最好形式不是美國的直接參戰(zhàn)，而是支持中國內(nèi)部謀求獨立的地區(qū)或與中國有重大利益沖突的周邊國家。信息安全與保密的意義信息安全的嚴峻形勢（14/16）蘭德28信息安全與保密的意義信息安全的嚴峻形勢（15/16）8.安全技術(shù)和產(chǎn)品被大國壟斷國內(nèi)幾乎所有的計算機主機、網(wǎng)絡(luò)交換機、路由器和網(wǎng)絡(luò)操作系統(tǒng)都來自國外。進入我國的信息系統(tǒng)和網(wǎng)絡(luò)安全產(chǎn)品均只能提供較短密鑰長度的弱加密算法。信息安全與保密的意義信息安全的嚴峻形勢（15/16）8.29信息安全與保密的意義信息安全的嚴峻形勢（16/16）8.信息時代的國際形勢在信息時代，世界的格局是：一個信息霸權(quán)國家，十幾個信息主權(quán)國家，多數(shù)信息殖民地國家。在這樣的一個格局中，只有一個定位：反對信息霸權(quán)，保衛(wèi)信息主權(quán)。信息安全與保密的意義信息安全的嚴峻形勢（16/16）8.30信息安全與保密的內(nèi)涵信息安全的含義（1/9）通信保密（COMSEC）：60-70年代信息保密信息安全（INFOSEC）：80-90年代機密性、完整性、可用性、可控性、不可否認性信息保障（IA）：90年代—信息安全與保密的內(nèi)涵信息安全的含義（1/9）通信保密（CO31信息安全與保密的內(nèi)涵信息安全的含義（2/9）通信的保密模型1)通信安全-60年代（COMSEC）發(fā)方收方敵方信源編碼信道編碼信道傳輸通信協(xié)議密碼發(fā)方收方基本的通訊模型信源編碼信道編碼信道傳輸通信協(xié)議信息安全與保密的內(nèi)涵信息安全的含義（2/9）通信的保密模32信息安全與保密的內(nèi)涵信息安全的含義（3/9）2)信息安全的含義(80-90年代)?信息安全的三個基本方面–保密性Confidentiality信息或數(shù)據(jù)經(jīng)過加密變換后，將明文變成密文形式，表面上無法識別，只有那些經(jīng)過授權(quán)的合法用戶，掌握秘密密鑰，才能通過解密算法將密文還原成明文。而未授權(quán)的用戶因為不知道秘密密鑰，而無法獲得原明文的信息，起到對信息保密的作用。

即保證信息為授權(quán)者享用而不泄漏給未經(jīng)授權(quán)者。信息安全與保密的內(nèi)涵信息安全的含義（3/9）2)信息安全33信息安全與保密的內(nèi)涵信息安全的含義（4/9）–完整性Integrity完整性指的是將信息或數(shù)據(jù)附加上特定的信息塊，系統(tǒng)可以用這個信息塊檢驗數(shù)據(jù)信息的完整性，特點是信息塊的內(nèi)容通常是原信息或數(shù)據(jù)的函數(shù)。只有那些經(jīng)過授權(quán)的用戶，才允許對數(shù)據(jù)或信息進行增加、刪除和修改。而未經(jīng)過授權(quán)的用戶，只要對數(shù)據(jù)或信息進行改動就立刻會被發(fā)現(xiàn)，同時使系統(tǒng)自動采取保護措施。

即保證信息從真實的發(fā)信者傳送到真實的收信者手中，傳送過程中沒有被他人添加、刪除、替換。信息安全與保密的內(nèi)涵信息安全的含義（4/9）–完整性In34信息安全與保密的內(nèi)涵信息安全的含義（5/9）–可用性Availability可用性指的是安全系統(tǒng)能夠?qū)τ脩羰跈?quán)，提供其某些服務(wù)，即經(jīng)過授權(quán)的用戶可以得到系統(tǒng)資源，并且享受到系統(tǒng)提供的服務(wù)，防止非法抵制或拒絕對系統(tǒng)資源或系統(tǒng)服務(wù)的訪問和利用，增強系統(tǒng)的效用。

即保證信息和信息系統(tǒng)隨時為授權(quán)者提供服務(wù)，而不要出現(xiàn)非授權(quán)者濫用卻對授權(quán)者拒絕服務(wù)的情況。信息安全與保密的內(nèi)涵信息安全的含義（5/9）–可用性Av35信息安全與保密的內(nèi)涵信息安全的含義（6/9）?信息的真實性Authenticity

真實性指的是防止系統(tǒng)內(nèi)的信息感染病毒。由于計算機病毒的泛濫，已很難保證計算機系統(tǒng)內(nèi)的信息不被病毒侵害，因此信息安全技術(shù)必須包括反病毒技術(shù)，采用人工方法和高效反病毒軟件，隨時監(jiān)測計算機系統(tǒng)內(nèi)部和數(shù)據(jù)文件是否感染病毒，一旦發(fā)現(xiàn)應(yīng)及時清除掉，以確保信息的真實可靠。

信息安全與保密的內(nèi)涵信息安全的含義（6/9）?信息的真實36信息安全與保密的內(nèi)涵信息安全的含義（7/9）?信息的可控性即出于國家和機構(gòu)的利益和社會管理的需要，保證管理者能夠?qū)π畔嵤┍匾目刂乒芾?，以對抗社會犯罪和外敵侵犯?信息的不可否認性即信息的行為人要為自己的信息行為負責，提供保證社會依法管理需要的公證、仲裁信息證據(jù)。信息安全與保密的內(nèi)涵信息安全的含義（7/9）?信息的可控37信息安全與保密的內(nèi)涵信息安全的含義（8/9）被動攻擊竊聽獲取消息內(nèi)容流量分析主動攻擊中斷修改偽造破壞可用性破壞完整性破壞真實性信息安全與保密的內(nèi)涵信息安全的含義（8/9）被動攻擊竊聽獲38信息安全與保密的內(nèi)涵信息安全的含義（9/9）3)信息保障?美國人提出的概念:InformationAssurance?保護（Protect）?檢測（Detect）?反應(yīng)（React）?恢復(fù)（Restore）信息安全與保密的內(nèi)涵信息安全的含義（9/9）3)信息保障39信息安全與保密的內(nèi)涵信息安全問題的起源（1/4）信息安全問題起源于網(wǎng)絡(luò)安全的脆弱性：1)內(nèi)因–人們的認識能力和實踐能力的局限性–系統(tǒng)規(guī)模?Windows3.1——300萬行代碼?Windows2000——5000萬行代碼–Internet從建立開始就缺乏安全的總體構(gòu)想和設(shè)計–TCP/IP協(xié)議是在可信環(huán)境下，為網(wǎng)絡(luò)互聯(lián)專門設(shè)計的，缺乏安全措施的考慮信息安全與保密的內(nèi)涵信息安全問題的起源（1/4）信息安全問40信息安全與保密的內(nèi)涵信息安全問題的起源（2/4）CERT/CC關(guān)于系統(tǒng)脆弱性的報告年份報告的脆弱性數(shù)目199517119963451997311199826219994192000774總數(shù)2280信息安全與保密的內(nèi)涵信息安全問題的起源（2/4）CERT/41信息安全與保密的內(nèi)涵信息安全問題的起源（3/4）2)外因國家安全威脅信息戰(zhàn)士減小美國決策空間、戰(zhàn)略優(yōu)勢，制造混亂，進行目標破壞情報機構(gòu)搜集政治、軍事，經(jīng)濟信息共同威脅恐怖分子破壞公共秩序，制造混亂，發(fā)動政變工業(yè)間諜掠奪競爭優(yōu)勢，恐嚇犯罪團伙施行報復(fù)，實現(xiàn)經(jīng)濟目的，破壞制度局部威脅社會型黑客攫取金錢，恐嚇，挑戰(zhàn)，獲取聲望娛樂型黑客以嚇人為樂，喜歡挑戰(zhàn)信息安全與保密的內(nèi)涵信息安全問題的起源（3/4）2)外因42信息安全與保密的內(nèi)涵信息安全問題的起源（4/4）Insider（內(nèi)部人員）威脅必須引起高度重視國內(nèi)外從事信息安全的專業(yè)人士，通過調(diào)查逐步認識到，媒體炒得火熱的外部入侵事件，充其量占到所有安全事件的20%-30%，而70%-80%的安全事件來自于內(nèi)部。信息安全與保密的內(nèi)涵信息安全問題的起源（4/4）Insid43信息安全與保密的內(nèi)涵典型的信息攻擊手段(1/3)1)冒充這是最常見的破壞方式。信息系統(tǒng)的非法用戶偽裝成合法的用戶，對系統(tǒng)進行非法的訪問。冒充授權(quán)者，發(fā)送和接收信息，造成信息的泄露與丟失。2)篡改通信網(wǎng)絡(luò)中的信息在沒有監(jiān)控的情況下，都可能被篡改，即將信息的標簽、內(nèi)容、屬性、接收者和始發(fā)者進行修改，以取代原信息，造成信息失真。信息安全與保密的內(nèi)涵典型的信息攻擊手段(1/3)1)冒充44信息安全與保密的內(nèi)涵典型的信息攻擊手段(2/3)3)竊收信息盜竊可以有多種途徑，在通信線路中．通過電磁輻射偵裁線路中的信息；在信息存儲和信息處理過程中，通過冒充、非法訪問，達到竊取信息的目的。4)重放將竊取的信息，重新修改或排序后，在適當?shù)臅r機重放出來，從而造成信息的重復(fù)和混亂。信息安全與保密的內(nèi)涵典型的信息攻擊手段(2/3)3)竊收45信息安全與保密的內(nèi)涵典型的信息攻擊手段(3/3)4)推斷這也是在竊取基礎(chǔ)之上的一種破壞活動，它的目的不是竊取原信息，而是將竊取到的信息進行統(tǒng)計分析，了解信息流大小的變化、信息交換頻繁程度，再結(jié)合其他方面的信息，推斷出有價值的內(nèi)容。5)·病毒病毒對計算機系統(tǒng)的危害是共所周知的，目前已經(jīng)發(fā)現(xiàn)的計算機病毒達幾千種，它直接威脅著計算機的系統(tǒng)和數(shù)據(jù)文件，破壞信息系統(tǒng)的正常運行，甚至造成整個系統(tǒng)的癱瘓。信息安全與保密的內(nèi)涵典型的信息攻擊手段(3/3)4)推斷46信息安全與保密的內(nèi)涵信息系統(tǒng)安全模型（1/6）管理細則保護措施物理實體安全環(huán)境硬件系統(tǒng)安全措施通信網(wǎng)絡(luò)安全措施軟件系統(tǒng)安全措施數(shù)據(jù)信息安全1.安全層次信息安全與保密的內(nèi)涵信息系統(tǒng)安全模型（1/6）管理細則47信息安全與保密的內(nèi)涵信息系統(tǒng)安全模型（2/6）2.ISO7498-2，信息安全體系結(jié)構(gòu)–1989.2.15頒布，確立了基于OSI參考模型的七層協(xié)議之上的信息安全體系結(jié)構(gòu)?五大類安全服務(wù)(鑒別、訪問控制、保密性、完整性、抗否認）?八類安全機制(加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、鑒別交換、業(yè)務(wù)流填充、路由控制、公證）?OSI安全管理信息安全與保密的內(nèi)涵信息系統(tǒng)安全模型（2/6）2.ISO48信息安全與保密的內(nèi)涵信息系統(tǒng)安全模型（3/6）3.OSI制定的五類標準安全服務(wù)（1）數(shù)據(jù)保密服務(wù)：防止信息被截取或者被非法存取。（2）數(shù)據(jù)完整性服務(wù)：阻止非法團體、個人對傳輸中的交換數(shù)據(jù)進行修改、添加、刪除，同時防止數(shù)據(jù)在傳輸過程中丟失。（3）交易對象認證服務(wù)：確認交易雙方身份的真實性、合法性，以防假冒。（4）訪問控制服務(wù)：防止非授權(quán)用戶非法使用系統(tǒng)資源。（5）防抵賴安全服務(wù)：用于證實已發(fā)生過的交易行為，防止交易雙方對自己的行為進行否認。信息安全與保密的內(nèi)涵信息系統(tǒng)安全模型（3/6）3.OSI49安全服務(wù)TCP/IP協(xié)議層網(wǎng)絡(luò)接口互聯(lián)網(wǎng)層傳輸層應(yīng)用層對等實體鑒別-YYY數(shù)據(jù)源鑒別-YYY訪問控制服務(wù)-YYY連接保密性YYYY無連接保密性YYYY選擇域保密性---Y流量保密性YY-Y有恢復(fù)功能的連接完整性--YY無恢復(fù)功能的連接完整性-YYY選擇域連接完整性---Y無連接完整性-YYY選擇域非連接完整性---Y源發(fā)方不可否認---Y接收方不可否認---Y信息安全與保密的內(nèi)涵信息系統(tǒng)安全模型（4/6）4.ISO7498-2到TCP/IP的映射安全服務(wù)TCP/IP協(xié)議層網(wǎng)絡(luò)接口互聯(lián)網(wǎng)層傳輸層應(yīng)用層對等50信息安全與保密的內(nèi)涵信息系統(tǒng)安全模型（5/6）5.安全產(chǎn)品根據(jù)我國目前信息網(wǎng)絡(luò)系統(tǒng)安全的薄弱環(huán)節(jié)，近幾年應(yīng)重點發(fā)展安全保護、安全檢測與監(jiān)控類產(chǎn)品，相應(yīng)發(fā)展應(yīng)急反應(yīng)和災(zāi)難恢復(fù)類產(chǎn)品。包括：信息保密產(chǎn)品用戶認證授權(quán)產(chǎn)品安全平臺/系統(tǒng)網(wǎng)絡(luò)安全檢測監(jiān)控設(shè)備信息安全與保密的內(nèi)涵信息系統(tǒng)安全模型（5/6）5.安全產(chǎn)51信息安全與保密的內(nèi)涵信息系統(tǒng)安全模型（6/6）信息安全與保密的內(nèi)涵信息系統(tǒng)安全模型（6/6）52信息安全研究的內(nèi)容信息安全研究的內(nèi)容基礎(chǔ)理論應(yīng)用技術(shù)安全管理信息安全研究的內(nèi)容信息安全研究的內(nèi)容基礎(chǔ)理論應(yīng)用技術(shù)安全管理53信息安全研究的內(nèi)容信息安全基礎(chǔ)研究1.密碼理論數(shù)據(jù)加密消息摘要數(shù)字簽名密鑰管理2.安全理論身份認證授權(quán)和訪問控制審計追蹤安全協(xié)議信息安全研究的內(nèi)容信息安全基礎(chǔ)研究1.密碼理論54信息安全研究的內(nèi)容信息安全應(yīng)用研究1.安全技術(shù)防火墻技術(shù)漏洞掃描技術(shù)入侵檢測技術(shù)防病毒技術(shù)2.平臺安全物理安全網(wǎng)絡(luò)安全系統(tǒng)安全數(shù)據(jù)安全用戶安全邊界安全信息安全研究的內(nèi)容信息安全應(yīng)用研究1.安全技術(shù)55信息安全研究的內(nèi)容信息安全管理研究1.安全策略研究安全風險的評估 安全代價的評估安全機制的制定 安全措施的實施和管理2.安全標準研究安全等級劃分標準 安全技術(shù)操作標準安全體系結(jié)構(gòu)標準 安全產(chǎn)品測評標準安全工程實施標準3.安全測評研究測評模型 測評方法測評工具 測評規(guī)程信息安全研究的內(nèi)容信息安全管理研究1.安全策略研究56安全標準、法規(guī)和政策美國立法情況?早在1987年，美國就再次修訂了《計算機犯罪法》，這部法律在80年代末至90年代初一直被作為美國各州制定其地方法規(guī)的依據(jù)。?美國現(xiàn)以確立的有關(guān)信息安全的法規(guī)有：信息自由法、個人隱私法、反腐敗行經(jīng)法、偽造訪問設(shè)備和計算機欺騙濫用法、電子通信隱私法、計算機欺騙濫用法、計算機安全法、正當通信法（一度被確立，但后又被推翻）和電訊法。國際信息安全政策法規(guī)(1/5)安全標準、法規(guī)和政策美國立法情況國際信息安全政策法規(guī)(1/57安全標準、法規(guī)和政策美國立法情況(續(xù)）?1998年5月，美國發(fā)布第63號總統(tǒng)令，要求行政部門評估國家關(guān)鍵基礎(chǔ)設(shè)施的計算機脆弱性，并要求聯(lián)邦政府制定保衛(wèi)國家免受計算機破壞的詳細計劃。?2000年1月發(fā)布了《保衛(wèi)美國計算機空間——信息系統(tǒng)保護國家計劃1.0》，這是一個規(guī)劃美國計算機安全持續(xù)發(fā)展和更新的綜合方案。國際信息安全政策法規(guī)(2/5)安全標準、法規(guī)和政策美國立法情況(續(xù)）國際信息安全政策法規(guī)58安全標準、法規(guī)和政策國際信息安全政策法規(guī)(3/5)俄羅斯立法情況?1995年頒布了《聯(lián)邦信息、信息化和信息保護法》，法規(guī)明確界定了信息資源開放和保密的范疇，提出了保護信息的法律責任。?2000年，普京總統(tǒng)批準了《國家信息安全學說》，它是一部綱領(lǐng)性、指導性、頂層性、戰(zhàn)略性文件，并不是學說。它明確了俄羅斯聯(lián)邦信息安全建設(shè)的目的、任務(wù)、原則和主要內(nèi)容，第一次明確指出了俄羅斯在信息安全領(lǐng)域的利益、受到的威脅，以及為保障信息安全應(yīng)采取的首要措施。安全標準、法規(guī)和政策國際信息安全政策法規(guī)(3/5)俄羅斯立59安全標準、法規(guī)和政策國際信息安全政策法規(guī)(4/5)?歐洲經(jīng)濟共同體是一個在歐洲范圍內(nèi)具有較強影響力的政府間組織。其成員國從70年代末到80年代初，先后制定并頒布了各自有關(guān)數(shù)據(jù)安全的法律。?德國政府于1996年夏出臺了《信息和通信服務(wù)規(guī)范法》（即多媒體法），為電子信息和通信服務(wù)的各種利用可能性規(guī)定了統(tǒng)一的基本法律框架。該國政府還通過了電信服務(wù)數(shù)據(jù)保護法，并根據(jù)需要對刑法法典、治安法、傳播危害青少年文字法、著作權(quán)法和報價法作了必要的修改和補充。?新加坡在1996年宣布對互聯(lián)網(wǎng)絡(luò)實行管制，宣布實施分類許可證制度。它是一種自動取得許可證的制度，目的是鼓勵正當使用互聯(lián)網(wǎng)絡(luò)，促進其健康發(fā)展。安全標準、法規(guī)和政策國際信息安全政策法規(guī)(4/5)?歐洲60安全標準、法規(guī)和政策國際信息安全政策法規(guī)(5/5)?美國是最早允許在國內(nèi)社會使用密碼的國家，美國國內(nèi)，政府、軍界、企業(yè)和個人為了各自的利益，圍繞信息加密政策的爭論繁多，主要是密碼的使用范圍和允許出口的長度。此外，多國出口控制協(xié)調(diào)委員會COCOM、歐盟和國際商務(wù)委員會等組織以及英國、法國、德國、意大利、俄羅斯、波蘭、澳大利亞、香港等許多國家和地區(qū)也分別制定了自己的信息加密政策。?對于數(shù)字簽名技術(shù)，有關(guān)國際組織、各國政府和企業(yè)為了各自的利益，很難達成一致觀點。1995年，美國猶他州通過了美國歷史上（也是世界歷史上）第一部數(shù)字簽名法。在猶他州的帶動下，美國的其他一些州也確立了自己的數(shù)字簽名法，但是美國聯(lián)邦政府還遲遲沒有立法。德國有幸成為第一個以國家名義制定數(shù)字簽名法的國家。安全標準、法規(guī)和政策國際信息安全政策法規(guī)(5/5)?美國61安全標準、法規(guī)和政策組織機構(gòu)（1/2）國際上信息安全方面的協(xié)調(diào)機構(gòu)主要有計算機應(yīng)急響應(yīng)小組(CERT/CC)、信息安全問題小組論壇(FIRST)。?計算機應(yīng)急響應(yīng)小組是一個信息安全專家技術(shù)中心，是設(shè)在CarnegieMellon大學軟件工程研究所的聯(lián)邦資助的研究開發(fā)中心，成立于1988年。該組織研究Internet的脆弱性、處理計算機安全事件、發(fā)布安全警告、研究網(wǎng)絡(luò)系統(tǒng)的長期變化以及提供安全培訓幫助你提高站點的安全性。CERT/CC成立后，很多政府、商業(yè)和學術(shù)機構(gòu)都組建了信息安全問題小組，但CERT/CC始終是這一方面規(guī)模最大、最著名和最權(quán)威的組織。安全標準、法規(guī)和政策組織機構(gòu)（1/2）國際上信息安全方面的62安全標準、法規(guī)和政策組織機構(gòu)（2/2）?信息安全問題小組論壇（FIRST）成立于1990年，當時只有11個成員，截止2001年年中，它的成員已超過90個。FIRST的目標是為有效解決安全事件加強各小組間的合作，作為小組之間的信息中介，促進安全技術(shù)的共享和研究活動的開展。美國國內(nèi)與信息安全事物有關(guān)的管理機構(gòu)主要有國家安全局（NSA）、國家標準技術(shù)研究所（NIST）、聯(lián)邦調(diào)查局（FBI）、高級研究計劃署（ARPA）、國防部信息局（DISA）。他們有各自授權(quán)管理的領(lǐng)域和業(yè)務(wù)，同時，這些機構(gòu)通過信息安全管理職責上的理解備忘錄和協(xié)議備忘錄進行合作。安全標準、法規(guī)和政策組織機構(gòu)（2/2）?信息安全問題小組63安全標準、法規(guī)和政策我國的國家信息安全組織管理體系?國務(wù)院信息化領(lǐng)導小組國務(wù)院信息化領(lǐng)導小組對Internet安全中的重大問題進行管理協(xié)調(diào)，國務(wù)院信息化領(lǐng)導小組辦公室作為Internet安全工作的辦事機構(gòu)，負責組織、協(xié)調(diào)和制定有關(guān)Internet安全的政策、法規(guī)和標準，并檢查監(jiān)督其執(zhí)行情況。?政府有關(guān)信息安全的其它管理和執(zhí)法部門：信息產(chǎn)業(yè)部、國家安全部、公安部、機要局、國家保密局、國家密碼管理委員會和國務(wù)院新聞辦公室等安全標準、法規(guī)和政策我國的國家信息安全組織管理體系?國務(wù)64安全標準、法規(guī)和政策我國信息安全管理的方針基本方針“興利除弊，集中監(jiān)控，分級管理，保障國家安全”。對于密碼的管理政策實行“統(tǒng)一領(lǐng)導、集中管理、定點研制、專控經(jīng)營、滿足使用”的發(fā)展和管理方針。安全標準、法規(guī)和政策我國信息安全管理的方針基本方針“興利65安全標準、法規(guī)和政策我國立法（1/2）我國政府現(xiàn)有的信息安全法規(guī)政策可以分為兩個層次：一是法律層次，從國家憲法和其它部門法的高度對個人、法人和其它組織的涉及國家安全的信息活動的權(quán)利和義務(wù)進行規(guī)范，例如1997年新《刑法》首次界定了計算機犯罪。其中，這一層次上的法律主要有：?憲法、?刑法、?國家安全法?國家保密法。安全標準、法規(guī)和政策我國立法（1/2）我國政府現(xiàn)有的信息66安全標準、法規(guī)和政策我國立法（2/2）二是行政法規(guī)和規(guī)章層次，直接約束計算機安全和Internet安全，對信息內(nèi)容、信息安全技術(shù)和信息安全產(chǎn)品的授權(quán)審批進行規(guī)定。這一層次主要包括：?《中華人民共和國計算機信息系統(tǒng)安全保護條例》?《中華人民共和國計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行規(guī)定》?《中華人民共和國計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》、?《電子出版物管理暫行規(guī)定》?《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》?《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》等條例和法規(guī)。安全標準、法規(guī)和政策我國立法（2/2）二是行政法規(guī)和規(guī)章67安全標準、法規(guī)和政策著名國際標準化組織(1/8)?國際標準化組織（ISO）和國際電工委員會（IEC）?ISO(國際標準化組織)和IEC(國際電工委員會)是世界性的標準化專門機構(gòu)。國家成員體（他們都是ISO或IEC的成員國）通過國際組織建立的的各個技術(shù)委員會參與制定特定技術(shù)范圍的國際標準。ISO和IEC的各技術(shù)委員會在共同感興趣的領(lǐng)域內(nèi)進行合作。與ISO和IEC有聯(lián)系的其他官方和非官方國際組織也可以參與國際標準的制定工作。?對于信息技術(shù)，ISO和IEC建立了一個聯(lián)合技術(shù)委員會，即ISO/IECJTC1。由聯(lián)合技術(shù)委員會提出的國際標準草案分發(fā)給國家成員體進行表決。發(fā)布一項國際標準，至少需要75%的參與表決的國家成員體投票贊成。安全標準、法規(guī)和政策著名國際標準化組織(1/8)?國際68安全標準、法規(guī)和政策著名國際標準化組織(2/8)?國際標準開放系統(tǒng)互聯(lián)(OSI)基本參考模型(ISO/IEC7498)是由ISO/IECJTC1“信息技術(shù)”聯(lián)合技術(shù)委員會與ITU-T共同制定的。等同文本為ITU-T建議X.200。?國際電報和電話咨詢委員會(CCITT)國際電報和電話咨詢委員會是一個聯(lián)合國條約組織，屬于國際電信聯(lián)盟，由主要成員國的郵政、電報和電話當局組成，主要從事涉及通信領(lǐng)域的接口和通信協(xié)議的制定，與ISO密切合作進行國際通信的標準化工作，在數(shù)據(jù)通信范圍內(nèi)的工作體現(xiàn)于V系列和X系列建議書。安全標準、法規(guī)和政策著名國際標準化組織(2/8)?國際69安全標準、法規(guī)和政策著名國際標準化組織(3/8)?國際信息處理聯(lián)合會第十一技術(shù)委員會(IFIPTC11)?該組織是國際上有重要影響的有關(guān)信息系統(tǒng)安全的國際組織，公安部代表我國參加該組織的活動，該組織每年舉行一次計算機安全的國際研討會。該組織機構(gòu)包括安全管理工作組、辦公自動化安全工作組、數(shù)據(jù)庫安全工作組、密碼工作組、系統(tǒng)完整性與控制工作組、擬構(gòu)成計算機事務(wù)處理工作組、計算機安全法律工作組和計算機安全教育工作組。安全標準、法規(guī)和政策著名國際標準化組織(3/8)?國際70安全標準、法規(guī)和政策著名國際標準化組織(4/8)?電氣和電子工程師學會（IEEE）?電氣和電子工程師學會是一個由電氣和電子工程師組成的世界上最大的專業(yè)性學會，劃分成許多部門。1980年2月，IEEE計算機學會建立了一個委員會負責制定有關(guān)網(wǎng)絡(luò)的協(xié)議標準(802.1~9)，包括高層接口、邏輯鏈路控制、CSMA/CD網(wǎng)、令牌總線網(wǎng)、令牌環(huán)網(wǎng)、城域網(wǎng)、寬帶技術(shù)咨詢組、光纖技術(shù)咨詢組、數(shù)據(jù)和話音綜合網(wǎng)絡(luò)等標準。安全標準、法規(guī)和政策著名國際標準化組織(4/8)?電氣71安全標準、法規(guī)和政策著名國際標準化組織(5/8)?歐洲計算機制造商協(xié)會（ECMA）?歐洲計算機制造商協(xié)會是包括美國在歐洲供應(yīng)計算機的廠商在內(nèi)組成的組織，致力于適用于計算機技術(shù)的各種標準的制定和頒布，在ISO和CCITT中是一個沒有表決權(quán)的成員。Internet體系結(jié)構(gòu)委員會（IAB）?Internet體系結(jié)構(gòu)委員下設(shè)兩個重要部門：Internet工程特別工作組（IETF）和Internet研究特別工作組（IRTF）。發(fā)展到今天，IAB公布的協(xié)議參考草案（RFC）已經(jīng)積累到3000多個。安全標準、法規(guī)和政策著名國際標準化組織(5/8)?歐洲72安全標準、法規(guī)和政策著名國際標準化組織(6/8)美國國家標準局（NBS）與美國商業(yè)部國家標準技術(shù)研究所（NIST）?美國國家標準局屬于美國商業(yè)部的一個機構(gòu)，現(xiàn)在的工作由NIST進行。發(fā)布銷售給美國聯(lián)邦政府的設(shè)備的信息處理標準。NIST與NSA緊密合作，在NSA的指導監(jiān)督下，制定計算機信息系統(tǒng)的技術(shù)安全標準。他的工作一般以NIST出版物（FIPSPUB）和NIST特別出版物（SPECPUB）等形式發(fā)布。他制定的信息安全規(guī)范和標準很多，主要涉及訪問控制和認證技術(shù)、評價和保障、密碼、電子商務(wù)、一般計算機安全、網(wǎng)絡(luò)安全、風險管理、電訊和聯(lián)邦信息處理標準等。安全標準、法規(guī)和政策著名國際標準化組織(6/8)美國國家73安全標準、法規(guī)和政策著名國際標準化組織(7/8)?該機構(gòu)比較有影響的工作是制定公布了美國國家數(shù)據(jù)加密標準DES，參加了美國、加拿大、英國、法國、德國、荷蘭等國制定的信息安全的通用評價準則（CC），在1993年制定了密鑰托管加密標準EES。美國國家標準協(xié)會（ANSI）?美國國家標準協(xié)會是由制定標準和使用標準的組織聯(lián)合組成的非盈利的非政府的民辦機構(gòu)，由全美1000多家制造商、專業(yè)性協(xié)會、貿(mào)易協(xié)會、政府和管理團體、公司和用戶協(xié)會組成，是美國自發(fā)的制定與計算機工業(yè)有關(guān)的各種標準的統(tǒng)籌交流組織。安全標準、法規(guī)和政策著名國際標準化組織(7/8)?該機74安全標準、法規(guī)和政策著名國際標準化組織(8/8)美國電子工業(yè)協(xié)會（EIA）?美國電子工業(yè)協(xié)會是美國電子公司貿(mào)易協(xié)會，屬于ANSI的成員。它制定了涉及電氣和電子領(lǐng)域的400多個標準，主要工作是建立了數(shù)據(jù)終端設(shè)備和數(shù)據(jù)通信設(shè)備間的接口標準（如RS232C等）。美國國防部（DoD）及國家計算機安全中心（NCSC）?美國國防部早在80年代就針對計算機安全保密開展了一系列有影響的工作，后來成立的NCSC接續(xù)進行有關(guān)的工作。1983年他們公布了《可信計算機信息系統(tǒng)評價準則》TCSEC，以后NCSC又出版了一系列有關(guān)可信計算機數(shù)據(jù)庫、可信計算機網(wǎng)絡(luò)的指南。安全標準、法規(guī)和政策著名國際標準化組織(8/8)美國電子75安全標準、法規(guī)和政策信息系統(tǒng)評測標準(1/5)1985年美國可信計算機系統(tǒng)評測標準(TCSEC)1991年歐洲信息技術(shù)評估準則(ITSEC)1993年加拿大可信計算機產(chǎn)品評估準則(CTCPEC)1991年美國聯(lián)邦準則(FC)目前信息技術(shù)安全評價公共標準(CC)安全標準、法規(guī)和政策信息系統(tǒng)評測標準(1/5)1985年1761.TCSEC美國可信計算機系統(tǒng)評測標準TCSEC,TrustedComputerSystemEvaluationCriteria?TCSEC的第一版發(fā)布于1983年，1985年最終修訂。由于使用了桔色書皮，通常人們稱其為“桔皮書”，后來在NCSC的主持下制定了一系列相關(guān)準則，稱之為彩虹系列，其中，1987年，NCSC為TCSEC提出的可依賴網(wǎng)絡(luò)解釋(TNI1987)通常被稱作“紅皮書”。1991年，為TCSEC提出的可依賴數(shù)據(jù)庫管理系統(tǒng)解釋(TDI1991)通常稱作“紫皮書”。安全標準、法規(guī)和政策信息系統(tǒng)評測標準(2/5)1.TCSEC安全標準、法規(guī)和政策信息系統(tǒng)評測標準(2/577安全標準、法規(guī)和政策信息系統(tǒng)評測標準(3/5)TCSEC定義了四類7級可信計算機系統(tǒng)準則：DCBADC1C2B1B2B3A最低保護例如未加任何實際的安全措施。自主安全保護受控制存取保護標志的安全保護結(jié)構(gòu)化保護安全域保護驗證設(shè)計無條件的訪問控制，具有識別和控制的責任。在C1之上，增加了訪問保護和審計跟蹤功能。滿足C類要求，并提供數(shù)據(jù)標記。滿足B1類要求外，提供強制性控制。提供可信設(shè)備的管理和恢復(fù)。即使計算機系統(tǒng)崩潰，也不會泄密。形式化證明的安全。用于絕密級。低高安全標準、法規(guī)和政策信息系統(tǒng)評測標準(3/5)TCSEC定78安全標準、法規(guī)和政策信息系統(tǒng)評測標準(4/5)一些操作系統(tǒng)的安全級別：操作系統(tǒng)安全級別Solaris(SUN)B1IPIX/B(SGI)B1HP-UXBLS(HP)B1DigitalUNIX(DEC)C2OpenVMS(DEC)C2WindowsNTC2標準UNIXC1Windows95DDOSD安全標準、法規(guī)和政策信息系統(tǒng)評測標準(4/5)一些操作系統(tǒng)79安全標準、法規(guī)和政策信息系統(tǒng)評測標準(5/5)2.CC信息技術(shù)安全評價公共標準CC,InformationTechnologySecurityEvalutionCommonCriteriaCC是美國同加拿大及歐共體國家一起制定的共同標準，于1999年12月通過國際標準組織(ISO)認可，確立為國際標準，即ISO/IEC15408。安全標準、法規(guī)和政策信息系統(tǒng)評測標準(5/5)2.CC80安全標準、法規(guī)和政策我國標準制定狀況（1/9）?我國是國際標準化組織的成員國，我國的信息安全標準化工作在各方面的努力下，正在積極開展之中。從80年代中期開始，自主制定并采用了一批相應(yīng)的信息安全標準。到2000年底，已頒布的信息技術(shù)安全標準有22項，國家軍用安全標準6項，涉及信息技術(shù)設(shè)備的安全、信息處理系統(tǒng)開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)、數(shù)據(jù)加密、數(shù)字簽名、實體鑒別、抗抵賴和放火墻安全技術(shù)等。這些標準的頒布將積極推動我國的信息化建設(shè)與發(fā)展。?此外，在一些對信息安全要求高的行業(yè)和對信息安全管理負有責任的部門，也制定一些信息安全的行業(yè)標準和部門標準，例如金融、公安等行業(yè)和部門。安全標準、法規(guī)和政策我國標準制定狀況（1/9）?我國是81安全標準、法規(guī)和政策1.部門規(guī)章及規(guī)范性文件中華人民共和國公安部令第32號計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法中華人民共和國公安部令第33號計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法中華人民共和國公安部令第51號計算機病毒防治管理辦法中華人民共和國公共安全行業(yè)標準計算機信息系統(tǒng)安全專用產(chǎn)品分類原則我國標準制定狀況（2/9）安全標準、法規(guī)和政策1.部門規(guī)章及規(guī)范性文件中華人民共和國82安全標準、法規(guī)和政策

中華人民共和國主席令第6號中華人民共和國保守國家秘密法2.國家法律

中華人民共和國國務(wù)院令第273號商用密碼管理條例

中華人民共和國國務(wù)院令第291號中華人民共和國電信條例我國標準制定狀況（3/9）3行政法規(guī)安全標準、法規(guī)和政策中華人民共和國主席令第6號2.國家83

中華人民共和國國務(wù)院令147號中華人民共和國計算機信息系統(tǒng)安全保護條例

中華人民共和國國務(wù)院令第195號中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定

中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法安全標準、法規(guī)和政策我國標準制定狀況（4/9）中華人民共和國國務(wù)院令147號中華人民共和國國務(wù)院令第84安全標準、法規(guī)和政策4.安全標準

計算機病毒防治產(chǎn)品評級準則

計算機信息系統(tǒng)安全保護等級劃分準則

信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)

計算機信息系統(tǒng)安全專用產(chǎn)品分類原則

信息技術(shù)設(shè)備的無線電干擾極限值和測量方法

計算機機房用活動地板技術(shù)條件我國標準制定狀況（5/9）安全標準、法規(guī)和政策4.安全標準我國標準制定狀況（5/985安全標準、法規(guī)和政策

DOS操作系統(tǒng)環(huán)境中計算機病毒防治產(chǎn)品測試方法

基于DOS的信息安全產(chǎn)品評級準則

電子計算機機房設(shè)計規(guī)范

電子計算機機房施工