第一部分信息安全概述

信息安全概論第一部分信息安全基礎(chǔ)國(guó)家示范軟件學(xué)院主講：趙洋E-mail：zhaoyang@2024/5/11主講：趙洋課程：信息安全概論2內(nèi)容提要信息安全的概念1信息安全的社會(huì)意義2黑客概述3信息安全的評(píng)價(jià)標(biāo)準(zhǔn)4信息安全的概念2024/5/11主講：趙洋課程：信息安全概論4什么是信息？廣義的說(shuō)，信息就是消息。一切存在都有信息。信息信息的特性：可以存儲(chǔ)、交流和使用。2024/5/11主講：趙洋課程：信息安全概論5信息的嚴(yán)格定義信息是一種以特殊的物質(zhì)形態(tài)存在的實(shí)體，1928年哈特萊（L.V.R.Hartley）認(rèn)為信息是選擇通信符號(hào)的方式，且用選擇自由度來(lái)計(jì)量這種信息的大小。1948年，美國(guó)數(shù)學(xué)家仙農(nóng)（C.E.Shannon）認(rèn)為信息是用來(lái)減少隨機(jī)不定性的東西。1948年，維納（N.Wiener）認(rèn)為信息是人們?cè)谶m應(yīng)外部世界和這種適應(yīng)反作用于外部世界的過(guò)程中，同外部世界進(jìn)行互相交換的內(nèi)容名稱(chēng)。1975年，意大利學(xué)者朗高（G.Longo）認(rèn)為信息是反映了事物的形式、關(guān)系和差別，它包含在事物的差異之中，而不在事物本身。1988年，我國(guó)信息論專(zhuān)家鐘義信教授在《信息科學(xué)原理》一書(shū)中把信息定義為事物的運(yùn)動(dòng)狀態(tài)和狀態(tài)變化的方式。并通過(guò)引入約束條件推導(dǎo)了信息的概念體系，對(duì)信息進(jìn)行了完整和準(zhǔn)確的描述。2024/5/11主講：趙洋課程：信息安全概論6信息技術(shù)的概念信息技術(shù)是指在計(jì)算機(jī)和通信技術(shù)支持下用以獲取、加工、存儲(chǔ)、變換、顯示和傳輸文字、數(shù)值、圖像、視頻、音頻以及語(yǔ)音信息，包括提供設(shè)備和信息服務(wù)兩大方面的方法與設(shè)備的總稱(chēng)。信息技術(shù)簡(jiǎn)單地說(shuō)就是3C，Computer、Communication和Control，即IT=Computer+Communication+Control。++2024/5/11主講：趙洋課程：信息安全概論7信息安全的概念信息安全的任務(wù)是保護(hù)信息財(cái)產(chǎn)，以防止偶然的或未授權(quán)者對(duì)信息的惡意泄露、修改和破壞，從而導(dǎo)致信息的不可靠或無(wú)法處理等。這樣可以使得我們?cè)谧畲笙薅鹊乩眯畔槲覀兎?wù)的同時(shí)而不招致?lián)p失或使損失最小。信息安全學(xué)關(guān)注信息本身的安全，而不管是否應(yīng)用了計(jì)算機(jī)作為信息處理的手段。2024/5/11主講：趙洋課程：信息安全概論8信息安全學(xué)科信息安全是一門(mén)交叉學(xué)科。廣義上，信息安全涉及多方面的理論和應(yīng)用知識(shí)，除了數(shù)學(xué)、通信、計(jì)算機(jī)等自然科學(xué)外，還涉及法律、心理學(xué)等社會(huì)科學(xué)。狹義上，也就是通常說(shuō)的信息安全，只是從自然科學(xué)的角度介紹信息安全的研究?jī)?nèi)容。信息安全各部分研究?jī)?nèi)容及相互關(guān)系如圖所示。2024/5/11主講：趙洋課程：信息安全概論9信息安全學(xué)科內(nèi)容基礎(chǔ)理論密碼研究安全理論研究應(yīng)用技術(shù)安全實(shí)現(xiàn)技術(shù)安全平臺(tái)技術(shù)研究安全管理安全標(biāo)準(zhǔn)安全策略安全測(cè)評(píng)2024/5/11主講：趙洋課程：信息安全概論10信息安全的主要研究?jī)?nèi)容1、信息加密信息加密將有用的信息變?yōu)榭瓷先o(wú)用的亂碼，攻擊者無(wú)法讀懂信息的內(nèi)容從而保護(hù)信息。信息加密是保障信息安全的最基本、最核心的技術(shù)措施和理論基礎(chǔ)，也是現(xiàn)代密碼學(xué)的主要組成部分。2、數(shù)字簽名數(shù)字簽名機(jī)制包括兩個(gè)過(guò)程：簽名過(guò)程和驗(yàn)證過(guò)程。簽名過(guò)程是利用簽名者的私有信息作為密鑰，或?qū)?shù)據(jù)單元進(jìn)行加密或產(chǎn)生該數(shù)據(jù)單元的密碼校驗(yàn)值；驗(yàn)證過(guò)程是利用公開(kāi)的規(guī)程和信息來(lái)確定簽名是否是利用該簽名者的私有信息產(chǎn)生的。2024/5/11主講：趙洋課程：信息安全概論11信息安全學(xué)科內(nèi)容3、數(shù)據(jù)完整性數(shù)據(jù)完整性保護(hù)用于防止非法篡改，利用密碼理論的完整性保護(hù)能夠很好地對(duì)付非法篡改。完整性的另一用途是提供不可抵賴服務(wù)，當(dāng)信息源的完整性可以被驗(yàn)證卻無(wú)法模仿時(shí)，收到信息的一方可以認(rèn)定信息的發(fā)送者。4、身份鑒別鑒別是信息安全的基本機(jī)制，通信的雙方之間應(yīng)互相認(rèn)證對(duì)方的身份，以保證賦予正確的操作權(quán)力和數(shù)據(jù)的存取控制。網(wǎng)絡(luò)也必須認(rèn)證用戶的身份，以保證合法的用戶進(jìn)行正確的操作并進(jìn)行正確的審計(jì)。通常有三種方法驗(yàn)證主體身份。一是利用只有該主體才了解的秘密，如口令、密鑰；二是主體攜帶的物品，如智能卡和令牌卡；三是只有該主體具有的獨(dú)一無(wú)二的特征或能力，如指紋、聲音、視網(wǎng)膜或簽字等。2024/5/11主講：趙洋課程：信息安全概論12信息安全學(xué)科內(nèi)容5、訪問(wèn)控制訪問(wèn)控制的目的是防止對(duì)信息資源的非授權(quán)訪問(wèn)和非授權(quán)使用信息資源。訪問(wèn)控制采用最小特權(quán)原則：即在給用戶分配權(quán)限時(shí)，根據(jù)每個(gè)用戶的任務(wù)特點(diǎn)使其獲得完成自身任務(wù)的最低權(quán)限，不給用戶賦予其工作范圍之外的任何權(quán)力。6、安全數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)系統(tǒng)有數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)兩部分組成。安全數(shù)據(jù)庫(kù)的基本要求可歸納為：數(shù)據(jù)庫(kù)的完整性（物理上的完整性、邏輯上的完整性）、數(shù)據(jù)的保密性（用戶身份識(shí)別、訪問(wèn)控制和可審計(jì)性）、數(shù)據(jù)庫(kù)的可用性（用戶界面友好，在授權(quán)范圍內(nèi)用戶可以簡(jiǎn)便地訪問(wèn)數(shù)據(jù)）。2024/5/11主講：趙洋課程：信息安全概論13信息安全學(xué)科內(nèi)容7、網(wǎng)絡(luò)控制技術(shù)防火墻技術(shù)是一種允許接入外部網(wǎng)絡(luò)，但同時(shí)又能夠識(shí)別和抵抗非授權(quán)訪問(wèn)的安全技術(shù)。入侵檢測(cè)技術(shù)主要目標(biāo)是掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng)，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來(lái)過(guò)濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量，提供實(shí)時(shí)報(bào)警。大多數(shù)的入侵監(jiān)測(cè)系統(tǒng)可以提供關(guān)于網(wǎng)絡(luò)流量非常詳盡的分析。安全協(xié)議安全協(xié)議可以實(shí)現(xiàn)身份鑒別、密鑰分配、數(shù)據(jù)加密、防止信息重傳和不可否認(rèn)等安全機(jī)制。2024/5/11主講：趙洋課程：信息安全概論14信息安全學(xué)科內(nèi)容8、反病毒技術(shù)由于計(jì)算機(jī)病毒具有傳染的泛濫性、病毒侵害的主動(dòng)性、病毒程序外形檢測(cè)的難以確定性、病毒行為判定的難以確定性、非法性與隱蔽性、衍生性和可激發(fā)性等特性，所以必須研究相應(yīng)的防治措施。2024/5/11主講：趙洋課程：信息安全概論15信息安全研究層次信息安全從總體上可以分成5個(gè)層次：安全的密碼算法，安全協(xié)議，網(wǎng)絡(luò)安全，系統(tǒng)安全以及應(yīng)用安全，其中密碼算法是研究的關(guān)鍵點(diǎn)，層次結(jié)構(gòu)如圖所示。2024/5/11主講：趙洋課程：信息安全概論16信息安全的目標(biāo)信息安全的目標(biāo)是保護(hù)信息的機(jī)密性、完整性、抗否認(rèn)性和可用性，也有的觀點(diǎn)認(rèn)為是機(jī)密性、完整性和可用性，即CIA（ConfidentialityIntegrityAvailability）。機(jī)密性Confidentiality，機(jī)密性是指保證信息不能被非授權(quán)訪問(wèn)。完整性Integrity，完整性是指維護(hù)信息的一致性，即信息在生成、傳輸、存儲(chǔ)和使用過(guò)程中不應(yīng)發(fā)生人為或非人為的非授權(quán)篡改。信息的完整性包括兩個(gè)方面：1）數(shù)據(jù)完整性：數(shù)據(jù)沒(méi)有被未授權(quán)篡改或者損壞；2）系統(tǒng)完整性：系統(tǒng)未被非法操縱，按既定的目標(biāo)運(yùn)行。可用性Availability，可用性是指保障信息資源隨時(shí)可提供服務(wù)的能力特性，即授權(quán)用戶根據(jù)需要可以隨時(shí)訪問(wèn)所需信息?？捎眯允切畔①Y源服務(wù)功能和性能可靠性的度量，涉及到物理、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)、應(yīng)用和用戶等多方面的因素，是對(duì)信息網(wǎng)絡(luò)總體可靠性的要求。2024/5/11主講：趙洋課程：信息安全概論17信息安全的發(fā)展發(fā)展過(guò)程通信安全（CommunicationSecurity）：強(qiáng)調(diào)的主要是信息的保密性，對(duì)安全理論和技術(shù)的研究也只側(cè)重于密碼學(xué)。信息安全（InformationSecurity）：關(guān)注已經(jīng)逐漸擴(kuò)展為以保密性、完整性和可用性。信息保障（IA，InformationAssurance）：考慮諸如可控性、抗抵賴性、真實(shí)性等其他的原則和目標(biāo)，信息安全也轉(zhuǎn)化為從整體角度考慮其體系建設(shè)。2024/5/11主講：趙洋課程：信息安全概論18信息安全的發(fā)展PDRR保障體系：保護(hù)（Protect）指采用可能采取的手段來(lái)保障信息的保密性、完整性、可用性、可控性和不可否認(rèn)性。檢測(cè)（Detect）指提供工具檢查系統(tǒng)可能存在的黑客攻擊、白領(lǐng)犯罪和病毒泛濫等脆弱性。反應(yīng)（React）指對(duì)危及安全的事件、行為、過(guò)程及時(shí)做出響應(yīng)處理，杜絕危害的進(jìn)一步蔓延擴(kuò)大，力求系統(tǒng)還能提供正常服務(wù)?；謴?fù)（Restore）指一旦系統(tǒng)遭到破壞，盡快恢復(fù)系統(tǒng)功能，盡早提供正常的服務(wù)。2024/5/11主講：趙洋課程：信息安全概論19信息安全的威脅信息安全威脅是指某個(gè)人、物、事件或概念對(duì)信息資源的保密性、完整性、可用性或合法使用所造成的危險(xiǎn)。攻擊是對(duì)安全威脅的具體體現(xiàn)。雖然人為因素和非人為因素都可以對(duì)通信安全構(gòu)成威脅，但是精心設(shè)計(jì)的人為攻擊威脅最大。主要的信息安全威脅包括如下的內(nèi)容：1.信息泄露：信息被泄漏或透露給某個(gè)非授權(quán)的實(shí)體。2.破壞信息的完整性：數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而

受到損失。3.拒絕服務(wù)：對(duì)信息或其它資源的合法訪問(wèn)被無(wú)條件地阻止。4.非法使用（非授權(quán)訪問(wèn)）：某一資源被某個(gè)非授權(quán)的人使用，

或以非授權(quán)的方式使用。5.竊聽(tīng)：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源

和敏感信息。例如對(duì)通信線路中傳輸?shù)男盘?hào)進(jìn)行搭線監(jiān)聽(tīng)，或

者利用通信設(shè)備在工作過(guò)程中產(chǎn)生的電磁泄露截取有用信息等。2024/5/11主講：趙洋課程：信息安全概論20信息安全的威脅6.業(yè)務(wù)流分析：通過(guò)對(duì)系統(tǒng)進(jìn)行長(zhǎng)期監(jiān)聽(tīng)，利用統(tǒng)計(jì)分析方法對(duì)

諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進(jìn)行

研究，從而發(fā)現(xiàn)有價(jià)值的信息和規(guī)律。7.假冒：通過(guò)欺騙通信系統(tǒng)（或用戶）達(dá)到非法用戶冒充成為合

法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。黑

客大多是采用假冒攻擊。8.旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處

獲得非授權(quán)的權(quán)利或特權(quán)。例如，攻擊者通過(guò)各種攻擊手段發(fā)

現(xiàn)原本應(yīng)保密，但是卻又暴露出來(lái)的一些系統(tǒng)“特性”。利用

這些“特性”，攻擊者可以繞過(guò)防線守衛(wèi)者侵入系統(tǒng)的內(nèi)部。9.授權(quán)侵犯：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個(gè)人，

卻將此權(quán)限用于其它非授權(quán)的目的，也稱(chēng)作“內(nèi)部攻擊”。10.特洛伊木馬：軟件中含有一個(gè)察覺(jué)不出的或者無(wú)害的程序段，

當(dāng)它被執(zhí)行時(shí)，會(huì)破壞用戶的安全。這種應(yīng)用程序稱(chēng)為特洛伊

木馬（TrojanHorse）。2024/5/11主講：趙洋課程：信息安全概論21信息安全的威脅11.陷阱門(mén)：在某個(gè)系統(tǒng)或某個(gè)部件中設(shè)置的“機(jī)關(guān)”，使得當(dāng)提

供特定的輸入數(shù)據(jù)時(shí)，允許違反安全策略。12.抵賴：這是一種來(lái)自用戶的攻擊，比如：否認(rèn)自己曾經(jīng)發(fā)布過(guò)

的某條消息、偽造一份對(duì)方來(lái)信等。13.重放：所截獲的某次合法的通信數(shù)據(jù)拷貝，出于非法的目的而

被重新發(fā)送。14.計(jì)算機(jī)病毒：在計(jì)算機(jī)系統(tǒng)中能實(shí)現(xiàn)傳染和侵害的功能程序。15.人員不慎：一個(gè)授權(quán)的人為了錢(qián)或利益，或由于粗心，將信息

泄露給一個(gè)非授權(quán)的人。16.媒體廢棄：信息被從廢棄的磁介質(zhì)的或打印過(guò)的存儲(chǔ)介質(zhì)中獲

得。研究信息安全的社會(huì)意義2024/5/11主講：趙洋課程：信息安全概論23信息安全與政治目前政府上網(wǎng)已經(jīng)大規(guī)模地發(fā)展起來(lái)，電子政務(wù)工程已經(jīng)在全國(guó)啟動(dòng)。政府網(wǎng)絡(luò)的安全直接代表了國(guó)家的形象。1999年到2001年，我國(guó)一些政府網(wǎng)站遭受了4次大的黑客攻擊事件。第1次在1999年1月份左右，美國(guó)黑客組織“美國(guó)地下軍團(tuán)”聯(lián)合了波蘭、英國(guó)的黑客組織及其他的黑客組織，有組織地對(duì)我國(guó)的政府網(wǎng)站進(jìn)行了攻擊。第2次是在1999年7月，臺(tái)灣李登輝提出兩國(guó)論的時(shí)候。第3次是在2000年5月8號(hào)，美國(guó)轟炸我國(guó)駐南聯(lián)盟大使館后。第4次是在2001年4月到5月，美機(jī)撞毀王偉戰(zhàn)機(jī)并侵入我國(guó)海南機(jī)場(chǎng)后。從2004以后，網(wǎng)絡(luò)威脅呈現(xiàn)多樣化，除傳統(tǒng)的病毒、垃圾郵件外，危害更大的間諜軟件、廣告軟件、網(wǎng)絡(luò)釣魚(yú)等紛紛加入到互聯(lián)網(wǎng)安全破壞者的行列，成為威脅計(jì)算機(jī)安全的幫兇。間諜軟件的危害甚至超越傳統(tǒng)病毒，成為互聯(lián)網(wǎng)安全最大的威脅。因此到現(xiàn)在，軍隊(duì)以及一些政府機(jī)關(guān)的計(jì)算機(jī)是不允許接入互聯(lián)網(wǎng)的。2024/5/11主講：趙洋課程：信息安全概論24信息安全與經(jīng)濟(jì)信息安全與經(jīng)濟(jì)一個(gè)國(guó)家信息化程度越高，整個(gè)國(guó)民經(jīng)濟(jì)和社會(huì)運(yùn)行對(duì)信息資源和信息基礎(chǔ)設(shè)施的依賴程度也越高。我國(guó)計(jì)算機(jī)犯罪的增長(zhǎng)速度超過(guò)了傳統(tǒng)的犯罪，1997年20多起，1998年142起，1999年908起，2000年上半年1420起，再后來(lái)就沒(méi)有辦法統(tǒng)計(jì)了。利用計(jì)算機(jī)實(shí)施金融犯罪已經(jīng)滲透到了我國(guó)金融行業(yè)的各項(xiàng)業(yè)務(wù)。近幾年已經(jīng)破獲和掌握的犯罪案件100多起，涉及的金額達(dá)幾個(gè)億。2000年2月黑客攻擊的浪潮，是互聯(lián)網(wǎng)問(wèn)世以來(lái)最為嚴(yán)重的黑客事件。1999年4月26日，臺(tái)灣人編制的CIH病毒的大爆發(fā)，據(jù)統(tǒng)計(jì)，我國(guó)受其影響的PC機(jī)總量達(dá)36萬(wàn)臺(tái)之多。有人估計(jì)在這次事件中，經(jīng)濟(jì)損失高達(dá)12億元。從1988年CERT（ComputerEmergencyResponseTeam，CERT）由于Morris蠕蟲(chóng)事件成立以來(lái)，Internet安全威脅事件逐年上升，近年來(lái)的增長(zhǎng)態(tài)勢(shì)變得尤為迅猛，從1998年到2006年，平均年增長(zhǎng)幅度達(dá)50％左右，使這些安全事件的主要因素是系統(tǒng)和網(wǎng)絡(luò)安全脆弱性（Vulnerability）層出不窮，這些安全威脅事件給Internet帶來(lái)巨大的經(jīng)濟(jì)損失。以美國(guó)為例，其每年因?yàn)榘踩录斐傻慕?jīng)濟(jì)損失超過(guò)170億美元。2024/5/11主講：趙洋課程：信息安全概論25信息安全與社會(huì)穩(wěn)定信息安全與社會(huì)穩(wěn)定互聯(lián)網(wǎng)上散布的虛假信息、有害信息對(duì)社會(huì)管理秩序造成的危害，要比現(xiàn)實(shí)社會(huì)中一個(gè)謠言大得多。1999年4月，河南商都熱線的一個(gè)BBS上，一張說(shuō)交通銀行鄭州支行行長(zhǎng)攜巨款外逃的帖子，造成了社會(huì)的動(dòng)蕩，三天十萬(wàn)人上街排隊(duì)，一天提款十多億。2001年2月8日正是春節(jié)，新浪網(wǎng)遭受攻擊，電子郵件服務(wù)器癱瘓了18個(gè)小時(shí)，造成了幾百萬(wàn)用戶無(wú)法正常聯(lián)絡(luò)。2024/5/11主講：趙洋課程：信息安全概論26信息安全與軍事信息安全與軍事在第二次世界大戰(zhàn)中，美國(guó)破譯了日本人的密碼，幾乎全殲山本五十六的艦隊(duì)，重創(chuàng)了日本海軍。目前的軍事戰(zhàn)爭(zhēng)更是信息化戰(zhàn)爭(zhēng)，下面是美國(guó)三位知名人士對(duì)目前網(wǎng)絡(luò)的描述。美國(guó)著名未來(lái)學(xué)家阿爾溫·托爾勒說(shuō)過(guò)“誰(shuí)掌握了信息，控制了網(wǎng)絡(luò)，誰(shuí)將擁有整個(gè)世界”。美國(guó)前總統(tǒng)克林頓說(shuō)過(guò)“今后的時(shí)代，控制世界的國(guó)家將不是靠軍事，而是靠信息能力走在前面的國(guó)家”。美國(guó)前陸軍參謀長(zhǎng)沙利文上將說(shuō)過(guò)“信息時(shí)代的出現(xiàn)，將從根本上改變戰(zhàn)爭(zhēng)的進(jìn)行方式”。黑客概述2024/5/11主講：趙洋課程：信息安全概論28什么是黑客？

黑客是英文“hacker”的音譯，指技術(shù)上的行家或熱衷于解決問(wèn)題克服限制的人。從文化角度上看，“黑客”（Hacker）源于英語(yǔ)動(dòng)詞hack，意為“劈砍”，引申為干一件非常漂亮的工作。黑客是利用技術(shù)手段進(jìn)入其權(quán)限以外的計(jì)算機(jī)系統(tǒng)。首先，黑客是利用技術(shù)手段而不是通過(guò)非技術(shù)手段，如色情等；其次，進(jìn)入其權(quán)限以外的計(jì)算機(jī)系統(tǒng)，還有一點(diǎn)應(yīng)該注意到，進(jìn)入計(jì)算機(jī)系統(tǒng)做了些什么？這里并沒(méi)有說(shuō)明，因此，黑客本身應(yīng)該是一個(gè)中性詞，如果做了破壞，可能就是另外一類(lèi)人。2024/5/11主講：趙洋課程：信息安全概論29黑客簡(jiǎn)史60年代中期，起源于MIT的“黑客文化”開(kāi)始彌散到美國(guó)其他校園，逐漸向商業(yè)滲透，黑客們進(jìn)入或建立電腦公司。他們中最著名的有貝爾實(shí)驗(yàn)室的鄧尼斯·里奇和肯·湯姆森，他倆在小型電腦PDP-11/20編寫(xiě)出UNIX操作系統(tǒng)和C語(yǔ)言，推動(dòng)了工作站電腦和網(wǎng)絡(luò)的成長(zhǎng)。MIT的理查德·斯托爾曼后來(lái)發(fā)起成立了自由軟件基金會(huì)，成為國(guó)際自由軟件運(yùn)動(dòng)的精神領(lǐng)袖。他們都是第二代“黑客”的代表人物。2024/5/11主講：趙洋課程：信息安全概論30黑客簡(jiǎn)史1975年，愛(ài)德華·羅伯茨發(fā)明第一臺(tái)微型電腦“牛郎星”。美國(guó)很快出現(xiàn)了一個(gè)電腦業(yè)余愛(ài)好者在汽車(chē)庫(kù)里組裝微電腦的熱潮，并組織了一個(gè)“家庭釀造電腦俱樂(lè)部”，相互交流組裝電腦的經(jīng)驗(yàn)。以“家釀電腦俱樂(lè)部”為代表的“黑客”屬于第三代，他們發(fā)動(dòng)了一場(chǎng)個(gè)人電腦的革命。史蒂夫·喬布斯、比爾·蓋茨等人創(chuàng)辦了蘋(píng)果和微軟公司，后來(lái)都成了重量級(jí)的IT企業(yè)。2024/5/11主講：趙洋課程：信息安全概論31黑客簡(jiǎn)史80年代初，計(jì)算機(jī)地下組織開(kāi)始形成，出現(xiàn)了早期的計(jì)算機(jī)竊賊。1984年德國(guó)漢堡出現(xiàn)了名叫“混沌”的計(jì)算機(jī)俱樂(lè)部（CCC），其成員竟然通過(guò)網(wǎng)絡(luò)將10萬(wàn)美元從漢堡儲(chǔ)蓄銀行轉(zhuǎn)到CCC賬號(hào)上。1987年，CCC的成員攻入了美國(guó)宇航局的SPAN網(wǎng)絡(luò)。1984年，美國(guó)黑客戈德斯坦創(chuàng)辦著名的黑客雜志2600：TheHackerQuarterly；10年后，這份雜志已有可觀的發(fā)行量，1995年達(dá)到了2萬(wàn)冊(cè)。2024/5/11主講：趙洋課程：信息安全概論32黑客簡(jiǎn)史1982年，當(dāng)時(shí)年僅15歲的凱文·米特尼克闖入了“北美空中防務(wù)指揮系統(tǒng)”，這是首次發(fā)現(xiàn)的從外部侵襲的網(wǎng)絡(luò)事件。他后來(lái)連續(xù)進(jìn)入到美國(guó)多家大公司的電腦網(wǎng)絡(luò)，把一些重要合同涂改得面目全非。1994年，他向圣迭戈超級(jí)計(jì)算機(jī)中心發(fā)動(dòng)攻擊，將整個(gè)互聯(lián)網(wǎng)置于危險(xiǎn)的境地。米特尼克曾多次入獄，指控他偷竊了數(shù)以千計(jì)的文件以及非法使用2萬(wàn)多個(gè)信用卡。他是著名的“世界頭號(hào)黑客”。2024/5/11主講：趙洋課程：信息安全概論33黑客簡(jiǎn)史1988年11月2日，美國(guó)康奈爾大學(xué)23歲學(xué)生羅伯特·莫里斯，向互聯(lián)網(wǎng)絡(luò)釋放了“蠕蟲(chóng)病毒”，美國(guó)軍用和民用電腦系統(tǒng)同時(shí)出現(xiàn)了故障，至少有6200臺(tái)受到波及，約占當(dāng)時(shí)互聯(lián)網(wǎng)絡(luò)電腦總數(shù)的10%以上，用戶直接經(jīng)濟(jì)損失接近1億美元，造成了美國(guó)高技術(shù)史上空前規(guī)模的災(zāi)難事件。1995年，俄羅斯黑客列文在英國(guó)被捕。他被控用筆記本電腦從紐約花旗銀行非法轉(zhuǎn)移至少370萬(wàn)美元到世界各地由他和他的同黨控制的賬戶。2024/5/11主講：趙洋課程：信息安全概論34黑客簡(jiǎn)史1999年3月，美國(guó)黑客戴維·史密斯制造了“梅利莎”病毒，通過(guò)因特網(wǎng)在全球傳染數(shù)百萬(wàn)臺(tái)計(jì)算機(jī)和數(shù)萬(wàn)臺(tái)服務(wù)器。2000年2月，全世界黑客們聯(lián)手發(fā)動(dòng)了一場(chǎng)“黑客戰(zhàn)爭(zhēng)”，接連襲擊了因特網(wǎng)最熱門(mén)的八大網(wǎng)站，包括亞馬遜、Yahoo和微軟，造成這些網(wǎng)站癱瘓長(zhǎng)達(dá)數(shù)小時(shí)。FBI僅發(fā)現(xiàn)一個(gè)名為“黑手黨男孩”的黑客參與了襲擊事件，對(duì)他提出的56項(xiàng)指控只與其中幾個(gè)被“黑”網(wǎng)站有關(guān)，估計(jì)造成了達(dá)17億美元的損失。2000年5月，菲律賓學(xué)生奧內(nèi)爾·古茲曼炮制出“愛(ài)蟲(chóng)”病毒，因電腦癱瘓所造成的損失高達(dá)100億美元。全世界反黑客、反病毒的斗爭(zhēng)呈現(xiàn)出越來(lái)越激烈的趨勢(shì)。2024/5/11主講：趙洋課程：信息安全概論35十大超級(jí)老牌黑客電話大盜德拉浦自由軟件之父斯托爾曼蘋(píng)果電腦創(chuàng)建者沃茲尼克Unix之父利奇和湯普生Linux之父

李納斯電子前線基金創(chuàng)始人卡普爾美國(guó)通緝頭號(hào)黑客米特尼克蠕蟲(chóng)制造者

莫里斯自由軟件理論旗手雷蒙德2024/5/11主講：趙洋課程：信息安全概論36電話大盜：德拉浦主要成就:發(fā)現(xiàn)了使用(“嘎吱嘎吱船長(zhǎng)”牌的)麥片盒里作為獎(jiǎng)品的哨子(向電話話筒吹聲)可以免費(fèi)打(長(zhǎng)途)電話。Cap‘nCrunch給幾代黑客引入了“盜用電話線路”打(長(zhǎng)途)電話的輝煌思想。目前的狀況:約翰.德雷珀開(kāi)了他自己的安全公司。他最近還在開(kāi)發(fā)"Crunchbox"。"Crunchbox"是一個(gè)防火墻系統(tǒng)，它能抑止電腦病毒的傳播。2024/5/11主講：趙洋課程：信息安全概論37自由軟件之父斯托爾曼主要成就:斯托曼創(chuàng)立了自由軟件基金，打破了軟件是私有財(cái)產(chǎn)的概念。目前的狀況:理查德.斯托曼由GNU出版社出了一本新書(shū)《FreeSoftware,FreeSociety:SelectedEssaysofRichardM.Stallman》（《自由的軟件，自由的社會(huì)：理查德.斯托曼文選》）。2024/5/11主講：趙洋課程：信息安全概論38蘋(píng)果電腦創(chuàng)建者沃茲尼克主要成就：

2001年，美國(guó)“洛杉磯時(shí)報(bào)”評(píng)選出了“本世紀(jì)經(jīng)濟(jì)領(lǐng)域50名最有影響力人物”，貢獻(xiàn)主要表現(xiàn)為“創(chuàng)辦蘋(píng)果電腦，蘋(píng)果I和蘋(píng)果II的出現(xiàn)帶動(dòng)了全球個(gè)人電腦普及應(yīng)用浪潮。”目前的現(xiàn)狀：他的正式工作是加州LosGatos校區(qū)的計(jì)算機(jī)教師。教5-8年級(jí)的小學(xué)生。2024/5/11主講：趙洋課程：信息安全概論39Unix之父丹尼斯·利奇和肯·湯普生主要成就:貝爾實(shí)驗(yàn)室著名的計(jì)算機(jī)科學(xué)工作組的創(chuàng)造力的推進(jìn)劑。里奇和湯普森在1969年創(chuàng)造了UNIX,UNIX是小型機(jī)上的一個(gè)一流的開(kāi)放操作系統(tǒng),它能幫助用戶完成普通計(jì)算、文字處理、聯(lián)網(wǎng)。1999年4月27日，兩人獲得全美技術(shù)勛章，這是對(duì)他們成就的最高評(píng)價(jià)。目前的狀況:丹尼斯·里奇目前是朗訊科技的系統(tǒng)軟件研究部的領(lǐng)頭人,肯·湯普森已經(jīng)退出貝爾實(shí)驗(yàn)室和黑客事業(yè)。2024/5/11主講：趙洋課程：信息安全概論40Linux之父：李納斯主要成就：李納斯·托沃茲（LinusTorvalds），當(dāng)今世界最著名的電腦程序員之一。Linux內(nèi)核的發(fā)明人及該計(jì)劃的合作者。利用個(gè)人時(shí)間及器材創(chuàng)造出了這套當(dāng)今全球最流行的操作系統(tǒng)內(nèi)核之一。使自由軟件從產(chǎn)業(yè)思想運(yùn)動(dòng)演變成為市場(chǎng)商業(yè)運(yùn)動(dòng)，從此改變了軟件產(chǎn)業(yè)，乃至IT產(chǎn)業(yè)的面貌。目前的狀況：在一家開(kāi)發(fā)基于微處理器軟件的公司（Transmeta）工作，已婚，有兩個(gè)女兒。2024/5/11主講：趙洋課程：信息安全概論41電子前線基金創(chuàng)建者米切爾·卡普爾

主要成就：在80年代中期，卡普爾與蓋茨是美國(guó)軟件業(yè)的雙子星。1982年創(chuàng)辦Lotus公司，并擔(dān)任CEO。普爾發(fā)起創(chuàng)辦的電子前線基金會(huì)（EFF），維護(hù)黑客利益，被稱(chēng)為是計(jì)算機(jī)業(yè)的美國(guó)公民自由協(xié)會(huì)（ACLU）?？ㄆ諣栆惨虼顺蔀?0年代和90年代最具影響力的計(jì)算機(jī)人物和黑客界最具影響力的人物之一。目前的狀況：不詳。2024/5/11主講：趙洋課程：信息安全概論42美國(guó)通緝頭號(hào)黑客凱文·米特尼克主要成就：15歲時(shí)，米特尼克闖入了“北美空中防務(wù)指揮系統(tǒng)”的主機(jī)內(nèi)，和另外一些朋友翻遍了美國(guó)指向前蘇聯(lián)及其盟國(guó)的所有核彈頭的數(shù)據(jù)資料。他是第一個(gè)在美國(guó)聯(lián)邦調(diào)查局“懸賞捉拿”海報(bào)上露面的黑客。目前的狀況：凱文·米特尼克出演了在2001年黑客大會(huì)上播放的記錄片《釋放凱文》。他還在美國(guó)廣播公司的化名節(jié)目中擔(dān)任了一名中央情報(bào)局的計(jì)算機(jī)專(zhuān)家：在扮演這個(gè)角色的時(shí)候，他只被允許使用道具計(jì)算機(jī)。2002年重獲上網(wǎng)的權(quán)力，并完成了一本暢銷(xiāo)書(shū)《欺騙的藝術(shù)》。2024/5/11主講：趙洋課程：信息安全概論43蠕蟲(chóng)制造者羅伯特·莫里斯主要成就：這位美國(guó)國(guó)家計(jì)算機(jī)安全中心（隸屬于美國(guó)國(guó)家安全局NSA）首席科學(xué)家的兒子，康奈爾大學(xué)的高材生，在1988年的第一次工作過(guò)程中戲劇性地散播出了網(wǎng)絡(luò)蠕蟲(chóng)病毒后，“Hacker”一詞開(kāi)始在英語(yǔ)中被賦予了特定的含義。在此次的事故中成千上萬(wàn)的電腦收到了影響，并導(dǎo)致了部分電腦崩潰。目前的狀況：羅伯特.莫里斯現(xiàn)在是MIT的助理教授。他是1988年在這里發(fā)布他的蠕蟲(chóng)病毒的。2024/5/11主講：趙洋課程：信息安全概論44自由軟件理論旗手雷蒙德主要成就：軟件精神領(lǐng)袖，在自由軟件啟蒙階段，埃里克·雷蒙德以如椽之筆呼嘯而出，其核心著作被業(yè)界成為“五部曲”：《黑客道簡(jiǎn)史》（ABriefHistoryofHackerdom）、《大教堂和市集》（TheCathedralandtheBazaar）、《如何成為一名黑客》（HowToBecomeAHacker）、《開(kāi)拓智域》（HomesteadingtheNoosphere）、《魔法大鍋爐》（TheMagicCauldron）。其中最著名的當(dāng)然還是《大教堂和市集》，它在自由軟件運(yùn)動(dòng)中的地位相當(dāng)于基督教的《圣經(jīng)》。目前的狀況：依然從事黑客倫理以及黑客文化的研究。2024/5/11主講：趙洋課程：信息安全概論45國(guó)內(nèi)黑客的簡(jiǎn)介我國(guó)最早一批黑客大約出現(xiàn)在1994年，代表性的組織就是GOODWELL(龔蔚)等五人組織的綠色兵團(tuán)（/）。據(jù)稱(chēng)，極盛時(shí)期注冊(cè)會(huì)員達(dá)到3000多人，成員遍布全國(guó)各地。謝朝霞、彭哥、PP(彭泉)、天行(陳偉山)、黃鑫是第一代黑客中的頂級(jí)高手。他們的特點(diǎn)是，自己深入研究網(wǎng)絡(luò)安全技術(shù)，有自己的理論和產(chǎn)品。2024/5/11主講：趙洋課程：信息安全概論46黑客的行為特征真正的黑客一般具有以下幾個(gè)行為特征：熱衷挑戰(zhàn)。崇尚自由。主張信息的共享。反叛精神。目前國(guó)內(nèi)的黑客基本分成三種類(lèi)型紅客：略帶政治性色彩與愛(ài)國(guó)主義情結(jié)的黑客，此類(lèi)黑客很多時(shí)候政治熱情遠(yuǎn)高于對(duì)信息安全技術(shù)的熱情。藍(lán)客：他們更熱衷于純粹的互聯(lián)網(wǎng)安全技術(shù)，對(duì)于其它問(wèn)題不關(guān)心。文化黑客：就是完全追求黑客文化原始本質(zhì)精神，不關(guān)心政治，對(duì)技術(shù)也不瘋狂的追捧的文化黑客，后兩種黑客結(jié)合起來(lái)才是真正意義上的黑客。信息安全的評(píng)價(jià)標(biāo)準(zhǔn)2024/5/11主講：趙洋課程：信息安全概論48美國(guó)國(guó)防部評(píng)價(jià)標(biāo)準(zhǔn)根據(jù)美國(guó)國(guó)防部開(kāi)發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn)——可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則（TrustedComputerStandardsEvaluationCriteria，TCSEC），即網(wǎng)絡(luò)安全橙皮書(shū)，一些計(jì)算機(jī)安全級(jí)別被用來(lái)評(píng)價(jià)一個(gè)計(jì)算機(jī)系統(tǒng)的安全性。自從1985年橙皮書(shū)成為美國(guó)國(guó)防部的標(biāo)準(zhǔn)以來(lái)，就一直沒(méi)有改變過(guò)，多年以來(lái)一直是評(píng)估多用戶主機(jī)和小型操作系統(tǒng)的主要方法。其他子系統(tǒng)（如數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)）也一直用橙皮書(shū)來(lái)解釋評(píng)估。橙皮書(shū)把安全的級(jí)別從低到高分成4個(gè)類(lèi)別：D類(lèi)、C類(lèi)、B類(lèi)和A類(lèi)，每類(lèi)又分幾個(gè)級(jí)別，如表1-1所示。2024/5/11主講：趙洋課程：信息安全概論49TCSEC標(biāo)準(zhǔn)類(lèi)別級(jí)別名稱(chēng)主要特征DD低級(jí)保護(hù)沒(méi)有安全保護(hù)CC1自主安全保護(hù)自主存儲(chǔ)控制C2受控存儲(chǔ)控制單獨(dú)的可查性，安全標(biāo)識(shí)BB1標(biāo)識(shí)的安全保護(hù)強(qiáng)制存取控制，安全標(biāo)識(shí)B2結(jié)構(gòu)化保護(hù)面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗(yàn)證設(shè)計(jì)形式化的最高級(jí)描述和驗(yàn)證2024/5/11主講：趙洋課程：信息安全概論50TCSEC標(biāo)準(zhǔn)D級(jí)是最低的安全級(jí)別，擁有這個(gè)級(jí)別的操作系統(tǒng)就像一個(gè)門(mén)戶大開(kāi)的房子，任何人都可以自由進(jìn)出，是完全不可信任的。對(duì)于硬件來(lái)說(shuō)，沒(méi)有任何保護(hù)措施，操作系統(tǒng)容易受到損害，沒(méi)有系統(tǒng)訪問(wèn)限制和數(shù)據(jù)訪問(wèn)限制，任何人不需任何賬戶都可以進(jìn)入系統(tǒng)，不受任何限制可以訪問(wèn)他人的數(shù)據(jù)文件。屬于這個(gè)級(jí)別的操作系統(tǒng)有DOS和Windows98等。C1是C類(lèi)的一個(gè)安全子級(jí)。C1又稱(chēng)選擇性安全保護(hù)（DiscretionarySecurityProtection）系統(tǒng)，它描述了一個(gè)典型的用在UNIX系統(tǒng)上安全級(jí)別。這種級(jí)別的系統(tǒng)對(duì)硬件又有某種程度的保護(hù)，如用戶擁有注冊(cè)賬號(hào)和口令，系統(tǒng)通過(guò)賬號(hào)和口令來(lái)識(shí)別用戶是否合法，并決定用戶對(duì)程序和信息擁有什么樣的訪問(wèn)權(quán)，但硬件受到損害的可能性仍然存在。用戶擁有的訪問(wèn)權(quán)是指對(duì)文件和目標(biāo)的訪問(wèn)權(quán)。文件的擁有者和超級(jí)用戶可以改變文件的訪問(wèn)屬性，從而對(duì)不同的用戶授予不通的訪問(wèn)權(quán)。限。2024/5/11主講：趙洋課程：信息安全概論51TCSEC標(biāo)準(zhǔn)C2級(jí)除了包含C1級(jí)的特征外，應(yīng)該具有訪問(wèn)控制環(huán)境權(quán)力。該環(huán)境具有進(jìn)一步限制用戶執(zhí)行某些命令或者訪問(wèn)某些文件的權(quán)限，而且還加入了身份認(rèn)證等級(jí)。能夠達(dá)到C2級(jí)別的常見(jiàn)操作系統(tǒng)有如下幾種：（1）UNIX系統(tǒng)；（2）Novell3.X或者更高版本；（3）WindowsNT，Windows2000和Windows2003。B級(jí)中有三個(gè)子級(jí)別，B1級(jí)即標(biāo)志安全保護(hù)（LabeledSecurityProtection），是支持多級(jí)安全（例如：秘密和絕密）的第一個(gè)級(jí)別，這個(gè)級(jí)別說(shuō)明處于強(qiáng)制性訪問(wèn)控制之下的對(duì)象，系統(tǒng)不允許文件的擁有者改變其許可權(quán)限。2024/5/11主講：趙洋課程：信息安全概論52TCSEC標(biāo)準(zhǔn)B2級(jí)，又叫結(jié)構(gòu)保護(hù)（StructuredProtection）級(jí)別，它要求計(jì)算機(jī)系統(tǒng)中所有的對(duì)象都要加上標(biāo)簽，而且給設(shè)備（磁盤(pán)、磁帶和終端）分配單個(gè)或者多個(gè)安全級(jí)別。B3級(jí)，又叫做安全域（SecurityDomain）級(jí)別，使用安裝硬件的方式來(lái)加強(qiáng)域的安全，例如，內(nèi)存管理硬件用于保護(hù)安全域免遭無(wú)授權(quán)訪問(wèn)或更改其他安全域的對(duì)象。該級(jí)別也要求用戶通過(guò)一條可信任途徑連接到系統(tǒng)上。A級(jí)，又稱(chēng)驗(yàn)證設(shè)計(jì)（VerifiedDesign）級(jí)別，是當(dāng)前橙皮書(shū)的最高級(jí)別，它包含了一個(gè)嚴(yán)格的設(shè)計(jì)、控制和驗(yàn)證過(guò)程。該級(jí)別包含較低級(jí)別的所有的安全特性。橙皮書(shū)也存在不足，TCSEC是針對(duì)孤立計(jì)算機(jī)系統(tǒng)，特別是小型機(jī)和主機(jī)系統(tǒng)。假設(shè)有一定的物理保障，該標(biāo)準(zhǔn)適合政府和軍隊(duì)，不適合企業(yè)，這個(gè)模型是靜態(tài)的。2024/5/11主講：趙洋課程：信息安全概論53我國(guó)信息安全的評(píng)價(jià)標(biāo)準(zhǔn)1999年10月經(jīng)過(guò)國(guó)家質(zhì)量技術(shù)監(jiān)督局批準(zhǔn)發(fā)布的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》GB17859將計(jì)算機(jī)安全保護(hù)劃分為以下5個(gè)級(jí)別。第1級(jí)為用戶自主保護(hù)級(jí)（GB1安全級(jí)）：它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力，保護(hù)用戶的信息免受非法的讀寫(xiě)破壞。第2級(jí)為系統(tǒng)審計(jì)保護(hù)級(jí)（GB2安全級(jí)）：除具備第一級(jí)所有的安全保護(hù)功能外，要求創(chuàng)建和維護(hù)訪問(wèn)的審計(jì)跟蹤記錄，使所有的用戶對(duì)自己的行為的合法性負(fù)責(zé)。第3級(jí)為安全標(biāo)記保護(hù)級(jí)（GB3安全級(jí)）：除繼承前一個(gè)級(jí)別的安全功能外，還要求以訪問(wèn)對(duì)象標(biāo)記的安全級(jí)別限制訪問(wèn)者的訪問(wèn)權(quán)限，實(shí)現(xiàn)對(duì)訪問(wèn)對(duì)象的強(qiáng)制保護(hù)。第4級(jí)為結(jié)構(gòu)化保護(hù)級(jí)（GB4安全級(jí)）：在繼承前面安全級(jí)別安全功能的基礎(chǔ)上，將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，對(duì)關(guān)鍵部分直接控制訪問(wèn)者對(duì)訪問(wèn)對(duì)象的存取，從而加強(qiáng)系統(tǒng)的抗?jié)B透能力。第5級(jí)為訪問(wèn)驗(yàn)證保護(hù)級(jí)（GB5安全級(jí)）：這一個(gè)級(jí)別特別增設(shè)了訪問(wèn)驗(yàn)證功能，負(fù)責(zé)仲裁訪問(wèn)者對(duì)訪問(wèn)對(duì)象的所有訪問(wèn)活動(dòng)。2024/5/11主講：趙洋課程：信息安全概論54歐洲評(píng)價(jià)標(biāo)準(zhǔn)90年代初西歐四國(guó)（英、法、荷、德）聯(lián)合提出了信息技術(shù)安全評(píng)價(jià)標(biāo)準(zhǔn)（ITSEC，InformationTechnologyStandardsEvaluationCriteria）。除了吸收TCSEC的成功經(jīng)驗(yàn)外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度上來(lái)認(rèn)識(shí)。他們的工作成為歐共體信息安全計(jì)劃的基礎(chǔ)，并對(duì)國(guó)際信息安全的研究、實(shí)施帶來(lái)深刻的影響。ITSEC定義了七個(gè)安全級(jí)別：E6：形式化驗(yàn)證；E5：形式化分析；E4：半形式化分析；E3：數(shù)字化測(cè)試分析；E2：數(shù)字化測(cè)試；E1：功能測(cè)試；E0：不能充分滿足保證。2024/5/11主講：趙洋課程：信息安全概論55通用評(píng)價(jià)準(zhǔn)則美國(guó)為了保持他們?cè)谥贫?zhǔn)則方面的優(yōu)勢(shì)，不甘心TCSEC的影響被ITSEC取代，他們采取聯(lián)合其他國(guó)家共同提出新的評(píng)估準(zhǔn)則的辦法體現(xiàn)其領(lǐng)導(dǎo)作用。1991年1月宣布了制定通用安全評(píng)價(jià)準(zhǔn)則（CC，CommonCriteria）的計(jì)劃，它的全稱(chēng)是CommonCriteriaforITsecurityEvaluation。制定的國(guó)家涉及到六國(guó)七方，他們是美國(guó)的國(guó)家標(biāo)準(zhǔn)及技術(shù)研究所（NIST）和國(guó)家安全局（NSA），歐洲的四個(gè)國(guó)家為荷、法、德、英以及北美的加拿大。CC評(píng)價(jià)準(zhǔn)則基礎(chǔ)是歐洲的ITSEC，美國(guó)的包括TCSEC在內(nèi)的新的聯(lián)邦評(píng)價(jià)標(biāo)準(zhǔn)，加拿大的CTCPEC，以及國(guó)際標(biāo)準(zhǔn)化組織ISO:SC27WG3的安全評(píng)價(jià)標(biāo)準(zhǔn)。1995年頒布0.9版，1996年1月出版了1.0版。1997年8月頒布2.0Beta版，2.0版于1998年5月頒布。其中1998年11月15日發(fā)布的版本成為ISO/IEC15408信息技術(shù)-安全技術(shù)-IT安全評(píng)價(jià)準(zhǔn)則。2024/5/11主講：趙洋課程：信息安全概論56通用評(píng)價(jià)準(zhǔn)則CC評(píng)價(jià)準(zhǔn)則包括3個(gè)部分：第一部分介紹和總體模型，對(duì)CC評(píng)價(jià)準(zhǔn)則的介紹。定義IT安全評(píng)價(jià)和描述模型的一般概念和原則，提出選擇和定義說(shuō)明產(chǎn)品和系統(tǒng)IT安全客體的明確的組織的安全要求。第二部分安全功能要求，用標(biāo)準(zhǔn)化的方法對(duì)評(píng)價(jià)目標(biāo)建立一個(gè)明確的安全要求的部件功能集合。功能集合分類(lèi)為部件（Components）、族（Families）和類(lèi)（Classes）。第三部分安全保證要求，用標(biāo)準(zhǔn)化的方法對(duì)評(píng)價(jià)目標(biāo)建立一個(gè)明確的安全要求的保證部件的集合。對(duì)保護(hù)方案和安全目標(biāo)進(jìn)行定義，并且對(duì)安全評(píng)價(jià)目標(biāo)提出安全評(píng)價(jià)保證級(jí)別（EAL）。CC標(biāo)準(zhǔn)將安全等級(jí)劃分為1-7安全等級(jí)，EAL1：功能測(cè)試；EAL2：結(jié)構(gòu)測(cè)試；EAL3：方法測(cè)試與檢驗(yàn)；EAL4：方法設(shè)計(jì)措施與評(píng)審；EAL5：半形式化設(shè)計(jì)與測(cè)試；EAL6：半形式化驗(yàn)證設(shè)計(jì)與測(cè)試；EAL7：形式化驗(yàn)證和測(cè)試。2024/5/11主講：趙洋課程：信息安全概論57評(píng)估標(biāo)準(zhǔn)間的關(guān)系TCSEC主要規(guī)范了計(jì)算機(jī)操作系統(tǒng)和主機(jī)的安全要求，側(cè)重于對(duì)保密性的要求。該標(biāo)準(zhǔn)至今對(duì)評(píng)估計(jì)算機(jī)安全仍然具有現(xiàn)實(shí)意義