【正文】 otocol) ?SSL協(xié)議是 Netscape公司開發(fā)的用于 WWW上的會話層安全協(xié)議 ?它保護傳遞于用戶瀏覽器和 Web服務(wù)器之間的敏感數(shù)據(jù) ， 通過超文本傳輸協(xié)議 (HTTP)或安全的超文本協(xié)議 (SHTTP)把密碼應(yīng)用于超文本環(huán)境中 ， 從而提供多種安全服務(wù) 。 ?其不同點是在客戶和服務(wù)器之間包含了幾個短的報文數(shù)據(jù) ， 鑒別和加密使用不同的密鑰 ， 并且提供了某種防火墻的功能 。 我國信息安全標準化工作 ?從 80年代中期開始 ， 在制定我國的安全標準時 ， 也盡量與國際環(huán)境相適應(yīng) ， 自主制定和采用了一批相應(yīng)的信息安全標準 。以上兩方面我國的信息安全標準化工作與國際已有的工作比較 ，覆蓋的方面還不夠大 ， 宏觀和微觀的指導作用存在一定的差距 。 ?應(yīng)當把安全所投入的經(jīng)費和所帶來的效益作一詳細的分析 。 先進的技術(shù) 當前普遍采用的新技術(shù)大致有：規(guī)?；荑€管理技術(shù) 、 虛擬網(wǎng)技術(shù) 、 防火墻技術(shù) 、 入侵監(jiān)控技術(shù) 、 安全漏洞掃描技術(shù) 、 網(wǎng)絡(luò)防病毒技術(shù) 、 加密技術(shù) 、 鑒別和數(shù)字簽名技術(shù)等 ， 可以綜合應(yīng)用 ， 構(gòu)成多層次的網(wǎng)絡(luò)安全解決方案 。 ?在封閉環(huán)境或?qū)Ｓ镁W(wǎng)特別是涉密網(wǎng)絡(luò)系統(tǒng)中 ， 各用戶單位應(yīng)建立相應(yīng)的信息安全管理規(guī)則 ， 確定大家共同遵循的規(guī)范 ， 以加強內(nèi)部管理 ， 保證信息安全技術(shù)按預(yù)定的安全設(shè)計無差錯運行 。分析了美國關(guān)鍵基礎(chǔ)設(shè)施所面臨的威脅，確定了計劃的目標和范圍，制定出聯(lián)邦政府關(guān)鍵基礎(chǔ)設(shè)施保護計劃（民用機構(gòu)和國防部），以及私營部門、洲和地方政府的關(guān)鍵基礎(chǔ)設(shè)施保障框架。 ? 2022年普京總統(tǒng)批準了 《 國家信息安全學說 》 ，明確了聯(lián)邦信息安全建設(shè)的任務(wù)、原則和主要內(nèi)容。 ? 成立了信息安全措施促進辦公室，綜合安全保障閣僚會議、 IT安全專家委員會和內(nèi)閣辦公室下的 IT安全分局。 信息對抗和信息防護是其核心熱點 ， 它的研究和發(fā)展又將刺激 、 推動和促進相關(guān)學科的研究和發(fā)展 。 。 我國信息安全建設(shè)的現(xiàn)狀 ? 有關(guān)信息安全方面的研究近幾年也異?；钴S ， 各種學術(shù)會議相繼召開 ， 已出版許多專著 、 論文 ， 在有關(guān)高等院校已建立了向關(guān)系所 、 開設(shè)了相關(guān)課程 ， 并開始培養(yǎng)自己的碩士 、 博士研究生 。 我國信息安全建設(shè)的現(xiàn)狀 ? 國內(nèi)開發(fā)研制的一些防火墻 、 安全路由器 、 安全網(wǎng)關(guān) 、“ 黑客 ” 入侵檢測 、 系統(tǒng)弱點掃描軟件等在完善性 、 規(guī)范性 、 實用性方面還存許多不足 ， 特別是在多平臺的兼容性 、 多協(xié)議的適應(yīng)性 、 多接口的滿足性方面與先進國家產(chǎn)品和系統(tǒng)相比還存在很大差距 。 日本 ? 出臺 《 21世紀信息通信構(gòu)想 》 和 《 信息通信產(chǎn)業(yè)技術(shù)戰(zhàn)略 》 ，強調(diào) “ 信息安全保障是日本綜合安全保障體系的核心 ” 。 ? 1997年出臺 《 俄羅斯國家安全構(gòu)想 》 。 只有提高全體人員的信息安全意識 ，才能真正增強整個信息系統(tǒng)的安全效能 。 其中用戶口令的保管對系統(tǒng)安全至關(guān)重要 。 ?特定的安全系統(tǒng)是一個實在的運行系統(tǒng) ， 應(yīng)當以量化的指標來衡量其效益或損失 。 ?需求的準確性 ?用戶首先對自身系統(tǒng)所面臨的威脅進行風險評估，決定所需要的安全服務(wù)，選擇相應(yīng)的安全機制，然后集成先進的安全技術(shù)，提供可靠的安全功能，形成一個良好的信息安全方案，并能正確實現(xiàn)，就能在享受網(wǎng)絡(luò)信息化優(yōu)勢的同時，把風險減到最小。 ?此外 ， 我國一些對信息安全要求高的行業(yè)和一些信息安全管理負有責任的部門 ， 也制定了一些有關(guān)信息安全的行業(yè)標準和部門標準 。 SET(secure Electronic Transaction) ?SET是 Visa， MasterCard合作開發(fā)的用于開放網(wǎng)絡(luò)進行電子支付的安全協(xié)議 ， 用于保護商店和銀行之間的支付信息 。 ?它基于 WWW， 提供保密 、 鑒別或認證 、 完整性和不可否認等服務(wù) ，保證在 Web上交換的媒體文本的安全 。 這個機構(gòu)是當前信息安全技術(shù)標準領(lǐng)域中 最具影響力 的標準化機構(gòu) 。 ?由于信息安全問題已經(jīng)成為 Inter使用的關(guān)鍵 ， 近年來 RFC中出現(xiàn)了大量的有關(guān)安全的草案 。 （ 1） 報文源鑒別 （ Message origin authentication） （ 2） 探尋源鑒別 （ Probe origin authentication） （ 3） 報告源鑒別服務(wù) （ Report origin authentication） （ 4） 投遞證明服務(wù) （ Proof of delivery） （ 5） 提交證明服務(wù) （ Proof of submission） （ 6） 安全訪問管理 （ Secure access management） （ 7） 內(nèi)容完整性服務(wù) （ Conent integrity） 報文處理系統(tǒng) MHS(Message Handling System)協(xié)議 報文處理系統(tǒng) MHS(Message Handling System)協(xié)議 （ 8） 內(nèi)容機密性服務(wù) （ Content confidentiality） （ 9） 報文流機密性服務(wù) （ Message flow confidentiality） （ 10） 報文序列完整性服務(wù) （ Message seguence integrity） （ 11） 數(shù)據(jù)源抗否認服務(wù) （ Nonrepudiation of origin） （ 12） 投抵抗否認服務(wù) （ Nonrepudiation of delivery） （ 13） 提交抗否認服務(wù) （ Nonrepudiation of submission） （ 14） 報文安全標號服務(wù) （ Message security labelling） 國際信息處理聯(lián)合會第十一技術(shù)委員會（ IFIP TC11） ?該組織也是國際上有重要影響的有關(guān)信息系統(tǒng)安全的國際組織 。 ISO信息安全機構(gòu) ?ISO/IEC/JTC1 SC6 開放系統(tǒng)互連 （ OSI） 網(wǎng)絡(luò)層和傳輸層； ISO/TC46 信息系統(tǒng)安全 SC14 電子數(shù)據(jù)交換 （ EDI） 安全； ISO/TC65 要害保險安全 SC17 標示卡和信用卡安全； ISO/TC68 銀行系統(tǒng)安全 SC18 文本和辦公系統(tǒng)安全； ISO/TC154 EDI安全 SC21 OSI的信息恢復 、 傳輸和管理； SC22 操作系統(tǒng)安全； SC27 信息技術(shù)安全； ?ISO對信息系統(tǒng)的安全體系結(jié)構(gòu)制訂了 OSI基本參考模型 ISO74982。 沒有標準就沒有規(guī)范 ， 無規(guī)范就無法形成規(guī)?；畔踩a(chǎn)業(yè) ， 無法生產(chǎn)出滿足信息社會廣泛需求的產(chǎn)品；沒有標準同時無法規(guī)范人們的安全防范行為 ， 提高全體人員的信息安全意識和整體水平 。 監(jiān)視響應(yīng) 對事件進行監(jiān)視 ， 同時作出必要的響應(yīng) ， 最起碼的響應(yīng)應(yīng)是恢復 。 在價值和損失 （ 風險 ） 之間必須作出權(quán)衡 。 ?物理漏洞：不嚴格的工地的進出控制不可靠的環(huán)境控制 （ 空調(diào) ， 供水 ） ， 不可靠的電源和防火措施； ? 人員漏洞：貪欲 ， 欺詐 ， 賄賂： ? 管理漏洞：不完善的 ， 前后矛盾的 ， 不適當?shù)囊?guī)定 ， 制度 ， 政策； ? 硬件漏洞：信號輻射； ? 軟件漏洞：錯誤的響應(yīng) ， 不能備份 ， 不能升級； ? 網(wǎng)絡(luò)漏洞：缺對干擾 ， 竊聽的防范措施；缺乏路由多余度； 風險 分析 任何系統(tǒng)都作風險分析 ， 安全系統(tǒng)也一樣 。 只有威脅的種類核層次分析清楚才能采取有效的防范措施 。 作到保護的重點明確 ， 保護的層次清楚 。 安全分析 安全需求 ?網(wǎng)絡(luò)安全 ?物理安全 ?人員安全 ?管理安全 ?硬件安全 ?軟件安全 安全 評估 ?安全是實用技術(shù) ， 不能一味追求理論上的完美 ， 理論上完美的東西不一定滿足業(yè)務(wù)需求 。 安全內(nèi)核是多用戶操作系統(tǒng)必備的內(nèi)部控制系統(tǒng) 。 可獨立構(gòu)建內(nèi)部網(wǎng)安全保密協(xié)議 。 應(yīng)用層中實現(xiàn)安全機制有以下好處： 1） 應(yīng)用層是人 機交流的地方 ， 控制機制實現(xiàn)非常靈活 。 目的是建立一個專用秘密通道 ， 防止非法入侵 ， 保證通路的安全 。 安全模式 系統(tǒng)安全一般四層來考慮： ?信息通道上的考慮 ?系統(tǒng)門衛(wèi)的考慮 ?系統(tǒng)內(nèi)部的考慮 ?CPU的考慮 。 ?路由控制機制可使信息發(fā)送者選擇特殊的路由，以保證數(shù)據(jù)安全。常采用的技術(shù)是指紋識別和身份卡等。 交換鑒別機制 交換鑒別是以交換信息的方式來確認實體身份的機制。 ?數(shù)據(jù)單元完整性包括兩個過程，