【正文】 otocol) ?SSL協(xié)議是 Netscape公司開發(fā)的用于 WWW上的會(huì)話層安全協(xié)議 ?它保護(hù)傳遞于用戶瀏覽器和 Web服務(wù)器之間的敏感數(shù)據(jù) ， 通過超文本傳輸協(xié)議 (HTTP)或安全的超文本協(xié)議 (SHTTP)把密碼應(yīng)用于超文本環(huán)境中 ， 從而提供多種安全服務(wù) 。 ?其不同點(diǎn)是在客戶和服務(wù)器之間包含了幾個(gè)短的報(bào)文數(shù)據(jù) ， 鑒別和加密使用不同的密鑰 ， 并且提供了某種防火墻的功能 。 我國信息安全標(biāo)準(zhǔn)化工作 ?從 80年代中期開始 ， 在制定我國的安全標(biāo)準(zhǔn)時(shí) ， 也盡量與國際環(huán)境相適應(yīng) ， 自主制定和采用了一批相應(yīng)的信息安全標(biāo)準(zhǔn) 。以上兩方面我國的信息安全標(biāo)準(zhǔn)化工作與國際已有的工作比較 ，覆蓋的方面還不夠大 ， 宏觀和微觀的指導(dǎo)作用存在一定的差距 。 ?應(yīng)當(dāng)把安全所投入的經(jīng)費(fèi)和所帶來的效益作一詳細(xì)的分析 。 先進(jìn)的技術(shù) 當(dāng)前普遍采用的新技術(shù)大致有：規(guī)模化密鑰管理技術(shù) 、 虛擬網(wǎng)技術(shù) 、 防火墻技術(shù) 、 入侵監(jiān)控技術(shù) 、 安全漏洞掃描技術(shù) 、 網(wǎng)絡(luò)防病毒技術(shù) 、 加密技術(shù) 、 鑒別和數(shù)字簽名技術(shù)等 ， 可以綜合應(yīng)用 ， 構(gòu)成多層次的網(wǎng)絡(luò)安全解決方案 。 ?在封閉環(huán)境或?qū)Ｓ镁W(wǎng)特別是涉密網(wǎng)絡(luò)系統(tǒng)中 ， 各用戶單位應(yīng)建立相應(yīng)的信息安全管理規(guī)則 ， 確定大家共同遵循的規(guī)范 ， 以加強(qiáng)內(nèi)部管理 ， 保證信息安全技術(shù)按預(yù)定的安全設(shè)計(jì)無差錯(cuò)運(yùn)行 。分析了美國關(guān)鍵基礎(chǔ)設(shè)施所面臨的威脅，確定了計(jì)劃的目標(biāo)和范圍，制定出聯(lián)邦政府關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃（民用機(jī)構(gòu)和國防部），以及私營部門、洲和地方政府的關(guān)鍵基礎(chǔ)設(shè)施保障框架。 ? 2022年普京總統(tǒng)批準(zhǔn)了 《 國家信息安全學(xué)說 》 ，明確了聯(lián)邦信息安全建設(shè)的任務(wù)、原則和主要內(nèi)容。 ? 成立了信息安全措施促進(jìn)辦公室，綜合安全保障閣僚會(huì)議、 IT安全專家委員會(huì)和內(nèi)閣辦公室下的 IT安全分局。 信息對(duì)抗和信息防護(hù)是其核心熱點(diǎn) ， 它的研究和發(fā)展又將刺激 、 推動(dòng)和促進(jìn)相關(guān)學(xué)科的研究和發(fā)展 。 。 我國信息安全建設(shè)的現(xiàn)狀 ? 有關(guān)信息安全方面的研究近幾年也異?；钴S ， 各種學(xué)術(shù)會(huì)議相繼召開 ， 已出版許多專著 、 論文 ， 在有關(guān)高等院校已建立了向關(guān)系所 、 開設(shè)了相關(guān)課程 ， 并開始培養(yǎng)自己的碩士 、 博士研究生 。 我國信息安全建設(shè)的現(xiàn)狀 ? 國內(nèi)開發(fā)研制的一些防火墻 、 安全路由器 、 安全網(wǎng)關(guān) 、“ 黑客 ” 入侵檢測 、 系統(tǒng)弱點(diǎn)掃描軟件等在完善性 、 規(guī)范性 、 實(shí)用性方面還存許多不足 ， 特別是在多平臺(tái)的兼容性 、 多協(xié)議的適應(yīng)性 、 多接口的滿足性方面與先進(jìn)國家產(chǎn)品和系統(tǒng)相比還存在很大差距 。 日本 ? 出臺(tái) 《 21世紀(jì)信息通信構(gòu)想 》 和 《 信息通信產(chǎn)業(yè)技術(shù)戰(zhàn)略 》 ，強(qiáng)調(diào) “ 信息安全保障是日本綜合安全保障體系的核心 ” 。 ? 1997年出臺(tái) 《 俄羅斯國家安全構(gòu)想 》 。 只有提高全體人員的信息安全意識(shí) ，才能真正增強(qiáng)整個(gè)信息系統(tǒng)的安全效能 。 其中用戶口令的保管對(duì)系統(tǒng)安全至關(guān)重要 。 ?特定的安全系統(tǒng)是一個(gè)實(shí)在的運(yùn)行系統(tǒng) ， 應(yīng)當(dāng)以量化的指標(biāo)來衡量其效益或損失 。 ?需求的準(zhǔn)確性 ?用戶首先對(duì)自身系統(tǒng)所面臨的威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估，決定所需要的安全服務(wù)，選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)，提供可靠的安全功能，形成一個(gè)良好的信息安全方案，并能正確實(shí)現(xiàn)，就能在享受網(wǎng)絡(luò)信息化優(yōu)勢的同時(shí)，把風(fēng)險(xiǎn)減到最小。 ?此外 ， 我國一些對(duì)信息安全要求高的行業(yè)和一些信息安全管理負(fù)有責(zé)任的部門 ， 也制定了一些有關(guān)信息安全的行業(yè)標(biāo)準(zhǔn)和部門標(biāo)準(zhǔn) 。 SET(secure Electronic Transaction) ?SET是 Visa， MasterCard合作開發(fā)的用于開放網(wǎng)絡(luò)進(jìn)行電子支付的安全協(xié)議 ， 用于保護(hù)商店和銀行之間的支付信息 。 ?它基于 WWW， 提供保密 、 鑒別或認(rèn)證 、 完整性和不可否認(rèn)等服務(wù) ，保證在 Web上交換的媒體文本的安全 。 這個(gè)機(jī)構(gòu)是當(dāng)前信息安全技術(shù)標(biāo)準(zhǔn)領(lǐng)域中 最具影響力 的標(biāo)準(zhǔn)化機(jī)構(gòu) 。 ?由于信息安全問題已經(jīng)成為 Inter使用的關(guān)鍵 ， 近年來 RFC中出現(xiàn)了大量的有關(guān)安全的草案 。 （ 1） 報(bào)文源鑒別 （ Message origin authentication） （ 2） 探尋源鑒別 （ Probe origin authentication） （ 3） 報(bào)告源鑒別服務(wù) （ Report origin authentication） （ 4） 投遞證明服務(wù) （ Proof of delivery） （ 5） 提交證明服務(wù) （ Proof of submission） （ 6） 安全訪問管理 （ Secure access management） （ 7） 內(nèi)容完整性服務(wù) （ Conent integrity） 報(bào)文處理系統(tǒng) MHS(Message Handling System)協(xié)議 報(bào)文處理系統(tǒng) MHS(Message Handling System)協(xié)議 （ 8） 內(nèi)容機(jī)密性服務(wù) （ Content confidentiality） （ 9） 報(bào)文流機(jī)密性服務(wù) （ Message flow confidentiality） （ 10） 報(bào)文序列完整性服務(wù) （ Message seguence integrity） （ 11） 數(shù)據(jù)源抗否認(rèn)服務(wù) （ Nonrepudiation of origin） （ 12） 投抵抗否認(rèn)服務(wù) （ Nonrepudiation of delivery） （ 13） 提交抗否認(rèn)服務(wù) （ Nonrepudiation of submission） （ 14） 報(bào)文安全標(biāo)號(hào)服務(wù) （ Message security labelling） 國際信息處理聯(lián)合會(huì)第十一技術(shù)委員會(huì)（ IFIP TC11） ?該組織也是國際上有重要影響的有關(guān)信息系統(tǒng)安全的國際組織 。 ISO信息安全機(jī)構(gòu) ?ISO/IEC/JTC1 SC6 開放系統(tǒng)互連 （ OSI） 網(wǎng)絡(luò)層和傳輸層； ISO/TC46 信息系統(tǒng)安全 SC14 電子數(shù)據(jù)交換 （ EDI） 安全； ISO/TC65 要害保險(xiǎn)安全 SC17 標(biāo)示卡和信用卡安全； ISO/TC68 銀行系統(tǒng)安全 SC18 文本和辦公系統(tǒng)安全； ISO/TC154 EDI安全 SC21 OSI的信息恢復(fù) 、 傳輸和管理； SC22 操作系統(tǒng)安全； SC27 信息技術(shù)安全； ?ISO對(duì)信息系統(tǒng)的安全體系結(jié)構(gòu)制訂了 OSI基本參考模型 ISO74982。 沒有標(biāo)準(zhǔn)就沒有規(guī)范 ， 無規(guī)范就無法形成規(guī)模化信息安全產(chǎn)業(yè) ， 無法生產(chǎn)出滿足信息社會(huì)廣泛需求的產(chǎn)品；沒有標(biāo)準(zhǔn)同時(shí)無法規(guī)范人們的安全防范行為 ， 提高全體人員的信息安全意識(shí)和整體水平 。 監(jiān)視響應(yīng) 對(duì)事件進(jìn)行監(jiān)視 ， 同時(shí)作出必要的響應(yīng) ， 最起碼的響應(yīng)應(yīng)是恢復(fù) 。 在價(jià)值和損失 （ 風(fēng)險(xiǎn) ） 之間必須作出權(quán)衡 。 ?物理漏洞：不嚴(yán)格的工地的進(jìn)出控制不可靠的環(huán)境控制 （ 空調(diào) ， 供水 ） ， 不可靠的電源和防火措施； ? 人員漏洞：貪欲 ， 欺詐 ， 賄賂： ? 管理漏洞：不完善的 ， 前后矛盾的 ， 不適當(dāng)?shù)囊?guī)定 ， 制度 ， 政策； ? 硬件漏洞：信號(hào)輻射； ? 軟件漏洞：錯(cuò)誤的響應(yīng) ， 不能備份 ， 不能升級(jí)； ? 網(wǎng)絡(luò)漏洞：缺對(duì)干擾 ， 竊聽的防范措施；缺乏路由多余度； 風(fēng)險(xiǎn) 分析 任何系統(tǒng)都作風(fēng)險(xiǎn)分析 ， 安全系統(tǒng)也一樣 。 只有威脅的種類核層次分析清楚才能采取有效的防范措施 。 作到保護(hù)的重點(diǎn)明確 ， 保護(hù)的層次清楚 。 安全分析 安全需求 ?網(wǎng)絡(luò)安全 ?物理安全 ?人員安全 ?管理安全 ?硬件安全 ?軟件安全 安全 評(píng)估 ?安全是實(shí)用技術(shù) ， 不能一味追求理論上的完美 ， 理論上完美的東西不一定滿足業(yè)務(wù)需求 。 安全內(nèi)核是多用戶操作系統(tǒng)必備的內(nèi)部控制系統(tǒng) 。 可獨(dú)立構(gòu)建內(nèi)部網(wǎng)安全保密協(xié)議 。 應(yīng)用層中實(shí)現(xiàn)安全機(jī)制有以下好處： 1） 應(yīng)用層是人 機(jī)交流的地方 ， 控制機(jī)制實(shí)現(xiàn)非常靈活 。 目的是建立一個(gè)專用秘密通道 ， 防止非法入侵 ， 保證通路的安全 。 安全模式 系統(tǒng)安全一般四層來考慮： ?信息通道上的考慮 ?系統(tǒng)門衛(wèi)的考慮 ?系統(tǒng)內(nèi)部的考慮 ?CPU的考慮 。 ?路由控制機(jī)制可使信息發(fā)送者選擇特殊的路由，以保證數(shù)據(jù)安全。常采用的技術(shù)是指紋識(shí)別和身份卡等。 交換鑒別機(jī)制 交換鑒別是以交換信息的方式來確認(rèn)實(shí)體身份的機(jī)制。 ?數(shù)據(jù)單元完整性包括兩個(gè)過程，