【正文】 技術(shù)安全評估標準（ ITSEC）與TCSEC不同 ,它并不把保密措施直接與計算機功能相聯(lián)系 ,而是只敘述技術(shù)安全的要求 ,把保密作為安全增強功能。 ITSEC預(yù)定義了 10種功能 ,其中前 5種與桔皮書中的 C1～ B3級相似。 , February 11, 2023 ? 雨中黃葉樹，燈下白頭人。 :45:3201:45:32February 11, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國見青山。 2023年 2月 11日星期六 1時 45分 32秒 01:45:3211 February 2023 ? 1做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。 :45:3201:45Feb2311Feb23 ? 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 。 , February 11, 2023 ? 閱讀一切好書如同和過去最杰出的人談話。勝人者有力，自勝者強。 2023年 2月 11日星期六 1時 45分 32秒 01:45:3211 February 2023 ? 1一個人即使已登上頂峰，也仍要自強不息。 2023年 2月 11日星期六 上午 1時 45分 32秒 01:45: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。 :45:3201:45Feb2311Feb23 ? 1越是無能的人，越喜歡挑剔別人的錯兒。 2023年 2月 11日星期六 1時 45分 32秒 01:45:3211 February 2023 ? 1空山新雨后，天氣晚來秋。 :45:3201:45:32February 11, 2023 ? 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 , February 11, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 。 :45:3201:45Feb2311Feb23 ? 1故人江海別，幾度隔山川。該準則將信息系統(tǒng)安全分為 5個等級 ? 自主保護級：相當于 C1級 ? 系統(tǒng)審計保護級：相當于 C2級 ? 安全標記保護級：相當于 B1級 屬于強制保護 ? 結(jié)構(gòu)化保護級 :相當于 B2級 ? 訪問驗證保護級：相當于 B3~A1級 實際應(yīng)用中主要考核的安全指標有身份認證 、 訪問控制 、 數(shù)據(jù)完整性和機密性 、 安全審計 、 隱蔽信道分析等 。 ? TCSEC把保密作為安全的重點 ,而 ITSEC則把完整性、可用性與機密性作為同等重要的因素。 ? B3類：安全域，支持系統(tǒng)恢復(fù)。 ? C1類：自主訪問控制機制。分為 4個方面 :安全政策、可說明性、安全保障和文檔。 59 武漢大學(xué)國際軟件學(xué)院 2023s ? 知識產(chǎn)權(quán)侵犯（內(nèi)容產(chǎn)品轉(zhuǎn)發(fā)、盜用、賺錢） ? 名譽權(quán)侵犯 ? 隱私權(quán)侵犯（ 10個數(shù)據(jù)庫 /個人，隱私成為非法商品） ? 消費權(quán)糾紛（延誤、差錯、否認、風(fēng)險） ? 網(wǎng)上避稅（ 5億英磅 /年，流失、轉(zhuǎn)移） ? 網(wǎng)上非法賭博 ? 網(wǎng)上色情資訊 ? 網(wǎng)上非法聯(lián)絡(luò)（密碼郵件、 P2P、 信息隱藏） 信息安全與國家安全 —社會穩(wěn)定 60 武漢大學(xué)國際軟件學(xué)院 2023s ? 有組織、大規(guī)模的網(wǎng)絡(luò)攻擊預(yù)謀行為 ? 網(wǎng)絡(luò)恐怖活動 —— 恐怖集團行為 ? 信息戰(zhàn)爭 —— 國家行為 ? 針對信息要害目標的惡性破壞 ? 無硝煙的戰(zhàn)爭 ? 跨國界、隱蔽性、低花費、跨領(lǐng)域 ? 高技術(shù)性、情報不確定性 ? 要害目標 ? 金融支付中心、證券交易中心 ? 空中交管中心、鐵路調(diào)度中心 ? 電信網(wǎng)管中心、軍事指揮中心 ? 電力調(diào)度中心、關(guān)鍵信息基礎(chǔ)設(shè)施 信息安全與國家安全 —信息戰(zhàn) 61 武漢大學(xué)國際軟件學(xué)院 2023s 不安全的原因 ? 社會因素 ? 進行網(wǎng)絡(luò)攻擊變得越來越簡單 ? 越來越多的個人或公司連入 Inter ? 用戶缺乏安全意識和安全知識 62 武漢大學(xué)國際軟件學(xué)院 2023s 不安全的原因 ? 技術(shù)因素 ? Inter的設(shè)計思想：開放式、流動的和可訪問、異構(gòu)的網(wǎng)絡(luò)；網(wǎng)絡(luò)允許部分匿名用戶 ? 專用主義： ActiveX、組件 ? 技術(shù)泄密 63 武漢大學(xué)國際軟件學(xué)院 2023s 黑客 (Hacker) ? Richard Stallman ? GNU計劃的創(chuàng)始人 ? Dennis Richie、 Ken Thompson and Brian Kernighan ? Unix和 C語言的開發(fā)者 ? Linus Torvalds ? Linux Kernel開發(fā)者 64 武漢大學(xué)國際軟件學(xué)院 2023s 安全隱患 ? 硬件的安全隱患 ? 操作系統(tǒng)安全隱患 ? 網(wǎng)絡(luò)協(xié)議的安全隱患 ? 數(shù)據(jù)庫系統(tǒng)安全隱患 ? 計算機病毒 ? 管理疏漏，內(nèi)部作案 65 武漢大學(xué)國際軟件學(xué)院 2023s 100%安全的神話 開 銷 風(fēng) 險 性 能 66 武漢大學(xué)國際軟件學(xué)院 2023s 我國信息安全建設(shè)現(xiàn)狀 ? 2023年 5月出版的《國家信息安全報告》指出，我國目前的信息安全度 介于相對安全與輕度不安全之間 。此后幾天里，“愛蟲”病毒所造成的損失還以每天 10億美元到 15億美元的速度增加。有人估計經(jīng)濟損失高達近 12億。 ? 992023年 5月 8號，美國轟炸我國駐南聯(lián)盟大使館后。 ? 利用型攻擊：以控制對方系統(tǒng)為我所用為主要目標。 ? 拒絕服務(wù)攻擊 ? 攻擊者通過大量消耗網(wǎng)絡(luò)帶寬資源來阻止合法的用戶對資源的訪問。 ? 破壞可用性 41 武漢大學(xué)國際軟件學(xué)院 2023s 分布式拒絕服務(wù) (DDOS) ? 以破壞系統(tǒng)或網(wǎng)絡(luò)的可用性為目標 ? 常用的工具： ? Trin00, ? TFN/TFN2K, ? Stacheldraht ? 很難防范 ? 偽造源地址，流量加密，因此很難跟蹤 client target handler ... agent ... DoS ICMP Flood / SYN Flood / UDP Flood 42 武漢大學(xué)國際軟件學(xué)院 2023s 攻擊方式 ? 竊聽報文 ? 利用設(shè)備和程序從設(shè)備、網(wǎng)絡(luò)中獲取敏感的數(shù)據(jù)。 31 武漢大學(xué)國際軟件學(xué)院 2023s 非否認性 (Nonrepudiation) ? 源發(fā)證明 ? 提供給信息接收者以證據(jù)，使發(fā)送者無法否認發(fā)送過這些信息或者否認它的內(nèi)容的行為 ? 交付證明 ? 提供給信息發(fā)送者以證據(jù)，使接收者無法否認接收過這些信息或者否認它的內(nèi)容的行為 ? 數(shù)字簽名（ Digital Signature） 32 武漢大學(xué)國際軟件學(xué)院 2023s 安全威脅 ? 外部攻擊 ? 攻擊者來自該計算系統(tǒng)的外部 ? 內(nèi)部攻擊 ? 當攻擊者是那些有權(quán)使用計算機，但無權(quán)訪問某些特定的數(shù)據(jù)、程序或資源的