【正文】 考慮 ?CPU的考慮 。 應(yīng)用層中實(shí)現(xiàn)安全機(jī)制有以下好處： 1） 應(yīng)用層是人 機(jī)交流的地方 ， 控制機(jī)制實(shí)現(xiàn)非常靈活 。 安全內(nèi)核是多用戶操作系統(tǒng)必備的內(nèi)部控制系統(tǒng) 。 作到保護(hù)的重點(diǎn)明確 ， 保護(hù)的層次清楚 。 ?物理漏洞：不嚴(yán)格的工地的進(jìn)出控制不可靠的環(huán)境控制 （ 空調(diào) ， 供水 ） ， 不可靠的電源和防火措施； ? 人員漏洞：貪欲 ， 欺詐 ， 賄賂： ? 管理漏洞：不完善的 ， 前后矛盾的 ， 不適當(dāng)?shù)囊?guī)定 ， 制度 ， 政策； ? 硬件漏洞：信號(hào)輻射； ? 軟件漏洞：錯(cuò)誤的響應(yīng) ， 不能備份 ， 不能升級(jí)； ? 網(wǎng)絡(luò)漏洞：缺對(duì)干擾 ， 竊聽的防范措施；缺乏路由多余度； 風(fēng)險(xiǎn) 分析 任何系統(tǒng)都作風(fēng)險(xiǎn)分析 ， 安全系統(tǒng)也一樣 。 監(jiān)視響應(yīng) 對(duì)事件進(jìn)行監(jiān)視 ， 同時(shí)作出必要的響應(yīng) ， 最起碼的響應(yīng)應(yīng)是恢復(fù) 。 ISO信息安全機(jī)構(gòu) ?ISO/IEC/JTC1 SC6 開放系統(tǒng)互連 （ OSI） 網(wǎng)絡(luò)層和傳輸層； ISO/TC46 信息系統(tǒng)安全 SC14 電子數(shù)據(jù)交換 （ EDI） 安全； ISO/TC65 要害保險(xiǎn)安全 SC17 標(biāo)示卡和信用卡安全； ISO/TC68 銀行系統(tǒng)安全 SC18 文本和辦公系統(tǒng)安全； ISO/TC154 EDI安全 SC21 OSI的信息恢復(fù) 、 傳輸和管理； SC22 操作系統(tǒng)安全； SC27 信息技術(shù)安全； ?ISO對(duì)信息系統(tǒng)的安全體系結(jié)構(gòu)制訂了 OSI基本參考模型 ISO74982。 ?由于信息安全問(wèn)題已經(jīng)成為 Inter使用的關(guān)鍵 ， 近年來(lái) RFC中出現(xiàn)了大量的有關(guān)安全的草案 。 ?它基于 WWW， 提供保密 、 鑒別或認(rèn)證 、 完整性和不可否認(rèn)等服務(wù) ，保證在 Web上交換的媒體文本的安全 。 ?此外 ， 我國(guó)一些對(duì)信息安全要求高的行業(yè)和一些信息安全管理負(fù)有責(zé)任的部門 ， 也制定了一些有關(guān)信息安全的行業(yè)標(biāo)準(zhǔn)和部門標(biāo)準(zhǔn) 。 ?特定的安全系統(tǒng)是一個(gè)實(shí)在的運(yùn)行系統(tǒng) ， 應(yīng)當(dāng)以量化的指標(biāo)來(lái)衡量其效益或損失 。 只有提高全體人員的信息安全意識(shí) ，才能真正增強(qiáng)整個(gè)信息系統(tǒng)的安全效能 。 日本 ? 出臺(tái) 《 21世紀(jì)信息通信構(gòu)想 》 和 《 信息通信產(chǎn)業(yè)技術(shù)戰(zhàn)略 》 ，強(qiáng)調(diào) “ 信息安全保障是日本綜合安全保障體系的核心 ” 。 我國(guó)信息安全建設(shè)的現(xiàn)狀 ? 有關(guān)信息安全方面的研究近幾年也異?；钴S ， 各種學(xué)術(shù)會(huì)議相繼召開 ， 已出版許多專著 、 論文 ， 在有關(guān)高等院校已建立了向關(guān)系所 、 開設(shè)了相關(guān)課程 ， 并開始培養(yǎng)自己的碩士 、 博士研究生 。 信息對(duì)抗和信息防護(hù)是其核心熱點(diǎn) ， 它的研究和發(fā)展又將刺激 、 推動(dòng)和促進(jìn)相關(guān)學(xué)科的研究和發(fā)展 。 ? 2022年普京總統(tǒng)批準(zhǔn)了 《 國(guó)家信息安全學(xué)說(shuō) 》 ，明確了聯(lián)邦信息安全建設(shè)的任務(wù)、原則和主要內(nèi)容。 ?在封閉環(huán)境或?qū)Ｓ镁W(wǎng)特別是涉密網(wǎng)絡(luò)系統(tǒng)中 ， 各用戶單位應(yīng)建立相應(yīng)的信息安全管理規(guī)則 ， 確定大家共同遵循的規(guī)范 ， 以加強(qiáng)內(nèi)部管理 ， 保證信息安全技術(shù)按預(yù)定的安全設(shè)計(jì)無(wú)差錯(cuò)運(yùn)行 。 ?應(yīng)當(dāng)把安全所投入的經(jīng)費(fèi)和所帶來(lái)的效益作一詳細(xì)的分析 。 我國(guó)信息安全標(biāo)準(zhǔn)化工作 ?從 80年代中期開始 ， 在制定我國(guó)的安全標(biāo)準(zhǔn)時(shí) ， 也盡量與國(guó)際環(huán)境相適應(yīng) ， 自主制定和采用了一批相應(yīng)的信息安全標(biāo)準(zhǔn) 。 已經(jīng)公布的PKCS有： ?PKCS1 定義了使用 RSA公開密鑰加密數(shù)據(jù)的結(jié)構(gòu) ?PKCS3 定義了一個(gè) DiffieHellmen密鑰交換協(xié)議 ?PKCS5 描述了由私鑰衍生口令字加密序列的方法 ?PKCS6 描述了一個(gè)包括 X． 509證書的擴(kuò)展證書的格式 ?PKCS7 定義了一個(gè)用密碼加強(qiáng)數(shù)字簽名和加密的通用報(bào)文語(yǔ)法 ?PKCS8 描述了一個(gè)私鑰信息的格式 ， 它包括了某些公開密鑰密碼算法的私鑰和一個(gè)屬性可選的集合 ?PKCS9 定義了為使用其它 PKCS標(biāo)準(zhǔn)的選擇屬性的類別 ?PKCS10 定義了一個(gè)鑒別要求的語(yǔ)法 ?PKCS11 為諸如智能卡和 PCMCIA卡定義了一個(gè)獨(dú)立于技術(shù)的編程接口 SSL(Secure Socket Layer Handshake Protocol) ?SSL協(xié)議是 Netscape公司開發(fā)的用于 WWW上的會(huì)話層安全協(xié)議 ?它保護(hù)傳遞于用戶瀏覽器和 Web服務(wù)器之間的敏感數(shù)據(jù) ， 通過(guò)超文本傳輸協(xié)議 (HTTP)或安全的超文本協(xié)議 (SHTTP)把密碼應(yīng)用于超文本環(huán)境中 ， 從而提供多種安全服務(wù) 。 該組織的機(jī)構(gòu)如下： （ 1） （ 2） （ 3） （ 4） （ 5） （ 6） （ 7） （ 8） Inter體系結(jié)構(gòu)委員會(huì)（ IAB） ?IAB根據(jù) Inter的發(fā)展來(lái)制定技術(shù)規(guī)范 。 ?它負(fù)責(zé)制定廣泛的技術(shù)標(biāo)準(zhǔn) ， 為世界各國(guó)的技術(shù)共享和技術(shù)質(zhì)量保證起著導(dǎo)向和把關(guān)的作用 。 防護(hù)措施 防護(hù)措施包括物理防護(hù)和邏輯防護(hù) 。 如果說(shuō)威脅分析是一般性的 ， 那么漏洞分析則是具體的 。 ?因此安全評(píng)估應(yīng)是系統(tǒng)開銷 ， 性價(jià)比等綜合平衡的結(jié)果 ， 應(yīng)以滿足需求為根本目的 。 對(duì)我國(guó)來(lái)說(shuō)是一個(gè)薄弱環(huán)節(jié) 。 在這個(gè)部位開展的工作非?；钴S ， 含蓋面也非常廣 ， 從應(yīng)用層到鏈路層 ， 從探測(cè)設(shè)備到安全網(wǎng)關(guān)等出入關(guān)控制設(shè)備等 。在使用這個(gè)網(wǎng)絡(luò)時(shí)，并不是所有用戶都是誠(chéng)實(shí)的、可信的，同時(shí)也可能由于系統(tǒng)故障等原因使信息丟失、遲到等，這很可能引起責(zé)任問(wèn)題，為了解決這個(gè)問(wèn)題，就需要有一個(gè)各方都信任的實(shí)體 ——公證機(jī)構(gòu)，如同一個(gè)國(guó)家設(shè)立的公證機(jī)構(gòu)一樣，提供公證服務(wù)，仲裁出現(xiàn)的問(wèn)題。 ?密碼技術(shù)：將交換的數(shù)據(jù)加密，只有合法用戶才能解密，得出有意義的明文。 ?審計(jì)跟蹤系統(tǒng)將產(chǎn)生報(bào)警信號(hào)或形成部分追蹤審計(jì)信息 。 安全機(jī)制 ?加密機(jī)制 ?數(shù)字簽名機(jī)制 ?訪問(wèn)控制機(jī)制 ?數(shù)據(jù)完整性機(jī)制 ?交換鑒別機(jī)制 ?業(yè)務(wù)流量填充機(jī)制 ?路由控制機(jī)制 ?公證機(jī)制 加密機(jī)制 ?加密是提供數(shù)據(jù)保密的最常用方法。 完整性 (integrity) ?可恢復(fù)的連接完整性：該服務(wù)對(duì)一個(gè)連接上的所有用戶數(shù)據(jù)的完整性提供保障 ， 而且對(duì)任何服務(wù)數(shù)據(jù)單元的修改 、 插入 、 刪除或重放都可使之復(fù)原 。 ?信息流安全：即對(duì)可能從觀察信息流就能推導(dǎo)出的信息提供保密 。 密級(jí)劃分只是多級(jí)控制的一部分 。 拒絕服務(wù)攻擊 ? 破壞設(shè)備的正常運(yùn)行和管理 。 信息源 信息目的地 偽造威脅 ?一個(gè)非授權(quán)方將偽造的客體插入系統(tǒng)中 ， 破壞真實(shí)性 （ authenticity） 的攻擊 。 ? 侵入的目標(biāo)是一位安全專家，他編寫的特殊安全工具對(duì)公眾是保密的。 “黑客 ” ? Richard Stallman ? GNU計(jì)劃的創(chuàng)始人 ? Dennis Richie、 Ken Thompson and Brian Kernighan ? Unix和 C語(yǔ)言的開發(fā)者 ? Linus Torvalds ? Linux Kernel開發(fā)者 “入侵者 ” ? Kevin Mitink ? 從電話耗子開始，入侵過(guò)軍事、金融、軟件公司和其他技術(shù)公司。 ? “ 蠕蟲 ” 的作者 Robert Morris ，接受三年監(jiān)護(hù)并被罰款。 TCP/IP協(xié)議為計(jì)算機(jī)間互連互通，及各種通信奠定了公共標(biāo)準(zhǔn)。 黑客和入侵者 “黑客 ” （ Hacker）指對(duì)于任何計(jì)算機(jī)操作系統(tǒng)奧秘都有強(qiáng)烈興趣的人。 究竟誰(shuí)會(huì)被入侵 ? “被入侵 ” 的含義 ? “ 被入侵 ” 指的是網(wǎng)絡(luò)遭受非法闖入的情況。 ? 開放的網(wǎng)絡(luò)外部環(huán)境 – 越來(lái)越多的基于網(wǎng)絡(luò)的應(yīng)用 – 企業(yè)的業(yè)務(wù)要求網(wǎng)絡(luò)連接的不間斷性 ? 來(lái)自內(nèi)部的安全隱患 ? 有限的防御措施 ?錯(cuò)誤的實(shí)現(xiàn)、錯(cuò)誤的安全配置 ?糟糕的管理和培訓(xùn) ?黑客的攻擊 網(wǎng)絡(luò)風(fēng)險(xiǎn)難以消除 目 錄 1. 網(wǎng)絡(luò)的發(fā)展和變化 2. 網(wǎng)絡(luò)安全現(xiàn)狀 3. 網(wǎng)絡(luò)安全威脅 4. 網(wǎng)絡(luò)安全服務(wù) 5. 安全標(biāo)準(zhǔn)和組織 6. 安全保障 威脅類型 ? 信息安全包括數(shù)據(jù)安全和系統(tǒng)安全 ? 數(shù)據(jù)安全受到四個(gè)方面的威脅 ? 設(shè)信息是從源地址流向目的地址，那么正常的信息流向是： 信息源 信息目的地 中斷威脅 ? 使在用信息系統(tǒng)毀壞或不能使用的攻擊，破壞可用性（ availability）。 ? 在鑒別過(guò)程中 ， 獲取有效鑒別序列 ， 在以后冒名重播的方式獲得部分特權(quán) 。 ? 另外一種是將整個(gè)網(wǎng)絡(luò)擾亂 ， 擾亂的方法