【文章內(nèi)容簡(jiǎn)介】 衛(wèi)系統(tǒng)、 VPN、 標(biāo)識(shí)和鑒別 /訪(fǎng)問(wèn)控制等。m 有效的監(jiān)督措施包括基于網(wǎng)絡(luò)的如今檢測(cè)系統(tǒng)（ IDS）、 脆弱性?huà)呙杵?、局域網(wǎng)上的病毒檢測(cè)器等。m 這些機(jī)制可以單獨(dú)使用，也可以結(jié)合使用，從而對(duì)邊界內(nèi)的各類(lèi)系統(tǒng)提供保護(hù)。m 雖然邊界的主要作用是防止外來(lái)攻擊，但它也可以來(lái)對(duì)付某些惡意的內(nèi)部人員，這些內(nèi)部人員有可能利用邊界環(huán)境來(lái)發(fā)起攻擊，和通過(guò)開(kāi)放后門(mén) /隱蔽通道來(lái)為外部攻擊提供方便邊界保護(hù)的主要內(nèi)容保衛(wèi)計(jì)算環(huán)境m 計(jì)算環(huán)境保護(hù)關(guān)注的問(wèn)題是：m 在用戶(hù)進(jìn)入、離開(kāi)或駐留于客戶(hù)機(jī)與服務(wù)器的情況下，采用信息保障技術(shù)保護(hù)其信息的可用性、完整性與隱私。m 保護(hù)計(jì)算硬件與軟件免受攻擊是對(duì)付惡意內(nèi)部攻擊者的首道防線(xiàn)，也是對(duì)付外部攻擊者的最后一道防線(xiàn)。在這兩種情況下，保護(hù)計(jì)算環(huán)境都是信息保障的重要一環(huán)。m 計(jì)算環(huán)境可以位于一個(gè)物理上受保護(hù)的邊界內(nèi)部，也可以是一個(gè)移動(dòng)用戶(hù)的主機(jī)平臺(tái)。m 計(jì)算環(huán)境包括主機(jī)或服務(wù)器應(yīng)用，操作系統(tǒng)和客戶(hù)機(jī) /服務(wù)器硬件。m 目前，深層意義的技術(shù)策略已經(jīng)要求在客戶(hù)機(jī)與服務(wù)器上安裝安全應(yīng)用與安全操作系統(tǒng)，以及基于主機(jī)的監(jiān)視。 應(yīng) 用 環(huán) 境是由 經(jīng)驗(yàn) 豐富的系 統(tǒng) 管理 員 依據(jù)安全原理 進(jìn)行 維護(hù) 并正常運(yùn)行的 UNIX或 WindowsNT 操作系 統(tǒng) 。m 許 多 應(yīng) 用程序具有商 業(yè) 性 質(zhì) ，而且其所用的 編碼語(yǔ) 言會(huì)影響系 統(tǒng) 安全。m 本 節(jié) 指出了 C、 C++、 一些腳本 語(yǔ) 言（如 CGI、 PERL、 JavaScript和 Microsoft Macro）、 JAVA和 ActiveX對(duì) 系統(tǒng) 安全可能造成的影響。m 應(yīng) 用 環(huán) 境假定程序開(kāi) 發(fā) 代 碼 中沒(méi)有漏洞。應(yīng)用環(huán)境應(yīng)用環(huán)境m 操作系 統(tǒng) 提供用 戶(hù) 共享硬件 資 源的能力，也支持以某種編碼語(yǔ) 言完成的 軟 件在不同平臺(tái)上具有通用性。m 對(duì) 于操作系 統(tǒng)應(yīng)該 向信息系 統(tǒng) 與 應(yīng) 用安全提供的基本機(jī)制與性能，桔皮 書(shū) 、通用運(yùn)行 環(huán) 境（ COE） 和 CC中均有說(shuō) 明。m 桔皮 書(shū) 等一些出版物 規(guī) 定的操作系 統(tǒng) 安全功能由不含密碼 功能的可信 軟 件 實(shí)現(xiàn) 。最近，人 們 開(kāi)始考 慮 在可信操作系 統(tǒng) 中加入密 碼 功能。操作系統(tǒng)環(huán)境操作系統(tǒng)環(huán)境支撐性基礎(chǔ)設(shè)施m 支撐性基礎(chǔ)設(shè)施是一套相關(guān)聯(lián)的活動(dòng)與能夠提供安全服務(wù)的基礎(chǔ)設(shè)施的綜合。m 目前深層的策略定義了兩種支撐基礎(chǔ)設(shè)施 ：m 密鑰管理基礎(chǔ)設(shè)施 /公鑰基礎(chǔ)設(shè)（ KMI/PKI）；m 檢測(cè)、響應(yīng)與恢復(fù)。m KMI/PKI涉及網(wǎng)絡(luò)環(huán)境的各個(gè)環(huán)節(jié)。密鑰管理 /公鑰基礎(chǔ)設(shè)施是密碼服務(wù)的基礎(chǔ)。m 本地的 KMI/PKI提供本地授權(quán)，m 廣域網(wǎng)范圍的 KMI/PKI提供證書(shū)、目錄，以及密鑰產(chǎn)生與發(fā)布功能。m PKI提供不同級(jí)別的信息保護(hù)。其主要特色之一是提供普遍意義的互操作。m 檢測(cè)與響應(yīng)基礎(chǔ)設(shè)施中的組成部分提供攻擊預(yù)警等功能。m 構(gòu)建檢測(cè)與響應(yīng)基礎(chǔ)設(shè)施需要許多功能的支持，目前的技術(shù)解決方案無(wú)法自動(dòng)實(shí)現(xiàn)這些功能。因此，許多功能只能由分析員、網(wǎng)絡(luò)操作員與系統(tǒng)管理員負(fù)責(zé)實(shí)現(xiàn)。m PKI受到的攻擊有：m 預(yù)謀破壞m 通信干擾與篡改m 設(shè)計(jì)與實(shí)施缺陷m 操作員錯(cuò)誤m 操作員偽裝m 操作員行為不軌或受到脅迫m 可以采取的保護(hù)措施包括 ：m 物理保護(hù)m 對(duì)設(shè)計(jì)改良m 測(cè)試m 培訓(xùn)m 強(qiáng)認(rèn)證m 訪(fǎng)問(wèn)控制m 加密m 意外事件計(jì)劃 /系統(tǒng)備份m 多人控制m 審計(jì)m 個(gè)人選擇與監(jiān)視潛在的攻擊和可能的對(duì)策小結(jié)（重點(diǎn)記憶）mOSI安全體系m5種服務(wù)；m 服務(wù)以及機(jī)制在 7層上的實(shí)現(xiàn)；m 與 TCP/IP模型的對(duì)應(yīng)關(guān)系；m信息保障技術(shù)框架m 信息保障的內(nèi)容m 深度防御的內(nèi)涵三、技術(shù)機(jī)制類(lèi)安全標(biāo)準(zhǔn) 加密機(jī)制m ?算法注冊(cè) (ISO/IEC 9979:1999)m ?64位塊加密算法操作方式（ GB/T 15277 idt ISO 8372）m ?n位塊加密算法操作方式（ GB/T 17964 idt ISO/IEC 10116）m ?隨機(jī)比特生成 (ISO/IEC WD 18031:2023)m ?素?cái)?shù)生成 (ISO/IEC WD 18032:2023)m ?密鑰管理 第 1部分：框架（ GB 179011:1999 idt ISO/IEC :1996）m ?密鑰管理 第 2部分：使用對(duì)稱(chēng)技術(shù)的機(jī)制 (ISO/IEC :1998）m ?密鑰管理 第 3部分：使用非對(duì)稱(chēng)技術(shù)的機(jī)制 (ISO/IEC :1998） 簽名機(jī)制m ?帶消息恢復(fù)的數(shù)字簽名方案 (GB/T 15852： 1995 idt ISO/IEC 9796)m ?帶附錄的數(shù)字簽名 (GB/T 17902 idt ISO/IEC 14888)m ?散列函數(shù)（ ISO/IEC 10118）技術(shù)機(jī)制類(lèi)安全標(biāo)準(zhǔn)－續(xù) 完整性機(jī)制m ?作密碼校驗(yàn)函數(shù)的數(shù)據(jù)完整性機(jī)制 (GB 15852:1995 idt ISO/IEC 9797)m ?消息鑒別碼（ ISO/IEC 9797）m ?校驗(yàn)字符系統(tǒng) (ISO/IEC CD 7064: 1999) 鑒別機(jī)制m ?實(shí)體鑒別（ GB/T 15843 idt ISO/IEC 9798）m ?目錄鑒別框架 (ISO/IEC 95948:1997|ITUT ) 訪(fǎng)問(wèn)控制機(jī)制m ?安全信息對(duì)象 (ISO/IEC FDIS 15816: 1999) 抗抵賴(lài)機(jī)制m ?抗抵賴(lài)（ GB/T 17903:1999 idt ISO/IEC 13888： 1998）m ?時(shí)間戳服務(wù) (ISO/IEC WD 18014:2023) 路由選擇控制機(jī)制 通信業(yè)務(wù)填充機(jī)制m ?網(wǎng)絡(luò)層安全協(xié)議（ GB/T 17963： 2023 idt ISO/IEC 11577： 1995）技術(shù)機(jī)制類(lèi)安全標(biāo)準(zhǔn)－續(xù) 2 公證機(jī)制m ?可信第三方服務(wù)管理指南 (ISO/IEC FDIS 14516: 1999)m ?可信第三方服務(wù)規(guī)范 (ISO/IEC FDIS 15945: 1999)可信功能度1事件檢測(cè)和報(bào)警m ?IT入侵檢測(cè)框架 (ISO/IEC PDTR 15947: 1999)1安全審計(jì)跟蹤1安全標(biāo)記m ?用戶(hù)接口安全標(biāo)記m ?數(shù)據(jù)管理安全標(biāo)記m ?數(shù)據(jù)交換安全標(biāo)記m ?數(shù)據(jù)通信安全標(biāo)記m ?操作系統(tǒng)安全標(biāo)記1 安全恢復(fù)四、應(yīng)用類(lèi)安全標(biāo)準(zhǔn)m應(yīng)用基礎(chǔ)m應(yīng)用產(chǎn)品m應(yīng)用系統(tǒng)m特殊行業(yè)（ 1） 物理環(huán)境和保障m ?計(jì)算機(jī)場(chǎng)地通用規(guī)范（ GB/T2887： 2023）m ?計(jì)算機(jī)場(chǎng)地安全要求（ GB9361： 1988）m ?計(jì)算機(jī)機(jī)房用活動(dòng)地板技術(shù)條件 (GB66501986)m ?電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 (GB501741993)m ?計(jì)算機(jī)信息系統(tǒng)防雷保安器 (GA17398)m ?電磁泄露發(fā)射m ?電磁兼容m ?低壓電氣及電子設(shè)備發(fā)出的諧波電流限值（設(shè)備每相輸入電流 ≤16A） (GB)m ?電磁兼容 限值 對(duì)額定電流不大于 16A的設(shè)備在低壓供電系統(tǒng)中產(chǎn)生的電壓波動(dòng)和閃爍的限制 ()m ?電磁干擾m ?信息技術(shù)設(shè)備的無(wú)線(xiàn)電騷擾極限值和測(cè)量方法 (GB92541998)m ?信息技術(shù)設(shè)備抗擾度限值和測(cè)量方法 (GB176181998)物理環(huán)境涉及到的標(biāo)準(zhǔn)：計(jì)算站場(chǎng)地安全要求（ GB936188）計(jì)算站場(chǎng)地技術(shù)要求（ GB28872023）計(jì)算機(jī)信息系統(tǒng)防雷保安器（ GA17398）計(jì)算機(jī)機(jī)房用活動(dòng)地板技術(shù)條件（ GB665086）軍用通信設(shè)備及系統(tǒng)安全要求（ GJZB663）計(jì)算站場(chǎng)地是計(jì)算機(jī)系統(tǒng)的安置地點(diǎn)，計(jì)算機(jī)供電、空調(diào)以及該系統(tǒng)的維修人員和工作人員的工作場(chǎng)所。(1）計(jì)算機(jī)機(jī)房安全等級(jí)劃分m A類(lèi)，有完善的計(jì)算機(jī)機(jī)房安全措施m B類(lèi)，有較完善的計(jì)算機(jī)機(jī)房安全措施m C類(lèi)，有基本的計(jì)算機(jī)機(jī)房安全措施應(yīng)用基礎(chǔ)標(biāo)準(zhǔn)－續(xù) 1（ 2） 信息處理m ?應(yīng)用軟件安全m ?應(yīng)用硬件安全（ GB4843： 1995）m ?應(yīng)用平臺(tái)安全m ?軟件工程服務(wù) (接口 GSSAPI/POSIX)m ?操作系統(tǒng)安全 (評(píng)估 GB17859|TCSEC/鑒別 /分布式計(jì)算服務(wù) )m ?數(shù)據(jù)庫(kù)安全 (ISO/IEC9579:200)m ?電子郵件安全 (S/MIME/PEM/PGP/)m ?WEB安全（ SHTTP/SSL/PCT）m ?DNS安全m ?TELNET安全m ?文件傳輸系統(tǒng)m ?目錄系統(tǒng)（ ）m ?文電處理系統(tǒng) ()應(yīng)用基礎(chǔ)標(biāo)準(zhǔn)－續(xù) 2（ 3） 信息傳輸m 端系統(tǒng)安全m 主機(jī)安全 (服務(wù)器 )m 安全算法（序列 /分組 /公開(kāi)）m PKI/證書(shū)管理體系m 證書(shū)輪廓 ()m 操作協(xié)議 (LDAP|RFC2559/2587)m 交換格式 (PKCS12)m 應(yīng)用程序接口 (PKCS11)m 密碼算法 (PKCS1/FIPS463/FIPS1801/……)m 網(wǎng)絡(luò)安全m IT網(wǎng)絡(luò)安全（ ISO/IECWD18028:2023）m LAN安全m LAN/WAN安全 (SILS)m Intra安全m Inter安全m 網(wǎng)絡(luò)安全指南m 網(wǎng)絡(luò)管理（ SNMP）m IPSecm 物理層安全（ GB15278：1994）m 鏈路層加密m 應(yīng)用層安全（ ISDN安全/CORBA安全 /…… ）m ?安全協(xié)議m 安全數(shù)據(jù)交換協(xié)議 IEEEm 密鑰管理協(xié)議 IEEEm 消息安全協(xié)議m 傳輸層安全協(xié)議（ ISO10736）m 應(yīng)用層安全協(xié)議（ ISO11577）應(yīng)用基礎(chǔ)標(biāo)準(zhǔn)－續(xù) 3（ 4）信息存儲(chǔ)m 媒體安全m 場(chǎng)地安全（ 5）人機(jī)接口（ 6）計(jì)算機(jī)病毒防治（ 7）安全工程和服務(wù)（ 8）安全信息交換語(yǔ)法規(guī)則m 商用密碼產(chǎn)品m 防火墻 (GB18019/GB18020)—— 保護(hù)輪廓（ PP）m 應(yīng)用代理服務(wù)器 (GB17900)m 安全路由器 (GB18018)m 電子商務(wù) CAm 智能卡m IC卡 (ISO/IEC7816/7813)m 安全服務(wù)器m 話(huà)音保密設(shè)備m 數(shù)據(jù)保密設(shè)備m 傳真保密設(shè)備m 入侵檢測(cè)產(chǎn)品安全m 安全審計(jì)產(chǎn)品m 安全交換機(jī)m 安全 VPNm 安全 PC卡m 網(wǎng)絡(luò)轉(zhuǎn)換設(shè)備m?電子商務(wù)m?支付型m?非支付型m?電子政務(wù)m?金融處理系統(tǒng)m?證券交易系統(tǒng)m?涉密系統(tǒng)m?遠(yuǎn)程醫(yī)療m?遠(yuǎn)程協(xié)作m?EDI（ 1） 金融交易安全m ISO8730:1990m ISO87311:1987