【正文】 。 我國(guó)信息安全建設(shè)的現(xiàn)狀 ? 有關(guān)信息安全方面的研究近幾年也異?；钴S ， 各種學(xué)術(shù)會(huì)議相繼召開 ， 已出版許多專著 、 論文 ， 在有關(guān)高等院校已建立了向關(guān)系所 、 開設(shè)了相關(guān)課程 ， 并開始培養(yǎng)自己的碩士 、 博士研究生 。 信息對(duì)抗和信息防護(hù)是其核心熱點(diǎn) ， 它的研究和發(fā)展又將刺激 、 推動(dòng)和促進(jìn)相關(guān)學(xué)科的研究和發(fā)展 。 我國(guó)信息安全建設(shè)的現(xiàn)狀 ? 國(guó)內(nèi)開發(fā)研制的一些防火墻 、 安全路由器 、 安全網(wǎng)關(guān) 、“ 黑客 ” 入侵檢測(cè) 、 系統(tǒng)弱點(diǎn)掃描軟件等在完善性 、 規(guī)范性 、 實(shí)用性方面還存許多不足 ， 特別是在多平臺(tái)的兼容性 、 多協(xié)議的適應(yīng)性 、 多接口的滿足性方面與先進(jìn)國(guó)家產(chǎn)品和系統(tǒng)相比還存在很大差距 。 ? 成立了信息安全措施促進(jìn)辦公室，綜合安全保障閣僚會(huì)議、 IT安全專家委員會(huì)和內(nèi)閣辦公室下的 IT安全分局。 日本 ? 出臺(tái) 《 21世紀(jì)信息通信構(gòu)想 》 和 《 信息通信產(chǎn)業(yè)技術(shù)戰(zhàn)略 》 ，強(qiáng)調(diào) “ 信息安全保障是日本綜合安全保障體系的核心 ” 。 ? 2022年普京總統(tǒng)批準(zhǔn)了 《 國(guó)家信息安全學(xué)說 》 ，明確了聯(lián)邦信息安全建設(shè)的任務(wù)、原則和主要內(nèi)容。 ? 1997年出臺(tái) 《 俄羅斯國(guó)家安全構(gòu)想 》 。分析了美國(guó)關(guān)鍵基礎(chǔ)設(shè)施所面臨的威脅，確定了計(jì)劃的目標(biāo)和范圍，制定出聯(lián)邦政府關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃（民用機(jī)構(gòu)和國(guó)防部），以及私營(yíng)部門、洲和地方政府的關(guān)鍵基礎(chǔ)設(shè)施保障框架。 只有提高全體人員的信息安全意識(shí) ，才能真正增強(qiáng)整個(gè)信息系統(tǒng)的安全效能 。 ?在封閉環(huán)境或?qū)Ｓ镁W(wǎng)特別是涉密網(wǎng)絡(luò)系統(tǒng)中 ， 各用戶單位應(yīng)建立相應(yīng)的信息安全管理規(guī)則 ， 確定大家共同遵循的規(guī)范 ， 以加強(qiáng)內(nèi)部管理 ， 保證信息安全技術(shù)按預(yù)定的安全設(shè)計(jì)無差錯(cuò)運(yùn)行 。 其中用戶口令的保管對(duì)系統(tǒng)安全至關(guān)重要 。 先進(jìn)的技術(shù) 當(dāng)前普遍采用的新技術(shù)大致有：規(guī)?；荑€管理技術(shù) 、 虛擬網(wǎng)技術(shù) 、 防火墻技術(shù) 、 入侵監(jiān)控技術(shù) 、 安全漏洞掃描技術(shù) 、 網(wǎng)絡(luò)防病毒技術(shù) 、 加密技術(shù) 、 鑒別和數(shù)字簽名技術(shù)等 ， 可以綜合應(yīng)用 ， 構(gòu)成多層次的網(wǎng)絡(luò)安全解決方案 。 ?特定的安全系統(tǒng)是一個(gè)實(shí)在的運(yùn)行系統(tǒng) ， 應(yīng)當(dāng)以量化的指標(biāo)來衡量其效益或損失 。 ?應(yīng)當(dāng)把安全所投入的經(jīng)費(fèi)和所帶來的效益作一詳細(xì)的分析 。 ?需求的準(zhǔn)確性 ?用戶首先對(duì)自身系統(tǒng)所面臨的威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估，決定所需要的安全服務(wù)，選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)，提供可靠的安全功能，形成一個(gè)良好的信息安全方案，并能正確實(shí)現(xiàn)，就能在享受網(wǎng)絡(luò)信息化優(yōu)勢(shì)的同時(shí)，把風(fēng)險(xiǎn)減到最小。以上兩方面我國(guó)的信息安全標(biāo)準(zhǔn)化工作與國(guó)際已有的工作比較 ，覆蓋的方面還不夠大 ， 宏觀和微觀的指導(dǎo)作用存在一定的差距 。 ?此外 ， 我國(guó)一些對(duì)信息安全要求高的行業(yè)和一些信息安全管理負(fù)有責(zé)任的部門 ， 也制定了一些有關(guān)信息安全的行業(yè)標(biāo)準(zhǔn)和部門標(biāo)準(zhǔn) 。 我國(guó)信息安全標(biāo)準(zhǔn)化工作 ?從 80年代中期開始 ， 在制定我國(guó)的安全標(biāo)準(zhǔn)時(shí) ， 也盡量與國(guó)際環(huán)境相適應(yīng) ， 自主制定和采用了一批相應(yīng)的信息安全標(biāo)準(zhǔn) 。 SET(secure Electronic Transaction) ?SET是 Visa， MasterCard合作開發(fā)的用于開放網(wǎng)絡(luò)進(jìn)行電子支付的安全協(xié)議 ， 用于保護(hù)商店和銀行之間的支付信息 。 ?其不同點(diǎn)是在客戶和服務(wù)器之間包含了幾個(gè)短的報(bào)文數(shù)據(jù) ， 鑒別和加密使用不同的密鑰 ， 并且提供了某種防火墻的功能 。 ?它基于 WWW， 提供保密 、 鑒別或認(rèn)證 、 完整性和不可否認(rèn)等服務(wù) ，保證在 Web上交換的媒體文本的安全 。 已經(jīng)公布的PKCS有： ?PKCS1 定義了使用 RSA公開密鑰加密數(shù)據(jù)的結(jié)構(gòu) ?PKCS3 定義了一個(gè) DiffieHellmen密鑰交換協(xié)議 ?PKCS5 描述了由私鑰衍生口令字加密序列的方法 ?PKCS6 描述了一個(gè)包括 X． 509證書的擴(kuò)展證書的格式 ?PKCS7 定義了一個(gè)用密碼加強(qiáng)數(shù)字簽名和加密的通用報(bào)文語(yǔ)法 ?PKCS8 描述了一個(gè)私鑰信息的格式 ， 它包括了某些公開密鑰密碼算法的私鑰和一個(gè)屬性可選的集合 ?PKCS9 定義了為使用其它 PKCS標(biāo)準(zhǔn)的選擇屬性的類別 ?PKCS10 定義了一個(gè)鑒別要求的語(yǔ)法 ?PKCS11 為諸如智能卡和 PCMCIA卡定義了一個(gè)獨(dú)立于技術(shù)的編程接口 SSL(Secure Socket Layer Handshake Protocol) ?SSL協(xié)議是 Netscape公司開發(fā)的用于 WWW上的會(huì)話層安全協(xié)議 ?它保護(hù)傳遞于用戶瀏覽器和 Web服務(wù)器之間的敏感數(shù)據(jù) ， 通過超文本傳輸協(xié)議 (HTTP)或安全的超文本協(xié)議 (SHTTP)把密碼應(yīng)用于超文本環(huán)境中 ， 從而提供多種安全服務(wù) 。 這個(gè)機(jī)構(gòu)是當(dāng)前信息安全技術(shù)標(biāo)準(zhǔn)領(lǐng)域中 最具影響力 的標(biāo)準(zhǔn)化機(jī)構(gòu) 。 ?NIST通過信息技術(shù)實(shí)驗(yàn)室 (ITL—Information .)提供技術(shù)指南 ， 協(xié)調(diào)政府在這一領(lǐng)域的開發(fā)標(biāo)準(zhǔn) ， 制定聯(lián)邦政府計(jì)算機(jī)系統(tǒng)有效保證敏感信息安全的規(guī)范 。 ?由于信息安全問題已經(jīng)成為 Inter使用的關(guān)鍵 ， 近年來 RFC中出現(xiàn)了大量的有關(guān)安全的草案 。 該組織的機(jī)構(gòu)如下： （ 1） （ 2） （ 3） （ 4） （ 5） （ 6） （ 7） （ 8） Inter體系結(jié)構(gòu)委員會(huì)（ IAB） ?IAB根據(jù) Inter的發(fā)展來制定技術(shù)規(guī)范 。 （ 1） 報(bào)文源鑒別 （ Message origin authentication） （ 2） 探尋源鑒別 （ Probe origin authentication） （ 3） 報(bào)告源鑒別服務(wù) （ Report origin authentication） （ 4） 投遞證明服務(wù) （ Proof of delivery） （ 5） 提交證明服務(wù) （ Proof of submission） （ 6） 安全訪問管理 （ Secure access management） （ 7） 內(nèi)容完整性服務(wù) （ Conent integrity） 報(bào)文處理系統(tǒng) MHS(Message Handling System)協(xié)議 報(bào)文處理系統(tǒng) MHS(Message Handling System)協(xié)議 （ 8） 內(nèi)容機(jī)密性服務(wù) （ Content confidentiality） （ 9） 報(bào)文流機(jī)密性服務(wù) （ Message flow confidentiality） （ 10） 報(bào)文序列完整性服務(wù) （ Message seguence integrity） （ 11） 數(shù)據(jù)源抗否認(rèn)服務(wù) （ Nonrepudiation of origin） （ 12） 投抵抗否認(rèn)服務(wù) （ Nonrepudiation of delivery） （ 13） 提交抗否認(rèn)服務(wù) （ Nonrepudiation of submission） （ 14） 報(bào)文安全標(biāo)號(hào)服務(wù) （ Message security labelling） 國(guó)際信息處理聯(lián)合會(huì)第十一技術(shù)委員會(huì)（ IFIP TC11） ?該組織也是國(guó)際上有重要影響的有關(guān)信息系統(tǒng)安全的國(guó)際組織 。 國(guó)際電報(bào)和電話咨詢委員會(huì) (CCITT) ?CCITT(Consulatative Committ International Telegraph and Telephone)是一個(gè)聯(lián)合國(guó)條約組織 ， 屬于國(guó)際電信聯(lián)盟 ， 由主要成員國(guó)的郵政 、 電報(bào)和電話當(dāng)局組成 （ 美國(guó)在這一委員會(huì)的成員是美國(guó)國(guó)務(wù)院 ） ， 主要從事設(shè)計(jì)通信領(lǐng)域的接口和通信協(xié)議的制定 。 ISO信息安全機(jī)構(gòu) ?ISO/IEC/JTC1 SC6 開放系統(tǒng)互連 （ OSI） 網(wǎng)絡(luò)層和傳輸層； ISO/TC46 信息系統(tǒng)安全 SC14 電子數(shù)據(jù)交換 （ EDI） 安全； ISO/TC65 要害保險(xiǎn)安全 SC17 標(biāo)示卡和信用卡安全； ISO/TC68 銀行系統(tǒng)安全 SC18 文本和辦公系統(tǒng)安全； ISO/TC154 EDI安全 SC21 OSI的信息恢復(fù) 、 傳輸和管理； SC22 操作系統(tǒng)安全； SC27 信息技術(shù)安全； ?ISO對(duì)信息系統(tǒng)的安全體系結(jié)構(gòu)制訂了 OSI基本參考模型 ISO74982。 ?它負(fù)責(zé)制定廣泛的技術(shù)標(biāo)準(zhǔn) ， 為世界各國(guó)的技術(shù)共享和技術(shù)質(zhì)量保證起著導(dǎo)向和把關(guān)的作用 。 沒有標(biāo)準(zhǔn)就沒有規(guī)范 ， 無規(guī)范就無法形成規(guī)模化信息安全產(chǎn)業(yè) ， 無法生產(chǎn)出滿足信息社會(huì)廣泛需求的產(chǎn)品；沒有標(biāo)準(zhǔn)同時(shí)無法規(guī)范人們的安全防范行為