《[精选]网络安全和防火墙 第1部分 安全的概念、安全标准和安全组织32614.pptx》由会员分享,可在线阅读,更多相关《[精选]网络安全和防火墙 第1部分 安全的概念、安全标准和安全组织32614.pptx(67页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、CIW网络安全认证体系2006 VCampus Corporation All Rights Reserved.网络安全基础与防火墙网络安全基础与防火墙2006 VCampus Corporation All Rights Reserved.第一单元第一单元什么是安全什么是安全学习目标学习目标理解有关安全的定义理解有关安全的定义理解网络安全的必要性理解网络安全的必要性识别需要保护的资源识别需要保护的资源识别常见的安全威胁类型识别常见的安全威胁类型了解如何建立有效的安全矩阵了解如何建立有效的安全矩阵安全的定义安全的定义随着计算机网络的发展,保护网络安全也变得随着计算机网络的发展,保护网络安全也变
2、得更加复杂,对于网络来说,可以定义安全为一更加复杂,对于网络来说,可以定义安全为一个持续的过程,目的是提高识别和消除不安全个持续的过程,目的是提高识别和消除不安全因素的能力。因素的能力。谷歌扫描器(Goolag Scanner)免费下载 威胁互联网安全Google又惹麻烦了,知名的计算机黑客组织又惹麻烦了,知名的计算机黑客组织Cult of the Dead Cow(以下简称以下简称CDC)周五表示,该组周五表示,该组织计划提供一个软件工具,利用该软件工具,人们织计划提供一个软件工具,利用该软件工具,人们可以通过谷歌对其它网站进行扫描,寻找这些网站可以通过谷歌对其它网站进行扫描,寻找这些网站的
3、安全漏洞。的安全漏洞。CDC组织称,这个软件工具名为组织称,这个软件工具名为“谷谷歌扫描器歌扫描器”(Goolag Scanner),它是一名黑客的杰,它是一名黑客的杰作,这名黑客使用的名字是作,这名黑客使用的名字是“Johnny I Hack Stuff”,该软件工具可以在其网站上免费下载。,该软件工具可以在其网站上免费下载。想不到吧,用GOOGLE可以进入别人的监视系统哦!2007年网络安全热点回顾“熊猫烧香”病毒作者已被逮捕!-01月 2006年底,年底,“熊猫烧香熊猫烧香”开始在我国互联网上肆虐。开始在我国互联网上肆虐。这是国内制作计算机病毒的第一案,公安部十一局这是国内制作计算机病毒
4、的第一案,公安部十一局和湖北省公安厅副厅长黄洪对此高度重视,要求湖和湖北省公安厅副厅长黄洪对此高度重视,要求湖北网监部门不惜一切代价,拿下此案。北网监部门不惜一切代价,拿下此案。互联网遭受五年以来最大规模黑客袭击-02月 北京时间北京时间2月月7日消息日消息 据国外媒体报道,黑客在周据国外媒体报道,黑客在周二至少已经控制了管理全球互联网流量的二至少已经控制了管理全球互联网流量的13台根服台根服务器中的务器中的3台,这是继台,这是继2002年以来,互联网根服务年以来,互联网根服务器遭到的最严重黑客袭击。器遭到的最严重黑客袭击。有专家称这起非同一般的攻击事件持续了有专家称这起非同一般的攻击事件持续
5、了12个小时个小时后,感染了大量无防备的电脑用户,全世界的电脑后,感染了大量无防备的电脑用户,全世界的电脑专家正忙于应付有渗透入网络致命通道危险的大量专家正忙于应付有渗透入网络致命通道危险的大量数据。数据。取代美国 中国成“恶意软件”头号基地-04月 赛门铁克指出,现今的全球网络攻击有赛门铁克指出,现今的全球网络攻击有33来自美来自美国,恶意网络活动也有国,恶意网络活动也有31,均居全球之首,而第,均居全球之首,而第二位的中国只有二位的中国只有10,德国为,德国为7;同时全球受木;同时全球受木马感染和控制的计算机中有马感染和控制的计算机中有26位于中国。位于中国。温柔地“杀”死你 诺顿误杀事件
6、专题报道-05月 5月月18日,诺顿杀毒软件升级病毒库后,会把日,诺顿杀毒软件升级病毒库后,会把Windows XP系统的关键系统文件当作病毒清除,系统的关键系统文件当作病毒清除,重启后系统将会瘫痪。安装了诺顿重启后系统将会瘫痪。安装了诺顿MS06-070补丁补丁的的XP系统,如果将诺顿升级最新病毒库,则诺顿系统,如果将诺顿升级最新病毒库,则诺顿杀毒软件会把系统文件杀毒软件会把系统文件netapi32.dll、lsasrv.dll隔隔离清除,从而造成系统崩溃。离清除,从而造成系统崩溃。北京警方破获首例DDoS黑客攻击案(组图)-07月 今年今年5月,市公安局网监处接到了网络游戏运营商月,市公安
7、局网监处接到了网络游戏运营商联众公司的报案,该公司托管在北京、上海、石家联众公司的报案,该公司托管在北京、上海、石家庄的多台服务器遭受到庄的多台服务器遭受到200万个不同程度的大流量万个不同程度的大流量DDOS拒绝服务攻击包,长达近一个月,公司经济拒绝服务攻击包,长达近一个月,公司经济损失达数百万元。由于该公司电脑服务器瘫痪,玩损失达数百万元。由于该公司电脑服务器瘫痪,玩家无法登录网站玩网络游戏。公司工程师曾经试图家无法登录网站玩网络游戏。公司工程师曾经试图修改被攻击服务器的修改被攻击服务器的IP地址以躲避攻击,但地址以躲避攻击,但5分钟分钟后攻击随即转向更改后攻击随即转向更改IP后的服务器。
8、民警勘察发现后的服务器。民警勘察发现这些攻击包,这些攻击包,IP来源是伪造的来源是伪造的218XXX和和219XXX段。段。黑客入侵中国游戏中心系统 盗22亿游戏币-08月 利用木马病毒,利用木马病毒,3名网络黑客非法侵入了中国游戏名网络黑客非法侵入了中国游戏中心系统,在中心系统,在3天时间内陆续将天时间内陆续将22亿个游戏金币转亿个游戏金币转入自己控制的游戏账号中,随后将游戏金币以低价入自己控制的游戏账号中,随后将游戏金币以低价出售,共获利人民币出售,共获利人民币14万元万元中国女解码高手十年破译五部顶级密码-09月 MD5密码算法,运算量达到密码算法,运算量达到2的的80次方。即使采用现在
9、最快次方。即使采用现在最快的巨型计算机,也要运算的巨型计算机,也要运算100万年以上才能破解。但王小云和万年以上才能破解。但王小云和她的研究小组用普通的个人电脑,几分钟内就可以找到有效她的研究小组用普通的个人电脑,几分钟内就可以找到有效结果。结果。SHA-1密码算法,由美国专门制定密码算法的标准机构密码算法,由美国专门制定密码算法的标准机构美国国家标准技术研究院与美国国家安全局设计,早在美国国家标准技术研究院与美国国家安全局设计,早在1994年就被推荐给美国政府和金融系统采用,是美国政府目年就被推荐给美国政府和金融系统采用,是美国政府目前应用最广泛的密码算法。前应用最广泛的密码算法。2005年
10、初,王小云和她的研究小年初,王小云和她的研究小组宣布,成功破解组宣布,成功破解SHA-1。崩溃崩溃!密码学的危机密码学的危机,美国,美国新科学家新科学家杂志用这样富有杂志用这样富有惊耸的标题概括王小云里程碑式的成就。因为王小云的出现,惊耸的标题概括王小云里程碑式的成就。因为王小云的出现,美国国家标准与技术研究院宣布,美国政府美国国家标准与技术研究院宣布,美国政府5年内将不再使用年内将不再使用SHA-1,取而代之的是更为先进的新算法,微软、,取而代之的是更为先进的新算法,微软、Sun和和 Atmel等知名公司也纷纷发表各自的应对之策。等知名公司也纷纷发表各自的应对之策。Google大清洗 4万恶
11、意网站被删除-11月 Google于近日清洗了搜索结果中几万个含有恶意于近日清洗了搜索结果中几万个含有恶意软件及代码的网站。这些网站将不再出现在搜索结软件及代码的网站。这些网站将不再出现在搜索结果中。果中。MSN蠕虫病毒借助“圣诞照片传播”-12月12月月18日下午,瑞星全球反病毒监测网截获一个通日下午,瑞星全球反病毒监测网截获一个通过过MSN快速传播的蠕虫病毒,并命名为快速传播的蠕虫病毒,并命名为“MSN圣诞圣诞照片照片(Backdoor.Win32.PBot.a)”。该病毒会大量。该病毒会大量散发散发“My Christmas picture for you”等诱惑性消等诱惑性消息,中毒机
12、器会向息,中毒机器会向MSN上的所有好友发送名为上的所有好友发送名为“photo2007-12.zip”的病毒压缩包,用户运行后就的病毒压缩包,用户运行后就会被感染。会被感染。MSN病毒截图病毒的产业链病毒的产业链病毒在进行着一次可怕的演变,它们不再安病毒在进行着一次可怕的演变,它们不再安于破坏你的系统,销毁你的数据,它们更喜于破坏你的系统,销毁你的数据,它们更喜欢你的财产,关注你的隐私。欢你的财产,关注你的隐私。2007年上半年上半年仅瑞星一家公司就截获新病毒年仅瑞星一家公司就截获新病毒133717个,个,其中木马病毒其中木马病毒83119个,后门病毒个,后门病毒31204个,个,两者之和超
13、过两者之和超过11万,相当于万,相当于2006年同期截年同期截获的新病毒总和。这两类病毒都以侵入用户获的新病毒总和。这两类病毒都以侵入用户电脑,窃取个人资料、银行账号等信息为目电脑,窃取个人资料、银行账号等信息为目的,带有直接的经济利益特征。从统计数据的,带有直接的经济利益特征。从统计数据看来,今年上半年的病毒数量比去年同期增看来,今年上半年的病毒数量比去年同期增加加11.9%。白热化产品时代白热化产品时代2008年的安全产品竞争将彻底进入白热化阶段。在年的安全产品竞争将彻底进入白热化阶段。在2007年各厂商打出的免费牌已经让人闻到了硝烟的年各厂商打出的免费牌已经让人闻到了硝烟的味道。味道。C
14、A(中国中国)的淡出更是体现了竞争的激烈程度。的淡出更是体现了竞争的激烈程度。2008将是创新的一年,所有的安全厂商不再安于换将是创新的一年,所有的安全厂商不再安于换个版本就上市的简单模式,他们将会用更新的技术、个版本就上市的简单模式,他们将会用更新的技术、更贴心的服务来最大限度吸纳客户。战国的时代,更贴心的服务来最大限度吸纳客户。战国的时代,必然需要和平的使者。必然需要和平的使者。主动防御和免费将成为主动防御和免费将成为2008年安全产品的关键词,年安全产品的关键词,产品的网络化也是大势所趋。如今网民更需要的是产品的网络化也是大势所趋。如今网民更需要的是一种服务,他们不再满足于一套产品的简单
15、使用,一种服务,他们不再满足于一套产品的简单使用,也不会像以前一样做产品的簇拥者,消费观念也随也不会像以前一样做产品的簇拥者,消费观念也随之理性。之理性。恶意恶意软件软件的转型的转型2008年恶意软件在行为上将有所改观,但在技术手年恶意软件在行为上将有所改观,但在技术手段上会更加段上会更加“高明高明”。2007年恶意软件在国内的声年恶意软件在国内的声音越来越小,但据卡巴斯基的调查显示,中国仍然音越来越小,但据卡巴斯基的调查显示,中国仍然是恶意软件最多的国家,已经占到全球恶意软件总是恶意软件最多的国家,已经占到全球恶意软件总数的三成。数的三成。Vista的安全模式的安全模式2007年,年,Win
16、dows Vista 并没有替代并没有替代 Windows XP 成为操作系统的继任者。成为操作系统的继任者。2008年这一情况将有年这一情况将有所改观。随着所改观。随着 Service Pack 1 for Windows Vista 的发布也会使更多的用户使用的发布也会使更多的用户使用 Vista。专业黑客攻。专业黑客攻击者和恶意软件开发者将会发现此操作系统对他们击者和恶意软件开发者将会发现此操作系统对他们业务所产生的不利影响,并将探索新的方法以攻克业务所产生的不利影响,并将探索新的方法以攻克这一难题。这一难题。Web 2.0 的威胁论的威胁论以博客、论坛为首的以博客、论坛为首的Web 2
17、.0产品将受到新的安全产品将受到新的安全挑战。在挑战。在2008年将成为病毒和网络钓鱼的主要攻击年将成为病毒和网络钓鱼的主要攻击目标。目标。2007年,许多全球性的社交网站都遭受到不年,许多全球性的社交网站都遭受到不同程度的攻击,其中包括同程度的攻击,其中包括 S 和和 M 两大网站。网络罪犯利用从两大网站。网络罪犯利用从 LinkedIn 等网站窃取的个人信息发动了数次目标等网站窃取的个人信息发动了数次目标精确的攻击。攻击者通过利用用户共享的个人信息,精确的攻击。攻击者通过利用用户共享的个人信息,从而使自己的攻击看起来更加真实可信。从而使自己的攻击看起来更加真实可信。有效的安全矩阵有效的安全
18、矩阵一个合理有效的安全矩阵应该具有如下特点:一个合理有效的安全矩阵应该具有如下特点:允许访问控制允许访问控制 容易使用容易使用 合理的花费合理的花费 灵活性和伸缩性灵活性和伸缩性 优秀的警报和报告优秀的警报和报告 安全投资回报安全投资回报安全投资作为一种特殊投资形式,其目的是降低信安全投资作为一种特殊投资形式,其目的是降低信息安全风险,投资回报主要来自于风险损失的降低。息安全风险,投资回报主要来自于风险损失的降低。保护什么划分需要保护的资源划分需要保护的资源可以将资产划分为可以将资产划分为4 4个资源组:个资源组:终端用户资源终端用户资源网络资源网络资源服务器资源服务器资源信息存储资源信息存储
19、资源终端用户资源终端用户资源许多损害是来自于公司内部,用户操作失误或是缺许多损害是来自于公司内部,用户操作失误或是缺乏安全意识往往会带来严重的安全问题。乏安全意识往往会带来严重的安全问题。网络资源网络资源作为公司主要的通信媒介,网络联系着公司的各方作为公司主要的通信媒介,网络联系着公司的各方面,若黑客侵入了网络,则黑客也可能随意地访问面,若黑客侵入了网络,则黑客也可能随意地访问到各种资源,甚至进行各种极具危害的操作。到各种资源,甚至进行各种极具危害的操作。服务器资源服务器资源用于存储重要资料或是负责安全管理的服务器是最用于存储重要资料或是负责安全管理的服务器是最吸引黑客攻击的,而服务器遭受攻击
20、造成的损失往吸引黑客攻击的,而服务器遭受攻击造成的损失往往也是最大的。往也是最大的。信息存储资源信息存储资源发现信息并获得信息可以认为是黑客行为的最终目发现信息并获得信息可以认为是黑客行为的最终目的,黑客通过各种手段侵入网络,也是为了通过网的,黑客通过各种手段侵入网络,也是为了通过网络来得到他们所要的信息。络来得到他们所要的信息。各种资源易受的攻击各种资源易受的攻击重要重要资资源源潜在的威潜在的威胁胁终端用户资源病毒,木马,Java小程序可以对本地系统造成危险网络资源IP欺骗,系统探测,及获得相关信息服务器资源非授权侵入,截取服务,木马。服务器资源经常成为最主要的目标数据库和信息资源得到商业机
21、密,交易行为,消费者的数据等等潜在的威胁潜在的威胁信息泄密信息泄密 信息被篡改信息被篡改 传输非法信息流传输非法信息流 网络资源的错误使用网络资源的错误使用 非法使用网络资源非法使用网络资源 计算机病毒计算机病毒 网络中存在的不安全因素网络中存在的不安全因素 自然灾害:水灾、火灾、地震等自然灾害:水灾、火灾、地震等人为灾害:战争、纵火、盗窃设备等人为灾害:战争、纵火、盗窃设备等系统物理故障:硬件故障、软件故障、网络故障等系统物理故障:硬件故障、软件故障、网络故障等人为的无意失误:程序设计错误、误操作、无意中人为的无意失误:程序设计错误、误操作、无意中损坏和无意中泄密等损坏和无意中泄密等 人为的
22、恶意攻击:主动攻击、被动攻击人为的恶意攻击:主动攻击、被动攻击 存在百分之百的安全吗存在百分之百的安全吗开开 销销风风 险险性性 能能尽管不可能实现绝对安全,但是仍可以达到某种水尽管不可能实现绝对安全,但是仍可以达到某种水平,使得几乎所有最熟练的和最坚定的黑客也不能平,使得几乎所有最熟练的和最坚定的黑客也不能登录到系统。一个有效的安全策略能够使不安全因登录到系统。一个有效的安全策略能够使不安全因素最小化。素最小化。安全就是在动态环境中寻求平衡的过程安全就是在动态环境中寻求平衡的过程在安全实施的过程中,安全人员所要做的工作就是在安全实施的过程中,安全人员所要做的工作就是在易用性和安全性之间寻求平
23、衡,赋予用户能完成在易用性和安全性之间寻求平衡,赋予用户能完成所有工作的最小权限,以使安全最大化。所有工作的最小权限,以使安全最大化。网络安全的目标网络安全的目标身份真实性:能对通讯实体身份的真实性进行鉴别。身份真实性:能对通讯实体身份的真实性进行鉴别。信息机密性:保证机密信息不会泄露给非授权的人或实体。信息机密性:保证机密信息不会泄露给非授权的人或实体。信息完整性:保证数据的一致性,防止数据被非授权用户或信息完整性:保证数据的一致性,防止数据被非授权用户或 实体建立、修改和破坏。实体建立、修改和破坏。服务可用性:保证合法用户对信息和资源的使用不会被不正服务可用性:保证合法用户对信息和资源的使
24、用不会被不正 当地拒绝。当地拒绝。不可否认性:建立有效的责任机制,防止实体否认其行为。不可否认性:建立有效的责任机制,防止实体否认其行为。系统可控性:能够控制使用资源的人或实体的使用方式。系统可控性:能够控制使用资源的人或实体的使用方式。系统易用性:在满足安全要求的条件下,系统应当操作简系统易用性:在满足安全要求的条件下,系统应当操作简 单、维护方便。单、维护方便。可审查性:可审查性:对出现的网络安全问题提供调查的依据和手对出现的网络安全问题提供调查的依据和手 段。段。2006 VCampus Corporation All Rights Reserved.第二单元第二单元安全标准及组织概况安
25、全标准及组织概况学习目标学习目标了解安全标准的意义了解安全标准的意义ISO 17799/ISO 27001ISO 17799/ISO 27001的主要内容的主要内容了解公共准则了解公共准则熟悉主要的网络安全组织熟悉主要的网络安全组织国际标准化组织国际标准化组织国际标准化组织,简称国际标准化组织,简称ISOISO,是一个全球性的非政,是一个全球性的非政府组织,是国际标准化领域中一个十分重要的组织。府组织,是国际标准化领域中一个十分重要的组织。其任务是促进全球范围内的标准化及其有关活动。其任务是促进全球范围内的标准化及其有关活动。ISO ISO 定义的安全服务定义的安全服务 认证:认证:提供身份验
26、证的过程。提供身份验证的过程。访问控制:访问控制:访问控制确定用户能做些什么。访问控制确定用户能做些什么。数据保密性:数据保密性:保护数据不被未授权的暴露。保护数据不被未授权的暴露。数据完整性:数据完整性:通过检查或维护信息的一致性来通过检查或维护信息的一致性来防止主动的威胁。防止主动的威胁。不可否定性:不可否定性:是防止参与交易的全部或部分的是防止参与交易的全部或部分的抵赖。不可否定性可以防止来自抵赖。不可否定性可以防止来自源端的欺骗。源端的欺骗。安全机制安全机制 安全机制是一种技术,一些软件或实施一个或多个安全机制是一种技术,一些软件或实施一个或多个安全服务的过程安全服务的过程 。特殊安全
27、机制特殊安全机制 加密加密 数字签名机制数字签名机制 访问控制访问控制 数据完整性数据完整性 身份验证身份验证 流量填充流量填充 普通的机制普通的机制 信任功能信任功能 安全标签安全标签 审核跟踪审核跟踪 安全恢复安全恢复 ISO 17799ISO 17799BS 7799-1:1999BS 7799-1:1999被被ISOISO委员会评审、讨论通过,成委员会评审、讨论通过,成为信息安全领域的国际标准为信息安全领域的国际标准ISO/IEC 17799:2000ISO/IEC 17799:2000,于于20052005年年6 6月月1515日发布了日发布了ISO/IEC 17799:2005IS
28、O/IEC 17799:2005版版(全称为信息技术(全称为信息技术安全技术安全技术信息安全管理实践信息安全管理实践规范)。规范)。199519981999.042000.1220022005.62005.10BS7799-2:1998信息安全管理体系规范BS7799:1999BS7799的两个部分进行合并ISO/IEC 17799:2000信息技术信息安全管理实施规则BS7799-2:2002安全管理体系规范与使用指南ISO/IEC 17799:2005信息安全管理体系实施规则ISO/IEC 27001:2005信息技术安全技术信息安全管理体系要求BS7799-1:1995信息安全管理实施规
29、则ISO 17799ISO 17799标准的内容标准的内容信息安全方针信息安全方针 组织安全组织安全 资产的分类与控制资产的分类与控制 人员安全人员安全 物理与环境安全物理与环境安全 通信和运作方式管理通信和运作方式管理 访问控制访问控制 系统开发与维护系统开发与维护 信息安全事件管理信息安全事件管理 业务持续性管理业务持续性管理 符合法律符合法律ISO 17799ISO 17799标准的作用标准的作用ISO/IEC 17799ISO/IEC 17799不是技术性的信息安全操作手册,不是技术性的信息安全操作手册,它讨论的主题很广泛,但对每一项内容的讨论都没它讨论的主题很广泛,但对每一项内容的讨
30、论都没有深入下去,也没有提供足够的信息以帮助组织建有深入下去,也没有提供足够的信息以帮助组织建立信息安全管理体系,还不能满足认证的要求。但立信息安全管理体系,还不能满足认证的要求。但是,作为对各类信息安全主题的高级别概述,它有是,作为对各类信息安全主题的高级别概述,它有助于人们在管理中理解每一类信息安全主题的基础助于人们在管理中理解每一类信息安全主题的基础性问题。性问题。ISO 27001ISO 27001BS 7799-2:2002BS 7799-2:2002,经修订后,于,经修订后,于20052005年年1010月月1515日作日作为国际标准为国际标准ISO/IEC 27001:2005I
31、SO/IEC 27001:2005发布。它规定了建发布。它规定了建立、实施、文件化信息安全管理体系立、实施、文件化信息安全管理体系(ISMS)(ISMS)的要求,的要求,规定了根据单独组织需要定制安全控制的要求。规定了根据单独组织需要定制安全控制的要求。新标准的正式标题是新标准的正式标题是:BS 7799-2:2005(ISO/IEC BS 7799-2:2005(ISO/IEC 27001:2005)27001:2005)信息技术信息技术-安全技术安全技术-信息安全管理体信息安全管理体系系-要求要求 公共准则(公共准则(CCCC)公共准则(公共准则(Common CriteriaCommon
32、 Criteria)是一个标准,它统)是一个标准,它统一了各种各样的地区和国家安全准则。一了各种各样的地区和国家安全准则。CCCC目前是目前是ISOISO国际标准(国际标准(ISIS)1540815408,它是,它是ISOISO的的CC2.1CC2.1版本。版本。CCCC的两个基本功能的两个基本功能 标准化的方法描述安全必要条件,如安全需要、实标准化的方法描述安全必要条件,如安全需要、实现这些需要的产品和系统以及分析和测试这些产品现这些需要的产品和系统以及分析和测试这些产品和系统。和系统。可靠的技术作为评估产品和系统安全特性的基础。可靠的技术作为评估产品和系统安全特性的基础。CCCC的重要概念
33、的重要概念保护概况(保护概况(PPPP)由于IT管理员、用户、产品开发者和其他方创建的文档,定义了一套详细的安全需求。PP文档用于厂商之间进行需求交流。安全目标(安全目标(STST)来自于厂商的一段综述,描述了IT产品或系统可以提供的安全。包括特定产品的信息,解释了特殊产品或系统如何满足PP的需求。评估目标(评估目标(TOETOE)IT产品或系统需要评估,必须使用PP和ST文档列出的特殊安全要求来评估产品。产品还必须按照CC的要求,由一个公认的第三方进行分析和测试。桔皮书桔皮书 可信任计算机标准评估准则(桔皮书)是根据美国可信任计算机标准评估准则(桔皮书)是根据美国国防部开发的计算机安全标准国
34、防部开发的计算机安全标准 。它规定了一些级。它规定了一些级别用于别用于:保护硬件、软件和存储的信息免受攻击。保护硬件、软件和存储的信息免受攻击。它的范围从级别它的范围从级别A A到级别到级别D D,其中,其中A A是最高级别。级是最高级别。级别别A A、B B和和C C还分数字标明的子级别,例如,级别还分数字标明的子级别,例如,级别A A有有A1A1,级别,级别B B有有B1B1、B2B2和和B3B3,级别,级别C C有有C1C1和和C2C2。联邦信息安全管理法案联邦信息安全管理法案联邦信息安全管理法案联邦信息安全管理法案(FISMA)(FISMA)取代了政府信息安取代了政府信息安全改革法案全
35、改革法案(GISRA)(GISRA),并且包含更强的永久性条款,并且包含更强的永久性条款,其中包括对信息安全最低强制标准的要求。其中包括对信息安全最低强制标准的要求。FISMAFISMA确定了安全计划必需的元素,但是没有提供确定了安全计划必需的元素,但是没有提供有关如何达到这些要求的安全基准或指导。有关如何达到这些要求的安全基准或指导。计算机网络安全事件应急小组(计算机网络安全事件应急小组(CERTCERT)国际上著名的应急响应组织国际上著名的应急响应组织 美国计算机紧急事件响应小组协调中心美国计算机紧急事件响应小组协调中心 事件响应与安全组织论坛事件响应与安全组织论坛 亚太地区计算机应急响应
36、组亚太地区计算机应急响应组 欧洲计算机网络研究教育协会欧洲计算机网络研究教育协会 其它有用的网络安全援助机构其它有用的网络安全援助机构网络网络110SANS(SANS(美国系统网络安全协会)SANS(SANS(系统管理、审核、网络、安全系统管理、审核、网络、安全)是信息安全培是信息安全培训和认证最可靠的来源和最大的机构,它也在不断训和认证最可靠的来源和最大的机构,它也在不断发展壮大,并且是最大的免费提供信息安全各方面发展壮大,并且是最大的免费提供信息安全各方面研究文献资料的组织,它具有互联网业务的预警系研究文献资料的组织,它具有互联网业务的预警系统以及互联网威胁监测中心。统以及互联网威胁监测中
37、心。SANSSANS提供各类资源,如每周风险类别及危害等级,提供各类资源,如每周风险类别及危害等级,每周新闻摘要,互联网预警系统以及网络风暴中心每周新闻摘要,互联网预警系统以及网络风暴中心等等 。ISSAISSA信息系统安全协会信息系统安全协会(ISSA)(ISSA)是一个由信息安全专家以是一个由信息安全专家以及相关从业人员组成的一个非营利性质的国际组织。及相关从业人员组成的一个非营利性质的国际组织。ISSAISSA的目标是促进安全管理措施,以确保信息的机的目标是促进安全管理措施,以确保信息的机密性、完整性以及安全传播。它也创建了良好的教密性、完整性以及安全传播。它也创建了良好的教育环境,为全
38、球信息系统安全培养专业人员。育环境,为全球信息系统安全培养专业人员。国家信息安全等级保护标准国家信息安全等级保护标准等级保护基本原理依据依据信息系统信息系统的使命与的使命与目标目标和系统重要程度,将系统划分为不同的和系统重要程度,将系统划分为不同的安全等级安全等级,并综合平衡考虑,并综合平衡考虑系统安全要求系统安全要求、系统所面临、系统所面临安全风险安全风险和和实施实施安全措施安全措施的的成本成本,通过调整和定制,形成不同等级的安全措施,通过调整和定制,形成不同等级的安全措施进行保护进行保护 实行等级保护的目的实行等级保护的目的满足不同行业、信息化发展阶段、不同层次的安全要求满足不同行业、信息
39、化发展阶段、不同层次的安全要求有利于突出重点有利于突出重点有利于控制安全的成本有利于控制安全的成本信息安全保护等级的划分和标准信息安全保护等级的划分和标准 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。信息安全保护等级的划分和标准信息安全保护等级的划分和标准 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。信息安全保护等级的划分和标准信息安全保护等级的划分和标准 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。信息安全保护等级的划分和标准信息安全保护等级的划分和标准 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。信息安全保护等级的划分和标准信息安全保护等级的划分和标准 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。等级化设计方法演讲完毕,谢谢观看!