信息系统安全知识绪论汇编.ppt

国际上具有影响的信息系统安全标准 TCSEC(橘皮书)，美国国防部制定，分为4个方面：安全策略；可说明性；安全保障和文档 TCSEC将系统的安全性分7级：D,C1,C2,B1,B2,B3,A，是彩虹系列（Rainbow Series）标准之一； ITSEC，欧洲标准，不把保密措施直接与计算机功能相联系，只叙述技术安全的要求，把保密作为安全增强的功能。 ITSEC把保密作为安全的重点，而把完整性、可用性与保密性作为同等重要的因素，定义了从E0到E6的7个安全等级 CTCPEC，加拿大，将安全需求分为4个层次：机密性、完整性、可靠性和可说明性 */96 第一章 绪论 1.5 信息安全标准和组织 FC，美国联邦准则，该标准参照了CTCPEC和TCSEC，以提供TCSEC的升级版本，且保护已有投资 但FC有缺陷，是过渡标准，后来结合ITSEC发展为通用准则CC 通用准则CC，把已有的安全准则结合为一个统一的标准。 该计划从1993年开始执行，1996出第一版，结合了FC和ITSEC的主要特征，强调安全功能与安全保障分离，将功能需求分为11类66族，保障分为10类29族 实际中真正实用、易于掌握的还是TCSEC及其改进版，成为默认的标准 */96 第一章 绪论 1.5 信息安全标准和组织 3. 对服务商能力衡量的需要：网络与系统的安全管理标准 企业的测评认证。网络的普及，使以网络为平台的网络信息服务企业和使用网络作为基础平台传递工作信息的企业，如金融，证劵，保险，电子商务等企业，越来越重视安全问题 针对使用网络和系统开展服务的企业的信息安全管理标准应运而生 如BS7799(ISO/IEC17799)，ISO13335 IT安全管理方针 */96 第一章 绪论 1.5 信息安全标准和组织 知名的国际性的标准化组织主要有 国际标准化组织ISO，是一个总体标准化组织 国际电气技术委员会IEC，在电工与电子技术领域相当于ISO的位置 国际电信联盟ITU所属的电信标准化组ITU-TS，是一个联合缔约组织。 ITU-T系列标准 IEEE美国电气和电子工程师协会 IETF互联网工程工作组 欧洲计算机制造商协会信息安全标准（ECMA） 这些组织在安全需求分析与指导、安全技术机制开发、安全评估标准等方面制定了一些标准和草案，绝大多数尚未正式执行 */96 第一章 绪论 1.5 信息安全标准和组织 各个国家的标准化组织，尤其是美国和欧盟 ANSI 美国国家标准学会(美国国家标准化的中心) NBS 美国国家标准局即美国国家技术标准研究院NIST（是美国商务部的一个机构） 发布美国联邦信息处理标准FIPS PUB系列，或者SPEC PUB系列 DoD美国国防部 BSI:英国国家标准学会：BS7799风险评估标准 我国国家标准化委员会的相关分会和军用标准 */96 第一章 绪论 1.5 信息安全标准和组织 国内网络安全标准 很多基于国际标准改编 目前的一个典型的国家标准是由公安部，国家技术标准局发布的GB17895－1999《计算机信息系统安全保护等级划分准则》， 2003以来，在OS、数据库、路由器、防火墙、IDS、脆弱性扫描、隔离设备、密码算法和协议、以及银行、证券、电子商务等应用系统完成多个信息安全技术评估标准，逐步建立和完善了我国的信息安全测评准则和评估框架。 我国的信息技术安全标准大全 /dengbao/list_xgbz.htm */96 第一章 绪论 1.5 信息安全标准和组织 考核方式 开卷笔试 参考书目 《信息系统安全原理与应用》 陆宝华、王楠编著，清华大学出版社 本课程的核心教材 《信息安全技术导论》 陈克菲、黄征编著，电子工业出版社 侧重于信息安全技术，包括密码学，入侵检测、防火墙、无线网络安全 本课程的主要参考教材 PPT课件 考核的主要依据 */96 第一章 1. Shannon对信息的定义是什么？我国信息论专家钟义信对信息的定义是什么？ 2. 信息与信号、数据、情报、知识的不同之处分别在那里 3. 信息的5个安全属性是什么？ 5. 安全事件定义。 6. 只要采用足够安全的防护措施，安全事件的影响是可以完全避免的（ ）判断对错 7. 信息系统安全威胁的分类，安全威胁的来源有哪些，主动攻击和被动攻击分别包括哪几类？ 8. 导致信息系统安全问题的外因是________内因是_________ 9. 黑客攻击工程分为哪几个阶段？什么是网络嗅探？Nessus和Nmap分别是什么工具？ 10. 在蠕虫、限门、木马和病毒这四类恶意代码中，哪些不需要宿主程序？ 11. 在防病毒技术中，瑞星的“云安全”和趋势的“云安全”的区别是什么 */96 12. 在木马病毒中，客户端由谁控制，服务端由谁运行？ 13.国际标准组织的漏洞发布机制的名称____