信息安全导论1概论.ppt

* 美国电子工业协会（EIA） 美国电子工业协会是美国电子公司贸易协会，属于ANSI的成员。它制定了涉及电气和电子领域的400多个标准，主要工作是建立了数据终端设备和数据通信设备间的接口标准（如RS232C等）。 * 美国国防部（DoD）及国家计算机安全中心（NCSC） 美国国防部早在80年代就针对计算机安全保密开展了一系列有影响的工作，后来成立的NCSC接续进行有关的工作。1983年他们公布了《可信计算机信息系统评价准则》TCSEC，以后NCSC又出版了一系列有关可信计算机数据库、可信计算机网络的指南。 * 其它协议 除了上述标准化组织，美国的一些公司也纷纷研究和提出有关规范建议，并根据建议发展产品，试图将建议变为实际的工业标准，其中一些建议或标准归纳如下表。 协议名 协议开发者 协议内容 PKCS RSA数据安全公司RSA实验室在Apple，Microsoft,DEC,Lotus,Sun和MIT等机构非正式的咨询合作下开发 公开密钥密码标准与ITU-X.509标准兼容 SSL Netsacpe 用于WWW上的会话层安全协议 S-HTTP Enterprise Integration Technologies 基于WWW,提供保密、认证、完整性和不可否认服务 PTC Microsoft和 Visa 保密通信协议，与SSL类似，不同的是，它在客户和服务器之间包含了几个短的报文数据，认证和加密使用不同的密钥，提供了某种防火墙功能 SET Visa 和Mastercard 开放网络电子支付协议 * 安全组织机构 国际上信息安全方面的协调机构主要有计算机应急响应小组（CERT/CC）、信息安全问题小组论坛（FIRST）。 计算机应急响应小组是一个信息安全专家技术中心，是设在Carnegie Mellon大学软件工程研究所的联邦资助的研究开发中心，成立于1988年。该组织研究Internet的脆弱性、处理计算机安全事件、发布安全警告、研究网络系统的长期变化以及提供安全培训帮助你提高站点的安全性。CERT/CC成立后，很多政府、商业和学术机构都组建了信息安全问题小组，但CERT/CC始终是这一方面规模最大、最著名和最权威的组织 信息安全问题小组论坛（FIRST）成立于1990年，当时只有11个成员，截止目前，它的成员已超过100个。FIRST的目标是为有效解决安全事件加强各小组间的合作，作为小组之间的信息中介，促进安全技术的共享和研究活动的开展。 * 美国国内与信息安全事物有关的管理机构主要有 国家安全局（NSA） 国家标准技术研究所（NIST） 联邦调查局（FBI） 高级研究计划署（ARPA） 国防部信息局（DISA） 他们有各自授权管理的领域和业务，同时，这些机构。通过信息安全管理职责上的理解备忘录和协议备忘录进行合作。 * 我国信息安全标准化工作 从80年代中期开始，在制定我国的安全标准时，也尽量与国际环境相适应，自主制定和采用了一批相应的信息安全标准。 到1997年底，已经制定、报批和发布了有关信息安全的国家标准13个，国家军用标准6个，现在正在制定中的国家标准14个，对我国的信息化信息安全起到了重要的指导作用。 此外，我国一些对信息安全要求高的行业和一些信息安全管理负有责任的部门，也制定了一些有关信息安全的行业标准和部门标准。 * 概论 课程说明 什么是信息安全? 信息为什么不安全? 安全服务与网络安全模型 信息安全的重要性与产业化情况 信息安全的标准化机构 信息安全保障体系 * 一、国内外现状与发展趋势 美国： 1998年5月22日总统令(PDD-63)：《保护美国关键基础设施》 围绕“信息保障”成立了多个组织，包括：全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应行动组等十多个全国性机构 1998年美国国家安全局（NSA）制定了《信息保障技术框架》（IATF）,提出了“深度防御策略”，确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御目标 2000年1月，发布《保卫美国计算机空间—保护信息系统的国家计划》。分析了美国关键基础设施所面临的威胁，确定了计划的目标和范围，制定出联邦政府关键基础设施保护计划（民用机构和国防部），以及私营部门、洲和地方政府的关键基础设施保障框架。 * 国内外现状与发展趋势 俄罗斯： 1995年颁布《联邦信息、信息化和信息保护法》，为提供高效益、高质量的信息保障创造条件，明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任。 1997年出台《俄罗斯国家安全构想》。明确提出“保障国家安全应把保障经济安全放在第一位”，而“信息安全又是经济安全的重中之重。 2000年