信息系统攻击与防御(第十章)(精品).ppt

《信息系统攻击与防御(第十章)(精品).ppt》由会员分享，可在线阅读，更多相关《信息系统攻击与防御(第十章)(精品).ppt（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第十章 安全相关专题介绍 1.1.计算机病毒计算机病毒 2.2.访问控制访问控制 3.3.身份和信任管理身份和信任管理 4.4.计算机信息安全标准简介计算机信息安全标准简介 5.防火墙 6.蜜罐介绍 7.IDS 介绍 内容简介本章主要介绍了与安全相关的一些专题，包括：计算机病毒；访问控制；身份和信任管理；计算机信息安全标准简介；防火墙；蜜罐；IDS等。10.1.计算机病毒计算机病毒 什么是计算机病毒:下将生物医学病毒与感染IBM-PC机的DOS环境下的病毒的特征进行对比。10.1.计算机病毒计算机病毒(续续)什么是计算机病毒从广义上讲，病毒可以归为2类：引导区病毒和文件型病毒。1.引导区病毒引

2、导区病毒引导区病毒隐藏在硬盘或软盘的引导区(Boot区)，当计算机从感染了引导区病毒的硬盘或软盘启动，或是当计算机从受感染的软盘里读取数据时，引导区病毒就开始发作。一旦它们把自己复制到计算机的内存里，就会感染其他磁盘的引导区或是通过网络传播到其他计算机上。2.文件型病毒文件型病毒 文件型病毒寄生在其他文件中，常常通过对它们的编码加密或是使用其他技术来隐藏。文件型病毒把用来启动主程序的可执行命令劫夺过去，当作它自己的运行命令。该病毒还常常会把控制还给主程序，为的是让计算机系统显得正常。10.1.计算机病毒计算机病毒(续续)什么是计算机病毒3宏病毒和脚本病毒宏病毒和脚本病毒 宏病毒是一种特殊的文件

3、型病毒。宏病毒是在一些软件开发商开始在他们的产品中引宏病毒是一种特殊的文件型病毒。宏病毒是在一些软件开发商开始在他们的产品中引入宏语言，并允许这些产品生成载有宏的数据文件之后出现的。例如，微软的入宏语言，并允许这些产品生成载有宏的数据文件之后出现的。例如，微软的Office产产品系列包括很多的微软品系列包括很多的微软Visual Basic程序语言，这些语言使程序语言，这些语言使Microsoft Word和和Microsoft Excel可以自动操作模板和文件的生成。第一个宏病毒可以自动操作模板和文件的生成。第一个宏病毒Concept是在微软刚是在微软刚刚在刚在Word中引入宏之后立刻出现的

4、。中引入宏之后立刻出现的。4多重分裂病毒多重分裂病毒近几年来，引导区病毒和文件型病毒之间的界限变得相当的模糊。许多病毒既能感染近几年来，引导区病毒和文件型病毒之间的界限变得相当的模糊。许多病毒既能感染文件，也可以感染磁盘引导区。多重分裂病毒就是这样的病毒，它可以通过被感染的文件，也可以感染磁盘引导区。多重分裂病毒就是这样的病毒，它可以通过被感染的文件传播，也可以在硬盘或软盘运行的时候感染它们的引导区。现代病毒很少只使用文件传播，也可以在硬盘或软盘运行的时候感染它们的引导区。现代病毒很少只使用一种方法，大多都使用以上两种，有的还使用了其他的方法。一种方法，大多都使用以上两种，有的还使用了其他的方

5、法。5网络蠕虫程序网络蠕虫程序网络蠕虫程序是一种通过间接方式而不是直接复制自己来传播的恶意软件。有些网络网络蠕虫程序是一种通过间接方式而不是直接复制自己来传播的恶意软件。有些网络蠕虫拦截蠕虫拦截E-mail系统并向世界各地发送自己的复制品，有些则出现在高速下载站点中，系统并向世界各地发送自己的复制品，有些则出现在高速下载站点中，当然还有些同时使用这两种方法与其他技术一起传播。当然还有些同时使用这两种方法与其他技术一起传播。蠕虫程序与病毒一样具有破坏性，传播速度比病毒还要快。蠕虫的制作者经常利用用蠕虫程序与病毒一样具有破坏性，传播速度比病毒还要快。蠕虫的制作者经常利用用户的心理因素，诱使用户下载

6、并运行蠕虫。臭名昭著的户的心理因素，诱使用户下载并运行蠕虫。臭名昭著的“美丽莎美丽莎”病毒，就是一种使病毒，就是一种使用用E-mail系统以惊人速度传播的蠕虫程序。它的传播速度之快史无前例，成千上万的系统以惊人速度传播的蠕虫程序。它的传播速度之快史无前例，成千上万的病毒感染造成许多邮件服务器先后崩溃，人们为清除它耗费了大量的精力。病毒感染造成许多邮件服务器先后崩溃，人们为清除它耗费了大量的精力。10.1.计算机病毒计算机病毒(续续)什么是计算机病毒6病毒的特征代码病毒的特征代码大部分的防毒软件都使用各自的特征代码来查找大部分的防毒软件都使用各自的特征代码来查找某些固定的病毒。特征代码是区分病毒

7、代码与其某些固定的病毒。特征代码是区分病毒代码与其他文件或数据的一段特殊的字节。这段代码有时他文件或数据的一段特殊的字节。这段代码有时是病毒内的一种数据类型，有时是加密法或者解是病毒内的一种数据类型，有时是加密法或者解密法，或者是其他的识别特征。有些病毒使用一密法，或者是其他的识别特征。有些病毒使用一种明显的信号在被它们感染的文件上挂上类似种明显的信号在被它们感染的文件上挂上类似“请勿打扰请勿打扰”的标志，否则病毒就会重复感染文件的标志，否则病毒就会重复感染文件并使文件长度无限变大，这样很容易被发觉。并使文件长度无限变大，这样很容易被发觉。10.1.计算机病毒计算机病毒(续续)病毒传播途径与危

8、害 计算机病毒的传播途径主要有：计算机病毒的传播途径主要有：1.通过文件系统传播；通过文件系统传播；2.通过电子邮件传播；通过电子邮件传播；3.通过局域网传播；通过局域网传播；4.通过互联网上即时通讯软件和点对点软件等常用工具传通过互联网上即时通讯软件和点对点软件等常用工具传播；播；5.利用系统、应用软件的漏洞进行传播；利用系统、应用软件的漏洞进行传播；6.利用系统配置缺陷传播，如弱口令、完全共享等；利用系统配置缺陷传播，如弱口令、完全共享等；7.利用欺骗等社会工程的方法传播。利用欺骗等社会工程的方法传播。10.1.计算机病毒计算机病毒(续续)计算机病毒原理 计算机病毒是一段执行程序。所谓执行

9、程序是计计算机病毒是一段执行程序。所谓执行程序是计算机要处理的一种数据，一般存放在内存中，可算机要处理的一种数据，一般存放在内存中，可由计算机的中央处理器（由计算机的中央处理器（CPU）逐条加以执行。）逐条加以执行。计算机病毒一定是寄生在某个有用的执行程序之上，这个有用的执行程序称之为计算机病毒的宿主。将自身复制到其它执行程序之上是判定一个执行程序是否是计算机病毒的重要因素。10.1.计算机病毒计算机病毒(续续)计算机病毒的特征 1.非授权可执行性2.隐蔽性 3.传染性 4.潜伏性 5.表现性或破坏性 6.可触发性 10.1.计算机病毒计算机病毒(续续)用户计算机中毒的24种症状：1.是计算机

10、系统运行速度减慢；2.是计算机系统经常无帮故发生死机；3.是计算机系统中的文件长度发生变化；4.是计算机存储的容量异常减少；5.是系统引导速度减慢；6.是丢失文件或文件损坏；7.是计算机屏幕上出现异常显示；8.是计算机系统的蜂鸣器出现异常声响；9.是磁盘卷标发生变化；10.是系统不识别硬盘；11.是对存储系统异常访问；12.是键盘输入异常；10.1.计算机病毒计算机病毒(续续)用户计算机中毒的24种症状：13.是文件的日期、时间、属性等发生变化；14.是文件无法正确读取、复制或打开；15.是命令执行出现错误；16.是虚假报警；17.是换当前盘。有些病毒会将当前盘切换到C盘；18.是时钟倒转。有

11、些病毒会命名系统时间倒转，逆向计时；19.是WINDOWS操作系统无故频繁出现错误；20.是系统异常重新启动；21.是一些外部设备工作异常；22.是异常要求用户输入密码。13.是WORD或EXCEL提示执行“宏”；24.是不应驻留内存的程序驻留内存。10.1.计算机病毒计算机病毒(续续)网络蠕虫和特洛伊木马程序：网络蠕虫（worm）主要是利用操作系统和应用程序漏洞传播，通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序，可以造成网络服务遭到拒绝并发生死锁。“蠕虫”由两部分组成：一个主程序和一个引导程序。主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息。它能通过读取

12、公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。随后，它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。特洛伊木马程序（Trojan horse）是一个隐藏在合法程序中的非法的程序。该非法程序被用户在不知情的情况下被执行。其名称源于古希腊的特洛伊木马神话。对于木马的防范可以采取以下措施：1.不要执行任何来历不明的软件或程序：2.不要轻易打开陌生邮件，或许当你打开的同时就已经中了别人设置的木马；3.不要因为对方是你的好朋友就轻易执行他发过来的软件或程序，因为你不确信他是否也像你一样装上了病毒防火墙，也许你的朋友已经中了黑客程序自己却不知道！同时，你也不能担保是

13、否有别人冒他的名给你发mail；4.千万不要随便留下你的个人资料，因为你永远不会知道是否有人会处心积虑收集起来。10.1.计算机病毒计算机病毒(续续)计算机病毒防治策略：计算机病毒的防治要从防毒、查毒、解毒三方面来进行；系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。1.防毒。是指根据系统特性，采取相应的系统安全措施预防病毒侵入计算机。防毒能力是指通过采取防毒措施，可以准确、实时监测预警经由光盘、软盘、硬盘不同目录之间、局域网、互联网（包括FTP方式、E-MAIL、HTTP方式）或其它形式的文件下载等多种方式的病毒感染；能够在病毒侵入系统时发出警报，记录携

14、带病毒的文件，即时清除其中的病毒；对网络而言，能够向网络管理员发送关于病毒入侵的信息，记录病毒入侵的工作站，必要时还要能够注销工作站，隔离病毒源。2.查毒。是指对于确定的环境，能够准确地报出病毒名称，该环境包括，内存、文件、引导区（含主导区）、网络等。查毒能力是指发现和追踪病毒来源的能力，通过查毒能准确地发现信息网络是否感染有病毒，准确查找出病毒的来源，给出统计报告；查解病毒的能力应由查毒率和误报率来评判。3.解毒。是指根据不同类型病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括：内存、引导区（含主引导区）、可执行文件、文档文件、网络等

15、。解毒能力是指从感染对象中清除病毒，恢复被病毒感染前的原始信息的能力。10.1.计算机病毒计算机病毒(续续)计算机病毒诊断方法：通常计算机病毒的检测方法有两种：1.手工检测。是指通过一些软件工具（如DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等）提供的功能进行病毒的检测。这种方法比较复杂，需要检测者熟悉机器指令和操作系统，因而无法普及。它的基本过程是利用一些工具软件，对易遭病毒攻击和修改的内存及磁盘的有关部分进行检查，通过和正常情况下的状态进行对比分析，来判断是否被病毒感染。这种方法检测病毒，费时费力，但可以剖析新病毒，检测识别未知病毒，可以检测一些自动检测

16、工具不认识的新病毒。2.自动检测。是指通过一些诊断软件来判读一个系统或一个软盘是否有毒的方法。自动检测则比较简单，一般用户都可以进行，但需要较好的诊断软件。这种方法可方便地检测大量的病毒，但是，自动检测工具只能识别已知病毒，而且自动检测工具的发展总是滞后于病毒的发展，所以检测工具对未知病毒很难识别。10.1.计算机病毒计算机病毒(续续)网络病毒的清理和防治：网络病毒的清理防治方法主要有：1.全面地与互联网结合，对网络层、邮件客户端进行实时监控，防止病毒入侵；2.快速反应的病毒检测网，在病毒爆发的第一时间即能提供解决方案；3.病毒防治产品完善的在线升级，随时拥有最新的防病毒能力；4.对病毒经常攻

17、击的应用程序提供重点保护（如Office、Outlook、IE、ICQ/QQ等）；5.获取完整、即时的反病毒咨询，尽快了解新病毒的特点和解决方案。10.2.访问控制访问控制访问控制是网络安全防范和保护的主要核心策略，它的主要任务是保证网络资源不被非法使用和访问。访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以控制。它是对信息系统资源进行保护的重要措施，也是计算机系统最重要和最基础的安全机制。10.2.访问控制访问控制(续续)访问控制的基本概念：1主体（Subject）主体是指主动的实体，是访问的发起者，它造成了信息的流动和系统状态的改变，主体通常包括人

18、、进程和设备。2客体（Object）客体是指包含或接受信息的被动实体，客体在信息流动中的地位是被动的，是处于主体的作用之下，对客体的访问意味着对其中所包含信息的访问。客体通常包括文件、设备、信号量和网络节点等。3访问（Access）访问（Access）是使信息在主体（Subject）和客体（Object）之间流动的一种交互方式。4访问许可（Access Permissions）访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用户识别代码、口令、登录控制、资源授权（例如用户配置文件、资源配置文件和

19、控制列表）、授权核查、日志和审计等等。10.2.访问控制访问控制(续续)访问控制的基本概念：1主体（Subject）主体是指主动的实体，是访问的发起者，它造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。2客体（Object）客体是指包含或接受信息的被动实体，客体在信息流动中的地位是被动的，是处于主体的作用之下，对客体的访问意味着对其中所包含信息的访问。客体通常包括文件、设备、信号量和网络节点等。3访问（Access）访问（Access）是使信息在主体（Subject）和客体（Object）之间流动的一种交互方式。4访问许可（Access Permissions）访问控制决定了谁能

20、够访问系统，能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用户识别代码、口令、登录控制、资源授权（例如用户配置文件、资源配置文件和控制列表）、授权核查、日志和审计等等。10.2.访问控制访问控制(续续)访问控制策略：访问控制涉及的领域很广，方法也很多，通常访问控制策略可以划分为三种：自主访问控制强制访问控制基于角色的访问控制10.2.访问控制访问控制(续续)自主访问控制（Discretionary Access Control）是一种允许主体对访问控制施加特定限制的访问控制类型。它允许主体针对访问资源的用户设置访问控制权限

21、，用户对资源的每次访问都会检查用户对资源的访问权限，只有通过验证的用户才能访问资源。自主访问控制是基于用户的，故此具有很高的灵活性，这使得这种策略适合各类操作系统和应用程序，特别是在商业和工业领域。例如，在很多应用环境中，用户需要在没有系统管理员介入的情况下，拥有设定其他用户访问其所控制信息资源的能力，因此控制就具有很大的任意性。在这种环境下，用户对信息的访问控制是动态的，这时采用自主访问控制就比较合适。自主访问控制包括身份型（Identity-based）访问控制和用户指定型（User-directed）访问控制，通常包括目录式访问控制，访问控制表，访问控制矩阵和面向过程的访问控制等方式。1

22、0.2.访问控制访问控制(续续)强制访问控制（Mandatory Access Control）是一种不允许主体干涉的访问控制类型。它是基于安全标识和信息分级等信息敏感性的访问控制，通过比较资源的敏感性与主体的级别来确定是否允许访问。系统将所有主体和客体分成不同的安全等级，给予客体的安全等级能反映出客体本身的敏感程度；主体的安全等级，标志着用户不会将信息透露给未经授权的用户。通常安全等级可分为四个级别：最高秘密级（Top Secret）、秘密级（Secret）、机密级（Confidential）以及无级别级（Unclassified），其级别顺序为TSSCU。这些安全级别可以支配同一级别或低一

23、级别的对象。当一个主体访问一个客体时必须符合各自的安全级别需求，特别是如下两个原则必须遵守：Read Down：主体安全级别必须高于被读取对象的级别；Write up：主体安全级别必须低于被写入对象的级别。这些规则可以防止高级别对象的信息传播到低级别的对象中，这样系统中的信息只能在同一层次传送或流向更高一级。10.2.访问控制访问控制(续续)基于角色的访问控制（Role Based Access Control）是指在应用环境中，通过对合法的访问者进行角色认证来确定访问者在系统中对哪类信息有什么样的访问权限。系统只问用户是什么角色，而不管用户是谁。角色可以理解成为其工作涉及相同行为和责任范围内

24、的一组人，一个访问者可以扮演多个角色，一个角色也可以包含多个访问者。角色访问控制具有以下优点：便于授权管理、便于赋予最小特权、便于根据工作需要分级、责任独立、便于文件分级管理、便于大规模实现。角色访问是一种有效而灵活的安全措施，系统管理模式明确，节约管理开销，当前流行的数据管理系统都采用了角色策略来管理权限。10.2.访问控制访问控制(续续)访问控制技术：根据控制手段和具体目的的不同，通常将访问控制技术划分为如下几个方面：入网访问控制网络权限控制目录级安全控制属性安全控制网络服务器的安全控制10.2.访问控制访问控制(续续)入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服

25、务器并获取网络资源，控制准许用户入网的时间和准许入网的工作站等。网络权限控制是针对网络非法操作所提出的一种安全保护措施。能够访问网络的合法用户被划分为不同的用户组，用户和用户组被赋予一定的权限。目录级安全控制是针对用户设置的访问控制，控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可以进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。属性安全控制在权限安全控制的基础上提供更进一步的安全性。当用户访问文件、目录和网络设备时，网络系统管理员应该给

26、出文件、目录的访问属性，网络上的资源都应预先标出安全属性，用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。为网络允许在用户在服务器控制台上执行一系列操作，所以用户使用控制台就可以装载和卸载模块，可以安装和删除软件等操作，这就需要网络服务器的安全控制。网络服务器的安全控制包括可以设置口令锁定服务器控制台，从而防止非法用户修改、删除重要信息或破坏数据。具体包括设定服务器登录时间限制、非法访问者检测和关闭的时间间隔等。10.3.身份和信任管理身份和信任管理(续续)开放式系统的认证有以下几种需求：安全性：认证机制必须足够安全，不致成为攻击的薄弱环节。可靠性：认证服务是其他

27、服务的基础，它的可靠性决定整个系统的可靠性。透明性：用户应该感受不到认证服务的存在。可扩展性：当和不支持认证机制的系统通信时，应该保持一切不受影响。一般而言，认证的机制分为两类：简单认证机制强认证机制10.3.身份和信任管理身份和信任管理(续续)RADIUS认证机制 RADIUS（Remote Authentication Dial In User Service）协议最初是由Livingston公司提出的，原先的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议。RADIUS认证要用到基于挑战/应答（Challenge/Response）的认证方式。RADIUS是

28、一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS的基本工作原理是用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIU

29、S服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account-Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。10.3.身份和信任管理身份和信任管理(续续)基于DCE/Kerberos的认证机制 DCE/Kerberos是一种被证明为非常安全的双向身份认证技

30、术。DCE/Kerberos的身份认证强调了客户机对服务器的认证；Kerberos一种为网络通信提供可信第三方服务的面向开放系统的认证机制。每当用户(Client)申请得到某服务程序(Server)的服务时，用户和服务程序会首先向Kerberos要求认证对方的身份，认证建立在用户(Client)和服务程序(Server)对Kerberos的信任的基础上。在申请认证时，Client和Server都可看成是Kerberos认证服务的用户，为了和其它服务的用户区别，Kerberos用户统称为Principle，Principle既可以是用户也可以是某项服务。认证双方与Kerberos的关系用图表示：

31、10.3.身份和信任管理身份和信任管理(续续)基于公共密钥的认证机制 目前在Internet上也使用基于公共密钥的安全策略进行身份认证，具体而言，使用符合X.509的身份证明。PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。（参见教材）10.3.身份和信任管理身份和信任管理(续续)基于挑战/应答的认证机制 基于挑战/应答（Challenge/Response）方式的身份认证机制就是每次认证时认证服务器端都给客户端发送一个不同的“挑战”字串，客户端程序收到这个“挑战”字串后，做出相应的“应答”。认证过程为：向认证服务器发出请求，要求进行身份认证；认

32、证服务器从用户数据库中查询用户是否是合法的用户，若不是，则不做进一步处理；认证服务器内部产生一个随机数，作为“提问”，发送给客户；客户将用户名字和随机数合并，使用单向Hash函数（例如MD5算法）生成一个字节串作为应答；认证服务器将应答串与自己的计算结果比较，若二者相同，则通过一次认证；否则，认证失败；认证服务器通知客户认证成功或失败。以后的认证由客户不定时地发起，过程中没有了客户认证请求一步。两次认证的时间间隔不能太短，否则就给网络、客户和认证服务器带来太大的开销；也不能太长，否则不能保证用户不被他人盗用IP地址，一般定为1-2分钟。10.4.计算机信息安全标准简介计算机信息安全标准简介1.

33、1.国际标准化组织（国际标准化组织（ISOISO）ISO始建于1946年，是一个自发的非条约性组织，其成员是参加国的指定标准化机构（美国的成员是美国国家标准研究所（ANSI）。该组织负责制定广泛的技术标准，为世界各国的技术共享和包准技术质量起着导向和把关的作用。设立ISO的目的是促进国际标准化和相关活动的开展，以便于商品和服务的国际交换，并以发展知识、科技和经济活动领域内的合作为已任。ISO现已发布了覆盖领域极为广泛的5000多个国际标准。ISO为信息系统的安全体系结构制定了开放系统互联（OSI）基本参考模型（ISO7498）。模型提供了如下5种可以选择的安全服务：对等实体认证和数据源认证、访

34、问控制（Access Control，AC）、数据保密（Data Confidentiality，DC）、数据完整性（Data Integrity，DI）和抗否认（Non-Repudiation，N-R）。10.4.计算机信息安全标准简介计算机信息安全标准简介(续续)2.2.国际电报和电话咨询委员会（国际电报和电话咨询委员会（CCITTCCITT）CCITT是一个联合国条约组织，属于国际电信联盟，由主要成员国的邮政、电报和电话部门组成（美国在这一委员会的成员是美国国务院）。它主要从事涉及通讯领域的接口和通讯协议的制定，与ISO密切合作进行国际通讯的标准化工作，对国际通讯使用的各种通讯设备以及规

35、程的标准化提出了一系列的建议，在数据通讯范围内的工作体现于V系列和X系列建议书，在X.400和X.500中对信息安全问题有一系列的表述。10.4.计算机信息安全标准简介计算机信息安全标准简介(续续)3.3.国际信息处理联合会第十一技术委员会（国际信息处理联合会第十一技术委员会（IFIP TC11IFIP TC11）有关信息系统安全组织在国际上有重要的影响，公安部代表我国参加该组织的活动。该组织每年举行一次计算机安全的国际研讨会，该组织的机构有：WG11.1安全管理工作组、WG11.2办公自动化安全工作组、WG11.3数据库安全工作组、WG11.4密码工作组、WG11.5系统完整性与控制工作组、

36、WG11.6拟构成计算机事务处理工作组、WG11.7计算机安全法律工作组、WG11.8计算机安全教育工作组。10.4.计算机信息安全标准简介计算机信息安全标准简介(续续)4.4.电气与电子工程师学会（电气与电子工程师学会（IEFEIEFE）IEEE是一个由电气和电子工程师组成的世界上最大的专业性学会，拥有275000多个成员，该组织分许多部门。1980年2月IEEE计算机学会建立了一个委员会负责制定有关网络的协议标准，其中有802.1：高层接口、802.2：逻辑链路控制、802.3：CSMA/CD网、802.4：令牌总线网、802.5：令牌环网、802.6：城域网、802.7：宽带技术咨询组、

37、802.8：光纤技术咨询组、802.9：数据和话音综合网络。近年来IEEE还关注了公开密钥密码的标准化，着手制定了有关的标准P1363，它包括了RSA公开密钥密码、椭圆曲线公开密钥密码和密钥交换等方面的内容。10.4.计算机信息安全标准简介计算机信息安全标准简介(续续)5.5.欧洲计算机制造商协会（欧洲计算机制造商协会（ECMAECMA）ECMA是由欧洲和美国在欧洲供应计算机的厂商组成的组织，致力于制定和颁布适用于计算机技术的各种标准，在ISO和CCITT中是一个没有表决权的成员。6.Internet6.Internet体系结构委员会（体系结构委员会（IABIAB）IAB下设Internet工

38、程特别工作组（Internet Engineering Task Force，IETF）和Internet研究特别工作组（Internet Research Task Force，IRTF）两个主要部门，IAB根据Internet的发展制定技术规范。10.4.计算机信息安全标准简介计算机信息安全标准简介(续续)7.7.美国国家标准局与美国商业部国家技术标准研究所（美国国家标准局与美国商业部国家技术标准研究所（NBS&NISTNBS&NIST）NBS属于美国商业部的一个机构（现在的工作由NIST进行），发布销售给美国联邦政府的设备信息处理标准，涉及的领域很宽，是ISO和CCITT的代表。但是，它

39、的标准，美国国防部经常不予采纳，而是另搞一套。NIST在联邦政府中承担的责任是建立技术、物理以及行政管理的标准，制定保证联邦计算机系统高效率、低耗费和保证敏感信息安全的规范。它与美国国家安全局（NSA）紧密合作，在NSA的指导和监督下，制定计算机信息系统的技术安全标准。这个机构的工作范围很广，是当前信息安全技术标准领域中最具影响的标准化机构。它制定的信息安全规范和标准很多，主要涉及到以下几个方面：访问控制和认证技术、评价和保障、密码、电子商务、一般计算机安全、网络安全、风险管理、电讯、联邦信息处理标准等。它的工作成果一般以NIST出版物（FIPS PUBs）和NIST特别出版物（FIPS PU

40、B）等形式发布。它的活动很公开，经常以公告的方式向公众发布有关事项的计划和要求，引导学术界和产业界在联邦政府倡导的问题上开展研究讨论，对美国乃至世界的信息安全发展产生深远的影响。10.4.计算机信息安全标准简介计算机信息安全标准简介(续续)8.8.美国国家标准协会（美国国家标准协会（ANSIANSI）它是由制定标准和使用标准的组织联合组成的、非赢利的、非政府部门的民办机构，由全美1000多家制造商、专业性协会、贸易协会、政府和管理团体、公司和用户协会组成。是美国自发制定的与工业有关的各种标准的统筹交流组织。它出版国家标准，但是不制定标准，标准由其委托的其它团体来制定。9.9.美国电子工业协会（

41、美国电子工业协会（EIAEIA）EIA是美国电子公司贸易协会，属于ANIS的成员。它制定了涉及电气和电子领域的400多个标准。主要工作是建立了数据终端设备和数据通信设备的接口标准（如RS232C等）10.10.美国国防部及国家计算机安全中心（美国国防部及国家计算机安全中心（DOD&NCSCDOD&NCSC）DOD早在80年代句针对国防部门的计算机安全保密开展了一系列有影响的工作，后来成立了国家计算机安全中心（NCSC）继续进行工作。1983年他们公布了可信计算机系统评价准则（Trusted Computer System Evaluation Criteria，TCSEC），以后NCSC又出版

42、了一系列有关可信计算机数据库、可信计算机网络的指南等（俗称彩虹系列）10.4.计算机信息安全标准简介计算机信息安全标准简介(续续)11.11.其它有关密码的协议其它有关密码的协议（1）PKCS（Public Key Cryptography Standards）PKCS是一套由美国RSA数据安全公司RSA实验室在Apple、Microsoft、DEC、Lotus、Sun和MIT等机构非正式的咨询合作下开发的有关公开密钥密码的标准。它与ITU-X.509标准兼容，也与PEM兼容并且做了适应二进制数据的扩充。（2）SSL（Secure Socket Layer）SSL协议是Netscape公司开发

43、的用于WWW上的会话层安全协议，它保护传递于用户浏览器和WEB服务器之间的敏感数据，通过超文本传输协议（HTTP）或安全的超文本协议（S-HTTP）把密码应用于超文本环境中，从而提供多种安全服务。（3）S-HTTP（Secure Hypertext Transfer Protocol）S-HTTP是Enterprise Integration Technologies进一步开发于Teresa系统的安全协议，它基于WWW，提供保密、认证、完整性和不可否认等服务，保证在WEB上交换的媒体文本的安全。（4）PCT（Private Communication Technology）PCT是Micros

44、oft和Visa开发的Internet上保密通讯的协议，与SSL类似。其不同点，它在客户和服务器之间包含了几个短的报文数据，认证和加密使用不同的密钥，并且提供了某种防火墙的功能。（5）S/WAN（Secure Wide Area Network）S/WAN设计基于IP层的安全协议，可以在IP层提供加密，保证防火墙和TCP/IP产品的互操作，以便构成虚拟专网（VPN）。（6）SET（Secure Electronic Transaction）SET是Visa、MasterCard合作开发的用于开放网络进行电子支付的安全协议，用于保护用户商店和银行之间的支付信息。（7）S/MIME（Secure/

45、Multipurpose Internet Mail Extension）它是用于多目的的电子邮件安全的报文安全协议，和报文安全协议（MSP）、邮件隐私增强协议（PEM）、MIME对象安全服务协议（MOSS）以及PGP协议的目的一样都是针对增强Internet的电子邮件的安全性。10.5.防火墙防火墙 参见教材（自学）参见教材（自学）10.6.蜜罐介绍蜜罐介绍 参见教材（自学）参见教材（自学）10.7.IDS 介绍介绍 参见教材（自学）参见教材（自学）习题十 10.1什么是计算机病毒?一般如何防治？10.2什么是自主访问控制、强制访问控制、基于角色的访问控制？10.3说明基于公共密钥认证机制的原理。10.4说明基于挑战/应答的认证机制的原理。10.5从安全需求来看,理想的防火墙应具备那些功能？10.6什么是蜜罐？10.7 IDS有哪些性能指标？