《數(shù)據(jù)庫引論》PPT課件

信息系統(tǒng)安全教程課件,主講：陳力單位：管理信息系統(tǒng)系電子郵件：tjcdchen,信息系統(tǒng)安全教程張基溫著,基本內(nèi)容,引論數(shù)據(jù)保密認(rèn)證數(shù)據(jù)認(rèn)證、身份認(rèn)證訪問控制入侵與攻擊網(wǎng)絡(luò)防衛(wèi)安全管理,引論,信息系統(tǒng)安全風(fēng)險(xiǎn)信息系統(tǒng)安全概念信息系統(tǒng)安全體系,0.1信息系統(tǒng)風(fēng)險(xiǎn),系統(tǒng)風(fēng)險(xiǎn)是指系統(tǒng)遭受意外損失的可能性，它主要來自系統(tǒng)可能遭受的各種威脅、系統(tǒng)本身的脆弱性以及系統(tǒng)對(duì)于威脅的失策。,信息,已經(jīng)有多種的解釋認(rèn)識(shí)論：把信息看作不確定性的減少或傳遞中的知識(shí)差（degreeofknowledge）哲學(xué)界：信息是以傳遞知識(shí)差的形式來減少不確定性、增加系統(tǒng)有序度的資源。,0.1.1信息系統(tǒng)及其重要性,信息系統(tǒng),信息系統(tǒng)就是一種減少不確定性、減少風(fēng)險(xiǎn)的工具。信息系統(tǒng)就是一種開發(fā)信息資源的工具，是信息以及用于信息的采集、傳輸、存儲(chǔ)、管理、檢索和利用等工具的有機(jī)整體。,0.1.2信息系統(tǒng)安全的威脅,信息系統(tǒng)安全威脅（thread）是指對(duì)于信息系統(tǒng)的組成要素及其功能造成某種損害的潛在可能。,按照威脅的來源分類,（1）自然災(zāi)害威脅（2）濫用性威脅（3）有意人為威脅,按照作用對(duì)象分類,（1）針對(duì)信息的威脅機(jī)密性（confidentiality）完整性（integrity）可用性（availability）真實(shí)性（authenticity）因此，針對(duì)信息（資源）的威脅可以歸結(jié)為三類：信息破壞：非法取得信息的使用權(quán)，刪除、修改、插入、惡意添加或重發(fā)某些數(shù)據(jù)，以影響信息正常用戶的正常使用。信息泄密：故意或偶然地非法偵收、截獲、分析某些信息系統(tǒng)中的信息，造成系統(tǒng)數(shù)據(jù)泄密。假冒或否認(rèn)：假冒某一可信任方進(jìn)行通信或者對(duì)發(fā)送的數(shù)據(jù)事后予以否認(rèn)。（2）針對(duì)系統(tǒng)的威脅包括對(duì)系統(tǒng)硬件的威脅和對(duì)系統(tǒng)軟件的威脅。,按照方法的分類,（1）信息泄露在傳輸中被利用電磁輻射或搭接線路的方式竊??；授權(quán)者向未授權(quán)者泄露存儲(chǔ)設(shè)備被盜竊或盜用；未授權(quán)者利用特定的工具捕獲網(wǎng)絡(luò)中的數(shù)據(jù)流量、流向、數(shù)據(jù)長(zhǎng)度等數(shù)據(jù)進(jìn)行分析，從中獲取敏感信息。（2）掃描（scan）掃描是利用特定的軟件工具向目標(biāo)發(fā)送特制的數(shù)據(jù)包，對(duì)響應(yīng)進(jìn)行分析，以了解目標(biāo)網(wǎng)絡(luò)或主機(jī)的特征。（3）入侵（intrusion）旁路控制假冒口令破解合法用戶的非授權(quán)訪問,（4）拒絕服務(wù)（denialofservice，DoS）DoS指系統(tǒng)的可用性因服務(wù)中斷而遭到破壞。DoS攻擊常常通過用戶進(jìn)程消耗過多的系統(tǒng)資源造成系統(tǒng)阻塞或癱瘓。（5）抵賴（否認(rèn)）發(fā)方事后否認(rèn)自己曾經(jīng)發(fā)送過的某些消息；收方事后否認(rèn)自己曾經(jīng)收到過的某些消息；發(fā)方事后否認(rèn)自己曾經(jīng)發(fā)送過的某些消息的內(nèi)容；收方事后否認(rèn)自己曾經(jīng)收到過的某些消息的內(nèi)容。（6）濫用（misuse）傳播惡意代碼復(fù)制/重放發(fā)布或傳播不良信息,按照方法的分類,0.1.3信息系統(tǒng)安全的脆弱性,信息系統(tǒng)脆弱性的根源,（1）基于信息屬性的本源性脆弱,（2）基于系統(tǒng)復(fù)雜性的結(jié)構(gòu)性脆弱,（3）基于攻防不對(duì)稱性的普通性脆弱,基于信息屬性的本源性脆弱,依附性和多質(zhì)性：依附于物質(zhì)及其運(yùn)動(dòng)過程，隨著它所依附的物質(zhì)及其運(yùn)動(dòng)方式的不同，形成信息的多媒體性質(zhì)多質(zhì)性。非消耗性：不像物質(zhì)和能量那樣會(huì)在傳輸、存儲(chǔ)和使用中被消耗?？晒蚕硇?可重用性：信息不像物質(zhì)和能量那樣具有獨(dú)占性，它容易被復(fù)制、被共享。聚變性和增值性：信息對(duì)于不確定性的減少，具有1+1不等于2的性質(zhì)，即多個(gè)相關(guān)信息一起作用可能會(huì)大于（也可能小于）單個(gè)信息被分別獲取所起的作用，而且在信息的使用過程中，不僅不會(huì)被消耗，還會(huì)被增值，形成消除更多不確定性的信息。易偽性：由于多質(zhì)性，使信息很容易被偽造、被篡改、被破壞。,基于系統(tǒng)復(fù)雜性的結(jié)構(gòu)性脆弱,新技術(shù)的應(yīng)用，使信息系統(tǒng)不斷趨于復(fù)雜。信息系統(tǒng)除了技術(shù)上的復(fù)雜性外，功能的擴(kuò)充和需求的擴(kuò)展，使其規(guī)模也越來越大。這就是人們常說的80%的人只使用其中20%的功能。一般說來，系統(tǒng)規(guī)模越大、越復(fù)雜，設(shè)計(jì)、建造和管理的難度就越大，所包含漏洞就越多，系統(tǒng)就越脆弱。例如，一個(gè)Windows操作系統(tǒng)，盡管推出已經(jīng)有許多年之久，但其漏洞還不斷被發(fā)現(xiàn)。信息技術(shù)、信息安全是一個(gè)多種要素的復(fù)雜集成，是一種“互動(dòng)關(guān)聯(lián)性”很強(qiáng)的安全。按照木通原理，整體的脆弱性等于最薄弱處和最薄弱時(shí)刻的脆弱性，只要有一處存在安全隱患，系統(tǒng)就存在安全隱患；只要有1%的不安全，就等于100%的不安全；只要某個(gè)時(shí)刻表現(xiàn)出脆弱，系統(tǒng)就是全程的脆弱。,基于攻防不對(duì)稱性的普通性脆弱,攻擊可以在任意時(shí)刻發(fā)起，防御必須隨時(shí)警惕；攻擊可以選擇一個(gè)薄弱點(diǎn)進(jìn)行，防御必須全線設(shè)防；攻擊包含了對(duì)未知缺陷的探測(cè)，防御只能對(duì)已知的攻擊防御；攻擊常在暗處，具隱蔽性，防御常在明處，表面看起來完美，使人容易疏忽，喪失警惕；攻擊可以肆意進(jìn)行，防御必須遵循一定的規(guī)則。,基于網(wǎng)絡(luò)的開放和數(shù)據(jù)庫共享的應(yīng)用性脆弱,現(xiàn)代信息系統(tǒng)是基于信息處理和信息傳輸技術(shù)的?，F(xiàn)代信息處理中重要的支撐技術(shù)是數(shù)據(jù)庫技術(shù)，現(xiàn)代通信技術(shù)的支撐是電磁通信和計(jì)算機(jī)網(wǎng)絡(luò)。而數(shù)據(jù)庫的共享性、電磁通信的易攻擊性和計(jì)算機(jī)網(wǎng)絡(luò)的開放性，都使信息系統(tǒng)顯得非常脆弱。,信息系統(tǒng)脆弱性的表現(xiàn),（1）芯片的安全脆弱性（2）操作系統(tǒng)安全漏洞下面列舉操作系統(tǒng)脆弱性的一些共性：后門式漏洞?！把a(bǔ)丁”式漏洞。遠(yuǎn)程創(chuàng)建進(jìn)程式漏洞。,（3）數(shù)據(jù)庫安全的脆弱性例如：數(shù)據(jù)庫中存放著大量數(shù)據(jù)。數(shù)據(jù)庫數(shù)據(jù)的共享性可能導(dǎo)致一個(gè)用戶對(duì)數(shù)據(jù)的修改影響了其他用戶的正常使用。數(shù)據(jù)庫不保存歷史數(shù)據(jù)，一個(gè)數(shù)據(jù)被修改，舊值就被破壞聯(lián)機(jī)數(shù)據(jù)庫可以被多用戶共享，可能會(huì)造成多個(gè)用戶操作而使數(shù)據(jù)的完整性破壞。（4）計(jì)算機(jī)網(wǎng)絡(luò)的安全脆弱性傳輸中脆弱性，如電磁輻射、串音干擾、線路竊聽等。網(wǎng)絡(luò)體系結(jié)構(gòu)的開放性脆弱。網(wǎng)絡(luò)服務(wù)的安全脆弱性。,信息系統(tǒng)脆弱性的表現(xiàn),0.2信息系統(tǒng)安全概念,0.2.1基于通信保密的信息系統(tǒng)安全概念0.2.2基于信息系統(tǒng)防護(hù)的信息系統(tǒng)安全概念0.2.3基于信息保障的信息系統(tǒng)安全概念,0.2.1基于通信保密的信息系統(tǒng)安全概念,早期的信息保密2.計(jì)算機(jī)時(shí)代的信息保密,Enigma加密機(jī),0.2.2基于信息系統(tǒng)防護(hù)的信息系統(tǒng)安全概念,具體目標(biāo)：系統(tǒng)保護(hù)：對(duì)設(shè)施或技術(shù)系統(tǒng)的可靠性、完整性和可用性保護(hù)；信息內(nèi)容保護(hù)：保護(hù)系統(tǒng)中數(shù)據(jù)的機(jī)密性、完整性、可用性。這個(gè)概念的形成經(jīng)歷了兩個(gè)階段：計(jì)算機(jī)安全這一時(shí)代的標(biāo)志是1970年美國國防科學(xué)委員會(huì)提出，并于1985年12月美國國防部（DoD）公布的可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則（TCSEC，橘皮書）。它將計(jì)算機(jī)的安全分為4個(gè)方面（安全策略、可說明性、安全保障和文檔）、7個(gè)等級(jí)（D、C1、C2、B1、B2、B3、A1）。A1級(jí)別最高。,計(jì)算機(jī)網(wǎng)絡(luò)安全由于20世紀(jì)90年代因特網(wǎng)的發(fā)展，網(wǎng)絡(luò)成為了計(jì)算機(jī)應(yīng)用的重要形式。計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅從程度上、范圍上都大大超過了單機(jī)時(shí)代，例如惡意代碼、各種非法入侵、不良信息的傳播等。于是“網(wǎng)絡(luò)安全”一詞開始被廣泛采用，它強(qiáng)調(diào)在整個(gè)信息系統(tǒng)中，計(jì)算機(jī)網(wǎng)絡(luò)是保護(hù)的關(guān)鍵部位，保護(hù)了計(jì)算機(jī)網(wǎng)絡(luò)的安全，信息系統(tǒng)的主要安全問題就可以解決。這個(gè)時(shí)期的標(biāo)志是“9.11”事件發(fā)生后，布什總統(tǒng)于2001年10月16日簽署并發(fā)布的13231號(hào)行政命令-信息時(shí)代的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和2002年9月18日出臺(tái)的網(wǎng)絡(luò)安全國家戰(zhàn)略。,0.2.3基于信息保障的信息系統(tǒng)安全概念,信息保障（InformationAssurace）的概念最初是由美國國防部長(zhǎng)辦公室提出來的后被寫入命令DoDDirectiveS-3600.1InformationOperation中，在1996年12月9日以國防部的名義發(fā)表，將信息安全的屬性從過去的保密性、完整性、可用性，又增添了可驗(yàn)證性和不可否認(rèn)性。但是，信息保障的思想應(yīng)該說在這個(gè)命令的前一年，即1995年12月美國國防部提出的PDR模型中就已經(jīng)體現(xiàn)出來了。,可以說，信息保障的概念也是在PDR（protectiondetectionresponse，防護(hù)檢測(cè)響應(yīng)）模型的不斷完善中發(fā)展的。從被動(dòng)防御走向主動(dòng)防御從靜態(tài)防御走向動(dòng)態(tài)防御從技術(shù)與管理分離到技術(shù)與管理融合,PDRR模型防護(hù)（Protect）、檢測(cè)（Detect）、響應(yīng)（React）、恢復(fù)（Restore）,從被動(dòng)到主動(dòng)防御,模型,PDRR模型,日本阪神大地震,美國911事件,從靜態(tài)防御走向動(dòng)態(tài)防御,信息系統(tǒng)本身充滿了動(dòng)態(tài)性：信息系統(tǒng)的需求是動(dòng)態(tài)的；安全漏洞具有動(dòng)態(tài)性：網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)在設(shè)計(jì)開發(fā)過程中必然會(huì)存在某些缺陷和漏洞，新的系統(tǒng)部件也會(huì)引入新的問題。系統(tǒng)建設(shè)是動(dòng)態(tài)的，新應(yīng)用、新產(chǎn)品不斷出現(xiàn)，設(shè)備、應(yīng)用系統(tǒng)和操作系統(tǒng)平臺(tái)的不斷升級(jí)和復(fù)雜化。網(wǎng)絡(luò)拓?fù)涫莿?dòng)態(tài)的：在網(wǎng)絡(luò)的運(yùn)行中，用戶和拓?fù)涫莿?dòng)態(tài)變化的。網(wǎng)絡(luò)上的各種威脅也是動(dòng)態(tài)的。因此要求系統(tǒng)防護(hù)也是動(dòng)態(tài)的。,時(shí)間是量化的，可以被計(jì)算。t是系統(tǒng)整體防護(hù)時(shí)間;Dt是檢測(cè)時(shí)間;Rt是系統(tǒng)響應(yīng)時(shí)間，再引入Et=暴露時(shí)間，則可以得到如下關(guān)系如果PtDt+Rt，那么系統(tǒng)是安全的；如果PtDt+Rt，那么Et=（Dt+Rt）Pt。,從技術(shù)與管理分離到技術(shù)與管理融合,PPDR模型,信息安全保障要依賴于人、技術(shù)和管理三者共同完成，通過提高系統(tǒng)的預(yù)警能力、保護(hù)能力、檢測(cè)能力、反應(yīng)能力和恢復(fù)能力，在信息和系統(tǒng)生命周期全過程的各個(gè)狀態(tài)下提供適當(dāng)?shù)陌踩δ?。其中，管理的作用是非常突出的。管理是PPDR模型的核心，是整個(gè)信息系統(tǒng)安全的依據(jù)，是所有的保護(hù)、檢測(cè)、響應(yīng)的實(shí)施依據(jù)。強(qiáng)調(diào)安全策略的實(shí)質(zhì)就是要充分考慮人的管理因素。,0.2.4基于經(jīng)濟(jì)學(xué)的信息系統(tǒng)安全概念,對(duì)于信息系統(tǒng)安全來說，需要考慮如下三個(gè)與經(jīng)濟(jì)有關(guān)的問題：系統(tǒng)資產(chǎn)：需要保護(hù)系統(tǒng)的哪些資源？這些被保護(hù)的資源統(tǒng)稱系統(tǒng)資產(chǎn)。資產(chǎn)損失：明確系統(tǒng)被攻擊成功時(shí)遭受的損失。投入：確定為保護(hù)系統(tǒng)安全需要投入的資金。,1.資產(chǎn),（1）物理資源（2）信息資源（3）時(shí)間資源（4）人力資源（5）信譽(yù)（形象）資源,2.資產(chǎn)損失,3種情形：（1）一時(shí)性損失。如系統(tǒng)死機(jī)、人員不能工作、處理時(shí)間拖延等。（2）長(zhǎng)期恢復(fù)損失。如信息資源的重新配置等，需要一定的時(shí)間。（3）潛在損失。,損失內(nèi)容：（1）資金損失：生產(chǎn)力損失；直接損失的設(shè)備和資金；調(diào)查成本；修復(fù)或更換設(shè)備付出的成本；專家咨詢成本；員工加班的報(bào)酬等。（2）形象損失（3）業(yè)務(wù)損失（4）人員流失。,3.安全投資,安全強(qiáng)度,安全強(qiáng)度,（a）安全投入與侵入可能性的折中（b）平衡點(diǎn)的變化,4.適度的安全,適度的安全包含了如下3個(gè)安全概念：（1）不夠安全：安全投入小于所減少的損失。（2）適度安全：安全投入等于所減少的損失。（3）過分安全：安全投入大于所減少的損失。,0.3信息系統(tǒng)安全體系,0.3.1OSI信息系統(tǒng)安全體系結(jié)構(gòu)概述,定義：信息系統(tǒng)安全體系是一個(gè)能為所保障對(duì)象提供可用性、機(jī)密性、完整性、不可抵賴性、可授權(quán)性的可持續(xù)系統(tǒng)。機(jī)制：（1）風(fēng)險(xiǎn)分析（Risk）（2）安全防護(hù)（Protect）（3）安全檢測(cè)（Detect）（4）測(cè)試與評(píng)估（TestandEvaluate）（5）應(yīng)急響應(yīng)（React）（6）恢復(fù)（Restore）,0.3.2OSI安全體系的安全服務(wù),1.認(rèn)證服務(wù)通信的對(duì)等實(shí)體鑒別服務(wù)：使N+1層實(shí)體確信某一時(shí)刻與之建立連接或進(jìn)行數(shù)據(jù)傳輸?shù)氖撬枰囊粋€(gè)或多個(gè)N層實(shí)體。數(shù)據(jù)原發(fā)鑒別：使N+1層實(shí)體確信接收到的數(shù)據(jù)單元的來源是自己要求的。2.訪問控制服務(wù)建立用戶（主體）與資源（客體）之間的訪問關(guān)系（如讀、寫、刪除、運(yùn)行等），防止對(duì)某一資源的非授權(quán)使用。,3.機(jī)密性服務(wù)連接機(jī)密性保護(hù)：保證一次（）連接上的全部（）用戶數(shù)據(jù)都保護(hù)起來不使非授權(quán)泄露。無連接機(jī)密性保護(hù)：為單個(gè)無連接的層服務(wù)數(shù)據(jù)單元（N-SDU）中的全部N用戶數(shù)據(jù)提供機(jī)密性保護(hù)。選擇字段機(jī)密性保護(hù)：僅對(duì)處于N連接的用戶數(shù)據(jù)或無連接的N-SDU中所選擇的字段提供機(jī)密性保護(hù)。通信業(yè)務(wù)流機(jī)密性保護(hù)：提供機(jī)密性保護(hù)，并保護(hù)不能通過觀察通信業(yè)務(wù)流推斷出其中的機(jī)密信息。,0.3.2OSI安全體系的安全服務(wù),0.3.2OSI安全體系的安全服務(wù),4.完整性服務(wù)帶恢復(fù)的連接完整性服務(wù)；不帶恢復(fù)的連接完整性服務(wù)；選擇字段連接完整性服務(wù)；無連接完整性服務(wù)；選擇字段無連接完整性服務(wù)。5.抗抵賴服務(wù)有數(shù)據(jù)原發(fā)證明的抗抵賴：防止發(fā)送方抵賴；有數(shù)據(jù)交付證明的抗抵賴：防止接收方抵賴。,OSI安全體系結(jié)構(gòu)中的安全服務(wù)配置,0.3.3OSI安全體系的特定安全機(jī)制,1.加密機(jī)制能為數(shù)據(jù)提供機(jī)密性，也能為通信業(yè)務(wù)流信息提供機(jī)密性，通常采用密碼、信息隱藏等方法實(shí)現(xiàn)2.數(shù)字簽名機(jī)制用以提供認(rèn)證或抗抵賴服務(wù)，是基于密碼體制的一種機(jī)制。3.訪問控制機(jī)制數(shù)據(jù)機(jī)密性；數(shù)據(jù)完整性；可用性。,4.完整性保護(hù)機(jī)制避免未授權(quán)的數(shù)據(jù)亂序、丟失、重放、插入以及篡改，具體技術(shù)有校驗(yàn)碼（抗修改）、順序號(hào)（防亂序）、時(shí)間標(biāo)記（防重放、防丟失）等。5.通信業(yè)務(wù)流填充機(jī)制通信業(yè)務(wù)流填充機(jī)制是一種用于提供業(yè)務(wù)流機(jī)密性保護(hù)的反分析機(jī)制，它可以生成偽造的通信實(shí)例、偽造的數(shù)據(jù)單元或/和數(shù)據(jù)單元中偽造的數(shù)據(jù)，使攻擊者難于從數(shù)據(jù)流量對(duì)通信業(yè)務(wù)進(jìn)行分析。,0.3.3OSI安全體系的特定安全機(jī)制,0.3.3OSI安全體系的特定安全機(jī)制,6.路由選擇控制機(jī)制：可以動(dòng)態(tài)的或預(yù)定的選擇路由，以便只使用物理上安全的子網(wǎng)絡(luò)、中繼站或鏈路。例如：當(dāng)檢測(cè)到持續(xù)的攻擊時(shí)，便指示網(wǎng)絡(luò)服務(wù)提供者經(jīng)別的路由建立連接；依據(jù)安全策略，可以禁止帶有某些安全標(biāo)記的數(shù)據(jù)通過某些子網(wǎng)絡(luò)、中繼站或鏈路；連接的發(fā)起者或無連接中數(shù)據(jù)的發(fā)送者，可以指定路由選擇說明，以請(qǐng)求回避某些特定的子網(wǎng)絡(luò)、中繼站或鏈路。7.公證機(jī)制仲裁方式和判決方式。,8.鑒別交換機(jī)制鑒別信息：如口令、生物信息、身份卡等；密碼技術(shù)。鑒別技術(shù)的選用取決于使用環(huán)境。在許多場(chǎng)合下，還必須附加一些其他技術(shù)。如：時(shí)間標(biāo)記與同步時(shí)鐘；二次握手（對(duì)應(yīng)單方鑒別）或三次握手（對(duì)應(yīng)雙方鑒別）；抗否認(rèn)機(jī)制：數(shù)字簽名和公證機(jī)制。,0.3.3OSI安全體系的特定安全機(jī)制,OSI安全服務(wù)與安全機(jī)制之間的關(guān)系,0.3.4OSI安全體系的普遍性安全機(jī)制（1）,1.安全標(biāo)記機(jī)制顯式的：校驗(yàn)碼等與傳送數(shù)據(jù)相連的附加數(shù)據(jù)。隱含的：加密數(shù)據(jù)中隱含著密鑰約束。2.事件檢測(cè)機(jī)制指對(duì)那些與安全有關(guān)的事件進(jìn)行檢測(cè)。例如：對(duì)于特定安全侵害事件、特定選擇事件、對(duì)事件發(fā)生次數(shù)計(jì)數(shù)溢出等的檢測(cè)。這些檢測(cè)，一般要引起一個(gè)或多個(gè)動(dòng)作，如對(duì)事件的報(bào)告、記錄以及恢復(fù)等。,3.安全審計(jì)跟蹤機(jī)制記錄可疑事件（可以產(chǎn)生一個(gè)安全報(bào)警）；記錄許多日常事件（如連接的建立和終止、使用安全機(jī)制和訪問敏感資源等）；將事件消息傳遞給維護(hù)日志；為檢查和調(diào)查安全的漏洞提供資料；通過列舉被記錄的安全事件類型，對(duì)某些潛在的攻擊起威懾作用。,0.3.4OSI安全體系的普遍性安全機(jī)制（1）,0.3.4OSI安全體系的普遍性安全機(jī)制（2）,4.安全恢復(fù)機(jī)制立即動(dòng)作：立即放棄操作（如斷開連接）；暫時(shí)動(dòng)作：使實(shí)體暫時(shí)無效（如關(guān)閉）；長(zhǎng)期動(dòng)作：把實(shí)體列入黑名單等。5.可信功能機(jī)制可信功能機(jī)制具有如下一些作用：延伸其他安全機(jī)制的范圍或所建立的有效性。因?yàn)橹苯犹峁┑陌踩珯C(jī)制或安全訪問機(jī)制的任意功能都應(yīng)當(dāng)是可信的。提供對(duì)某些硬件和軟件可信賴性的保證。,0.3.5信息系統(tǒng)的安全管理,1.安全策略安全策略（securitypolicy）是在一個(gè)特定的環(huán)境（安全區(qū)域）里，為保證提供一定級(jí)別的安全保護(hù)所必須遵循的一系列條例、規(guī)則。2.安全管理活動(dòng)3.信息系統(tǒng)安全管理的原則4.信息系統(tǒng)的安全標(biāo)準(zhǔn)標(biāo)準(zhǔn)是衡量、評(píng)估、評(píng)測(cè)的準(zhǔn)則。5.信息系統(tǒng)安全立法法律是由國家政權(quán)保證執(zhí)行的行為規(guī)范。,安全策略,（1）對(duì)系統(tǒng)安全的定義、總體目標(biāo)和保護(hù)范圍。（2）支持安全目標(biāo)和原則的管理意向聲明。（3）對(duì)于安全政策、原則、標(biāo)準(zhǔn)和要求的簡(jiǎn)要解釋，例如：符合立法和契約的規(guī)定；安全教育的要求；對(duì)于攻擊的預(yù)防和檢測(cè)；持續(xù)運(yùn)行管理；違反安全策略的后果等。（4）安全管理的總體定義，具體權(quán)責(zé)要求等。（5）有關(guān)支持政策的文獻(xiàn)援引，例如適用于具體信息系統(tǒng)的較為詳細(xì)的安全政策、流程或使用者應(yīng)當(dāng)遵循的安全條例等。,安全管理活動(dòng)（1）,（1）安全服務(wù)管理為該安全服務(wù)確定和指派安全保護(hù)目標(biāo)；為該安全服務(wù)選擇特定的安全機(jī)制；對(duì)需要事先取得管理者同意的可用安全機(jī)制進(jìn)行協(xié)商；通過適當(dāng)?shù)陌踩珯C(jī)制管理功能調(diào)用特定安全機(jī)制。（2）安全機(jī)制管理安全機(jī)制管理是對(duì)各項(xiàng)安全機(jī)制的功能、參數(shù)和協(xié)議的管理。（3）安全事件處理管理報(bào)告包括遠(yuǎn)程的明顯違反系統(tǒng)安全的企圖；確定和修訂觸發(fā)安全事件報(bào)告的閾值。（4）安全審計(jì)管理收集、記錄安全事件；授予或取消對(duì)所選用事件進(jìn)行審計(jì)跟蹤（記錄、調(diào)查）的能力；準(zhǔn)備安全審計(jì)報(bào)告。,安全管理活動(dòng)（2）,（5）安全恢復(fù)管理制定并維護(hù)安全事故的恢復(fù)計(jì)劃、操作規(guī)程和細(xì)則；提出完備的安全恢復(fù)報(bào)告。（6）安全行政管理建立專門的安全管理機(jī)構(gòu)；建立完善的安全管理制度；配備專門安全管理人員，并進(jìn)行培訓(xùn)、考察、評(píng)價(jià)等管理。（7）系統(tǒng)安全管理管理總體安全策略，維護(hù)其一致性；依據(jù)系統(tǒng)總體安全策略，在系統(tǒng)中建立不同等級(jí)的安全管理信息庫（SMIB），以存儲(chǔ)與系統(tǒng)安全有關(guān)的全部信息；維護(hù)安全管理協(xié)議，保證安全服務(wù)管理和安全機(jī)制管理之間的正常交互功能。,信息系統(tǒng)安全的防御原則,（1）木桶原則（2）成本效率原則（3）可擴(kuò)展性原則（4）分權(quán)制衡原則（5）最小特權(quán)原則（6）失效保護(hù)原則（7）公開揭露原則（8）立足國內(nèi)原則（9）可評(píng)估原則,信息系統(tǒng)的安全標(biāo)準(zhǔn),（1）針對(duì)信息系統(tǒng)（包括產(chǎn)品）的安全性評(píng)測(cè)準(zhǔn)則（2）針對(duì)使用信息系統(tǒng)的組織的安全管理標(biāo)準(zhǔn)（3）針對(duì)不同安全產(chǎn)品的互操作性的互操作標(biāo)準(zhǔn),針對(duì)信息系統(tǒng)（包括產(chǎn)品）的安全性評(píng)測(cè)準(zhǔn)則,美國國防部的可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TrustedComputerSystemEvaluationCriteria，TCSEC，1983），也稱桔皮書。這是IT歷史上第一個(gè)安全評(píng)估標(biāo)準(zhǔn)。這個(gè)安全測(cè)試標(biāo)準(zhǔn)的建立旨在：確保用戶的信息安全、為系統(tǒng)集成供應(yīng)商提供指導(dǎo)、為信息安全提供一個(gè)標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)將安全分為四個(gè)等級(jí)：D到A1。每一級(jí)都是在上一級(jí)基礎(chǔ)上添加新的條件。安全等級(jí)D最低，依次為：C1（任意安全保護(hù)），C2（受約束訪問安全保護(hù)），B1（標(biāo)簽安全保護(hù)），B2（結(jié)構(gòu)保護(hù)），B3（安全域），A1（校驗(yàn)設(shè)計(jì)）。共七個(gè)等級(jí)，A1等級(jí)最高。,歐洲（英、德、法、荷四國）的信息技術(shù)安全性評(píng)估準(zhǔn)則（InformationTechnologySecurityEvaluationCriteria，ITSEC，1990），也稱白皮書。加拿大的可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則3.30（CTCPEC3.0，1992.4），將安全需求分為4個(gè)層次：機(jī)密性、完整性、可靠性和可說明性。,六國七方（英國、加拿大、法國、德國、荷蘭、美國家安全局和美國標(biāo)準(zhǔn)技術(shù)研究所）的信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)（CommonCriteriaofInformationTechnicalSecurityEvaluation，CCITSE），簡(jiǎn)稱CC，是在TCSEC基礎(chǔ)上的改進(jìn)，從對(duì)操作系統(tǒng)評(píng)估擴(kuò)充到信息技術(shù)產(chǎn)品和系統(tǒng)。ISO/IEC21827：2002，信息安全工程能力成熟度模型（SystemSecrrityEngineeringCapabilityMaturityModel，SSE-CMM），是一個(gè)關(guān)于信息安全建設(shè)工程實(shí)施方面的標(biāo)準(zhǔn)，通常用過程改善、能力評(píng)估和保證三種方式應(yīng)用。中華人民共和國國家標(biāo)準(zhǔn)GB1789