*** 安全法规定国家支持参与 *** 安全国家标准
《 *** 安全法》规定国家支持企业、研究机构、高等学校、 *** 相关行业组织参与 *** 安全国家标准、行业标准的制定。
《 *** 安全法》第十五条 国家建立和完善 *** 安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关 *** 安全管理以及 *** 产品、服务和运行安全的国家标准、行业标准。
国家支持企业、研究机构、高等学校、 *** 相关行业组织参与 *** 安全国家标准、行业标准的制定。
第十六条 国务院和省、自治区、直辖市人民 *** 应当统筹规划,加大投入,扶持重点 *** 安全技术产业和项目,支持 *** 安全技术的研究开发和应用,推广安全可信的 *** 产品和服务,保护 *** 技术知识产权,支持企业、研究机构和高等学校等参与国家 *** 安全技术创新项目。
计算机 *** 安全的详细解释
计算机 *** 安全概述上海共享网
上海共享网
互联 *** (Internet)起源于1969年的ARPANet,最初用于军事目的,1993年开始用于商业应用,进入快速发展阶段。到目前为止,互连网已经覆盖了175个国家和地区的数千万台计算机,用户数量超过一亿。随着计算机 *** 的普及,计算机 *** 的应用向深度和广度不断发展。企业上网、 *** 上网、网上学校、网上购物......,一个 *** 化社会的雏形已经展现在我们面前。在 *** 给人们带来巨大的便利的同时,也带来了一些不容忽视的问题, *** 信息的安全保密问题就是其中之一。上海共享网
上海共享网
一. *** 信息安全的涵义上海共享网
*** 信息既有存储于 *** 节点上信息资源,即静态信息,又有传播于 *** 节点间的信息,即动态信息。而这些静态信息和动态信息中有些是开放的,如广告、公共信息等,有些是保密的,如:私人间的通信、 *** 及军事部门、商业机密等。 *** 信息安全一般是指 *** 信息的机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)及真实性(Authenticity)。 *** 信息的机密性是指 *** 信息的内容不会被未授权的第三方所知。 *** 信息的完整性是指信息在存储或传输时不被修改、破坏,不出现信息包的丢失、乱序等,即不能为未授权的第三方修改。信息的完整性是信息安全的基本要求,破坏信息的完整性是影响信息安全的常用手段。当前,运行于互联网上的协议(如TCP/IP)等,能够确保信息在数据包级别的完整性,即做到了传输过程中不丢信息包,不重复接收信息包,但却无法制止未授权第三方对信息包内部的修改。 *** 信息的可用性包括对静态信息的可得到和可操作性及对动态信息内容的可见性。 *** 信息的真实性是指信息的可信度,主要是指对信息所有者或发送者的身份的确认。上海共享网
前不久,美国计算机安全专家又提出了一种新的安全框架,包括:机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)、实用性(Utility)、占有性(Possession),即在原来的基础上增加了实用性、占有性,认为这样才能解释各种 *** 安全问题: *** 信息的实用性是指信息加密密钥不可丢失(不是泄密),丢失了密钥的信息也就丢失了信息的实用性,成为垃圾。 *** 信息的占有性是指存储信息的节点、磁盘等信息载体被盗用,导致对信息的占用权的丧失。保护信息占有性的 *** 有使用版权、专利、商业秘密性,提供物理和逻辑的存取限制 *** ;维护和检查有关盗窃文件的审记记录、使用标签等。上海共享网
上海共享网
二.攻击互联 *** 安全性的类型上海共享网
对互联 *** 的攻击包括对静态数据的攻击和对动态数据的攻击。 对静态数据的攻击主要有:上海共享网
口令猜测:通过穷举方式搜索口令空间,逐一测试,得到口令,进而非法入侵系统。上海共享网
IP地址欺骗:攻击者伪装成源自一台内部主机的一个外部地点传送信息包,这些信息包中包含有内部系统的源IP地址,冒名他人,窃取信息。上海共享网
指定路由:发送方指定一信息包到达目的站点的路由,而这条路由是经过精心设计的、绕过设有安全控制的路由。上海共享网
根据对动态信息的攻击形式不同,可以将攻击分为主动攻击和被动攻击两种。上海共享网
被动攻击主要是指攻击者监听 *** 上传递的信息流,从而获取信息的内容(interception),或仅仅希望得到信息流的长度、传输频率等数据,称为流量分析(traffic *** ysis)。被动攻击和窃听示意图如图1、图2所示:上海共享网
上海共享网
上海共享网
上海共享网
上海共享网
上海共享网
上海共享网
上海共享网
除了被动攻击的方式外,攻击者还可以采用主动攻击的方式。主动攻击是指攻击者通过有选择的修改、删除、延迟、乱序、复制、插入数据流或数据流的一部分以达到其非法目的。主动攻击可以归纳为中断、篡改、伪造三种(见图3)。中断是指阻断由发送方到接收方的信息流,使接收方无法得到该信息,这是针对信息可用性的攻击(如图4)。篡改是指攻击者修改、破坏由发送方到接收方的信息流,使接收方得到错误的信息,从而破坏信息的完整性(如图5)。伪造是针对信息的真实性的攻击,攻击者或者是首先记录一段发送方与接收方之间的信息流,然后在适当时间向接收方或发送方重放(playback)这段信息,或者是完全伪造一段信息流,冒充接收方可信任的第三方,向接收方发送。(如图6)上海共享网
上海共享网
上海共享网
上海共享网
上海共享网
上海共享网
上海共享网
上海共享网
上海共享网
三。 *** 安全机制应具有的功能上海共享网
由于上述威胁的存在,因此采取措施对 *** 信息加以保护,以使受到攻击的威胁减到最小是必须的。一个 *** 安全系统应有如下的功能:上海共享网
1.身份识别:身份识别是安全系统应具备的最基本功能。这是验证通信双方身份的有效手段,用户向其系统请求服务时,要出示自己的身份证明,例如输入User ID和Password。而系统应具备查验用户的身份证明的能力,对于用户的输入,能够明确判别该输入是否来自合法用户。上海共享网
2.存取权限控制:其基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法使用。在开放系统中,网上资源的使用应制订一些规定:一是定义哪些用户可以访问哪些资源,二是定义可以访问的用户各自具备的读、写、操作等权限。上海共享网
3.数字签名:即通过一定的机制如RSA公钥加密算法等,使信息接收方能够做出“该信息是来自某一数据源且只可能来自该数据源”的判断。上海共享网
4.保护数据完整性:既通过一定的机制如加入消息摘要等,以发现信息是否被非法修改,避免用户或主机被伪信息欺骗。上海共享网
5.审计追踪:既通过记录日志、对一些有关信息统计等手段,使系统在出现安全问题时能够追查原因。上海共享网
密钥管理:信息加密是保障信息安全的重要途径,以密文方式在相对安全的信道上传递信息,可以让用户比较放心地使用 *** ,如果密钥泄露或居心不良者通过积累大量密文而增加密文的破译机会,都会对通信安全造成威胁。因此,对密钥的产生、存储、传递和定期更换进行有效地控制而引入密钥管理机制,对增加 *** 的安全性和抗攻击性也是非常重要的。上海共享网
上海共享网
四。 *** 信息安全常用技术上海共享网
通常保障 *** 信息安全的 *** 有两大类:以“防火墙”技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型 *** 安全保障技术。上海共享网
1.防火墙技术:“防火墙”(Firewall)安全保障技术主要是为了保护与互联网相连的企业内部 *** 或单独节点。它具有简单实用的特点,并且透明度高,可以在不修改原有 *** 应用系统的情况下达到一定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的IP包,尽可能地对外部 *** 屏蔽被保护 *** 或节点的信息、结构,另一方面对内屏蔽外部某些危险地址,实现对内部 *** 的保护。上海共享网
2.数据加密与用户授权访问控制技术:与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放 *** 。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信息的保护。前面已经提到,对动态数据的攻击分为主动攻击和被动攻击,我们注意到,对于主动攻击,虽无法避免,但却可以有效的检测;而对于被动攻击,虽无法检测,但却可以避免,而实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法。这种变换是受称为密钥的符号串控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为对称密钥算法。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信息,也可以用该密钥解密信息。DES (Data Encryption Standard)是对称加密算法中更具代表性的,它是IBM公司W.tuchman 和C.meyer 在1971年到1972年研制成功的,在1977年5月由美国国家标准局颁部为数据加密标准。DES可以对任意长度的数据加密,密钥长度64比特,实际可用密钥长度56比特,加密时首先将数据分为64比特的数据块,采用ECB(Electronic CodeBook)、CBC(Ciper Block Chaining)、CFB(Ciper Block Feedback)等模式之一,每次将输入的64比特明文变换为64比特密文。最终,将所有输出数据块合并,实现数据加密。如果加密、解密过程各有不相干的密钥,构成加密、解密密钥对,则称这种加密算法为非对称加密算法,或称为公钥加密算法,相应的加密、解密密钥分别称为公钥、私钥。在公钥加密算法下,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者;私钥是保密的,用于解密其接收的公钥加密过的信息。典型的公钥加密算法如RSA (Ronald L Rivest,Adi Shamir,Leonard Adleman),是目前使用比较广泛的加密算法。在互联网上的数据安全传输,如Netscape Navigator 和 Microsoft Internet Explorer都使用了该算法。RSA算法建立在大数因子分解的复杂性上,简单来说,先选取两个素数p、q,一般要求两数均大于10的100次幂,计算 n=p*q,z=(p - 1)*(q - 1),选择一个与z互质的数d,找一个数e满足d*e ≡1 (mod z),将(e,n)作为公钥,将(d,z)作为密钥。RSA的保密性在于n的分解难度上,如果n分解成功,则可推知(d,z),也就无保密性可言了。上海共享网
有了信息加密的手段,我们就可以对动态信息采取保护措施了。为了防止信息内容泄露,我们可以将被传送的信息加密,使信息以密文的形式在 *** 上传输。这样,攻击者即使截获了信息,也只是密文,而无法知道信息的内容。为了检测出攻击者篡改了消息内容,可以采用认证的 *** ,即或是对整个信息加密,或是由一些消息认证函数(MAC函数)生成消息认证码(Message Authentication Code),再对消息认证码加密,随信息一同发送。攻击者对信息的修改将导致信息与消息认证码的不一致,从而达到检测消息完整性的目的。为了检测出攻击者伪造信息,可以在信息中加入加密的消息认证码和时间戳,这样,若是攻击者发送自己生成的信息,将无法生成对应的消息认证码,若是攻击者重放以前的合法信息,接收方可以通过检验时间戳的方式加以识别。上海共享网
上海共享网
五。对 *** 信息安全的前景的展望上海共享网
随着 *** 的发展,技术的进步, *** 安全面临的挑战也在增大。一方面,对 *** 的攻击方式层出不穷:1996年以报道的攻击方式有400种,1997年达到 1000种,1998年即达到4000种,两年间增加了十倍,攻击方式的增加意味着对 *** 威胁的增大;随着硬件技术和并行技术的发展,计算机的计算能力迅速提高,原来认为安全的加密方式有可能失效,如1994年4月26日,人们用计算机破译了RSA发明人17年前提出的数学难题:一个129位数数字中包含的一条密语,而在问题提出时预测该问题用计算机需要850万年才能分解成功;针对安全通信措施的攻击也不断取得进展,如1990年6月20日美国科学家找到了155位大数因子的分解 *** ,使“美国的加密体制受到威胁”。另一方面, *** 应用范围的不断扩大,使人们对 *** 依赖的程度增大,对 *** 的破坏造成的损失和混乱会比以往任何时候都大。这些 *** 信息安全保护提出了更高的要求,也使 *** 信息安全学科的地位越显得重要, *** 信息安全必然随着 *** 应用的发展而不断发展。上海共享网
*** 安全是什么?常见的 *** 威胁类型有几种?
据《 *** 安全产业人才发展报告》白皮书显示,我国网安人才需求高速增长,2021上半年较去年增长39.87%,截止当前网安人才缺口超140万人,这也充分体现了网安在各行业的渗透率以及其重要性,你知道常见的 *** 威胁有哪些吗?又该如何防范呢?请看下文:
*** 安全是什么?
通常也被称为信息技术安全,即对抗针对 *** 系统和应用程序的威胁,核心是保护我们所使用的设备,如手机、电脑、平板、计算机等,以及访问的服务(生活或工作中)免遭盗窃或损坏。
常见的 *** 威胁类型,主要有以下6种:
1、恶意软件
是一个广义术语,包括损害或破坏计算机的任何文件或程序。例如:勒索软件、僵尸 *** 软件、间谍软件、木马、病毒和蠕虫等,它们会为黑客提供未经授权的访问对计算机造成损坏。比较常见的恶意软件攻击方式是恶意软件将自己伪装成合法文件,从而绕过检测。
2、分布式拒绝服务(DDoS)攻击
通过大规模互联网流量淹没目标服务器或其周边基础设施,从而破坏目标服务器、服务或 *** 正常流量的恶意行为。它利用多台受损计算机系统作为攻击流量来源以达到攻击效果。利用的机器可以包括计算机,也可以包括其他联网资源(如IoT设备)。
3、 *** 钓鱼/社会工程学
是一种社会工程形式,它诱使用户提供他们自己的PII(个人可识别信息)或敏感信息。比如我们肯定听说过的 *** 诈骗,很多就是将自己伪装成正规合法公司的电子邮件或短信,并在其中要求用户提供银行卡、密码等隐私信息。电子邮件或短信看似来自正规合法公司,要求用户提供敏感信息,例如银行卡数据或登录密码,但是实际上只要你完成输入,你的个人信息就会被盗走。这里也提醒大家:对疑似诈骗的行为,不轻信、不透露、不转账。
4、高级持续威胁(APT)
也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。
5、中间人攻击
是一种窃听攻击,黑客通过拦截正常的 *** 通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。例如,在不安全的 Wi-Fi
*** 上,攻击者可以拦截在访客设备和 *** 之间传递的数据。
6、内部威胁
现任或前任员工、业务合作伙伴、外包服务商或曾访问过系统或 *** 的任何人,如果滥用其访问权限,都可以被视为内部威胁。内部威胁对专注于外部威胁的传统安全解决方案(如防火墙和入侵检测系统)来说可能是隐形的,但也是最不容忽视的。
世界上之一个计算机 *** 安全标准是什么标准
【问题解答】
1983年由美国国防部制定的5200.28安全标准——可信计算系统评价准则TCSEC(世界上之一个计算机 *** 安全标准),即 *** 安全橙皮书或桔皮书,主要利用计算机安全级别评价计算机系统的安全性。它将安全分为4个方面(类别):安全政策、可说明性、安全保障和文档。将这4个方面(类别)又分为7个安全级别,从低到高依次为D、C1、C2、B1、B2、B3和A级。
数据库和 *** 其他子系统也一直用橙皮书来进行评估。橙皮书将安全的级别从低到高分成4个类别:D类、C类、B类和A类,并分为7个级别。
拓展阅读:清华大学出版社《 *** 安全实用技术》贾铁军教授主编
*** 安全是指在法律合规下保护产品
*** 安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性
*** 安全是一门涉及计算机技术、 *** 技术、通信技术、应用密码学技术、管理技术等多领域的综合性学科。重点解决分布式计算环境(主要是互联网环境)中, *** 设施与 *** 信息资源设计、实现和使用过程的安全性问题,以保障 *** 数据的传输安全、 *** 用户与系统资源和信息资源的访问安全以及 *** 应用系统与 *** 基础设施的运行安全。
0条大神的评论