搜索
第一节安全标准与组织一、制定安全标准的组织–国际标准化组织(ISO)ISO7498开放系统互连(OSI)基本参考模型,提供以下安全服务:–验证服务,包括对等实体验证和数据源验证。–访问控制服务–数据保密服务–数据完整性服务–不可否认服务ISO7498-2提供如下安全机制–加密机制、数字签名机制、访问控制机制、数据完整性机制、验证机制、通信业务填充机制、路由控制机制、公证机制。ISO7498-2还提供如下安全机制,支持不同安全级别–可信功能、安全标记、事件检测、安全审计跟踪、安全恢复国际电报和电话咨询委员会(CCITT现ITU)–X·400报文处理系统(MHS)规定安全服务功能报文源鉴别、探询源鉴别、报告源鉴别服务、投递证明服务、提交证明服务、安全访问管理、内容完整性服务、内容机密性服务、报文流机密性服务、报文序列完整性服务、数据源的不可否认服务、投递的不可否认服务、提交的不可否认服务、报文安全标号服务。–X·400补充了密钥管理服务功能。–X·509提供了应用实体、人员、终端之间进行通信时的相互验证功能,给出了在目录中存放验证信息的条件,定义了使用验证信息进行验证的方法。–X·800对模型、访问控制、认证、保密、完整、不可否认、安全审计等提出了建议。国际信息处理联合会第十一技术委员会(IFIPTC11)电器和电子工程师学会(IEEE)–802.1高层接口–802.2逻辑链路控制–802.3CSMA/CD网–802.4令牌总线网–802.5令牌环网–802.6城域网–802.7宽带技术咨询组–802.8光纤技术咨询组–802.9数据和话间综合网络–P1363公开密钥密码美国国家标准局(NBS)与美国商业部国家技术标准研究所(NIST)–NIST的工作涉及:访问控制和认证技术评价和保障密码电子商务一般计算机安全网络安全风险管理电讯联邦信息处理标准美国国家标准协会(ANSI)–ANSI是美国国家标准的出版机构。二、因特网标准与组织–因特网体系因特网是一个无政府的社会,它的正常运作靠在严格的技术标准下成员间的高度合作来维持。因特网协会(ISOC):为因特网标准的设置提供支持。因特网体系结构工作委员会(IAB):协调因特网的设计、工程与管理工作。因特网工程任务组(IETF):是IAB下属工作机构,负责因特网标准规范的开发。由个人技术工作者合作完成任务。其主席由IAB任命。因特网工作指导组(IESG):是IETF的工作指导机构。由技术专家组成,负责有关因特网标准的最终决策。因特网研究工作组(IRTF):由团体成员组成,负责设定需优先研究的项目。涉及协议、应用、体系结构以及各类技术。其主席由IAB任命。因特网标准的制定过程–提议阶段:被提议的标准应该是比较稳定的,已经解决了设计上的问题,相信能被人们很好地理解,并且已经受到了因特网社会的认真关注,引起了因特网社会的兴趣,被认为是有价值的。一个规范作为提议标准的时间至少是6个月。–草案阶段:当某个规范至少被应用于两个独立的互操作的实施项目中,并且取得了一定运作经验的阶段。草案标准无论在语义上还是作为开发某个实施项目的基础上,都必须能为人们很好地理解,而且相当稳定。一个规范作为草案标准的时间至少是4个月。–正式标准阶段:一个规范进入了技术成熟的高级阶段,通常人们相信,由该规范制定的协议或服务能给因特网社会带来极大的益处。–任何人都可以直接跟踪因特网标准的开发制定过程,并通过电子邮件提出自己的建议。–处于标准制定过程中的规范公布在因特网请求评议(RFC)中,如:RFC791——IP协议、RFC793——TCP协议、RFC822——SMTP协议、RFC2068——HTTP协议等。万维网联盟W3C:Web应用领域标准。HTML、XML因特网安全运作指导方针–RFC1281《因特网安全运作指导方针》为人们如何在因特网社会中努力实现一个安全的环境提供了指导。–用户有责任了解和遵守其所使用的系统(计算机系统和网络系统)的安全政策。用户应该对自己的行为负责任。–用户有责任采取切实可行的安全机制和安全程序来保护其所拥有的数据,用户还有责任帮助保护其所使用的系统的安全。–计算机与网络服务提供商有责任维护其所营运系统的安全,还有责任将其安全政策及其变动情况告知用户。–产品经销商和系统开发商有责任提供可靠的具有一定安全控制功能的系统。–用户、服务提供商及软硬件经销商有责任为保障安全而相互合作。–有关因特网安全协议方面的技术改进应该寻求在一种可持续的基础上进行,同时在因特网上的新协议和软硬件产品的设计与开发过程中,应该吸收安全技术人员参与。三、我国的信息安全标准化工作–自主制定和采用了一批相应的信息安全标准。–由于缺乏广泛的应用经验和深入的研究背景,水平不高,覆盖不够。–行业和部门参与。第二节安全协调机构与政策一、国际信息安全协调机构–计算机应急响应小组(CERT/CC)是一个以协调Internet安全问题解决方案为目的的国际性组织。其作用是解决Internet上存在的安全问题,调查Internet的脆弱性并发布信息。提供问题的解决方案:CERT/CC通过热线了解网络安全问题,通过建立并保持受影响者与有关专家的对话来促使问题得到解决。向Internet用户收集脆弱性问题报告,并进行确认。建立脆弱问题数据库以保证成员在解决问题过程中尽快获得必要的信息。进行信息反馈。CERT/CC曾将调查分析作为服务内容,以获得必要的信息。–CERT/CC成员分为三个组运行组:负责提供针对安全问题的24小时在线技术帮助,进行脆弱性咨询及联系销售业务等事项。教育与培训组:负责对用户进行培训以促进网络安全性的提高。研究与发展组:负责鼓励可信系统的发展。–除CERT/CC外,很多政府、商业和学术机构都组建了计算机信息安全问题小组。二、我国的信息安全管理机构及原则–安全管理格局国务院信息化工作领导小组:对因特网安全中的重大问题进行管理协调。国务院信息化工作领导小组办公室:是国务院信息化工作领导小组的常设办事机构。负责组织、协调和制定有关因特网安全的政策、法规和标准。并监督落实公安部、国家安全部、国家密码管理委员会、国家保密局、国务院新闻办公室等部门依其职能和权限进行管理和执法。将网络类别分为:–与国际上因特网连接的国际网络;–与国际专业计算机信息网络连接的国际网络;–通过专线与国际连网的企业内部网络。将网络级别分为:–因特网络、接入网络和用户网络信息安全管理的基本方针:–兴利除弊、集中监控、分级管理,保障国家安全。密码管理方针:–统一领导、集中管理、定点研制、专控经营、满足使用法律政策原则机构或部门安全管理原则机构或部门信息安全管理做到:–有专门的安全管理机构–有专门的安全管理人员–有逐步完善的安全管理制度–有逐步提高的安全技术措施基本原则规范原则。信息系统的规划、设计、实现、运行要有安全规范要求,要根据本机构的安全要求制定相应的安全政策。根据需要选用必要的安全功能和安全设备。不能盲目开发、自由设计、违章操作、无人管理。预防原则。在信息系统的规划、设计、采购、集成、安装中应同步考虑安全政策和安全功能具备的程度。预防为主不存侥幸立足国内原则。安全技术和设备首先要立足国内,未经许可,不进行消化改造直接应用国外技术和设备威胁国家安全。选用成熟技术原则。采用新技术要重视其成熟度。注重实效原则。投入与安全需求相适应。系统化原则。分期建设,保护投资。均衡防护原则。注意最薄弱环节分权制衡原则。要害部位分权制衡应急原则。不怕一万就怕万一灾难恢复原则。备份中心第三节电子商务安全管理制度技术措施–1.网络安全检测设备–2.访问设备–3.防火墙–4.浏览器/服务器软件–5.端口保护–6.访问控制–7.数据加密–8.数字证书–9.保护传输线路安全–10.路由选择机制–11.流量控制–12.防入侵措施管理措施–1.人员管理制度–2.保密制度–3.跟踪、审计、稽核制度–4.系统维护制度硬件的日常管理与维护软件的日常管理与维护–5.数据容灾制度–6.病毒防范制度–7.应急措施一、信息安全管理制度的内涵计算机信息安全的定义–国际标准化组织:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。–美国国防部:计算机安全是指计算机系统有能力控制给定的主体对给定的客体的存取。–欧洲:计算机安全从三方面衡量保密性:计算机系统能防止非法泄露计算机数据完整性:计算机系统能防止非法修改或删除计算机数据和程序可用性:计算机系统能防止非法独占计算机资源和数据,当用户需要使用计算机资源时能有资源可用计算机信息安全的基本要求–用户和鉴别。向计算机输入用户名和身份鉴别数据,以确认用户的真实身份,防止冒名顶替和非法用机。–控制存取。根据用户对该项资源被授予的权限控制其对资源的存取。–保障完整性。保护计算机系统的配置参数不被非法更改,保护计算机数据不被非法修改和删除,当数据有多份备份时,要保证数据的一致性。–审计。系统能记录用户所要求进行的操作及其相关的数据,能记录操作结果,判断并记录违反安全的事件。审计能力的强弱对于防止计算机犯罪并获得法定证据致关重要。–容错。当计算机硬件或软件系统发生故障时计算机系统能继续工作或迅速恢复。二、网络系统的日常维护制度硬件的日常管理和维护–建立系统设备档案:设备型号、生产厂家、配置参数、安装时间、安装地点、IP地址、上网目录和内容等。对于服务器和客户机增加记录其内存、硬盘容量和型号、终端型号及数量、多用户卡型号、操作系统名、数据库名等。–网络设备:安装网管软件;网络节点配置和管理;系统故障诊断、显示及通告;网络流量与状态的监控、统计与分析;网络性能调优、负载平衡等。–服务器和客户机:通过手工操作进行检查。–通信线路:采用结构化布线,降低故障率,缩短维修时间;租用线路要记录连通情况,与电信部门做好协调沟通工作。软件的日常管理和维护–支撑软件:定期清理日志文件、临时文件定期整理文件系统监测服务器上的活动状态和用户注册数处理运行中的死机情况–应用软件:版本控制软件更新–数据备份数据备份与恢复设备备份三、病毒防范制度安装防病毒软件单机版防毒软件:事后消毒。系统被感染后起作用。网络版防毒软件:事前防范。在网络端口设置一个病毒过滤器,将病毒档在系统之外。不打开陌生地址的电子邮件–关键是附件。认真执行病毒定期清理制度–定期升级,定期杀毒控制权限–对敏感文件的属性、权限加以限制。高度警惕网络陷阱四、人员管理制度严格网上交易人员的选拔责任心强、讲原则、守纪律、了解市场、懂得交易、具备基本网络知识。落实工作责任制既要完成任务,又要遵守安全规定。贯彻电子商务安全运作基本原则–双人负责原则:重要业务两人或多人相互制约。–任期有限原则:不得长期担任与交易安全有关的职务。–最小权限原则:只有网络管理员才可进行物理访问,只有网管人员才可进行软件安装。五、保密制度绝密级:公司经营状况报告、进/出货价格、公司发展规划等。相关的网址、密码等只限上层人员。机密级:公司日常管理情况、会议安排等。相关的网址、密码等只限中、上层人员。秘密级:相关的网址、密码等可在网上公布,但应严防黑客侵入。密钥管理:严格使用、更换、销毁制度。六、跟踪、审计、稽核制度–建立日志机制。–建立审计制度。对日志进行审计。–稽核制度是工商、税务、银行等对企业的监督。七、应急措施制度–应急措施是指在计算机灾难事件发生时,利用应急计划、辅助软件和应急设施,排除灾难和故障,保障信息系统继续运行或紧急恢复。–灾难事件指:自然灾害、电力或服务提供商的问题、系统自身问题。–恢复包括硬件恢复、软件恢复、数据恢复。第四节电子商务安全的法律保障一、国际电子商务立法现状–国际电子商务立法进展发达国家和地区做的比较早。–国际电子商务立法原则电子商务基本上应由私营企业主导。电子商务应在开放、公平的竞争环境