信息系统项目管理师安全

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2021/2/8,#,信息系统项目管理师,信息系统安全,第,24,章 信息安全系统和安全体系,24.1,信息安全系统三维空间,需要时，授权实体可以访问和使用的特性,指的是信息安全的（,15,）。,（,15,）,A,保密性,B,完整性,C,可用性,D,可靠性,24.1,安全机制,1,、基础设施实体安全,2,、平台安全,3,、数据安全,4,、通信安全,5,、应用安全,6,、运行安全,7,、管理安全,8,、授权和审计安全,9,、安全防范体系,安全服务,1,、对等实体论证服务,2,、数据保密服务,3,、数据完整性服务,4,、数据源点论证服务,5,、禁止否认服务,6,、犯罪证据提供服务,安全技术,1,、加密技术,2,、数据签名技术,3,、访问控制技术,4,、数据完整性技术,5,、认证技术,6,、数据挖掘技术,信息系统的安全贯穿于系统的全生命周期，为了其安全，必须从物理安全、技术安全和安全管理三方面入手，只有这三种安全一起实施，才能做到对信息系统的安全保护。其中的物理安全又包括环境安全、设施和设备安全以及介质安全。,24.2,信息安全系统架构体系,三种不同的系统架构：,MIS+S,、,S-MIS S2-MIS,业务应用系统基本不变,硬件和系统软件通用,安全设备基本不带密码,不使用,PKI/CA,技术,应用系统,S-MIS,1,、硬件和系统软件通用,2,、,PKI/CA,安全保障系统必须带密码,3,、业务应用系统必须根本改变,4,、主要的通用硬件、软件也要通过,PKI/CA,论证,应用系统,S2-MIS,SuperSecurity-MIS,1,、,硬,硬,件,件,和,和,系,系,统,统,软,软,件,件,都,都,是,是,专,专,用,用,系,系,统,统,2,、,PKI/CA,安全,基,基础,设,设施,必,必须,带,带密,码,码,3,、业,务,务应,用,用系,统,统必,须,须根,本,本改,变,变,4,、主,要,要硬,件,件和,软,软件,需,需要,PKI/CA,论证,（,16,）不,是,是超,安,安全,的,的信,息,息安,全,全保,障,障系,统,统（,S2-MIS,）的,特,特点,或,或要,求,求。,（,16,）,A,硬,件,件和,系,系统,软,软件,通,通用,B,PKI/CA,安全,保,保障,系,系统,必,必须,带,带密,码,码,C,业,务,务应,用,用系,统,统在,实,实施,过,过程,中,中有,重,重大,变,变化,D,主,要,要的,硬,硬件,和,和系,统,统软,件,件需,要,要,PKI/CA,认证,ERP,为,EnterpriseResourcePlanning,的缩,写,写，,中,中文,的,的名,称,称是,企,企业,资,资源,规,规划,。,。,CRM,为,CustomerRelationshipManagement,的缩,写,写，,中,中文,的,的名,称,称为,客,客户,关,关系,管,管理,。,。,MRPII,为,ManufacturingResourcePlanning,的缩,写,写，,中,中文,名,名称,为,为制,造,造资,源,源计,划,划。,24.3,信息,安,安全,系,系统,支,支持,背,背景,信息,安,安全,保,保障,系,系统,的,的核,心,心就,是,是保,证,证信,息,息、,数,数据,的,的安,全,全,24.4,信息,安,安全,保,保障,系,系统,定,定义,信息,安,安全,保,保障,系,系统,是,是一,个,个在,网,网络,上,上，,集,集成,各,各种,硬,硬件,、,、软,件,件和,密码,设,设备,，,，以,保,保障,其,其他,业,业务,应,应用,信,信息,系,系统,正,正常,运,运行,的,的专,用,用的,信息,应,应用,系,系统,，,，以,及,及与,之,之相,关,关的,岗,岗位,、,、人,员,员、,策,策略,、,、制,度,度和,规程,的,的总,和,和。,信息,安,安全,从,从社,会,会层,面,面来,看,看，,反,反映,在,在,(17),这三,个,个方,面,面。,（,17,）,A,网,络,络空,间,间的,幂,幂结,构,构规,律,律、,自,自主,参,参与,规,规律,和,和冲,突,突规,律,律,B,物,理,理安,全,全、,数,数据,安,安全,和,和内,容,容安,全,全,C,网,络,络空,间,间中,的,的舆,论,论文,化,化、,社,社会,行,行为,和,和技,术,术环,境,境,D,机,密,密性,、,、完,整,整性,、,、可,用,用性,第,25,章,信,信息,系,系统,安,安全,风,风险,评,评估,25.1,信息,安,安全,与,与安,全,全风,险,险,如何,建,建设,信,信息,安,安全,保,保障,系,系统,对现,有,有系,统,统进,行,行风,险,险分,析,析、,识,识别,、,、评,估,估，,并,并为,之,之制,定,定防,范,范措,施,施。,25.2,安全,风,风险,识,识别,安全,威,威胁,也,也叫,安,安全,风,风险,，,，风,险,险是,指,指特,定,定的,威,威胁,或,或因,单,单位,资,资产,的,的脆,弱,弱性,而,而导,致,致单,位,位资,产,产损,失,失或,伤,伤害,的,的可,能,能性,。,。三,方,方面,含,含义,：,：,1,、对,信,信息,或,或资,产,产产,生,生影,响,响,2,、威,胁,胁的,发,发生,会,会对,资,资产,产,产生,影,影响,3,、威,胁,胁具,有,有发,生,生的,可,可能,性,性（,概,概率,）,）,分类,：,：,按性,质,质划,分,分：,静,静态,、,、动,态,态,按结,果,果划,分,分：,纯,纯粹,风,风险,、,、投,机,机风,险,险,按风,险,险源,划,划分,：,：自,事,事件,风,风险,、,、人,为,为事,件,件风,险,险、,软,软件,风,风险,、,、软,件,件过,程,程风,险,险、,项,项目,管,管理,风,风险,、,、应,用,用风,险,险、,用,用户,使,使用,风,风险,安全,威,威胁,的,的对,象,象及,资,资产,评,评估,鉴,鉴定,1,、安,全,全威,胁,胁的,对,对象,资产,评,评估,鉴,鉴定,的,的目,的,的是,区,区别,对,对待,，,，分,等,等级,保,保护,资产,评,评估,鉴,鉴定,分,分级,：,：,1,、可,忽,忽略,级,级别,2,、较,低,低级,3,、中,等,等级,4,、较,高,高级,5,、非,常,常高,资产,之,之间,的,的相,关,关性,在,在进,行,行资,产,产评,估,估时,必,必须,加,加以,考,考虑,资产,评,评估,的,的结,果,果是,列,列出,所,所有,被,被评,估,估的,资,资产,清,清单,，,，包,括,括资,产,产在,保,保密,性,性、,可,可用,性,性、,完,完整,性,性方,面,面的,价,价值,极,极其,重,重要,性,性,信息,系,系统,安,安全,薄,薄弱,环,环节,鉴,鉴定,评,评估,1,、威胁,、,、脆弱,性,性、影,响,响,这三者,之,之间存,在,在的对,应,应关系,，,，威胁,是,是系统,外,外部对,系,系统产,生,生的作,用,用，而,导,导致系,统,统功能,及目标,受,受阻的,所,所有现,象,象，而,脆,脆弱性,是,是系统,内,内部的,薄,薄弱点,，,，威胁,可,可以利,用,用系统,的,的脆弱,性发挥,作,作用，,系,系统风,险,险可以,看,看做是,威,威胁利,用,用了脆,弱,弱性而,引,引起的,。,。,影响可,以,以看做,是,是威胁,与,与脆弱,性,性的特,殊,殊组合,：,：,25.3,风险识,别,别与风,险,险评估,方,方法,风险识,别,别方法,25.3,风险评,估,估方法,：,：,定量评,估,估法：,将某一,项,项具体,的,的风险,划,划分成,了,了一些,等,等级,将不同,的,的安全,事,事件用,与,与其相,关,关的安,全,全资产,价,价值及,其,其发生,的,的概率,来,来进行,比,比较和,等级排,序,序,关注意,外,外事故,造,造成的,影,影响，,并,并由此,决,决定哪,些,些系统,应,应该给,予,予较高,的,的优先,级,级。,0,1,2,1,2,3,2,3,4,确定某,一,一资产,或,或系统,的,的安全,风,风险是,否,否在可,以,以接受,的,的范围,内,内,第,26,章 安,全,全策略,26.1,建立安,全,全策略,概念：,人,人们为,了,了保护,因,因为使,用,用计算,机,机信息,应,应用系,统,统可能,招,招致的,对,对单位,资,资产造,成,成损失,而,而进行,保,保护的,各,各种措,施,施、手,段,段，以,及,及建立,的,的各种,管,管理制,度,度、法,规,规等。,安全策,略,略的归,宿,宿点就,是,是单位,的,的资产,得,得到有,效,效保护,。,。,风险度,的,的概念,：,：,适度安,全,全的观,点,点,木桶效,应,应观点,等级保,护,护,26.3,设计原,则,则,26.4,系统安,全,全方案,与安全,方,方案有,关,关的系,统,统组成,要,要素,制定安,全,全方案,要,要点：,26.5,系统安,全,全策略,主,主要内,容,容,主要内,容,容：,第,27,章 信,息,息安全,技,技术基,础,础,27.1,密码技,术,术,密码技,术,术是信,息,息安全,的,的根本,，,，是建,立,立,“,安全空,间,间,”“,论证,”,、权限,、,、完整,、,、加密,和,和,不可否,认,认,“,5,大要素,不,不可或,缺,缺的基,石,石,对称与,不,不对称,加,加密,DES,算法,美国国,家,家标准,局,局,1973,年开始,研,研究除,国,国防部,外,外的其,它,它部门,的,的计算,机,机系统,的,的数据,加,加密标,准,准，于,1973,年,5,月,15,日和,1974,年,8,月,27,日先后,两,两次向,公,公众发,出,出了征,求,求加密,算,算法的,公,公告。,加,加密算,法,法要达,到,到的目,的,的（通,常,常称为,DES,密码算,法,法要求,）,）主要,为,为以下,四,四点：,1,、提供,高,高质量,的,的数据,保,保护，,防,防止数,据,据未经,授,授权的,泄,泄露和,未,未被察,觉,觉的修,改,改；,2,、具有,相,相当高,的,的复杂,性,性，使,得,得破译,的,的开销,超,超过可,能,能获得,的,的利益,，,，同时,又,又要便,于,于理解,和,和掌握,；,；,3,、,DES,密码体,制,制的安,全,全性应,该,该不依,赖,赖于算,法,法的保,密,密，其,安,安全性,仅,仅以加,密,密密钥,的,的保密,为,为基础,；,；,4,、实现经济,，,，运行有效,，,，并且适用,于,于多种完全,不,不同的应用,。,。,1977,年,1,月，美国政,府,府颁布：采,纳,纳,IBM,公司设计的,方,方案作为非,机,机密数据的,正,正式数据加,密,密标准,(DES,：,DataEncryptionStandard),。,3DES,算法,在,1977,年，人们估,计,计要耗资两,千,千万美元才,能,能建成一个,专,专门计算机,用,用于,DES,的解密，而,且,且需要,12,个小时的破,解,解才能得到,结,结果。所以,，,，当时,DES,被认为是一,种,种十分强壮,的,的加密方法,。,。,但是，当今,的,的计算机速,度,度越来越快,了,了，制造一,台,台这样特殊,的,的机器的花,费,费已经降到,了,了十万美元,左,左右，所以,用,用它来保护,十,十亿美元的,银,银行间线缆,时,时，就会仔,细,细考虑了。,另,另一个方面,，,，如果只用,它,它来保护一,台,台服务器，,那,那么,DES,确实,是,是一,种,种好,的,的办,法,法，,因,因为,黑,黑客,绝,绝不,会,会仅,仅,仅为,入,入侵,一,一个,服,服务,器,器而,花,花那,么,么多,的,的钱,破,破解,DES,密文,。,。由,于,于现,在,在已,经,经能,用,用二,十,十万,美,美圆,制,制造,一,一台,破,破译,DES,的特,殊,殊的,计,计算,机,机，,所,所以,现,现在,再,再对,要,要求,“,强壮,”,加密,的,的场,合,合已,经,经不,再,再适,用,用了,。,。,因为,确,确定,一,一种,新,新的,加,加密,法,法是,否,否真,的,的安,全,全是,极,极为,困,困难,的,的，,而,而且,DES,的唯,一,一密,码,码学,缺,缺点,，,，就,是,是密,钥,钥长,度,度相,对,对比,较,较短,，,，所,以,以人,们,们并,没,没有,放,放弃,使,使用,DES,，而,是,是想,出,出了,一,一个,解,解决,其,其长,度,度问,题,题的,方,方法,，,，即,采,采用,三,三重,DES,。这,种,种方,法,法用,两,两个,密,密钥,对,对明,文,文进,行,行三,次,次加,密,密，,假,假设,两,两个,密,密钥,是,是,K1,和,K2,，其,算,算法,的,的步,骤,骤如,下,下：,1.,用密,钥,钥,K1,进行,DES,加密,。,。,2.,用,K2,对步,骤,骤,1,的结,果,果进,行,行,DES,解密,。,。,3.,用步,骤,骤,2,的结,果,果使,用,用密,钥,钥,K1,进行,DES,加密,。,。,这种,方,方法,的,的缺,点,点，,是,是要,花,花费,原,原来,三,三倍,时,时间,，,，从,另,另一,方,方面,来,来看,，,，三,重,重,DES,的,112,（,2,倍,DES,密钥,长,长度,）,）位,密,密钥,长,长度,是,是很,“,强壮,”,的加,密,密方,式,式了,。,。,主要,的,的公,钥,钥算,法,法有,：,：,RSA,、,DSA,、,DH,和,ECC,。,1,、,DH,算法,是,是,W.Diffie,和,M.Hellman,提出,的,的。,此,此算,法,法是,最,最早,的,的公,钥,钥算,法,法。,它,它实,质,质是,一,一个,通,通信,双,双方,进,进行,密,密钥,协,协定,的,的协,议,议：,两,两个,实,实体,中,中的,任,任何,一,一个,使,使用,自,自己,的,的私,钥,钥和,另,另一,实,实体,的,的公,钥,钥，,得,得到,一,一个,对,对称,密,密钥,，,，这,一,一对,称,称密,钥,钥其,它,它实,体,体都,计,计算,不,不出,来,来。,DH,算法,的,的安,全,全性,基,基于,有,有限,域,域上,计,计算,离,离散,对,对数,的,的困,难,难性,。,。离,散,散对,数,数的,研,研究,现,现状,表,表明,：,：所,使,使用,的,的,DH,密钥,至,至少,需,需要,1024,位，,才,才能,保,保证,有,有足,够,够的,中,中、,长,长期,安,安全,。,。,首先,，,，发,送,送方,和,和接,收,收方,设,设置,相,相同,的,的大,素,素数,n,和,g,，这,两,两个,数,数不,是,是保,密,密的,，,，他,们,们可,以,以通,过,过非,安,安全,通,通道,来,来协,商,商这,两,两个,素,素数,；,；,接着,，,，他,们,们用,下,下面,的,的方,法,法协,商,商密,钥,钥：,发送,方,方选,择,择一,个,个大,随,随机,整,整数,x,，计,算,算,X=gxmodn,，发,送,送,X,给接,收,收者,；,；,接收,方,方选,择,择一,个,个大,随,随机,整,整数,y,，计,算,算,Y=gymodn,，发,送,送,Y,给发,送,送方,；,；,双方,计,计算,密,密钥,：,：发,送,送方,密,密钥,为,为,k1=Yxmodn,，接,收,收方,密,密钥,为,为,k2=Xymodn,。,其中,k1=k2=g(xy)modn,。,（,2,）,RSA,算法,当前,最,最著,名,名、,应,应用,最,最广,泛,泛的,公,公钥,系,系统,RSA,是在,1978,年，,由,由美,国,国麻,省,省理,工,工学,院,院,(MIT),的,Rivest,、,Shamir,和,Adleman,在题,为,为,获得,数,数字,签,签名,和,和公,开,开钥,密,密码,系,系统,的,的方,法,法,的论,文,文中,提,提出,的,的。,它,它是,一,一个,基,基于,数,数论,的,的非,对,对称,(,公开,钥,钥,),密码,体,体制,，,，是,一,一种,分,分组,密,密码,体,体制,。,。其,名,名称,来,来自,于,于三,个,个发,明,明者,的,的姓,名,名首,字,字母,。,。,它,它的,安,安全,性,性是,基,基于,大,大整,数,数素,因,因子,分,分解,的,的困,难,难性,，,，而,大,大整,数,数因,子,子分,解,解问,题,题是,数,数学,上,上的,著,著名,难,难题,，,，至,今,今没,有,有有,效,效的,方,方法,予,予以,解,解决,，,，因,此,此可,以,以确,保,保,RSA,算法,的,的安,全,全性,。,。,RSA,系统,是,是公,钥,钥系,统,统的,最,最具,有,有典,型,型意,义,义的,方,方法,，,，大,多,多数,使,使用,公,公钥,密,密码,进,进行,加,加密,和,和数,字,字签,名,名的,产,产品,和,和标,准,准使,用,用的,都,都是,RSA,算法,。,。,RSA,算法,是,是第,一,一个,既,既能,用,用于,数,数据,加,加密,也,也能,用,用于,数,数字,签,签名,的,的算,法,法，,因,因此,它,它为,公,公用,网,网络,上,上信,息,息的,加,加密,和,和鉴,别,别提,供,供了,一,一种,基,基本,的,的方,法,法。,它通,常,常是,先,先生,成,成一,对,对,RSA,密钥,，,，其,中,中之,一,一是,保,保密,密,密钥,，,，由,用,用户,保,保存,；,；另,一,一个,为,为公,开,开密,钥,钥，,可,可对,外,外公,开,开，,甚,甚至,可,可在,网,网络,服,服务,器,器中,注,注册,，,，人,们,们用,公,公钥,加,加密,文,文件,发,发送,给,给个,人,人，,个,个人,就,就可,以,以用,私,私钥,解,解密,接,接受,。,。为,提,提高,保,保密,强,强度,，,，,RSA,密钥,至,至少,为,为,500,位长,，,，一,般,般推,荐,荐使,用,用,1024,位。,RSA,算法,的,的安,全,全性,基,基于,数,数论,中,中大,素,素数,分,分解,的,的困,难,难性,，,，所,以,以，,RSA,需采,用,用足,够,够大,的,的整,数,数。,因,因子,分,分解,越,越困,难,难，,密,密码,就,就越,难,难以,破,破译,，,，加,密,密强,度,度就,越,越高,。,。,RSA,算法,如,如下,：,：,1,、找,出,出三,个,个大,数,数, p, q, r,其中,p,q,是两个,相,相异的,质,质数, r,是与,(p-1)(q-1),互质的,数,数,p,q,r,这三个,数,数便是,private key,2,、找出,m,，使得,rm=1 mod(p-1)(q-1),这个,m,一定存,在,在,因为,r,与,(p-1)(q-1),互质，,用,用辗转,相,相除法,就,就可以,得,得到了,3,、再来,计算,n =pq,m,n,这两个,数,数便是,publickey,加密过,程,程是：,假设明,文,文资料,为,为,a,，将其,看,看成是,一,一个大,整,整数，,假,假设,a = n,的话，,就,就将,a,表成,s,进位,(s=n,通常取,s =2t),，,则每一,位,位数均,小,小于,n,然後分,段,段加密,接下来,计算,b = ammodn,(0=b n),b,就是加,密,密後的,资,资料,解码的,过,过程是,：,：,计算,c = brmodpq(0=c pq),可以证,明,明,c,和,a,其实是,相,相等的,(3),椭圆曲,线,线密码,体,体制,(ECC),1985,年，,N.Koblitz,和,V.Miller,分别独,立,立提出,了,了椭圆,曲,曲线密,码,码体制,(ECC),，其依,据,据就是,定,定义在,椭,椭圆曲,线,线点群,上,上的离,散,散对数,问,问题的,难,难解性,。,。,为了用,椭,椭圆曲,线,线构造,密,密码系,统,统，首,先,先需要,找,找到一,个,个单向,陷,陷门函,数,数，椭,圆,圆曲线,上,上的数,量,量乘就,是,是这样,的,的单向,陷,陷门函,数,数。,椭圆曲,线,线的数,量,量乘是,这,这样定,义,义的：,设,设,E,为域,K,上的椭,圆,圆曲线,，,，,G,为,E,上的一,点,点，这,个,个点被,一,一个正,整,整数,k,相乘的,乘,乘法定,义,义为,k,个,G,相加，,因,因而有,kG= G+G +,+ G(,共有,k,个,G),若存在,椭,椭圆曲,线,线上的,另,另一点,N G,，满足,方,方程,kG= N,。容易,看,看出，,给,给定,k,和,G,，计算,N,相对容,易,易。而,给,给定,N,和,G,，计算,k =logGN,相对困,难,难。这,就,就是椭,圆,圆曲线,离,离散对,数,数问题,。,。,离散对,数,数求解,是,是非常,困,困难的,。,。椭圆,曲,曲线离,散,散对数,问,问题比,有,有限域,上,上的离,散,散对数,问,问题更,难,难求解,。,。对于,有,有理点,数,数有大,素,素数因,子,子的椭,圆,圆离散,对,对数问,题,题，目,前,前还没,有,有有效,的,的攻击,方,方法。,哈希算,法,法,-,摘要算,法,法,摘要算,法,法是一,种,种能产,生,生特殊,输,输出格,式,式的算,法,法，这,种,种算法,的,的特点,是,是：无,论,论用户,输,输入什,么,么长度,的,的原始,数,数据，,经,经过计,算,算后输,出,出的密,文,文都是,固,固定长,度,度的，,这,这种算,法,法的原,理,理是根,据,据一定,的,的运算,规,规则对,原,原数据,进,进行某,种,种形式,的,的提取,，,，这种,提,提取就,是,是摘要,，,，被摘,要,要的数,据,据内容,与,与原数,据,据有密,切,切联系,，,，只要,原,原数据,稍,稍有改,变,变，输,出,出的,“,摘要,”,便完,全,全不,同,同，,因,因此,，,，基,于,于这,种,种原,理,理的,算,算法,便,便能,对,对数,据,据完,整,整性,提,提供,较,较为,健,健全,的,的保,障,障。,但,但是,，,，由,于,于输,出,出的,密,密文,是,是提,取,取原,数,数据,经,经过,处,处理,的,的定,长,长值,，,，所,以,以它,已,已经,不,不能,还,还原,为,为原,数,数据,，,，即,消,消息,摘,摘要,算,算法,是,是不,可,可逆,的,的，,理,理论,上,上无,法,法通,过,过反,向,向运,算,算取,得,得原,数,数据,内,内容,，,，因,此,此它,通,通常,只,只能,被,被用,来,来做,数,数据,完,完整,性,性验,证,证。,如今,常,常用,的,的,“,消息,摘,摘要,”,算法,经,经历,了,了多,年,年验,证,证发,展,展而,保,保留,下,下来,的,的算,法,法已,经,经不,多,多，,这,这其,中,中包,括,括,MD2,、,MD4,、,MD5,、,SHA,、,SHA-1/256/383/512,等。,常用,的,的摘,要,要算,法,法主,要,要有,MD5,和,SHA1,。,MD5,的输,出,出结,果,果为,16,字节,，,，,sha1,的输,出,出结,果,果为,20,字节,。,。,数字,签,签名,与,与验,证,证,数字,时,时间,戳,戳,利用,非,非对,称,称密,钥,钥传,输,输对,称,称加,密,密密,钥,钥,国家,密,密码,和,和安,全,全产,品,品管,理,理,27.2,虚拟,专,专用,网,网,和,和虚,拟,拟本,地,地网,VPN,即虚,拟,拟专,用,用网,(VirtalPrivateNetwork),，是,一,一条,穿,穿过,混,混乱,的,的公,用,用网,络,络的,安,安全,、,、稳,定,定的,隧,隧道,。,。通,过,过对,网,网络,数,数据,的,的封,包,包和,加,加密,传,传输,，,，在,一,一个,公,公用,网,网络,（,（通,常,常是,因,因特,网,网）,建,建立,一,一个,临,临时,的,的、,安,安全,的,的连,接,接，,从,从而,实,实现,在,在公,网,网上,传,传输,私,私有,数,数据,、,、达,到,到私,有,有网,络,络的,安,安全,级,级别,，,，如,果,果接,入,入方,式,式为,拨,拨号,方,方式,，,，则,称,称之,为,为,VPDN,。通,常,常，,VPN,是对,企,企业,内,内部,网,网的,扩,扩展,，,，通,过,过它,可,可以,帮,帮助,远,远程,用,用户,、,、公,司,司分,支,支机,构,构、,商,商业,伙,伙伴,及,及供,应,应商,同,同公,司,司的,内,内部,网,网建,立,立可,信,信的,安,安全,连,连接,，,，并,保,保证,数,数据,的,的安,全,全传,输,输。,VPN,可用,于,于不,断,断增,长,长的,移,移动,用,用户,的,的全,球,球因,特,特网,接,接入,，,，以,实,实现,安,安全,连,连接,；,；可,用,用于,实,实现,企,企业,网,网站,之,之间,安,安全,通,通信,的,的虚,拟,拟专,用,用线,路,路，,用,用于,经,经济,有,有效,地,地连,接,接到,商,商业,伙,伙伴,和,和用,户,户的,安,安全,外,外联,网,网虚,拟,拟专,用,用网,。,。,SSL,是一,种,种国,际,际标,准,准的,加,加密,及,及身,份,份认,证,证通,信,信协,议,议，,您,您用,的,的浏,览,览器,就,就支,持,持此,协,协议,。,。,SSL,（,SecureSocketsLayer,）最,初,初是,由,由美,国,国,Netscape,公司,研,研究,出,出来,的,的，,后,后来,成,成为,了,了,Internet,网上,安,安全,通,通讯,与,与交,易,易的,标,标准,。,。,SSL,协议,使,使用,通,通讯,双,双方,的,的客,户,户证,书,书以,及,及,CA,根证,书,书，,允,允许,客,客户,/,服务,器,器应,用,用以,一,一种,不,不能,被,被偷,听,听的,方,方式,通,通讯,，,，在,通,通讯,双,双方,间,间建,立,立起,了,了一,条,条安,全,全的,、,、可,信,信任,的,的通,讯,讯通,道,道。,它,它具,备,备以,下,下基,本,本特,征,征：,信,信息,保,保密,性,性、,信,信息,完,完整,性,性、,相,相互,鉴,鉴定,。,。,主,主要,用,用于,提,提高,应,应用,程,程序,之,之间,数,数据,的,的安,全,全系,数,数。,SSL,协议,的,的整,个,个概,念,念可,以,以被,总,总结,为,为：,一,一个,保,保证,任,任何,安,安装,了,了安,全,全套,接,接字,的,的客,户,户和,服,服务,器,器间,事,事务,安,安全,的,的协,议,议，,它,它涉,及,及所,有,有,TC/IP,应用,程,程序,。,。,openssl,是一,个,个功,能,能丰,富,富且,自,自包,含,含的,开,开源,安,安全,工,工具,箱,箱。,它,它提,供,供的,主,主要,功,功能,有,有：,SSL,协议,实,实现,(,包括,SSLv2,、,SSLv3,和,TLSv1),、大,量,量软,算,算法,(,对称,/,非对,称,称,/,摘要,),、大,数,数运,算,算、,非,非对,称,称算,法,法密,钥,钥生,成,成、,ASN.1,编解,码,码库,、,、证,书,书请,求,求,(PKCS10),编解码、数,字,字证书编解,码,码、,CRL,编解码、,OCSP,协议、数字,证,证书验证、,PKCS7,标准实现和,PKCS12,个人数字证,书,书格式实现,等,等功能。,openssl,采用,C,语言作为开,发,发语言，这,使,使得它具有,优,优秀的跨平,台,台性能。,openssl,支持,Linux,、,UNIX,、,windows,、,Mac,等平台。,openssl,目前最新的,版,版本是,0.9.8e.,27.3,无线安全网,络,络,WLAN,第,28,章,PKI,公钥基础设,施,施,28.1,安全,5,要素,28.2PKI,基本概念,为了保证,Internet,的安全问题,，,，世界各国,对,对其进行了,多,多年的研究,初步形成了,一,一套完整的,Internet,安全解决方,案,案，即目前,被,被广泛采用,的,的,PKI,技术,(Public Key Infrastructure,公钥基础设,施,施,),PKI(,公钥基础设,施,施,),技术采用证,书,书管理公钥,，,，通过第三,方,方的可信任,机,机构认证中,心,心,CA(CertificateAuthority),，把用户的,公,公钥和用户,的,的其它标识,信,信息,(,如名称、,e-mail,、身份证号,等,等,),捆绑在一起,，,，在,Internet,网上验证用,户,户的身份。,目,目前,通用的办法,是,是采用建立,在,在,PKI,基础之上的,数,数字证书，,通,通过把要传,输,输的数字信,息,息进行加密,和,和签名，保,证,证信息传输,的,的机密性、,真,真实性、完,整,整性和不可,否,否认性，从,而,而保证信息,的,的安全传输,。,。,PKI,特点,PKI,作为一般通,用,用性的安全,基,基础设施，,必,必须具备如,下,下主要特点,：,：,1,、节省费用,：,：在一个大,型,型组织中，,实,实施统一的,安,安全解决方,案,案，比起实,施,施多个有限,的,的解决方案,，,，费用要节,省,省得多。分,散,散的方案集,成,成困难，新,增,增接入代价,大,大，实施、,维,维护、运营,多,多个点对点,的,的解决方案,与,与单一的基,本,本方案比，,开,开销要高很,多,多。,2,、互操作性,：,：统一的基,础,础设施要比,分,分散多个解,决,决方案具有,更,更高的互操,作,作性，统一,安,安全基础设,施,施平台，开,发,发方案等标,准,准化，更具,互,互操作性，,而,而分散的解,决,决方案可能,采,采用互不兼,容,容的操作流,程,程和工具平,台,台。,3,、开放性：,任,任何技术的,早,早期设计，,都,都希望将来,能,能和其它企,业,业间实现互,操,操作。一个,基,基于开放的,、,、国际标准,公,公认的基础,设,设施技术比,一,一个专有的,点,点对点的技,术,术方案更可,信,信和方便。,点,点对点的技,术,术方案不能,处,处理多域间,的,的复杂性，,不,不具有开放,性,性。,4,、一致性：,安,安全基础设,施,施为所有的,应,应用程序和,设,设备提供了,可,可靠的、一,致,致的解决方,案,案。与一系,列,列互不兼容,的,的解决方案,比,比，这种一,致,致性的解决,方,方案在一个,企,企业内更易,于,于安装、管,理,理和维护。,5,、可验证性,：,：安全基础,设,设施为各种,应,应用系统和,设,设备之间的,交,交互提供了,可,可能，因为,，,，所有的交,互,互采用统一,的,的处理方式,。,。也就是说,，,，基础设施,的,的操作和交,互,互可以被验,证,证是否正确,，,，这个独立,的,的、可信任,的,的验证机构,就,就是认证机,构,构,CA,。在独立的,点,点对点解决,方,方案之间，,安,安全性很难,得,得到保证，,因,因为即使每,一,一个解决方,案,案都经过严,格,格测试，但,方,方案间的交,互,互很难进行,大,大规模的、,全,全面测试。,6,、,可,可,选,选,择,择,性,性,：,：,公,公,钥,钥,基,基,础,础,设,设,施,施,会,会,建,建,立,立,许,许,多,多,被,被,授,授,权,权,的,的,提,提,供,供,者,者,，,，,基,基,础,础,设,设,施,施,提,提,供,供,者,者,可,可,以,以,是,是,一,一,个,个,企,企,业,业,内,内,部,部,的,的,特,特,设,设,机,机,构,构,，,，,更,更,主,主,要,要,的,的,是,是,经,经,论,论,证,证,的,的,第,第,三,三,方,方,机,机,构,构,。,。,使,使,用,用,者,者,可,可,以,以,根,根,据,据,这,这,些,些,机,机,构,构,的,的,专,专,业,业,技,技,术,术,水,水,平,平,、,、,价,价,格,格,、,、,服,服,务,务,功,功,能,能,等,等,因,因,素,素,，,，,自,自,由,由,选,选,择,择,，,，,这,这,和,和,其,其,它,它,基,基,础,础,设,设,施,施,一,一,样,样,，,，,比,比,如,如,我,我,们,们,接,接,入,入,宽,宽,带,带,可,可,以,以,选,选,择,择,不,不,通,通,的,的,接,接,入,入,服,服,务,务,商,商,。,。,国,家,家,公,公,共,共,PKI,体,系,系,信,信,任,任,模,模,型,型,国,家,家,公,公,共,共,PKI,体,系,系,采,采,用,用,网,网,状,状,信,信,任,任,模,模,型,型,，,，,由,由,国,国,家,家,桥,桥,中,中,心,心,（,（,NBCA,）,、,、,地,地,区,区,桥,桥,中,中,心,心,（,（,LBCA,）,、,、,公,公,众,众,服,服,务,务,认,认,证,证,中,中,心,心,（,（,SCA,）,和,和,注,注,册,册,机,机,构,构,组,组,成,成,。,。,国,家,家,桥,桥,中,中,心,心,NBCA,是,沟,沟,通,通,各,各,地,地,方,方,、,、,各,各,行,行,业,业,建,建,立,立,的,的,CA,认,证,证,中,中,心,心,的,的,桥,桥,梁,梁,，,，,它,它,只,只,与,与,CA,进,行,行,交,交,叉,叉,认,认,证,证,，,，,不,不,向,向,最,最,终,终,用,用,户,户,发,发,放,放,证,证,书,书,；,；,地,地,区,区,桥,桥,中,中,心,心,LBCA,功,能,能,与,与,NBCA,类,似,似,，,，,但,但,它,它,是,是,自,自,发,发,组,组,织,织,的,的,机,机,构,构,，,，,代,代,表,表,一,一,批,批,CA,与,NBCA,交,叉,叉,认,认,证,证,；,；,国,家,家,公,公,共,共,PKI,体,系,系,示,示,意,意,图,图,CA,总,体,体,结,结,构,构,为,实,实,现,现,相,相,关,关,服,服,务,务,所,所,需,需,要,要,硬,硬,件,件,体,体,系,系,结,结,构,构,和,和,软,软,件,件,系,系,统,统,功,功,能,能,DMZ,是,英,英,文,文,“,demilitarizedzone,”,的,缩,缩,写,写,，,，,中,中,文,文,名,名,称,称,为,为,“,隔,离,离,区,区,”,，,也,也,称,称,“,非军事化,区,区,”,。它是为,了,了解决安,装,装防火墙,后,后外部网,络,络不能访,问,问内部网,络,络服务器,的,的问题，,而,而设立的,一,一个非安,全,全系统与,安,安全系统,之,之间的缓,冲,冲区，这,个,个缓冲区,位,位于企业,内,内部网络,和,和外部网,络,络之间的,小,小网络区,域,域内，在,这,这个小网,络,络区域内,可,可以放置,一,一些必须,公,公开的服,务,务器设施,，,，如企业,Web,服务器、,FTP,服务器和,论,论坛等。,另,另一方面,，,，通过这,样,样一个,DMZ,区域，更,加,加有效地,保,保护了内,部,部网络，,因,因为这种,网,网络部署,，,，比起一,般,般的防火,墙,墙方案，,对,对攻击者,来,来说又多,了,了一道关,卡,卡。,一个标准,的,的,X.509,数字证书,包,包含以下,一,一些内容,：,：,1,、版本号,标识证书,的,的版本（,版,版本,1,、版本,2,或是版本,3,）。,2,、序列号,由证书颁,发,发者分配,的,的本证书,的,的唯一标,识,识符。,3,、签名,签名算法,标,标识符，,由,由对象标,识,识符加上,相,相关的参,数,数组成，,用,用于说明,本,本证书所,用,用的数字,签,签名算法,。,。例如，,SHA-1,和,RSA,的对象标,识,识符就用来说,明,明该数字,签,签名是利,用,用,RSA,对,SHA-1,杂凑加密,。,。,4,、颁发者,证书颁发,者,者的可识,别,别名（,DN,），这是,必,必须说明,。,。,5,、有效期,证书有效,期,期的时间,段,段。本字,段,段由,”,NotBefore,”,和,”,NotAfter,”,两项组成,，,，它们分,别,别由,UTC,时间或一,般,般的时间,表,表示（在,RFC2459,中有详细,的,的时间表,示,示规则）,。,。,6,、主体,证书拥有,者,者的可识,别,别名，这,个,个字段必,须,须是非空,的,的，除非,你,你在证书,扩,扩展中有,别,别名。,7,、主体公,钥,钥信息,主体的公,钥,钥（以及,算,算法标识,符,符），这,一,一项必须,说,说明。,8,、颁发者,唯,唯一标识,符,符,证书颁发,者,者的唯一,标,标识符，,仅,仅在版本,2,和版本,3,中有要求,，,，属于可,选,选项。,9,、主体,唯,唯一标识,符,符,证书拥,有,有者的,唯,唯一标,识,识符，,仅,仅在版,本,本,2,和版本,3,中有要,求,求，属,于,于可选,项,项。,10,、扩展,可选的,标,标准和,专,专用的,扩,扩展（,仅,仅在版,本,本,2,和版本,3,中使用,）,）, 在,X,509,标准中,，,，数字,证,证书一,般,般不包,含,含（,18,）,（,18,）,A,版本,号,号,B,序列,号,号,C,有效,期,期,D,密钥,28.3,数字证,书,书的生,命,命周期,数字证,书,书映射,28.4 X.509,信任模,型,型,28.6 CA,应用,第,29,章,PMI,权限管,理,理基础,设,设施,Sourceofattribute authority,第,30,章,信,信息安,全,全审计,功能：,30.2,安全审,计,计系统,建,建设,1,、利用,入,入侵监,测,测预警,系,系统实,现,现网络,与,与主机,信,信息监,测,测审计,2,、对重,要,要应用,系,系统运,行,行情况,的,的审计,3,、基于,网,网络旁,路,路监控,方,方式,安全审,计,计是保,障,障计算,机,机系统,安,安全的,重,重要手,段,段之一,，,，其作,用,用不包,括,括（,1,）。,（,1,）,A.,检测对,系,系统的,入,入侵,B.,发现计,算,算机的,滥,滥用情,况,况,C.,发现系,统,统入侵,行,行为和,潜,潜在的,漏,漏洞,D.,保证可,信,信网络,内,内部信,息,息不外,泄,泄,第,31,章 信,息,息安全,系,系统的,组,组织与,管,管理,1,、信息,安,安全管,理,理国际,标,标准,涉及,10,个领域,：,：,2,、信息,安,安全管,理,理体系,实,实施,系列标,准,准,2005,年,10,月,15,日,ISO,发,布,布,了,了,国,国,际,际,标,标,准,准,ISO/IEC27001,：,2005,，,正,正,式,式,标,标,题,题,为,为,BS7799-2,：,2005,信,息,息,技,技,术,术,-,安,全,全,技,技,术,术,-,信,息,息,安,安,全,全,管,管,理,理,体,体,系,系,-,要,求,求,如,何,何,构,构,建,建,企,企,业,业,信,信,息,息,安,安,全,全,管,管,理,理,体,体,系,系,任,何,何,技,技,术,术,措,措,施,施,只,只,能,能,够,够,起,起,到,到,加,加,强,强,信,信,息,息,安,安,全,全,防,防,范,范,能,能,力,力,作,作,用,用,，,，,只,只,有,有,管,管,理,理,到,到,位,位,，,，,才,才,能,能,够,够,保,保,障,障,技,技,术,术,措,措,施,施,从,从,分,分,发,发,挥,挥,作,作,用,用,，,，,才,才,能,能,对,对,信,信,息,息,网,网,络,络,有,有,效,效,地,地,管,管,理,理,和,和,控,控,制,制,。,。,ISO/IEC27001,的,11,个,控,控,制,制,域,域,，,，,企,企,业,业,信,信,息,息,安,安,全,全,管,管,理,理,在,在,此,此,基,基,础,础,上,上,面,面,增,增,加,加,4,个,安,安,全,全,域,域,，,，,其,其,中,中,包,包,括,括,信,信,息,息,安,安,全,全,教,教,育,育,和,和,培,培,训,训,、,、,外,外,部,部,合,合,作,作,伙,伙,伴,伴,的,的,安,安,全,全,、,、,加,加,密,密,、,、,检,检,查,查,/,监,督,督,和,和,审,审,计,计,。,。,这,这,使,使,企,企,业,业,信,信,息,息,安,安,全,全,管,管,理,理,体,体,系,系,更,更,佳,佳,的,的,合,合,理,理,，,，,全,全,面,面,。,。,建,建,立,立,和,和,管,管,理,理,企,企,业,业,信,信,息,息,安,安,全,全,管,管,理,理,体,体,系,系,需,需,要,要,采,采,用,用,与,与,建,建,立,立,和,和,管,管,理,理,其,其,他,他,管,管,理,理,体,体,系,系,相,相,同,同,的,的,方,方,法,法,。,。,其,其,中,中,主,主,要,要,包,包,括,括,策,策,划,划,、,、,实,实,施,施,、,、,检,检,查,查,和,和,处,处,理,理,全,全,过,过,程,程,的,的,安,安,全,全,管,管,理,理,，,，,同,同,时,时,也,也,要,要,注,注,重,重,建,建,立,立,评,评,估,估,、,、,响,响,应,应,、,、,防,防,护,护,、,、,评,评,估,估,的,的,动,动,态,态,闭,闭,环,环,的,的,管,管,理,理,流,流,程,程,。,。,ISO/IEC 20000,建立在国际,公,公认的英国,标,标准,BS 15000,的基础之上,并,并取而代之,。,。,ISO/IEC 20000,的发布分为,两,两个部分：,第一部分是,服,服务管理规,范,范，涵盖了,IT,服务管理。,认,认证机构,根,根据此部分,对,对您的组织,进,进行审核，,它,它规定了要,通,通过认证须,达,达到的最低,要,要求。,第二部分是,服,服务管理的,实,实施准则，,描,描述了规范,范,范围内服务,管,管理流程的,最,最佳做法。,适用于哪些,组,组织？,任何依赖,IT,服务的组织,，,，不论其规,模,模大小、所,属,属行业或地,理,理位置如何,，,，均可使用,ISO/IEC 20000,。 该标准,尤,尤其适合于,内,内部,IT,服务提供商,（,（如,IT,部门）和外,部,部,IT,服务提供商,（,（如,IT,外包组织）,。,。,该标准已经,对,对一些依赖,IT,的主要行业,产,产生了积极,影,影响，例如,业,业务流程外,包,包、电信、,金,金融和公共,部,部门。,2007,年,10,月，,WiMAX,被,ITU,正式纳为新,的,的,3G,标准，对已,有,有的三大主,流,流,3G,标准构成了,挑,挑战。,WiMAX,可能成为固,网,网运营商与,移,移动通信运,营,营商进行竞,争,争的有力武,器,器，可以改,善,善企业与服,务,务供应商的,认,认知度。但,由,由于技术成,熟,熟度、运营,牌,牌照发放等,原,原因，当前,国,国内各通信,运,运营商对,WiMAX,的态度主要,以,以跟踪或试,验,验为主。,IEEE802.16,系列标准，,又,又称为,IEEEWireless MAN,标准，它对,工,工作于不同,频,频带的无线,接,接入系统空,中,中接口的一致性和,共,共存问题进,行,行了规范。,由,由于它所规,定,定的无线系,统,统覆盖范围,在,在千米量级,，,，因而,802.16,系统主要应,用,用于城域网,。,。,WiMAX,，又称,IEEE802.16,标准，或广,带,带无线接入,(BroadbandWirelessAccess,，,BWA),标准。它是,一,一项无线城,域,域网,(WMAN),技术，是针,对,对微波和毫,米,米波频段提,出,出的一种新,的,的空中接口,标,标准。一般,在,在文献中，,名,名词,WiMAX,与,IEEE802.16,可,通,通,用,用,。,。,但,但,实,实,际,际,上,上,WiMAX,与,IEEE802.16,存,在,在,一,一,定,定,区,区,别,别,。,。,WiMAX,基,于,于,IEEE802.16,协,议,议,族,族,，,，,包,包,含,含,多,多,个,个,协,协,议,议,。,。,其,其,中,中,主,主,流,流,的,的,标,标,准,准,有,有,：,：,IEEE802.16-2004,它,由,由,IEEE,于,2004,年,通,通,过,过,，,，,采,采,用,用,266GHz,频,段,段,，,，,支,支,持,持,多,多,种,种,QoS,优,先,先,级,级,。,。,802.16d,涵,盖,盖,了,了,802.16-2001,至,802.16a,标,准,准,，,，,是,是,相,相,对,对,成,成,熟,熟,的,的,一,一,个,个,标,标,准,准,。,。,为,为,了,了,更,更,好,好,地,地,支,支,持,持,移,移,动,动,性,性,，,，,提,提,供,供,移,移,动,动,宽,宽,带,带,接,接,入,入,，,，,IEEE,于,2005,年,底,底,通,通,过,过,、,、,并,并,在,在,2006,年,2,月,发,发,布,布,了,了,802.16e(IEEE802.16-2005),规,范,范,。,。,协,协,议,议,对,对,802.16d,协,议,议,OFDMA(,正,交,交,频,频,分,分,复,复,用,用,接,接,入,入,)PHY,进,行,行,了,了,扩,扩,展,展,和,和,改,改,进,进,，,，,同,同,时,时,在,在,MAC,层,增,增,加,加,了,了,切,切,换,换,流,流,程,程,和,和,信,信,令,令,支,支,持,持,，,，,通,通,常,常,认,认,为,为,802.16d,使用,OFDM-PHY,规范,，,，,802.16e,使用,OFDMA-PHY,规范,。,。,IEEE802.16j,，是,移,移动,多,多跳,中,中继,(MMR),系统,规,规范,，,，用,于,于扩,大,大覆,盖,盖范,围,围，,提,提高,系,系统,容,容量,，,，负,载,载均,衡,衡等,用,用途,，,，预,计,计于,2008,年发,布,布。,IEEE802.16m,是以,ITU-R,所提,的,的,4G,规格,做,做为,目,目标,来,来制,定,定的,，,，目,前,前已,初,初步,完,完成,技,技术,需,需求,文,文件,。,。,第,32,章,信,信,息,息安,全,全系,统,统工,程,程,32.3ISSE-CMM,基础,