网络信息安全技术基础知识

《网络信息安全技术基础知识》由会员分享，可在线阅读，更多相关《网络信息安全技术基础知识（108页珍藏版）》请在装配图网上搜索。

1、网络安全技术网络安全技术 在网络出现以前，信息安全指对信息的在网络出现以前，信息安全指对信息的机密性、机密性、完整性和可获性完整性和可获性的保护，即的保护，即面向数据面向数据的安全。的安全。互联网出现以后，信息安全除了上述概念以外，其互联网出现以后，信息安全除了上述概念以外，其内涵又扩展到内涵又扩展到面向用户面向用户的安全。的安全。网络安全从其本质上讲就是网络上网络安全从其本质上讲就是网络上信息的安全信息的安全，指，指网络系统的硬件、软件及其系统中的数据的安全。网网络系统的硬件、软件及其系统中的数据的安全。网络信息的传输、存储、处理和使用都要求处于安全的络信息的传输、存储、处理和使用都要求处于

2、安全的状态。状态。信息安全涉及的问题：信息安全涉及的问题：1.法律政策问题法律政策问题2.管理问题管理问题3.技术问题技术问题4.其他因素其他因素安全威胁：安全威胁：内部威胁内部威胁 外部威胁外部威胁信息安全威胁的类型：信息安全威胁的类型：计算机系统的脆弱性；计算机系统的脆弱性；操作系统的脆弱性；操作系统的脆弱性；协议安全的脆弱性；协议安全的脆弱性；数据库管理系统安全的脆弱性；数据库管理系统安全的脆弱性；人为的因素。人为的因素。v操作系统的原因操作系统的原因 操作系统不安全是计算机网络不安全的根本原因，目前流行的许多操作系统均存在网络安全漏洞。操作系统不安全主要表现为以下七个方面。(1)操作系

3、统结构体制本身的缺陷。操作系统的程序是可以动态连接的。I/O的驱动程序与系统服务都可以用打补丁的方式进行动态连接，有些操作系统的版本升级采用打补丁的方式进行。v操作系统的原因操作系统的原因 虽然这些操作需要被授予特权，但这种方法厂商可用，黑客也可用。操作系统支持程序动态连接与数据动态交换是现代系统集成和系统扩展的需要，这显然与安全有矛盾。(2)创建进程也存在着不安全因素。进程可以在网络的节点上被远程创建和激活，更为重要的是被创建的进程还可继承创建进程的权利。这样可以在网络上传输可执行程序，再加上远程调用的功能，就可以在远端服务器上安装“间谍”软件。另外，还可以把这种间谍软件以打补丁的方式加在一

4、个合法用户上，尤其是一个特权用户上，以便使系统进程与作业监视程序都看不到间谍软件的存在。v操作系统的原因操作系统的原因 (3)操作系统中，通常都有一些守护进程，这种软件实际上是一些系统进程，它们总是在等待一些条件的出现，一旦这些条件出现，程序便继续运行下去，这些软件常常被黑客利用。这些守护进程在UNIX、Windows 2000操作系统中具有与其他操作系统核心层软件同等的权限。(4)操作系统提供的一些功能也会带来一些不安全因素。例如，支持在网络上传输文件、在网络上加载与安装程序，包括可以执行文件的功能；操作系统的debug和wizard功能。许多精通于patch和debug工具的黑客利用这些工

5、具几乎可以做成想做的所有事情。v操作系统的原因操作系统的原因 (5)操作系统自身提供的网络服务不安全。如操作系统都提供远程过程调用(Remote Processor CalRPC)服务，而提供的安全验证功能却很有限；操作系统提供网络文件系统(Network Files SystemNFS)服务，NFS系统是一个基于RPC的网络文件系统，如果NFS设置存在重大问题，则几乎等于将系统管理权拱手交出。(6)操作系统安排的无口令入口，是为系统开发人员提供的便捷入口，但这些入口也可能被黑客利用。(7)操作系统还有隐蔽的信道，存在着潜在的危险。尽管操作系统的缺陷可以通过版本的不断升级来克服，但系统的某一个

6、安全漏洞就会使系统的所有安全控制毫无价值。v网络协议的原因网络协议的原因 随着Internet/Intranet的发展，TCP/IP协议被广泛地应用到各种网络中，但采用的TCP/IP协议族软件本身缺乏安全性，使用TCP/IP协议的网络所提供的FTP、E-mail、RPC和NFS都包含许多不安全的因素，存在着许多漏洞。网络的普及使信息共享达到了一个新的层次，信息被暴露的机会大大增多。特别是Internet网络是一个开放的系统，通过未受保护的外部环境和线路可能访问系统内部，发生随时搭线窃听、远程监控和攻击破坏等事件。v网络协议的原因网络协议的原因 另外，数据处理的可访问性和资源共享的目的性之间是矛

7、盾的，它造成了计算机系统保密性难，拷贝数据信息很容易且不留任何痕迹。如一台远程终端上的用户可以通过Internet连接其他任何一个站点，在一定条件下可以随意进行拷贝、删改乃至破坏该站点的资源。v数据库管理系统的原因数据库管理系统的原因 大量的信息存储在各种各样的数据库中，然而，有些数据库系统在安全方面考虑很少。数据库管理系统的安全必须与操作系统的安全相配套。例如，数据库管理系统的安全级别是B2级，那么操作系统的安全级别也应该是B2级，但实践中往往不是这样做的。v防火墙的局限性防火墙的局限性 利用防火墙可以保护计算机网络免受外部黑客的攻击，但它只是能够提高网络的安全性，不可能保证网络绝对安全。事

8、实上仍然存在着一些防火墙不能防范的安全威胁，甚至防火墙产品自身是否安全，设置是否正确，都需要经过检验。如防火墙不能防范不经过防火墙的攻击，很难防范来自于网络内部的攻击以及病毒的威胁等。v其他方面的原因其他方面的原因 其他方面的原因包括：(1)计算机领域中一些重大的技术进步会对安全性构成新的威胁。这些新的威胁需要新的技术来消除，而技术进步的速度要比克服威胁的技术进步的速度快得多。(2)安全性的地位总是列在计算机网络系统总体设计规划的最后面。一般用户首先考虑的是系统的功能、价格、性能、兼容性、可靠性和用户界面等，而忽略了网络系统的安全。(3)环境和灾害的影响，如温度、湿度、供电、火灾、水灾、静电、

9、灰尘、雷电、强电磁场以及电磁脉冲等均会破坏数据和影响系统的正常工作。(4)计算机系统自身是电子产品，它所处理的对象也是电子信息，但目前的电子技术基础薄弱，其抵抗外部环境影响的能力也比较弱。(5)不能避免剩磁效应和电磁泄漏。(6)计算机及网络系统的访问控制配置复杂且难于验证，偶然的配置错误会使闯入者获取访问权。(7)无法估计主机的安全性。随着一个站点的主机数量的增加，确保每台主机的安全性都处在高水平的能力却在下降。只用管理一台系统的能力来管理如此多的系统就容易犯错误。另一个因素是系统管理的作用经常变换并行动迟缓，这导致一些系统的安全性比另一些要低，这些系统将成为薄弱环节，最终将破坏这个安全链。v

10、 总之，计算机网络系统自身的脆弱和不足，是造成计算机网络安全问题的内部根源。但计算机网络系统本身的脆弱性、社会对计算机网络系统应用的依赖性这一矛盾又将促进计算机网络安全技术的不断发展和进步。外部威胁外部威胁：编程 系统漏洞 网络威胁 物理威胁 身份认证 外部威胁 v计算机网络安全威胁的来源计算机网络安全威胁的来源 影响计算机网络安全的因素很多，有些因素可能是有意的，也可能是无意的；可能是天灾，也可能是人为的。计算机网络安全威胁的来源主要有三个。(1).天灾天灾 天灾是指不可控制的自然灾害，如雷击、地震等。天灾轻则造成正常的业务工作混乱，重则造成系统中断和无法估量的损失。(2).人为因素人为因素

11、 人为因素可分为有意和无意两种类型。人为的无意失误和各种各样的误操作都可能造成严重的不良后果。如文件的误删除、输入错误的数据、操作员安全配置不当；用户的口令选择不慎，口令保护得不好；用户将自己的账号随意借给他人或与别人共享等都可能会对计算机网络带来威胁。有意因素是指人为的恶意攻击、违纪、违法和犯罪，它是计算机网络面临的最大威胁。人为的恶意攻击又可分为两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一种是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，将导致机密数据的泄露。人为的威胁往往是由于系统

12、资源和管理中的薄弱环节被威胁源(入侵者或其入侵程序)利用而产生的。(3).系统本身原因系统本身原因1)计算机硬件系统及网络设备的故障 由于设计、生产工艺、制造、设备运行环境等原因，计算机硬件系统及网络设备会出现故障。如电路短路、断路、接触不良、器件老化和电压的波动干扰等引起的网络系统不稳定。2)软件的漏洞 软件不可能百分之百的无缺陷和漏洞，软件系统越庞大，出现漏洞和缺陷的可能性也越大。这些漏洞和缺陷就成了攻击者的首选目标。3)软件的“后门”软件的“后门”是软件公司的程序设计人员为了方便而在开发时预留设置的。这些“后门”一般不为外人所知，但是一旦“后门洞开”，其造成的后果将不堪设想。v威胁的具体

13、表现形式威胁的具体表现形式 威胁具体表现为物理威胁、系统漏洞造成的威胁、鉴别威胁、线缆连接威胁、有害程序威胁和管理上的威胁等六种形式。(1).物理威胁物理威胁 1)偷窃 网络安全中的偷窃包括偷窃设备、偷窃信息和偷窃服务等内容。如果偷窃者想偷的信息在计算机里，那他们一方面可以将整台计算机偷走，另一方面可以读取、复制计算机中的信息。2)恶劣的运行环境 恶劣的运行环境是指计算机网络系统的运行环境不符合标准，主要包括防火、防水、防雷击、防静电、电源保护、环境温度、环境湿度和抗电磁干扰等不符合安全技术要求。恶劣的运行环境可能加速设备的老化，造成设备的损坏、信息的错误或丢失。3)废物搜寻 废物搜寻是指在废

14、物(如打印出来的材料或废弃的软盘、光盘)中搜寻所需要的信息。废物搜寻可能包括未从安全角度彻底删除信息的软盘或硬盘上获得有用资料。4)间谍行为 间谍行为是一种以获取有价值的机密信息为目的，采用不道德的、不合法的行为盗取信息的过程。5)身份识别错误 身份识别错误是指非法建立文件或记录，企图把它们作为有效的、正式生产的文件或记录。如对具有身份鉴别特征物品(如加密的安全卡、护照、执照等)进行伪造就属于身份识别发生错误的范畴。(2).系统漏洞造成的威胁系统漏洞造成的威胁 1)乘虚而入 例如，用户A停止了与某个系统的通信，但由于某种原因仍使该系统上的一个端口处于激活状态，这时，用户B通过这个端口开始与这个

15、系统通信，这样就不必通过任何申请使用端口的安全检查了。2)不安全服务 操作系统的一些服务程序有时可以绕过机器的安全系统，成为不安全服务。比如，互联网蠕虫就是利用了一些操作系统中的可绕过机器进行攻击的。3)配置和初始化 当关掉一台服务器以维修它的某个系统时，在重新启动服务器后，可能会有些用户说他们的文件丢失了或被篡改了，这就有可能是在系统重新初始化时，安全系统没有被正确地初始化，从而留下了安全漏洞让人利用。（3 3）口令破解口令破解 口令破解这种威胁主要是由于用户口令设置比较简单造成的。破解口令就像是猜测密码锁的数字组合一样，在该领域中已形成许多能提高成功率的技巧。比如在计算密码的程序中使用多线

16、程、密码字典等。一般比较安全的口令应该在六位以上，包括字母、数字、符号等。网络上已经出现了针对使用比较简单口令的操作系统进行口令破解、攻击的网络蠕虫病毒。1)算法考虑不周全 一般来说，口令输入过程必须在满足一定条件下才能正常地工作，这个过程通过某些算法来实现。在一些入侵案例中，入侵者采用超长的字符串破坏了口令算法，成功地进入了系统。2)编辑口令 编辑口令一般需要依靠内部漏洞，如某单位内部的人建立了一个虚设的账户或修改了一个隐含账户的口令，这样，任何知道那个账户的用户名和口令的人便可以访问该机器了。(4).线缆连接威胁线缆连接威胁 1)窃听 对通信过程进行窃听可达到收集信息的目的，这种电子窃听可

17、以将窃听设备安装在通信线缆上，也可以通过检测从连线上发射出来的电磁辐射来拾取所要的信号。2)拨号进入 拥有一个调制解调器和一个电话号码，每个人都可以通过拨号远程访问网络，但当别有用心的人拥有所期望攻击的网络的用户账户时，就会对网络造成很大的威胁。3)冒名顶替 冒名顶替是指通过使用别人的密码和账号，获得对网络及其数据、程序的使用能力。(5).有害程序威胁有害程序威胁 1)计算机病毒 计算机病毒是一种把自己的拷贝附着于机器中的另一程序上的一段代码。通过这种方式，病毒可以进行自我复制，并随着它所附着的程序在机器之间传播。2)代码炸弹 代码炸弹是一种具有杀伤力的代码，其原理是在到达设定的时间，通过网络

18、向被攻击者发送特定代码或在机器中发生了某种操作时，代码炸弹就被触发并开始产生破坏性操作。代码炸弹不像病毒那样四处传播，一般是程序员有意或无意造成的软件安全漏洞。3)特洛伊木马 特洛伊木马程序一旦被安装到机器上，便可按编制者的意图行事。特洛伊木马有的伪装成系统上已有的程序，有的创建新的用户名和口令，有的窃取用户信息，甚至破坏数据。4)更新或下载 有些网络系统允许通过网络进行固件和操作系统更新，于是非法闯入者便可以通过这种更新方法，对系统进行非法更新。(6).(6).管理上的威胁管理上的威胁 管理上的威胁主要来自单位的内部，但对网络安全的威胁非常大，这方面的威胁单靠计算机和网络技术是无法解决的。1

19、)规章制度不健全 规章制度不健全会造成人为泄密事故。如网络方面的规章制度不严，出现网络安全问题不能及时响应、及时处理，对机密文件管理不善，文件存放混乱和违章操作等。2)网络管理员自身问题 网络管理员自身问题包括保密观念不强，不懂保密规则，不遵守规章制度，随便泄密；业务不熟练，不能及时发现并修补网络上的安全漏洞；操作失误造成信息出错、误发；素质不高，缺乏责任心，没有良好的工作态度，明知故犯甚至有意破坏网络系统和设备等。防范措施：防范措施：用备份和镜像技术提高数据完整性用备份和镜像技术提高数据完整性 防治病毒防治病毒 安装补丁程序安装补丁程序 提高物理安全提高物理安全 构筑因特网防火墙构筑因特网防

20、火墙 仔细阅读日志仔细阅读日志 加密加密 提防虚假的安全提防虚假的安全安全的概念：安全的概念：开放式网络环境中的安全是指一种能力，可以做开放式网络环境中的安全是指一种能力，可以做到两件事情：到两件事情：（1）把你的）把你的LAN或者或者WAN从其他网络中区分开来从其他网络中区分开来（2）识别并消除安全威胁和缺陷）识别并消除安全威胁和缺陷 计算机网络安全是指网络系统的硬件、软件及其系统计算机网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，确保系统能连续、可靠、正常地运行，坏、更改、泄露，确

21、保系统能连续、可靠、正常地运行，使网络服务不中断。网络安全从本质上讲就是网络上信息使网络服务不中断。网络安全从本质上讲就是网络上信息的安全。的安全。网络安全是一门涉及计算机科学、网络技术、通信网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的综合性学科。论等多种学科的综合性学科。计算机信息安全包括广泛的策略和解决方案，计算机信息安全包括广泛的策略和解决方案，主要包括主要包括8个方面个方面：（1）访问控制访问控制（2）选择性访问控制选择性访问控制（3）计算机病毒和木马计算机病毒和木马（4）

22、加密加密（5）系统计划和管理系统计划和管理（6）物理安全物理安全（7）生物统计学生物统计学（8）网络和通信的安全网络和通信的安全1.保密性保密性：指信息不泄漏给非授权的个人、实体和过：指信息不泄漏给非授权的个人、实体和过 程，或供其使用的特性。程，或供其使用的特性。2.完整性完整性：指信息未经授权不能被修改、不被破坏、：指信息未经授权不能被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。不被插入、不延迟、不乱序和不丢失的特性。3.可用性可用性：指合法用户访问并能按要求顺序使用信息：指合法用户访问并能按要求顺序使用信息的特性。的特性。4.可控性可控性：指授权机构对信息的内容及传播具有控制

23、：指授权机构对信息的内容及传播具有控制能力的特性。能力的特性。5.可审查性可审查性：在信息交流过程结束后，通信双方不能：在信息交流过程结束后，通信双方不能抵赖曾经做出的行为，也不能否认曾经接收到对方抵赖曾经做出的行为，也不能否认曾经接收到对方的信息。的信息。1.安全技术安全技术2.身份认证技术身份认证技术3.访问控制技术访问控制技术4.加密技术加密技术5.防火墙技术防火墙技术6.安全审计技术安全审计技术7.安全管理技术安全管理技术技技 术术分分 类类说说 明明信息安全监察安全监控查验发现违规确定入侵定位损害监控威胁犯罪起诉起诉量刑纠偏建议管理安全技术管理安全多级安全用户鉴别术的管理多级安全加密

24、术的管理密铜管理术的管理行政管理安全人员管理系统管理应急管理安全应急的措施组织入侵的自卫与反击技技 术术分分 类类说说 明明信息安全技术安全实体安全环境安全(温度、湿度、气压等)建筑安全(防雷、防水、防鼠等)网络与设备安全软件安全软件的安全开发与安装软件的安全复制与升级软件加密软件安全性能溯试数据安全数据加密数据存储安全数据备份运行安全访问控制审计跟踪入侵告警与系统恢复等立法安全有关信息安全的政策、法令、法规认知安全办学、办班奖惩与扬抑信息安全宣传与普及教育 一般对待计算机网络安全问题通常有两种不同的态度。第一种是保守的态度保守的态度。这种态度认为将安全问题隐藏起来才是最好的解决办法。表面上看

25、，隐藏就可以避免网络安全问题，但是不能证明不会被人发现安全漏洞，也不能阻止掌握了这种漏洞的人去利用这些网络安全问题。目前有些软件采用了这种态度，事实上这些安全性比较低的软件在攻击者或网络安全专家面前，漏洞就很容易被发现。第二种是比较积极的态度。这种态度认为网络安全问题不应该隐藏，只有不断地去发现和解决这些安全问题，才能让计算机网络系统变得更安全。这种态度可以让用户知道哪些是安全的，哪些是存在问题的。对于存在安全问题的事务应该及时发现，并及时进行修补。如果一个系统经受住众多使用者的考验，那么开发者和使用者就不用担心严重的安全问题了。对于计算机网络安全问题，应该采用比较积极的态度，不断地学习与研究

26、，及时获取网络安全的新技术，修补网络安全上的漏洞，保障网络的安全。事实上，很多网络安全问题是因为网络管理员没有及时地弥补安全漏洞而导致的。v1 网络安全事故发生的几个原因网络安全事故发生的几个原因 现有网络系统和协议还是不健全、不完善、不安全的；思想麻痹，没有清醒地意识到黑客入侵所会导致的严重后果，舍不得投入必要的人力、财力和物力来加强网络的安全性；没有采用正确的安全策略和安全机制；缺乏先进的网络安全技术、工具、手段和产品；缺乏先进的灾难恢复措施和备份意识。v2 局域网（站点）安全事故发生的几个原因局域网（站点）安全事故发生的几个原因（1）网络系统的流量；）网络系统的流量；（2）网络提供的和使

27、用的服务；）网络提供的和使用的服务；（3）网络与）网络与Internet的连接方式；的连接方式；（4）网络的知名度；）网络的知名度；（5）网络对安全事故的准备情况。）网络对安全事故的准备情况。v （1）威严的法律：安全的基石是社会法律、法规）威严的法律：安全的基石是社会法律、法规和手段，即通过建立与信息安全相关的法律、法规，和手段，即通过建立与信息安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。使非法分子慑于法律，不敢轻举妄动。v （2）先进的技术：先进的技术是信息安全的根本）先进的技术：先进的技术是信息安全的根本保障，用户对自身面临的威胁进行风险评估，决定保障，用户对自身面临的威胁进

28、行风险评估，决定其需要的安全服务种类。选择相应的安全机制，然其需要的安全服务种类。选择相应的安全机制，然后集成先进的安全技术。后集成先进的安全技术。v （3）严格的管理：各网络使用机构、企业和单位）严格的管理：各网络使用机构、企业和单位应建立相应的信息安全管理办法，加强内部管理，应建立相应的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。建立审计和跟踪体系，提高整体信息安全意识。v 物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件设备和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限，防止用户越权操作；确保计算机系统有一个良好的电磁兼容工

29、作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种盗劫、破坏活动的发生。v（1）入网访问控制；）入网访问控制；v（2）网络的权限控制；）网络的权限控制；v（3）目录级安全控制；）目录级安全控制；v（4）属性安全控制；）属性安全控制；v（5）网络服务器安全控制；）网络服务器安全控制；v（6）网络检测和锁定控制；）网络检测和锁定控制；v（7）网络端口和结点的安全控制。）网络端口和结点的安全控制。v 它是控制进出两个方向通信的门槛。在网络边它是控制进出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻挡

30、外部网络的侵入。内部和外部网络，以阻挡外部网络的侵入。v 信息加密的目的是保护网内的数据、文件、口信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。令和控制信息，保护网上传输的数据。v 常用的方法有常用的方法有链路加密、端到端加密和节点加链路加密、端到端加密和节点加密密三种。三种。链路加密的目的是保护网络结点之间的链路信息链路加密的目的是保护网络结点之间的链路信息安全；安全；端到端加密的目的是对源端用户到目的端用户的端到端加密的目的是对源端用户到目的端用户的数据提供保护；数据提供保护；节点加密的目的是对源节点到目的节点之间的传节点加密的目的是对源节点到目的节点之间的传输

31、链路提供保护。输链路提供保护。v 在网络安全中，除了采用上述措施之外，加强在网络安全中，除了采用上述措施之外，加强网络的安全管理，制定有关规章制度，对于确保网网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。络的安全、可靠地运行，将起到十分有效的作用。v网络的安全管理策略包括：网络的安全管理策略包括：确定安全管理的等级和安全管理的范围；确定安全管理的等级和安全管理的范围；制定有关网络使用规程和人员出入机房管理制度；制定有关网络使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。制定网络系统的维护制度和应急措施等。v 1982年，开放系统互联

32、（年，开放系统互联（OSI）基本模型建立）基本模型建立之初，就开始进行之初，就开始进行OSI安全体系结构的研究。安全体系结构的研究。1989年年12月月ISO颁布了计算机信息系统互联标准的第二颁布了计算机信息系统互联标准的第二部分，即部分，即ISO7498-2标准，并首次确定了开放系统标准，并首次确定了开放系统互联（互联（OSI）参考模型的安全体系结构。我国将其称）参考模型的安全体系结构。我国将其称为为GBT9387-2标准，并予以执行。标准，并予以执行。ISO安全体系安全体系结构包括了三部分内容：安全服务、安全机制和安结构包括了三部分内容：安全服务、安全机制和安全管理。全管理。ISO安全体系

33、结构确定了五大类安全服务：安全体系结构确定了五大类安全服务：v1、认证认证v2、访问控制、访问控制v3、数据保密性数据保密性v4、数据完整性数据完整性v5、不可否认（抗抵赖）性不可否认（抗抵赖）性v 这种安全服务提供某个实体的身份保证。该服这种安全服务提供某个实体的身份保证。该服务有两种类型：务有两种类型：v对等实体认证对等实体认证 这种安全服务由这种安全服务由(N)层提供时，层提供时，(N+1)层实体可确层实体可确信对等实体是它所需要的信对等实体是它所需要的(N+1)层实体。层实体。v数据源认证数据源认证 在通信的某个环节中，需要确认某个数据是由某在通信的某个环节中，需要确认某个数据是由某个

34、发送者发送的。当这种安全服务由个发送者发送的。当这种安全服务由(N)层提供时，层提供时，可向可向(N+1)层实体证实数据源正是它所需要的对等层实体证实数据源正是它所需要的对等(N+1)层实体。层实体。v 这种安全服务提供的保护，就是对某一些确知这种安全服务提供的保护，就是对某一些确知身份限制对某些资源（这些资源可能是通过身份限制对某些资源（这些资源可能是通过OSI协议协议可访问的可访问的OSI资源或非资源或非OSI资源）的访问。这种安全资源）的访问。这种安全服务可用于对某个资源的各类访问（如通信资源的服务可用于对某个资源的各类访问（如通信资源的利用，信息资源的阅读、书写或删除，处理资源的利用，

35、信息资源的阅读、书写或删除，处理资源的执行等）或用于对某些资源的所有访问。执行等）或用于对某些资源的所有访问。v这种安全服务能够提供保护，使得信息不泄漏、不这种安全服务能够提供保护，使得信息不泄漏、不暴露给那些未授权就想掌握该信息的实体。暴露给那些未授权就想掌握该信息的实体。v连接保密性：这种安全服务向某个连接保密性：这种安全服务向某个(N)连接的所有连接的所有(N)用户数据提供保密性。用户数据提供保密性。v无连接保密性：这种安全服务向单个无连接无连接保密性：这种安全服务向单个无连接(N)安全安全数据单元数据单元(SDU)中的所有中的所有(N)用户数据提供保密性。用户数据提供保密性。v选择字段

36、保密性：这种安全服务向选择字段保密性：这种安全服务向(N)连接上的连接上的(N)用户数据内或单个无连接用户数据内或单个无连接(N)SDU中的被选字段提供中的被选字段提供保密性。保密性。v业务流保密性：这种安全服务防止通过观察业务流业务流保密性：这种安全服务防止通过观察业务流以得到有用的保密信息。以得到有用的保密信息。v这种安全服务保护数据在存储和传输中的完整性。这种安全服务保护数据在存储和传输中的完整性。v 带恢复的连接完整性：这种安全服务向某个带恢复的连接完整性：这种安全服务向某个(N)连接上的所连接上的所有有(N)用户数据保证其完整性。它检测对某个完整的用户数据保证其完整性。它检测对某个完

37、整的SDU序列序列内任何一个数据遭到的任何篡改、插入、删除或重放，同时内任何一个数据遭到的任何篡改、插入、删除或重放，同时还可以补救恢复。还可以补救恢复。v 不带恢复的连接完整性：与带恢复的连接完整性服务相同，不带恢复的连接完整性：与带恢复的连接完整性服务相同，但不能补救恢复。但不能补救恢复。v 选择字段连接完整性：这种安全服务向在某个连接中传输选择字段连接完整性：这种安全服务向在某个连接中传输的某个的某个(N)SDU的的(N)用户数据内的被选字段提供完整性保护，用户数据内的被选字段提供完整性保护，并能确定这些字段是否经过篡改、插入、删除或重放。并能确定这些字段是否经过篡改、插入、删除或重放。

38、v 无连接完整性：这种安全服务由（无连接完整性：这种安全服务由（N）层提供，向提出请）层提供，向提出请求的（求的（N+1）层实体提供无连接中的数据完整性保证。并能确）层实体提供无连接中的数据完整性保证。并能确定收到的定收到的SDU是否经过篡改；另外，还可以对重放情况进行是否经过篡改；另外，还可以对重放情况进行一定程度的检测。一定程度的检测。v 选择字段无连接完整性：这种安全服务对单个无连接选择字段无连接完整性：这种安全服务对单个无连接SDU中的被选字段的保证其完整性，并能确定被选字段是否经过中的被选字段的保证其完整性，并能确定被选字段是否经过篡改、插入、删除或重放。篡改、插入、删除或重放。v

39、它主要保护通信系统不会遭到自系统中其它合它主要保护通信系统不会遭到自系统中其它合法用户的威胁，而不是来自未知攻击者的威胁。法用户的威胁，而不是来自未知攻击者的威胁。v 数据源的抗抵赖：向数据接收者提供数据来源的数据源的抗抵赖：向数据接收者提供数据来源的证据，以防止发送者否认发送该数据或其内容的任证据，以防止发送者否认发送该数据或其内容的任何企图。何企图。v 传递过程的抗抵赖：向数据发送者提供数据已到传递过程的抗抵赖：向数据发送者提供数据已到目的地的证据，以防止收信者否认接收该数据或其目的地的证据，以防止收信者否认接收该数据或其内容的任何事后的企图。内容的任何事后的企图。v ISO安全体系结构定

40、义了八大类安全机制，安全体系结构定义了八大类安全机制，即：即：1、加密加密 2、数据签名机制、数据签名机制 3、访问控制机制、访问控制机制 4、数据完整性机制、数据完整性机制 5、鉴别交换机制、鉴别交换机制 6、业务填充机制、业务填充机制 7、路由控制机制、路由控制机制 8、公证机制、公证机制 加密可向数据或业务流信息提供保密性，并能加密可向数据或业务流信息提供保密性，并能对其他安全机制起作用或对它们进行补充。加密算对其他安全机制起作用或对它们进行补充。加密算法可以是可逆或不可逆的，可逆加密算法有以下两法可以是可逆或不可逆的，可逆加密算法有以下两大类：大类：v 对称对称(单钥单钥)加密体制：对

41、于这种加密体制，加密加密体制：对于这种加密体制，加密与解密用同一个密钥；与解密用同一个密钥；v 非对称非对称(公钥公钥)加密体制：对于这种加密体制，加加密体制：对于这种加密体制，加密与解密用不同的密钥，这种加密系统的两个密钥密与解密用不同的密钥，这种加密系统的两个密钥有时被称为有时被称为“公钥公钥”和和“私钥私钥”。这种安全机制由两个过程构成：这种安全机制由两个过程构成：v对数据单元签名过程对数据单元签名过程 这个过程可以利用签名者私有的（即独有和保密这个过程可以利用签名者私有的（即独有和保密的）信息的）信息;v验证签名的数据单元过程验证签名的数据单元过程 这个过程则要利用公之于众的规程和信息

42、，通过这个过程则要利用公之于众的规程和信息，通过它们并不能推出签名者的私有信息。它们并不能推出签名者的私有信息。v 这种安全机制可以利用某个实体经鉴别的身份或关于该实这种安全机制可以利用某个实体经鉴别的身份或关于该实体的信息（比如，某个已知实体集里的一员），进行确定并体的信息（比如，某个已知实体集里的一员），进行确定并实施实体的访问权。实施实体的访问权。v 实现好的访问控制规则可以建立在下列几个方式之上。实现好的访问控制规则可以建立在下列几个方式之上。（a）访问控制信息库：它保存着对等实体对资源的访问）访问控制信息库：它保存着对等实体对资源的访问权限。权限。（b）鉴别信息：对这种信息的占有和出

43、示便证明正在访）鉴别信息：对这种信息的占有和出示便证明正在访问的实体已被授权问的实体已被授权（c）权力：实体对权力的占有和出示便证明有权访问由）权力：实体对权力的占有和出示便证明有权访问由权力规定的实体或资源权力规定的实体或资源（d）安全标记：当与某个实体相关联时，可用于同意或）安全标记：当与某个实体相关联时，可用于同意或拒绝访问，通常根据安全策略而定拒绝访问，通常根据安全策略而定（e）访问时间：可以根据试图访问的时间建立规则）访问时间：可以根据试图访问的时间建立规则（f）访问路由：可以根据试图访问的路由建立规则）访问路由：可以根据试图访问的路由建立规则（g）访问持续期：还可以规定某次访问不可

44、超过一定的）访问持续期：还可以规定某次访问不可超过一定的持续时间。持续时间。v 访问控制机制可用于通信连接的任何一端或用在中间的任访问控制机制可用于通信连接的任何一端或用在中间的任何位置。何位置。v 数据完整性机制的两个方面：数据完整性机制的两个方面：单个的数据单元或字段的完整性单个的数据单元或字段的完整性 数据单元串或字段串的完整性数据单元串或字段串的完整性v 确定单个数据单元的完整性：确定单个数据单元的完确定单个数据单元的完整性：确定单个数据单元的完整性涉及到两个处理：一个在发送实体中进行，而另一整性涉及到两个处理：一个在发送实体中进行，而另一个在接收实体中进行。个在接收实体中进行。v 编

45、序形式：对于连接方式的数据传输，保护数据单元编序形式：对于连接方式的数据传输，保护数据单元序列的完整性序列的完整性(即防止扰乱、丢失、重放、插入或篡改数即防止扰乱、丢失、重放、插入或篡改数据据)还需要某种明显的编序形式，如序号、时标式密码链还需要某种明显的编序形式，如序号、时标式密码链等。等。v 保护形式：对于无连接的数据传输，时标可用于提供保护形式：对于无连接的数据传输，时标可用于提供一种有限的保护形式，以防止单个数据单元的重放。一种有限的保护形式，以防止单个数据单元的重放。对数据完整性的五个最常见的威胁：对数据完整性的五个最常见的威胁：人自身 硬件故障 逻辑问题 网络故障 灾难 对数据完整

46、性的威胁 人本身对数据完整性的威胁：人本身对数据完整性的威胁：蓄意报复 通信受阻 意外事故 缺乏经验 压力/恐慌 贪得无厌 人本身对数据完整性的威胁 硬件故障对数据完整性的威胁：硬件故障对数据完整性的威胁：硬盘故障 I/O 故障 电源故障 存储器故障 介质、备份等故障 芯片、主板故障 硬件故障对数据完整性的威胁 网络故障对数据完整性的威胁：网络故障对数据完整性的威胁：网络故障对数据 完整性的威胁 网络连接问题 辐射问题 网卡和驱动问题 软件故障对数据完整性的威胁：软件故障对数据完整性的威胁：软件故障对数据 完整性的威胁 软件错误 文件损坏 错误需求 操作系统错误 数据交换错误 容量错误 灾难对

47、数据完整性的威胁：灾难对数据完整性的威胁：灾难对数据 完整性的威胁 工业故障 恐怖主义 自然灾难 v这种安全机制是通过信息交换以确保实体身份的一种机制。这种安全机制是通过信息交换以确保实体身份的一种机制。v 可用于鉴别交换的一些技术可用于鉴别交换的一些技术（a）利用鉴别信息（如通信字）利用鉴别信息（如通信字）（b）密码技术）密码技术（c）利用实体的特征或占有物。）利用实体的特征或占有物。v 对等实体鉴别：如果在鉴别实体时得到的是否定结果，那对等实体鉴别：如果在鉴别实体时得到的是否定结果，那么将会导致拒绝连接或终止连接，而且还会在安全审计线索么将会导致拒绝连接或终止连接，而且还会在安全审计线索中

48、增加一个记录，或向安全管理中心进行报告。中增加一个记录，或向安全管理中心进行报告。v 确保安全：在利用密码技术时，可以同确保安全：在利用密码技术时，可以同“握手握手”协议相结协议相结合，以防止重放合，以防止重放(即确保有效期即确保有效期)。v 应用环境：选择鉴别交换技术取决于它们应用的环境。在应用环境：选择鉴别交换技术取决于它们应用的环境。在许多场合下，需要同下列各项结合起来使用：（许多场合下，需要同下列各项结合起来使用：（a）时标和同）时标和同步时钟；（步时钟；（b）双向和三向握手）双向和三向握手(分别用于单方和双方鉴别分别用于单方和双方鉴别)；（c）由数字签名或公证机制实现的不可否认服务。

49、）由数字签名或公证机制实现的不可否认服务。v 这是一种防止造假的通信实例、产生欺骗性数这是一种防止造假的通信实例、产生欺骗性数据单元或在数据单元中产生假数据的安全机制。该据单元或在数据单元中产生假数据的安全机制。该机制可用于提供对各种等级的保护，以防止业务分机制可用于提供对各种等级的保护，以防止业务分析。该机制只有在业务填充受到保密性服务保护时析。该机制只有在业务填充受到保密性服务保护时才有效。才有效。v 路由选择：路由既可以动态选择，也可以事先安路由选择：路由既可以动态选择，也可以事先安排好，以便只利用物理上安全的子网、中继站或链排好，以便只利用物理上安全的子网、中继站或链路。路。v 路由连

50、接：当检测到持续操作攻击时，端系统可路由连接：当检测到持续操作攻击时，端系统可望指示网络服务提供者通过不同的路由以建立连接。望指示网络服务提供者通过不同的路由以建立连接。v 安全策略：携带某些安全标签的数据可能被安全安全策略：携带某些安全标签的数据可能被安全策略禁止通过某些子网、中继站或链路。连接的发策略禁止通过某些子网、中继站或链路。连接的发起者（或无连接数据单元的发送者）可以指定路由起者（或无连接数据单元的发送者）可以指定路由说明，以请求回避特定的子网的中继站或链路。说明，以请求回避特定的子网的中继站或链路。关于在两个或多个实体间进行通信的数据的性关于在两个或多个实体间进行通信的数据的性能

51、，比如它的完整性、来源、时间和目的地等，可能，比如它的完整性、来源、时间和目的地等，可由公证机制来保证。保证由第三方公证人提供，公由公证机制来保证。保证由第三方公证人提供，公证人能够得到通信实体的信任，而且可以掌握按照证人能够得到通信实体的信任，而且可以掌握按照某种可证实方式提供所需保证的必要的信息。每个某种可证实方式提供所需保证的必要的信息。每个通信场合都可以利用数字签名、加密和完整性机制通信场合都可以利用数字签名、加密和完整性机制以适应公证人所提供的服务。在用到这样一个公证以适应公证人所提供的服务。在用到这样一个公证机制时，数据便经由受保护的通信场合和公证人在机制时，数据便经由受保护的通信

52、场合和公证人在通信实体之间进行传送。通信实体之间进行传送。OSI安全体系结构的第三个主要部分就是安全管理。它的安全体系结构的第三个主要部分就是安全管理。它的主要内容是实施一系列的安全政策，对系统和网络上的操作进主要内容是实施一系列的安全政策，对系统和网络上的操作进行管理。它包括三部分内容：行管理。它包括三部分内容：v系统安全管理系统安全管理v安全服务管理安全服务管理v安全机制管理安全机制管理 OSI安全管理涉及到安全管理涉及到OSI管理系统本身的安全，包括管理系统本身的安全，包括OSI管理协议的安全和管理协议的安全和OSI管理信息交换的安全等。管理信息交换的安全等。涉及整体涉及整体OSI安全环

53、境的管理。包括：安全环境的管理。包括：v总体安全策略的管理总体安全策略的管理vOSI安全环境之间的安全信息交换安全环境之间的安全信息交换v安全服务管理和安全机制管理的交互作用安全服务管理和安全机制管理的交互作用v安全事件的管理安全事件的管理v安全审计管理安全审计管理v安全恢复管理安全恢复管理 涉及特定安全服务的管理，其中包括：涉及特定安全服务的管理，其中包括：v对某种安全服务定义其安全目标对某种安全服务定义其安全目标;v指定安全服务可使用的安全机制指定安全服务可使用的安全机制;v通过适当的安全机制管理及调动需要的安全机制通过适当的安全机制管理及调动需要的安全机制;v系统安全管理以及安全机制管理

54、相互作用。系统安全管理以及安全机制管理相互作用。涉及特定的安全机制的管理。其中包括：涉及特定的安全机制的管理。其中包括：v密钥管理密钥管理v加密管理加密管理v数字签名管理数字签名管理v访问控制管理访问控制管理v数据完整性管理数据完整性管理v鉴别管理鉴别管理v业务流填充管理业务流填充管理v公证管理公证管理 v安全安全=风险分析风险分析 执行策略执行策略 系统实施系统实施 漏洞监漏洞监测测 实时响应实时响应v特点特点 （1）安全管理的持续性、安全策略的动态性。）安全管理的持续性、安全策略的动态性。以实时监视网络活动、发现威胁和弱点来调整和以实时监视网络活动、发现威胁和弱点来调整和填补系统缺陷。填补

55、系统缺陷。（2）可测性（即可控性）。通过经常性对网络）可测性（即可控性）。通过经常性对网络系统的评估把握系统风险点，及时弱化甚至堵塞系统的评估把握系统风险点，及时弱化甚至堵塞安全漏洞。安全漏洞。（3）利用专家系统、统计分析、神经网络方法）利用专家系统、统计分析、神经网络方法对现有网络行为实时监控报告和分析风险。对现有网络行为实时监控报告和分析风险。v（1）网络层的安全性）网络层的安全性 v（2）系统的安全性）系统的安全性v（3）用户的安全性）用户的安全性v（4）应用程序的安全性）应用程序的安全性v（5）数据的安全性）数据的安全性v1TCSEC标准标准 v2欧洲欧洲ITSEC标准标准 v3加拿大

56、加拿大CTCPEC评价标准评价标准 v4美国联邦准则美国联邦准则FC v5联合公共准则联合公共准则CC标准标准 v6BS7799标准标准 v7我国有关网络信息安全的相关标准我国有关网络信息安全的相关标准 v 橘皮书(Trusted Computer System Evaluation CriteriaTCSEC)是计算机系统安全评估的第一个正式标准，具有划时代的意义。它于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC最初只是军用标准，后来延至民用领域。TCSEC将计算机系统的安全划分为四个等级、七个安全级别(从低到高依次为D、C1、C2、B1、B2、B3和

57、A级)。D级和A级暂时不分子级。每级包括它下级的所有特性，从最简单的系统安全特性直到最高级的计算机安全模型技术，不同计算机信息系统可以根据需要和可能选用不同安全保密程度的不同标准。1)D级D级是最低的安全形式，整个计算机是不信任的，只为文件和用户提供安全保护。D级系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。拥有这个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全不可信的。对于硬件来说，是没有任何保护措施的，操作系统容易受到损害，没有系统访问限制和数据限制，任何人不需要任何账户就可以进入系统，不受任何限制就可以访问他人的数据文件。属于这个级别的操作系统有DOS、

58、Windows 9x、Apple公司的Macintosh System 7.1。2)C1级 C1级又称有选择地安全保护或称酌情安全保护(Discretionny Security Protection)系统，它要求系统硬件有一定的安全保护(如硬件有带锁装置，需要钥匙才能使用计算机)，用户在使用前必须登记到系统。另外，作为C1级保护的一部分，允许系统管理员为一些程序或数据设立访问许可权限等。它描述了一种典型的用在UNIX系统上的安全级别。这种级别的系统对硬件有某种程度的保护，但硬件受到损害的可能性仍然存在。用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对信息拥有什么样的

59、访问权。这种访问权是指对文件和目标的访问权。文件的拥有者和根用户(Root)可以改动文件中的访问属性，从而对不同的用户给与不同的访问权。例如，让文件拥有者有读、写和执行的权力；给同组用户读和执行的权力；而给其他用户以读的权力。C1级保护的不足之处在于用户可以直接访问操纵系统的根目录。C1级不能控制进入系统的用户的访问级别，所以用户可以将系统中的数据任意移走，他们可以控制系统配置，获取比系统管理员所允许的更高权限，如改变和控制用户名。3)C2级 C2级又称访问控制保护，它针对C1级的不足之处增加了几个特性。C2级引进了访问控制环境(用户权限级别)的增加特性，该环境具有进一步限制用户执行某些命令或

60、访问某些文件的权限，而且还加入了身份验证级别。另外，系统对发生的事情加以审计(Audit)，并写入日志当中，如什么时候开机，哪个用户在什么时候从哪里登录等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以大致推测出可能有人想强行闯入系统。审计可以记录下系统管理员执行的活动，审计还加有身份验证，这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理器时间和磁盘资源。使用附加身份认证就可以让一个C2系统用户在不是根用户的情况下有权执行系统管理任务。不要把这些身份认证和应用于程序的用户ID许可(SUID)设置和同组用户ID许可(SGID)设置相混淆，身份认证可以用来确定用户是否

61、能够执行特定的命令或访问某些核心表。例如，当用户无权浏览进程表时，它若执行命令就只能看到它们自己的进程。授权分级指系统管理员能够给用户分组，授予他们访问某些程序的权限或访问分级目录的权限。另一方面，用户权限可以以个人为单位授权用户对某一程序所在目录进行访问。如果其他程序和数据也在同一目录下，那么用户也将自动得到访问这些信息的权限。能够达到C2级的常见的操作系统有UNIX系统、XENIX、Novell 3.x或更高版本、Windows NT和Windows 2000。5)B2级B2级又叫做结构保护(Structured Protection)级别，它要求计算机系统中所有的对象都加标签，而且给设备

62、(磁盘，磁带和终端)分配单个或多个安全级别。它提出了较高安全级别的对象与另一个较低安全级别的对象通信的第一个级别。6)B3级B3级又称安全域(Security Domain)级别，它使用安装硬件的方式来加强域。例如，内存管理硬件用于保护安全域免遭无授权访问或其他安全域对象的修改。该级别也要求用户通过一条可信任途径连接到系统上。7)A级 A级也称为验证保护或验证设计(Verity Design)级别，是当前的最高级别，它包括一个严格的设计、控制和验证过程。与前面提到的各级别一样，这一级别包含了较低级别的所有特性。设计必须是从数学角度上经过验证的，而且必须进行秘密通道和可信任分布的分析。可信任分布

63、(Trusted Distribution)的含义是硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。可信计算机安全评价标准主要考虑的安全问题大体上还局限于信息的保密性，随着计算机和网络技术的发展，对于目前的网络安全不能完全适用。v网络与信息安全网络与信息安全=信息安全技术信息安全技术+信息安全管理体信息安全管理体系系(ISMS)v信息安全管理体系（信息安全管理体系（ISMS）标准）标准 信息安全政策信息安全政策 信息安全组织信息安全组织 信息资产分类与管理信息资产分类与管理 个人信息安全，物理和环境安全个人信息安全，物理和环境安全 通信和操作安全管理通信和操作安全管理 存取控制存取

64、控制 信息系统的开发和维护信息系统的开发和维护 持续运营管理持续运营管理 v在组织实施网络与信息安全系统时，应该将技术层在组织实施网络与信息安全系统时，应该将技术层面和管理层面良好配合。面和管理层面良好配合。v在信息安全技术层面，应通过采用包括建设安全的在信息安全技术层面，应通过采用包括建设安全的主机系统和安全的网络系统，并配备适当的安全产主机系统和安全的网络系统，并配备适当的安全产品的方法来实现品的方法来实现v而在管理层面，则可以通过构架而在管理层面，则可以通过构架ISMS来实现。来实现。v定义信息安全策略定义信息安全策略 v定义定义NISMS的范围的范围v进行信息安全风险评估进行信息安全风

65、险评估v信息安全风险管理信息安全风险管理v确定管制目标和选择管制措施确定管制目标和选择管制措施v准备信息安全适用性声明准备信息安全适用性声明 v信息安全性的度量标准信息安全性的度量标准 CCTCSECFCCTEPECITSECEALlEAL2C1ElEAL3C2T1T1E2EAI4B1T2T2E3T3T3T4EAL5B2T5T4E4EAL6B3T6T5E5EAL7A1T7T6E6T7v（1）评估保证级别）评估保证级别1(EALl):功能测试；功能测试；v（2）评估保证级别）评估保证级别2(EAL2):结构测试；结构测试；v（3）评估保证级别）评估保证级别3(EAL3):功能测试与校验功能测试与

66、校验v（4）评估保证级别）评估保证级别4(EAL4):系统地设计、测系统地设计、测试和评审试和评审v（5）评估保证级别）评估保证级别5(EAL5):半形式化设计和半形式化设计和测试测试v（6）评估保证级别）评估保证级别6(EAL6):半形式化验证的半形式化验证的设计和测试设计和测试v（7）评估保证级别）评估保证级别7(EAL7):形式化验证的设形式化验证的设计和测试计和测试v美国美国 美国于美国于1997年由国家标准技术研究所和国家安全局共年由国家标准技术研究所和国家安全局共同组建了国家信息保证伙伴同组建了国家信息保证伙伴(NIAP)，专门负责基于，专门负责基于CC信息安全的测试和评估，并研究开发相关的测评信息安全的测试和评估，并研究开发相关的测评认证方法和技术。在国家安全局中对认证方法和技术。在国家安全局中对NIAP的具体管的具体管理则由专门管理保密信息系统安全的办公室负责。理则由专门管理保密信息系统安全的办公室负责。v英国英国 在英国的在英国的IT安全评估认证体系中，评估体系管委会主安全评估认证体系中，评估体系管委会主要负责制定国家信息安全评估认证政策、监督认证机要负责制定国家信息