1. 信息安全面临的威胁

存疑：非法登录应该是主动攻击才对吧

• 信息泄露
• 破坏信息的完整性
• 拒绝服务
• 非法使用
• 窃听
• 业务流分析

通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等态势进行研究，从而发现有价值的信息和规律。

• 假冒
• 旁路控制

利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权

• 授权侵犯：也称作“内部攻击”。
• 特洛伊木马
• 陷阱门

在某个系统或某个部件中设置了“机关”,使得当提供特定的输入数据时，允许违反安全策略。

• 抵赖
• 重放
• 计算机病
• 人员渎职：一个授权的人为了钱或利益、或由于粗心，将信息泄露给一个非授权的人。
• 媒体废弃

信息被从废弃的磁盘或打印过的存储介质中获得

• 物理侵入

绕过物理控制而获得对系统的访问。

• 窃取：
• 业务欺骗

2. 安全架构的定义和范围

2.1 安全架构的概念

• 架构面向安全性方向上的一种细分

2.2 安全架构的范围

• 产品安全架构
  • 目标：不依赖外部防御系统而实现的产品自身安全
• 安全技术体系架构
  • 目的：构建通用的安全技术基础设施，系统性地增强各产品的安全防御能力
• 审计架构
  • 目的：提供监督和风险发现能力
  • 范围：安全风险在内的所有风险

2.3 安全架构应具备的特性

• 可用性 (Availability)
  • 指防止系统的数据和资源丢失
• 完整性(Integrity)
  • 指要防止系统的数据和资源在未经授权情况下被修改
• 机密性 (Confidentiality)
  • 防止系统的数据和资源在未授权的情况下被披露

2.4 安全技术

• 身份鉴别
• 访问控制
• 内容安全
• 冗余恢复
• 审计响应
• 恶意代码防范
• 密码技术

2.5 过程

• 识别系统可能会遇到的安全威胁
• 对威胁和措施合理评估
• 提出有效安全技术
• 形成安全方案

3. 与信息安全相关的国内外标

本节了解即可

3.1 国外标准

• 可信计算机系统评估准则 （TCSEC）

  • Trusted Computer System Evaluation Criteria,TCSEC
  • 也称为“橘皮书”
  • 1985年12月由美国国防部公布

• 信息技术安全评估准则 (ITSEC)

  • Information Technology Security Evaluation Criteria
  • 英、法、德、荷四国联合编制

• 加拿大可信计算机产品评估准则 (CTCPEC)

  • Canadian Trusted Computer Product Evaluation Criteria
  • 加拿大1993年公布

• 美国联邦准则 (FC)

  • TCSEC 的升级版
  • 美国，1992年

• 信息技术安全性评价通用准则

  • The Common Criteria for Information Technology Security Evaluation
  • 1993年，美、加、英、法、德、荷等国编制

• ISO/IEC 7498-2

  • 定义了信息处理系统中开放系统互联的基本参考模型，为系统间的互操作性和通信提供了统一的框架
  • 由国际标准化组织 (ISO) 发布，1989年。

• 信息保障技术框架 (IATF)

  • Infornation Assurance Technical Framework
  • 美国国家安全局 (NSA) ，1999年。

• ISO/IEC 15408-1999

  • 确立了信息技术安全性的评估准则。（替代原CC 标准）
  • 国际标准化组织 (ISO) ，1999年

• IEC 61508-2010

  • 电气/电子/可编程电子安全系统的功能安全
  • 国际电工委员会，2010年

3.2 国内标准

3.2.1 标准缩写含义

• GA：国家安全行业标准规范
  • 发布组织：中国安全技术防范认证中心组织
• GB：国家标准规范
  • 发布组织：中国国家标准化管理委员会组织
• GJB：国家军用标准规范

3.2.2 主要技术标准

不会考这么细，本节看一下即可

1）国家标准

• GB 15834-1995 信息处理数据加密实体鉴别机制。
• GA163-1997 计算机信息系统安全专用产品分类原则。
• GB17859-1999计算机信息系统安全保护等级划分准则。
• GB/T 9387.2-1995 信息处理系统开放系统互连基本参考模型第2部分：安全体系结构。
• GB/T 20269-2006信息安全技术信息系统安全管理要求。
• GB/T 20270-2006信息安全技术网络基础安全技术要求。
• GB/T 20271-2006信息安全技术信息系统通用安全技术要求。
• GB/T20272-2006信息安全技术操作系统安全技术要求。
• GB/T20273-2006信息安全技术数据库管理系统安全技术要求。
• GB/T 20274.1-2006 信息安全技术信息系统安全保障评估框。
• GB/T 18231-2000信息系统低层安全。
• GB/T 18237.1-2000信息技术开放系统互联通用高层第1部分：概述、模型和记法。
• GB/T 18237.2-2000信息技术开放系统互联通用高层第2部分：安全交换服务元素服务定义。
• GB/T18336-2015 信息系统信息技术安全评估准则。
• GB/T 20438.1~7-2017 电气/电子/可编程电子安全相关系统的功能安全，由中国国家标准化管理委员会发布。

2）特殊安全领域标准

• 航空电子系统：DO-178 和 DO-254适航安全标准
• 汽车电子系统：ISO/SAE 21434汽车网络安全标准

Society of Automotive Engineers 汽车工程师协会

• 国军标 (GJB) 中的有关信息安全的标准

3）发展历程

• 系统安全性评估方法的国内外相关标准的发展历程

4. 相关标准化组织

本节也是了解即可，不需要去背。

4.1 国际标准化组织 (ISO)

• 安全技术分技术委员会 SC27
  • 专门从事信息技术安全一般方法和技术的标准化工作
• ISO/TC68
  • 负责银行业务应用范围内有关信息安全标准的制定

4.2 国际电工委员会 (IEC)

• 概念
  • International Electrotechnical Commission
  • 1906年成立
  • 是世界上成立最早的国际性电工标准化机构
  • 负责有关电气工程和电子工程领域中的国际标准化工作

1947年作为一个电工部门并入国际标准化组织 (ISO),1976年又从 ISO 中分立出来

• 总部

  • 成立时：伦敦
  • 1948：日内瓦

• 宗旨：在电工、电子和相关技术领域，促进电工标准化等方面的国际合作。

• 目标是：

  • 有效满足全球市场的需求
  • 保证在全球范围内优先并最大程度地使用其标准和合格评定计划
  • 评定并提高其标准所涉及的产品质量和服务质量
  • 为共同使用复杂系统创造条件
  • 提高工业化进程的有效性
  • 提高人类健康和安全
  • 保护环境。

4.3 中国国家标准化管理委员会 (SAC)

• 概念：
  • Standardization Administration of China
  • 成立：2001年10月
  • 授权：中华人民共和国国务院
  • 作用：
    • 履行行政管理职能
    • 统一管理全国标准化工作的主管机构，

• 主要职责
  • 以国家标准化管理委员会名义，下达国家标准计划，批准发布国家标准，审议并发布标准化政策、管理制度、规划、公告等重要文件
  • 开展强制性国家标准对外通报
  • 协调、指导和监督行业、地方、团体、企业标准工作
  • 代表国家参加国际标准化组织、国际电工委员会和其他国际或区域性标准化组织
  • 承担有关国际合作协议签署工作
  • 承担国务院标准化协调机制日常工作

4.4 全国信息技术标准化技术委员

• 概念：
  • 简称：信标委
  • 成立：1983年
• 作用：
  • 在国家标准化管理委员会和工业和信息化部的共同领导下
  • 从事全国信息技术领域标准化工作的技术组织
• 工作范围：信息技术领域的标准化

  涉及信息采集、表示、处理、传输、交换、描述、管理、组织、存储、检索及其技术，系统与产品
  的设计、研制、管理、测试及相关工具的开发等的标准化工作。

---