信息安全学习1. 基本概念及一些国家标准

网络安全 专栏收录该内容
36 篇文章 4 订阅

一、基本概念

1. 信息安全的定义

国际标准化组织ISO对信息安全的定义建议:
为数据处理系统建立和采取的技术和管理的安全保护。保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄漏。

2. 信息安全产品的类别

在《GBT 25066-2020信息安全技术 信息安全产品类别与代码》中,对信息安全产品分为分类,其中一级分类有:

  1. 物理环境安全类
  2. 通信网络安全类
  3. 区域边界安全类
  4. 计算环境安全类
  5. 安全管理支持类
  6. 其他类

二、相关标准

1. 一些与信息安全相关的标准化组织

(1) 国际组织

  • ISO(国际标准化组织)
  • IEC(国际电工委员会)
  • ITU(国际电信联盟)
  • IETF(Internet 工程任务组)

(2) 国内组织

  • 信息技术安全标准化技术委员会(CITS)
    成立于1984年,在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及ISO/IEC JTC1相对应的标准化工作,是国内最大的标准化技术委员会。
    CITS主要负责信息安全的通用框架、方法、技术和机制的标准化及归口国内外对应的标准化工作,其中技术安全包括开放式安全体系结构、各种安全信息交换的语义规则、有关的应用程序接口和协议引用安全功能的接口等。

  • 中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会
    成立于2002年12月18日,是国内企事业单位自愿联合组织起来经业务主管部门批准的开展通信技术领域标准化活动的组织。下设了有线网络信息安全、无线网络信息安全、安全管理和安全基础设施4个工作组负责研究一下网络通信安全标准。

2. 我国信息安全标准发展历程

  • 1984.7 全国信息技术标准化委员会组建数据加密标准化分技术委员会,1985年发布了第一个有关信息安全方面的标准
  • 1997年8月改组成全国信息技术标准化技术委员会信息安全分技术委员会
  • 我国信息安全技术标准系统编号主要有:GB、GB/T 、GJB、BMB、GA、YD等。
  • 2002年4月15日成立全国信息安全标准化技术委员会(简称信安标委,委员会编号为TC260)

网址:http://www.tc260.org.cn/
全国信安标委机构设置:
这里写图片描述
官网截图:
在这里插入图片描述

3. 信息安全技术标准体系框架分七大类

(1) 基础标准

  • 安全术语
  • 涉密基础
  • 测评基础
  • 管理基础
  • 物理安全
  • 安全模型
  • 安全体系结构
标准编号标准名称对应国际标准
GB/T 5271.8-2001信息技术 词汇 第8部分:安全ISO/IEC 2382-8
GB/T 25069-2010信息安全技术 术语
GB/T 9387.2-1995信息处理系统 开放系统互连 基本参考模型 第2部分:安全体系结构ISO 7498-2:1989
GB/T 37044-2018信息安全技术 物联网安全参考模型及通用要求
GB/T 17965-2000信息技术 开放系统互连 高层安全模型ISO/IEC 10745:1995
GB/T 18237.1-2000信息技术 开放系统互连 通用高层安全概述、模型和记法ISO/IEC 11586-1:1996
GB/T 16264.8-2005信息技术 开放系统互连 目录 第8部分:公钥和属性证书框架ISO/IEC 9594-8
GB/T 18794.1-2002信息技术 开放系统互连开放系统安全框架 第1部分:概述ISO 10181-1:1996

(2) 技术与机制标准

  • 密码技术
  • 安全标识
  • 鉴别机制
  • 授权机制
  • 电子签名
  • 公钥基础设施
  • 通信安全技术
  • 涉密系统通用技术要求
标准编号标准名称对应国际标准
GB/T 31504-2015信息安全技术 鉴别与授权 数字身份信息服务框架规范
GB/T 28445-2012信息安全技术 引入可信第三方的实体鉴别及接入架构规范
GB/T 15843.1-2008信息技术 安全技术 实体鉴别 第1部分 概述ISO/IEC9798-1:1997
GB/T 25062-2010信息安全技术 鉴别与授权 基于角色的访问控制模型与管理规范
GB/T 20518-2006信息安全技术 公钥基础设施 数字证书格式
GB/T 17143.1-1997信息技术 开放系统互连 系统管理 第1部分:客体管理功能ISO/IEC 10164-1:1993
GB/T 21052-2007信息安全技术 信息系统物理安全技术要求

(3) 信息安全管理标准

  • 涉密服务
  • 密码管理
  • 安全控制与服务
  • 网络安全管理
  • 行业/领域安全管理
标准编号标准名称对应国际标准
GB 17859-1999计算机信息系统 安全保护等级划分准则
GB/T22080-2008信息技术 安全技术 信息安全管理体系 要求ISO/IEC27001:2005
GB/T 22081-2008信息技术 安全技术 信息安全管理实用规则ISO/IEC27002:2005
GB/T202069-2006信息安全技术 信息系统安全管理要求
GB/T20984-2007信息安全技术 信息安全风险评估规范
GB/T 30283-2013信息安全技术 信息安全服务 定义和分类
GBZ 28828-2012信息安全技术公共及商用服务信息系统个人信息保护指南
GB/T 34978-2017信息安全技术 移动智能终端个人信息保护技术要求

(4) 测评标准

  • 密码产品
  • 通用产品
  • 安全保密产品
  • 通用系统
  • 涉密信息系统
  • 通信安全
  • 政府安全检查
  • 安全能力评估
标准编号标准名称对应国际标准
GB/T 18336.1-2015信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般模型ISO/IEC 15408-1:2005
GB/T 18336.2-2015信息技术 安全技术 信息技术安全评估准则 第2部分:安全功能组件ISO/IEC 15408-2:2005
GB/T 18336.3-2015信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件ISO/IEC 15408-3:2005
GB/T 20278-2013信息安全技术 网络脆弱性产品安全技术要求
GB/T 20945-2013信息安全技术 信息系统安全审计产品技术要求和测试评价方法
GB/T 20271-2006信息安全技术 信息系统通用安全技术要求
GB/T 20984-2007信息安全技术 网上银行系统信息安全保障评估准则
GB/T 30271-2013信息安全服务能力评估准则

(5) 密码标准

标准编号标准名称对应国际标准
GB/T 29729-2013信息安全技术 可信计算密码支撑平台功能与接口规范
GB/T 33133.1-2016信息安全技术 祖冲之序列密码算法 第1部分:算法描述
GB/T 35275-2017信息安全技术 SM2密码算法加密签名消息语法规范
GB/T 35276-2017信息安全技术 SM2密码算法使用规范
GB/T 32918.5-2017信息安全技术 SM2椭圆曲线公钥密码算法 第5部分:参数定义
GB/T 32918.4-2016信息安全技术 SM2椭圆曲线公钥密码算法 第4部分:公钥加密算法
GB/T 32918.3-2016信息安全技术 SM2椭圆曲线公钥密码算法 第3部分:密钥交换协议
GB/T 32918.2-2016信息安全技术 SM2椭圆曲线公钥密码算法 第2部分:数字签名算法
GB/T 32918.1-2016信息安全技术 SM2椭圆曲线公钥密码算法 第1部分:总则
GB/T 32905-2016信息安全技术 SM3密码杂凑算法
GB/T 32907-2016信息安全技术 SM4分组密码算法
GB/T 32915-2016信息安全技术 二元序列随机性检测方法
GB/T 38541-2020信息安全技术 电子文件密码应用指南
GB/T 38556-2020信息安全技术 动态口令密码应用技术规范
GB/T 37033.1-2018信息安全技术 射频识别系统密码应用技术要求 第1部分:密码安全保护框架及安全级别
GB/T 37033.2-2018信息安全技术 射频识别系统密码应用技术要求 第2部分:电子标签与读写器及其通信密码应用技术要求
GB/T 37033.3-2018信息安全技术 射频识别系统密码应用技术要求 第3部分:密钥管理技术要求
GB/T 33560-2017信息安全技术 密码应用标识规范
GB/T 33131-2016信息安全技术 基于IPSec的IP存储网络安全技术要求

(6) 保密标准

(7) 通信安全标准

标准编号标准名称对应国际标准状态
GB/T 30284-2013信息安全技术 移动通信智能终端操作系统安全技术要求(EAL2级)
GB/T 33746.1-2017近场通信(NFC)安全技术要求 第1部分:NFCIP-1安全服务和协议
GB/T 33746.2-2017近场通信(NFC)安全技术要求 第2部分:安全机制要求
GB/T 32927-2016信息安全技术 移动智能终端安全架构
GB/T 33562-2017信息安全技术 安全域名系统实施指南
GB/T 34095-2017信息安全技术 用于电子支付的基于近距离无线通信的移动终端安全技术要求

5. 通用产品安全标准

序号标准名称状态
1信息技术 安全技术 信息技术安全性评估准则GB/T 18336-2015
2信息安全技术 信息技术产品供应方行为安全准则GB/T 32921-2016
3信息安全技术 信息系统安全等级保护基本要求GB/T 22239-2008
4信息安全技术 网络产品和服务安全通用要求草案
5信息安全技术 网络智能家用电器信息技术安全框架与测评指南研究项目
6信息安全技术 重点场所的智能联网设备的安全要求草案

6. 物联网产品相关标准

标准号标准名称状态
GB/T 31507-2015信息安全技术 智能卡通用安全检测指南现行
GB/T 35290-2017信息安全技术 射频识别(RFID)系统通用安全技术要求现行
GB/T 37093-2018信息安全技术 物联网感知层接入通信网的安全要求现行
GB/T 37714-2019公安物联网感知设备数据传输安全性评测技术要求现行
GB/T 37024-2018信息安全技术 物联网感知层网关安全技术要求现行
GB/T 37025-2018信息安全技术 物联网数据传输安全技术要求现行

7. 其它智能家电相关国家标准

(1) 鉴别

编号标准名称
GB/T 31504-2015《信息安全技术 鉴别与授权 数字身份信息服务框架规范》
GB/T 30275-2013《信息安全技术 鉴别与授权 认证中间件框架与接口规范》
GB/T 15852.1-2008《信息技术 安全技术 消息鉴别码 第1部分:采用分组密码的机制》
GB/T 15843《信息技术 安全技术 实体鉴别》共5部分
GB/T 28455-2012《信息安全技术 引入可信第三方的实体鉴别及接入架构规范》
GB/T 29242-2012《信息安全技术 鉴别与授权 安全断言标记语言》

(2) 安全机制

编号内容
GB/T 17903《信息技术 安全技术搞抵赖》共3部分
GB/T 20520-2006《信息安全技术 公钥基础设施 时间戳规范》
GB/T 25062-2010《信息安全技术 鉴别与授权 基于角色的访问控制模型与管理规范》

三、我国大数据安全标准化

(1) 基础标准

  • 概念和框架->大数据安全参考架构
  • 角色和模型->大数据安全管理指南
标准号标准名称状态
GB/T 37973-2019信息安全技术 大数据安全管理指南现行

(2) 平台和技术

  • 系统平台安全->大数据基础平台安全要求
  • 平台安全运维
  • 安全相关技术

(3) 数据安全

  • 个人信息安全->个人信息安全规范、个人信息去标识化指南->个人信息影响评估指南
  • 重要数据安全
  • 数据跨境安全

(4) 服务安全

  • 服务安全能力->大数据服务安全能力要求、大数据安全能力成熟度模型
  • 交易服务安全->大数据交易服务安全要求

(5) 行业应用类

  • 安全大数据
  • 政务大数据安全
  • 健康医疗大数据安全
  • 其它行业大数据安全

二、信息安全威胁分析模型

1. STRIDE 模型

微软开始的用于威胁建模的一套方法,6个字母分别代表:

  1. 身份欺骗:Spoofing identity
  2. 篡改数据:Tampering with data
  3. 否认性:Repudiation
  4. 信息泄露:Information disclosure
  5. 拒绝服务:Denial of service
  6. 提权:Elevation of privilege

2. 十个安全设计原则

  1. 最小攻击面
  2. 默认安全
  3. 最小权限
  4. 纵深防御
  5. 安全地失败
  6. 不信任第三方系统
  7. 业务隔离
  8. 公开设计
  9. 简化系统设计
  10. 白名单机制

三、开放式Web应用常见风险

开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。——百度百科

美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则、美国国防部亦列为最佳实务,国际信用卡资料安全 技术PCI标准更将其列…

网址:
https://www.owasp.org/

  1. 注入式风险
  2. 跨站点脚本 (简称XSS)
  3. 无效的认证及会话管理功能
  4. 对不安全对象的直接引用
  5. 伪造的跨站点请求(简称CSRF)
  6. 安全配置错误
  7. 加密存储方面的不安全因素
  8. 不限制访问者的URL
  9. 传输层面的保护力度不足
  10. 未经验证的重新指向及转发

四、物联网安全体系

1. 物联网的安全威胁

  • 感知层安全威胁
  • 网络层安全威胁
  • 应用层安全威胁

2. 设备安全体系

  • 运行时解密、执行后清内存,实现动态保护
  • 代码混淆,源码保护
  • 代码多样性,每次保护后的代码都不一样
  • 降低可读性,增加逆向难度
  • 可信授权
  • 身份安全,强认证机制
  • 传输安全
  • 会话安全
  • 系统安全
  • 固件安全,提醒用户固件升级
  • 管理安全
  • 家庭网关安全设置

3. APP安全项目

  • 程序代码加固、混淆
  • 资源文件混淆
  • 图形验证码
  • 安全软键盘
  • 防界面劫持
  • 反外链
  • 安全短信
  • 安全密钥
  • app发布渠道监控
  • 钓鱼/盗版 APP 电子取证
  • 反支付欺诈
  • 反刷票
  • 业务流安全审计
  • 弱口令

4. 服务器安全

  • 防火墙过度开放,如没有关闭telnet,ftp等,登入后可读取/etc/passwd
  • 操作系统及时升级
  • web接口安全,身份验证、目录列表
  • 有效的认证/授权
  • 不安全的网络服务
  • 威胁大数据分析
  • 身份认证
  • 安全过滤
  • 流量加密,流量异常,系统异常
  • 漏洞检测,已知漏洞,xss csrf等
  • DoS测试,发送大量TCP ICMP封包,确认动作
  • 通信协议栈测试,发送异常IPv4/IPv6、TCP/UDP封包数据确认动作,看是否会造成网络异常、服务器重启
  • 发送异常HTTP,SSL数据,确认动作,是否因大量Syn封包机器死机
  • 发送HTTP、DHCP、DNS等客户端数据,确认动作
  • WiFi无线,发送异常802.11,WPA等无线协议数据,确认动作
  • 对设定项目输入异常数据,确认动作

5. 通信安全

  • 加密安全
  • 检测与审计
  • 数据/密钥 安全加密,白盒保护
  • 中间人攻击
  • 重放攻击
  • 撞库爆破
  • 组件劫持
  • APP破解

6. 数据安全

  • 分级安全
  • 签名安全
  • 备份安全
  • 授权安全
  • 审计安全
  • 隐私安全

7. 研发安全

  • 工作人员安全操作体系
  • 代码审核机制
  • 安全SDK
  • 安全发布
  • 应急方案
  • 安全培训机制

8. 其它一些安全措施

  • 关注不安全的移动接口
  • 安全配置是否充分
  • 攻防可视
  • 基于日志的大数据分析实现态势感知

9. 业内知名安全公司

  • 梆梆
  • 青莲云
  • FireEye
  • Bit9
  • Palo Alto
  • Check Point
  • 0
    点赞
  • 0
    评论
  • 4
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 酷酷鲨 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值