信息安全产品属于哪个大类(信息安全学习1. 基本

一、基本概念 1. 信息安全的定义

国际标准化组织ISO对信息安全的定义建议：为数据处理系统建立和采取的技术和管理的安全保护。保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄漏。

2. 信息安全产品的类别

在《GBT 25066-2020信息安全技术 信息安全产品类别与代码》中，对信息安全产品分为分类，其中一级分类有：

1. 物理环境安全类
2. 通信网络安全类
3. 区域边界安全类
4. 计算环境安全类
5. 安全管理支持类
6. 其他类

二、相关标准 1. 一些与信息安全相关的标准化组织 (1) 国际组织

• ISO（国际标准化组织）
• IEC（国际电工委员会）
• ITU（国际电信联盟）
• IETF（Internet 工程任务组）

(2) 国内组织

• 信息技术安全标准化技术委员会（CITS）成立于1984年，在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及ISO/IEC JTC1相对应的标准化工作，是国内最大的标准化技术委员会。CITS主要负责信息安全的通用框架、方法、技术和机制的标准化及归口国内外对应的标准化工作，其中技术安全包括开放式安全体系结构、各种安全信息交换的语义规则、有关的应用程序接口和协议安全功能的接口等。
• 中国通信标准化协会（CCSA）下辖的网络与信息安全技术工作委员会成立于2002年12月18日，是国内企事业单位自愿联合组织起来经业务主管部门批准的开展通信技术领域标准化活动的组织。下设了有线网络信息安全、无线网络信息安全、安全管理和安全基础设施4个工作组负责研究一下网络通信安全标准。

2. 我国信息安全标准发展历程

• 1984.7 全国信息技术标准化委员会组建数据加密标准化分技术委员会，1985年发布了第一个有关信息安全方面的标准
• 1997年8月改组成全国信息技术标准化技术委员会信息安全分技术委员会
• 我国信息安全技术标准系统编号主要有：GB、GB/T 、GJB、BMB、GA、YD等。
• 2002年4月15日成立全国信息安全标准化技术委员会（简称信安标委，委员会编号为TC260）

网址：www.tc260.org.cn 全国信安标委机构设置：

官网截图：

3. 信息安全技术标准体系框架分七大类 (1) 基础标准

• 安全术语
• 涉密基础
• 测评基础
• 管理基础
• 物理安全
• 安全模型
• 安全体系结构

(2) 技术与机制标准

• 密码技术
• 安全标识
• 鉴别机制
• 授权机制
• 电子签名
• 公钥基础设施
• 通信安全技术
• 涉密系统通用技术要求

(3) 信息安全管理标准

• 涉密服务
• 密码管理
• 安全控制与服务
• 网络安全管理
• 行业/领域安全管理

(4) 测评标准

• 密码产品
• 通用产品
• 安全保密产品
• 通用系统
• 涉密信息系统
• 通信安全
• 政府安全检查
• 安全能力评估

(5) 密码标准 (6) 保密标准 (7) 通信安全标准 5. 通用产品安全标准 6. 物联网产品相关标准 7. 其它智能家电相关国家标准 (1) 鉴别 (2) 安全机制 三、我国大数据安全标准化 (1) 基础标准

• 概念和框架->大数据安全参考架构
• 角色和模型->大数据安全管理指南

标准号标准名称状态GB/T 37973-2019信息安全技术 大数据安全管理指南现行

(2) 平台和技术

• 系统平台安全->大数据基础平台安全要求
• 平台安全运维
• 安全相关技术

(3) 数据安全

• 个人信息安全->个人信息安全规范、个人信息去标识化指南->个人信息影响评估指南
• 重要数据安全
• 数据跨境安全

(4) 服务安全

• 服务安全能力->大数据服务安全能力要求、大数据安全能力成熟度模型
• 交易服务安全->大数据交易服务安全要求

(5) 行业应用类

• 安全大数据
• 政务大数据安全
• 健康医疗大数据安全
• 其它行业大数据安全

二、信息安全威胁分析模型 1. STRIDE 模型

微软开始的用于威胁建模的一套方法，6个字母分别代表：

1. 身份欺骗：Spoofing identity
2. 篡改数据：Tampering with data
3. 否认性：Repudiation
4. 信息泄露：Information disclosure
5. 拒绝服务：Denial of service
6. 提权：Elevation of privilege

2. 十个安全设计原则

1. 最小攻击面
2. 默认安全
3. 最小权限
4. 纵深防御
5. 安全地失败
6. 不信任第三方系统
7. 业务隔离
8. 公开设计
9. 简化系统设计
10. 白名单机制

三、开放式Web应用常见风险

开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。——百度百科

美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则、美国国防部亦列为最佳实务，国际信用卡资料安全 技术PCI标准更将其列…

网址：www.owasp.org

1. 注入式风险
2. 跨站点脚本 (简称XSS)
3. 无效的认证及会话管理功能
4. 对不安全对象的直接
5. 伪造的跨站点请求(简称CSRF)
6. 安全配置错误
7. 加密存储方面的不安全因素
8. 不限制访问者的URL
9. 传输层面的保护力度不足
10. 未经验证的重新指向及

四、物联网安全体系 1. 物联网的安全威胁

• 感知层安全威胁
• 网络层安全威胁
• 应用层安全威胁

2. 设备安全体系

• 运行时解密、执行后清内存，实现动态保护
• 代码混淆，源码保护
• 代码多样性，每次保护后的代码都不一样
• 降低可读性，增加逆向难度
• 可信授权
• 身份安全，强认证机制
• 传输安全
• 会话安全
• 系统安全
• 固件安全，提醒用户固件升级
• 管理安全
• 家庭网关安全设置

3. APP安全项目

• 程序代码加固、混淆
• 资源文件混淆
• 图形验证码
• 安全软键盘
• 防界面劫持
• 反外链
• 安全短信
• 安全密钥
• app发布渠道监控
• 钓鱼/盗版 APP 电子取证
• 反支付欺诈
• 反刷票
• 业务流安全审计
• 弱口令

4. 服务器安全

• 防火墙过度开放，如没有关闭telnet,ftp等，登入后可读取/etc/passwd
• 操作系统及时升级
• web接口安全，身份验证、目录列表
• 有效的认证/授权
• 不安全的网络服务
• 威胁大数据分析
• 身份认证
• 安全过滤
• 流量加密，流量异常，系统异常
• 漏洞检测，已知漏洞，xss csrf等
• DoS测试，发送大量TCP ICMP封包，确认动作
• 通信协议栈测试，发送异常IPv4/IPv6、TCP/UDP封包数据确认动作，看是否会造成网络异常、服务器重启
• 发送异常HTTP，SSL数据，确认动作，是否因大量Syn封包机器死机
• 发送HTTP、DHCP、DNS等客户端数据，确认动作
• WiFi无线，发送异常802.11,WPA等无线协议数据，确认动作
• 对设定项目输入异常数据，确认动作

5. 通信安全

• 加密安全
• 检测与审计
• 数据/密钥 安全加密，白盒保护
• 中间人攻击
• 重放攻击
• 撞库爆破
• 组件劫持
• APP破解

6. 数据安全

• 分级安全
• 签名安全
• 备份安全
• 授权安全
• 审计安全
• 隐私安全

7. 研发安全

• 工作人员安全操作体系
• 代码审核机制
• 安全SDK
• 安全发布
• 应急方案
• 安全培训机制

8. 其它一些安全措施

• 关注不安全的移动接口
• 安全配置是否充分
• 攻防可视
• 基于日志的大数据分析实现态势感知

9. 业内知名安全公司

• 梆梆
• 青莲云
• FireEye
• Bit9
• Palo Alto
• Check Point