6.6物聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)

學(xué)習(xí)任務(wù)國際信息技術(shù)標(biāo)準(zhǔn)化組織

中國信息安全標(biāo)準(zhǔn)

中國國家物聯(lián)網(wǎng)標(biāo)準(zhǔn)組織Clicktoaddtitleinhere123本章主要涉及：4信息安全管理體系

56.6.1國際信息技術(shù)標(biāo)準(zhǔn)化組織

網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)化工作是國家信息安全保障體系建設(shè)的重要組成。網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)研究與制定為國家主管部門管理信息安全設(shè)備提供了有效的技術(shù)依據(jù)，這對于保證安全設(shè)備的正常運行，并在此基礎(chǔ)上保證我國國民經(jīng)濟和社會管理等領(lǐng)域中網(wǎng)絡(luò)信息系統(tǒng)的運行安全和信息安全具有非常重要的意義。6.6.1國際信息技術(shù)標(biāo)準(zhǔn)化組織

6.6.1國際信息安全標(biāo)準(zhǔn)化組織國際上信息安全標(biāo)準(zhǔn)化工作興起于20世紀70年代中期，80年代有了較快的發(fā)展，90年代引起了世界各國的普遍關(guān)注。目前世界上有近300個國際和區(qū)域性組織制定標(biāo)準(zhǔn)或技術(shù)規(guī)則，與信息安全標(biāo)準(zhǔn)化有關(guān)的組織主要有以下4個：6.6.1國際信息技術(shù)標(biāo)準(zhǔn)化組織

（1）國際標(biāo)準(zhǔn)化組織(ISO)于1947年2月23日正式開始工作，信息技術(shù)標(biāo)準(zhǔn)化委員會(ISO/IECJTC1)所屬安全技術(shù)分委員會(SC27)的前身是數(shù)據(jù)加密分技術(shù)委員會(SC20)，主要從事信息技術(shù)安全的一般方法和技術(shù)的標(biāo)準(zhǔn)化工作。6.6.1國際信息技術(shù)標(biāo)準(zhǔn)化組織

而ISO/TC68負責(zé)與銀行業(yè)務(wù)應(yīng)用范圍內(nèi)有關(guān)信息安全標(biāo)準(zhǔn)的制定，它主要制定行業(yè)應(yīng)用標(biāo)準(zhǔn)，在組織上和標(biāo)準(zhǔn)之間與SC27有著密切的聯(lián)系。ISO/IECJTC1負責(zé)制定的標(biāo)準(zhǔn)主要是開放系統(tǒng)互連、密鑰管理、數(shù)字簽名、安全評估等方面的內(nèi)容。6.6.1國際信息技術(shù)標(biāo)準(zhǔn)化組織

（2）國際電工委員會(IEC)正式成立于1906年10月，是世界上成立最早的專門的國際標(biāo)準(zhǔn)化機構(gòu)。在信息安全標(biāo)準(zhǔn)化方面，除了與ISO聯(lián)合成立了JTC1屬的分委員會外，它還在電信、電子系統(tǒng)、信息技術(shù)和電磁兼容等方面成立了技術(shù)委員會，并為信息技術(shù)設(shè)備安全(IEC60950)等制定相關(guān)國際標(biāo)準(zhǔn)。6.6.1國際信息技術(shù)標(biāo)準(zhǔn)化組織

（3）國際電信聯(lián)盟(ITU)成立于1865年5月17日，所屬的SG17組主要負責(zé)研究通信系統(tǒng)安全標(biāo)準(zhǔn)。SG17組主要研究的內(nèi)容包括：通信安全項目、安全架構(gòu)和框架、計算安全、安全管理、用于安全的生物測定、安全通信服務(wù)。此外SG16和下一代網(wǎng)絡(luò)核心組也在通信安全、H323網(wǎng)絡(luò)安全、下一代網(wǎng)絡(luò)安全等標(biāo)準(zhǔn)方面進行了研究。6.6.1國際信息技術(shù)標(biāo)準(zhǔn)化組織

（4）Internet工程任務(wù)組(IETF)創(chuàng)立于1986年，其主要任務(wù)是負責(zé)互聯(lián)網(wǎng)相關(guān)技術(shù)規(guī)范的研發(fā)和制定。IETF制定標(biāo)準(zhǔn)的具體工作由各個工作組承擔(dān)，工作組分成8個領(lǐng)域，涉及Internet路由、傳輸、應(yīng)用領(lǐng)域等等，包含在RFC系列之中的IKE和IPsec，還有電子郵件，網(wǎng)絡(luò)認證和密碼標(biāo)準(zhǔn)，此外，也包括了TLS標(biāo)準(zhǔn)和其它的安全協(xié)議標(biāo)準(zhǔn)。6,6.1國際信息技術(shù)標(biāo)準(zhǔn)化組織

11.1.2國際信息安全管理體系國際上比較有影響的信息安全標(biāo)準(zhǔn)體系主要有：1.ISO/IEC的國際標(biāo)準(zhǔn)13335、17799、27001系列SO/IECJTC1SC27/WG1(國際標(biāo)準(zhǔn)化組織/國際電工委員會信息技術(shù)委員會安全技術(shù)分委員會/第一工作組)是制定和修訂ISMS標(biāo)準(zhǔn)的國際組織。6.6.1國際信息技術(shù)標(biāo)準(zhǔn)化組織

ISO和IEC是世界范圍的標(biāo)準(zhǔn)化組織，它由各個國家和地區(qū)的成員組成，各國的相關(guān)標(biāo)準(zhǔn)化組織都是其成員，他們通過各技術(shù)委員會，參與相關(guān)標(biāo)準(zhǔn)的制定。為了更好的協(xié)作和共同規(guī)范信息技術(shù)領(lǐng)域，ISO和國際電工委員會(ITU)成立了聯(lián)合技術(shù)委員會，即ISO/IECJTC1，負責(zé)信息技術(shù)領(lǐng)域的標(biāo)準(zhǔn)化工作。其中的子委員會27專門負責(zé)IT安全技術(shù)領(lǐng)域的標(biāo)準(zhǔn)化工作。6.6.1國際信息技術(shù)標(biāo)準(zhǔn)化組織

在ISO/IECJTC1SC27所發(fā)布的標(biāo)準(zhǔn)和技術(shù)報告中，目前最主要的標(biāo)準(zhǔn)是ISO/IEC13335、ISO/IEC17799等。ISO/IEC將采用27000系列號碼作為編號方案，將原先所有的信息安全管理標(biāo)準(zhǔn)進行綜合，并進行進一步的開發(fā)，形成一整套包括ISMS要求、風(fēng)險管理、度量和測量以及實施指南等在內(nèi)的信息安全管理體系。6.6.1國際信息技術(shù)標(biāo)準(zhǔn)化組織

2.英國標(biāo)準(zhǔn)協(xié)會（BSI）的7799系列信息安全管理體系（InformationSecurityManagementSystem,簡稱ISMS）的概念最初來源于英國標(biāo)準(zhǔn)學(xué)會制定的BS7799標(biāo)準(zhǔn),并伴隨著其作為國際標(biāo)準(zhǔn)的發(fā)布和普及而被廣泛地接受。同美國NIST相對應(yīng)，英國標(biāo)準(zhǔn)協(xié)會(BSI)是英國負責(zé)信息安全管理標(biāo)準(zhǔn)的機構(gòu)。在信息安全管理和相關(guān)領(lǐng)域，BSI做了大量的工作，其成果已得到國際社會的廣泛認可。

6.6.1國際信息技術(shù)標(biāo)準(zhǔn)化組織

3.美國國家標(biāo)準(zhǔn)和技術(shù)委員會（NIST）的特別出版物系列2002年，美國通過了一部聯(lián)邦信息安全管理法案(FISMA)。根據(jù)它，美國國家標(biāo)準(zhǔn)和技術(shù)委員會(NIST)負責(zé)為美國政府和商業(yè)機構(gòu)提供信息安全管理相關(guān)的標(biāo)準(zhǔn)規(guī)范。因此，NIST的一系列FIPS標(biāo)準(zhǔn)和NIST特別出版物800系列(NISTSP800系列)成為了指導(dǎo)美國信息安全管理建設(shè)的主要標(biāo)準(zhǔn)和參考資料。6.6.2中國信息安全標(biāo)準(zhǔn)6.6.2我國信息安全標(biāo)準(zhǔn)化的現(xiàn)狀目前，我國按照國務(wù)院授權(quán)，在國家質(zhì)量監(jiān)督檢驗檢疫總局管理下，由國家標(biāo)準(zhǔn)化管理委員會統(tǒng)一管理全國標(biāo)準(zhǔn)化工作，下設(shè)有255個專業(yè)技術(shù)委員會。中國標(biāo)準(zhǔn)化工作實行統(tǒng)一管理與分工負責(zé)相結(jié)合的管理體制，分工管理本行政區(qū)域內(nèi)、本部門、本行業(yè)的標(biāo)準(zhǔn)化工作。6.6.2中國信息安全標(biāo)準(zhǔn)成立于1984年的全國信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(CITS)，在國家標(biāo)準(zhǔn)化管理委員會和信息產(chǎn)業(yè)部的共同領(lǐng)導(dǎo)下負責(zé)全國信息技術(shù)領(lǐng)域以及與ISO/IECJTC1相對應(yīng)的標(biāo)準(zhǔn)化工作，目前下設(shè)24個分技術(shù)委員會和特別工作組，是目前國內(nèi)最大的標(biāo)準(zhǔn)化技術(shù)委員會。它是一個具有廣泛代表性、權(quán)威性和軍民結(jié)合的信息安全標(biāo)準(zhǔn)化組織。6.6.2中國信息安全標(biāo)準(zhǔn)6.6.2國內(nèi)安全標(biāo)準(zhǔn)組織機構(gòu)國內(nèi)的安全標(biāo)準(zhǔn)組織主要有信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(CITS)以及中國通信標(biāo)準(zhǔn)化協(xié)會(CCSA)下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會。1.信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(CITS)成立于1984年，在國家標(biāo)準(zhǔn)化管理委員會和信息產(chǎn)業(yè)部的共同領(lǐng)導(dǎo)下負責(zé)全國信息技術(shù)領(lǐng)域以及與ISO/IECJTC1相對應(yīng)的標(biāo)準(zhǔn)化工作。

6.6.2中國信息安全標(biāo)準(zhǔn)2.中國通信標(biāo)準(zhǔn)化協(xié)會中國通信標(biāo)準(zhǔn)化協(xié)會(CCSA)成立于2002年12月18日。CCSA下設(shè)了有線網(wǎng)絡(luò)信息安全、無線網(wǎng)絡(luò)信息安全、安全管理和安全基礎(chǔ)設(shè)施4個工作組負責(zé)研究:有線網(wǎng)絡(luò)中電話網(wǎng)、互聯(lián)網(wǎng)、傳輸網(wǎng)、接入網(wǎng)等在內(nèi)所有電信網(wǎng)絡(luò)相關(guān)的安全標(biāo)準(zhǔn);無線網(wǎng)絡(luò)中接入、核心網(wǎng)、業(yè)務(wù)等相關(guān)的安全標(biāo)準(zhǔn)以及安全管理工作組;安全基礎(chǔ)設(shè)施工作組中網(wǎng)管安全以及安全基礎(chǔ)設(shè)施相關(guān)的標(biāo)準(zhǔn)。6.6.2中國信息安全標(biāo)準(zhǔn)6.6.2信息安全標(biāo)準(zhǔn)體系研究特點①基于信息內(nèi)容的過慮和管制技術(shù)將越來越受關(guān)注；②防范和治理垃圾信息成為網(wǎng)絡(luò)安全研究重要內(nèi)容；③網(wǎng)絡(luò)與信息安全研究重點將逐漸從設(shè)備層面向網(wǎng)絡(luò)層面轉(zhuǎn)移；④業(yè)務(wù)安全越來越成為運營商研究重點；⑤認證技術(shù)將研究和梳理，生物鑒別成為重要內(nèi)容；6.6.2中國信息安全標(biāo)準(zhǔn)⑥網(wǎng)絡(luò)建設(shè)將重視信任體系的建設(shè)；⑦互聯(lián)網(wǎng)安全將進一步研究，其成果將適用于下一代網(wǎng)以及3G核心網(wǎng)；⑧網(wǎng)絡(luò)上信息安全將劃分責(zé)權(quán)，網(wǎng)絡(luò)側(cè)負責(zé)部分私密性(隔離)和完整性，機密性和不可否認性由端到端保障；⑨安全管理中的安全風(fēng)險評估將成為安全研究重要內(nèi)容。6.6.2中國信息安全標(biāo)準(zhǔn)6.6.2我國在信息安全管理標(biāo)準(zhǔn)方面采取的措施

我國政府主管部門以及各行各業(yè)已經(jīng)認識到了信息安全的重要性。政府部門開始出臺一系列相關(guān)策略,直接牽引、推進信息安全的應(yīng)用和發(fā)展。由政府主導(dǎo)的各大信息系統(tǒng)工程和信息化程度要求非常高的相關(guān)行業(yè),也開始出臺對信息安全技術(shù)產(chǎn)品的應(yīng)用標(biāo)準(zhǔn)和規(guī)范。

6.6.3中國國家物聯(lián)網(wǎng)標(biāo)準(zhǔn)組織物聯(lián)網(wǎng)標(biāo)準(zhǔn)的劃分應(yīng)該是分層次的，如傳感器的、應(yīng)用的、傳輸?shù)牡龋蛘呒毣癁樾酒?、電路、通信接口、路由等層次，而目前我國在做的主要是在傳感器上的?biāo)準(zhǔn)，是傳感網(wǎng)絡(luò)路由層面的專利。目前，我國物聯(lián)網(wǎng)技術(shù)的研發(fā)水平已位于世界前列，與德國、美國、日本等國一起，成為國際標(biāo)準(zhǔn)制定的主要國家，逐步成為全球物聯(lián)網(wǎng)產(chǎn)業(yè)鏈中重要的一環(huán)。

6.6.3中國國家物聯(lián)網(wǎng)標(biāo)準(zhǔn)組織6.6.3電子標(biāo)簽國家標(biāo)準(zhǔn)工作組2005年12月2日，電子標(biāo)簽標(biāo)準(zhǔn)工作組在北京正式宣布成立。該工作組的任務(wù)是聯(lián)合社會各方面力量，開展電子標(biāo)簽標(biāo)準(zhǔn)體系的研究，并以企業(yè)為主體進行標(biāo)準(zhǔn)的預(yù)先研究和制/修訂工作。

6.6.3中國國家物聯(lián)網(wǎng)標(biāo)準(zhǔn)組織電子標(biāo)簽標(biāo)準(zhǔn)工作組的組織結(jié)構(gòu)

6.6.3中國國家物聯(lián)網(wǎng)標(biāo)準(zhǔn)組織6.6.3傳感器網(wǎng)絡(luò)標(biāo)準(zhǔn)工作組2009年9月11日，傳感器網(wǎng)絡(luò)標(biāo)準(zhǔn)工作組成立大會暨“感知中國”高峰論壇在北京舉行。傳感器網(wǎng)絡(luò)標(biāo)準(zhǔn)工作組是由國家標(biāo)準(zhǔn)化管理委員會批準(zhǔn)籌建，全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會批準(zhǔn)成立并領(lǐng)導(dǎo)，從事傳感器網(wǎng)絡(luò)（簡稱傳感網(wǎng)）標(biāo)準(zhǔn)化工作的全國性技術(shù)組織。6.6.3中國國家物聯(lián)網(wǎng)標(biāo)準(zhǔn)組織傳感器網(wǎng)絡(luò)標(biāo)準(zhǔn)工作組的組成

6.6.3中國國家物聯(lián)網(wǎng)標(biāo)準(zhǔn)組織6.6.3泛在網(wǎng)技術(shù)工作委員會2010年2月2日，中國通信標(biāo)準(zhǔn)化協(xié)會（CCSA）泛在網(wǎng)技術(shù)工作委員會（TC10）成立大會暨第一次全會在北京召開。TC10的成立，標(biāo)志著CCSA今后泛在網(wǎng)技術(shù)與標(biāo)準(zhǔn)化的研究將更加專業(yè)化、系統(tǒng)化、深入化，必將進一步促進電信運營商在泛在網(wǎng)領(lǐng)域進行積極的探索和有益的實踐，不斷優(yōu)化設(shè)備制造商的技術(shù)研發(fā)方案，推動泛在網(wǎng)產(chǎn)業(yè)健康快速發(fā)展。6.6.3中國國家物聯(lián)網(wǎng)標(biāo)準(zhǔn)組織6.6.3中國物聯(lián)網(wǎng)標(biāo)準(zhǔn)聯(lián)合工作組2010年6月8日，在國家標(biāo)準(zhǔn)化管理委員會、工業(yè)和信息化部等相關(guān)部委的共同領(lǐng)導(dǎo)和直接指導(dǎo)下，由全國工業(yè)過程測量和控制標(biāo)準(zhǔn)化技術(shù)委員會、全國智能建筑及居住區(qū)數(shù)字化標(biāo)準(zhǔn)化技術(shù)委員會、全國智能運輸系統(tǒng)標(biāo)準(zhǔn)化技術(shù)委員會等19家現(xiàn)有標(biāo)準(zhǔn)化組織聯(lián)合倡導(dǎo)并發(fā)起成立物聯(lián)網(wǎng)標(biāo)準(zhǔn)聯(lián)合工作組。6.6.4信息安全管理體系6.6.4信息安全管理簡介如今，遍布全球的互聯(lián)網(wǎng)使得組織機構(gòu)不僅內(nèi)在依賴IT系統(tǒng)，還不可避免地與外部的IT系統(tǒng)建立了錯綜復(fù)雜的聯(lián)系，但系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁改寫、客戶資料的流失及公司內(nèi)部資料的泄露等事情時有發(fā)生，這些給組織的經(jīng)營管理、生存甚至國家安全都帶來嚴重的影響。所以，對信息加以保護，防范信息的損壞和泄露，已成為當(dāng)前組織迫切需要解決的問題。6.6.4信息安全管理體系6.6.4信息安全管理體系標(biāo)準(zhǔn)發(fā)展歷史目前，ISO/IEC27001:2005――信息安全管理體系標(biāo)準(zhǔn)已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。ISO/IEC27001是由英國標(biāo)準(zhǔn)BS7799轉(zhuǎn)換而成的。依據(jù)ISO/IEC27001：2005建立信息安全管理體系并獲得認證正成為世界潮流。標(biāo)準(zhǔn)包括11大管理要項、39個控制目標(biāo)和133項控制措施，為組織提供全方位的信息安全保障。6.6.4信息安全管理體系6.6.4信息安全管理體系標(biāo)準(zhǔn)主要內(nèi)容信息安全管理體系標(biāo)準(zhǔn)主要內(nèi)容有：1.安全方針2.安全組織3.資產(chǎn)分類與管理4.人力資源安全5.物理和環(huán)境安全6.通信與操作管理7.訪問控制8.系統(tǒng)的獲取、開發(fā)和維護9.信息安全事件管理10.業(yè)務(wù)持續(xù)性管理11.符合性6.6.4信息安全管理體系信息安全管理體系標(biāo)準(zhǔn)主要內(nèi)容

6.6.4信息安全管理體系6.6.4信息安全管理體系認證BS7799-2從1998年頒布后，在全世界范圍內(nèi)得到廣泛的認可。目前已有40多個國家和地區(qū)開展信息安全管理體系的認證。根據(jù)信息安全管理體系國際使用者協(xié)會（ISMSInternationalUserGroup）的最新統(tǒng)計，到2005年底，全球通過信息安全管理體系BS7799-2認證的組織已經(jīng)超過2000家。6.6.4信息安全管理體系對組織來說，符合ISO27001/BS7799標(biāo)準(zhǔn)并且獲得信息安全管理體系認證證書，雖然不能證明組織達到了100％的安全，但通過信息安全管理體系的認證能夠強有力保障組織的信息資產(chǎn)的保密性、完整性和可用性，并能帶來如下好處：①加強公司信息資產(chǎn)的安全性、保障業(yè)務(wù)持續(xù)性與緊急恢復(fù)；②強化員工的信息安全意識，規(guī)范組織信息安全行為；6.6.4信息安全管理體系③減少可能潛在的風(fēng)險隱患，減少信息系統(tǒng)故障、人員流失帶來的經(jīng)濟損失；④維護企業(yè)的聲譽、品牌和客戶信任，維持競爭優(yōu)勢；⑤滿足客戶和法律法規(guī)要求。ThankYou!物聯(lián)網(wǎng)應(yīng)用層安全

物聯(lián)網(wǎng)應(yīng)用層安全物聯(lián)網(wǎng)的概念物聯(lián)網(wǎng)應(yīng)用層安全需求Web安全中間件安全數(shù)據(jù)安全云計算安全物聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)物聯(lián)網(wǎng)（TheInternetofthings）在計算機互聯(lián)網(wǎng)的基礎(chǔ)上通過射頻識別（RFID）、紅外感應(yīng)器、全球定位系統(tǒng)、激光掃描器等信息傳感設(shè)備，按約定的協(xié)議，把任何物品與互聯(lián)網(wǎng)連接起來，進行信息交換和通訊，以實現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡(luò)。物聯(lián)網(wǎng)的概念物聯(lián)網(wǎng)應(yīng)用層安全需求應(yīng)用層面臨的安全問題（1）超大量終端提供了海量的數(shù)據(jù)，來不及識別和處理；（2）智能設(shè)備的智能失效，導(dǎo)致效率嚴重下降；（3）自動處理失控；（4）無法實現(xiàn)災(zāi)難控制并從災(zāi)難中恢復(fù)；（5）非法人為干預(yù)造成故障；（6）設(shè)備從網(wǎng)絡(luò)中邏輯丟失。Web安全一、Web結(jié)構(gòu)原理1、Web簡介Web是一種體系結(jié)構(gòu)，是Internet提供的一種界面友好的信息服務(wù)。Web上的海量信息是有彼此關(guān)聯(lián)的文檔組成，這些文檔稱為主頁或頁面，它是一種超文本信息，而使其連接在一起的是超鏈接。通過Web可以訪問遍布于Internet主機上的鏈接文檔。Web安全2、Web的五個特點（1）Web是圖形化且易于導(dǎo)航的。（2）Web與平臺無關(guān)。如Windows平臺、UNIX平臺。（3）Web是分布式的。（4）Web是動態(tài)的。（5）Web是交互的。Web安全二、Web的安全威脅

來自網(wǎng)絡(luò)上的安全威脅與攻擊多種多樣，依照Web訪問的結(jié)構(gòu)，可將其分為對Web服務(wù)器的安全威脅、對Web客戶機的安全威脅和對通信信道的安全威脅三類。Web安全1、對Web服務(wù)器的安全威脅Web服務(wù)器上的漏洞可以從以下幾方面考慮（1）在Web服務(wù)器上的機密文件或重要數(shù)據(jù)放置在不安全區(qū)域，被入侵后很容易得到。（2）在Web數(shù)據(jù)庫中，保存的有價值信息，如果數(shù)據(jù)庫安全配置不當(dāng)，很容易泄密。（3）Web服務(wù)器本身存在一些漏洞，能被黑客利用侵入到系統(tǒng)，破壞一些重要的數(shù)據(jù)甚至造成系統(tǒng)癱瘓。（4）程序員的有意或無意在系統(tǒng)中遺漏Bug給非法黑客創(chuàng)造條件。Web安全2、對Web客戶機的安全威脅現(xiàn)在網(wǎng)頁中的活動內(nèi)容已被廣泛應(yīng)用，活動內(nèi)容的不安全性是造成客戶端的主要威脅。網(wǎng)頁的活動內(nèi)容是指在靜態(tài)網(wǎng)頁中嵌入的對用戶透明的程序。當(dāng)用戶使用瀏覽器查看帶有活動內(nèi)容的網(wǎng)頁時，這些應(yīng)用程序會自動下載并在客戶機上運行，如果這些程序被惡意使用，則可以竊取、改變或刪除客戶機上的信息。針對Web客戶機的安全威脅，主要用到JavaApplet和ActiveX技術(shù)。Web安全3、對通信信道的安全威脅Internet是連接Web客戶機和服務(wù)器通信的信道，是不安全的。像Sniffer這樣的嗅探程序，可對信道進行偵聽，竊取機密信息，存在著對保密性的安全威脅。未經(jīng)授權(quán)的用戶可以改變信道中的信息流傳輸內(nèi)容，造成對信息完整性的安全威脅。Web安全三、Web安全防護1、Web的安全防護技術(shù)（1）Web客戶端的安全防護（2）通信信道的安全防護（3）Web服務(wù)器端的安全防護2、Web服務(wù)器安全防護策略的應(yīng)用（1）系統(tǒng)安裝的安全策略；（2）系統(tǒng)安全策略的配置；（3）IIS安全策略的應(yīng)用；（4）審核日志策略的配置。中間件安全一、中間件1、中間件基本概念中間件即軟件中間件是一類連接軟件組件和應(yīng)用的計算機軟件，它包括一組服務(wù)，以便于運行在一臺或多臺機器上的多個軟件通過網(wǎng)絡(luò)進行交互。中間件在操作系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)庫之上，應(yīng)用軟件的下層，總的作用是為自己上層的應(yīng)用軟件提供運行與開發(fā)的環(huán)境，幫助用戶靈活、高效地開發(fā)和集成復(fù)雜的應(yīng)用軟件。中間件不僅僅實現(xiàn)互聯(lián)，還要實現(xiàn)應(yīng)用之間的互操作；中間件是基于分布式處理的軟件，最突出的特點是其網(wǎng)絡(luò)通信功能。中間件安全2、中間件的特點及分類（1）優(yōu)點：滿足大量應(yīng)用的需要；運行于多種硬件和OS平臺上；支持分布式計算，提供跨網(wǎng)絡(luò)、硬件和OS平臺的透明性的應(yīng)用或服務(wù)的交互功能；支持標(biāo)準(zhǔn)的協(xié)議；支持標(biāo)準(zhǔn)的接口。（2）缺點：中間件所應(yīng)遵循的一些原則離實際還有很大距離；有些中間件服務(wù)只提供一些平臺的實現(xiàn)，從而限制了應(yīng)用在異構(gòu)系統(tǒng)之間的移植等。（3）分類：中間件大致可分為：終端仿真/屏幕轉(zhuǎn)換中間件、數(shù)據(jù)訪問中間件、遠程過程調(diào)用中間件、消息中間件、交易中間件、對象中間件。二、物聯(lián)網(wǎng)中間件物聯(lián)網(wǎng)中的中間件處于物聯(lián)網(wǎng)的集成服務(wù)器端和感知層、傳輸層的嵌入式設(shè)備中。服務(wù)器端中間件稱為物聯(lián)網(wǎng)業(yè)務(wù)基礎(chǔ)中間件，一般是基于傳統(tǒng)的中間件來構(gòu)建的。嵌入式中間件是支持不同通信協(xié)議的模塊和運行環(huán)境。中間件的特點是它固化了很多通用功能，但在具體應(yīng)用中多半需要二次開發(fā)來實現(xiàn)個性化的業(yè)務(wù)需求，因此所有物聯(lián)網(wǎng)中間件都需要提供快速發(fā)展工具。中間件安全在RFID中物聯(lián)網(wǎng)中間件具有以下特點：（1）應(yīng)用架構(gòu)獨立。物聯(lián)網(wǎng)中間件介于RFID讀寫器與后端應(yīng)用程序之間有獨立于它們之外。（2）分布數(shù)據(jù)存儲。RFID最主要的目的在于將實體對象轉(zhuǎn)換為信息環(huán)境下的虛幻對象，因此，數(shù)據(jù)存儲與處理是RFID最重要的功能。（3）數(shù)據(jù)加工處理。物聯(lián)網(wǎng)中間件通常采用程序邏輯及存儲轉(zhuǎn)發(fā)的功能來提供順序的信息，具有數(shù)據(jù)設(shè)計和管理的能力。中間件安全三、RFID中間件安全1、RFID中間件安全存在的問題（1）數(shù)據(jù)傳輸：RFID數(shù)據(jù)在經(jīng)過網(wǎng)絡(luò)層傳播時，非法入侵者很容易對標(biāo)簽信息進行篡改、截獲和破解、重放攻擊、數(shù)據(jù)演繹，以及DoS攻擊。（2）身份認證：當(dāng)大量偽造的標(biāo)簽數(shù)據(jù)發(fā)往閱讀器時，閱讀器消耗大量的能量，處理的卻是虛假的數(shù)據(jù)，而真實的數(shù)據(jù)被隱藏不被處理，嚴重的可能會引起拒絕服務(wù)式攻擊。（3）授權(quán)管理：不同的用戶只能訪問已被授權(quán)的資源，當(dāng)用戶試圖訪問未授權(quán)的受保護的RFID中間件服務(wù)時，必須對其進行安全訪問控制，限制其行為在合法的范圍之內(nèi)。中間件安全中間件安全RFID讀寫器RFID讀寫器RFID讀寫器RFID中間件企業(yè)應(yīng)用系統(tǒng)ONS基礎(chǔ)服務(wù)RFID基礎(chǔ)服務(wù)RFID中間件的物理連接結(jié)構(gòu)圖數(shù)據(jù)安全一、數(shù)據(jù)安全概述1、機密性：機密性是指信息不泄露給非授權(quán)的用戶、實體、過程或供其利用的特性。2、完整性：數(shù)據(jù)完整性是指在傳輸、存儲信息或數(shù)據(jù)的過程中，確保信息或數(shù)據(jù)不被未授權(quán)的用戶篡改或在篡改后能夠被迅速發(fā)現(xiàn)。3、可用性：可用性是指被授權(quán)實體訪問并按需求的特性，即當(dāng)需要時能否存取和訪問所需的信息，用戶訪問數(shù)據(jù)的期望使用能力。數(shù)據(jù)安全二、數(shù)據(jù)安全保護（1）預(yù)防，又稱阻止，它試圖通過阻止所有未經(jīng)授權(quán)的改寫數(shù)據(jù)的企圖來預(yù)防入侵的出現(xiàn)，從而保證數(shù)據(jù)安全外泄不會發(fā)生。訪問控制技術(shù)是服務(wù)器以及數(shù)據(jù)庫中最主要的預(yù)防措施之一。訪問控制一般有自主訪問控制、基于角色的訪問控制和強制訪問控制三種類型。（2）檢測可以保證信息系統(tǒng)活動有足夠的歷史活動記錄。當(dāng)數(shù)據(jù)泄露事件發(fā)生時可以通過它進行檢測和取證。檢測機制并不阻止數(shù)據(jù)保密性和完整性的破壞，它僅僅告知數(shù)據(jù)的完整性不再可信。檢測機制試圖通過對系統(tǒng)事件的分析來檢測出問題，或者通過數(shù)據(jù)本身的分析來查看信息系統(tǒng)要求的約束條件是否依然滿足。數(shù)據(jù)安全三、數(shù)據(jù)庫安全1、數(shù)據(jù)庫安全的定義：物理數(shù)據(jù)庫的完整性；邏輯數(shù)據(jù)庫的完整性；元素安全性；可審計性；訪問控制；身份驗證；可用性。2、數(shù)據(jù)庫安全常用技術(shù)：用戶認證技術(shù)；安全管理技術(shù)；數(shù)據(jù)庫加密技術(shù)。3、數(shù)據(jù)庫安全通常通過存取管理、安全管理和數(shù)據(jù)庫加密來實現(xiàn)。存取管理就是一套防止未授權(quán)用戶使用和訪問數(shù)據(jù)庫的方法、機制和過程。安全管理指采取何種安全管理機制實現(xiàn)數(shù)據(jù)庫管理權(quán)限分配，一般分為集中控制和分散控制兩種方式。數(shù)據(jù)庫加密包括：庫內(nèi)加密、庫外加密和硬件加密三個方面。數(shù)據(jù)安全四、虛擬化數(shù)據(jù)安全1、虛擬化特點：封閉，隔離，分區(qū)。2、數(shù)據(jù)中心安全風(fēng)險分析：高資源利用率帶來的風(fēng)險集中；網(wǎng)絡(luò)架構(gòu)改變帶來的安全風(fēng)險；虛擬機脫離物理安全監(jiān)管的風(fēng)險。3、虛擬環(huán)境的安全風(fēng)險：黑客攻擊；虛擬機溢出；虛擬機跳躍；補丁安全風(fēng)險。4、虛擬化數(shù)據(jù)中心的安全設(shè)計：數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)高可用設(shè)計；網(wǎng)絡(luò)安全的部署設(shè)計。云計算安全一、云計算概述

1、云計算簡介云計算是網(wǎng)格計算、分布式計算、并行計算、效用計算、網(wǎng)絡(luò)存儲、虛擬化、負載均衡等傳統(tǒng)計算機和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物。美國NIST對云計算的定義是：云計算是一種按使用計費模型，提供對可安裝且可靠的計算資源共享池進行方便按需的網(wǎng)絡(luò)訪問服務(wù)，如網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用、服務(wù)等。這些資源能夠快速地供給和發(fā)布，僅需要最少的用戶管理和服務(wù)供應(yīng)商間交互。云計算安全2、云計算的體系結(jié)構(gòu)云計算的體系結(jié)構(gòu)包括三個部分：應(yīng)用層、平臺層、基礎(chǔ)設(shè)施層。（1）基礎(chǔ)設(shè)施層提供對計算、存儲、帶寬的管理，是虛擬化技術(shù)、負載均衡、文件系統(tǒng)管理、高可靠性存儲等云計算關(guān)鍵技術(shù)的集中體現(xiàn)層，是平臺服務(wù)和應(yīng)用服務(wù)的基礎(chǔ)。（2）平臺層為應(yīng)用層的開發(fā)提供接口API調(diào)用和軟件運行環(huán)境。（3）應(yīng)用層服務(wù)提供具體應(yīng)用，是一種通過Internet提供軟件的模式。云計算的技術(shù)體系結(jié)構(gòu)云計算安全3、云計算的優(yōu)勢（1）協(xié)同工作方便（2）無時無處不在的享受服務(wù)（3）系統(tǒng)可擴展性，伸縮性較高（4）系統(tǒng)可用性，可靠性高（5）中小企業(yè)節(jié)約IT成本云計算安全二、云