01密码学与网络安全第一讲

密码学与网络安全第一讲概论一、课程说明1、先修课程程序设计计算机网络操作系统2、课程目标让学生了解和掌握信息安全的基本原理、技术、及最新研究成果；具有解决信息安全方面的工程实践问题的能力，并具备进行信息安全研究的理论基础。基本课堂讲授3、课程体系密码学基础：对称密码(古典密码、现代对称分组密码、流密码）、非对称分组密码、散列算法（Hash)、密码技术认证理论与技术：数字签名、身份鉴别和访问控制网络安全与应用安全：IP的安全和Web的安全、网络攻防与入侵检测、电子邮件的安全、系统安全：防火墙技术、操作系统的安全、病毒4、讲授内容1、概论2、对称密码古典密码算法现代对称密码算法流密码3、非对称密码算法4、散列函数、数字签名5、密码技术6、公钥基础设施7、身份鉴别、访问控制8、IP的安全和Web安全9、电子邮件的安全10、防火墙技术及其应用11、网络攻防和计算机病毒12、入侵检测13、系统安全5、学习用书刘玉珍、王丽娜等译，《密码编码学与网络安全：原理与实践》，电子工业出版社2003，10教材：WilliamStallings,Cryptographyandnetworksecurity:principlesandpractice,SecondEdition7、本课程的考核成绩分：平时成绩(30%)+论文(70%)第一节什么是信息安全?一、信息安全在IT中的位置芯片是细胞电脑是大脑网络是神经智能是营养信息是血浆信息安全是免疫系统1、什么是信息(information)?广义地说，信息就是消息，一切存在都有信息。对人类而言，人的生来就是为了接受信息的，它们是信息的接收器，它们所感受到的一切，都是信息。然而，大量的信息是我们的五官不能直接感受的，人类正通过各种手段，发明各种仪器来感知它们，发现它们。信息可以被交流、存储和使用。3、什么是安全(Security)？保护，防止来自攻击者的有意或无意的破坏。4、信息安全的目标保密：即保证信息为授权者享用而不泄漏给未经授权者。数据完整性：没有被未授权篡改或者损坏。实体鉴别：验证一个实体的身份。数据源发鉴别：验证消息来自可靠的源点，且没有被篡改。签名：一种绑定实体和信息的办法。授权：把官方做某件事情或承认某件事情的批准传递给另一实体。访问控制：限制资源只能被授权的实体访问。抗否认：防止对以前行为否认的措施。5、传统方式下的信息安全复制品与原件存在不同。对原始文件的修改总是会留下痕迹。模仿的签名与原始的签名有差异。用铅封来防止文件在传送中被非法阅读或篡改。用保险柜来防止文件在保管中被盗窃、毁坏、非法阅读或篡改。用签名或者图章来表明文件的真实性和有效性。信息安全依赖于物理手段与行政管理。6、数字世界中的信息安全。复制后的文件跟原始文件没有差别。对原始文件的修改可以不留下痕迹。无法象传统方式一样在文件上直接签名或盖章。不能用传统的铅封来防止文件在传送中被非法阅读或篡改。难以用类似于传统的保险柜来防止文件在保管中被盗窃、毁坏、非法阅读或篡改。信息安全的危害更大：信息社会更加依赖于信息，信息的泄密、毁坏所产生的后果更严重。信息安全无法完全依靠物理手段和行政管理7、信息安全含义的历史变化通信保密（COMSEC）：60-70年代信息保密信息安全（INFOSEC）：80-90年代机密性、完整性、可用性、不可否认性等信息保障（IA）90年代—基本的通信模型：发发方收方信源编码信道编码信道传输通信协议通信的保密模型：信息安全—60年代（COMSEC）信源编码信源编码信道编码信道传输通信协议密码发方收方敌人8、信息安全含义：80-90年代信息安全的三个基本方面(CIA)保密性—Confidentiality即保证信息为授权者享用而不泄漏给未经授权者。完整性Integrity数据完整性，未被未授权者篡改或者损坏；系统完整性，系统未被非授权操纵，按既定的功能运行；可用性Availability即保证信息和信息系统随时为授权者提供服务，而不要出现非授权者滥用却对授权者拒绝服务的情况。信息安全的其他方面信息的不可否认性Non-repudiation：要求无论是发送方还是接收方都不能抵赖所进行的传输。鉴别Authentication：鉴别就是确认实体是它所声明的，适用于用户、进程、系统、信息等。审计Accountability：确保实体的活动可被跟踪可靠性Reliability：特定行为和结果的一致性安全需求的多样性•保密性•一致性•可用性•可靠性•可认证，真实性•责任定位，审计性•高性能•实用性•占有权•……信息保障美国人提出的概念InformationAssurance保护（Protect）检测（Detect）反应（React）恢复（Restore）第二节信息为什么不安全•信息需要共享...•信息需要使用...•信息需要交换...•信息需要传输...安全的信息交换应满足的性质保密性（Confidentiality）完整性（Integrity）数据完整性，未被未授权者篡改或者损坏；系统完整性，系统未被非授权操纵，按既定的功能运行可用性（Availability）鉴别（Authenticity）实体身份的鉴别，适用于用户、进程、系统、信息等不可否认性（Non-repudiation）防止源点或终点的抵赖攻击(分类)攻击分类：被动攻击与主动攻击被动攻击,如窃听或者偷窥,非常难以被检测到,但可以防范；releaseofmessagecontent信息内容泄露trafficanalysis流量分析主动攻击,常常是对数据流的修改,可以被检测到,但难以防范；Masquerade伪装Replay重放modificationofmessage消息篡改denialofservice拒绝服务通信系统典型攻击保密性:窃听、业务流分析完整性:篡改、重放、旁路、木马鉴别：冒充不可否认性：抵赖可用性：拒绝服务、蠕虫病毒、中断正常信息流动信息安全包括数据安全和系统安全设信息是从源地址流向目的地址，那么正常的信息流向是：信息源信息源信息目的地中断威胁使在用信息系统毁坏或不能使用的攻击，破坏可用性（availability）。如硬盘等一块硬件的毁坏，通信线路的切断，文件管理系统的瘫痪等。信息源信息源信息目的地窃听威胁一个非授权方介入系统的攻击，破坏保密性(confidentiality).非授权方可以是一个人，一个程序，一台微机。这种攻击包括搭线窃听，文件或程序的不正当拷贝。信息源信息源信息目的地7、修改威胁一个非授权方不仅介入系统而且在系统中‘瞎捣乱’的攻击，破坏完整性（integrity）.这些攻击包括改变数据文件，改变程序使之不能正确执行，修改信件内容等。信息源信息目的地8、伪造威胁一个非授权方将伪造的客体插入系统中，破坏真实性（authenticity）的攻击。包括网络中插入假信件，或者在文件中追加记录等。信息源信息源信息目的地9、冒充攻击一个实体假装成另外一个实体。在鉴别过程中，获取有效鉴别序列，在以冒名重播的方式获得部分特权。10、重放攻击获取有效数据段以重播的方式获取对方信任。在远程登录时如果一个人的口令不改变，则容易被第三者获取，并用于冒名重放。11、拒绝服务攻击破坏设备的正常运行和管理。这种攻击往往有针对性或特定目标。一个实体抑制发往特定地址的所有信件，如发往审计服务器的所有信件。另外一种是将整个网络扰乱，扰乱的方法是发送大量垃圾信件使网络过载，以降低系统性能。第三节安全服务与网络安全模型1、ISO7498-2，信息安全体系结构1989.2.15颁布，确立了基于OSI参考模型的七层协议之上的信息安全体系结构五大类安全服务(鉴别、访问控制、机密性、完整性、抗否认）八类安全机制(加密、数字签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制、公证）OSI安全管理ITUX.800,1991年颁布2、安全服务（P11）机密性完整性认证访问控制抗否认机密性机密性服务是用加密的机制实现的。加密的目的有三种：密级文件经过加密可以公开存放和发送.实现多级控制需要。构建加密通道的需要，防止搭线窃听和冒名入侵。保密性可以分为以下四类：连接保密：即对某个连接上的所有用户数据提供保密。无连接保密：即对一个无连接的数据报的所有用户数据提供保密。选择字段保密：即对一个协议数据单元中的用户数据的一些经选择的字段提供保密。信息流机密性：这种服务提供的保护,使得通过观察通信业务流而不可能推断出其中的机密信息。二、完整性数据完整性是数据本身的真实性的证明。数据完整性有两个方面:单个数据单元或字段的完整性数据单元流或字段流的完整性。完整性可以分为以下几类:带恢复的连接完整性不带恢复的连接完整性选择字段连接完整性无连接完整性选择字段无连接完整性三、鉴别鉴别就是确认实体是它所声明的。实体鉴别（身份鉴别）：某一实体确信与之打交道的实体正是所需要的实体。只是简单地鉴别实体本身的身份，不会和实体想要进行何种活动相联系。数据原发鉴别：鉴定某个指定的数据是否来源于某个特定的实体。不是孤立地鉴别一个实体，也不是为了允许实体执行下一步的操作而鉴别它的身份，而是为了确定被鉴别的实体与一些特定数据项有着静态的不可分割的联系。四、访问控制一般概念——是针对越权使用资源的防御措施。基本目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。未授权的访问包括：未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户进入系统。合法用户对系统资源的非法使用。五、抗否认数字签名（DigitalSignature）是一种防止源点或终点抵赖的鉴别技术。第四节网络体系架构ISO/OSI参考模型TCP/IP参考模型应用层应用层传输层网络层网络接口层应用层表示层会话层传输层网络层数据链路层物理层ISO7498-2到TCP/IP的映射安全服务TCP/IP协议网络接口互联网层传输层应用层对等实体鉴别-YYY数据源鉴别-YYY访问控制服务-YYY连接保密性YYYY无连接保密性YYYY选择域保密性Y流量保密性YY-Y有恢复功能的连接完整性--YY无恢复功能的连接完整性-YYY选择域连接完整性Y无连接完整性-YYY选择域非连接完整性Y源发方不可否认Y接收方不可否认Y网络层传输层应用层基于网络层传输层应用层PEMMOSSPGPS/MIMESHTTPSSHKerberosSNMPv2TCPSSLUDPIPv6IPSECISAKMP四个基本任务①设计一个算法，执行安全相关的转换②生成该算法的秘密信息③研制秘密信息的分布与共享的方法④设定两个责任者使用的协议，利用算法和秘密信息取得安全服务。网络访问安全模型信息安全的重要性与产业化情况第十六次中国互联网络发展状况统计报告我国网民人数已经超过1亿，从半年前的9400万增长到2005年6月的10300万；网民占我国人口的比例从2004年12月的7.2%增长为7.9%，增长0.7%截止到2005年6月30日，我国CN下注册的域名数为622534个，与半年前相比增加190457个，增长率为44.1%，与上年同期相比增长了62.9%截止到2005年6月30日，我国国际出口带宽的总容量为82617M，与半年前相比增加了8188M，增长率为11.0%，截止到2005年6月30日，中国大陆IPv4地址数已达68300032个，与半年前相比增加8354304受国家主管部门委托，中国互联网络信息中心（CNNIC）自1997年10月开始发布中国互联网络发展状况统计报告，至今已16次。为什么互联网安全变得越来越重要？网络无处不在的特性使进攻随时随地可以发起；进行网络攻击变得越来越简单攻击软件层出不穷。黑客工具的自动化程度及速度在不断提高.网络本身就蓄积了大量的攻击技巧（大概有26万个站点提供此类知识）；安全漏洞的暴露速度在不断加快越来越多的个人或公司连入Internet并不是所有的用户都具有基本的安全知识CERT(ComputerEmergencyResponseTeam)统计的漏洞2005年全年收到漏洞报告5990个，平均每天超过15个。自1995年以来共计收到漏洞报告总数22716个.恶意代码2005年蠕虫、木马、间谍软件等恶意代码在网上的传播和活动仍然频繁。据CNCERT/CC()技术支撑单位安天实验室统计，从2005年1月1日到2005年12月31日，接收到不同渠道的278697次样本上报，较前一年同期增长2.22005年利用电子邮件手段传播的蠕虫整体呈下降趋势，而即时消息蠕虫迅速增多。出现的针对Symbian系统的手机蠕虫也值得关注。以窃取银行帐号、密码和个人信息，获得经济利益为目的的木马和间谍软件迅速增多，成为当前黑客手中的主要工具。对WEB网站的攻击2005年，CNCERT/CC对常见的50种针对Web网站的攻击进行了抽样监测，发现境外22万台主机曾对我国发起攻击。“僵尸网络”（BOTNET）僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。CNCERT/CC每天密切关注着新出现的僵尸网络并跟踪过去出现的大规模僵尸网络，发现的僵尸网络的规模从数百到数万不等。在1月－12月期间，CNCERT/CC共发现同时在线的节点数大于5000的僵尸网络有143个，其中最大的Diablo僵尸网络最多时有157142个客户端。这些僵尸网络不断扫描扩张、更新版本、下载间谍软件和木马、发动各种形式的拒绝服务攻击。CERT有关安全事件的统计计算机应急响应组织（CERT）年份事件报道数目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756200152658CNCERT统计2005年，CNCERT/CC共收到国内外通过应急热线、网站、电子邮件等报告的网络安全事件12万多件，平均每月1万多件，在2005年收到的事件报告中约93％为扫描类网络安全事件。除扫描外的国内外网络安全事件报告共9112件。网页篡改2005年，监测到的我国被篡改网站总数达到13653个信息安全是信息化可持续发展的保障信息是社会发展的重要战略资源。网络信息安全已成为急待解决、影响国家大局和长远利益的重大关键问题，信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分，是世纪之交世界各国在奋力攀登的制高点。网络信息安全问题如果解决不好将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面，使国家处于信息战和高度经济金融风险的威胁之中。沈昌祥“十五”期间，863计划信息技术领域设立四个主题计算机软硬件技术主题、通信技术主题、信息获取与处理技术主题、信息安全技术主题。有关部门提出，在“十五”期间，优先发展信息安全等级技术，研发急需的信息安全产品，安全等级保护的关键设备要实现国产化，基本满足重要领域和部门信息系统安全建设的应用需求。增强国家的信息安全防护能力、隐患发现能力、应急响应和恢复能力、信息战对抗能力，保障信息系统的安全和信息的安全。重点围绕安全操作系统、安全网络管理系统、安全数据库管理系统等技术产品的研究开发。实现等级保护划分准则的第一至第三级，预研第四级和第五级。建立全国范围内重点行业的全方位、多层次的等级防护体系，基本完成信息系统安全等级保护的基础建设。在今后十五年内，实现信息安全标准、技术、产品的建设全面达到准则各级要求，建立起比较完善的国家信息安全等级防护保障体系，满足对各种安全等级保护产品的基本需要，形成符合中国国情的信息安全产业。开展了安全专用产品的评测建立了公安部由国家质量技术监督局认可、公安部批准委托的“计算机信息系统安全产品质量监督检验中心”；成立了“国家信息安全测评认证中心”；/webPage/showfagui.asp?ID=1418经公安部公共信息网络安全监察局颁发许可证的产品网络安全公司名称许可证号有效期至产品名称北京水木同正网络技术有限公司XKC3016120030815“中华箭1号”内部拨号上网连接监控管理系统V1.0吉林市欣达科技有限公司XKC3016220030820欣盾物理隔离卡XD-DN吉林市欣达科技有限公司XKC3016320030820欣盾隔离集线器XD-NSⅡm吉林市欣达科技有限公司XKC3016420030820欣盾网络切换器XD-NSⅠ北京网安趋势网络安全技术有限公司XKC3016520030824NetSwatchⅡ-M1.8版上海新脉网络科技有限公司XKC3016620030824大卫nGuarderV1.0巨龙信息技术有限责任公司XKC3016720030830神獒VPNV1.0北京神舟航天软件技术有限公司XKC3016820030830神舟天网网页自动恢复系统2001版辽宁省委机要通信技术研究所XKC3016920030910网络终端安全隔离装置TSC-C2型河南华晨信息安全技术研究所有限公司XKC3017020030910华信IP-VPN安全网关SG-VPN-IEU2001……中共中央办公厅在1996年27号文中，明确了我国发展和管理商用密码的“统一领导、集中管理、定点研制、专控经营、满足使用”的20字方针。发展思路充分发挥政府的主导、先导作用，加强宏观调控。以法规形式明确信息安全设施使用范围和采购政策，以需求带动产业发展。抓住重点，自主渐进发展。培育若干信息安全骨干企业和国产名牌产品。坚持独立自主，创立新的安全体系。发展目标近期目标到2005年，在涉及国家安全、政府办公自动化以及金融、财税、通讯、教育等关键领域采用自主版权的安全设备和系统，基本满足不同等级的安全保密要求;在重要的信息系统中，安全建设投资达到总建设投资的10-15%；在商用系统中，采用国产的安全产品和经过安全性增强的通用系统平台。形成10个以上安全产品销售收入超亿元的信息安全企业，力争达到150亿元产业规模。远期目标经过七年左右时间，实现信息安全产业规模化生产，形成解决各种复杂系统安全问题的能力，为保障国家信息化安全提供全部设备和系统;形成一批具有国际一流水平的产品，使信息安全产业在信息产业中处于核心主导地位。发展重点根据我国目前信息网络系统安全的薄弱环节，近几年应重点发展安全保护、安全检测与监控类产品，相应发展应急反应和灾难恢复类产品。信息保密产品用户认证授权产品安全平台/系统网络安全检测监控设备安全平台/安全平台/系统产品安全检测与监控产品安全检测与监控产品安全授权认证产品安全授权认证产品信息保密产品信息保密产品重点支持项目信息保密产品重点支持项目信息保密产品安全授权认证产品安全/平台系统安全检测与监控产品网络安全隐患检测工具网络安全监控及预警设备网情监控系统网络信息远程监控系统数字证书管理系统用户安全认证卡鉴别与授权服务器智能IC卡安全操作系统安全数据库系统安全路由器与虚拟专用网络产品WEB安全平台网络病毒检查预防和清除产品数字签名产品密码加密产品密钥管理产品数字签名产品高性能加密芯片产品信息安全保障的技术支柱系统攻击的理论和实践系统攻击的理论和实践信息系统安全及应用监控管理安全芯片安全体系结构信息安全协议密码理论和技术密码是核心，安全协议是桥梁，安全体系结构是基础，安全芯片是关键，监控管理是保障，系统攻击评测是考验。Internet安全性研究的开始1988年康奈尔大学的研究生罗伯特.莫里斯(22岁)针对UNIX的缺陷设计了一个“蠕虫”程序,感染了6000台计算机，使Internet不能正常运行，造成的经济损失达1亿美元。“蠕虫”的作者因此被判三年缓刑、罚款1万美元、做400小时的社区服务。“Morris蠕虫”的出现改变了许多人对Internet安全性的看法。一个单纯的程序有效地摧毁了数百台（或数千台）机器，那一天标志着Internet安全性研究的开始。导致网络安全问题的原因内因：（1）设计上的问题：Internet从建立开始就缺乏安全的总体构想和设计，TCP/IP协议是在可信环境下，为网络互联专门设计的，缺乏安全措施的考虑。SYNFlood（2）实现上的问题:Windows3.1—300万行代码，Windows2000—5000万行代码PingofDeath，人为的后门和设计中的“Bug”（3）配置上的问题:默认的服务 （4）管理上的问题：弱的口令外因国家安全威胁信息战士减少美国决策空间、战略优势，制造混乱，进行目标破坏。情报机构搜集政治、军事和经济信息共同威胁恐怖分子破坏公共秩序、制造混乱、发动政变工业间谍掠夺竞争优势，恐吓犯罪团伙施行报复，实现经济目的，破坏制度局部威胁社会型黑客攫取金钱，恐吓，挑战，获取声望娱乐型黑客以吓人为乐，喜欢挑战Insider（内部人员）威胁必须引起高度重视国内外从事信息安全的专业人士，通过调查逐步认识到，媒体炒得火热的外部入侵事件，充其量占到所有安全事件的20%-30%，而70%-80%的安全事件来自于内部。未来网络演变的假定从总体角度来看，安全技术不会有大变化：TCP/IP协议不会发生根本变化遍布世界的巨型资产不会轻易退出历史舞台带宽的提高仅是量的变化，并不会带来技术上面的质的变化无线网的出现只表明接入方式的变化，等效于以太网时期的广播效应，并不带来安全方面的本质问题防范对象仍为资源的恶意消耗与业务的盗用第五节信息安全的标准化机构建立标准的好处和坏处好处:批量生产,降低成本相互兼容,为用户带来方便弊端阻滞技术发展同一事物多套标准著名国际标准化组织国际标准化组织（ISO）和国际电工委员会（IEC）ISO(国际标准化组织)和IEC(国际电工委员会)是世界性的标准化专门机构。国家成员体（他们都是ISO或IEC的成员国）通过国际组织建立的的各个技术委员会参与制定特定技术范围的国际标准。ISO和IEC的各技术委员会在共同感兴趣的领域内进行合作。与ISO和IEC有联系的其他官方和非官方国际组织也可以参与国际标准的制定工作。对于信息技术，ISO和IEC建立了一个联合技术委员会，即ISO/IECJTC1。由联合技术委员会提出的国际标准草案分发给国家成员体进行表决。发布一项国际标准，至少需要75%的参与表决的国家成员体投票赞成。国际标准开放系统互联(OSI)基本参考模型(ISO/IEC7498)是由ISO/IECJTC1“信息技术”联合技术委员会与ITU-T共同制定的。等同文本为ITU-T建议X.200。国际电报和电话咨询委员会(CCITT)国际电报和电话咨询委员会是一个联合国条约组织，属于国际电信联盟，由主要成员国的邮政、电报和电话当局组成，主要从事涉及通信领域的接口和通信协议的制定，与ISO密切合作进行国际通信的标准化工作，在数据通信范围内的工作体现于V系列和X系列建议书。现在改名为国际电信联盟(ITU)电信标准化部.制定了开放系统互联的安全体系结构X.800国际信息处理联合会第十一技术委员会（IFIPTC11）该组织是国际上有重要影响的有关信息系统安全的国际组织，公安部代表我国参加该组织的活动，该组织每年举行一次计算机安全的国际研讨会。该组织机构包括安全管理工作组、办公自动化安全工作组、数据库安全工作组、密码工作组、系统完整性与控制工作组、拟构成计算机事务处理工作组、计算机安全法律工作组和计算机安全教育工作组。电气和电子工程师学会（IEEE）电气和电子工程师学会是一个由电气和电子工程师组成的世界上最大的专业性学会，划分成许多部门。1980年2月，IEEE计算机学会建立了一个委员会负责制定有关网络的协议标准(802.1~9)，包括高层接口、逻辑链路控制、CSMA/CD网、令牌总线网、令牌环网、城域网、宽带技术咨询组、光纤技术咨询组、数据和话音综合网络等标准。欧洲计算机制造商协会（ECMA）欧洲计算机制造商协会是包括美国在欧洲供应计算机的厂商在内组成的组织，致力于适用于计算机技术的各种标准的制定和颁布，在ISO和CCITT中是一个没有表决权的成员。Internet体系结构委员会（IAB）Internet体系结构委员下设两个重要部门：Internet工程特别工作组（IETF）和Internet研究特别工作组（IRTF）。发展到今天，IAB公布的协议参考草案（RFC）已经积累到3000多个。IAB:负责定义互联网的整体架构IETF:互联网的协议施工与开发IESG:负责IETF的技术管理和互联网标准化过程的技术管理标准化过程在IETF的推荐下,RFC被提升为标准可靠并且容易被理解技术先进在实际应用中具有多重独立性和可操作性能够赢得广泛的支持对互联网的部分或所有领域具有强可用性美国国内与信息安全事物有关的管理机构主要有国家安全局（NSA）、国家标准技术研究所（NIST）、联邦调查局（FBI）、高级研究计划署（ARPA）和国防部信息局（DISA）。他们有各自授权管理的领域和业务，同时，这些机构。通过信息安全管理职责上的理解备忘录和协议备忘录进行合作。美国的标准机构美国国家标准局（NBS）与美国商业部国家标准技术研究所（NIST）美国国家标准局属于美国商业部的一个机构，现在的工作由NIST进行。发布销售给美国联邦政府的设备的信息处理标准。NIST与NSA紧密合作，在NSA的指导监督下，制定计算机信息系统的技术安全标准。他的工作一般以NIST出版物（FIPSPUB）和NIST特别出版物（SPECPUB）等形式发布。他制定的信息安全规范和标准很多，主要涉及访问控制和认证技术、评价和保障、密码、电子商务、一般计算机安全、网络安全、风险管理、电讯和联邦信息处理标准等。该机构比较有影响的工作是制定公布了美国国家数据加密标准DES，参加了美国、加拿大、英国、法国、德国、荷兰等国制定的信息安全的通用评价准则（CC），在1993年制定了密钥托管加密标准EES。美国国家标准协会（ANSI）美国国家标准协会是由制定标准和使用标准的组织联合组成的非盈利的非政府的民办机构，由全美1000多家制造商、专业性协会、贸易协会、政府和管理团体、公司和用户协会组成，是美国自发的制定与计算机工业有关的各种标准的统筹交流组织。1995年制定了财政协会的密钥管理标准X.917美国电子工业协会（EIA）美国电子工业协会是美国电子公司贸易协会，属于ANSI的成员。它制定了涉及电气和电子领域的400多个标准，主要工作是建立了数据终端设备和数据通信设备间的接口标准（如RS232C等）。美国国防部（DoD）及国家计算机安全中心（NCSC）美国国防部早在80年代就针对计算机安全保密开展了一系列有影响的工作，后来成立的NCSC接续进行有关的工作。1983年他们公布了《可信计算机信息系统评价准则》TCSEC，以后NCSC又出版了一系列有关可信计算机数据库、可信计算机网络的指南。安全组织机构国际上信息安全方面的协调机构主要有计算机应急响应小组（CERT/CC）、信息安全问题小组论坛（FIRST）。计算机应急响应小组是一个信息安全专家技术中心，是设在CarnegieMellon大学软件工程研究所的联邦资助的研究开发中心，成立于1988年。该组织研究Internet的脆弱性、处理计算机安全事件、发布安全警告、研究网络系统的长期变化以及提供安全培训帮助你提高站点的安全性。CERT/CC成立后，很多政府、商业和学术机构都组建了信息安全问题小组，但CERT/CC始终是这一方面规模最大、最著名和最权威的组织信息安全问题小组论坛（FIRST）成立于1990年，当时只有11个成员，截止