安全保障体系的建立

上传人:3212****4144 文档编号:253074569 上传时间:2024-11-28 格式:PPTX 页数:45 大小:380.65KB
返回 下载 相关 举报
安全保障体系的建立_第1页
第1页 / 共45页
安全保障体系的建立_第2页
第2页 / 共45页
安全保障体系的建立_第3页
第3页 / 共45页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,#,信息,安全技术基础,制作:张浩军,学习目标,信息安全涉及范畴、安全属性需求以及信息安全保障体系结构,动态和可适应的信息安全防御模型,风险评估、等级保护、安全测评的内容与方法,本章介绍信息安全保障体系的建立,信息系统主动防御模型,以及信息安全风险评估、等级保护的相关标准规范和内容,。,2,目 录,2.1,信息安全保障体系,2.2,信息安全防御模型,2.3,风险评估与等级保护,3,如何构架全面的信息安全保障?,4,IS Assurance?,范畴,属性,体系结构,2.1.1,信息安全范畴,信息自身,5,文本、图形、图像、音频、视频、动画等。,信息载体,信息环境,信息载体,信息环境,2.1.1,信息安全范畴,信息自身,6,信息载体,信息环境,物理平台,计算芯片:,CPU,、控制芯片、专用处理芯片等。,存储介质:内存、磁盘、光盘、,U,盘、磁带等。,通信介质:双绞线、同轴电缆、光纤、无线电波、微波、红外线等。,系统设备,:,计算机:包括个人计算机、服务器、小型机、智能终端等各类计算机;打印机、扫描仪、数字摄像机、智能手机等硬件设备。,2.1.1,信息安全范畴,信息自身,7,信息载体,信息环境,软件,平台,系统平台:操作系统、数据库系统等系统软件。,通信平台:通信协议及其软件。,网络平台:网络协议及其软件。,应用平台:应用软件。,2.1.1,信息安全范畴,信息自身,8,信息载体,信息环境,硬环境,机房、电力、照明、温控、湿控、防盗、防火、防震、防水、防雷、防电磁辐射、抗电磁干扰等设施。,软环境,国家法律、行政法规、部门规章、政治经济、社会文化、思想意识、教育培训、人员素质、组织机构、监督管理、安全认证等方面。,2.1.2,信息安全属性,9,如何刻画信息及信息系统的安全性?,IS Attributes?,2.1.2,信息安全属性,保密性(也称机密性,,Confidentiality,):,保证信息与信息系统不被非授权者所获取或利用。保密性包含数据的保密性和访问控制等方面内容。,10,完整性(,Integrity,):,保证信息与信息系统正确和完备,不被冒充、伪造或篡改,包括数据的完整性、系统的完整性等方面。,2.1.2,信息安全,属,属性,鉴别性(,也,也称可认,证,证性,,Authentication,):保证信息,与,与信息系,统,统真实,,包,包括实体,身,身份的真,实,实性、数,据,据的真实,性,性、系统,的,的真实性,等,等方面。,11,不可否认,性,性(不可,抵,抵赖性,,Non-Repudiation,):建立有效,的,的责任机,制,制,防止,用,用户否认,其,其行为,,这,这一点在,电,电子商务,中,中极为重,要,要。,2.1.2,信息安全,属,属性,可用性(,Availability,):保证信息,与,与信息系,统,统可被授,权,权者在需,要,要的时候,能,能够被访,问,问和使用,。,。,12,可靠性(,Reliability,):,保证信息,系,系统为合,法,法用户提,供,供稳定、,正,正确的信,息,息服务。,2.1.2,信息安全,属,属性,可追究性,(,(,Accountability,):保证从一,个,个实体的,行,行为能够,唯,唯一地追,溯,溯到该实,体,体,它支,持,持不可否,认,认、故障,隔,隔离、事,后,后恢复、,攻,攻击阻断,等,等应用,,具,具有威慑,作,作用,支,持,持法律事,务,务,其结,果,果可以保,证,证一个实,体,体对其行,为,为负责。,13,2.1.2,信息安全,属,属性,保障(,Assurance,):为在具体,实,实现和实,施,施过程中,,,,保密性,、,、完整性,、,、可用性,和,和可追究,性,性等得到,足,足够满足,提,提供信心,基,基础,这,种,种信心基,础,础主要通,过,过认证和,认,认可来实,现,现。,14,可控性(,Controlability,):,指对信息,和,和信息系,统,统实施有,效,效的安全,监,监控管理,,,,防止非,法,法利用信,息,息和信息,系,系统。,2.1.3,信息安全,保,保障体系,结,结构,15,如何构建全面的信息安全,保,保障体系,?,?,ISAssurance?,2.1.3,信息安全,保,保障体系,结,结构,信息安全,保,保障包括,人,人、政策,(,(包括法,律,律、法规,、,、制度、,管,管理)和,技,技术三大,要,要素,主要内涵,是,是实现上,述,述保密性,、,、鉴别性,、,、完整性,、,、可用性,等,等各种安,全,全属性,保证信息,、,、信息系,统,统的安全,性,性目的。,16,2.1.3,信息安全,保,保障体系,结,结构,技术体系,机制,加密、数字签名、访问控制、数据完整性、鉴别交换、通信业务填充、路由选择控制、公证、可信功能度、安全标记、事件检测、安全审计跟踪、安全恢复、电磁辐射控制、抗电磁干扰等。,服务,鉴别,/,身份认证、访问控制、数据机密性、数据完整性、抗抵赖、可靠性、可用性、安全审计等。,管理,技术管理策略、系统安全管理、安全机,制管理、安全服务管理、安全审计管理、安全恢复管理等。,标准,上述安全技术的实现依据、交互接口和评估准则。,17,2.1.3,信息安全,保,保障体系,结,结构,组织体系,机构,决策层:明确总体目标、决定重大事宜。,管理层:根据决策层的决定全面规划、制定策略、设置岗位、协调各方、处理事件等。,执行层:按照管理层的要求和规定执行某一个或某几个特定安全事务。,岗位,负责某一个,或某几,个特定安全事务的职位。,人事,负责岗位上人员管理的部门。,18,2.1.3,信息安全,保,保障体系,结,结构,管理体系,法律,根据国家法律和行政法规,强制性约束相关主体的行为。,制度,依据部门的实际安全需求,具体化法律法规,制定规章制度,规范相关主体的行为。,培训,培训相关主体的法律法规、规章制度、岗位职责、操作规范、专业技术等知识,提高其安全意识、安全技能、业务素质等。,19,2.1.3,信息安全,保,保障体系,结,结构,安全服务,认证(也,称,称鉴别),服,服务,访问控制,服,服务,数据保密,性,性服务,数据完整,性,性服务,抗否认性,服,服务,可靠性服,务,务,可用性服,务,务,安全审计,服,服务,20,信息系,统,统,-,开放系统,互,互连基本,参,参考模型,第,第,2,部分:安,全,全体系结,构,构,GB/T9387.2-1995,(等同于,ISO7498-2,),2.1.3,信息安全,保,保障体系,结,结构,安全机制,加密机制,数字签名,机,机制,访问控制,机,机制,数据完整,性,性机制,鉴别交换,机,机制,业务流填,充,充机制,路由选择,控,控制机制,公正机制,21,信息系,统,统,-,开放系统,互,互连基本,参,参考模型,第,第,2,部分:安,全,全体系结,构,构,GB/T9387.2-1995,(等同于,ISO7498-2,),目 录,2.1,信息安全,保,保障体系,2.2,信息安全,防,防御模型,2.3,风险评估,与,与等级保,护,护,22,2.2,信息安全,防,防御模型,23,如何有效,实,实现信息,安,安全防御,?,?,IS Defenses?,2.2,信息安全,防,防御模型,24,主动信息,安,安全防御,模,模型,Evaluation,Policy,Protection,Restoration,Detection,Reaction,2.2,信息安全,防,防御模型,1.,风险评估,25,对信息系,统,统进行全,面,面的风险,评,评估,这,需,需要对信,息,息系统应,用,用需求、,网,网络基础,设,设施、外,部,部内部环,境,境、安全,威,威胁、人,员,员、政策,法,法规、安,全,全技术等,具,具有全面,的,的了解,,并,并善于应,用,用各种方,法,法、手段,、,、工具对,系,系统风险,进,进行人工,和,和自动分,析,析,给出,全,全面细致,的,的风险评,估,估。,2.2,信息安全,防,防御模型,2.,制定策略,26,安全策略,是,是安全模,型,型的核心,,,,防护、,检,检测、响,应,应和恢复,各,各个阶段,都,都是依据,安,安全策略,实,实施的,,安,安全策略,为,为安全管,理,理提供管,理,理方向和,支,支持手段,。,。,策略体系,的,的建立包,括,括安全策,略,略的制订,、,、评估、,执,执行等。,2.2,信息安全,防,防御模型,3.,实施保护,27,安全保护,就,就是采用,一,一切可能,的,的方法、,手,手段和技,术,术防护信,息,息及信息,系,系统遭受,安,安全威胁,,,,减少和,降,降低遭受,入,入侵和攻,击,击的可能,,,,即实现,保,保密性、,完,完整性、,可,可用性、,可,可控性和,不,不可否认,性,性等安全,属,属性。,2.2,信息安全,防,防御模型,4.,监测,28,在系统实,施,施保护之,后,后根据安,全,全策略对,信,信息系统,实,实施,监控和检,测,测,。,监控是对,系,系统运行,状,状态进行,监,监视和控,制,制,发现,异,异常,并,可,可能作出,动,动态调整,。,。,检测是对,已,已部署的,系,系统及其,安,安全防护,进,进行检查,测,测量,是,动,动态响应,和,和加强防,护,护的依据,,,,是强制,落,落实安全,策,策略的手,段,段。,2.2,信息安全,防,防御模型,5.,响应,29,响应就是,已,已知一个,攻,攻击(入,侵,侵)事件,发,发生之后,,,,所进行,的,的处理。,把,把系统调,整,整到安全,状,状态;对,于,于危及安,全,全的事件,、,、行为、,过,过程,及,时,时做出处,理,理,杜绝,危,危害进一,步,步扩大,,力,力求系统,保,保持提供,正,正常的服,务,务。,2.2,信息安全,防,防御模型,6.,恢复,30,恢复可以,分,分为系统,恢,恢复和信,息,息恢复。,系统恢复,是,是指修补,安,安全事件,所,所利用的,系,系统缺陷,,,,如系统,升,升级、软,件,件升级和,打,打补丁等,方,方法,去,除,除系统漏,洞,洞或后门,。,。,信息恢复,是,是指恢复,丢,丢失的数,据,据。,目 录,2.1,信息安全,保,保障体系,2.2,信息安全,防,防御模型,2.3,风险评估,与,与等级保,护,护,31,2.3,风险评估,与,与等级保,护,护,32,建设信息,系,系统时,如何确定,和,和规划安,全,全保护?,Protection?,2.3,风险评估,与,与等级保,护,护,2.3.1,等级保护,2.3.2,风险评估,2.3.3,系统安全,测,测评,2.3.4,信息系统,安,安全建设,实,实施,2.3.5,信息安全,原,原则,33,2.3.1,等级保护,类别,级别,名称,主要特征,A,A1,验证设计,形式化的最高级描述和验证,形式化的隐藏通道分析,形式化的代码对应证明,B,B3,安全区域,存取监控,高抗渗透能力,B2,结构化保护,形式化模型,/,隐通道约束、面向安全的体系结构,较好的抗渗透能力,B1,标识的安全保护,强制存取控制、安全标识,C,C2,受控制的存取控制,单独用户的可查性、广泛的审计跟踪,C1,自主安全保护,自主存取控制,D,D,低级保护,系统只为文件和用户提供安全保护。最普通的形式是本地操作系统,或者是一个完全没有保护的网络。,34,2.3.2,风险评估,风险评估,是,是安全建,设,设的出发,点,点,遵循,成,成本,/,效益平衡,原,原则,通,过,过对用户,关,关心的重要资产(如信息,、,、硬件、,软,软件、文,档,档、代码,、,、服务、,设,设备、企,业,业形象等,),)的分级,,,,对安全威胁(如人为,威,威胁、自,然,然威胁等,),)发生的,可,可能性及,严,严重性分,析,析,对系,统,统物理环,境,境、硬件,设,设备、网,络,络平台、,基,基础系统,平,平台、业,务,务应用系,统,统、安全,管,管理、运,行,行措施等,方,方面的安,全,全脆弱性
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业管理 > 营销创新


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!