信息安全管理课程
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
物 系 操 网应
理 统 作 络用
环 运 系 平平
境 行 统 台台
与 安 安 安安
保 全 全 全全
障
标
标
准
准
风风 险险 管分 理析 原与 则对
抗
法机 律构 法人 规事
管 理 标 准
ISO9000
信
息
安
系 列 标 准
全 测 评 认 证
标
准
信 息 安 全 产
Biblioteka Baidu品 标 准
信息安全管理标准(BS7799)
BS7799与ISO17799
安全理论
✓ 身份认证(Authentication) ✓ 授权和访问控制(Authorization and Access control) ✓ 审计追踪 ✓ 安全协议
信息安全应用研究
信息安全技术
✓ 防火墙技术 ✓ 入侵检测技术 ✓ 漏洞扫描技术 ✓ 防病毒技术
平台安全
✓ 物理安全 ✓ 网络安全 ✓ 系统安全 ✓ 数据安全 ✓ 用户安全 ✓ 边界安全
信息安全管理方法
弱点评估
信息系统审计
信息安全 管理
信息安全 风险评估
可管理的服 务提供者
研究方法—弱点评估
弱点评估方法:侧重于技术方面 弱点评估包括:
✓ 使用特定的IT技术标准 ✓ 评估整个计算基础结构 ✓ 使用拥有的软件工具分析基础结构及其全部组件 ✓ 提供详细的分析,说明检测到的技术弱点,并且提供
1990年 加拿大可信计算 机产品评估准则
(CTCPSEC)
1996年 国际通用准则
(CC)
1991年 美国联邦准则
(FC)
1999年 国际标准 (ISO 15408)
法律法规
国家法律
如:中华人民共和国保守国家秘密法 中华人民共和国标准化法、中华人民共和国国家安全法 中华人民共和国产品质量法、维护互联网安全的决定等;
信息安全概念
什么是信息安全?
ISO: 为数据处理系统建立的安全保护,保护计算机硬
件、软件、数据不因偶然的或者恶意的原因而遭受到 破坏、更改和泄露; 国内:
计算机系统的硬件、软件、数据受到保护,不因 偶然的或者恶意的原因而遭受到破坏、更改和泄露以 及系统连续正常运行。
信息系统安全
信息系统安全
是为确保信息系统体系结构安全,以及与此相关的各 种安全技术、安全服务、安全管理的总和。
应用与工程标准
安全工程和服务、人员资质、行业标准
管理标准
管理基础、系统管理、测评认证
实例—北京市信息安全标准体系
信息安全标准体系
基础安全标准
环境条件与 平台安全
风险分析与管理 信息安全管理标准
信息安全测 评认证标准
实用信息安 全产品标准
安安 安 保 全全 全 密 体框 机 技 系架 制 术 结标 标 标 构准 准 准
N
安全目标树
安全措施匹配集
安全体系结构
安全体系设计的基本流程
结束
Y
是否满足要求?
评估结果
安全体系评估
主要内容
一.信息安全理论
相关基本概念、理论体系、发展历史、信息安全标准体 系、法律法规、部署与操作
二.信息安全管理
风险管理:OCTAVE 工程角度: SSE-CMM
三.研究现状与个人思考 四.附录-参考文献
行政法规
如:中华人民共和国计算机信息系统安全保护条例 中华人民共和国计算机信息网络国际联网管理暂行规定 商用秘密管理条例等
部门规章及规范性文件
计算机信息网络国际联网安全保护管理办法等;
行业性法规(电信、银行等)
信息安全体系的设计流程
初始安全目标 安全风险集
安全措施集
建立安全视图
系统安全视图
安全风险分析
联系与区别
信息系统安全:更具有体系性、可设计性、可实现性和 可操作性; 信息安全:更广泛、概念化;不说明任何个体或系统
信息的安全属性以及信息安全特性
信息的安全属性:
✓ 保密性(Confidentiality) ✓ 完整性(Integrality) ✓ 可用性(Availability) ✓ 可控性(Controllability) ✓ 不可否认性(Non-repudiation)
我国信息安全标准框架
应用与工程标准
基
管
础
理
标
系统与网络标准
标
准
准
物理安全标准
信息标准内容
基础标准类
信息安全术语、信息安全体系结构、信息安全框架、信息安全模 型、安全技术
物理安全标准
物理环境和保障、安全产品、介质安全
系统与网络标准
硬件应用平台安全、软件应用平台安全、网络安全、安全协议、安 全信息交换语法规则、人机接口、业务应用平台
全
管
理
平台安全:
物理安全、 网络安全、 系统安全 数据安全、 边界安全、 用户安全
: 安 全 标
准
安全理论:
安全技术:
安
身份认证 访问控制 审计追踪
防火墙技术 漏洞扫描技术 入侵检测技术
全 策 略
安全协议
安
全
密码理论:
测
数据加密、 数字签名、消息摘要、密钥管理
评
信息安全理论基础
密码理论
✓ 数据加密(对称算法:DES、AES;非对称算法:RSA、ECC) ✓ 消息摘要 ✓ 数字签名 ✓ 密钥管理
BS7799-1《信息安全管理实施细则》 BS7799-2《信息安全管理体系规范》
BS7799-2
包括两大要求:遵循PDCA这种持续改进管理模 式
信息安全体系要求; 信息安全控制要求
信息技术安全性评估准则
1990年 欧洲信息技术 安全性评估准则
(ITSEC)
1985年 美国可信计算机
系统评估准则 (TCSEC)
信息安全管理
Information Security Management
2003级 曹炳文
主要内容
一.信息安全理论
相关基本概念、理论体系、发展历史、信息安全标准体 系、法律法规、部署与操作
二.信息安全管理
风险管理:OCTAVE 工程角度: SSE-CMM
三.研究现状与个人思考 四.附录-参考文献
1985年美国国防部(DoD)公布的《可信计算机系统评估准则》
信息保障(IA)
标志:2000年9月NSA(美国家安全局)发布的《信息保障技术框架》
3.0版,2002年更新为3.1版; 国防部:第8500.1《信息保障》;第8500.2《信息保障的实施》
信息安全——理论体系结构
安全目标:
安
保密性、 完整性、 抗否认性 、可用性
信息安全特性
✓ 社会性 ✓ 全面性 ✓ 过程性或生命周期性 ✓ 动态性 ✓ 层次性 ✓ 相对性
信息安全发展历史
通信保密阶段(COMSEC)
标志:1949年Shannon发表的《保密系统的信息理论》;密码学;
数据加密
计算机安全(COMPUSEC)和信息安全(INFSEC)
标志:1977美国标准局(NBS)发布的《国家数据加密标准》和