安全保障体系的建立讲义
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全技术基础
19
制作:张浩军
19
2.1.3 信息安全保障体系结构
安全服务
–认证(也称鉴别)服务
–访问控制服务
–数据保密性服务
–数据完整性服务
–抗否认性服务
–可靠性服务
–可用性服务
–安全审计服务
制作:张浩军
《信息系统-开放系统互连基本参考模型 第2部分:安全体系结构》 GB/T 9387.2-1995(等同于ISO 7498-2)
信息安全技术基础
8
制作:张浩军
8
2.1.2 信息安全属性
如何刻画信息及信息系统的安全性?
IS Attributes?
信息安全技术基础
9
制作:张浩军
9
2.1.2 信息安全属性
• 保密性(也称机密性,Confidentiality): 保证信息与信息系统不被非授权者所获取或利用。保密性 包含数据的保密性和访问控制等方面内容。
• 完整性(Integrity): 保证信息与信息系统正确和完备,不被冒充、伪造或篡改, 包括数据的完整性、系统的完整性等方面。
信息安全技术基础
10
制作:张浩军
10
2.1.2 信息安全属性
• 鉴别性(也称可认证性,Authentication):保证信息与 信息系统真实,包括实体身份的真实性、数据的真实性、 系统的真实性等方面。
服务器、小型机、智能终端 等各类计算机;打印机、扫 描仪、数字摄像机、智能手 机等硬件设备。
信息安全技术基础
6
6
2.1.1 信息安全范畴
信息自身 信息载体 信息环境
软件平台 系统平台:操作系统、数据库系统等系
统软件。 通信平台:通信协议及其软件。 网络平台:网络协议及其软件。 应用平台:应用软件。
13
2.1.2 信息安全属性
• 可控性(Controlability): 指对信息和信息系统实施有效的安全监控管理,防止非法 利用信息和信息系统。
• 保障(Assurance): 为在具体实现和实施过程中,保密性、完整性、可用性和 可追究性等得到足够满足提供信心基础,这种信心基础主 要通过认证和认可来实现。
信息安全技术基础
7
制作:张浩军
7
2.1.1 信息安全范畴
信息自身 信息载体 信息环境
硬环境
机房、电力、照明、温控、湿控、防盗、 防火、防震、防水、防雷、防电磁辐射、 抗电磁干扰等设施。
软环境
国家法律、行政法规、部门规章、政治 经济、社会文化、思想意识、教育培训、 人员素质、组织机构、监督管理、安全 认证等方面。
信息安全技术基础
14
制作:张浩军
14
2.1.3 信息安全保障体系结构
如何构建全面的信息安全保障体系?
IS Assurance?
信息安全技术基础
15
制作:张浩军
15
2.1.3 信息安全保障体系结构
• 信息安全保障包括人、政策(包括法律、法规、制度、管 理)和技术三大要素
• 主要内涵是实现上述保密性、鉴别性、完整性、可用性等 各种安全属性
信息载体
信息环境
信息安全技术基础
5
制作:张浩军
5
2.1.1 信息安全范畴
信息自身 信息载体 信息环境
制作:张浩军
物理平台 计算芯片:CPU、控制芯片、专用处理
芯片等。 存储介质:内存、磁盘、光盘、U盘、
磁带等。 通信介质:双绞线、同轴电缆、光纤、
无线电波、微波、红外线等。 系统设备:计算机:包括个人计算机、
• 保证信息、信息系统的安全性目的。
信息安全技术基础
16
制作:张浩军
16
2.1.3 信息安全保障体系结构
技术体系
制作:张浩军
机制
服务 管理 标准
加密、数字签名、访问控制、数据完整 性、鉴别交换、通信业务填充、路由选 择控制、公证、可信功能度、安全标记、 事件检测、Fra Baidu bibliotek全审计跟踪、安全恢复、 电磁辐射控制、抗电磁干扰等。 鉴别/身份认证、访问控制、数据机密性、 数据完整性、抗抵赖、可靠性、可用性、 安全审计等。 技术管理策略、系统安全管理、安全机 制管理、安全服务管理、安全审计管理、 安全恢复管理等。 上述安全技术的实现依据、交互接口和 评估准则。
• 不可否认性(不可抵赖性,Non-Repudiation):建立有 效的责任机制,防止用户否认其行为,这一点在电子商务 中极为重要。
信息安全技术基础
11
制作:张浩军
11
2.1.2 信息安全属性
• 可用性(Availability): 保证信息与信息系统可被授权者在需要的时候能够被访问 和使用。
• 可靠性(Reliability): 保证信息系统为合法用户提供稳定、正确的信息服务。
信息安全技术基础
2
制作:张浩军
2
目录
2.1 信息安全保障体系 2.2 信息安全防御模型 2.3 风险评估与等级保护
信息安全技术基础
3
制作:张浩军
3
如何构架全面的信息安全保障?
范畴 属性
体系结构
IS Assurance?
信息安全技术基础
4
制作:张浩军
4
2.1.1 信息安全范畴
信息自身
文本、图形、图像、音频、视频、动画等。
信息安全技术基础
18
制作:张浩军
18
2.1.3 信息安全保障体系结构
管理体系
法律 制度 培训
根据国家法律和行政法规,强制性约 束相关主体的行为。
依据部门的实际安全需求,具体化法 律法规,制定规章制度,规范相关主 体的行为。
培训相关主体的法律法规、规章制度、 岗位职责、操作规范、专业技术等知 识,提高其安全意识、安全技能、业 务素质等。
信息安全技术基础
12
制作:张浩军
12
2.1.2 信息安全属性
• 可追究性(Accountability): 保证从一个实体的行为能够唯一地追溯到该实体,它支持 不可否认、故障隔离、事后恢复、攻击阻断等应用,具有 威慑作用,支持法律事务,其结果可以保证一个实体对其 行为负责。
信息安全技术基础
13
制作:张浩军
信息安全技术基础
2 信息安全保障体系
2011~2012第一学期
学习目标
本章介绍信息安全保障体系的建立,信 息系统主动防御模型,以及信息安全风险评 估、等级保护的相关标准规范和内容。
信息安全涉及范畴、安全属性需求以及信息安 全保障体系结构 动态和可适应的信息安全防御模型
风险评估、等级保护、安全测评的内容与方法
信息安全技术基础
17
17
2.1.3 信息安全保障体系结构
组织体系
机构
决策层:明确总体目标、决定重大事宜。
管理层:根据决策层的决定全面规划、制 定策略、设置岗位、协调各方、 处理事件等。
执行层:按照管理层的要求和规定执行某 一个或某几个特定安全事务。
岗位 负责某一个或某几个特定安全事务的职位。
人事 负责岗位上人员管理的部门。