收藏
下载资源

信息安全保障体系课件.ppt

上传人:F****n 文档编号:97482596 上传时间:2019-09-04 格式:PPT 页数:47 大小:1.30MB
返回 下载 相关 举报
信息安全保障体系课件.ppt_第1页
第1页 / 共47页
信息安全保障体系课件.ppt_第2页
第2页 / 共47页
信息安全保障体系课件.ppt_第3页
第3页 / 共47页
信息安全保障体系课件.ppt_第4页
第4页 / 共47页
信息安全保障体系课件.ppt_第5页
第5页 / 共47页
点击查看更多>>
资源描述

《信息安全保障体系课件.ppt》由会员分享,可在线阅读,更多相关《信息安全保障体系课件.ppt(47页珍藏版)》请在金锄头文库上搜索。

1、2019/9/4,2,复习与回顾,信息安全基本概念和范畴 信息及信息系统面临的安全威胁 安全事件的分类,2019/9/4,3,第2章 信息安全保障体系,2019/9/4,4,学习目标,信息安全涉及范畴、安全属性需求以及信息安全保障体系结构 动态和可适应的信息安全防御模型 风险评估、等级保护、安全测评的内容与方法,本章介绍信息安全保障体系的建立,信息系统主动防御模型,以及信息安全风险评估、等级保护的相关标准规范和内容。 主要包括:,2019/9/4,5,目 录,2.1 信息安全保障体系 2.2 信息安全防御模型 2.3 风险评估与等级保护,2019/9/4,6,如何构架全面的信息安全保障?,IS

2、 Assurance?,范畴,属性,体系结构,2.1 信息安全保障体系,2019/9/4,7,2.1.1 信息安全范畴,信息自身,文本、图形、图像、音频、视频、动画等。,信息载体,信息环境,信息载体,信息环境,2019/9/4,8,2.1.1 信息安全范畴,信息自身,信息载体,信息环境,物理平台 计算芯片:CPU、控制芯片、专用处理芯片等。 存储介质:内存、磁盘、光盘、U盘、磁带等。 通信介质:双绞线、同轴电缆、光纤、无线电波、微波、红外线等。 系统设备:计算机:包括个人计算机、服务器、小型机、智能终端等各类计算机;打印机、扫描仪、数字摄像机、智能手机等硬件设备。,2019/9/4,9,2.1

3、.1 信息安全范畴,信息自身,信息载体,信息环境,软件平台 系统平台:操作系统、数据库系统等系统软件。 通信平台:通信协议及其软件。 网络平台:网络协议及其软件。 应用平台:各种应用软件。,2019/9/4,10,2.1.1 信息安全范畴,信息自身,信息载体,信息环境,硬环境 机房、电力、照明、温控、湿控、防盗、防火、防震、防水、防雷、防电磁辐射、抗电磁干扰等设施。 软环境 国家法律、行政法规、部门规章、政治经济、社会文化、思想意识、教育培训、人员素质、组织机构、监督管理、安全认证等方面。,2019/9/4,11,2.1.2 信息安全属性,如何刻画信息及信息系统的安全性?,IS Attribu

4、tes?,2019/9/4,12,2.1.2 信息安全属性,保密性(也称机密性,Confidentiality) 保证信息与信息系统不被非授权者所获取或利用。保密性包含数据的保密性和访问控制等方面内容。 完整性(Integrity) 保证信息与信息系统正确和完备,不被冒充、伪造或篡改,包括数据的完整性、系统的完整性等方面。,2019/9/4,13,2.1.2 信息安全属性,鉴别性(也称可认证性,Authentication) 保证信息与信息系统真实,包括实体身份的真实性、数据的真实性、系统的真实性等方面。 不可否认性(不可抵赖性,Non-Repudiation) 建立有效的责任机制,防止用户否

5、认其行为,这一点在电子商务中极为重要。 可用性(Availability) 保证信息与信息系统可被授权者在需要的时候能够访问和使用。,2019/9/4,14,2.1.2 信息安全属性,可靠性(Reliability) 保证信息系统为合法用户提供稳定、正确的信息服务。 可追究性(Accountability) 保证从一个实体的行为能够唯一地追溯到该实体,它支持不可否认、故障隔离、事后恢复、攻击阻断等应用,具有威慑作用,支持法律事务,其结果可以保证一个实体对其行为负责。,2019/9/4,15,2.1.2 信息安全属性,可控性(Controlability) 指对信息和信息系统实施有效的安全监控管

6、理,防止非法利用信息和信息系统 保障(Assurance) 为在具体实现和实施过程中,保密性、完整性、可用性和可追究性等得到足够满足提供信心基础,这种信心基础主要通过认证和认可来实现。,2019/9/4,16,2.1.3 信息安全保障体系结构,如何构建全面的信息安全保障体系?,IS Assurance?,2019/9/4,17,2.1.3 信息安全保障体系结构,信息安全保障包括人、政策(包括法律、法规、制度、管理)和技术三大要素 主要内涵是实现上述保密性、鉴别性、完整性、可用性等各种安全属性 保证信息和信息系统的安全性目的。,2019/9/4,18,2.1.3 信息安全保障体系结构,2019/

7、9/4,19,2.1.3 信息安全保障体系结构,2019/9/4,20,2.1.3 信息安全保障体系结构,2019/9/4,21,2.1.3 信息安全保障体系结构,GB/T9387.2-1995(ISO7498-2)信息系统-开放系统互连基本参考模型 第2部分:安全体系结构 安全服务,安全审计服务 可用服务 可靠服务 抗否认服务 数据完整服务 数据保密服务 访问控制服务 认证(鉴别)服务,2019/9/4,22,2.1.3 信息安全保障体系结构,GB/T9387.2-1995(ISO7498-2)信息系统-开放系统互连基本参考模型 第2部分:安全体系结构 安全机制,公正机制 路由选择控制机制

8、业务流填充机制 鉴别交换机制 数据完整性机制 访问控制机制 数字签名机制 加密机制,2019/9/4,23,目 录,2.1 信息安全保障体系 2.2 信息安全防御模型 2.3 风险评估与等级保护,2019/9/4,24,2.2 信息安全防御模型,如何有效实现信息安全防御?,IS Defenses?,2019/9/4,25,2.2 信息安全防御模型,主动信息安全防御模型,Evaluation,Policy,Protection,Restoration,Detection,Reaction,2019/9/4,26,2.2 信息安全防御模型,1. 风险评估(Evaluation) 对信息系统进行全面

9、的风险评估,这需要对信息系统应用需求、网络基础设施、外部内部环境、安全威胁、人员、政策法规、安全技术等具有全面的了解,并善于应用各种方法、手段、工具对系统风险进行人工和自动分析,给出全面细致的风险评估。,2019/9/4,27,2.2 信息安全防御模型,2. 制定策略(Policy) 安全策略是安全模型的核心,防护、检测、响应和恢复各个阶段都是依据安全策略实施的,安全策略为安全管理提供管理方向和支持手段。 策略体系的建立包括安全策略的制订、评估、执行等。,2019/9/4,28,2.2 信息安全防御模型,3. 实施保护(Protection) 采用一切可能的方法、技术和手段防止信息及信息系统遭

10、受安全威胁,减少和降低遭受入侵和攻击的可能,实现保密性、完整性、可用性、可控性和不可否认性等安全属性。 提高边界防御能力 信息处理环节的保护 信息传输保护,2019/9/4,29,2.2 信息安全防御模型,4. 监测(Detection) 在系统实施保护之后根据安全策略对信息系统实施监控和检测。 监控是对系统运行状态进行监视和控制,发现异常,并可能作出动态调整。 检测是对已部署的系统及其安全防护进行检查测量,是动态响应和加强防护的依据,是强制落实安全策略的手段。,2019/9/4,30,2.2 信息安全防御模型,5. 响应(Reaction) 已知一个攻击(入侵)事件发生之后所进行的处理。把系

11、统调整到安全状态;对于危及安全的事件、行为、过程,及时做出处理,杜绝危害进一步扩大,力求系统保持提供正常的服务。,2019/9/4,31,2.2 信息安全防御模型,6. 恢复(Restoration) 恢复可以分为系统恢复和信息恢复。 系统恢复是指修补安全事件所利用的系统缺陷,如系统升级、软件升级和打补丁等方法去除系统漏洞或后门。 信息恢复是指恢复丢失的数据。,2019/9/4,32,目 录,2.1 信息安全保障体系 2.2 信息安全防御模型 2.3 风险评估与等级保护,2019/9/4,33,2.3 风险评估与等级保护,建设信息系统时, 如何确定和规划安全保护?,Protection?,20

12、19/9/4,34,2.3 风险评估与等级保护,2.3.1 等级保护 2.3.2 风险评估 2.3.3 系统安全测评 2.3.4 信息系统安全建设实施 2.3.5 信息安全原则,2019/9/4,35,2.3.1 等级保护,美国国防部可信计算机系统安全评价准则TCSEC,2019/9/4,36,2.3.1 等级保护,GB17859-1999计算机信息系统安全保护等级划分准则 第一级:用户自主保护级(相当于C1级) 第二级:系统审计保护级(相当于C2级) 第三级:安全标记保护级(相当于B1级) 第四级:结构化保护级(相当于B2级) 第五级:访问验证保护级(相当于B3A1级),2019/9/4,3

13、7,2.3.1 等级保护,国家公安部制定的信息安全相关标准 GA/T387-2002计算机信息系统安全等级保护网络技术要求 GA/T388-2002计算机信息系统安全等级保护操作系统技术要求 GA/T389-2002计算机信息系统安全等级保护数据库管理系统技术要求 GA/T390-2002计算机信息系统安全等级保护通用技术要求 GA/T391-2002计算机信息系统安全等级保护管理要求,2019/9/4,38,2.3.1 等级保护,国家四局办200466号关于信息安全等级保护工作的实施意见的通知,2019/9/4,39,2.3.2 风险评估,风险评估是安全建设的出发点,遵循成本/效益平衡原则,

14、通过对用户关心的重要资产(如信息、硬件、软件、文档、代码、服务、设备、企业形象等)的分级,对安全威胁(如人为威胁、自然威胁等)发生的可能性及严重性分析,对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等方面的安全脆弱性(或称薄弱环节)分析,以及已有安全控制措施的确认,借助定量、定性分析的方法,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定风险处理计划,确定下一步的安全需求方向。,2019/9/4,40,风险评估要素 关系图,2019/9/4,41,风险分析原理图,2019/9/4,42,风险评估实施 流程图,2019/9/4,43,2.3.3

15、 系统安全测评,系统安全测评是指由具备检验技术能力和政府授权资格的权威机构(如中国信息安全测评中心),依据国家标准、行业标准、地方标准或相关技术规范,按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动,以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题,并提供安全改进建议,从而最大程度地降低系统的安全风险。,2019/9/4,44,2.3.4 信息系统安全建设实施,规划需求阶段:定级备案、风险评估。 设计开发及实施阶段:系统安全体系结构及详细实施方案的设计,采购和使用,建设安全设施,落实安全技术措施。第三方机构评审。 运行维护阶段:周期性的安全测评和安全认可。

16、废弃阶段:废弃处理对资产的影响、对信息/硬件/软件的废弃处置方面威胁、对访问控制方面的弱点进行综合风险评估。,2019/9/4,45,2.3.5 信息安全原则,安全是相对的,同时也是动态的,没有绝对的安全! 安全是一个系统工程! 信息安全技术原则 最小化原则 分权制衡原则 安全隔离原则,2019/9/4,46,小 结,本章从信息安全范畴、衡量信息安全的属性出发,介绍了信息安全保障体系,信息安全保障包括人、政策和技术工程方法,使用各类安全机制实现安全服务,满足安全功能需求。信息安全防御体系构建应该是动态和可适应的,以策略为核心,实施评估、保护、监测、响应和恢复等环节的闭环管理。最后介绍了等级保护、风险评估和安全测评的内容与方法,以及它们之间的关系。本章从整体上概括了信息系统安全保障体系和实施的工程方法。,2019/9/4,47,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号