安全保障体系的建立

信息安全保障体系2信息安全技术基础2011~2012第一学期://://://://://://://://://://://://://://://://信息安全技术基础制作：张浩军学习目标信息安全涉及范畴、安全属性需求以及信息安全保障体系结构动态和可适应的信息安全防御模型风险评估、等级保护、安全测评的内容与方法本章介绍信息安全保障体系的建立，信息系统主动防御模型，以及信息安全风险评估、等级保护的相关标准规范和内容。23信息安全技术基础制作：张浩军目录2.1信息安全保障体系2.2信息安全防御模型2.3风险评估与等级保护34信息安全技术基础制作：张浩军如何构架全面的信息安全保障？4ISAssurance?范畴属性体系结构5信息安全技术基础制作：张浩军2.1.1信息安全范畴信息自身5文本、图形、图像、音频、视频、动画等。信息载体信息环境信息载体信息环境6信息安全技术基础制作：张浩军2.1.1信息安全范畴信息自身6信息载体信息环境物理平台计算芯片：CPU、控制芯片、专用处理芯片等。存储介质：内存、磁盘、光盘、U盘、磁带等。通信介质：双绞线、同轴电缆、光纤、无线电波、微波、红外线等。系统设备：计算机：包括个人计算机、服务器、小型机、智能终端等各类计算机；打印机、扫描仪、数字摄像机、智能手机等硬件设备。7信息安全技术基础制作：张浩军2.1.1信息安全范畴信息自身7信息载体信息环境软件平台系统平台：操作系统、数据库系统等系统软件。通信平台：通信协议及其软件。网络平台：网络协议及其软件。应用平台：应用软件。8信息安全技术基础制作：张浩军2.1.1信息安全范畴信息自身8信息载体信息环境硬环境机房、电力、照明、温控、湿控、防盗、防火、防震、防水、防雷、防电磁辐射、抗电磁干扰等设施。软环境国家法律、行政法规、部门规章、政治经济、社会文化、思想意识、教育培训、人员素质、组织机构、监督管理、安全认证等方面。9信息安全技术基础制作：张浩军2.1.2信息安全属性9如何刻画信息及信息系统的安全性？ISAttributes?://://://://://://://://://://://://://://://://信息安全技术基础制作：张浩军2.1.2信息安全属性•保密性（也称机密性，Confidentiality）：保证信息与信息系统不被非授权者所获取或利用。保密性包含数据的保密性和访问控制等方面内容。10•完整性（Integrity）：保证信息与信息系统正确和完备，不被冒充、伪造或篡改，包括数据的完整性、系统的完整性等方面。11信息安全技术基础制作：张浩军2.1.2信息安全属性•鉴别性（也称可认证性，Authentication）：保证信息与信息系统真实，包括实体身份的真实性、数据的真实性、系统的真实性等方面。11•不可否认性（不可抵赖性，Non-Repudiation）：建立有效的责任机制，防止用户否认其行为，这一点在电子商务中极为重要。12信息安全技术基础制作：张浩军2.1.2信息安全属性•可用性（Availability）：保证信息与信息系统可被授权者在需要的时候能够被访问和使用。12•可靠性（Reliability）：保证信息系统为合法用户提供稳定、正确的信息服务。13信息安全技术基础制作：张浩军2.1.2信息安全属性•可追究性（Accountability）：保证从一个实体的行为能够唯一地追溯到该实体，它支持不可否认、故障隔离、事后恢复、攻击阻断等应用，具有威慑作用，支持法律事务，其结果可以保证一个实体对其行为负责。1314信息安全技术基础制作：张浩军2.1.2信息安全属性•保障（Assurance）：为在具体实现和实施过程中，保密性、完整性、可用性和可追究性等得到足够满足提供信心基础，这种信心基础主要通过认证和认可来实现。14•可控性（Controlability）：指对信息和信息系统实施有效的安全监控管理，防止非法利用信息和信息系统。15信息安全技术基础制作：张浩军2.1.3信息安全保障体系结构15如何构建全面的信息安全保障体系？ISAssurance?16信息安全技术基础制作：张浩军2.1.3信息安全保障体系结构•信息安全保障包括人、政策（包括法律、法规、制度、管理）和技术三大要素•主要内涵是实现上述保密性、鉴别性、完整性、可用性等各种安全属性•保证信息、信息系统的安全性目的。1617信息安全技术基础制作：张浩军2.1.3信息安全保障体系结构技术体系机制加密、数字签名、访问控制、数据完整性、鉴别交换、通信业务填充、路由选择控制、公证、可信功能度、安全标记、事件检测、安全审计跟踪、安全恢复、电磁辐射控制、抗电磁干扰等。服务鉴别/身份认证、访问控制、数据机密性、数据完整性、抗抵赖、可靠性、可用性、安全审计等。管理技术管理策略、系统安全管理、安全机制管理、安全服务管理、安全审计管理、安全恢复管理等。标准上述安全技术的实现依据、交互接口和评估准则。1718信息安全技术基础制作：张浩军2.1.3信息安全保障体系结构组织体系机构决策层：明确总体目标、决定重大事宜。管理层：根据决策层的决定全面规划、制定策略、设置岗位、协调各方、处理事件等。执行层：按照管理层的要求和规定执行某一个或某几个特定安全事务。岗位负责某一个或某几个特定安全事务的职位。人事负责岗位上人员管理的部门。1819信息安全技术基础制作：张浩军2.1.3信息安全保障体系结构管理体系法律根据国家法律和行政法规，强制性约束相关主体的行为。制度依据部门的实际安全需求，具体化法律法规，制定规章制度，规范相关主体的行为。培训培训相关主体的法律法规、规章制度、岗位职责、操作规范、专业技术等知识，提高其安全意识、安全技能、业务素质等。1920信息安全技术基础制作：张浩军2.1.3信息安全保障体系结构安全服务–认证（也称鉴别）服务–访问控制服务–数据保密性服务–数据完整性服务–抗否认性服务–可靠性服务–可用性服务–安全审计服务20《信息系统-开放系统互连基本参考模型第2部分：安全体系结构》GB/T9387.2-1995（等同于ISO7498-2）21信息安全技术基础制作：张浩军2.1.3信息安全保障体系结构安全机制–加密机制–数字签名机制–访问控制机制–数据完整性机制–鉴别交换机制–业务流填充机制–路由选择控制机制–公正机制21《信息系统-开放系统互连基本参考模型第2部分：安全体系结构》GB/T9387.2-1995（等同于ISO7498-2）22信息安全技术基础制作：张浩军目录2.1信息安全保障体系2.2信息安全防御模型2.3风险评估与等级保护2223信息安全技术基础制作：张浩军2.2信息安全防御模型23如何有效实现信息安全防御？ISDefenses?24信息安全技术基础制作：张浩军2.2信息安全防御模型24策略保护监测响应恢复评估主动信息安全防御模型EvaluationPolicyProtectionRestorationDetectionReaction://://://://://://://://://://://://://://://://信息安全技术基础制作：张浩军2