信息安全保障人员认证(CISAW)认证准则（PDF44页）

第1章概述中国信息安全认证中心信息安全保障人员认证主要内容•基本概念•信息安全发展历程•CISAW信息安全保障模型•信息安全保障对象•资源•管理•信息对社会的影响•相关标准及法律法规1.1基本概念中国信息安全认证中心信息安全保障人员认证基本概念•信息•安全•信息安全中国信息安全认证中心信息安全保障人员认证信息定义•信息的定义•信息是用以消除随机不确定性的东西•我们认为信息是一种对象，能够通过信息系统进行处理。信息通过载体在一定环境中表现、存储和传输。中国信息安全认证中心信息安全保障人员认证信息的表现形式KB210MB220GB230TB240PB250EB260ZB270YB280中国信息安全认证中心信息安全保障人员认证信息系统•从信息的角度来说，我们认为信息系统是为信息生命周期提供服务的各类软硬件资源的总称•GB/Z20986-2007《信息安全事件分类分级指南》：•信息系统是“由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统”中国信息安全认证中心信息安全保障人员认证信息技术信息传递（通信）信息认知－信息再生（计算机）信息传递（通信）信息实效（控制）信息获取（感测）外部世界信息技术（IT：InformationTechnology）的内涵IT＝Computer＋Communication＋Control中国信息安全认证中心信息安全保障人员认证安全定义•“不出事或感觉不到要出事的威胁”•安全关乎两件事•一件是已经发生的事，即安全事件；•另一件是未发生但可能引发安全事件的事，即安全威胁与脆弱性中国信息安全认证中心信息安全保障人员认证基本概念•安全脆弱性威胁安全风险安全事件对象预防防护中国信息安全认证中心信息安全保障人员认证信息安全的目标•信息安全的目标•将服务与资源的脆弱性降到最低限度，将损失降到最低。•具有动态性和整体性。•动态性：安全是相对的，没有绝对的安全，安全程度随着时间的变化而改变•整体性：涉及物理层、网络层、系统层和应用层中国信息安全认证中心信息安全保障人员认证信息安全定义•GB/T22080-2008/ISO/IEC27001:2005《信息安全管理体系要求》•保持信息的机密性、完整性、可用性；另外也包括诸如真实性、可核查性、不可否认性和可靠性等中国信息安全认证中心信息安全保障人员认证信息安全的特征•信息安全的基本属性有：•1.可用性(availability)•2.机密性(confidentiality)•3.完整性(integrity)•4.真实性(validity)•5.不可否认性(non-repudiation)•“信息安全”是指采用一切可能的办法和手段，来保证信息的上述“五性”。中国信息安全认证中心信息安全保障人员认证1.1.3可用性•可用性•要求包括信息、信息系统和系统服务都可以被授权实体在适合的时间，要求的方式，及时、可靠的访问，甚至是在信息系统部分受损或需要降级使用时，仍能为授权用户提供有效服务。中国信息安全认证中心信息安全保障人员认证1.1.4完整性•完整性指信息在存储或传输过程中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性中国信息安全认证中心信息安全保障人员认证1.1.5机密性•机密性是指信息不泄漏给非授权的个人和实体中国信息安全认证中心信息安全保障人员认证1.1.6真实性•真实性•能够核实和信赖在一个合法的传输、消息或消息源的真实性的性质，以建立对其的信心•真实性要求对用户身份进行鉴别，对信息的来源进行验证。而这些功能都离不开密码学的支持。在非对称密码机制出现以前，这是一个很大的难题。非对称密码机制的出现，使该项难题得到了解决中国信息安全认证中心信息安全保障人员认证1.1.7不可否认性•不可否认性•是保证信息的发送者提供的交付证据和接受者提供的发送者证据一致，使其以后不能否认信息过程•也称为不可抵赖性，即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。发送方不能否认已发送的信息，接收方也不能否认已收到的信息中国信息安全认证中心信息安全保障人员认证1.1.8其他属性•可靠性•是指与预想的行为和结果相一致的特性。•可控性•是指对信息的传播及内容具有控制能力的特性，授权机构可以随时控制信息的机密性，能够对信息实施安全监控•可追溯性•通过记录标识的方法回溯某个实体的历史、用途和位置的能力”。我们认为这里的实体可理解为安全事件和威胁行为的相关实体1.2信息安全的发展历程中国信息安全认证中心信息安全保障人员认证信息安全的发展历程通讯安全计算机安全网络安全信息安全保障未来中国信息安全认证中心信息安全保障人员认证信息安全发展过程•数据通讯安全•1976Diffie&Hellman“密码学的新方向”•1977DES•计算机安全•1983美国可信计算机系统评估准则TCSEC（橘皮书）•分为ABCD四类，七个等级•网络安全•90年代，信息安全评估通用标准CC（GB/T18336）、IPV6安全•信息安全保障•1995美国信息安全保障框架IATF•从PDR到WPDRRC1.3CISAW信息安全保障模型中国信息安全认证中心信息安全保障人员认证信息安全保障模型•通常描述信息安全保障的模型•PDR•PPDR•PDRR•MPDRR•WPDRRC中国信息安全认证中心信息安全保障人员认证CISAW模型中国信息安全认证中心信息安全保障人员认证CISAW模型业务中国信息安全认证中心信息安全保障人员认证CISAW模型中国信息安全认证中心信息安全保障人员认证CISAW模型中国信息安全认证中心信息安全保障人员认证CISAW模型中国信息安全认证中心信息安全保障人员认证CISAW模型中国信息安全认证中心信息安全保障人员认证CISAW模型中国信息安全认证中心信息安全保障人员认证CISAW模型1.4保障对象中国信息安全认证中心信息安全保障人员认证保障对象•本质对象•业务•实体对象•数据、载体、环境与边界•生命周期•数据对象•载体对象•环境与边界对象1.5保障要素中国信息安全认证中心信息安全保障人员认证资源1.6信息安全管理中国信息安全认证中心信息安全保障人员认证信息安全管理•管理管理资源措施对象1.7对社会的影响中国信息安全认证中心信息安全保障人员认证对社会的影响•数据通信安全阶段•保密技术的应用•计算机系统安全阶段•系统安全的关注•网络安全阶段•计算机病毒传播1.8标准及法律法规中国信息安全认证中心信息安全保障人员认证标准及法律法规•标准•国际•TCSEC•CC•ISO/IEC27001•国内•GB17859-1999•GB/T22080-2008•法律法规•中华人民共和国国家安全法•商用密码管理条例中国信息安全认证中心信息安全保障人员认证谢谢！