当前位置:文档之家 › CISP0101信息安全保障_v3.0

CISP0101信息安全保障_v3.0

  • 格式:pptx
  • 大小:3.39 MB
  • 文档页数:109

下载文档原格式

  / 109

合集下载

信息安全等级保护标准

信息安全等级保护标准

信息安全等级保护标准
1. 安全目标:明确了信息系统安全保护的目标,包括机密性、完整性和可用性。

2. 安全等级划分:根据信息系统的安全需求和重要性,将其划分为不同的安全等级。

3. 安全技术要求:包括物理安全、网络安全、系统安全等方面的技术要求,如访问控制、身份认证、加密传输等。

4. 安全管理措施:包括组织结构、人员管理、安全培训等方面的管理措施,以保证信息安全的有效管理。

5. 安全测试评估:对信息系统进行定期的安全测试和评估,发现系统中存在的安全漏洞和风险,并及时采取措施进行修复。

6. 安全事件响应:建立健全的安全事件响应机制,对安全事件进行及时处理和跟踪,同时进行安全事故的调查与处理。

等保标准适用于政府机关、企事业单位等组织,旨在加强信息系统的安全保护,防止信息泄露、数据破坏、系统瘫痪等安全事件的发生。

对于不同行业和领域的组织,根据其安全需求和实际情况,可以进行相应的等级划分和安全措施的实施。

CISP信息安全认证考试指南

CISP信息安全认证考试指南
专业人员(CISP)注册维持要求,并缴付年费;
第 7页
CISP知识框架
• 2018年10月1日生效CISP知识体系4.1结构框架图
第 8页
CISP知识框架
• CISP知识体系
信息安全保障 − 本知识域包括信息安全保障的基本概念、模型、工作内容与工作方法,同时包
括信息安全保障要素中的安全工程相关内容及新技术领域信息安全保障的相关 知识。通过对本知识域的学习,学员应该理解信息安全问题产生的根源,信息 安全基本概念。了解PPDR、IATF、等信息系统安全保障评估框架等安全保障框 架,并理解信息安全保障工作内容及方法、信息系统安全工程(ISSE)及安全 工程能力成熟度模型(SSE-CMM)等相关知识。 信息安全规划 − 本知识域包括信息安全风险管理及密码学、身份鉴别及访问控制等信息安全支 撑技术相关知识。通过本知识域的学习,学员了解风险管理相关概念并掌握风 险管理的工作方法,并且掌握密码学、身份鉴别、访问控制等信息安全基础技 术,为信息系统安全体系规划及信息安全保障工作提供支撑。 安全设计与实现 − 本知识域包括物理和环境安全、网络和通信安全、计算机环境安全和应用与数 据安全四个知识子域。通过对知识域的学习,学员了解并掌握信息系统物理、 网络、主机、应用等多个层面的安全问题及防护措施。
“注册信息安全员”,(Certified Information Security Member ,简称 CISM) 注册信息安全专业人员—渗透测试工程师 (Certified Information Security ProfessionalPenetration Test Engineer,简称 CISP-PTE) 注册信息安全审计师(Certified Information Security Professional -Auditor,简称 CISA)

最新CISP课堂笔记-1

最新CISP课堂笔记-1

CISP课堂笔记信息安全测评体系介绍●测试/检验:按照规定的程序,为确定给定的产品、材料、设备、生物组织、物理现象、工艺或服务的一种或多种特性的技术操作●评估:对测试/检验产生的数据进行分析、形成结论的技术活动●认证:是指第三方依据程序对产品、过程或服务符合规定的要求给予书面保证(证书),用于评价产品质量和企业质量管理水平●信息系统评估通用准则(CC for Information)国际标准ISO/IEC 15408GB idt 18336●TCSEC升级FC,1992年12月公布引入了“保护轮廓PP”这一重要概●FC引入了PP(用户需求),CEM通用测评方法、TOE评估对象、ST安全目标●1993年开始,1996年出现V1.0,1998年出现V2.0,1999年5月,成为ISO 15408●CC主要思想和框架取自FC和ITSEC●1998年10月,国家质量技术监督局授权成立“中国国家信息安全测评中心”●2001年5月,中编办根据党中央、国务院有关领导的指示精神,正式行文(中编办[2001]51号),批准成立“中国信息安全产品测评认证中心”,英文简称为CNITSEC。

●信息安全测评认证两种方法:“质量过程核查”“评估活动评价”●信息安全测评认证三种阶段:准备阶段、评估阶段、认证阶段。

●国际:ISO(国际标准化组织) SC27 WG1:信息安全有关的需求、服务和指南WG2:信息安全技术和机制;WG3:信息安全评估标准;●各国信息安全测评认证体系负责机构美国国家信息保证联盟(NIAP)负责管理和运行美国的信息安全测评认证体系 英国通信电子安全局(CESG)负责管理和运行英国的信息安全测评认证体系澳大利亚国防情报总局(DSD)负责管理和运行澳大利亚的信息安全测评认证体系 加拿大通信安全机构(CSE)负责管理和运行加拿大的信息安全测评认证体系德国信息安全局(GISA)负责管理和运行德国的信息安全测评认证体系法国信息系统安全局(SCSSI)负责管理和运行法国的信息安全测评认证体系●信息安全测评认证的范围:信息技术产品安全性测评认证网络信息系统安全性测评认证信息安全服务单位资质测评认证信息安全服务人员资质测评认证信息安全工程测评认证●信息安全认证业务的范围:信息安全技术的产品(TOE)信息系统的认证信息安全服务提供商资质的认证信息安全专业人员资质认证●CC的结构:第一部分简介和一般介绍第二部分安全功能需求第三部分安全保障需求●评估项目按3人/日:EAL3级(含)以上分级评估将进行现场核查。

注册信息安全专业人员(CISP认证培训)

注册信息安全专业人员(CISP认证培训)

注册信息安全专业人员(CISP认证培训)认证介绍国家注册信息安全专业人员(简称:CISP)是有关信息安全企业,信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全测评中心实施注册。

2015年6月,全国获得CISP认证资格人员已超过15000名。

认证目的信息安全人员培训与姊姊认定的目的是构建全面的信息安全人才体系。

构建全面的信息安全人才体系是国家政策的要求,是组织机构信息安全保障建设自身的要求和组织机构人员自身职业发展的要求。

是国家政策的要求:中办发【2003】27号文件《国家信息化领导小组关于加强信息安全保障工作的I 安逸》中提出了“加快悉尼型安全人才培养,增强全民信息安全意识”的知道精神,重点强调了信息安全人才培养的重要性。

是组织机构信息安全保障建设自身的要求:企事业单位、政府机关等组织机构在信息安全保障建设、信息哈U建设中,需要有一个完整层次化的信息安全人才队伍以保障其信息安全、保障其信息化建设,从而保障其业务和使命。

是组织机构人员自身职业为发展的要求:作为人员本身,在其工作和职业发展中,需要充实其信息安全保障相关的只是和经验,以更好的开展其工作并为自己的只因为发展提供帮助。

认证价值对组织的价值:高素质的信息安全专业人才队伍,是信息安全的保障;信息安全人员持证上岗,满足政策部门的合规性要求;为组织实施信息安全岗位绩效考核提供了标准和依据;是信息安全企业申请安全服务资质必备的条件对个人的价值:适应市场中越来越热的对信息安全人才的需求;通过专业培训和考试提高个人信息安全从业水平;证明具备从事信息安全技术和管理工作的能力;权威认证提升职场竞争中的自身优势;可以获取信息安全专业人士的认可,方便交流。

认证分类根据工作领域和时间广州的需求,可以分为两类:注册信息安全工程师(CISE )主要从事信息安全技术开发服务工程建设等工作。

CISP考试认证(习题卷32)

CISP考试认证(习题卷32)

CISP考试认证(习题卷32)第1部分:单项选择题,共92题,每题只有一个正确答案,多选或少选均不得分。

1.[单选题]下列哪一个子网掩码可允许 IP 网络 10.0.0.0 上的每一个子网容纳 2040 台主机A)255.255.0.0B)255.255.254.0C)255.255.248.0D)255.255.240.0答案:C解析:2.[单选题]安全模型明确了安全策略所需的数据结构和技术,下列哪项最好描述了安全模型中的“简单安全规则”?A)Biba模型中的不允许向上写B)Biba模型中的不允许向下读C)Bell-Lapadula模型中的不允许向下写D)Bell-Lapadula模型中的不允许向上读答案:D解析:3.[单选题]多层的楼房中,最适合做数据中心的位置是:A)一楼B)地下室C)顶楼D)除以上外的任何楼层答案:D解析:4.[单选题]风险,在GB /T 22081中定义为事态的概率及其结果的组合。

风险的目标可能有很多不同的方面,如财务目标、健康和人身安全目标、信息安全目标和环境目标等:目标也可能有不同的级别,如战略目标、组织目标、项目目标、产品目标和过程目标等, ISO / IEC 13335-1中揭示了风险各要素关系模型,如图所示。

请结合此图,怎么才能降低风险对组织产生的影响?( )A)组织应该根据风险建立响应的保护要求,通过构架防护措施降低风险对组织产生的影响B)加强防护措施,降低风险C)减少威胁和脆弱点降低风险D)减少资产降低风险答案:A解析:5.[单选题]45.数据链路层负责监督相邻网络节点的信息流动,用检错或纠错技术来确保正确的传输,确保解决该层的流量控制问题。

数据链路层的数据单元是()A)报文B)比特流C)帧D)包6.[单选题]在HTTP 状态码中表示重定向的是()A)200B)302C)403D)500答案:B解析:7.[单选题]在以下标准中,属于推荐性国家标准的是?A)GB/T XXXX.X-200XB)GB XXXX-200XC)DBXX/T XXX-200XD)GB/Z XXX-XXX-200X答案:A解析:8.[单选题]25. 小王是某通信运营商公司的网络按武安架构师,为该公司推出的一项新型通信系统项目做安全架构规划,项目客户要求对他们的大型电子商务网络进行安全域的划分,化解为小区域的 安全保护,每个逻辑区域有各自的安全访问控制和边界控制策略,以实现大规模电子商务系 统的信息保护。

CISP总结-信息安全保障知识点

CISP总结-信息安全保障知识点

1.信息安全特征:信息安全是系统的安全,是动态的安全,是无边界的安全,是非传统的安全。

2.信息系统包含三个要素:信息,计算机网络系统和运行环境。

3.1985年,美国国防部的可信计算机系统评估保障(TCSEC,橙皮书),将操作系统安全分级(D、C1、C2、B1、B2、B3、A1).4.信息技术安全性评估准则,即通用准则CC(ISO/IEC 15408,GB/T 18336),其中保障定义为,实体满足其安全目的的信心基础。

5.风险是指威胁利用资产或一组资产的脆弱性对组织机构造成伤害的潜在可能。

6.信息安全管理体系-ISMS,国际上主流的信息系统管理体系的标准有ISO/IEC 17799,英国标准协会(BSI)的77997.信息安全保障模型:保障要素:管理、工程、技术、人员。

安全特征:保密、完整、可用。

生命周期:规划组织、开发采购、实施交付、运行维护、废弃。

策略和风险是安全保障的核心问题。

信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。

8.风险管理贯穿整个信息系统生命周期,包括对象确立,风险评估,风险控制,审核批准,监控与审查和沟通与咨询6个方面。

9.基于时间的PDR模型(保护-检测-响应)是信息安全保障工作中常用的模型。

该模型的出发点是基于这样的前提:任何安全防护措施都是基于时间的,超过该时间段,这种防护措施是可能被攻破。

10.P2DR(策略-保护检测响应):所有的行为都是依据安全策略实施的。

该模型强调安全管理的持续性、安全策略的动态性。

防护时间Pt,检测时间Dt,反应时间Rt:如果pt>dt+rt,则系统安全;如果pt<dt+rt,则暴露时间Et=(dt+rt)-pt11.PDCA(计划、实施、检查、改进)是信息安全管理体系ISMS的核心。

信息系统安全等级保护3级

信息系统安全等级保护3级
信息系统安全等级保护3级是指在信息系统安全领域中的一种安全等级保护标准。

该标准主要针对具有一定规模和复杂性的信息系统,旨在提供对这些系统的综合安全防护。

信息系统安全等级保护3级要求在保证系统功能的基础上,对系统的安全性进行全面加固,以防止各类安全威胁和攻击。

具体来说,该级别要求在系统设计和部署过程中,采取一系列措施来确保系统的机密性、完整性、可用性和可靠性。

在系统的设计阶段,应该充分考虑安全需求,确定系统的安全目标和安全策略。

这包括对系统进行全面的风险评估和安全评估,识别系统的安全漏洞和潜在威胁。

同时,还要对系统进行分层设计,实现权限管理和访问控制,确保用户只能访问其所需的资源,从而减少系统受到的安全威胁。

在系统的部署和运维过程中,要加强对系统的监控和管理。

这包括实施强大的安全策略和安全机制,对系统进行实时监控和日志记录,及时发现和应对安全事件和威胁。

同时,还要建立健全的安全管理制度和操作规范,确保系统的各项安全措施得到有效执行。

信息系统安全等级保护3级还要求对系统进行安全审计和安全评估,以验证系统的安全性和合规性。

对系统进行定期的安全检查和漏洞扫描,及时修补系统的安全漏洞。

信息系统安全等级保护3级是一种综合性的安全保护标准,要求在信息系统的设计、部署和运维过程中,全面加固系统的安全性,提供对系统的全面保护。

只有通过合理的安全策略和措施,加强对系统的监控和管理,以及定期的安全审计和评估,才能确保系统的安全性和稳定性。

在面对日益复杂和多样化的安全威胁时,信息系统安全等级保护3级的标准将为系统提供强大的安全防护,保障信息系统的正常运行和数据的安全。

CISP0301信息安全管理体系


定期进行安全审计和评 估
建立安全监控和报警机 制
定期更新和升级安全策 略和工具
加强员工安全意识和技 能培训
建立应急响应和恢复计 划
定期进行安全演练和测 试
定期评估:对 信息安全管理 体系进行定期 评估发现潜在
风险和漏洞
持续改进:根 据评估结果对 信息安全管理 体系进行持续 改进提高安全

技术升级:采 用最新的信息 安全技术提高 信息安全管理 体系的防护能
授权:根据用户身份和权限 授予用户访问系统资源的权

审计:记录用户访问系统的 行为以便进行审计和追踪
业务连续性:确保在发生突发事件时业务能够持续运行 灾难恢复:在发生灾难时能够快速恢复业务运营 备份和恢复:定期备份数据确保数据安全 应急响应:制定应急响应计划确保在突发事件发生时能够迅速响应和处理
法律法规:遵守国家和地方的信息安全法律法规 标准规范:遵循国际和国内的信息安全标准和规范 合同协议:遵守与客户、合作伙伴等签订的合同和协议中的信息安全条款 内部政策:制定和执行企业内部的信息安全政策和流程

培训教育:对 员工进行信息 安全培训和教 育提高员工的 安全意识和技

申请认证:企业向认证机构提交申请并提供 相关材料
审核准备:认证机构进行审核前的准备工作 包括审核计划、审核人员安排等
现场审核:认证机构派出审核组到企业进 行现场审核包括文件审核、现场检查等
审核报告:审核组完成审核后编写审核报 告包括审核发现的问题、改进建议等
信息安全管理体系的实施:需要组织内部各部门的协作和配合以及外部专家的指导和支持。
1990年代:信息安全管理体系开始出现主要关注数据保护 2000年代:信息安全管理体系逐渐成熟开始关注风险管理 2010年代:信息安全管理体系更加完善开始关注业务连续性管理 2020年代:信息安全管理体系更加注重智能化、自动化和云计算技术的应用

CISP大纲详细版本

注册信息安全专业人员(CISP)知识体系大纲版本:3.0 发布日期:2014 年12 月1 日生效日期:2015 年1 月1 日中国信息安全测评中心©版权2014—中国信息安全测评中心注册信息安全专业人员(CISP)知识体系大纲V2.3中国信息安全测评中心1目录目录.............................................................................................................. 1 前言.................................................................................................................. 4 第 1 章注册信息安全专业人员(CISP)知识体系概述.................................. 5 1.1 CISP 资质认定类别............................................................................. 5 1.2 大纲范围............................................................................................. 5 1.3 CISP 知识体系框架结构...................................................................... 5 1.4 CISP(CISE/CISO)考试试题结构..................................................... 7 第 2 章知识类:信息安全保障....................................................................... 9 2.1 知识体:信息安全保障基础................................................................ 9 2.1.1 知识域:信息安全保障背景...................................................... 9 2.1.2 知识域:信息安全保障概念与模型......................................... 10 2.1.3 知识域:信息系统安全保障概念与模型.................................. 10 2.2 知识体:信息安全保障实践.............................................................. 11 2.2.1 知识域:信息安全保障现状.................................................... 11 2.2.2 知识域:我国信息安全保障工作主要内容.............................. 11 2.2.3 知识域:信息安全保障工作方法.............................................12 第3 章知识类:信息安全技术..................................................................... 13 3.1 知识体:密码技术............................................................................ 13 3.1.1 知识域:密码学基础............................................................... 13 3.1.2 知识域:密码学应用............................................................... 14 3.2 知识体:鉴别与访问控制.................................................................. 15 3.2.1 知识域:鉴别......................................................................... 15 3.2.2 知识域:访问控制模型........................................................... 16 3.2.3 知识域:访问控制技术........................................................... 16 3.3 知识体:网络安全............................................................................ 17 3.3.1 知识域:网络协议安全........................................................... 17 3.3.2 知识域:网络安全设备........................................................... 17 3.3.3 知识域:网络架构安全........................................................... 18 3.4 知识体:操作系统与数据库安全....................................................... 19 3.4.1 知识域:操作系统安全........................................................... 19 3.4.2 知识域:数据库安全............................................................... 20 3.5 知识体:应用安全............................................................................ 20 3.5.1 知识域:应用安全 (20)注册信息安全专业人员(CISP)知识体系大纲V2.3中国信息安全测评中心23.6 知识体:安全漏洞、恶意代码与攻防................................................ 21 3.6.1 知识域:安全漏洞与恶意代码................................................ 21 3.6.2 知识域:安全攻击与防护....................................................... 22 3.7 知识体:软件安全开发..................................................................... 23 3.7.1 知识域:软件安全开发概况.................................................... 23 3.7.2 知识域:软件安全开发的关键工作......................................... 24 第 4 章知识类:信息安全管理..................................................................... 25 4.1 知识体:信息安全管理基础.............................................................. 25 4.1.1 知识域:信息安全管理概述.................................................... 25 4.1.2 知识域:信息安全管理方法与实施......................................... 25 4.2 知识体:信息安全风险管理.............................................................. 26 4.2.1 知识域:信息安全风险管理基础............................................. 26 4.2.2 知识域:信息安全风险管理主要内容...................................... 27 4.2.3 知识域:信息安全风险评估.................................................... 27 4.3 知识体:信息安全管理体系.............................................................. 28 4.3.1 知识域:信息安全管理体系基础............................................. 29 4.3.2 知识域:信息安全管理体系建设............................................. 29 4.3.3 知识域:信息安全控制措施.................................................... 30 4.4 知识体:应急响应与灾难恢复.......................................................... 31 4.4.1 知识域:应急响应概况........................................................... 31 4.4.2 知识域:信息系统灾难恢复.................................................... 32 4.4.3 知识域:灾难恢复相关技术.................................................... 32 第 5 章知识类:信息安全工程..................................................................... 34 5.1 知识体:信息安全工程基础.............................................................. 34 5.1.1 知识域:信息安全工程概述.................................................... 34 5.1.2 知识域:信息安全工程实施.................................................... 35 5.1.3 知识域:信息安全工程监理.................................................... 35 5.2 知识体:信息安全工程能力评估....................................................... 36 5.2.1 知识域:SSE-CMM 概述........................................................ 36 5.2.2 知识域:信息安全工程过程.................................................... 37 5.2.3 知识域:信息安全工程能力.................................................... 37 第 6 章知识类:信息安全法规标准............................................................. 38 6.1 知识体:信息安全法规与政策.......................................................... 38 6.1.1 知识域:信息安全法规........................................................... 38 6.1.2 知识域:信息安全政策.. (39)注册信息安全专业人员(CISP)知识体系大纲V2.3中国信息安全测评中心36.2 知识体:信息安全标准..................................................................... 40 6.2.1 知识域:信息安全标准基础.................................................... 40 6.2.2 知识域:信息安全标准化组织................................................ 41 6.2.3 知识域:信息安全标准体系.................................................... 41 6.2.4 知识域:我国信息安全典型标准介绍...................................... 41 6.3 知识体:信息安全道德规范.............................................................. 42 6.3.1 知识域:信息技术通行道德规范............................................. 42 6.3.2 知识域:信息安全从业人员道德规范.. (42)注册信息安全专业人员(CISP)知识体系大纲V2.3中国信息安全测评中心4前言信息安全作为我国信息化建设健康发展的重要因素,关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会及建设创新型社会等国家战略举措的实施,是国家安全的重要组成部分。

CISP-01-信息安全测评


(4)国外信息安全测评体系 ICCC
美国由NSA与国家标准局联合实施国家信息安 全测评,英、德、法、澳、加、荷等国家也由 国家信息安全主管部门联合国家标准主管部门 共同管理信息安全测评工作。先后建立起国家 信息安全测评体系 芬兰、瑞典、西班牙、挪威、意大利、比利时 等欧洲国家和日本、韩国等亚洲国家纷纷仿效 ,积极开展信息安全测评工作
(1)对信息安全问题的认识
互联网的迅速发展直接牵动了科技创新、信息产业 的发展和知识经济的勃兴;信息网络已逐渐成为经 济繁荣、社会稳定和国家发展的基础 信息化深刻影响着全球经济的整合、国家战略的调 整和安全观念的转变 全球化和信息化的潮流,给我国带来了难得的发展 机遇,同时也在国际斗争和国家安全方面提出了严 峻的挑战。信息安全问题已从单纯的技术性问题变 成事关国家安全的全球性问题
Australasian Information Security Evaluation Programme
安全测评成为国际性话题
国际会议:从6国发起到20多国互认 各国政府在充分认识到全球化和信息化 利弊的基础上对信息安全予以高度重视 各国为适应信息化时代国际竞争的新形 势纷纷成立专门的测评机构 有条件的互认是各国参与国际化和维护 自主权的务实选择
我国测评工作的过程
1997年初,国务院信息化工作领导小组委托 筹建“中国互联网络安全产品测评认证中心” 1998年10月,国家质量技术监督局授权成立“ 中国国家信息安全测评认证中心” 2001年5月,中编办根据党中央、国务院有 关领导的指示精神,正式批准成立“中国信息 安全产品测评认证中心” ,英文简称为 CNITSEC
(2)信息安全事关国家的安全
由信息安全问题引起的国家所面临的主要安 全威胁: 信息霸权的威胁 经济安全的威胁 舆论安全的威胁 社会稳定的威胁
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

32
P2DR的基本原理
P2DR:Policy 策略
模型的核心,所有的防护、检测、响应都是依据安 全策略实施的。 策略体系的建立包括安全策略的制定、评估与执行 等。 策略包括:
• • • • • 访问控制策略 加密通信策略 身份认证策略 备份恢复策略 ……
33
P2DR的理解 P DR: Protection 防护
Reaction
系统审计、分析 – 入侵检测 – 定时响应(警告、拒绝服务)
文件、数据安全 系统 的第 一道 防线 系统 的第 二道 防线
文件、数据安全
protection
系 统 备 份 安 全 措 施
应用服务层安全
应用服务层安全
系统服务层安全 防止 远程 攻击 防止 内部 权限 提升
系统服务层安全
29
基于时间的PDR模型
思想:承认漏洞,正视威胁,适度防护,加强检测, 落实反应,建立威慑 出发点:任何防护措施都是基于时间的,是可以被攻 破的 核心与本质:给出攻防时间表
固定防守、测试攻击时间; 固定攻击手法,测试防守时间
缺点:难于适应网络安全环境的快速变化
30
基于PDR的安全架构
15
通信安全
COMSEC:Communication Security 20世纪,40年代-70年代
核心思想:
• 通过密码技术解决通信保密,保证数据的保密性和完整性 • 主要关注传输过程中的数据保护
安全威胁:搭线窃听、密码学分析 安全措施:加密
16
计算机安全
COMPUSEC:Computer Security 20世纪,70-90年代
9
内在复杂-使用
10
外因—人为的威胁
国家 安全 威胁 信息战士 情报机构 恐怖分子 共同 商业间谍 威胁 犯罪团伙 社会型黑客 娱乐型黑客 掠夺竞争优势,恐吓 施行报复,实现经济目的, 破坏制度 攫取金钱,恐吓,挑战,获取 声望 以吓人为乐,喜欢挑战 减小国家决策空间、 战略优势, 制造混乱,进行目标破坏 搜集政治、军事,经济信息 破坏公共秩序,制造混乱,发 动政变
28
安全模型的概念
什么是信息安全模型
通过建模的思想来解决网络安全管理问题,有效 抵御外部攻击,保障网络安全 安全模型用于精确和形式地描述信息系统的安全 特征,解释系统安全相关行为。
为什么需要安全模型
能准确地描述安全的重要方面与系统行为的关系 。 能提高对成功实现关键安全需求的理解层次。 从中开发出一套安全性评估准则,和关键的描述 变量
局部 威胁
11
外因—自然威胁
12
知识域:信息安全保障背景
知识子域:信息技术与信息安全发展阶段
了解通信、计算机、网络和网络化社会等阶段信息 技术的发展概况 了解信息技术和网络对经济发展、社会稳定及国家 安全等方面的影响 了解通信安全、计算机安全、信息系统安全和信息 安全保障等阶段信息安全的发展概况, 了解各个阶段信息安全面临的主要威胁和防护措施
核心思想:
• 综合通信安全和计算机安全安全 • 重点在于保护比“数据”更精炼的“信息”,确保信息在存储 、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏 。
安全威胁:网络入侵、病毒破坏、信息对抗等 安全措施:防火墙、防病毒、漏洞扫描、入侵检测、PKI、 VPN等
18
网络化社会
新世纪信息技术应用于人类社会的方方面面
如:无意的文件删除、修改 主动攻击:利用病毒、入侵工具实施的操作 被动攻击:监听、截包
维护
技术体系中安全设计和实现的不完整。 技术管理或组织管理的不完善,给威胁提供了机会。
8
内在复杂-结构
•工作站中存在信息数据 •员工 •移动介质 •网络中其他系统 •网络中其他资源 •访问Internet •访问其他局域网 •到Internet的其他路由 •电话和调制解调器 •开放的网络端口 •远程用户 •厂商和合同方的访问访问外部资源 •公共信息服务 •运行维护环境
3
信息与信息安全
信息: 数据/信息流 信息安全
保密性 完整性 可用性 信息的以上三个基本安全属性习惯上简称为CIA( Confidentiality-Integrity-Availability)。
4
信息安全的特征与范畴
信息安全特征
信息安全是系统的安全 信息安全是动态的安全 信息安全是无边界的安全 信息安全是非传统的安全 信息技术问题——技术系统的安全问题 组织管理问题——人+技术系统+组织内部环境 社会问题——法制、舆论 国家安全问题——信息战、虚拟空间
21
信息安全保障发展历史
第一次定义:在1996年美国国防部DoD指令5-3600.1( DoDD 5-3600.1)中,美国信息安全界第一次给出了信息 安全保障的标准化定义 现在:信息安全保障的概念已逐渐被全世界信息安全领域 所接受。 中国:中办发27号文《国家信息化领导小组关于加强信息 安全保障工作的意见》,是信息安全保障工作的纲领性文 件 信息安全保障发展历史
23
信息安全保障是一种立体保障
24
知识域:信息安全保障概念与模型
知识子域:信息安全保障
理解信息安全保障的概念 理解信息安全保障与信息安全、信息系统安全的区 别
25
信息安全保障定义
防止信息泄露、修改和破坏 检测入侵行为,计划和部署针对入侵行为的防御 措施 采用安全措施和容错机制在遭受攻击的情况下保 证机密性、私密性、完整性、抗抵赖性、真实性 、可用性和可靠性 修复信息和信息系统所遭受的破坏
安全威胁:黑客、恐怖分子、信息战、自然灾难、电力中断 等 安全措施:技术安全保障体系、安全管理体系、人员意识/ 培训/教育、认证和认可
20
CS/IA:Cyber Security/Information Assurance
2009年,在美国带动下,世界各国信息安全政策、技术和实践 等发生重大变革……
信息安全保障
版本:3.0 发布日期:2014-12-1 生效日期:2015-1-1
培训机构名称 讲师姓名 张兰
课程内容
信息安全内涵与外延 信息安全 保障背景 信息安全问题根源 信息技术与信息安全发展阶段
信息安全保障 基础
信息安全保障 概念与模型
信息安全保障
信息安全保障相关模型
信息系统安全保障 信息系统安全保障模型 知识子域
5
信息安全的范畴
信息安全问题产生根源
因为有病毒吗?
• 因为有漏洞吗?
这些都是原因, 但没有说到根源
• 因为有黑客吗?
6
信息安全问题产生根源 内因:信息系统自身存在脆弱性
过程复杂 结构复杂 应用复杂
外因:威胁与破坏
人为和环境
7
内在复杂-过程
系统理论:在程序与数据上存在“不确定性” 设计:从设计的角度看,在设计时考虑的优先级中安全性 相对于易用性、代码大小、执行程度等因素被放在次要的 位置 实现:由于人性的弱点和程序设计方法学的不完善,软件 总是存在BUG。 使用、运行:人为的无意失误、人为的恶意攻击
系统内核安全
系统内核安全
攻击者
物理安全
物理安全
漏洞分析
检测
31
漏洞修补
Detection
P2DR模型-分布式动态主动模型
PDR模型强调落实反应 P2DR模型则更强调控制和对抗,即强调系统安全 的动态性 以安全检测、漏洞监测和自适应填充“安全间隙 ”为循环来提高网络安全 特别考虑人为的管理因素
13
信息安全发展阶段
通信 COMSEC (电报\电话)
COMPUSEC
通信安全
计算机
计算机安全
信息系统安全
INFOSEC
信息安全保障
网络空间安全/信息安全保障
网络
IA
网络化社会 CS/IA
14
解决传输数据安全
斯巴达人的智慧:公元前500年,斯巴达人把一条 羊皮螺旋形地缠在一个圆柱形棒上写数据 现代人的智慧:20世纪,40年代-70年代通过密码 技术解决通信保密,内容篡改
共识:网络安全问题上升到国家安全的重要程度
核心思想:从传统防御的信息保障(IA),发展到“威慑”为主
的防御、攻击和情报三位一体的信息保障/网络安全(IA/CS)的 网空安全 • 网络防御-Defense(运维) • 网络攻击-Offense(威慑) • 网络利用-Exploitation(情报)
信息系统安全 保障概念与模型
知识体 知识域
知识域:信息安全保障背景
知识子域:信息安全内涵和外延
理解信息安全基本概念,理解信息安全基本属性: 保密性、完整性和可用性 理解信息安全的特征与范畴
知识子域:信息安全问题根源
理解信息安全问题产生的内因是信息系统自身存在 脆弱性 理解信息安全问题产生的外因是信息系统面临着众 多威胁
通过传统的静态安全技术和方法提高 网络的防护能力,主要包括:
• 访问控制技术
–ACL –Firewall
2
• 信息加密技术 • 身份认证技术
–一次性口令 –X.509
• ……
34
P2DR的理解 P2 R: Detection 检测
利用检测工具,监视、分析、审计网络 活动,了解判断网络系统的安全状态。 使安全防护从被动防护演进到主动防御 ,是整个模型动态性的体现。 主要方法包括:
26
与信息安全、信息系统安全的区别
信息安全保障的概念更加广泛。
信息安全的重点是保护和防御,而安全保障的重点 是保护、检测和响应综合 信息安全不太关注检测和响应,但是信息安全保障 非常关注这两点 攻击后的修复不在传统信息安全概念的范围之内, 但是它是信息安全保障的重要组成部分。 信息安全的目的是为了防止攻击的发生,而信息安 全保障的目的是为了保证信息系统始终能保证维持 特定水平的可用性、完整性、真实性、机密性和抗 抵赖性。