信息安全保障体系课件
- 格式:ppt
- 大小:2.24 MB
- 文档页数:45
下载文档原格式
合集下载
企业信息安全 ppt课件
本地共享 控制
防病毒
入侵
系统
应用系统级安全
运行监控
数据备份
后备系统
操作系统级安全
登录安全
资源安全
存储安全
本地服务 安全
物理设备级安全
门禁控制
视频监控
防火监控
电源监控
设备运行 监控
ppt课件
应用、数据
服务器(网络) 安全控制
运行状态 监控
数据备份
后备系统
本地Local 安全控制
终端外设 管制
操作监控
9
ppt课件
3
信息安全概况介绍
存在的威胁
– 病毒、木马 – 黑客入侵 – 保密信息泄露 – 意外导致数据丢失
ppt课件
4
信息安全的几个方面
通常按照信息系统的组成和关注的信 息对象,我们把信息安全划分为以下 三个方面工作: 基础网络安全 系统安全 数据安全
ppt课件
5
信息安全的几个方面
1、基础网络安全(按网络区域划分)
– 网络终端安全:防病毒(网络病毒、邮 件病毒)、非法入侵、共享资源控制
– 内部局域网(LAN)安全:内部访问控制 (包括接入控制)、网络阻塞(网络风 暴)、病毒检测
– 外网(Internet)安全:非法入侵、病毒 检测、流量控制、外网访问控制
ppt课件6Fra bibliotek信息安全的几个方面
服务器 文件服务器
数据库服务器
DBSERVERMISSERVER
深
工作终端
工作组交换机
圳
VLAN 2
Web应用服务器
VLAN 1 固定IP
VLAN 3
总
防火墙
公
信息安全防护体系案例及分析经典课件(PPT41页)
VPN等新技术的研究和发展
13
信息安全案例教程:技术与应用
1. 信息安全防护的发展
❖ (3)信息保障阶段
❖ 1)信息保障概念的提出
❖ 20世纪90年代以后,信息安全在原来的概念上增加了信 息和系统的可控性、信息行为的不可否认性要求
❖ 人们也开始认识到安全的概念已经不局限于信息的保护, 人们需要的是对整个信息和信息系统的保护和防御,包括 了对信息的保护、检测、反应和恢复能力,除了要进行信 息的安全保护,还应该重视提高安全预警能力、系统的入 侵检测能力,系统的事件反应能力和系统遭到入侵引起破 坏的快速恢复能力。
11
信息安全案例教程:技术与应用
1. 信息安全防护的发展
❖ (2)网络信息安全阶段
❖ 保护对象:应当保护比“数据”更精炼的“信息”,确保 信息在存储、处理和传输过程中免受偶然或恶意的非法泄 密、转移或破坏。
❖ 保护内容:数字化信息除了有保密性的需要外,还有信息 的完整性、信息和信息系统的可用性需求,因此明确提出 了信息安全就是要保证信息的保密性、完整性和可用性, 即第一章中介绍的CIA模型。
14
信息安全案例教程:技术与应用
1. 信息安全防护的发展
❖ (3)信息保障阶段 ❖ 这一阶段的标志性工作是: ❖ 1996年,信息保障概念的提出 ❖ 通过确保信息和信息系统的可用性、完整性、保
密性、可认证性和不可否认性等特性来保护信息 系统的信息作战行动,包括综合利用保护、探测 和响应能力以恢复系统的功能。
2
信息安全案例教程:技术与应用
案例:伊朗核设施的瘫痪
3
信息安全案例教程:技术与应用
案例:伊朗核设施的瘫痪
4
信息安全案例教程:技术与应用
案例思考:
13
信息安全案例教程:技术与应用
1. 信息安全防护的发展
❖ (3)信息保障阶段
❖ 1)信息保障概念的提出
❖ 20世纪90年代以后,信息安全在原来的概念上增加了信 息和系统的可控性、信息行为的不可否认性要求
❖ 人们也开始认识到安全的概念已经不局限于信息的保护, 人们需要的是对整个信息和信息系统的保护和防御,包括 了对信息的保护、检测、反应和恢复能力,除了要进行信 息的安全保护,还应该重视提高安全预警能力、系统的入 侵检测能力,系统的事件反应能力和系统遭到入侵引起破 坏的快速恢复能力。
11
信息安全案例教程:技术与应用
1. 信息安全防护的发展
❖ (2)网络信息安全阶段
❖ 保护对象:应当保护比“数据”更精炼的“信息”,确保 信息在存储、处理和传输过程中免受偶然或恶意的非法泄 密、转移或破坏。
❖ 保护内容:数字化信息除了有保密性的需要外,还有信息 的完整性、信息和信息系统的可用性需求,因此明确提出 了信息安全就是要保证信息的保密性、完整性和可用性, 即第一章中介绍的CIA模型。
14
信息安全案例教程:技术与应用
1. 信息安全防护的发展
❖ (3)信息保障阶段 ❖ 这一阶段的标志性工作是: ❖ 1996年,信息保障概念的提出 ❖ 通过确保信息和信息系统的可用性、完整性、保
密性、可认证性和不可否认性等特性来保护信息 系统的信息作战行动,包括综合利用保护、探测 和响应能力以恢复系统的功能。
2
信息安全案例教程:技术与应用
案例:伊朗核设施的瘫痪
3
信息安全案例教程:技术与应用
案例:伊朗核设施的瘫痪
4
信息安全案例教程:技术与应用
案例思考:
网络信息安全培训ppt课件完整版
密码学分类
对称密码学、非对称密码学、混合密 码学等。
2024/1/25
8
常见加密算法及其特点
01
02
03
对称加密算法
DES、AES等,加密和解 密使用相同密钥,效率高 但密钥管理困难。
2024/1/25
非对称加密算法
RSA、ECC等,加密和解 密使用不同密钥,安全性 高但效率相对较低。
混合加密算法
2024/1/25
物联网安全
物联网技术的广泛应用带来了新的安全隐 患,如设备安全、数据安全等。
零信任网络
零信任网络作为一种新的网络安全架构, 强调不信任任何内部或外部用户/设备/系 统,需经过验证和授权才能访问资源。
40
持续学习提升个人能力
01
02
03
04
学习新技能
不断学习和掌握新的网络安全 技能,如编程、渗透测试等。
REPORT
网络信息安全培训 ppt课件完整版
CATALOG
DATE
ANALYSIS
SUMMARY
2024/1/25
1
目录
CONTENTS
2024/1/25
• 网络信息安全概述 • 密码学基础及应用 • 网络安全防护技术与实践 • 数据安全与隐私保护策略 • 身份认证与访问控制技术探讨 • 恶意软件防范与应急响应计划制定 • 总结回顾与未来发展趋势预测
DATE
ANALYSIS
SUMMAR Y
2024/1/25
42
风险点。
2024/1/25
应对措施制定
针对评估结果,制定相应的应对措 施,如加强访问控制、完善数据加 密机制、提高员工安全意识等。
应急响应计划
信息安全培训ppt课件
应用系统安全防护措施
01
02
03
04
安全开发
采用安全的编程语言和框架, 避免使用存在已知漏洞的组件
。
输入验证
对用户输入进行严格验证和过 滤,防止注入攻击。
访问控制
实施严格的访问控制策略,防 止未经授权的访问和操作。
加密传输
对敏感数据进行加密传输和存 储,保护数据在传输和存储过
程中的安全。
应用系统安全审计与监控
信息安全培训ppt课件
汇报人: 2023-12-24
目录
• 信息安全概述 • 网络安全基础 • 数据安全与隐私保护 • 应用系统安全 • 身份认证与访问控制 • 恶意软件防范与应急响应 • 总结与展望
信息安全概述
01
信息安全的定义与重要性
信息安全的定义
信息安全是指通过采取技术、管理和法律等手段,保护信息系统的机密性、完整性和可用性,防止未经授权的访 问、使用、泄露、破坏或篡改信息,确保信息系统的正常运行和业务连续性。
加强实践锻炼
通过参与实际的安全项目或模拟演练等方式,加强实践锻 炼,提高应对安全威胁的能力和水平。
THANKS.
VS
信息安全合规性
信息安全合规性是指企业或个人在信息安 全方面遵守相关法律法规和政策要求的情 况。为了确保信息安全合规性,企业需要 建立完善的信息安全管理制度和技术防范 措施,加强员工的信息安全意识和培训, 定期进行信息安全风险评估和演练,确保 企业信息系统的安全稳定运行。
网络安全基础
02
网络攻击与防御技术
网络安全应用
02
阐述各种网络安全应用的作用和原理,如防病毒软件、加密软
件、身份认证系统等。
云计算与虚拟化安全
信息安全保障及其关键技术ppt74张课件
*
*
信息安全的概念随着信息系统发展而变化
2.2 信息安全服务
安全服务包括:数据机密性服务、完整性服务、不可否认服务、认证服务和访问控制服务。
*
*
*
*
①机密性服务(保密性服务) 保护信息不被泄露或暴露给非授权的实体。 如密封的信件; 两种类型的机密性服务: 数据保密:防止攻击者从某一数据项中推出敏感信息。 业务流保密:防止攻击者通过观察网络的业务流来获得敏感信息。
产生信息安全威胁的根源
微机的安全结构过于简单 操作系统存在安全缺陷 网络设计与实现本身存在缺陷 核心硬件和基础软件没有自主知识产权 网络信息共享与信息交换需求使信息安全威胁加剧 信息拥有者、使用者与信息的管理者不匹配
我们的形势极其严峻!
计算机系统组成
芯片
操作系统
应用系统
我们信息系统的现状
*
*
二、信息安全的内涵及其发展
安全五性需求
真实性 机密性 完整性 不可抵赖性 可用性
安全基本技术 身份认证 加密保护 数据完整性 数字签名 访问控制 安全管理
身份认证:建立信任关系 口令 数字证书(采用公钥) PKI(Public Key Infrastructure) 主体生理特征(指纹、视网膜)
3.1 信息安全基本技术
信息安全需求与属性随着信息系统发展而变化
机密性、完整性、可用性 真实性、授权、访问控制 抗抵赖、可控、隐私、知识产权、可恢复、整体性
2.1 信息安全内涵
*
*
*
目的 通信类型 资源共享:机器—机器 信息共享:人 —机器 知识共享:人 —人
通信保密 信息安全 信息安全保障
2.1 信息安全内涵
*
*
④认证服务(验证服务、鉴别服务) 提供某个实体(人或系统)的身份的保证。换句话说,这种服务保证信息使用者和信息服务者都是真实声称者,防止假冒和重放攻击。 如带照片的身份卡、身份证等。
*
信息安全的概念随着信息系统发展而变化
2.2 信息安全服务
安全服务包括:数据机密性服务、完整性服务、不可否认服务、认证服务和访问控制服务。
*
*
*
*
①机密性服务(保密性服务) 保护信息不被泄露或暴露给非授权的实体。 如密封的信件; 两种类型的机密性服务: 数据保密:防止攻击者从某一数据项中推出敏感信息。 业务流保密:防止攻击者通过观察网络的业务流来获得敏感信息。
产生信息安全威胁的根源
微机的安全结构过于简单 操作系统存在安全缺陷 网络设计与实现本身存在缺陷 核心硬件和基础软件没有自主知识产权 网络信息共享与信息交换需求使信息安全威胁加剧 信息拥有者、使用者与信息的管理者不匹配
我们的形势极其严峻!
计算机系统组成
芯片
操作系统
应用系统
我们信息系统的现状
*
*
二、信息安全的内涵及其发展
安全五性需求
真实性 机密性 完整性 不可抵赖性 可用性
安全基本技术 身份认证 加密保护 数据完整性 数字签名 访问控制 安全管理
身份认证:建立信任关系 口令 数字证书(采用公钥) PKI(Public Key Infrastructure) 主体生理特征(指纹、视网膜)
3.1 信息安全基本技术
信息安全需求与属性随着信息系统发展而变化
机密性、完整性、可用性 真实性、授权、访问控制 抗抵赖、可控、隐私、知识产权、可恢复、整体性
2.1 信息安全内涵
*
*
*
目的 通信类型 资源共享:机器—机器 信息共享:人 —机器 知识共享:人 —人
通信保密 信息安全 信息安全保障
2.1 信息安全内涵
*
*
④认证服务(验证服务、鉴别服务) 提供某个实体(人或系统)的身份的保证。换句话说,这种服务保证信息使用者和信息服务者都是真实声称者,防止假冒和重放攻击。 如带照片的身份卡、身份证等。
网络信息安全保障体系建设
网络信息安全保障体系建设
网络信息安全保障体系建设
1. 概述
网络信息安全保障体系建设是指为了防范和应对网络信息安全威胁,构建一套完善的安全保障体系,保护网络信息的安全性、可用性和完整性。
2. 目标
网络信息安全保障体系建设的主要目标包括:
保护网络基础设施的安全,防止黑客攻击、恶意软件入侵等;
确保网络通信的安全,防止信息泄露、篡改等;
保护用户个人隐私和数据安全,防止个人信息被非法获取和利用;
防范网络犯罪行为,减少网络诈骗、网络钓鱼等非法行为的发生。
3. 建设内容
网络信息安全保障体系的建设内容包括以下方面:
3.1 网络安全技术
采用先进的网络安全技术,包括防火墙、入侵检测系统、漏洞
扫描等,保护网络基础设施和通信的安全。
3.2 安全策略和规范
制定和执行网络安全策略和规范,明确安全管理的责任和流程,确保网络信息安全工作的有效进行。
3.3 安全意识培训
开展网络安全意识培训,提高员工和用户的网络安全意识,防
范社工攻击、钓鱼邮件等手段的利用。
3.4 安全事件响应
建立完善的安全事件响应机制,及时发现和应对安全事件,减
少安全事件对系统运行和用户数据的影响。
4. 保障效果
网络信息安全保障体系建设的核心目标是通过技术手段和管理
措施,提升网络信息系统的安全性和可信度,保障用户信息的安全
和隐私。
5.
网络信息安全问题日益严峻,建设完善的网络信息安全保障体
系是保护网络安全的关键措施。
通过采取综合防护措施,建立有效
的安全策略和规范,加强安全意识培训和安全事件响应能力,能够更好地应对网络信息安全威胁,保护网络和用户的利益。
网络信息安全保障体系建设
网络信息安全保障体系建设网络信息安全保障体系建设一、背景和目标1.1 背景随着互联网的快速发展和普及,网络信息安全问题日益突出。
黑客攻击、网络、数据泄露等安全事件频繁发生,给个人和组织带来了巨大的损失和风险。
因此,建立一个全面的网络信息安全保障体系对于保护网络安全至关重要。
1.2 目标本文档的目标是提供一个完整、有效的网络信息安全保障体系建设方案,以确保网络的安全性、可靠性和稳定性。
该体系将包括以下几个关键方面:风险评估和管理、网络安全政策和规范、网络安全人员培养、网络设备和系统安全、网络监测和响应、网络应急响应等。
二、风险评估和管理2.1 定义和分类网络安全风险2.2 风险评估方法和工具2.3 风险管理措施和策略三、网络安全政策和规范3.1 制定网络安全政策和规范的重要性3.2 网络安全政策的制定原则和步骤3.3 网络安全规范的制定和执行方法四、网络安全人员培养4.1 网络安全人员培养的必要性和重要性4.2 网络安全人员的基本职责和能力要求4.3 网络安全人员培养的方法和途径五、网络设备和系统安全5.1 网络设备和系统安全的基本原则和要求5.2 网络设备和系统安全配置和管理的方法和工具5.3 网络设备和系统安全检测和修复的方法和工具六、网络监测和响应6.1 网络监测的重要性和目的6.2 网络监测的方法和工具6.3 网络响应的原则和步骤七、网络应急响应7.1 网络应急响应的基本概念和目标7.2 网络应急响应的组织和流程7.3 网络应急预案和演练八、附件本文档涉及的附件包括:附件2:网络安全政策和规范范例附件3:网络安全培训课程大纲九、法律名词及注释- 道路交通安全法:指中华人民共和国道路交通安全法;- 侵犯人身权益:指对他人人身权益的非法侵害行为;- 法律责任:指违反法律规定所产生的法律后果和承担的法律责任。
国家信息安全保障体系概述
•信息安全保障体系框 架
•国家信息安全保障体系框架
•组
•技
•基
•产
•人•环织术础业
材
境
管
保
设
支
培
建
理
障
施
撑
养
设
信息安全组织管理体系
1、行政管理体制
– 国家领导层 – 国家协调层 – 国家执行层 – 地区和部委层
2、技术咨询体制
– 信息化专家咨询委员会 – 法规、标准、资质认可…等委员会 – 技术研究与工程开发队伍建设 – 学会与产业协会
• 威胁级别(Tn) • 资产价值等级(Vn) • 安全机制强度等级(SMLn) • 安全技术保障强壮性级别(IATRn)
•理解任务 •目标
•理解信息保护 •需求(服务)
•执行决策
•风险管理周期
•描述风险 •情况的特征
•决定 •将做什么
•描述 •可以做什么
•风 险 管 理 过 程
•系统改进
•对策识别 •与特征描述
威胁级别
T3
SML1 EAL1 SML1 EAL1 SML1 EAL2 SML2 EAL3 SML3 EAL4
T4
SML1 EAL2 SML2 EAL2 SML2 EAL3 SML3 EAL4 SML3 EAL5
T5
SML1 EAL2 SML2 EAL2 SML2 EAL3 SML3 EAL5 SML3 EAL6
•给出证据
•拥有者
•需要
•确 信
•对 策
•减少
•风 险
•到
•资 产
•系统有效评估流程
信息 价值 V1
V2
V3
V4
V5
T1
信息安全常识PPT课件
2023/12/14
11
1
除地震、龙卷风等自然灾害外,腐蚀、冰冻、电力供应中断、电信设备 故障、电磁辐射、热辐射等环境因素也会导致信息系统故障甚至瘫痪。
2023/12/14
12
1
• 系统漏洞和故障漏洞是指信息系统中的软件、硬件 或通信协议中存在缺陷或不适当的配置,从而可使 攻击者在未授权的情况下访问或破坏系统,导致信 息系统面临安全风险。常见漏洞有SQL注入漏洞、 弱口令漏洞、远程命令执行漏洞、权限绕过漏洞等 。
2023/12/14
16
1
请列出过度获取权限的手机APP, 关闭不必要的权限, 并与同学们一起交流分享。
2023/12/14
17
任务 3 应对信息安全风险
2023/12/14
18
0
人
个人信息保护
技术
自主可控的信 息安全核心技
术
管理
信息安全法律 法规
法律体系、管理标准、自律机制、组织机构、技术应用等多层面保障信息安全
①某学校机房在一场暴雨中意外进水,数据中心直接被毁。 ②某网络托管服务商遭受火灾,数以万计的网站受到影响。 ③某订餐APP因API端口(用于获取用户详细信息)未受保护, 致使用户个人数据泄露。 ④某银行遭分布式拒绝服务攻击,致使银行系统瘫痪。
2023/12/14
类型
15
1
检查手机权限, 完成书本P152页的表7-2
• “自主可控”包括知识产权自主可控、能力自主 可控、发展自主可控等多个层面。
#WP7。此后,马里尼还发布了一系列关于这款设备的微博,在其中一条里他给这款手
机的评级分数是“8”,另一条微博则谈到“摄像头的效果很不错,就是闪光灯功能还
信息系统安全保障培训课件
信息系统安全保障的原则
采取预防、检测和应对措施,从技术和管理两个层面综合保障信息系统的安全。预防措施包括加强系统访问控制 、加密通信和数据存储、定期更新系统和软件等;检测措施包括部署安全监控和入侵检测系统、进行安全审计和 日志分析等;应对措施包括制定应急预案、及时响应和处理安全事件等。
02
信息系统安全技术保障
总结经验教训
在处置完安全事件后,要及时总结经 验教训,分析事件发生的原因和处置 过程中的不足之处,提出改进措施和 建议,不断完善应急响应机制。
05
信息系统安全法律法规与 合规性保障
遵守国家相关法律法规要求
《中华人民共和国网络安全法》
明确信息系统的安全保护要求,规定了相关法律责任和处罚措施。
《信息安全技术信息系统安全等级保护基本要求》
建立有效的信息系统安全风险评估和管 理机制
加强信息系统安全培训与意识提升
对信息系统安全培训需求进 行评估和规划
制定针对性的培训计划和方 案
开展形式多样的信息系统安 全培训活动
对培训效果进行评估和反馈 ,提升员工信息安全意识和
技能
01
02
03
04
05
定期进行信息系统安全检查与评估
建立定期的信息系统安全检查与评 估机制
防火墙技术
01
02
03
防火墙定义
防火墙功能
防火墙类型
防火墙是用于保护内部网络免受外部攻击 的设备或软件,通过监测、限制和过滤进 出网络的数据包,确保网络边界的安全。
防火墙可以阻止未经授权的访问和数据泄 露,防止潜在的攻击者进入网络。同时, 它还可以对网络流量进行监控和分析,帮 助发现潜在的安全威胁。
信息系统安全保2023-12-20
采取预防、检测和应对措施,从技术和管理两个层面综合保障信息系统的安全。预防措施包括加强系统访问控制 、加密通信和数据存储、定期更新系统和软件等;检测措施包括部署安全监控和入侵检测系统、进行安全审计和 日志分析等;应对措施包括制定应急预案、及时响应和处理安全事件等。
02
信息系统安全技术保障
总结经验教训
在处置完安全事件后,要及时总结经 验教训,分析事件发生的原因和处置 过程中的不足之处,提出改进措施和 建议,不断完善应急响应机制。
05
信息系统安全法律法规与 合规性保障
遵守国家相关法律法规要求
《中华人民共和国网络安全法》
明确信息系统的安全保护要求,规定了相关法律责任和处罚措施。
《信息安全技术信息系统安全等级保护基本要求》
建立有效的信息系统安全风险评估和管 理机制
加强信息系统安全培训与意识提升
对信息系统安全培训需求进 行评估和规划
制定针对性的培训计划和方 案
开展形式多样的信息系统安 全培训活动
对培训效果进行评估和反馈 ,提升员工信息安全意识和
技能
01
02
03
04
05
定期进行信息系统安全检查与评估
建立定期的信息系统安全检查与评 估机制
防火墙技术
01
02
03
防火墙定义
防火墙功能
防火墙类型
防火墙是用于保护内部网络免受外部攻击 的设备或软件,通过监测、限制和过滤进 出网络的数据包,确保网络边界的安全。
防火墙可以阻止未经授权的访问和数据泄 露,防止潜在的攻击者进入网络。同时, 它还可以对网络流量进行监控和分析,帮 助发现潜在的安全威胁。
信息系统安全保2023-12-20
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.1.2 信息安全属性
n 可控性(Controlability) 指对信息和信息系统实施有效的安全监控管理,防止非法 利用信息和信息系统
n 保障(Assurance) 为在具体实现和实施过程中,保密性、完整性、可用性和 可追究性等得到足够满足提供信心基础,这种信心基础主 要通过认证和认可来实现。
2.1.3 信息安全保障体系结构
如何构建全面的信息安全保障体系?
IS Assurance?
2.1.3 信息安全保障体系结构
n 信息安全保障包括人、政策(包括法律、法规、制度、 管理)和技术三大要素
n 主要内涵是实现上述保密性、鉴别性、完整性、可用性 等各种安全属性
n 保证信息和信息系统的安全性目的。
物理平台
计算芯片:CPU、控制芯片、专用处理芯片 等。
存储介质:内存、磁盘、光盘、U盘、磁带 等。
通信介质:双绞线、同轴电缆、光纤、无线 电波、微波、红外线等。
系统设备:计算机:包括个人计算机、服务 器、小型机、智能终端等各类
2.1.1 信息安全范畴
信息自身 信息载体 信息环境
软件平台
系统平台:操作系统、数据库系统等系 统软件。
2.1.3 信息安全保障体系结构
n GB/T9387.2-1995(ISO7498-2)信息系统--开放系统 互连基本参考模型 第2部分:安全体系结构
q 安全服务
安全审计服务 可用性服务 可靠性服务 抗否认性服务 数据完整性服务 数据保密性服务 访问控制服务 认证(鉴别)服务
2.1.3 信息安全保障体系结构
2.1.2 信息安全属性
n 鉴别性(也称可认证性,Authentication) 保证信息与信息系统真实,包括实体身份的真实性、数 据的真实性、系统的真实性等方面。
n 不可否认性(不可抵赖性,Non-Repudiation) 建立有效的责任机制,防止用户否认其行为,这一点在 电子商务中极为重要。
n 可用性(Availability) 保证信息与信息系统可被授权者在需要的时候能够访问 和使用。
2.1.3 信息安全保障体系结构
管理体系
法 根据国家法律和行政法规,强制性约束 律 相关主体的行为。
制 度
依据部门的实际安全需求,具体化法律 法规,制定规章制度,规范相关主体的 行为。
培训相关主体的法律法规、规章制度、 培 岗位职责、操作规范、专业技术等知识 训 ,提高其安全意识、安全技能、业务素
目录
2.1 信息安全保障体系 2.2 信息安全防御模型 2.3 风险评估与等级保护
2.1 信息安全保障体系
如何构架全面的信息安全保障?
范畴 属性
IS Assurance?
2.1.1 信息安全范畴
信息自身 信息载体 信息环境
文本、图形、图像、音频、视频、动画等。
2.1.1 信息安全范畴
信息自身 信息载体 信息环境
通信平台:通信协议及其软件。 网络平台:网络协议及其软件。 应用平台:各种应用软件。
2.1.1 信息安全范畴
信息自身 信息载体 信息环境
硬环境
机房、电力、照明、温控、湿控、 防盗、防火、防震、防水、防雷、防电 磁辐射、抗电磁干扰等设施。
软环境
国家法律、行政法规、部门规章、 政治经济、社会文化、思想意识、教育 培训、人员素质、组织机构、监督管理
2.1.3 信息安全保障体系结构
技术体系
加密、数字签名、访问控制、数据完整
机 制
性、鉴别交换、通信业务填充、路由选 择控制、公证、可信功能度、安全标记 、事件检测、安全审计跟踪、安全恢复
、电磁辐射控制、抗电磁干扰等。
服 务
鉴别/身份认证、访问控制、数据机密性 、数据完整性、抗抵赖、可靠性、可用 性、安全审计等。
2.1.2 信息安全属性
如何刻画信息及信息系统的安全性?
IS Attributes?
2.1.2 信息安全属性
n 保密性(也称机密性,Confidentiality) 保证信息与信息系统不被非授权者所获取或利用。保密性包 含数据的保密性和访问控制等方面内容。
n 完整性(Integrity) 保证信息与信息系统正确和完备,不被冒充、伪造或篡改, 包括数据的完整性、系统的完整性等方面。
管 技术管理策略、系统安全管理、安全机
2.1.3 信息安全保障体系结构
组织体系
决策层:明确总体目标、决定重大事宜。
管理层:根据决策层的决定全面规划、制
机构
定策略、设置岗位、协调各方、 处理事件等。
执行层:按照管理层的要求和规定执行某Βιβλιοθήκη 一个或某几个特定安全事务。
岗位
负责某一个或某几个特定安全事务的职位 。
2.2 信息安全防御模型
如何有效实现信息安全防御?
IS Defenses?
2.2 信息安全防御模型
主动信息安全防御模型
Evaluation
Protection
Policy
Restoration
2.2 信息安全防御模型
1. 风险评估(Evaluation)
对信息系统进行全面的风险评估,这需要对信息系统应 用需求、网络基础设施、外部内部环境、安全威胁、人员、 政策法规、安全技术等具有全面的了解,并善于应用各种方 法、手段、工具对系统风险进行人工和自动分析,给出全面 细致的风险评估。
2.1.2 信息安全属性
n 可靠性(Reliability) 保证信息系统为合法用户提供稳定、正确的信息服务。
n 可追究性(Accountability) 保证从一个实体的行为能够唯一地追溯到该实体,它支持 不可否认、故障隔离、事后恢复、攻击阻断等应用,具有 威慑作用,支持法律事务,其结果可以保证一个实体对其 行为负责。
信息安全保障体系课件
复习与回顾
信息安全基本概念和范畴 信息及信息系统面临的安全威胁 安全事件的分类
第2章 信息安全保障体系
学习目标
本章介绍信息安全保障体系的建立,信息系统主动防 御模型,以及信息安全风险评估、等级保护的相关标准规 范和内容。 主要包括:
信息安全涉及范畴、安全属性需求以及信息安全 保障体系结构 动态和可适应的信息安全防御模型
n GB/T9387.2-1995(ISO7498-2)信息系统--开放系统 互连基本参考模型 第2部分:安全体系结构
q 安全机制
公正机制 路由选择控制机 制 业务流填充机制 鉴别交换机制 数据完整性机制 访问控制机制 数字签名机制 加密机制
目录
2.1 信息安全保障体系 2.2 信息安全防御模型 2.3 风险评估与等级保护