当前位置:文档之家 › 信息安全保障体系

信息安全保障体系

  • 格式:pdf
  • 大小:2.90 MB
  • 文档页数:102

下载文档原格式

  / 102

合集下载

数字化时代下的信息安全保障体系研究

数字化时代下的信息安全保障体系研究

数字化时代下的信息安全保障体系研究随着数字化时代的到来,信息安全已经成为了我们日常生活中不可忽视的问题。

迎合数字化时代的浪潮,各个领域都在努力地建立信息安全保障体系。

在这篇文章中,我们将会浅谈关于数字化时代下的信息安全保障体系研究。

首先,我们需要先了解什么是信息安全保障体系。

信息安全保障体系是指通过信息技术手段,对信息系统所涉及的硬件、软件、网络、数据等实施安全管理的一种综合性的安全保障机制。

其目的主要是为了保护信息系统中的数据、信息资产,从而实现对信息和电子资产的安全管理和保护。

在数字化时代,信息安全面临的威胁越来越多元化,需要建立更加完善的信息安全体系。

对于建立数字化时代下的信息安全保障体系,我们应该注重以下几点:1.保持高度警惕,加强信息安全意识教育。

这是最基本的安全保护措施。

只要人们具备了保护自身信息的意识和能力,才能在面对各种安全问题时保持冷静、有条理、有耐心的处理方式。

信息安全保护工作的“第一道防线”就在员工的自我保护意识中。

2.建立高强度的网络安全防护体系。

网络安全防护是信息安全保障的重要环节。

尤其是在开放的网络环境下,企业和机构需要发掘自身所在的网络环境中不同种类的安全威胁,采取多种安全技术手段建立网络安全防护体系。

常见的网络安全防护手段包括防火墙、入侵检测、加密技术、密码学等。

3.落实数据安全管理制度。

给予数据高度的保护是信息安全保障体系的重点之一。

因此,企业或机构需要建立数据的分类管理体系,涉及数据保密性、完整性和可用性的方方面面都需要在数据安全管理制度中得到落实。

此外,还需要统一使用安全策略、采用安全技术以及持续推进安全培训和监督等,保障数据的完整性和安全可靠性。

4.建立系统的安全评估和验证体系。

建立系统的安全评估和验证体系是信息安全保障体系的核心,主要是为了确保系统的安全性和稳定性。

系统的安全性评估可以分为四个方面:确认安全目标、评估安全设计、检测安全实现、盐酸调整和完善。

信息安全保障体系架构

信息安全保障体系架构

信息安全保障体系架构
1.信息安全保障体系架构简介
随着信息化水平的不断提高,信息安全成为了一个备受关注的话题。

为了保障信息的安全性,企业需要构建一套信息安全保障体系。

信息安全保障体系架构是该系统的核心部分,在保障信息安全方面起到至关重要的作用。

2.架构组成部分
信息安全保障体系架构是由多个组成部分构成的,其中最关键的是安全机制和管理机制。

安全机制是保障信息安全的技术手段,包括防火墙、入侵检测系统、防病毒软件等。

管理机制是对信息安全的管理机制,对信息的访问、存储、传输等方面进行监控和控制,确保信息不被非法获取、篡改或者泄露。

3.构建方法
构建信息安全保障体系架构需要多方面的技术技能和人员合作。

首先是安全评估,通过对企业的现有安全系统及网络漏洞的调查,评估企业信息安全的现状和漏洞,为后续的安全构建提供基础分析。

然后是方案设计,根据安全评估结果设计出相应的信息安全保障方案。

最后是实施和测试,将相应的安全技术依据安全方案进行实施,同时收集信息安全事故的日志,为企业业务增长等时刻保持着对信息安全保障体系的监控。

4.实践意义
构建信息安全保障体系架构是保障企业信息安全的基础。

企业需要对信息安全保障体系的状况进行季度甚至月度的监控和评估,并随时进行必要的调整和升级。

只有保障信息安全,才能保障企业的稳定和可持续发展。

信息安全保障体系与总体框架

信息安全保障体系与总体框架

安全目标: 安全目标:安全属性和安全管理属性
7个信息安全属性 个信息安全属性
保密性Confidentiality 保密性 完整性Integrity 完整性 可用性Availability 可用性 真实性Authenticity 真实性 不可否认性Non不可否认性 Reputation 可追究性 Accountability 可控性Controllability 可控性
主讲内容
信息安全保障体系与总体框架
信息安全防护技术与应用分析
信息安全等级保护策略
信息安全保障体系与 总体框架
主讲内容
信息与网络安全的重要性及严峻性 信息安全保证技术框架
信息安全保障体系模型 人民银行信息安全总体技术架构
1、信息与网络安全的重要性及严峻性
信息是社会发展的重要战略资源。国际上围绕信息的获取、 信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制 的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点, 的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点, 各国都给以极大的关注与投入。 各国都给以极大的关注与投入。 网络信息安全已成为急待解决、 网络信息安全已成为急待解决、影响国家大局和长远利益的重大关键问 它不但是发挥信息革命带来的高效率、高效益的有力保证, 题,它不但是发挥信息革命带来的高效率、高效益的有力保证,而且是 对抗霸权主义、抵御信息侵略的重要屏障,信息安全保障能力是21世纪 对抗霸权主义、抵御信息侵略的重要屏障,信息安全保障能力是21世纪 21 综合国力、经济竞争实力和生存能力的重要组成部分, 综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界 各国在奋力攀登的制高点。 各国在奋力攀登的制高点。 网络信息安全问题如果解决不好将全方位地危及我国的政治、军事、 网络信息安全问题如果解决不好将全方位地危及我国的政治、军事、经 文化、社会生活的各个方面, 济、文化、社会生活的各个方面,使国家处于信息战和高度经济金融风 险的威胁之中。 险的威胁之中。

国家方滨兴院士解读国家信息安全保障体系

国家方滨兴院士解读国家信息安全保障体系

方滨兴院士解读国家信息安全保障体系“作为国家信息安全保障体系来讲,其包括积极防御、综合防范等多个方面的多个原则。

因此,要建立和完善信息安全等级保护制度就要加强和建设多个层面。

”中国工程院院士方滨兴指出,当前国家信息安全的保障体系需要围绕以下细节全面建设,具体为:要加强密码技术的开发与应用、建设网络信息安全体系、加强网络信息安全风险评估工作、建设和完善信息安全监控体系、高度重视信息安全应急处置工作、重视灾难备份建设。

当然了,要增强国家信息安全保障能力,还必须要掌握核心安全技术。

此外还包括能力,如信息安全的法律保障能力、基础支撑能力等等。

简而言之,方院士称:“我们国家的信息安全保障体系可以从五个层面解读,又可以称之为‘一二三四五国家信息安全保障体系’”。

方院士的解读具体如下:一,即一个机制,就是要维护国家信息安全的长效机制。

二,是指两个原则:第一个原则是积极预防、综合防范;第二个原则是立足国情,优化配置。

三,是指三个要素:人、管理、技术。

四,是指四种能力:核心技术能力、法律保障能力、基础支撑能力、舆情宣传和驾驭能力、国际信息安全的影响力。

五,是指五项主要的技术工作:风险评估与等级保护、监控系统、密码技术与网络信任体系、应急机制、灾备。

一、一个机制所谓的一个机制,是说机制一定是一个完善长效的机制,一方面是在组织协调性上,另一方面是在支撑力度上。

这需要宏观层面,包括主管部门予以支持。

二、两个原则第一个原则是积极防御、综合防范。

不难理解,综合是表现在整个产业的协调发展,也就是说网络信息安全与信息化的关系。

在这个里面,积极当然有多种含义,虽然我们并不提倡主动攻击,但是掌握攻击技术是信息对抗所需要的。

但是值得注意的是,真正的积极是指一旦出现一个新的技术,我们就立即要想到研究这个新技术会带来什么安全性问题,以及这样的安全性问题该怎么办?比如说Web 2.0概念出现后,甚至包括病毒等等这些问题就比较容易扩散,再比如说Ipv6出来之后,入侵检测就没有意义了,因为协议都看不懂还检测什么……所以说这些信息化新技术的出现同时也都呼唤新的安全技术。

信息安全保障体系

信息安全保障体系

信息安全保障体系信息技术的快速发展和广泛应用,给我们的生活带来了便利,但也带来了一系列的信息安全问题。

针对这些问题,建立一个完善的信息安全保障体系是非常必要的。

本文将介绍一个具备全面保护信息安全的体系。

1. 信息安全保障的重要性信息安全是指对信息的保密性、完整性和可用性进行保护,以防止未经授权的访问、篡改、破坏和泄露。

信息安全保障体系的建立可以有效预防各类信息安全事件的发生,保护用户的隐私和利益,维护社会安全稳定。

2. 信息安全保障体系的要素一个完善的信息安全保障体系包括以下要素:(1)政策与法规:国家和组织应当制定相关的信息安全政策和法规,明确信息安全的要求和责任,规范信息的合法使用和保护。

(2)组织与人员:建立专门的信息安全管理部门,负责组织和协调信息安全保障工作,将信息安全纳入组织的日常管理中,确保人员合规操作和意识到信息安全的重要性。

(3)技术与设备:采用先进的信息安全技术和设备,包括防火墙、入侵检测系统、数据加密等,保障信息的传输和存储的安全。

(4)安全审计与监控:建立信息安全审计和监控机制,对信息的使用和访问进行监控和审计,及时发现和防范安全威胁。

(5)应急响应与恢复:建立完善的信息安全事件应急响应机制,制定应急预案,面对安全事件能够及时响应、有效处理和迅速恢复。

3. 信息安全保障体系的实施流程信息安全保障体系的实施包括以下流程:(1)风险评估与分类:对组织的信息系统进行评估和分类,确定安全风险的等级和范围。

(2)制定安全措施:根据风险评估结果,制定相应的安全措施,包括物理安全、网络安全、数据安全等方面。

(3)实施控制措施:采取适当的技术和管理手段,实施控制措施,防范安全威胁和风险。

(4)监测与评估:对安全措施的实施进行监测和评估,确保措施的有效性和合规性。

(5)持续改进:根据监测和评估结果,进行持续改进和优化,及时修正不足和漏洞。

4. 信息安全保障体系的案例应用信息安全保障体系在各行业都得到了广泛的应用。

建立健全的信息安全保障体系

建立健全的信息安全保障体系

建立健全的信息安全保障体系保护个人信息,维护国家安全,建立健全的信息安全保障体系。

信息时代的大背景下,信息安全问题已经成为人们关注的焦点之一。

因此,建立健全的信息安全保障体系既是国家安全的需要,也是个人利益的需要。

那么,如何建立健全的信息安全保障体系呢?一、完善法律法规信息安全的最终保障是法律法规的完善。

国家有关部门应当根据国家安全、社会稳定、经济发展等情况设定相应的法律法规,切实保障依法合规的信息传输、管理和使用。

二、提高意识,强化教育信息安全是社会的共同责任,每个人都应该为信息安全负责,提高个人保护意识,增强个人信息安全保护的能力。

同时,加强信息安全教育,让人们更加全面深入地了解信息安全的重要性和必要性,真正认识到信息安全问题的严重性和紧迫性,形成全社会共同的信息安全保护氛围。

三、强化技术安全保障技术是信息安全的重要保障。

必须通过技术手段达到保障信息安全的目的。

各企业和机构应制定适合自己的技术安全保障措施,如反病毒、防火墙等技术手段。

同时,还应加强监控,及时发现并处理有问题的设备和系统,确保信息系统的安全稳定。

四、强化管理,建立规范信息安全问题最终还需要依靠管理的规范与执行,各家企业、机构应建立健全内部监管机制,构建层次分明的内部管理体系,提高内部管理职责落实的深度和广度,确保信息安全问题得到更好的防范和控制。

五、开展国际合作信息安全已经超越了国界,跨越了国家的边界与地域。

敌我不分,面对攻击,我们更应该团结起来。

开展国际合作,加强国际对话,增进相互信任,才能设立更完善的防御体系。

结语信息安全体系建设不是一朝一夕的事情,需要不断地在现有基础上完善与创新。

作为普通人,我们应该高度关注,树立起保护自身信息权益以及维护和提高信息安全的意识。

作为国家与机构,应该重视信息安全问题,加强制度建设,积极完善相应的法律法规、技术措施、管理系统和监督机制。

相信在全社会的共同努力下,信息安全问题必将得到有效解决,推动我国信息安全事业的快速发展。

信息安全保障体系课件

2.3.1 等级保护
国家四局办[2004]66号《关于信息安全等级保护工作的实施意见的通知》
等级
安全功能
保障/有效性
国家管理程度
对象
管理
技术
一级
基本
用户自主保护
基本保障
自主
中小企业
二级
必要
系统审计保护
计划跟踪
指导
一般信息系统
三级
体系化
安全标记保护
良好定义
监督
基础信息网络、政府、大型企业四级结构化源自护2.1.2 信息安全属性
可控性(Controlability)
指对信息和信息系统实施有效的安全监控管理,防止非法利用信息和信息系统保障(Assurance)
为在具体实现和实施过程中,保密性、完整性、可用性和可追究性等得到足够满足提供信心基础,这种信心基础主要通过认证和认可来实现。
2.1.3 信息安全保障体系结构
机制
加密、数字签名、访问控制、数据完整性、鉴别交换、通信业务填充、路由选择控制、公证、可信功能度、安全标记、事件检测、安全审计跟踪、安全恢复、电磁辐射控制、抗电磁干扰等。
服务
鉴别/身份认证、访问控制、数据机密性、数据完整性、抗抵赖、可靠性、可用性、安全审计等。
管理
技术管理策略、系统安全管理、安全机制管理、安全服务管理、安全审计管理、安全恢复管理等。
2.3.5 信息安全原则
安全是相对的,同时也是动态的,没有绝对的安全!安全是一个系统工程!信息安全技术原则最小化原则分权制衡原则安全隔离原则
小 结
本章从信息安全范畴、衡量信息安全的属性出发,介绍了信息安全保障体系,信息安全保障包括人、政策和技术工程方法,使用各类安全机制实现安全服务,满足安全功能需求。信息安全防御体系构建应该是动态和可适应的,以策略为核心,实施评估、保护、监测、响应和恢复等环节的闭环管理。最后介绍了等级保护、风险评估和安全测评的内容与方法,以及它们之间的关系。本章从整体上概括了信息系统安全保障体系和实施的工程方法。

建设完善信息安全保障体系工作计划策划方案

建设完善信息安全保障体系工作计划策划方案清晨的阳光透过窗帘的缝隙,洒在了我的办公桌上,我开始构思这个“建设完善信息安全保障体系工作计划策划方案”。

信息安全,这个看似抽象的概念,其实关乎每个人的生活,每一个企业的命运,甚至一个国家的安全。

一、方案背景在这个信息爆炸的时代,数据已经成为企业乃至国家的核心资产。

然而,随之而来的信息安全问题也日益严峻。

网络攻击、数据泄露、黑客入侵……这些词汇频繁出现在我们的视野中。

为了确保信息安全,我们需要建设一套完善的信息安全保障体系。

二、目标设定1.提高信息安全防护能力,确保关键信息基础设施的安全稳定运行。

2.建立健全信息安全管理制度,提高员工信息安全意识。

3.加强信息安全技术创新,提升信息安全防护水平。

三、具体措施1.完善信息安全组织架构设立专门的信息安全管理部门,负责组织、协调和监督企业内部的信息安全工作。

同时,明确各部门的信息安全职责,确保信息安全工作在企业内部得到有效落实。

2.制定信息安全政策制定一系列信息安全政策,包括信息安全管理规定、信息安全事件应急预案、信息安全培训制度等。

确保信息安全政策与企业战略目标相一致,并为员工提供明确的信息安全行为指南。

3.加强信息安全技术防护采用先进的信息安全技术,如防火墙、入侵检测系统、数据加密等,确保关键信息基础设施的安全。

同时,定期对信息系统进行安全检查和漏洞修复,提高系统安全防护能力。

4.提高员工信息安全意识开展信息安全培训,提高员工对信息安全重要性的认识。

通过培训,使员工掌握信息安全基础知识,了解信息安全风险,提高防范意识。

5.建立信息安全监测预警机制建立信息安全监测预警系统,实时监控企业内部信息安全状况。

一旦发现异常情况,立即启动应急预案,确保信息安全事件得到及时处理。

6.加强信息安全沟通交流加强企业内部信息安全沟通交流,建立健全信息安全信息共享机制。

定期组织信息安全会议,分享信息安全经验,提高企业整体信息安全水平。

信息系统安全保障体系规划方案

信息系统安全保障体系规划方案一、综述信息系统安全保障体系规划方案是组织内部对信息系统安全进行全面管理和保障的重要手段,也是企业信息安全管理的基础。

该方案应包括安全保障体系的建立和维护机制,以及相关的安全保障策略、标准和程序,以确保信息系统的安全和稳定运行。

二、目标1. 确保信息系统的安全和稳定运行,保护重要数据和敏感信息不被泄露或篡改。

2. 降低信息系统被黑客攻击或恶意软件侵入的风险,提高系统的抗攻击能力和应急响应能力。

3. 提升信息系统的可用性和可靠性,确保业务系统和数据的正常运行。

4. 遵守国家法律法规和相关标准规范,保证信息系统安全符合监管要求。

三、方案内容1. 安全保障管理体系:建立健全的安全保障管理体系,包括安全保障责任制、组织架构、职责分工和信息安全管理制度。

2. 安全保障策略:明确信息系统安全的核心目标和原则,包括访问控制、数据加密、身份认证、安全审计、漏洞管理等措施。

3. 安全保障标准:制定信息系统安全的技术标准、流程标准和操作规范,确保信息系统安全保障的统一执行和实施。

4. 安全保障控制:建立安全保障的技术控制手段,包括网络安全设备、防火墙、入侵检测系统、反病毒软件、数据备份等。

5. 安全保障培训:开展信息系统安全培训和教育,提高员工的信息安全意识和安全技能。

6. 安全保障审计:定期对信息系统的安全控制措施进行审计和评估,查找安全隐患和弱点,及时进行改进和修复。

四、实施步骤1. 制定安全保障体系规划方案,明确目标、内容和实施计划。

2. 建立安全保障管理机构,明确安全保障管理职责和责任。

3. 制定安全保障策略和标准,包括访问控制策略、数据加密标准、身份认证规范等。

4. 部署安全保障控制措施,包括网络安全设备、防火墙、入侵检测系统、反病毒软件等。

5. 开展安全保障培训,提高员工的安全意识和安全技能。

6. 定期进行安全保障审计和评估,及时进行改进和修复。

五、结语信息系统安全保障体系规划方案是组织内部信息安全管理的基础,对于保障信息系统的安全稳定运行具有重要意义。

信息安全保障体系模型

信息安全保障体系模型随着信息技术的不断发展,以及对信息安全认识的不断发展,信息安全概念已经从最初的信息本身保密,发展到以计算机和网络为对象的信息系统安全保护,信息安全属性也扩展到保密性、完整性、可用性三个方面,进而又形成信息安全保障,尤其是息系统基础设施的信息保障。

信息安全保障将安全属性扩大到了保密性、完整性、可用性、可认证性、不可否认性五个方面,保障对象明确为信息、信息系统。

保障能力明确来源于技术、管理和人员三个方面。

信息安全保障中,安全目标不仅是信息或者系统某一时刻的防护水平,而是系统与拥有系统的组织在信息系统整个生命周期中所具有的持续保护能力,是一个长期而复杂的系统工程,不仅需要适当的技术防护措施、安全管理措施,更需要在系统工程的理论指导下,合理规划、设计、实施、维护这些措施,以保证系统安全状态的保持与持续改进。

为此,我们提出了电力系统的信息安全保障体系框架。

信息安全保障体系是指通过对技术、管理、工程等手段的合理运用和防护资源的有效配置,形成的保障信息系统安全性的机制。

信息安全保障体系框架是对技术、管理和安全工程等信息安全保障体系主要内容间的关系进行的抽象描述。

见下图:图五,电力系统的信息安全保障体系框架SPMTE模型由4个部分组成,分别是:信息安全总方针、信息安全管理体系、信息安全技术体系和信息安全工程模型。

电力系统的信息安全保障体系框架包含的详细内容见图六:图六,SPMTE模型的内容1.信息安全方针信息安全总方针,是信息安全保障的最高纲领和指导原则,包括:组织的信息安全目标、组织的信息安全理念、组织所采用的信息安全模型和组织的信息安全策略。

2.信息安全管理体系信息安全管理体系是信息安全保障体系运作的核心驱动力,包括:制度体系、组织体系、运行体系。

●安全制度(子策略)是由最高方针统率的一系列文件,结合有效的发布和执行、定期的回顾机制保证其对信息安全的管理指导和支持作用。

●安全组织明确安全工作中的角色和责任,以保证在组织内部开展和控制信息安全的实施。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全问题之三:
网络时代的信息安全问题
n
90年代以来
• 重点需要保护信息,确保信息在存储、处理、传输
过程中及信息系统不被破坏,确保合法用户的服务和 限制非授权用户的服务,以及必要的防御攻击的措施 。强调信息的保密性、完整性、可控性、可用性 • 主要安全威胁发展到网络入侵、病毒破坏、信息对抗 的攻击等 • 主要保护措施包括防火墙、防病毒软件、漏洞扫描、 入侵检测、 PKI、 VPN、安全管理等 • 主要标志是提出了新的安全评估准则CC( ISO 15408、 GB/T 18336) cnitsec
通信保密问题
n
40年代-70年代 • 重点是通过密码技术解决通信保密问题,保证 数据的保密性与完整性 • 主要安全威胁是搭线窃听、密码学分析 • 主要保护措施是加密 • 重要标志
–1949年 Shannon发表的《保密系统的通信理论》 –1977年美国国家标准局公布的数据加密标准( DES) –1976年由 Diffie与 Hellman在 “ New Directions in Cryptography” 一文中提出了公钥密码体制 cnitsec
可能意识到
cnitsec
关键术语
TOE(Target of Evaluation) 评估对象 n PP(Protection Profile) 保护轮廓 n ST(Security Target) 安全目标 n EAL(Evaluation Assurance Level) 评 估保证级
ቤተ መጻሕፍቲ ባይዱ
OSI服务和安全机制间关系
服务 加密 对等实体鉴别 数据原发鉴别 访问控制服务 连接机密性 无连接机密性 选择字段机密性 通信业务流机密性 带恢复的连接完整性 不带恢复的连接完整性 选择字段连接完整性 无连接完整性 选择字段无连接完整性 抗抵赖,带数据原发证据 抗抵赖,带交付证据 数字 签字 访问控 制 数据完 整性 机制 鉴别交 换 通信业务 填充 路由 控制
n cnitsec
通用准则(CC)(续)
n 描述IT产品/系统安全要求的统一语言 n IT安全要求的目录 n 对已有安全准则的总结和兼容 n 灵活的架构
• 可以定义自己的要求扩展 CC要求
cnitsec
第一部分
概念和模型
安全概念和关系
所有者 利用 措施 可能被减少 可能具有 弱点 威胁主体 引起 威胁 到 希望滥用 利用 增加 导致 风险 到 资产 减少 拥有 最小化
authentication Access control Data integrity Data confidentiality Non-repudiation Trusted functionality Security Label Detection Security Audit Trail Security Restoration cnitsec
信息安全问题之二:
计算机系统安全问题
n
70- 80年代 • 重点是确保计算机系统中硬件、软件及正在处理、 存储、传输信息的机密性、完整性和可控性 • 主要安全威胁扩展到非法访问、恶意代码、脆弱口 令等 • 主要保护措施是安全操作系统设计技术( TCB) • 主要标志是 1985年美国国防部公布的可信计算机系 统评估准则( TCSEC) 将操作系统的安全级别分 为四类七个级别( D、 C1、 C2、 B1、 B2、 B3、 A1),后补充红皮书 TNI( 1987)和 TDI( 1991) ,构成彩虹( rainbow)系列 cnitsec
三维结构图
Application layer Representation layer Session layer Transport layer Network layer Link layer Physical layer enciperment Data integrity Access control Route control Digital signature Data Exchange Traffic Padding notarization
cnitsec
安全体系(二)--CC
n
GB 18336 idt ISO 15408
cnitsec
通用准则(CC)
国际标准化组织统一现有多种准则的努力 ; n 1993年开始,1996年出V 1.0, 1998年出 V 2.0;1999年5月,成为ISO-15408. n 主要思想和框架取自ITSEC和 FC; n 充分突出“保护轮廓PP”,将评估过程 分为“功能”和“保证”两部分; n 是目前最全面的评价准则.
– 《信息处理系统 开放系统互连基本参考模型 第2部分: 安全体系结构 》 – 等同于ISO 7498-2
n
概述
• 目的:是让异构型计算机系统的互连能达到应用 进程之间的有效通信。 • 任务 :
– a.提供安全服务与有关机制的一般描述 – b.确定在参考模型内部可以提供这些服务与机制的位置
cnitsec
信息安全保障体系
江常青 中国信息安全产品测评认证中心
主要内容
信息安全历程 n 信息安全体系 n 信息安全保障体系 n 安全视角
n
cnitsec
从历史看信息安全
通信保密(ComSEC) n 计算机安全(CompSEC) n IT安全 (ITSEC) n 信息安全保障(IA)
n
cnitsec
信息安全问题之一
公证
cnitsec
安全服务同ISO协议层关系
安全服务 1 对等实体鉴别 数据原发鉴别 访问控制服务 连接机密性 无连接机密性 选择字段机密性 通信业务流机密性 带恢复的连接完整性 不带恢复的连接完整性 选择字段连接完整性 无连接完整性 选择字段无连接完整性 抗抵赖,带数据原发证据 抗抵赖,带交付证据 2 3 协议层 4 5 6 7
信息安全问题之四
------信息安全保障(IA)
运 行 技 术 灾难恢复 备份与 边界安全 证书系统 计算环境安全 监 控 检 测 基础设施 网络安全 安全评估 人 人员安全 安全意识 安全培训 安全管理 授权系统
物理安全
cnitsec
安全体系架构
安全体系(一)
n
标准
• GB/T 9387.2