当前位置:文档之家 › 国家信息安全保障体系概述(ppt 34页)

国家信息安全保障体系概述(ppt 34页)

  • 格式:ppt
  • 大小:863.00 KB
  • 文档页数:33

下载文档原格式

  / 33

合集下载

信息安全体系结构概述(PPT 48张)

信息安全体系结构概述(PPT 48张)

定义了5种安全目标,10多种安全机制。
5种安全目标是: 机密性、完整性 身份识别、访问控制、防抵赖
应用平台安全体系
目前,通过国际标准化组织的努力,提出若干体系结构方面的 标准。比较有影响的是国际标准化组织( ISO )的开放系统互连 ( OSI )安全体系结构( ISO 7498-2 )、高层安全模型( ISO/IEC 10745);互联网工程任务组(IETF)的安全体系结构 IPSec、传输 层安全TLS等。
使信息系统组件具有抗击外界电磁辐射或噪声干扰能力而保持正常运行。
物理安全除了包括机械防护、电磁防护安全机制外,还包括限制非法 接入,抗摧毁,报警,恢复,应急响应等多种安全机制。
计算机系统平台安全体系
硬件上主要通过下述机制,提供一个可信的硬件环境,实现其安全目标。
1. 存储器安全机制 2. 运行安全机制
安全机制
信息安全中安全策略要通过安全机制来实现。安全机制可以分为保护机 制、检测机制和恢复机制三个类别。下面我们对常用的安全机制的概念进 行说明。
加密
加密技术能为数据或通信信息流提供机密性。同时对其他安全机制的 实现起主导作用或辅助作用。
(1)传统密码:DES、AES
(2)公然破坏。
在无连接模式的数据传输中(如UDP),与时间戳机制的结合可以起到防重放 的作用。
身份识别
身份识别在OSI中称为鉴别交换 各种系统通常为用户设定一个用户名或标识符的索引值。身份识别就是后续交 互中当前用户对其标识符一致性的一个证明过程,通常是用交互式协议实现的。 常用的身份识别技术有: (1) 口令(password) 验证方提示证明方输入口令,证明方输入后由验证方进行真伪识别。 (2) 密码身份识别协议 使用密码技术,可以构造出多种身份识别协议。如挑战—应答协议、 零知识证明、数字签名识别协议等。 (3)使用证明者的特征或拥有物的身份识别协议 如指纹、面容、虹膜等生物特征,身份证、IC卡等拥有物的识别协议。 当然这些特征或拥有物至少应当以很大的概率是独一无二的。

信息安全保障体系课件

信息安全保障体系课件
2.3.1 等级保护
国家四局办[2004]66号《关于信息安全等级保护工作的实施意见的通知》
等级
安全功能
保障/有效性
国家管理程度
对象
管理
技术
一级
基本
用户自主保护
基本保障
自主
中小企业
二级
必要
系统审计保护
计划跟踪
指导
一般信息系统
三级
体系化
安全标记保护
良好定义
监督
基础信息网络、政府、大型企业四级结构化源自护2.1.2 信息安全属性
可控性(Controlability)
指对信息和信息系统实施有效的安全监控管理,防止非法利用信息和信息系统保障(Assurance)
为在具体实现和实施过程中,保密性、完整性、可用性和可追究性等得到足够满足提供信心基础,这种信心基础主要通过认证和认可来实现。
2.1.3 信息安全保障体系结构
机制
加密、数字签名、访问控制、数据完整性、鉴别交换、通信业务填充、路由选择控制、公证、可信功能度、安全标记、事件检测、安全审计跟踪、安全恢复、电磁辐射控制、抗电磁干扰等。
服务
鉴别/身份认证、访问控制、数据机密性、数据完整性、抗抵赖、可靠性、可用性、安全审计等。
管理
技术管理策略、系统安全管理、安全机制管理、安全服务管理、安全审计管理、安全恢复管理等。
2.3.5 信息安全原则
安全是相对的,同时也是动态的,没有绝对的安全!安全是一个系统工程!信息安全技术原则最小化原则分权制衡原则安全隔离原则
小 结
本章从信息安全范畴、衡量信息安全的属性出发,介绍了信息安全保障体系,信息安全保障包括人、政策和技术工程方法,使用各类安全机制实现安全服务,满足安全功能需求。信息安全防御体系构建应该是动态和可适应的,以策略为核心,实施评估、保护、监测、响应和恢复等环节的闭环管理。最后介绍了等级保护、风险评估和安全测评的内容与方法,以及它们之间的关系。本章从整体上概括了信息系统安全保障体系和实施的工程方法。

国家信息安全保障体系概述35页PPT

国家信息安全保障体系概述35页PPT
国家信息安全保障体系概述
41、实际上,我们想要的不是针对犯 罪的法 律,而 是针对 疯狂的 法律。 ——马 克·吐温 42、法律的力量应当跟随着公民,就 像影子 跟随着 身体一 样。— —贝卡 利亚 43、法律和制度必须跟上人类思想进 步。— —杰弗 逊 44、人类受制于法律,法律受制于情 理。— —托·富 勒
ቤተ መጻሕፍቲ ባይዱ
45、法律的制定是为了保证每一个人 自由发 挥自己 的才能 ,而不 是为了 束缚他 的才能 。—— 罗伯斯 庇尔
31、只有永远躺在泥坑里的人,才不会再掉进坑里。——黑格尔 32、希望的灯一旦熄灭,生活刹那间变成了一片黑暗。——普列姆昌德 33、希望是人生的乳母。——科策布 34、形成天才的决定因素应该是勤奋。——郭沫若 35、学到很多东西的诀窍,就是一下子不要学很多。——洛克

信息安全保障体系介绍

信息安全保障体系介绍

信息安全保障阶段 20世纪90年代
第二章 第二节. 信息安全保障基础 内、外因相互作用
信息系统的复杂性
系统的自身缺陷 互联网的开放性
第4页
人为、环境因素
非法入侵、破坏、窃取 多方面自然威胁
第二章 第三节. 信息安全保障体系
生命周期
技术


管理

工程

人员
安 全 保 障
可 完用 保 整性 密性 性
资产
完成
使命
第5页
安全技术保障 安全管理保障 安全工程保障
人员保障
产生
所有者
需要
安全保障评估
保障
给出证据
信心
那么
信息系统安全保障控制
能力成熟度级别
安全技术保障控制要求 安全技术架构能力成熟度级要求
生 命
安全管理保障控制要求
安全管理能力成熟度级要求
周 期
安全工程保障控制要求
安全工程能力成熟度级要求
人员保障
最小化
风险
梳理
信息安全原理及从业人员安全素养培训
信息安全原理及从业人员安全素养
01
第2页
信息安全保障景和实践
电讯技术的发明 19世纪30年代
计算机技术的发展 20世纪50年代
互联网的使用 20世纪90年代
第3页
通信保密阶段 20世纪40年代
计算机安全阶段 20世纪60年代

信息安全管理体系介绍PPT课件

信息安全管理体系介绍PPT课件

系统资源
用户
非用户 级访问
外部资源
用户认
合法
证模块
用户
安 全 检 查 / 加 解 密
外部资源 访问控制
规则集
用户级服 务资源 内部 资源 访问 控制 非用户级 服务资源
系统资源 控制文件
用户资源 控制文件
信息安全技术
• 技术体系 – 信息安全防护 – 信息安全检测 – 信息安全响应 – 信息安全恢复 – 信息安全审计
应用层安全分析
• 网上浏览应用安全 • 电子邮件应用安全 • WWW应用的安全 • FTP应用的安全 • Telnet的安全性 • 网络管理协议(SNMP) • 应用层的身份识别
管理层安全分析
• 内部人员信息泄漏风险; • 机房没有任何限制,任何人都可以进出; • 内部工作人员因误操作而带来安全风险; • 内部员工在未经允许在内部网上做攻击测试; • 建立各种网络安全规范。
校园网服务器群
语音教室网段 教学网段5
数字图书馆网段
内部办公 网段1
内部办公N 财务网段
人事商务网段 多媒体教室网段 OA网段
领导网段
网管网段
教学网段4 教学网段3
教学网段2
采取的解决办法四
对于系统统一管理、信息分析、事件分析 响应
-----在网络中配置管理系统 -----在网络中配置信息审计系统 -----在网络中配置日志审计系统 -----在网络中补丁分发系统 -----在网络中配置安全管理中心
对于内部信息泄露、非法外联、内部攻击 类
-----在各网络中安装IDS系统 -----在系统中安装安全隐患扫描系统 -----在系统中安装事件分析响应系统 -----在主机中安装资源管理系统 -----在主机中安装防火墙系统 -----在重要主机中安装内容过滤系统 -----在重要主机中安装VPN系统

信息安全防护体系ppt

信息安全防护体系ppt
03
总结词
防病毒技术是一种通过软件或固件来预防、检测和清除病毒程序的技术。
详细描述
防病毒技术主要包括预防、检测和清除三个环节。预防环节主要是通过安全漏洞修补、文件加密等方式来提高系统的安全性,避免病毒程序的入侵。检测环节则是通过对比已记录的病毒特征码来发现和识别病毒程序,以便及时进行处理。清除环节则是通过特定的反病毒软件或固件来清除已感染的病毒程序,恢复系统的正常运行。
防病毒技术
防火墙技术是一种安全防护技术,用于隔离和控制网络中的数据流,以保护内部网络免受外部网络的攻击。
总结词
防火墙技术主要包括包过滤、代理服务和内容过滤三种类型。包过滤防火墙通过在网络层对数据包进行过滤,允许或阻止数据包的传输。代理服务防火墙通过代理服务器来处理网络请求和响应,从而隐藏内部网络的拓扑结构和应用程序协议。内容过滤防火墙则是在应用层对数据内容进行过滤,以控制网络流量和应用程序的使用。
医院A
该医院通过强化员工信息安全意识培训,严格制定和执行信息安全管理制度,有效保障了医疗信息的安全性。
医院B
医疗机构信息安全防护案例
总结与展望
06
信息安全防护体系总结
信息安全防护体系是一种全面的安全策略,通过对网络和系统的脆弱性进行深入分析,采取一系列措施来保护信息资产的安全。
信息安全防护体系通常包括物理安全、网络安全、系统安全、应用安全、数据安全等多个方面,需要从多个角度进行全面规划和实施。
IDV技术
虚拟专用网(VPN)技术是一种利用公共网络架设的私人网络,使得远程用户能够安全地访问公司内部网络资源。
总结词
VPN技术主要包括PPTP、L2TP和IPSec三种协议。PPTP协议是一种点对点隧道协议,通过在PPTP客户端和服务器之间建立加密隧道,保证数据的安全传输。L2TP协议是一种二层隧道协议,通过在L2TP客户端和服务器之间建立虚拟隧道,实现数据的安全传输

国家信息安全保障体系概述

国家信息安全保障体系概述

•信息安全保障体系框 架
•国家信息安全保障体系框架
•组
•技
•基
•产
•人•环织术础业














信息安全组织管理体系
1、行政管理体制
– 国家领导层 – 国家协调层 – 国家执行层 – 地区和部委层
2、技术咨询体制
– 信息化专家咨询委员会 – 法规、标准、资质认可…等委员会 – 技术研究与工程开发队伍建设 – 学会与产业协会
• 威胁级别(Tn) • 资产价值等级(Vn) • 安全机制强度等级(SMLn) • 安全技术保障强壮性级别(IATRn)
•理解任务 •目标
•理解信息保护 •需求(服务)
•执行决策
•风险管理周期
•描述风险 •情况的特征
•决定 •将做什么
•描述 •可以做什么
•风 险 管 理 过 程
•系统改进
•对策识别 •与特征描述
威胁级别
T3
SML1 EAL1 SML1 EAL1 SML1 EAL2 SML2 EAL3 SML3 EAL4
T4
SML1 EAL2 SML2 EAL2 SML2 EAL3 SML3 EAL4 SML3 EAL5
T5
SML1 EAL2 SML2 EAL2 SML2 EAL3 SML3 EAL5 SML3 EAL6
•给出证据
•拥有者
•需要
•确 信
•对 策
•减少
•风 险
•到
•资 产
•系统有效评估流程
信息 价值 V1
V2
V3
V4
V5
T1

信息安全保障体系课件

信息安全保障体系课件
2019/1/23 14
2.1.2 信息安全属性
可控性(Controlability) 指对信息和信息系统实施有效的安全监控管理,防止非法 利用信息和信息系统 保障(Assurance) 为在具体实现和实施过程中,保密性、完整性、可用性和 可追究性等得到足够满足提供信心基础,这种信心基础主 要通过认证和认可来实现。
2019/1/23
17
2.1.3 信息安全保障体系结构
加密、数字签名、访问控制、数据完整性、鉴别交 机制 换、通信业务填充、路由选择控制、公证、可信功 能度、安全标记、事件检测、安全审计跟踪、安全 恢复、电磁辐射控制、抗电磁干扰等。 鉴别 / 身份认证、访问控制、数据机密性、数据完 服务 整性、抗抵赖、可靠性、可用性、安全审计等。 技术管理策略、系统安全管理、安全机制管理、安 管理 全服务管理、安全审计管理、安全恢复管理等。 标准 上述安全技术的实现依据、交互接口和评估准则。
2019/1/23 4


2.1 信息安全保障体系
2.2 信息安全防御模型 2.3 风险评估与等级保护
2019/1/23
5
2.1 信息安全保障体系
如何构架全面的信息安全保障?
范畴 属性 体系结构
IS Assurance?
2019/1/23
6
2.1.1 信息安全范畴
信息自身
文本、图形、图像、音频、视频、动画等。 信息载体 信息环境
2019/1/23
19
2.1.3 信息安全保障体系结构
法律 根据国家法律和行政法规,强制性约束相关主体的 行为。
管 依据部门的实际安全需求,具体化法律法规,制定 制度 理 规章制度,规范相关主体的行为。 体 系 培训相关主体的法律法规、规章制度、岗位职责、
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

T7
SML1 EAL2 SML2 EAL3 SML2 EAL4 SML3 EAL6 SML3 EAL7
强 建 性 程 度(IATF)
4、安全技术产品与系统互操作性策略
– 体系结构 – 安全协议 – 产品标准 – 安全策略与协定 – 安全基础设施
信息安全基础设施
1、大力推动国家信息安全基础的建设
基于数字证书的信任体系(PKI/CA)
PMA
GRCA
安全 网闸
NBCA
GCA
GCA
GCA
SCA
ICA
GRA GRA GRA GRA GCA GRA GRA CCA
3、信息安全执法类
– 网上信息内容安全监控体系 – 网络犯罪监察与防范体系 – 电子信息保密监管体系 – 网络侦控与反窃密体系 – 网络预警与网络反击体系
T1
SML1 EAL1 SML1 EAL1 SML1 EAL1 SML2 EAL1 SML2 EAL2
T2
SML1 EAL1 SML1 EAL1 SML1 EAL2 SML2 EAL2 SML2 EAL3
威胁级别
T3
SML1 EAL1 SML1 EAL1 SML1 EAL2 SML2 EAL3 SML3 EAL4
– 基础性、支撑性、服务性、公益性 – 国家专项基金启动 – 建立资质认证机制 – 建立监理机制 – 形成社会化服务和行政监管体系
2、社会公共服务类
– 基于数字证书的信任体系(PKI/CA)
– 信息安全测评与评估体系 (CC/TCSEC/IATF)
– 应急响应与支援体系(CERT) – 计算机病毒防治与服务体系(A-Virus) – 灾难恢复基础设施(DRI) – 密钥管理基础设施(KMI)
国家信息安全保障 体系框架探索
曲成义 研究员 2002.8
信息安全保障体系 建设的策略
➢信息安全防护能力 ➢隐患发现能力 ➢网络应急反应能力 ➢信息对抗能力
➢ 发展与安全——保驾护航 ➢ 资产与威胁——保障能力 ➢ 防护与检测——纵深防御 ➢ 成本与风险——适度安全 ➢ 技术与管理——综合治理 ➢ 培训与自律——以人为本 ➢ 强度与弱点——均衡设计
• 威胁级别(Tn) • 资产价值等级(Vn) • 安全机制强度等级(SMLn) • 安全技术保障强壮性级别(IATRn)
理解任务 目标
理解信息保护 需求(服务)
执行决策
风险管理周期
描述风险 情况的特征
决定 将做什么
描述 可以做什么
风险管理过程
系统改进
对策识别 与特征描述
任务关键性 参数权衡
风险分析
T4
SML1 EAL2 SML2 EAL2 SML2 EAL3 SML3 EAL4 SML3 EAL5
T5
SML1 EAL2 SML2 EAL2 SML2 EAL3 SML3 EAL5 SML3 EAL6
T6
SML1 EAL2 SML2 EAL3 SML2 EAL4 SML3 EAL5 SML3 EAL6
信息安全保障体系框架
国家信息安全保障体系框架
























信息安全组织管理体系
1、行政管理体制
– 国家领导层 – 国家协调层 – 国家执行层 – 地区和部委层
2、技术咨询体制
– 信息化专家咨询委员会 – 法规、标准、资质认可…等委员会 – 技术研究与工程开发队伍建设 – 学会与产业协会
– 组建研发国家队与普遍推动相结合 – 推动自主知识产权与专利 – 建设技术工程中心与加速产品孵化 – 加大技术研发专项基金 – 全面推动与突出重点的技术研发
• 基础类:风险控制、体系结构、协议工程、有效评估、工程方法 • 关键类:密码、安全基、内容安全、抗病毒、RBAC 、 IDS、VPN、
强审计 • 系统类: PKI、PMI、DRI、KMI 、网络预警、集成管理 • 应用类:EC、EG、NB、NS、NM、WF、XML、CSCW • 物理与环境类:TEMPEX、物理识别 • 前瞻类:免疫技术、量子密码、漂移技术、语义理解识别
信息安全产业支撑
➢ 推动安全产业发展,支撑安全保障体系建设 ➢ 掌握安全产品的自主权、自控权 ➢ 建设信息安全产品基地 ➢ 形成信息安全产品配套的产业链 ➢ 造就出世界品牌的安全骨干企业 ➢ 安全产品制造业、集成业、服务业全面发展 ➢ 尽快配套信息安全产业管理政策(准入、测评、资质、扶植、、) ➢ 重视TBT条款运用,保护密码为代表的国内安全产品市场
Intranet
安 全 网 关
关键业务层
Extranet
Internet
WWW
WWW
服务器
服务器
防 火 墙 VPN
防 火 墙
业务处理层
信息交换层
公众服务层
WWW 服务器
纵深防御体系的安全控制机制
3、推动信息系统安全工程(ISSE)的控制方法
– 安全需求挖掘 – 安全功能定义 – 安全要素设计 – 全程安全控制 – 风险管理 – 有效评估(CC/TCSEC/IATF)
3、信息系统安全管理准则(参照ISO 17799)
– 管理策略 – 组织与人员 – 资产分类与安全控制 – 配置与运行 – 网络信息安全域与通信安全 – 异常事件与审计 – 信息标记与文档 – 物理与环境 – 开发与维护 – 作业连续性保障 – 符合性
信息安全技术保障体系
1、加强自主研发与创新
比较和对比 可用攻击
研究敌方 行为理论
开创任务 影响理论
比较和对比 各种行为
行动决策
脆弱性与攻 击的识别与 特征描述
威胁的识别 与特征描述
ห้องสมุดไป่ตู้
任务影响的 识别与描述
基础研究与事件分离
风险决策流程
保障技术
产生
保障
评估
给出证据
拥有者
需要
确信
对策
减少
风险

资产
系统有效评估流程
信息 价值 V1
V2
V3
V4
V5
信息安全教育 与
人材培养
➢ 创建一个具有一批高级信息安全人材、雄厚的安全 技术队伍、普及安全意识和技术的人材大环境
➢ 学历教育:专业设置、课程配套 ➢ 高级人材培养:研究生学院、博士后流动站 ➢ 职业和技能培训:上岗和在职培训、考核认证制度 ➢ 信息安全意识提升:学会、协会、论坛、媒体 ➢ 网上教育:信息安全课件、网上课堂 ➢ 信息安全出版物
2、建立纵深防御体系
– 网络信息安全域的划分与隔离控制 – 内部网安全服务与控制策略(Intranet) – 外部网安全服务与控制策略(Extranet) – 互联网安全服务与控制策略(Internet) – 公共干线的安全服务与控制策略(有线、无线、卫星) – 计算环境的安全服务机制 – 多级设防与科学布署策略 – 全局安全检测、集成管理、联动控制与恢复(PDR²)