信息安全保障体系课件
2.1.2 信息安全属性
n 可控性(Controlability) 指对信息和信息系统实施有效的安全监控管理,防止非法 利用信息和信息系统
n 保障(Assurance) 为在具体实现和实施过程中,保密性、完整性、可用性和 可追究性等得到足够满足提供信心基础,这种信心基础主 要通过认证和认可来实现。
2.1.3 信息安全保障体系结构
如何构建全面的信息安全保障体系?
IS Assurance?
2.1.3 信息安全保障体系结构
n 信息安全保障包括人、政策(包括法律、法规、制度、 管理)和技术三大要素
n 主要内涵是实现上述保密性、鉴别性、完整性、可用性 等各种安全属性
n 保证信息和信息系统的安全性目的。
物理平台
计算芯片:CPU、控制芯片、专用处理芯片 等。
存储介质:内存、磁盘、光盘、U盘、磁带 等。
通信介质:双绞线、同轴电缆、光纤、无线 电波、微波、红外线等。
系统设备:计算机:包括个人计算机、服务 器、小型机、智能终端等各类
2.1.1 信息安全范畴
信息自身 信息载体 信息环境
软件平台
系统平台:操作系统、数据库系统等系 统软件。
2.1.3 信息安全保障体系结构
n GB/T9387.2-1995(ISO7498-2)信息系统--开放系统 互连基本参考模型 第2部分:安全体系结构
q 安全服务
安全审计服务 可用性服务 可靠性服务 抗否认性服务 数据完整性服务 数据保密性服务 访问控制服务 认证(鉴别)服务
2.1.3 信息安全保障体系结构
2.1.2 信息安全属性
n 鉴别性(也称可认证性,Authentication) 保证信息与信息系统真实,包括实体身份的真实性、数 据的真实性、系统的真实性等方面。
n 不可否认性(不可抵赖性,Non-Repudiation) 建立有效的责任机制,防止用户否认其行为,这一点在 电子商务中极为重要。
n 可用性(Availability) 保证信息与信息系统可被授权者在需要的时候能够访问 和使用。
2.1.3 信息安全保障体系结构
管理体系
法 根据国家法律和行政法规,强制性约束 律 相关主体的行为。
制 度
依据部门的实际安全需求,具体化法律 法规,制定规章制度,规范相关主体的 行为。
培训相关主体的法律法规、规章制度、 培 岗位职责、操作规范、专业技术等知识 训 ,提高其安全意识、安全技能、业务素
目录
2.1 信息安全保障体系 2.2 信息安全防御模型 2.3 风险评估与等级保护
2.1 信息安全保障体系
如何构架全面的信息安全保障?
范畴 属性
IS Assurance?
2.1.1 信息安全范畴
信息自身 信息载体 信息环境
文本、图形、图像、音频、视频、动画等。
2.1.1 信息安全范畴
信息自身 信息载体 信息环境
通信平台:通信协议及其软件。 网络平台:网络协议及其软件。 应用平台:各种应用软件。
2.1.1 信息安全范畴
信息自身 信息载体 信息环境
硬环境
机房、电力、照明、温控、湿控、 防盗、防火、防震、防水、防雷、防电 磁辐射、抗电磁干扰等设施。
软环境
国家法律、行政法规、部门规章、 政治经济、社会文化、思想意识、教育 培训、人员素质、组织机构、监督管理
2.1.3 信息安全保障体系结构
技术体系
加密、数字签名、访问控制、数据完整
机 制
性、鉴别交换、通信业务填充、路由选 择控制、公证、可信功能度、安全标记 、事件检测、安全审计跟踪、安全恢复
、电磁辐射控制、抗电磁干扰等。
服 务
鉴别/身份认证、访问控制、数据机密性 、数据完整性、抗抵赖、可靠性、可用 性、安全审计等。
2.1.2 信息安全属性
如何刻画信息及信息系统的安全性?
IS Attributes?
2.1.2 信息安全属性
n 保密性(也称机密性,Confidentiality) 保证信息与信息系统不被非授权者所获取或利用。保密性包 含数据的保密性和访问控制等方面内容。
n 完整性(Integrity) 保证信息与信息系统正确和完备,不被冒充、伪造或篡改, 包括数据的完整性、系统的完整性等方面。
管 技术管理策略、系统安全管理、安全机
2.1.3 信息安全保障体系结构
组织体系
决策层:明确总体目标、决定重大事宜。
管理层:根据决策层的决定全面规划、制
机构
定策略、设置岗位、协调各方、 处理事件等。
执行层:按照管理层的要求和规定执行某Βιβλιοθήκη 一个或某几个特定安全事务。
岗位
负责某一个或某几个特定安全事务的职位 。
2.2 信息安全防御模型
如何有效实现信息安全防御?
IS Defenses?
2.2 信息安全防御模型
主动信息安全防御模型
Evaluation
Protection
Policy
Restoration
2.2 信息安全防御模型
1. 风险评估(Evaluation)
对信息系统进行全面的风险评估,这需要对信息系统应 用需求、网络基础设施、外部内部环境、安全威胁、人员、 政策法规、安全技术等具有全面的了解,并善于应用各种方 法、手段、工具对系统风险进行人工和自动分析,给出全面 细致的风险评估。
2.1.2 信息安全属性
n 可靠性(Reliability) 保证信息系统为合法用户提供稳定、正确的信息服务。
n 可追究性(Accountability) 保证从一个实体的行为能够唯一地追溯到该实体,它支持 不可否认、故障隔离、事后恢复、攻击阻断等应用,具有 威慑作用,支持法律事务,其结果可以保证一个实体对其 行为负责。
信息安全保障体系课件
复习与回顾
信息安全基本概念和范畴 信息及信息系统面临的安全威胁 安全事件的分类
第2章 信息安全保障体系
学习目标
本章介绍信息安全保障体系的建立,信息系统主动防 御模型,以及信息安全风险评估、等级保护的相关标准规 范和内容。 主要包括:
信息安全涉及范畴、安全属性需求以及信息安全 保障体系结构 动态和可适应的信息安全防御模型
n GB/T9387.2-1995(ISO7498-2)信息系统--开放系统 互连基本参考模型 第2部分:安全体系结构
q 安全机制
公正机制 路由选择控制机 制 业务流填充机制 鉴别交换机制 数据完整性机制 访问控制机制 数字签名机制 加密机制
目录
2.1 信息安全保障体系 2.2 信息安全防御模型 2.3 风险评估与等级保护