hth华体会体育全站app:信息安全根本概念

发布日期:2021-09-01 | 来源:华体会登陆入口 作者:华体会官方登录

  课程定位 ? 从全体,实践、工程的视点考虑信息安全 怎么完成“安全” ? 清晰信息安全工程是什么?信息安全工程怎 么做?怎么点评信息安全工程? 4 信息安全问题的复杂性 办理 体系建造 安全 战略 防病毒 软件 安全 防火墙 网闸 加密 IDS 反间谍 东西 缝隙 扫描 危险 评价 …… 安全 审计 遵从性 监控 东西 安全 权限 办理 安全 认识教育 技能训练 保密 协议 动态 口令 …… 5 课程根本内容 ? 意图 –了解信息安全工程根本模型 –把握体系安全工程-才干成熟度模型的根本内在和办法 –把握一些实践的办法和进程 等级维护 …… C&A RM ISMS …… ISSE SSE-CMM RM …… SE CMM PDCA …… 6 参考资料 –教材《信息安全工程导论》,沈昌祥 ? 以SSE-CMM为中心 –参考资料 ? 体系工程导论 ,陈宏民 高等教育出版社,安德鲁.P.塞奇 詹姆斯.E.阿 姆斯特朗 西安交通大学 ? 信息体系安全等级维护根本要求,等 ? SSE-CMM V2.0,SSAM 2.0 ? NIST SP 800系列,800-30、800-37、800-53,…… ? ISO27001,ISO17799 ? CC2.1 ISO/IEC15408 1999.12 GB/T 18336-2001 ? IATF 3.1 ? 《信息安全办理概论》,机械工业出版社,2002 ,2002。 ? 《信息安全办理》,Christopher Alberts,Audrey Dorofee,吴晞译,清华 大学出版社,2003 ? …… 7 榜首部分:序言 —— 信息安全与信息安全工程 首要内容 ? 信息安全根本概念 ? 信息安全的现状 ? 什么是信息安全工程 10 首要内容 ? 信息安全根本概念 ? 信息安全的现状 ? 什么是信息安全工程 11 问题一:信息在哪里? 12 信息 --- 永不耗竭的资源 –信息(Information):是经过在数据上施加某些约好而 赋予这些数据的特别意义。( ISO/IEC 的IT 安全办理指 南GMITS,即ISO/IEC TR 13335) –信息是一种资源,永不干涸 –对现代企业来说,信息是一种财物,包含核算机和网络 中的数据,还包含专利、规范、商业秘要、文件、图 纸、办理规章、要害人员等,就象其它重要的商业财物 那样,信息财物具有重要的价值,因此需求进行妥善保 护。 13 信息的存在 –通常情况下,咱们可以把信息可以了解为音讯、信号、 数据、情报和常识。信息自身是无形的,借助于信息媒 体以多种形式存在或传达,它可以存储在核算机、磁 带、纸张等介质中,也可以回忆在人的大脑里,还可以 经过网络、打印机、传线 信息的生命周期 –信息是有生命周期的,从其创立或诞生,到被运用或操 作,到存储,再到被传递,直至其生命期完毕而被毁掉 或丢掉,各个环节各个阶段都应该被考虑到,安全维护 应该统筹信息存在的各种状况,不可以有所遗失。 树立 处理、改换 存储 传递 运用 抛弃 15 问题二:什么是安全? 安全(safety),望文生义.“无危则安,尤缺则全” 1. 安满是指客观事物的危险程度可以为人们遍及承受的状况 2. 安满是指没有引起逝世、损伤、职业病或产业、设备的损 坏或丢掉或环境危害的条件。(美国军用规范MIL—STD— 382C ) 3. 安满是指不因人、机、前言的相互作用而导致体系丢掉、 人员损伤、使命受影响或构成时刻的丢掉。 安满是一种状况 安满是相对的 安满是决心的衡量 16 问题三:什么是信息安全? 信息安全维护什么? 信息处理进程 信息自身 信息处理设备 信息处理人员 18 信息安全特点 ? 信息安全特点 –保密性 Confidentiality –完整性 Integrality –可用性 Availability –可控性 Controllability –不可否定性 Non-repudiation –其它:真实性(Authenticity)、可追查性(Accountability)、 可靠性(Reliability) 信息安全特点怎么完成?选用什么样的办法、技能或办法? 19 信息安全的一种描绘 ? ISO17799中的描绘 “Information security protects information from a wide range of threats in order to ensure business continuity, minimize business damage and maximize return on investments and business opportunities.” ? 信息安全: – 维护信息免受各方要挟 – 保证安排事务连续性 – 将信息不安全带来的丢掉降低到最小 – 取得最大的出资报答和商业机会 20 信息安全展开进程 20世纪 通讯保密 COMSEC 40年代 信息安全 INFOSEC 信息保证IA 70年代 核算机安全 COMPUSEC 90年代 网络安全 NETSEC 21世纪 Cyber安全 21 信息安全展开进程 通讯保密 COMSEC 信息安全 INFOSEC 信息保证IA 20世纪 40年代 70年代 核算机安全 COMPUSEC 90年代 网络安全 NETSEC 21世纪 Cyber安全 –通讯保密 --- 保密 ? 布景:电报、电话、无线通讯的很多运用,特别是二次大战的需求 ? 首要要挟:搭线偷听,暗码学剖析 ? 首要防护办法:数据加密 ? 标志:1949年Shannon宣布的《保密体系的信息理论》,暗码学诞生 ? 触及安全性:保密性、可靠性(通讯的线 信息安全展开进程 通讯保密 COMSEC 信息安全 INFOSEC 信息保证IA 20世纪 40年代 70年代 核算机安全 COMPUSEC 90年代 网络安全 NETSEC 21世纪 Cyber安全 –信息安全 --- 维护 ? 布景:核算机软硬件技能开端快速展开,而且开端呈现了对内敞开、 对外关闭的核算网络 ? 首要要挟:核算机在处理、存储、传输和运用时易被乱用、搅扰和丢 失,而信息也就易被走漏、盗取、篡改、损坏。 ? 进程:从仍重视保密性 ? CIA ? 五性(可控性和不可否定性) 从维护核算机为要点 ? 以维护信息为起点 23 信息安全展开进程 通讯保密 COMSEC 信息安全 INFOSEC 信息保证IA 20世纪 40年代 70年代 核算机安全 COMPUSEC 90年代 网络安全 NETSEC 21世纪 Cyber安全 –信息安全 --- 维护 ? 标志:1977年 NBS 发布的《国家数据加密规范》 1985年 DOD 《可信核算机体系评价原则》( TCSEC ) 法、英、荷、德欧洲四国90年代初联合发布欧洲四国拟定的 《信息技能安全评价规范》ITSEC ? TCSEC 以信息安全的秘要性为主 ,ITSEC则着重保证信息的秘要性、 完整性、可用性 ,这以后因为社会办理以及电子商务,电子政务等的网 上运用的展开,人们又逐渐认识到还要重视可控性和不可否定性。 24 信息安全展开进程 通讯保密 COMSEC 信息安全 INFOSEC 信息保证IA 20世纪 40年代 70年代 核算机安全 COMPUSEC 90年代 网络安全 NETSEC 21世纪 Cyber安全 –信息保证 --- 保证 ? 安全不再局限于信息的维护,人们需求对信息和信息体系的维护和防 御,着重信息体系整个生命周期的防护和康复,一起安全问题的呈现 和解决方案也逾越了纯技能领域。由此构成了包含了预警、维护、检 测、反响和康复五个环节的信息保证概念,即信息保证的WPDRR模 型 ? 以美国国家安全局拟定的《信息保证技能结构》(IATF)为标志。它 中心思维是深层防护战略(Defense in Depth) 25 信息安全展开进程 通讯保密 COMSEC 信息安全 INFOSEC 信息保证IA 20世纪 40年代 70年代 核算机安全 COMPUSEC 90年代 网络安全 NETSEC 21世纪 Cyber安全 –信息保证 --- 保证 ? 安全与运用的结合愈加严密,其相对性、动态性引起留意,寻求适度 危险的信息安全成为一致,安全不再单纯以功用或机制的强度作为评 判方针,而是结合了运用环境和运用需求,着重安满是一种决心的度 量,使信息体系的运用者坚信其预期的安全方针已获满意 26 信息安全展开进程 通讯保密 COMSEC 信息安全 INFOSEC 信息保证IA 20世纪 40年代 70年代 核算机安全 COMPUSEC 90年代 网络安全 NETSEC 21世纪 Cyber安全 –Cyber security 多维度 ? 信息安全被笼统成为一个由信息体系、信息内容、信息体系一切者和 运营者、信息安全规矩等多个要素构成的一个多维的问题空间 ? 南湘浩教授:网络世界安全的最根本需求是赖于可信性树立的次序。 网络世界安全的根本构件可以用C3MSE来归纳:即certification(认 证)、control(操控)、confrontation(对立)、management(办理)、 supervision(督查)和emergency(应急)等六个方面。 27 ? PDRR 信息保证结构 维护 Protect 检测 Detect IA 康复 Restore 反响 React 28 我国的信息安全保证的界说 ? WPDRRC 信息安全国家要点实验室给出如下界说: 反击 康复 预警 技能 办理 人 准则 法令 法规 反响 维护 检测 29 我国的信息安全保证(续) –信息保证是对信息和信息体系的安全特点及功用、功率 进行保证的动态行为进程。它运用源于人、办理、技能 等要素所构成的预警才干、维护才干、检测才干、反响 才干、康复才干和反击才干,在信息和体系生命周期全 进程的各个状况下,保证信息内容、核算环境、鸿沟与 衔接、网络基础设备的真实性、可用性、完整性、保密 性、可控性、不可否定性等安全特点,然后保证运用服 务的功率和效益,促进信息化的可继续健康展开。 30 Q&A 31 信息安全特点 -- 保密性 ? 保密性 Confidentiality –界说:信息不被走漏给非授权的用户、实体或进程,或 被其运用的特性 –信息内容的保密和信息状况的保密 –常用的技能:防侦收、防辐射、信息加密、物理保密、 信息隐形 32 信息安全特点 -- 完整性 ? 完整性 Integrality –界说:信息未经授权不能进行更改的特性,即信息在存 储或传输进程中坚持不被偶尔或故意地删去、修正、伪 造、乱序、重放、刺进等损坏和丢掉的特性。 –首要要素:设备毛病、误码、人为进犯、核算机病毒等 –首要维护办法:协议、纠错编码办法、暗码校验和方 法、数字签名、公证等 33 信息安全特点 -- 可用性 ? 可用性 Availability –界说:信息可被授权实体拜访并按需求运用的特性 –现在没有理论模型,是综合性的衡量 –信息的可用性触及面广 ? 硬件可用性 ? 软件可用性 ? 人员可用性 ? 环境可用性:首要是自然环境和电磁环境 34 信息安全特点 -- 可控性 ? 可控性 Controllability –指可以操控运用信息资源的人或实体的运用方法 ? 信息的可控 ? 安全产品的可控 ? 安全商场的可控 ? 安全厂商的可控 ? 安全研制人员的可控 –注: ? 可控性是对网络信息的传达及内容具有操控才干的特性。关于 电子政务体系而言,一切需求揭露发布的信息有必要经过审阅后 才干发布。 35 信息安全特点 -- 不可否定性 ? 不可否定性 Non-repudiation –也称抗狡赖性,是避免实体否定其现已产生的行为 –原发不可否定与接纳不可否定 ? 可追查性 Accountability –指保证某个实体的行动能仅有地追溯到该实体 –可分为辨别和不可否定性 –部分表现可控性需求 36