安全层次结构图.pptVIP

* 概要: 经过3.7号的专家讨论,通过讨论后专家的中肯建议,我们对规范作了认真的修改,并且,为了让给位评委专家能更清晰地了解我们的规范, 我们把整个规范按安全层次从硬件环境到安全管理七个层作了分类(如下图2,3,4,5,6).同时从项目实施的角度，对安全规范进行了另外一种划分。希望专家参看两种划分方法，进一步理解规范的目的、作用及与安全体系的关系。 我们衷心的希望各位专家对我们的规范提出您宝贵的意见,以完善我们的工作,在此,我们再一次表示衷心的感谢! 管理层（安全策略/技术标准/管理规范） 操作层（身份认证/授权认证/审计/人员组织） 应用层（SSL/SET/SHTTP/SSH） 数据/数据库（密码技术/目录服务） 操作系统（安全操作系统/操作系统安全） 网络层（防火墙/VPN/动态安全管理） 环境/硬件（系统网络设备及环境的灾难恢复） 网络设备使用，管理规范 机房管理规范 网络信息系统配套设施的建设，管理规范 操作系统安全规范 信息系统安全管理规范 信息系统安全运行监督规范 信息系统安全漏洞监测与修复规范 网络信息系统安全操作过程规范 应用系统用户管理 WEB系统安全开发和改造规范 电子邮件系统安全开发和改造规范 其他应用系统的安全开发和改造规范 CA与目录服务及其他应用系统的接口规范 目录系统与其他应用的接口规范 授权系统与其他应用的接口规范 上游企业电子证书使用规范 企业电子证书使用方法 安全类技术文档管理规范 信息使用，管理人员管理规范 重要安全系统值班制度 工作报告规范 用户故障通知规范 用户支持规范 网络对应用系统的支持规范 网络系统管理规范 信息系统安全监测与报警规范 信息系统防病毒规范 信息系统防火墙规范 数据库系统安全开发规范 密码算法规范 实体鉴别规范 信息加解密规范 数字签名技术规范 数据机密性.完整性.抗抵赖性 备份与恢复管理 目录服务信息结构设计规范 目录服务系统本身的安全规范 目录系统运行管理规范 目录服务信息录入规范 CA密码模块规范 应用平台安全技术规范 安全保护等级划分标准及使用的安全技术 网络信息全系统的组织结构建设规范 应用系统安全改造监督规范 企业升级改造管理规范 系统调整规范 网络信息系统安全建设规划指南 网络资源命名（包括域名）规范 CA证书的制定标准 CA系统建设规范 CA系统安全规范 授权系统的设计建设规范 企业信息资源授权系统管理规范 CA认证中心系统管理规范 CA扩展级证书定制规范 目录服务信息结构设计标准(包括SCHEMA)扩展 环境/硬件(系统/网络设备的灾难恢复) 为保护计算机设备、设施（含网络）以及其它媒体免遭到地震、水灾、火灾、有害气体和其它环境事故（如电磁污染等）破坏，应采取适当的保护措施过程。 该层包括规范有: 网络信息系统配套设施的建设管理规范 机房管理规范 网络设备使用管理规定 网络层(防火墙/VPN/动态安全管理) 网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。 具体包括: 安全的网络拓扑结构 网络扫描技术 防火墙技术 网络实时入侵检测技术 (具体包括规范请看图) 操作系统层(安全操作系统/操作系统安全) 操作系统安全也称主机安全，由于现代操作系统的代码庞大，从而不同程度上都存在一些安全漏洞。一些广泛应用的操作系统，如Unix、Window NT，其安全漏洞更是广为流传的。另一方面，系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够，配置不当也会造成的安全隐患。操作系统自身的脆弱性. 数据/数据库(密码技术/目录服务) 许多关键的业务系统运行在数据库平台上，如果数据库安全无法保证，其上的应用系统也会被非法访问或破坏。数据库安全隐患集中在： 信息系统认证 信息系统授权 信息系统完整性 应用层(SSL/SET/SHTTP/SSH) 应用层安全的目前建筑在网络、操作系统、数据库的安全基础之上，应用系统复杂多样，针对特定的安全技术能够解决一些特殊应用系统的安全问题。如: (1)对于WEB的应用 (3)数据库应用 (2)电子邮件应用 (4)其它C/S模式的应用 操作层(身份认证/授权认证/审计/人员组织) 对系统,网络, 等操作人员的身份认证,所赋予的权限,对人员的管理和安全制度的制订是否有效,并且对其操作过程作出规定,当出现安全问题时,对其工作日志进行检查,所以对审计也有所规定. 管理层(安全策略/技术标准/管理规范) 管理企业统一的安全策略 管理安全设备与系统 管理安全事件和日志 管理安全组件协同工作 管理安全事件的应急响应流程 *