信息安全技术概述资料精要.ppt

* * * 下面将介绍信息安全保障（IA）发展的简史：从通信安全（COMSEC）-〉计算机安全（COMPUSEC）-〉信息系统安全（INFOSEC）-〉信息安全保障（IA）。 通常我们关注的安全只是“网络安全”，要做到“信息安全”（例如，现在的互联网内容过滤、舆情监控、搜索引擎，关注的就是信息层面）非常困难。 我们在课程中讨论的全部是“保障措施”。 * * * 这个阶段其实反而真正关注了“信息”的安全，因为主要靠加密实现。 香农：奠定了现代信息安全的基础。“要减少信息编码的冗余位，只使用有效位，以减少被统计破译的概率”。 * * * 自主访问控制、强制访问控制、隐蔽信道、可信恢复，都是TCSEC里面提出的 * * * TCSEC没有区分功能的“有无”和“好坏”，CC才开始区分这一点。 信息安全保障是要解决“好坏”的问题。 * * * IATF的关注点：身份认证、入侵检测 本部分内容，教材《信息安全保障》中无 ？？ 网际空间安全问题。 威慑——现在美国人称为“对抗” * * * * * * * * * * * * * * * * * * * * * * * * * 拜占庭帝国之所以能够如此长久地兴盛不衰，主要在于它有一支在几个世纪内堪称世界上最强大的军队。这支军队继承了罗马帝国军队的所有特点：纪律严明，组织严密，武器精良，战术巧妙，并具有无与伦比的团结精神。他们之所以具备并保持了这些优点，完全是因为他们十分强调知己知彼，并对战争的地形地物因素进行透彻分析的结果。 基于时间的PDR模型： 思想：承认漏洞，正视威胁，适度防护，加强检测，落实反应，建立威慑 出发点：任何防护措施都是基于时间的，是可以被攻破的 核心与本质：给出攻防时间表 固定防守、测试攻击时间； 固定攻击手法，测试防守时间 缺点：难于适应网络安全环境的快速变化 * * 国际标准组织iso在1988年发布了国际标准iso7498-2，开发系统安全体系结构，这是基于网络osi参考模型的7层协议之上的一种网络安全体系结构，其核心内容是，为了保证计算机之间交换信息的安全，信息系统应当提供的安全服务和安全机制。 * * * * 操作有时也翻译为“过程”。最高版本为4，然后就不再升级。转向到风险管理。 * * * 结合前面提到的企业面临的不同层面的威胁，在应对时也需要从不同的层面采取点面结合的措施来防护。如果暂不考虑物理环境的威胁 ，我们可以把网络看成底层的网状通道，这个网所连接的节点、网中流动的信息即是我们要保护的对象。因此我们首先要确保底层架构的安全可靠，然后是节点，再就是节点及网络保存和传输的数据。 信息安全管理体系（ISMS：Information Security Management System）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接 管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。 信息安全管理体系是PDCA动态持续改进的一个循环体。 PDCA也称“戴明环”，由美国质量管理专家戴明提出。 P（Plan）：计划，确定方针和目标，确定活动计划； D（Do）：实施，实际去做，实现计划中的内容； C（Check）：检查，总结执行计划的结果，注意效果，找出问题； A（Action）：行动，对总结检查的结果进行处理，成功地经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个PDCA循环。 * 27000该标准将规定27000系列标准所共用的基本原则、概念和词汇。 27001规定了一个组织建立、实施、运行、监视、评审、保持、改进信息安全管理体系的要求，是一个用于认证和审核的标准； 27002包含有11个安全类别、39个控制目标、138个控制措施；实施27001的支撑标准，给出了组织建立ISMS时应选择实施的控制目标和控制措施集；是一个行业最佳惯例的汇总集，而不是一个认证和审核标准； 27003目前处于工作草案阶段；它主要以BS 7799-2:2002附录B的内容为基础进行制定；提供了27001具体实施的指南。 27004旨在为组织提供一个如何通过使用度量、测量项以及合适的测量技术来评估其安全管理状态的指南。 27005目前处于委员会草案阶段；描述了信息安全风险管理的过程及每个过程的详细内容。 * * * * 信息安全体系结构 五、应用安全技术 任何信息网络存在的目的都是为某些对象提供服务，常常把它们称为应用。如：电子邮件、FTP、HTTP等 应用安全技术，是指以保护特定应用为目的安全技术，如反垃圾邮件技术、网页防篡改技术、内容过滤技术等。 * 安全技术防护体系与规划 漏洞评估扫描穿透测试 最佳实践策略发布与考核策略一致性检查 身份认证