信息安全技术概述资料精要.ppt

  1. 1、本文档共108页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
* * * 下面将介绍信息安全保障(IA)发展的简史:从通信安全(COMSEC)-〉计算机安全(COMPUSEC)-〉信息系统安全(INFOSEC)-〉信息安全保障(IA)。 通常我们关注的安全只是“网络安全”,要做到“信息安全”(例如,现在的互联网内容过滤、舆情监控、搜索引擎,关注的就是信息层面)非常困难。 我们在课程中讨论的全部是“保障措施”。 * * * 这个阶段其实反而真正关注了“信息”的安全,因为主要靠加密实现。 香农:奠定了现代信息安全的基础。“要减少信息编码的冗余位,只使用有效位,以减少被统计破译的概率”。 * * * 自主访问控制、强制访问控制、隐蔽信道、可信恢复,都是TCSEC里面提出的 * * * TCSEC没有区分功能的“有无”和“好坏”,CC才开始区分这一点。 信息安全保障是要解决“好坏”的问题。 * * * IATF的关注点:身份认证、入侵检测 本部分内容,教材《信息安全保障》中无 ?? 网际空间安全问题。 威慑——现在美国人称为“对抗” * * * * * * * * * * * * * * * * * * * * * * * * * 拜占庭帝国之所以能够如此长久地兴盛不衰,主要在于它有一支在几个世纪内堪称世界上最强大的军队。这支军队继承了罗马帝国军队的所有特点:纪律严明,组织严密,武器精良,战术巧妙,并具有无与伦比的团结精神。他们之所以具备并保持了这些优点,完全是因为他们十分强调知己知彼,并对战争的地形地物因素进行透彻分析的结果。 基于时间的PDR模型: 思想:承认漏洞,正视威胁,适度防护,加强检测,落实反应,建立威慑 出发点:任何防护措施都是基于时间的,是可以被攻破的 核心与本质:给出攻防时间表 固定防守、测试攻击时间; 固定攻击手法,测试防守时间 缺点:难于适应网络安全环境的快速变化 * * 国际标准组织iso在1988年发布了国际标准iso7498-2,开发系统安全体系结构,这是基于网络osi参考模型的7层协议之上的一种网络安全体系结构,其核心内容是,为了保证计算机之间交换信息的安全,信息系统应当提供的安全服务和安全机制。 * * * * 操作有时也翻译为“过程”。最高版本为4,然后就不再升级。转向到风险管理。 * * * 结合前面提到的企业面临的不同层面的威胁,在应对时也需要从不同的层面采取点面结合的措施来防护。如果暂不考虑物理环境的威胁 ,我们可以把网络看成底层的网状通道,这个网所连接的节点、网中流动的信息即是我们要保护的对象。因此我们首先要确保底层架构的安全可靠,然后是节点,再就是节点及网络保存和传输的数据。 信息安全管理体系(ISMS:Information Security Management System)是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接 管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。 信息安全管理体系是PDCA动态持续改进的一个循环体。 PDCA也称“戴明环”,由美国质量管理专家戴明提出。 P(Plan):计划,确定方针和目标,确定活动计划; D(Do):实施,实际去做,实现计划中的内容; C(Check):检查,总结执行计划的结果,注意效果,找出问题; A(Action):行动,对总结检查的结果进行处理,成功地经验加以肯定并适当推广、标准化;失败的教训加以总结,以免重现;未解决的问题放到下一个PDCA循环。 * 27000该标准将规定27000系列标准所共用的基本原则、概念和词汇。 27001规定了一个组织建立、实施、运行、监视、评审、保持、改进信息安全管理体系的要求,是一个用于认证和审核的标准; 27002包含有11个安全类别、39个控制目标、138个控制措施;实施27001的支撑标准,给出了组织建立ISMS时应选择实施的控制目标和控制措施集;是一个行业最佳惯例的汇总集,而不是一个认证和审核标准; 27003目前处于工作草案阶段;它主要以BS 7799-2:2002附录B的内容为基础进行制定;提供了27001具体实施的指南。 27004旨在为组织提供一个如何通过使用度量、测量项以及合适的测量技术来评估其安全管理状态的指南。 27005目前处于委员会草案阶段;描述了信息安全风险管理的过程及每个过程的详细内容。 * * * * 信息安全体系结构 五、应用安全技术 任何信息网络存在的目的都是为某些对象提供服务,常常把它们称为应用。如:电子邮件、FTP、HTTP等 应用安全技术,是指以保护特定应用为目的安全技术,如反垃圾邮件技术、网页防篡改技术、内容过滤技术等。 * 安全技术防护体系与规划 漏洞评估 扫描 穿透测试 最佳实践 策略发布与考核 策略一致性检查 身份认证

文档评论(0)

baobei + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档