4.2信息安全管理技术.ppt

第4章 信息资源安全管理 信息技术和信息化建设的快速发展，推动了信息安全风险的增长，信息安全管理同以往相比具有更重要的意义。 本章主要阐述信息安全的体系结构，探讨信息加密技术、认证技术、防火墙技术、入侵检测技术等安全技术，分析信息安全管理的手段。 4.1 信息安全管理概述 4.2 信息安全管理技术 4.3 信息安全管理手段 本章小结 案例讨论 思考题 4.1 信息安全管理概述 随着人们对信息资源依赖程度的不断加深和信息技术的发展，信息安全越来越受到重视。在信息安全管理中，技术手段和管理手段都非常重要。 4.1.1 信息安全的内涵 4.1.2 信息安全管理体系 4.1.1 信息安全的内涵 1.信息安全的定义 2.信息安全保护机制 3.信息安全体系框架 1.信息安全的定义 信息安全是一门涉及计算机科学、网络技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 广义概念：是指一个国家的社会信息化状态和信息技术体系不受威胁和侵害； 狭义概念：是指信息资产不因偶然的或故意的原因，被非授权泄露、更改、破坏，或信息内容不被非法系统辨识、控制。 1.信息安全的定义 信息安全的实现目标： 真实性 保密性 完整性 可用性 不可抵赖性 可控制性 可审查性 2.信息安全保护机制 信息安全保护机制包括电磁辐射、环境安全、计算机技术、网络技术等技术因素，还包括信息安全管理（含系统安全管理、安全服务管理和安全机制管理）、法律和心理因素等机制。 国际信息系统安全认证组织（International Information Systems Security Certification Consortium,ISC2）将信息安全划分为五重屏障，共十大领域并给出了它们涵盖的知识结构。如图所示。 3.信息安全体系框架 依据信息安全多重保护机制，信息安全的总需求是物理安全、网络安全、信息内容安全、应用系统安全的总和，安全的最终目标是确保信息的机密性、完整性、可用性、可控制性和抗抵赖性，以及信息系统主体信息资源的控制。 完整的信息安全体系框架由技术体系、组织体系和管理体系共同构建。体系结构框架图如图所示。 4.1.2 信息安全管理体系 信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护组织所有信息资产的一系列活动。 信息安全管理体系是基于业务风险方法来建立、实施、运行、监视、评审和改进信息安全的一套管理体系，包括组织、结构、策略、规划、职责、实施、程序等。 BS7799是国际上具有代表性的信息安全管理体系标准，其第二部分“信息安全管理体系规范”是组织评价信息安全管理体系有效性、符合性的依据。 BS7799－2引入了PCDA模型，作为建立、实施信息安全管理体系并持续改进其有效性的方法。 PCDA过程模式被ISO9001、ISO14001等国际管理体系标准广泛采用，是保证管理体系持续改进的有效模式。依据BS7799－2：2002建立信息安全管理体系时，过程方法鼓励其用户强调下列内容的重要性。 理解组织的信息安全要求，以及为信息安全建立方针和目标的需求。 在管理组织整体业务风险背景下实施和运行控制。 监控并评审信息安全管理体系的业绩和有效性。 在目标测量的基础上持续改进。 信息安全管理技术体系 BS7779-2：2002的PDCA过程模式 BS7779-2：2002的PDCA过程模式包括“策划－实施－检查－措施”，这四个步骤可以应用于所有过程。 策划：依照组织整个方针和目标，建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。 实施：实施和运作方针（过程和程序）。 检查：依据方针、目标和实际经验测量，评估过程业绩，并向决策者报告结果。 措施：采取纠正和预防措施，进一步提高过程业绩。 应用PDCA建立、保持信息安全管理体系 P（策划）－建立信息安全管理体系环境和风险评估 该阶段是为了确保正确建立信息安全管理体系的范围和详略程度，识别并评估所有的信息安全风险，为这些风险制订适当的处理计划。（确定范围和方针；确定风险评估的系统性方法；识别风险；评估风险；识别并评价风险处理的方法；为风险的处理选择控制目标与控制方式；获得最高管理者的授权批准） D（实施）——实施并运行信息安全管理体系 C（检查）——监视并评审信息安全管理体系 A（措施）——改进信息安全管理体系 4.2 信息安全管理技术 4.2.1 信息加密技术 4.2.2 认证技术4.2.3 防火墙技术4.2.4 入侵检测技术4.2.5 计算机病毒防范技术 4.2.1 信息加密技术 密码技术，也称为加密技术，包括密码算法设计、密码分析、安全协议、身份认证、消息确认、数字签名、密钥管理、密钥托管等技术，是保护大型网络传输信息安全的