信息安全简介-许昌开普V1.00.pptx

信息安全许昌开普检测技术有限公司信息系统安全保障模型国家标准：《GB/T 20274.1-2006 信息安全技术 信息系统安全保障评估框架 第一部分：简介和一般模型》 信息安全资质总览对称密码算法（Symmetric cipher）：加密密钥和解密密钥相同，或实质上等同，即从一个易于推出另一个，又称传统密码算法（Conventional cipher)、秘密密钥算法或单密钥算法。 DES、3DES、IDEA、AES非对称密码算法（Asymmetric cipher） ：加密密钥和解密密钥不同，从一个很难推出另一个，又叫公钥密码算法（Public-key cipher)。其中，对外公开的密钥，称为公开密钥（public key)，简称公钥；必须保密的密钥，称为私有密钥（private key)，简称私钥。 RSA、ECC、ElGamal数字信封先使用对称算法加密信息，然后用非对称算法加密对称密钥数字信封对称密钥加密对称密钥解密明文明文密文密文Rick私有密钥解密公开密钥加密制作数字信封解开数字信封访问控制模型的分类**访问控制列表（ACL）自主访问控制模型（DAC）访问矩阵模型权能列表（Capacity List）保密性 模型Bell-Lapudula 模型Biba 模型强制访问控制模型（MAC）完整性 模型Clark-Wilson 模型混合策略模型Chinese Wall 模型基于角色访问控制模型（RBAC）ISO/OSI七层模型结构7654321应用层应用层（高）表示层会话层传输层网络层数据流层数据链路层物理层安全操作系统概念操作系统安全安全设置安全增强安全操作系统可信计算机系统评价标准（Truested Computer Security Evaluation Critria，TCSEC）（橙皮书、橘皮书）仅用于操作系统的安全性评估四级七小类：D，C1，C2，B1，B2，B3，A1可信操作系统SQL请求DBMS存取控制数据加密用户标识与鉴别审计追踪层层设防：防护体系建设（IATF）DBMS选件事务引擎安全边界查询引擎各种应用DB漏洞产生的原因技术原因软件系统复杂性提高，质量难于控制，安全性降低公用模块的使用引发了安全问题经济原因“柠檬市场”效应环境原因从传统的封闭、静态和可控变为开放、动态和难控攻易守难安全缺陷安全性缺陷是信息系统或产品自身“与生俱来”的特征，是其的固有成分CC:CC:CC:CC:CCAA:AA:AA:AA:AAARP欺骗的实现HelloHelloaa:aa:aa:aa:aabb:bb:bb:bb:bb收到，我会缓存！MAC cc:cc:cc:cc:cc is cc:cc:cc:cc:cc渗透测试渗透测试：通过模拟恶意/view/1960.htm黑客的攻击方法，来评估系统安全的一种评估方法从攻击的角度测试软件系统是否安全使用自动化工具或者人工的方法模拟黑客的输入，找出运行时刻目标系统所存在的安全漏洞优点找出来的问题都是真实的，也是较为严重的缺点只能到达有限的测试点，覆盖率较低方针、手册等一级文件管理制度、程序、策略文件等二级文件操作规范、规程、作业指导书、模板文件等三级文件计划、表格、报告、各种运行/检查记录、日志文件等四级文件易于管理和维护的ISMS层次化文档结构一级文件：方针性文件二级文件：信息安全管控程序、管理规定性文件三级文件：操作指南、作业指导书类四级文件：体系运行的各种记录下级文件应支持上级文件 《国家信息化领导小组关于加强信息安全保障工作的意见》总体方针和要求坚持积极防御、综合防范的方针全面提高信息安全防护能力重点保障基础信息网络和重要信息系统安全创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全主要原则立足国情，以我为主，坚持技术与管理并重正确处理安全和发展的关系，以安全保发展，在发展中求安全统筹规划，突出重点，强化基础工作明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系风险评估工作形式信息安全风险评估分为自评估、检查评估两种形式自评估为主，自评估和检查评估相互结合、互为补充自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持自评估信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估由受委托方实施优点过程比较规范客观性比较好缺点对业务了解存在局限性不利于保密由发起方实施优点有利于降低实施的费用有利于保密有利于发挥行业和部门内人员的业务特长有利于提高相关人员的安全意识和评估能力缺点可能结果不够深入准确客观性易受影响检查评估信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估优点具权威性通过行政手段加强信息安全，具强制性缺点间隔时间较长，难以贯穿信息系统的生命周期一般是以抽样的方式进行，难以覆盖