信息安全标准化培训.ppt

信息安全标准化培训 信息安全的思潮以及基于价值的保障体系 信息安全的思潮1 ： SECRET：秘密地做 信息安全的思潮2 ： TRUST：可靠地做 信息安全的思潮3：security ——安全地做 信息安全的思潮4：survivability ——关键有效地做 信息安全的思潮4：survivability ：关键有效地做 信息安全的思潮5：safeguard：系统地做 信息安全的思潮5：框架保护——立体地做：做多少、做什么 信息安全的思潮6：information assurance ——全面地做（谁来做、什么规矩做、通过什么技术做、做什么内容、做到什么深度、做的过程怎样？ 信息安全与计算机技术的并行融合发展： 信息安全的思潮进化总结： 信息安全各思路发展内容： * 针对信息安全历史发展阶段中的阶段的各种概念以及概念子内涵进行分析和甄别。 60年代，COMSEC，叫SECRET阶段，这个阶段的思路是加密和隔离。 名词：safety 同期并行的计算机 敌人 发方 收方 80年代，美国国防部在计算机保密模型基础上，制定了《可信的计算机安全评测准则》TCSEC，其后又制定了关于网络系统、数据库等方面的系统安全解释，将计算机按从低到高分为D、C1、C2、B1、B2、B、A1、超A1等8级，将信息安全定义为：提高使用系统的安全特性，仅使被授权的主体以该主体的名义访问客体信息，实施客体信息，实施主题对客体的读、写、创建和删除的操作。 这一阶段可以叫：TRUST时代，其主要思路和原则是基于设备和基础设施的价值保护。 同期计算机名词：dependability 90年代初，英、法、德、荷四国联合提出包括可靠性、完整性、可用性概念的《信息技术安全评价准则》ITSEC，其主要思路信息价值的保护。 在此，计算机网络名词：survivability 借用survivability 网络的理念，对动态的信息安全方法进行分析，信息是为业务服务、安全是为信息服务，90年代末期开始，信息安全的survivability 被广泛重视和研究 resistance, recognition, and recovery ，思路是基于风险的动态价值保护 借用survivability 网络的理念，对动态的信息安全方法进行分析，信息是为业务服务、安全是为信息服务，90年代末期开始，信息安全的survivability 被广泛重视和研究 resistance, recognition, and recovery 思路是基于安全管理实践过程的价值防卫体系。 近年，六国七方（美国国家安全局、加、英、法、德、荷）共同提出CC，也就是ISO15408，突出保护轮廓，将评估标准分为“功能”和“保证”两部分，并引进“PACKAGE”概念，定义7个安全保证级别，从EAL1到EAL7，每一级别均评估7个功能类：配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试、脆弱性评估。对信息安全的定义为安全策略、安全功能、安全检测、安全恢复、安全评测概念的总称，其思路为结合动态过程和类别的整体价值保护框架。 美国DOD，IATF 信息保障依赖于人、操作和技术来实现一个组织的职能/业务运作，稳健的信息保障状态意味着信息保障的政策、步骤、技术和机制在整个组织的信息基础设施的所有层面上都得到了实施。 IATF定义了对一个系统进行信息保障的过程以及该系统中硬件和软件部件的安全需求。遵循这些原则，就可以对信息基础设施做到多层的防护，这称为“深度保卫战略”（Defense-in-Depth Strategy）。深度保卫战略的四个主要技术焦点领域分别为：保卫网络和基础设施、保卫边界、保卫计算环境以及为基础设施提供支持。它已经得到了广泛的采纳，比如，在美国国防部（DoD）内，《全球信息网（GIG）IA政策和实施指南》就是围绕深度保卫战略而建的，这一部级的政策文档把IATF引做其技术解决方案的信息源以及国防部IA实施的指南。 PROTECT DETECT REACT RESTORE Secret trust security survivability safeguard protect framework assurance dependability Safety survivability assurance 计算机技术 信息安全的发展 秘 密 地 做 威胁 对策 可 靠 地 做 安 全 地 做 有 效 地 做 系 统 地 做 全 面 地 做 立 体 地 做 Secret trust security survivability safeguard framework assurance 价值保护 ass