第1章-信息安全体系结构1.pptVIP

信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。 返回 PDRR（Protect/Detect/React/Restore）模型中，安全的概念已经从信息安全扩展到了信息保障，信息保障内涵已超出传统的信息安全保密，是保护（Protect）、检测（Detect）、反应（React）、恢复（Restore）的有机结合，称之为 PDRR模型(如图2所示)。PDRR模型把信息的安全保护作为基础，将保护视为活动过程，要用检测手段来发现安全漏洞，及时更正；同时采用应急响应措施对付各种入侵；在系统被入侵后，要采取相应的措施将系统恢复到正常状态，这样使信息的安全得到全方位的保障。该模型强调的是自动故障恢复能力。 返回 “27号文”的总体要求 　　坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。 “27号文”的主要任务 　　（重点加强的安全保障工作）： 　　实行信息安全等级保护； 　　加强以密码技术为基础的信息保护和网络信任体系建设； 　　建设和完善信息安全监控体系； 　　重视信息安全应急处理工作； 　　加强信息安全技术研究开发，推进信息安全产业发展； 　　加强信息安全法制建设和标准化建设； 　　加快信息安全人才培养，增强全民信息安全意识； 　　保证信息安全资金； 　　加强对信息安全保障工作的领导，建立健全信息安全管理责任制。 更多内容： /view/5078563.htm * * * * 信息安全保障（IA）的概念 美国军方提出了信息安全保障（IA）的概念： 保护和防御信息及信息系统，确保其可用性、完整性、保密性、鉴别、不可否认性等特性。这包括在信息系统中融入保护、检测、响应功能，并提供信息系统的恢复功能。（美国国防部令S-3600.1） 在信息安全保障的研究中，美国军方走在世界前列，其代表性的文献之一是NSA于2000年9月发布的《信息保障技术框架》3.0版（IATF），2002年9月更新为3.1版。（/） PDRR模型 信息安全保障（IA）的概念 信息安全保障定义： 信息安全保障是对信息和信息系统的安全属性及功能、效率进行保障的动态行为过程。运用源于人、管理、技术等因素所形成的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力，在信息和系统生命周期全过程的各个状态下，保证信息内容、计算环境、边界与连接、网络基础设施的真实性、可用性、完整性、机密性、可控性、不可否认性等安全属性，从而保障应用服务的效率和效益，促进信息化的可持续健康发展。 1.2 三要素 人 技术 管理 1.2.1 人 包括信息安全保障目标的实现过程中所有的相关人员。 机构信息安全保障目标的制定和实施人员 业务系统的设计、开发、维护与管理人员 系统（或产品）的用户 可能存在的网络入侵人员 信息安全事件报告、分析、处理人员 信息安全法律顾问 …… 1.不应使用计算机危害他人。 2.不应干涉他人的计算机工作。 3.不应窥探他人的计算机文件。 4.不应使用计算机进行盗窃活动。 5.不应使用计算机做伪证。 6.不应拷贝或使用没有付费的版权所有软件。 7.不应在未经授权或在没有适当补偿的情况下使用他人的计算机资源。 8.不应挪用他人的智力成果。 9.应该考虑你编写的程序或设计的系统所造成的社会后果。 10.使用计算机时应该总是考虑到他人并尊重他们。 计算机道德规范的十条戒律 1.2.2 技术 目前，用于提供信息安全服务和实现信息安全保障目标的技术很多。 为了能够正确运用这些技术和合理部署相关产品，机构应建立一套有效的技术与产品采购策略和过程。 安全策略 信息保障原则 系统级信息保障体系结构及其标准 信息保障产品选用准则 经可信第三方认证的产品采购原则 产品配置指南 系统风险评估 1.2.3管理 “三分技术，七分管理” 是对实现信息安全保障目标负有责任的有关人员具有的管理职能。 制定和实施符合实际需求的安全策略，实施安全策略，迅速实施入侵响应，恢复关键服务。 1.2.4 三者的相互关系 三个要素相辅相成，缺一不可。 1.3 国内外信息安全政策 中国 美国 俄罗斯 1.3.1 国内信息安全政策 党和政府对信息安全高度重视。2003年，中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号文件），标志着我国信息安全保障工作有了基本纲领和大政方针，指导思想和主要任务得以明确。 2003