3月26日- 项目之 安全体系、风险评估、策略、技术基础 信管师.pdfVIP

3 月26 日-安全体系、风险评估、策略、技术基础 第24 章信息安全系统和安全体系 24.1 信息安全系统三维空间 三维空间中，Y 轴是OSI 网络参考模型，离开网络，信息系统的安全也就失去意义。 X 轴是 “安全机制”。安全机制是什么？可以理解为提供某些安全服务，利用各种安全技术和技巧，所形成的 一个较为完善的结构体系。如 “平台安全” 机制，实际上就是指的安全操作系统、安全数据库、应用开发运营的 安全平台以及网络安全管理监控系统等。 Z 轴是 “安全服务”，就是从网络中的各个层次提供给信息应用系统所需要的安全服务支持。如：对等实体认 证服务、访问控制服务、数据保密服务等。 由X、Y、Z 三个轴形成的空间就是 “安全空间”,达到具有认证、权限、完整、加密和不可否认五大要素，也 叫做 “安全空间” 的五大“属性”。 24.1.1 安全机制 1.第一层：基础设施实体安全 (1) 机房安全(2) 场地安全(3) 设施安全(4) 动力系统安全(5) 灾难预防与恢复 2.第二层：平台安全 (1) 操作系统漏洞检测与修复(2) 网络基础设施(3) 通用基础应用程序(4) 网络安全产品部署 3.第三层：数据安全 4.第四层：通信安全 5.第五层：应用安全 6.第六层：运行安全 7.第七层：管理安全 8.第八层：授权和审计安全 授权安全是指：以向用户和应用程序提供权限管理和授权服务为目标，主要负责向业务应用系统提供授权 服务管理，提供用户身份到应用授权的映射功能，实现与实际应用处理模式相对应的、与具体应用系统开发和 管理无关的访问控制机制。 审计安全是指： •监控网络内部的用户活动 •侦察系统中存在的潜在威胁 •对日常运行状况的统计和分析 •对突发案件和 异常事件的事后分析 •辅助侦破和取证 9.第九层：安全防范体系 24.1.2 安全服务 1.对等实体认证服务 对等实体认证服务用于两个开放系统同等层中的实体建立链接或数据传输时，对对方实体的合法性、真实 性进行确认，以防假冒。 2.数据保密服务 为了防止网络中各系统之间的数据被截获或被非法存取而泄密，提供密码加密保护。 3.数据完整性服务 用以防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。 4.数据源点认证服务 用于确保数据发自真正的源点，防止假冒。 5.禁止否认服务 禁止否认服务用以防止发送方在发送数据后否认自己发送过此数据，接收方在收到数据后否认自己收到过 此数据 6.犯罪证据提供服务 24.1.3 安全技术 1.加密技术 2.数字签名技术 数字签名是确保数据真实性的基本方法。利用数字签名技术还可以进行报文认证和用户身份认证。数字签 名具有解决收发双方纠纷的能力。 3.访问控制技术 4.数据完整性技术 5.认证技术 主要有站点认证、报文认证、用户和进程认证 6.数据挖掘技术 24.2 信息安全系统架构体系 2 三种不同系统架构：MIS+S、S-MIS 和S -MIS。 24.2.1 MIS+S 系统架构 MIS+S 系统为“初级信息安全保障系统”或 “基本信息安全保障系统”。这种系统的特点如下： •业务应用系统基本不变。 •硬件和系统软件通用。 •安全设备基本不带密码。 24.2.2 S-MIS 系统架构 S-MIS 系统为“标准信息安全保障系统”。这种系统的特点如下： •硬件和系统软件通用。 •PKI/CA 安全保障系统必须带密码。 •业务应用系统必须根本改变。 •主要的通 用的硬件、软件也要通过PKI/CA 认证。 2 24.2.3 S -MIS 系统架构 2 S -MIS 系统为“超安全的信息安全保障系统”。这种系统的特点如下： •硬件和系统软件都专用。 •PKI/CA 安全基础设施必须带密码。 •业务应用系统必须根本