第六章 信息安全管理.pptVIP

信息安全管理 Information Security Management 2003级 曹炳文 主要内容 一.信息安全理论 相关基本概念、理论体系、发展历史、信息安全标准体系、法律法规、部署与操作 二.信息安全管理 风险管理：OCTAVE 工程角度： SSE-CMM 三.研究现状与个人思考 四.附录-参考文献 信息安全概念 什么是信息安全？ ISO: 为数据处理系统建立的安全保护，保护计算机硬件、软件、数据不因偶然的或者恶意的原因而遭受到破坏、更改和泄露； 国内： 计算机系统的硬件、软件、数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改和泄露以及系统连续正常运行。 信息系统安全 信息系统安全 是为确保信息系统体系结构安全，以及与此相关的各种安全技术、安全服务、安全管理的总和。 联系与区别 信息系统安全：更具有体系性、可设计性、可实现性和可操作性； 信息安全：更广泛、概念化；不说明任何个体或系统 信息的安全属性以及信息安全特性 信息的安全属性： 保密性(Confidentiality) 完整性(Integrality) 可用性(Availability) 可控性(Controllability) 不可否认性(Non-repudiation) 信息安全特性 社会性 全面性 过程性或生命周期性 动态性 层次性 相对性 信息安全发展历史 通信保密阶段(COMSEC) 标志：1949年Shannon发表的《保密系统的信息理论》；密码学；数据加密 计算机安全(COMPUSEC)和信息安全(INFSEC) 标志：1977美国标准局(NBS)发布的《国家数据加密标准》和1985年美国国防部(DoD)公布的《可信计算机系统评估准则》 信息保障(IA) 标志：2000年9月NSA(美国家安全局)发布的《信息保障技术框架》3.0版，2002年更新为3.1版； 国防部：第8500.1《信息保障》；第8500.2《信息保障的实施》 信息安全——理论体系结构 信息安全理论基础 密码理论 数据加密（对称算法：DES、AES；非对称算法：RSA、ECC） 消息摘要 数字签名 密钥管理 安全理论 身份认证(Authentication) 授权和访问控制(Authorization and Access control) 审计追踪 安全协议 信息安全应用研究 信息安全技术 防火墙技术 入侵检测技术 漏洞扫描技术 防病毒技术 平台安全 物理安全 网络安全 系统安全 数据安全 用户安全 边界安全 我国信息安全标准框架 信息标准内容 基础标准类 信息安全术语、信息安全体系结构、信息安全框架、信息安全模型、安全技术 物理安全标准 物理环境和保障、安全产品、介质安全 系统与网络标准 硬件应用平台安全、软件应用平台安全、网络安全、安全协议、安全信息交换语法规则、人机接口、业务应用平台 应用与工程标准 安全工程和服务、人员资质、行业标准 管理标准 管理基础、系统管理、测评认证 实例—北京市信息安全标准体系 信息安全管理标准(BS7799) BS7799与ISO17799 BS7799-1《信息安全管理实施细则》 BS7799-2《信息安全管理体系规范》 BS7799-2 包括两大要求：遵循PDCA这种持续改进管理模式 信息安全体系要求； 信息安全控制要求 信息技术安全性评估准则 法律法规 国家法律 如：中华人民共和国保守国家秘密法 中华人民共和国标准化法、中华人民共和国国家安全法 中华人民共和国产品质量法、维护互联网安全的决定等； 行政法规 如：中华人民共和国计算机信息系统安全保护条例 中华人民共和国计算机信息网络国际联网管理暂行规定 商用秘密管理条例等 部门规章及规范性文件 计算机信息网络国际联网安全保护管理办法等； 行业性法规(电信、银行等) 信息安全体系的设计流程 主要内容 一.信息安全理论 相关基本概念、理论体系、发展历史、信息安全标准体系、法律法规、部署与操作 二.信息安全管理 风险管理：OCTAVE 工程角度： SSE-CMM 三.研究现状与个人思考 四.附录-参考文献 信息安全管理方法 研究方法—弱点评估 弱点评估方法：侧重于技术方面 弱点评估包括： 使用特定的IT技术标准 评估整个计算基础结构 使用拥有的软件工具分析基础结构及其全部组件 提供详细的分析，说明检测到的技术弱点，并且提供具体的建议 基于风险分析的信息安全管理 风险