第2章-信息安全体系结构规划与设计.ppt

自我介绍 姓名：肖朋林 手机 教学思想：多学点知识，总会有用的！ 第2章 --信息安全体系结构规划与设计 主要内容： 2.1 网络与信息系统总体结构初步分析 2.2 信息安全需求分析 2.2.1 物理安全 2.2.2 系统安全 2.2.3 网络安全 2.2.4 数据安全 2.2.5 应用安全 2.2.6 安全管理 2.3 信息安全体系结构的设计目标、指导思想与设计原则 2.3.1 设计目标 2.3.2 指导思想 2.3.3 设计原则 2.4 安全策略的制定与实施 2.4.1 安全策略 2.4.2 制定依据 2.4.3 安全策略分类 2.5 小结 习题 2.1 网络与信息系统总体结构初步分析 2.2 信息安全需求分析 2.3 信息安全体系结构的设计目标、指导思想与设计原则 2.4 安全策略的制定与实施 2.5 小结 2.1 网络与信息系统总体结构初步分析 主要介绍： 1、医疗行业的信息化建设（医院） 2、校园网络的建设 3、信息系统的概念 医疗行业的信息化建设 1、特点：信息点较为密集的吉比特局域网络系统。 2、建设情况：主干网+通过交换机连接的区域网络。 3、主要区域：医疗网络、办公网络 医疗网络提供的应用 1、内部办公网 2、文件数据的统一存储 3、针对特定的应用在数据库服务器上进行开发 4、C/S结构的Oracle数据库服务 办公网络提供的应用 1、内部办公网 2、文件数据的统一存储 校园网络的建设 1、特点：由于用户规模的限制，这些网络属于中小型系统，以园区局域网为主。 2网络结构图： 信息系统的概念 定义：由计算机极其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统，也称为计算机信息系统。 2.1 网络与信息系统总体结构初步分析 2.2 信息安全需求分析 2.3 信息安全体系结构的设计目标、指导思想与设计原则 2.4 安全策略的制定与实施 2.5 小结 2.2 信息安全需求分析 1、贯穿在信息安全体系结构设计与实施的整个过程中，因此需求是非常之重要的一个环节。 2、需求分析涉及的层面：物理安全、系统安全、网络安全、数据安全、应用安全和安全管理。 3、几个概念：信息安全策略，安全等级，安全技术、安全产品。 信息安全策略 信息安全策略的意义 信息安全策略（Information Security Policy）是一个组织机构中解决信息安全问题最重要的部分。 在一个小型组织内部，信息安全策略的制定者一般应该是该组织的技术管理者，在一个大的组织内部，信息安全策略的制定者可能是由一个多方人员组成的小组。 一个组织的信息安全策略反映出一个组织对于现实和未来安全风险的认识水平，对于组织内部业务人员和技术人员安全风险的假定与处理。信息安全策略的制定，同时还需要参考相关的标准文本和类似组织的安全管理经验。(补充) 安全等级 第一级为用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。 第二级为系统审计保护级。除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。 第三级为安全标记保护级。除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。 安全等级 第四级为结构化保护级。在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。 第五级为访问验证保护级。这一个级别特别增设了访问认证功能，负责仲裁访问者对访问对象的所有访问活动。 从第一级到第五级安全等级逐级增高，高级别安全要求是低级别要求的超集。 安全技术 计算机通信信息安全常用的几种信息安全技术： 防火墙：防火墙按照系统管理员预先定义好的安全策略和规则控制两个网络之间数据包的进出。 身份认证：阻止非法实体的不良访问。 数据加密：通过对信息的重新组合，使得只有通信双方才能解码还原信息的传统方法。 数字签名 ：防止非法伪造、假冒和篡改信息。 安全监控 密码机：加密技术的硬件实现，它是传统的链路层加密设备，通常使用对称密钥算法，提供点对点式的加密通信。 安全产品 信息安全需求 1、什么是信息安全需求？ 2、信息安全需求来源 3、信息安全需求分析 1. 物理安全（基础） 物理安全 2. 系统安全（中坚力量） 1、含义：又称主机系统安全，主要是提供安全的操作系统和安全的数据库管理系统，以实现操作系统及数据库系统的安全运行。 2、系统安全是保障信息系统安全的中坚力量。 3. 网络安全 1、作用：为信息系统提供安全的网