主讲教师董庆宽研究方向密码学与信息安全Email8.ppt

内容提要 3.1 信息保障体系的基本概念 3.2 信息保障体系的构成 3.2.1 国家信息保障体系的构成 3.2.2 信息保障体系模型 3.2.3 信息安全保障体系框架 3.2.4 信息保障体系设计和建设的基本原则 3.3信息系统安全等级保护 3.3.1 等级保护建设的相关国际标准 3.3.2 信息及信息系统的分级 3.3.3 等级保护技术分级 3.3.4 等级保护要素与实施过程 3.1 信息保障体系的基本概念 3.1 信息保障体系的基本概念 信息保障在内涵上包括在信息系统中融入保护(Protect)、检测(Detect)、反应(React)和提供对信息系统的恢复功能(Restore)，它们构成以安全策略为中心的PDRR动态信息保障模型P-PDRR 3.1 信息保障体系的基本概念 美国国家安全局(NSA),1998年制定《信息保障技术框架》(IATF),提出了 主动防护 即在安全事件发生前对系统面临的威胁和风险、系统中存在的漏洞进行主动的分析和检测，并针对问题进行及时的防护；同时在事件发生时能够采取有效的应急手段将安全风险和损失降到最小；事件发生后及时恢复 深度防御策略 即从物理,网络,应用,系统,管理等各个层面综合防护 2002年9月，颁布《信息保障技术框架》3.1版本 信息保障已经成为国家战略 主动防护、纵深防御、P-PDRR是信息保障的重要标志 3.1 信息保障体系的基本概念 在深度防御策略中，将信息系统安全划分为五个层面进行综合防护，即 物理层安全、系统层安全、网络层安全、管理层安全、应用层安全 五个层面的递次关系为 首先是物理安全，保障基本设施层面的安全 然后在物理设备上运行的操作系统要安全可信 进一步保障系统内部和系统之间的网络传输的安全 在上述构建的基础信息网络环境下构建的应用的安全 最后要保障管理方面的安全 3.2.1国家信息保障体系的构成 国家信息安全保障体系因国家而异，但如下的基础设施和体系是不可或缺的 法律监管体系 提供法律保障，执法机关对信息安全的监管，如数字签名法 国务院147号令：信息安全保障方面的法规 《中华人民共和国计算机信息系统安全保护条例》 1997年修改的刑法中对计算机犯罪进行规定 基础网络设施安全保障体系 信任体系的建设 网络中的信任危机、信任抵赖如何解决 建立以密码技术为支撑的网上信任体系极为重要，如PKI等 3.2.1国家信息保障体系的构成 应急响应体系建设 一个组织为了应对各种安全事件的发生而在事发前所做的准备工作和在事件发生时及发生后所采取的紧急措施 监督控制体系的建设 互联网有害信息内容的监督和控制 信息安全保障技术标准体系 涉及技术、产品、管理、服务方面的标准 军事战术环境的信息保障 3.2.1国家信息保障体系的构成 人才教育培养体系 信息安全人才培养极为重要，有多种渠道 学历教育－信息安全专业 专业培训－各种认证CISSP… 职业培训－对相关人员的安全意识和常识的培训 招安：黑客 技术支撑队伍体系 各种从事信息安全的组织，需要多种类型 基础理论研究 新技术研究 产品研发 安全服务、外包 3.2.1国家信息保障体系的构成 组织内部信息安全保障体系 一个国家中的社会由不同规模、职能、性质的组织构成，不同的组织具有个性化特点， 构成不同层次的信息系统，一套安全解决方案不适合所有的组织 整体解决组织(单位)内部安全问题需要全面分析安全需求，综合设计，组织内部的安全问题，应该从构建信息安全保障体系思想解决 3.2.1国家信息保障体系的构成 信息保障在信息系统安全知识体系中的地位 TCB提供了信息系统安全的结构和范畴 安全控制是信息系统安全原理的核心 安全模型是策略描述与实现的依据 安全技术是安全控制的具体措施和功能 信息保障模型是安全实现的内在联系机制，是CC的原理 3.2.2 信息保障体系模型 组织内部的信息安全保障体系目前没有统一标准 有一些典型的信息安全保障体系模型，受到普遍关注的有如下两个 P-PDRR模型 基于策略的PDRR模型是一个简单有效的动态模型 APPDRR全网动态安全模型 对PDRR模型的一个修补 提出了一些信息保障体系框架 信息保障的要素及其之间的关系 3.2.2 信息保障体系模型 APPDRR全网动态安全模型 如图所示，该模型认为： 信息系统安全＝风险分析＋制定策略＋系统防护＋实时监测 ＋实时响应＋灾难恢复 以上六个方面组成一个闭环结构 第二章所述的安全模型仅解决了对已有安全策略采用何种安全机制防护的问题，即系统防护这个环节 3.2.2 信息保障体系模型 APPDRR模型通过对网络风险进行分析、量化，建立安全模型，提供全方位的、整体安全解决方案 APPDRR动态安全体系模型本身是一个循环的模型，强调的