《信息安全体系结构》-(课件).ppt

* Network Center (NC) of Ningxia University * * 信息安全体系结构 宁夏大学网络管理中心 高玉琢 email: gaoyz@nxu.edu.cn cellphone:宁夏政法网区、市级网络拓扑结构 光交换机 存储 服务器 公共数据区 吴忠市政法网 石觜山市政法网 自治区主干网 防火墙 固原市政法网 中卫市政法网 区司法厅业务网 防火墙 防火墙 检查院业务网 法院业务网 防火墙 防火墙 光交换机 存储 服务器 中卫灾备中心 防火墙 市级政法接入单位 市级政法接入单位 区公安厅保密专网 数据安全交换平台 区公安厅业务网 司法厅保密专网 数据安全交换平台 检查院保密专网 数据安全交换平台 法院保密专网 数据安全交换平台 基本内容 了解了信息面临的风险和网络攻击的方法以后，本章在 ISO安全体系结构的指导下，针对信息安全保护层次结构的目标，提出信息安全技术体系结构和相应的防护技术，最后根据目前我国信息系统安全的要求，介绍等级保护的概念。 掌握信息安全风险状态和分布情况的变化规律，提出安全需求，建立起具有自适应能力的信息安全模型，从而驾驭风险，使信息安全风险被控制在可接受的最小限度内，并渐近于零风险。 风险和安全策略 安全与实现的方便性是矛盾的对立。必须牺牲方便性求得安全，我们必须在这两者之间找出平衡点，在可接受的安全状况下，尽力方便用户的使用。 根据OSI安全体系结构ISO7498-2，提出安全服务(即安全功能)和安全机制，在此基础上提出信息安全体系框架，结合ISC2提出的信息安全5重屏障，划定信息安全技术类型，形成相应的信息安全产品。 信息安全的保护机制 信息安全的最终任务是保护信息资源被合法用户安全使用，并禁止非法用户、入侵者、攻击者和黑客非法偷盗、使用信息资源。 信息安全的保护机制包括电磁辐射、环境安全、计算机技术、网络技术等技术因素，还包括信息安全管理（含系统安全管理、安全服务管理和安全机制管理）、法律和心理因素等机制。 国际信息系统安全认证组织（International Information Systems Security Certification Consortium ，简称ISC2）将信息安全划分为5重屏障共10大领域并给出了它们涵盖的知识结构 信息安全的保护机制 开放系统互连安全体系结构 安全服务就是加强数据处理系统和信息传输的安全性的一类服务，其目的在于利用一种或多种安全机制阻止安全攻击。 安全机制是指用来保护系统免受侦听、阻止安全攻击及恢复系统的机制。 开放系统互连安全体系结构 1、安全服务 开放系统互连安全体系结构 1）鉴别服务 2）访问控制 3）数据保密性 4）数据完整性 5）抗抵赖 访问控制策略有如下三种类型。 1）基于身份的策略 2）基于规则的策略 3）基于角色的策略 目的就是保证信息的可用性，即可被授权实体访问并按需求使用，保证合法用户对信息和资源的使用不会被不正当地拒绝，同进不能被无权使用的人使用或修改、破坏。 开放系统互连安全体系结构 2、安全机制 开放系统互连安全体系结构 1）加密 2）数字签名机制 3）访问控制机制 4）数据完整性机制 5）鉴别交换机制 6）通信业务填充机制 7）路由选择控制机制 8）公证机制 信息安全体系框架 信息系统安全的总需求是物理安全、网络安全、信息内容安全、应用系统安全的总和，安全的最终目标是确保信息的机密性、完整性、可用性、可控性和抗抵赖性，以及信息系统主体(包括用户、团体、社会和国家)对信息资源的控制。 完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建。 信息安全体系框架 信息安全体系框架 技术体系 1）物理安全技术。信息系统的建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全；通过对电力供应设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择性措施达到相应的安全目的。物理安全技术运用于物理保障环境(含系统组件的物理环境)。 2）系统安全技术。通过对信息系统与安全相关组件的操作系统的安全性选择措施或自主控制，使信息系统安全组件的软件工作平台达到相应的安全等级，一方面避免操作平台自身的脆弱性和漏洞引发的风险，另一方面阻塞任何形式的非授权行为对信息系统安全组件的入侵或接管系统管理权。 信息安全体系框架 组织机构体系 组织机构体系是信息系统安全的组织保障系统，由机构、岗位和人事三个模块构成一个体系。 机构的设置分为三个层次：决策层、管理层