信息安全的管理.ppt

信息安全的管理 内容提要 信息安全的标准与规范 信息安全管理标准 信息安全策略和管理原则 信息安全审计 信息安全与政策法规 小结 思考题 第十章 信息安全的管理 信息系统的安全管理目标是管好信息资源安全，信息安全管理是信息系统安全的重要组成部分，管理是保障信息安全的重要环节，是不可或缺的。实际上，大多数安全事件和安全隐患的发生，与其说是技术上的原因，不如说是由于管理不善而造成的。因此说，信息系统的安全是“三分靠技术，七分靠管理”，可见管理的重要性。 信息安全管理贯穿于信息系统规划、设计、建设、运行、维护等各个阶段。安全管理的内容十分广泛。 10.1信息安全的标准与规范 10.1.1 信息安全标准的产生和发展 10.1.2 信息安全标准的分类 10.1.3 标准化组织简介 10.1.1 信息安全标准的产生和发展 网络已经渗透到各行各业和人们的生活，网络正逐步改变着人们的生产和生活方式。 随之而来的计算机和网络犯罪也不断出现，网络信息安全问题日益突显出来，信息网络的安全一旦遭受破坏，其影响或损失将十分巨大。 信息安全越来越受到重视，世界各大厂商都在推出自己的安全产品。下面几个方面推动了安全标准的发展。 1．安全产品间互操作性的需要 加密与解密，签名与认证，网络之间安全的互相连接，都需要来自不同厂商的产品能够顺利地进行互操作，统一起来实现一个完整的安全功能。这就导致了一些以“算法”，“协议”形式出现的安全标准。典型的有美国数据加密标准DES(Data Encryption Standard)。 2. 对安全等级认定的需要 近年来对于安全水平的评价受到了很大的重视，产品的安全性能到底怎么样，网络的安全处于什么样的状态，这些都需要一个统一的评估准则，对安全产品的安全功能和性能进行认定，形成一些“安全等级”，每个安全等级在安全功能和性能上有特定的严格定义，对应着一系列可操作的测评认证手段。例如美国国防部DoD(Department of Defence)在1985年公布了可信赖计算机系统评估准则TCSEC(Trusted Computer System Evaluation Criteria)。 3. 对服务商能力衡量的需要 现在信息安全已经逐渐成长为一个产业，发展越来越快，以产品提供商和工程承包商为测评对象的标准大行其道，同以产品或系统为测评认证对象的测评认证标准形成了互补的格局。网络的普及，使以网络为平台的网络信息服务企业和使用网络作为基础平台传递工作信息的企业，比如金融，证券，保险和各种电子商务企业纷纷重视安全问题。因此，针对使用网络和信息系统开展服务的企业的信息安全管理标准应运而生。 10.1.2 信息安全标准的分类 1. 互操作标准 现在各种密码、安全技术和协议广泛地应用于Internet，而TCP/IP协议是Internet的基础协议，在四层模型中的每一层都提供了安全协议，整个网络的安全性比原来大大加强。链路层的安全协议有PPTP，L2F等；网络层有IPSec；传输层有SSL/TLS/SOCK5；应用层有SET，S-HTTP，S/MIME，PGP等。 1. 互操作标准 下面只简单介绍其中的一些安全协议。 (1) IP安全协议标准IPSec 1994年IETF专门成立IP安全协议工作组，并由其制定IPSec。1995年IETF公布了相关的一系列IPSec的建议标准，1996年IETF公布了下一代IP的标准IPv6，IPSec成为其必要的组成部分。1999年底，IETF完成了IPSec的扩展，将下列协议加入了IPSec，ISAKMP（Internet Security Association and Key Management Protocol）协议，密钥分配协议IKE、Oakley。 1. 互操作标准 (2) 传输层加密标准SSL/TLS 1994年Netscape企业开发了安全套接层SSL (Secure socket layer)协议,1996年发布了3.0版本。1997年传输层安全协议TLS1.0（Transport Layer Security，也被称为SSL3.1）发布，1999年IETF发布RFC2246（TLS v1.0）。 SSL主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，现已成为网络用来鉴别网站和网页浏览者身份，以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。 1. 互操作标准