信息安全的基本概念.ppt

国际标准组织iso在1988年发布了国际标准iso7498-2，开发系统安全体系结构，这是基于网络osi参考模型的7层协议之上的一种网络安全体系结构，其核心内容是，为了保证计算机之间交换信息的安全，信息系统应当提供的安全服务和安全机制。 * * * * 操作有时也翻译为“过程”。最高版本为4，然后就不再升级。转向到风险管理。 * 信息安全管理体系（ISMS：Information Security Management System）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接 管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。 信息安全管理体系是PDCA动态持续改进的一个循环体。 PDCA也称“戴明环”，由美国质量管理专家戴明提出。 P（Plan）：计划，确定方针和目标，确定活动计划； D（Do）：实施，实际去做，实现计划中的内容； C（Check）：检查，总结执行计划的结果，注意效果，找出问题； A（Action）：行动，对总结检查的结果进行处理，成功地经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个PDCA循环。 * 27000该标准将规定27000系列标准所共用的基本原则、概念和词汇。 27001规定了一个组织建立、实施、运行、监视、评审、保持、改进信息安全管理体系的要求，是一个用于认证和审核的标准； 27002包含有11个安全类别、39个控制目标、138个控制措施；实施27001的支撑标准，给出了组织建立ISMS时应选择实施的控制目标和控制措施集；是一个行业最佳惯例的汇总集，而不是一个认证和审核标准； 27003目前处于工作草案阶段；它主要以BS 7799-2:2002附录B的内容为基础进行制定；提供了27001具体实施的指南。 27004旨在为组织提供一个如何通过使用度量、测量项以及合适的测量技术来评估其安全管理状态的指南。 27005目前处于委员会草案阶段；描述了信息安全风险管理的过程及每个过程的详细内容。 * * * * 小结 1.信息安全管理体系的简介 2.ISO27002的主要内容介绍 3.ISO27001的实施方法 思考题 1.信息安全管理系统的基本概念。 2.ISO27002中11个安全域的含义？ 3.在信息安全管理体系中PDCA的每一个步骤的工作内容是什么？ 信息安全技术概述05-信息安全未来发展趋势 北京信息职业技术学院 | 郑士芹 目 录 信息安全技术的发展主要呈现四大趋势。 可信化 网络化 标准化 集成化 总的来说：现在的信息安全技术是基于网络的安全技术，这是未来信息安全技术发展的重要方向。 可信化：这个趋势是指从传统计算机安全理念过渡到以可信计算理念为核心的计算机安全。 近年来计算机安全问题愈演愈烈，传统安全理念很非常难有所突破，人们试图利用可信计算的理念来解决计算机安全问题，其主要思想是在硬件平台上引入安全芯片，从而将一点（不多的意思）或几个计算平台变为“可信”的计算平台。 目前还有很非常多问题需要研究跟探索，就像如基于TCP的访问控制、基于TCP的安全操作系统、基于TCP的安全中间件、基于TCP的安全应用等。 网络化：由网络应用、普及引发的技术与应用模式的变革，正在进一步推动信息安全关键技术的创新开展，并诱发新技术与应用模式的发现。 就像如安全中间件，安全管理与安全监控都是网络化开展的带来的必然的开展方向；网络病毒与垃圾信息防范都是网络化带来的一些安全性问题；网络可生存性；网络信任都是要继续研究的领域…… 标准化：发达国家地区高度重视标准化的趋势，现在逐步渗透到发展中国家都应重视标准化问题。逐步体现专利标准化、标准专利化的观点。安全技术也要走向国际，也要走向应用。 我国政府、产业界、学术界等必将更加高度重视信息安全标准的研究与制定工作的进一步深化与细化，就像如：密码算法类标准（加密算法、签名算法、密码算法接口）、安全认证与授权类标准（PKI、PMI、生物认证）、安全评估类标准（安全评估准则、方法、规范）、系统与网络类安全标准（安全体系结构、安全操作系统、安全数据库、安全路由器、可信计算平台）、安全管理类标准（防信息泄漏、质量保证、机房设计）等。 ? 集成化：即从单一功能信息安全技术与产品，向多种功能融于某一个产品，或者是几个功能相结合的集成化产品， 不再以单一的形式发现，否则产品太多了，也不利于产品的推广跟应用。安全产品呈硬件化/芯片化发展趋势，这将带来更高安全度与更高运算速率，也需要开展更灵活的安全芯片实现技术，特别是密码芯片的物理防护机制。 今后产品