网络信息安全基础知识讲义.pptVIP

信息安全管理体系构建 定义信息安全策略 定义NISMS的范围 进行信息安全风险评估 信息安全风险管理 确定管制目标和选择管制措施 准备信息安全适用性声明 网络信息安全 评测认证体系 网络信息安全度量标准 信息安全性的度量标准 CC TCSEC FC CTEPEC ITSEC EALl － － － － EAL2 C1 － － El EAL3 C2 T—1 T－1 E2 EAI4 B1 T－2 T－2 E3 － － T－3 T－3 － － － T－4 － － EAL5 B2 T－5 T－4 E4 EAL6 B3 T－6 T－5 E5 EAL7 A1 T－7 T－6 E6 － － － T－7 － 评估保证级别 （1）评估保证级别1(EALl) :功能测试； （2）评估保证级别2(EAL2) :结构测试； （3）评估保证级别3(EAL3) :功能测试与校验 （4）评估保证级别4(EAL4):系统地设计、测试和评审 （5）评估保证级别5(EAL5):半形式化设计和测试 （6）评估保证级别6(EAL6):半形式化验证的设计和测试 （7）评估保证级别7(EAL7):形式化验证的设计和测试 各国测评认证体系与发展现状 美国 美国于1997年由国家标准技术研究所和国家安全局共同组建了国家信息保证伙伴 (NIAP)，专门负责基于CC信息安全的测试和评估，并研究开发相关的测评认证方法和技术。在国家安全局中对NIAP的具体管理则由专门管理保密信息系统安全的办公室负责。 英国 在英国的IT安全评估认证体系中，评估体系管委会主要负责制定国家信息安全评估认证政策、监督认证机构和仲裁诉讼及争议。它由评估认证体系的高级执行官、认证机构主任、CESG、DTI和国防部(MOD)的高级官员以及其他政府部门和工业界的代表所组成，其主席由CESG的人员担任。它直接向内阁会议建议和汇报认证机构的财政和资源状况。 我国网络信息安全评测认证体系 中国国家信息安全测评认证中心 中华人民共和国国家信息安全认证:是国家对信息安全技术、产品或系统安全质量的最高认可。 四种认证业务 （1）产品型号认证：是认证的基础形式，仅包括质量认证中的“型式试验”和“监督检验”两个要素 （2）产品认证：是认证的完整形式，包括了质量认证中从产品检验到质量保证能力评审的全部要素 （3）信息系统安全认证：是对信息系统或网络的运行安全、信息安全和管理控制安全的综合认证 （4）信息安全服务认证：是对向社会提供信息安全服务的企业、组织、机构或团体的技术实力、服务能力和资质条件的系统认证。 中国国家信息安全测评认证中心的认证准则 （1）达到中心认证标准的产品或系统只是达到了国家规定的管理安全风险的能力，并不表明该产品完全消除了安全风险 （2）中心的认证程序能够确保产品安全的风险降低到了国家标准规定的和公众可以接受的水平 （3）中心的认证程序是一个动态的过程，中心将根据信息安全产品的技术发展和最终用户的使用要求，动态增加认证测试的难度 （4）中心的认证准则和认证程序最终须经专家委员会和管理委员会审查批准。 中国已接受了OSI安全体系结构即IS07498-2标准，在中国命名为GB/T9387-2标准，并完善了国家信息安全测评认证体系，即CC评估认证体系。 网络信息 安全与法律 网络信息安全立法的现状与思考 我国对信息网络的立法工作一直十分重视； 在国外，保障网络安全的立法工作已经逐渐普及； 目前，世界各国政府正在寻求提高信息安全的法律手段； 网络立法应注意的两方面问题： 网络立法要强制与激励并行 网络立法还要考虑到规范实现的可能性 网络立法本身需要根据现实发展不断作出调整。 （4）数据完整性机制 对数据完整性的五个最常见的威胁： （4）数据完整性机制 人本身对数据完整性的威胁： （4）数据完整性机制 硬件故障对数据完整性的威胁： （4）数据完整性机制 网络故障对数据完整性的威胁： （4）数据完整性机制 软件故障对数据完整性的威胁： （4）数据完整性机制 灾难对数据完整性的威胁： （5）鉴别交换机制 这种安全机制是通过信息交换以确保实体身份的一种机制。 ① 可用于鉴别交换的一些技术 （a）利用鉴别信息（如通信字） （b）密码技术 （c）利用实体的特征或占有物。 ② 对等实体鉴别：如果在鉴别实体时得到的是否定结果，那么将会导致拒绝连接或终止连接，而且还会在安全审计线索中增加一个记录，或向安全管理中心进行报告。 ③ 确保安全：在利用密码技术时，可以同“握手”协议相结合，以防止重放(即确保有效期)。 ④ 应用环境：选择鉴别交换技术取决于它们应用的环境。在许多场合下，需要同下列各项结合起来使用：（a）时标和同步时钟；（b）双向