信息安全管理课程.pptVIP

信息系统安全工程(ISSE) 以时间维(工程过程)为线索描述 参考《信息系统安全工程手册1.0》和信息系统安全工程学 ISSE过程 发掘信息保护需求（机构、信息系统、信息保护策略） 定义信息保护系统（信息保护目标、背景、信息保护需求、功能分析） 设计信息保护系统（功能分配、概要设计、详细设计） 实施信息保护系统（采购、建设、测试） 评估信息保护系统的有效性 信息安全工程(SSE-CMM)的体系结构 SSE-CMM是面向过程的信息安全方法学 SSE-CMM的体系结构是其方法学的核心,该模型分为两维. 横轴定义了11个安全方面的关键过程域(管理安全控制、评估影响、评估安全风险、评估威胁、评估脆弱性、建立保证论据、协调安全、监视安全、监视安全态势、提供安全输入、确定安全需求、验证与确认安全) 纵轴为0-5六个能力成熟度级别。每个级别的判定反映为一组共同特征(CF),而每个共同特征通过一组确定的通用实践（GP）来描述；过程能力由GP来衡量。 SSE-CMM的体系结构 SSE-CMM的安全完备性 SSE-CMM中的系统安全过程：工程过程、风险过程、保证过程 工程过程： PA10 “确定安全需求”、PA09 “提供安全输入”、PA01 “管理安全控制”、PA08 “监视安全态势”、PA07 “协调安全” 风险过程 PA04 “评估威胁”、PA05 “评估脆弱性”、PA02 “评估影响”、PA03 “评估安全风险” 保证过程 PA11 “验证与确认安全”、PA06 “建立保证论据” 主要内容 一.信息安全理论 相关基本概念、理论体系、发展历史、信息安全标准体系、法律法规、部署与操作 二.信息安全管理 风险管理：OCTAVE 工程角度： SSE-CMM 三.研究现状与个人思考 四.附录-参考文献 研究现状(国内) 研究状况 研究热点 对信息安全标准的研究：综述（如：安全评估标准、技术） 从安全技术的角度： (访问控制研究、入侵检测技术、PKI、安全协议) 网络信息安全 从信息系统角度(安全需求分析、安全体系结构、安全度量、安全模型、信息系统安全度量与评估模型) 应用 银行 电信 电子商务 电子政务 电力 …... * * 信息安全管理 Information Security Management 2003级 曹炳文 主要内容 一.信息安全理论 相关基本概念、理论体系、发展历史、信息安全标准体系、法律法规、部署与操作 二.信息安全管理 风险管理：OCTAVE 工程角度： SSE-CMM 三.研究现状与个人思考 四.附录-参考文献 信息安全概念 什么是信息安全？ ISO: 为数据处理系统建立的安全保护，保护计算机硬件、软件、数据不因偶然的或者恶意的原因而遭受到破坏、更改和泄露； 国内： 计算机系统的硬件、软件、数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改和泄露以及系统连续正常运行。 信息系统安全 信息系统安全 是为确保信息系统体系结构安全，以及与此相关的各种安全技术、安全服务、安全管理的总和。 联系与区别 信息系统安全：更具有体系性、可设计性、可实现性和可操作性； 信息安全：更广泛、概念化；不说明任何个体或系统 信息的安全属性以及信息安全特性 信息的安全属性： 保密性(Confidentiality) 完整性(Integrality) 可用性(Availability) 可控性(Controllability) 不可否认性(Non-repudiation) 信息安全特性 社会性 全面性 过程性或生命周期性 动态性 层次性 相对性 信息安全发展历史 通信保密阶段(COMSEC) 标志：1949年Shannon发表的《保密系统的信息理论》；密码学；数据加密 计算机安全(COMPUSEC)和信息安全(INFSEC) 标志：1977美国标准局(NBS)发布的《国家数据加密标准》和1985年美国国防部(DoD)公布的《可信计算机系统评估准则》 信息保障(IA) 标志：2000年9月NSA(美国家安全局)发布的《信息保障技术框架》3.0版，2002年更新为3.1版； 国防部：第8500.1《信息保障》；第8500.2《信息保障的实施》 信息安全——理论体系结构 信息安全理论基础 密码理论 数据加密（对称算法：DES、AES；非对称算法：RSA、ECC） 消息摘要 数字签名 密钥管理 安全理论 身份认证(Authentication) 授权和访问控制(Authorization and Access control) 审计追踪 安全协议 信息安全应用研究 信息安全技术