01TCSP_信息安全保障体系.pptx

信息安全保障体系;信息安全及其特征 信息安全体系 信息安全保障体系;回顾信息化过程 信息安全的定义 信息安全的特征;1.回顾信息化进程;2.信息安全的定义;3.信息安全的特征;信息安全及其特征 信息安全体系 信息安全保障体系;建立和应用安全体系的目的 OSI安全体系 互联网安全体系;将普遍性的系统科学和系统工程理论应用到信息系统安全的实际中，形成满足安全需求的安全体系。 从管理和技术两个方面完整、准确地落实安全策略。 做到风险、安全及成本的平衡;要保护的资源 攻击者：目的、手段、后果; 安全需求和安全策略应尽可能的制约所预见的系统风险及其变化，两个原则： 将风险降低到可接受程度。 威胁攻击信息系统的代价大于获得的利益。 为系统提供经济、有效的安全服务，保障系统安全运行。;建立和应用安全体系的目的 OSI安全体系 互联网安全体系;安全需求;OSI参考模型;OSI安全体系结构 五类安全服务 安全机制 安全服务和安全机制的关系 OSI层中的服务配置 安全体系的安全管理 OSI安全体系框架 技术体系 组织机构体系 管理体系;五类安全服务（1）;五类安全服务（2）;五类安全服务（3）;五类安全服务（4）;五类安全服务（5）;八种安全机制;1100111001 0100010100 1010100100 0100100100 0001000000;Bob;;HostC ;;Username;Username;Username;用户证书;通信业务填充机制;路由选择机制;公证机制;可信功能度 安全标记 事件检测 安全审计跟踪 安全恢复;安全服务与安全机制的关系;OSI层中的服务配置;OSI安全体系的安全管理-系统安全管理;OSI安全体系的安全管理-安全服务管理;OSI安全体系的安全管理-安全机制管理;OSI安全体系的安全管理-OSI管理的安全;OSI安全体系的安全管理-特定的系统安全管理活动;OSI安全体系框架;OSI安全体系框架-技术体系;OSI安全体系框架-组织机构体系;OSI安全体系框架-管理体系;信息安全体系建立的流程 OSI安全体系 互联网安全体系;OSI安全体系到TCP/IP的映射 因特网安全体系结构 IPSec协议;OSI安全体系到TCP/IP的映射;因特网安全体系结构-IPSec协议;信息安全及其特征 信息安全体系 信息安全保障体系;安全体系的特点 建立安全保障体系的目的 安全保障体系的定义 信息安全保障体系的建立;没考虑安全服务 没有谈及管理标准 没有评测手段 安全系统实施无法监控 …;信息安全防护能力 隐患发现能力 网络应急反应能力 信息对抗能力;狭义的 广义的 ;组织管理;1、行政管理体制 国家领导层 国家协调层 国家执行层 地区和部委层 2、技术咨询体制 信息化专家咨询委员会 法规、标准、资质认可…等委员会 技术研究与工程开发队伍建设 学会与产业协会;1、加强自主研发与创新 组建研发国家队与普遍推动相结合 推动自主知识产权与专利 建设技术工程中心与加速产品孵化 加大技术研发专项基金 全面推动与突出重点的技术研发 基础类：风险控制、体系结构、协议工程、有效评估、工程方法 关键类：密码、安全基、内容安全、抗病毒、RBAC 、 IDS、VPN、强审计 系统类： PKI、PMI、DRI、KMI 、网络预警、集成管理 应用类：EC、EG、NB、NS、NM、WF、XML、CSCW 物理与环境类：TEMPEX、物理识别 前瞻类：免疫技术、量子密码、漂移技术、语义理解识别;2、建立纵深防御体系 网络信息安全域的划分与隔离控制 内部网安全服务与控制策略（Intranet） 外部网安全服务与控制策略（Extranet) 互联网安全服务与控制策略（Internet） 公共干线的安全服务与控制策略（有线、无线、卫星） 计算环境的安全服务机制 多级设防与科学布署策略 全局安全检测、集成管理、联动控制与恢复（PDR2）;纵深防御体系的安全控制机制;3、推动信息系统安全工程（ISSE）的控制方法 安全需求挖掘 安全功能定义 安全要素设计 全程安全控制 风险管理 有效评估（CC/TCSEC/IATF） 威胁级别（Tn） 资产价值等级（Vn） 安全机制强度等级（SMLn) 安全技术保障强壮性级别（IATRn）;理解信息保护 需求（服务）;;保障技术;信息 价值;4、安全技术产品与系统互操作性策略 体系结构 安全协议 产品标准 安全策略与协定 安全基础设施;1、大力推动国家信息安全基础的建设 基础性、支撑性、服务性、公益性 国家专项基金启动 建立资质认证机制 建立监理机制 形成社会化服务和行政监管体系;2、社会公共服务类 基于数字证书的信任体系（PKI/CA） 信息安全测评与评估体系（CC/TCSE