信息安全管理课件.pptxVIP

信息安全管理Information Security Management2003级 曹炳文主要内容一.信息安全理论 相关基本概念、理论体系、发展历史、信息安全标准体系、法律法规、部署与操作二.信息安全管理 风险管理：OCTAVE 工程角度： SSE-CMM三.研究现状与个人思考四.附录-参考文献信息安全概念什么是信息安全？ ISO: 为数据处理系统建立的安全保护，保护计算机硬件、软件、数据不因偶然的或者恶意的原因而遭受到破坏、更改和泄露； 国内： 计算机系统的硬件、软件、数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改和泄露以及系统连续正常运行。信息系统安全信息系统安全 是为确保信息系统体系结构安全，以及与此相关的各种安全技术、安全服务、安全管理的总和。联系与区别 信息系统安全：更具有体系性、可设计性、可实现性和可操作性； 信息安全：更广泛、概念化；不说明任何个体或系统信息的安全属性以及信息安全特性信息的安全属性：保密性(Confidentiality)完整性(Integrality)可用性(Availability)可控性(Controllability)不可否认性(Non-repudiation)信息安全特性社会性全面性过程性或生命周期性动态性层次性相对性信息安全发展历史通信保密阶段(COMSEC) 标志：1949年Shannon发表的《保密系统的信息理论》；密码学；数据加密计算机安全(COMPUSEC)和信息安全(INFSEC) 标志：1977美国标准局(NBS)发布的《国家数据加密标准》和1985年美国国防部(DoD)公布的《可信计算机系统评估准则》信息保障(IA) 标志：2000年9月NSA(美国家安全局)发布的《信息保障技术框架》3.0版，2002年更新为3.1版； 国防部：第8500.1《信息保障》；第8500.2《信息保障的实施》信息安全——理论体系结构信息安全理论基础密码理论数据加密（对称算法：DES、AES；非对称算法：RSA、ECC）消息摘要数字签名密钥管理安全理论身份认证(Authentication)授权和访问控制(Authorization and Access control)审计追踪安全协议信息安全应用研究信息安全技术防火墙技术入侵检测技术漏洞扫描技术防病毒技术平台安全物理安全网络安全系统安全数据安全用户安全边界安全我国信息安全标准框架信息标准内容基础标准类 信息安全术语、信息安全体系结构、信息安全框架、信息安全模型、安全技术物理安全标准 物理环境和保障、安全产品、介质安全系统与网络标准 硬件应用平台安全、软件应用平台安全、网络安全、安全协议、安全信息交换语法规则、人机接口、业务应用平台应用与工程标准 安全工程和服务、人员资质、行业标准管理标准 管理基础、系统管理、测评认证实例—北京市信息安全标准体系信息安全管理标准(BS7799)BS7799与ISO17799 BS7799-1《信息安全管理实施细则》 BS7799-2《信息安全管理体系规范》BS7799-2 包括两大要求：遵循PDCA这种持续改进管理模式 信息安全体系要求； 信息安全控制要求信息技术安全性评估准则法律法规国家法律如：中华人民共和国保守国家秘密法 中华人民共和国标准化法、中华人民共和国国家安全法 中华人民共和国产品质量法、维护互联网安全的决定等；行政法规如：中华人民共和国计算机信息系统安全保护条例 中华人民共和国计算机信息网络国际联网管理暂行规定 商用秘密管理条例等部门规章及规范性文件 计算机信息网络国际联网安全保护管理办法等；行业性法规(电信、银行等)信息安全体系的设计流程主要内容一.信息安全理论 相关基本概念、理论体系、发展历史、信息安全标准体系、法律法规、部署与操作二.信息安全管理 风险管理：OCTAVE 工程角度： SSE-CMM三.研究现状与个人思考四.附录-参考文献信息安全管理方法研究方法—弱点评估弱点评估方法：侧重于技术方面弱点评估包括：使用特定的IT技术标准评估整个计算基础结构使用拥有的软件工具分析基础结构及其全部组件提供详细的分析，说明检测到的技术弱点，并且提供具体的建议基于风险分析的信息安全管理风险分析的四要素 资产：物理（计算机）、信息资源等； 脆弱性：系统或组织存在的弱点； 威胁：不期望发生的事件； 影响基于风险管理的实施步骤彻底地调查企业或组织的资产与资源；标识可能出现或者潜在的威胁；要把人员的因素考虑进去；定义每个威胁的可能性E(x);定义每个威胁出现引起的损失因子D(x);评估该威胁引起的风险：D(x)* E(x)衡量损失与投入等，确定风险的优先级；根据风险优先级，采取安全措施；基于风险分析的几个问题资产如何识别？如何识别和标识威胁？威胁的可能性E(x)如何确定？损失因子D(x)如何确定