信息安全教学课件1yb-安全评估与标准规范.ppt

一、信息平安保障体系的根本构架;信息平安保障体系的根本构架;信息平安保障体系的根本构架;信息平安组织管理体系;信息平安保障体系的根本构架;信息平安保障体系的根本构架;信

息

安

全

经

费

保

障

体

系;信息平安保障体系的根本构架;二、对当前信息平安保障的反思;1、普通做法：

当前大局部信息平安系统主要是由防火墙、入侵监测和病毒防范等组成

常规的平安手段只能是在网络层〔IP〕设防，在外围对非法用户和越权访问进行封堵，以到达防止外部攻击的目的

对访问者源端〔客户机〕未加控制，信息资源随意共享

操作系统的不平安导致应用系统的各种漏洞层出不穷，无法从根本上解决;封堵的方法是捕捉黑客攻击和病毒入侵的特征信息，其特征是已发生过的滞后信息，不能科学预测未来的攻击和入侵。

保护计算机系统、网络和信息，防止未经授权的访问、使用、泄露、修改和破坏。目的是提供保密性、完整性和可用性。;恶意用户的攻击手段变化多端,防护者只能:

防火墙越砌越高

入侵检测越做越复杂

恶意代码库越做越大

;导致：

误报率增多，

平安投入不断增加

维护与管理更加复杂和难以实施

信息系统的使用效率大大降低

对内部没有防范

对新的攻击入侵毫无防御能力〔如冲击波、振荡波〕

反思：老三样、堵漏洞、作高墙、

防外攻、防不胜防;产生平安事故的技术原因：

PC机软、硬件结构简化，导致资源可任意使用，尤其是执行代码可修改，恶意程序可以被植入

病毒程序利用PC操作系统对执行代码不检查一致性弱点，将病毒代码嵌入到执行代码程序，实现病毒传播

黑客利用被攻击系统的漏洞窃取超级用户权限，植入攻击程序，肆意进行破坏

更为严重的是对合法的用户没有进行严格的访问控制，可以进行越权访问，造成不平安事故;2、美国的反思

2005年4月14日，美国政府公布了美国总统IT咨询委员会2月14日向总统布什提交的?网络空间平安：迫在眉睫的危机?的紧急报告，对美国2003年的信息平安战略提出不同看法，指出过去十年中美国保护国家信息技术根底建设工作是失败的。短期弥补修复不解决根本问题。耗资一千亿美元，???平安漏洞百出。;提出四个问题和建议：

1、政府对民间网络空间平安研究的资助不够，

建议每年拨NSF九千万美金

2、网络空间平安根底性研究团体规模小，

七年时间团体规模扩大一倍

3、平安研究成果的成功转化不够，

政府加强在技术转让方面与企业的合作

4、缺乏政府部门间协作与监管是平安对策无重点和无效率的根源。

建议成立“重要信息根底设施保护跨部门工作组〞;2006年4月信息平安研究委员会发布的?联邦网络平安及信息保障研究与开展方案〔CSIA〕?确定了14个技术优先研究领域，13个重要投入领域。;为改变无穷无尽打补丁的封堵防御策略，从体系整体上解决问题，提出了十个优先研究工程，包括认证、协议、平安软件、整体系统、监控监测、恢复、网络执法、模型和测试、评价标准、非技术原因。;3、世界IT企业动向

2000年由国际大厂商、大学研究机构联合成立TCPA

TCPA专注于从计算平台体系结构上增强其平安性，2001年1月发布了TPM主标准〔v1.1〕

2003年3月改组为TCG(TrustedComputingGroup)

此后发布了一系列标准;其目的是在计算和通信系统中广泛使用基于硬件平安模块支持下的可信计算平台，以提高整体的平安性。

具有TPM功能的PC机已经上市〔IBM、HP、Intel等〕;可信是指“一个实体在实现给定目标时其行为总是如同预期一样的结果〞。强调行为的结果可预测和可控制。;可信计算指一个可信的组件，操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗不良代码和一定的物理干扰造成的破坏。

可信计算是平安的根底，从可信根出发，解决PC机结构所引起的平安问题。;可信计算平台基于可信平台模块〔TPM〕,以密码技术为支持、平安操作系统为核心〔如下图〕;可信任链传递与可信任环境;具有以下功能：

确保用户唯一身份、权限、工作空间的完整性/可用性

确保存储、处理、传输的机密性/完整性

确保硬件环境配置、操作系统内核、效劳及应用程序的完整性

确保密钥操作和存储的平安

确保系统具有免疫能力，从根本上阻止病毒和黑客等软件攻击

做到非法人员进不来、拿不走、看不懂、改不了、赖不掉;4、在重要信息系统中应以防内为主

要处理的工作流程都是预先设计好的

操作使用的角色是确定的

应用范围和边界都是明确的

这类工作流程相对固定的生产系统与Internet网是有隔离措施的，外部网络的用户很难侵入到内部网络来，其最大的威胁是来自内部人员的窃密和破坏。;

据权威机构统计，83%的信息平安事故为内部人员和内外勾结所为，而且呈上升的趋势。因此我们应该以“防内为主、内外兼防