安全层次结构图课件.pptVIP

概要:

经过3.7号的专家讨论,通过讨论后专家的中肯建议,我们对规范作了认真的修改,并且,为了让给位评委专家能更清晰地了解我们的规范,我们把整个规范按安全层次从硬件环境到安全管理七个层作了分类(如下图2,3,4,5,6).同时从项目实施的角度，对安全规范进行了另外一种划分。希望专家参看两种划分方法，进一步理解规范的目的、作用及与安全体系的关系。

我们衷心的希望各位专家对我们的规范提出您宝贵的意见,以完善我们的工作,在此,我们再一次表示衷心的感谢!

管理层（安全策略/技术标准/管理规范）

操作层（身份认证/授权认证/审计/人员组织）

应用层（SSL/SET/SHTTP/SSH）

数据/数据库（密码技术/目录服务）

操作系统（安全操作系统/操作系统安全）

网络层（防火墙/VPN/动态安全管理）

环境/硬件（系统网络设备及环境的灾难恢复）

环境/硬件(系统/网络设备的灾难恢复)

为保护计算机设备、设施（含网络）以及其它媒体免遭到地震、水灾、火灾、有害气体和其它环境事故（如电磁污染等）破坏，应采取适当的保护措施过程。

该层包括规范有:

网络信息系统配套设施的建设管理规范

机房管理规范

网络设备使用管理规定

数据/数据库(密码技术/目录服务)

许多关键的业务系统运行在数据库平台上，如果数据库安全无法保证，其上的应用系统也会被非法访问或破坏。数据库安全隐患集中在：

信息系统认证

信息系统授权

信息系统完整性

应用层(SSL/SET/SHTTP/SSH)

应用层安全的目前建筑在网络、操作系统、数据库的安全基础之上，应用系统复杂多样，针对特定的安全技术能够解决一些特殊应用系统的安全问题。如:

(1)对于WEB的应用(3)数据库应用

(2)电子邮件应用(4)其它C/S模式的应用

操作层(身份认证/授权认证/审计/人员组织)

对系统,网络,等操作人员的身份认证,所赋予的权限,对人员的管理和安全制度的制订是否有效,并且对其操作过程作出规定,当出现安全问题时,对其工作日志进行检查,所以对审计也有所规定.

管理层(安全策略/技术标准/管理规范)

管理企业统一的安全策略

管理安全设备与系统

管理安全事件和日志

管理安全组件协同工作

管理安全事件的应急响应流程

防护保障系统

管理策略

目录服务

网络信息资源管理系统

CA认证服务

授权与用户管理系统

应用系统的改造

信息安全建设、解决方案

安全基础标准

CA认证服务系统是企业网络信息系统资源（特别是用户身份）惟一性标识的技术保证。它更应用于信息的加密、安全存储、安全传输、数字签名、信息系统授权等各个方面。

目录服务系统是企业存储各类信息的特殊数据库，主要用于存储用户信息、电子证书信息、服务器信息、应用系统控制策略等，并参与认证和授权。

该部分是企业信息系统安全应用的核心部件，主要完成系统与安全底层系统的通讯，实现用户认证、权限控制等工作。

实现授权系统与信息应用系统的对接，提升信息系统的安全度。

安全体系的整个理论、技术基础，各个层次的技术安全相关标准都由此引出，并遵循该部分规范。

从组织、管理、策略等高层次，保证整个信息系统安全运行。规范企业信息系统安全建设的整个过程。

是安全体系中网络层以下的部分，可以看作应用系统的底层支撑平台。

从信息建设的角度对整个系统提出各方面的建议。

防护保障系统的功能是维护整个应用系统的底层安全，特别是保护重要的网上安全资源。

谢谢大家！

ThankYou！