返回
1-信息安全保障框架

1-信息安全保障框架

ID:34097466

大小:3.53 MB

页数:79页

时间:2019-03-03

1-信息安全保障框架_第1页
1-信息安全保障框架_第2页
1-信息安全保障框架_第3页
1-信息安全保障框架_第4页
1-信息安全保障框架_第5页
资源描述:

《1-信息安全保障框架》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全保障框架中国信息安全产品测评认证中心www.itsec.gov.cn编号:信息安全保障框架版本:1.0日期:2005年9月目录1信息安全保障历史和背景信息信息安全安全2信息系统安全保障评估框架保障保障框架框架3信息系统安全保障建设和评估实践信息安全保障历史和背景中国信息安全产品测评认证中心www.itsec.gov.cn信息安全保障(IA)发展历史COMSECCOMPUSEC信息安全保障(IA)发展历史INFOSECIA信息安全保障(IA)发展历史通信安全(COMSEC:CommunicationSecu

2、rity)∑20世纪,40年代-70年代°通过密码技术解决通信保密,保证数据的保密性和完整性°安全威胁:搭线窃听、密码学分析°安全措施:加密°标志•1949年:shannon发表《保密通信的信息理论》•1977年:美国国家标准局公布数据加密标准DES•1976年:Diffle和Hellman在“NewDirectionsinCryptography”一文中提出公钥密码体系°参考资料:BruceSchneier的“应用密码学-AppliedCryptography”信息安全保障(IA)发展历史计算机安全(COMPU

3、SEC:ComputerSecurity)∑20世纪,80-90年代°确保信息系统资产(包括硬件、软件、固件和通信、存储和处理的信息)保密性、完整性和可用性的措施和控制°安全威胁:非法访问、脆弱口令等°安全措施:安全操作系统设计技术(TCB)°标志:•1995年,美国国防部的可信计算机系统评估保障(TCSEC,橙皮书),操作系统安全分级(D、C1、C2、B1、B2、B3、A1);后发展为彩虹(rainbow)系列信息安全保障(IA)发展历史信息系统安全(INFOSEC:InformationSystemSecur

4、ity)∑20世纪,90年代后°综合通信安全和信息系统安全°保护信息系统,确保信息在存储、处理和传输过程中免受非授权的访问,防止授权用户的拒绝服务,以及包括那些检测、记录和对抗此类威胁的措施。°安全威胁:网络入侵、信息对抗等°安全措施:防火墙、防病毒、PKI、VPN等°标志•安全评估保障CC(ISO15408,GB/T18336)信息安全保障(IA)发展历史信息安全保障(IA:InformationAssurance)∑今天,将来。。。°保障信息和信息系统资产,保障组织机构使命的执行;综合技术、管理、过程、人员;

5、确保信息的保密性、完整性和可用性。°安全威胁:黑客、恐怖分子、信息战、自然灾难、电力中断等°安全措施:技术安全保障体系、安全管理体系、人员意识/培训/教育、认证和认可°标志:•技术:美国国防部的IATF深度防御战略•管理:BS7799/ISO17799•系统认证:美国国防部DITSCAP•。。。信息安全保障通信安全网络安全数据安全技术系统安全问题信息系统安全问题“组织内部环境”组织外部环境–法律与政策信息安全保障覆盖信息安全的对策:风险管理∑信息安全对策必须以风险管理为基础°安全不必是完美无缺、面面俱到的。但风险

6、必须是能够管理的。∑最适宜的信息安全策略就是最优的风险管理对策。°这是一个在有限资源前提下的最优选择问题:∑防范不足会造成直接的损失;防范过多又会造成间接的损失。必须根据安全目标审查安全手段。∑信息安全保障的问题就是安全的效用问题,在解决或预防信息安全问题时,要从经济、技术、管理的可行性和有效性上做出权衡和取舍。实现信息安全的策略∑先进的技术:∑严格的管理:∑威严的法律:通俗地说,安全就是进不来拿不走改不了看不懂跑不了打不跨保障的含义∑主观:信心∑客观:性质∑从客观到主观:能力与水平CC中保障被定义为:实体满足其

7、安全目的的信心基础(Groundsforconfidencethatanentitymeetsitssecurityobjectives),因而在信息安全领域谈保障,就是谈安全保障。信息系统安全问题产生的根源与环节∑内因:复杂性:过程复杂,结构复杂,使用复杂∑外因:对手:威胁与破坏内在复杂——过程∑信息系统理论°如图灵机,在程序与数据的区分上没有确定性的原则,∑设计°从设计的角度看,在设计时考虑的优先级中安全性相对于易用性、代码大小、执行程度等因素被放在次要的位置∑实现°由于人性的弱点和程序设计方法学的不完善,软

8、件总是存在BUG∑生产与集成∑使用与运行维护内在复杂——结构•工作站中存在信息数据•员工•移动介质•网络中其他系统•网络中其他资源•访问Internet•访问其他局域网•到Internet的其他路由•电话和调制解调器•开放的网络端口•远程用户•厂商和合同方的访问访问外部资源•公共信息服务•运行维护环境信息保障框架背景系统脆弱性-OS-操作系统漏洞统计www.securit

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。