《信息安全工程01-信息安全工程基础课件.ppt》由会员分享,可在线阅读,更多相关《信息安全工程01-信息安全工程基础课件.ppt(39页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全工程2015秋北航计算机学院北航计算机学院2主要内容主要内容5.5.信息安全工程管理与测评信息安全工程管理与测评4.4.信息安全方案设计信息安全方案设计3.3.信息安全风险评估与安全策略信息安全风险评估与安全策略2.2.安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMM SSE-CMM 1.1.信息安全工程基础信息安全工程基础6.6.访问控制与审计技术要点访问控制与审计技术要点基础基础基础内容基础验收教材与主要参考书教材与主要参考书(1)教材n赵俊阁主编,信息安全工程,武汉大学出版社,2008(2)重要参考书n赵战生等主编,信息安全保密教程,中国科技大学出版社,2006n施峰主
2、编,信息安全保密基础教程,北京理工大学出版社,2008n胡志昂主编,信息系统等级保护安全建设方案设计实现与应用,电子工业出版社,2010北航计算机学院北航计算机学院3作业、考试与成绩评定作业、考试与成绩评定(1)作业按相关内容完成作业(分析报告或设计方案)(2)考试主要是概念巩固、基本单元知识(3)成绩评定:100分制考勤占:10%作业占:60%考试占:30%北航计算机学院北航计算机学院4InstructorInstructor 刘连忠 Tel:Office:Room G-802 Email:QQ&Wechat:2366996071北航计算机学院北航计算机学院61.1.信息安全工程基础信息安全
3、工程基础1.1 1.1 信息系统建设过程信息系统建设过程1.2 1.2 常见信息安全问题:信息、系统及关联问题常见信息安全问题:信息、系统及关联问题1.3 1.3 信息安全工程概念信息安全工程概念1.4 1.4 信息安全工程建设流程信息安全工程建设流程1.5 1.5 安全工程生命周期安全工程生命周期1.6 1.6 安全工程特点安全工程特点1.7 1.7 信息安全管理与测评机构信息安全管理与测评机构1.8 1.8 信息安全及保密标准法规与合规性问题信息安全及保密标准法规与合规性问题北航计算机学院北航计算机学院71.1 1.1 信息系统建设过程信息系统建设过程1.2 1.2 常见信息安全问题:信息
4、、系统及关联问题常见信息安全问题:信息、系统及关联问题1.3 1.3 信息安全工程概念信息安全工程概念1.4 1.4 信息安全工程建设流程信息安全工程建设流程1.5 1.5 安全工程生命周期安全工程生命周期1.6 1.6 安全工程特点安全工程特点1.7 1.7 信息安全管理与测评机构信息安全管理与测评机构1.8 1.8 信息安全及保密标准法规与合规性问题信息安全及保密标准法规与合规性问题北航计算机学院北航计算机学院81.1 1.1 信息系统建设过程信息系统建设过程1.1.1 1.1.1 周期阶段周期阶段(1)企业架构方法企业架构方法(Enterprise Architecture):1)四大架
5、构:四大架构:业务架构、信息架构、应用架构、技业务架构、信息架构、应用架构、技术架构术架构2)三大体系:三大体系:安全体系安全体系、标准规范体系、运维体系、标准规范体系、运维体系(2)建设计划建设计划1)目的目的2)资源资源3)费用费用4)进度进度北航计算机学院北航计算机学院101.2 1.2 常见信息安全问题:信息、系统及关联问常见信息安全问题:信息、系统及关联问题题1.2.2 1.2.2 信息系统常见安全问题信息系统常见安全问题 (1)(1)自然事件破坏自然事件破坏 地震、洪灾、风灾、雪灾、火灾、战争地震、洪灾、风灾、雪灾、火灾、战争 (2)(2)人为操作问题人为操作问题 意外:设计缺陷、
6、开发意外:设计缺陷、开发、疏忽与误操作、无意识泄密疏忽与误操作、无意识泄密 有意:有意:主动攻击(物理、网络)、内部恶意泄愤、间主动攻击(物理、网络)、内部恶意泄愤、间谍谍 (3)(3)网络安全网络安全 1)1)利用软件自身弱点:恶意代码、病毒、木马、钓鱼利用软件自身弱点:恶意代码、病毒、木马、钓鱼等等 2)2)利用网络及安全设备缺陷和漏洞:破坏、瘫痪等利用网络及安全设备缺陷和漏洞:破坏、瘫痪等北航计算机学院北航计算机学院111.2 1.2 常见信息安全问题:信息、系统及关联问常见信息安全问题:信息、系统及关联问题题1.2.3 1.2.3 信息安全问题分类信息安全问题分类 1)1)按问题来源按
7、问题来源 内部攻击内部攻击(尤其涉密网络)、(尤其涉密网络)、外部攻击外部攻击(与互联网相连)(与互联网相连)2)2)按攻击类型按攻击类型 冒充:冒充:冒充实体(系统、用户、进程)身份慎发起攻击冒充实体(系统、用户、进程)身份慎发起攻击 重放:重放:复制信息重放伪装,如身份信息重放复制信息重放伪装,如身份信息重放 篡改:篡改:信息次序、时序、流向、内容、形式(完整性)信息次序、时序、流向、内容、形式(完整性)抵赖:抵赖:信息发出者、接收者或系统操作者事后否认信息发出者、接收者或系统操作者事后否认 非法访问:非法访问:未经授权使用信息或系统未经授权使用信息或系统 窃取:窃取:非法获得秘密信息(机
8、密性):美安全局光缆窃非法获得秘密信息(机密性):美安全局光缆窃密密北航计算机学院北航计算机学院131.2 1.2 常见信息安全问题:信息、系统及关联问常见信息安全问题:信息、系统及关联问题题 3)3)按问题原因按问题原因 设计问题:设计问题:软件漏洞、后门;系统设计缺陷软件漏洞、后门;系统设计缺陷 用户问题:用户问题:不良习惯(不良习惯(UIDUID、口令策略)、口令策略)、点击不明文件、点击不明文件 网络防护漏洞:网络防护漏洞:体系不全,出现短板效应体系不全,出现短板效应 特权用户:特权用户:无意之失,恶意为之,被收买无意之失,恶意为之,被收买 敌对势力:敌对势力:破门而入、安装装置、大数
9、据分析破门而入、安装装置、大数据分析 北航计算机学院北航计算机学院151.3 1.3 信息安全工程概念信息安全工程概念1.3.2 1.3.2 信息安全分类信息安全分类 (1)实体(物理)安全:设备、设施、场地(机房)(2)运行安全:评估、审计、备份、应急等 (3)数据(信息)安全:鉴别、访问控制、审计、加密、数字签名、搞抵赖、防泄露等 (4)安全管理:法规、组织、人员、过程管理等 信息安全过程:工程、风险、保证信息安全过程:工程、风险、保证保证论据保证论据风险信息风险信息产品或服务产品或服务工程过程工程过程Engineering保证过程保证过程Assurance风险过程风险过程Risk1.3
10、1.3 信息安全工程概念信息安全工程概念北航计算机学院北航计算机学院16北航计算机学院北航计算机学院181.3 1.3 信息安全工程概念信息安全工程概念1.3.3 1.3.3 信息安全工程信息安全工程 (2)质量控制 1)ISO 9000 质量管理体系。2)SSE-CMM 采用安全工程能力成熟度模型进行全程工程管理。3)资质管理 通过资质认证保证安全工程服务水平。北航计算机学院北航计算机学院191.4 1.4 信息安全工程建设流程信息安全工程建设流程1.4.1 1.4.1 项目流程项目流程v编制工程建设书(评审)或项目任务书v编制可研报告(评审)v确定监理单位参与后续过程v设计安全方案(评审)
11、v确定系统安全集成单位,编制项目实施方案v工程实施及验收v系统测评及开通v系统维护北航计算机学院北航计算机学院201.4 1.4 信息安全工程建设流程信息安全工程建设流程1.4.2 1.4.2 工作流程工作流程风险分析与评估安全需求分析安全策略制订安全体系设计安全工程监理安全工程实施北航计算机学院北航计算机学院211.5 1.5 安全工程生命周期安全工程生命周期 安全工程生命周期:从信息保护的角度安全工程生命周期:从信息保护的角度 21发掘信息保护需求定义系统安全要求详细安全设计系统安全体系设计实现系统安全评估信息保护的有效性北航计算机学院北航计算机学院221.6 1.6 安全工程特点安全工程
12、特点v 全面性:综合考虑,全面考虑,防止短板v 过程与周期性:系统过程与生命同期v 动态性:不断完善与更新v 层次性:立体防御v 相对性:不追求绝对安全v 继承性:系统和措施的继承涉密集成:甲、乙级北航计算机学院北航计算机学院241.7 1.7 信息安全管理与测评机构信息安全管理与测评机构1.7.2 1.7.2 业务管理部门业务管理部门(1)公安部:安全产品测评与销售许可发放(2)国家保密局:涉密安全产品测评、系统测评、涉密信息系统建设标准制订、涉密信息系统集成及单项资质(软件开发、咨询、布线、屏蔽室、安防、监理等)(3)国家密码管理局:密码产品研制、生产、销售许可 密码类产品认证测评、电子认
13、证服务管理(4)安全部:国家安全、场地选择、安全事件查办北航计算机学院北航计算机学院251.7 1.7 信息安全管理与测评机构信息安全管理与测评机构1.7.3 1.7.3 第三方测评认证机构第三方测评认证机构(1)公安部计算机信息系统安全产品质量监督检验中心 负责网络信息安全产品的检测 发放安全产品销售许可证北航计算机学院北航计算机学院261.7 1.7 信息安全管理与测评机构信息安全管理与测评机构1.7.3 1.7.3 第三方测评认证机构第三方测评认证机构(2)国家保密科技测评中心(隶属于国家保密局)省级测评分中心34个 重点行业和领域测评分中心10个主要职能:涉密信息系统测评(合格等级)安
14、全保密产品检测(认证证书)参与制订国家保密标准 涉密资质审查(安全集成A/B、单项)北航计算机学院北航计算机学院281.7 1.7 信息安全管理与测评机构信息安全管理与测评机构1.7.3 1.7.3 第三方测评认证机构第三方测评认证机构(4)中国人民解放军信息安全测评认证中心 对拟进入军队的信息安全保密防护产品及技术系统的安全保密性能进行检测、评估与认证,发布相关产品目录。产品证书分为:A、B、C三级北航计算机学院北航计算机学院291.7 1.7 信息安全管理与测评机构信息安全管理与测评机构1.7.3 1.7.3 第三方测评认证机构第三方测评认证机构 (5)中国信息安全测评中心负责:信息技术产
15、品和系统的安全漏洞分析与信息通报;党政机关信息网络、重要信息系统的安全风险评估;信息技术产品、系统和工程建设的安全性测试与评估;信息安全服务和专业人员的能力评估与资质审核;信息安全测试评估的理论研究、技术研发、标准研制。1.8 1.8 信息安全及保密标准法规与合规性问题信息安全及保密标准法规与合规性问题1.8.2 等级保护系列标准北航计算机学院北航计算机学院311.8 1.8 信息安全及保密标准法规与合规性问题信息安全及保密标准法规与合规性问题1.8.2 等级保护系列标准北航计算机学院北航计算机学院321.8 1.8 信息安全及保密标准法规与合规性问题信息安全及保密标准法规与合规性问题1.8.
16、2 安全等级保护系列标准 信息系统按照其重要性和损害等级,划分为五级。按照相应的等级进行安全防护,叫做安全等级保护。北航计算机学院北航计算机学院331.8 1.8 信息安全及保密标准法规与合规性问题信息安全及保密标准法规与合规性问题1.8.2 等级保护系列标准北航计算机学院北航计算机学院34三维空间1.8 1.8 信息安全及保密标准法规与合规性问题信息安全及保密标准法规与合规性问题1.8.2 等级保护系列标准北航计算机学院北航计算机学院351.8 1.8 信息安全及保密标准法规与合规性问题信息安全及保密标准法规与合规性问题1.8.3 分级保护系列标准 (1)国家保密等级共分五级:公开、内部、秘
17、密、机密、绝密 (2)在涉及密码产品时又分为:普密:秘密和机密 核密:绝密 (3)保密标准分为:产品测评类、系统技术要求与方案类、系统测评类、工程监理类、安全管理类北航计算机学院北航计算机学院361.8 1.8 信息安全及保密标准法规与合规性问题信息安全及保密标准法规与合规性问题1.8.3 分级保护系列标准 分级保护:在涉密信息系统建设中,按照不同的密级分别采取技术和管理措施,对涉密系统和涉密信息进行安全防护。目的:降低管理难度和成本 比较:原来没有分级保护规定时,按最高密级防护北航计算机学院北航计算机学院371.8 1.8 信息安全及保密标准法规与合规性问题信息安全及保密标准法规与合规性问题1.8.4 安全合规性(Complaince)对照相关安全保密标准,检查信息安全系统建设和管理是否符合相关标准或规范的规定北航计算机学院北航计算机学院38