《[精选]01TCSP_信息安全保障体系bbq.pptx》由会员分享,可在线阅读,更多相关《[精选]01TCSP_信息安全保障体系bbq.pptx(102页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 信息安全保障体系信息安全保障体系北京天融信公司北京天融信公司1信息安全及其特征信息安全及其特征2信息安全体系信息安全体系3信息安全保障体系信息安全保障体系主题主题1.回顾信息化过程回顾信息化过程2.信息安全的定义信息安全的定义3.信息安全的特征信息安全的特征一一.信息安全及其特征信息安全及其特征1.1.回顾信息化进程回顾信息化进程回顾信息化进程回顾信息化进程操作系统平台操作系统平台操作系统平台操作系统平台操作系统平台操作系统平台操作系统平台操作系统平台财务软件财务软件物流软件物流软件ERP软件软件OA软件软件应用平台应用平台网络平台网络平台网络平台网络平台(网络设备、网络协议、网络软件)(网
2、络设备、网络协议、网络软件)(网络设备、网络协议、网络软件)(网络设备、网络协议、网络软件)财务软件财务软件物流软件物流软件ERP软件软件OA软件软件应用平台应用平台信息流信息流信息流信息流信息流信息流信息流信息流信息流信息流信息流信息流InternetInternet2.2.信息安全的定义信息安全的定义信息安全的定义信息安全的定义 机制定义鉴别访问控制审计加密防重放机密性完整性可用性抗抵赖可控性真实性责任性3.3.信息安全的特征信息安全的特征信息安全的特征信息安全的特征信息安全的特点信息化信息安全复杂性只多不少难量化看不见摸不着v通信工程v综合布线v机房设计v信息模型v网络建设v应用开发v物
3、理v数学v通信v材料v计算机v软件v社会学v网络吞吐量v网络带宽利用率v数据库TPC指标v应用程序效率v性能问题1信息安全及其特征信息安全及其特征2信息安全体系信息安全体系3信息安全保障体系信息安全保障体系主题主题1.建立和应用安全体系的目的2.OSI安全体系3.互联网安全体系二二.信息安全体系信息安全体系n将普遍性的系统科学和系统工程理论应用到信息系统安全的实际中,形成满足安全需求的安全体系。n从管理和技术两个方面完整、准确地落实安全策略。n做到风险、安全及成本的平衡1.建立和应用信息安全体系的目的建立和应用信息安全体系的目的n要保护的资源n攻击者:目的、手段、后果安全需求安全需求n系统所面
4、临已知、可能威胁n系统各部件的缺陷和隐患分析分析分析分析形成形成形成形成风险风险安全需求安全需求建立建立建立建立 安全需求和安全策略应尽可能的制约所预见的系统风险及其变化,两个原则:o将风险降低到可接受程度。将风险降低到可接受程度。o威胁攻击信息系统的代价大于获得的利益。威胁攻击信息系统的代价大于获得的利益。为系统提供经济、有效的安全服务,保障系统安全运行。平衡关系平衡关系风险风险安全安全投资投资1.建立和应用安全体系的目的2.OSI安全体系3.互联网安全体系二二.信息安全体系信息安全体系安全需求安全需求安全需求安全需求安全风险安全风险安全风险安全风险安全体系安全体系安全体系安全体系评估评估再
5、 进 行再 进 行对抗对抗指导指导导出导出系统资源系统资源系统资源系统资源2.OSI安全体系安全体系-信息安全体系建立的流程信息安全体系建立的流程降低降低OSIOSI参考模型参考模型参考模型参考模型7 7应用层应用层应用层应用层6 6表示层表示层表示层表示层5 5会话层会话层会话层会话层4 4传输层传输层传输层传输层7 7网络层网络层网络层网络层7 7链路层链路层链路层链路层7 7物理层物理层物理层物理层安全机制安全机制安全机制安全机制加密加密加密加密数字签名数字签名数字签名数字签名访问控制访问控制访问控制访问控制数据完整性数据完整性数据完整性数据完整性数据交换数据交换数据交换数据交换业务流填
6、充业务流填充业务流填充业务流填充路由控制路由控制路由控制路由控制公证公证公证公证安全服务安全服务安全服务安全服务鉴别服务鉴别服务鉴别服务鉴别服务访问控制访问控制访问控制访问控制数据完整性数据完整性数据完整性数据完整性数据保密性数据保密性数据保密性数据保密性抗抵赖抗抵赖抗抵赖抗抵赖2.OSI安全体系安全体系-参考模型参考模型nOSI安全体系结构五类安全服务安全机制安全服务和安全机制的关系OSI层中的服务配置安全体系的安全管理nOSI安全体系框架n技术体系n组织机构体系n管理体系五类安全服务(五类安全服务(1)n鉴别对等实体鉴别 由(N)层提供这种服务时,将使(N+1)层实体确信与之打交道的对等实
7、体正是他所需要的(N+1)层实体数据原发性鉴别 确认所接收到数据的来源是所要求的。五类安全服务五类安全服务(2)n访问控制防止对资源的未授权使用,包括防止以未授权的方式使用某一资源。这种访问控制要与不同的安全策略协调一致。五类安全服务五类安全服务(3)n数据机密性 对数据提供保护,使之不被非授权的泄漏连接机密性。无连接机密性。五类安全服务五类安全服务(4)n数据完整性 对付主动威胁带恢复的连接完整性不带恢复的连接完整性选择字段的连接完整性无连接完整性选择字段的无连接完整性五类安全服务(五类安全服务(5)n抗抵赖有数据原发性证明的抗抵赖有交付证明的抗抵赖八种安全机制八种安全机制加密机制数字签名机
8、制访问控制机制数据完整性机制鉴别交换机制通信业务填充机制路由选择机制公证机制11001110011100111001010001010001000101001010100100101010010001001001000100100100000100000000010000001100111001110011100101000101000100010100101010010010101001000100100100010010010000010000000001000000明文明文明文明文加密加密加密加密解密解密解密解密明文明文明文明文#¥&(%#&(%#%$%&*(!%$%&*(!#$%*(_
9、%$#$%*(_%$#$%*#$%*&*)%$#&*)%$#保证数据在传输途中保证数据在传输途中保证数据在传输途中保证数据在传输途中不被窃取不被窃取不被窃取不被窃取发起方发起方发起方发起方接受方接受方接受方接受方密文密文密文密文加密机制加密机制BobBobAliceAlice假冒的假冒的假冒的假冒的“BobBob”假冒VPNinternetinternet101011011010110111101001111010011001010010010100私钥签名私钥签名私钥签名私钥签名验证签名,验证签名,验证签名,验证签名,证实数据来源证实数据来源证实数据来源证实数据来源数字签名机制数字签名机制总
10、总总总 部部部部分支机构分支机构分支机构分支机构A A分支机构分支机构分支机构分支机构B B移动用户移动用户移动用户移动用户A A移动用户移动用户移动用户移动用户B B黑黑黑黑 客客客客100100101100100101边界防护边界防护边界防护边界防护边界防护边界防护边界防护边界防护边界防护边界防护边界防护边界防护100100101100100101Internet 对网络的对网络的对网络的对网络的访问控制访问控制访问控制访问控制1010010110100101访问控制机制访问控制机制HostC HostD Access list 192.168.1.3 to 202.2.33.2Acces
11、s nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 blockAccess default pass1010010101规则匹配成功规则匹配成功n基于源IP地址n基于目的IP地址n基于源端口n基于目的端口n基于时间访问控制机制访问控制机制n基于用户n基于流量n基于文件n基于网址n基于MAC地址发起方发起方发起方发起方接受方接受方接受方接受方100100011001000101010010010100101000010010000100000011010000110110001010100010101000101010001
12、01010010001100100010101001001010010100001001000010000001101000011011000101010001010HashHashHashHash100010101000101010010001100100010101001001010010100001001000010000001101000011011000101010001010是否一样?是否一样?是否一样?是否一样?防止数据被篡改防止数据被篡改防止数据被篡改防止数据被篡改数据完整性机制数据完整性机制UsernamePasswordPermission郭德纲123*abcRliweiy
13、8990R Wguli8668R Eyuhaibo8965R W EServer End user Username=Username=郭德纲郭德纲Password=Password=123*abc123*abc 发起访问请求发起访问请求验证用户名与口令回应访问请求,允许访问回应访问请求,允许访问验证验证通过通过基于口令、用户名的基于口令、用户名的身份认证身份认证鉴别交换机制鉴别交换机制(1)UsernameFeaturePermissionchenaf1234Rliweiy8990R Wguli8668R EServer Server Workstation Workstation 传送特征
14、信息,发起访问请求验证用户特征信息回应访问请求,允许访问验证通过指纹识别器读取特征信息获得特征信息基于主体特征的身份认证基于主体特征的身份认证鉴别交换机制鉴别交换机制(2)UsernameInformation Permissionchenaf1234Rliweiy8990R Wguli8668R Eyuhaibo8965R W EServer Server Workstation Workstation 传送身份验证信息,发起访问请求验证用户身份回应访问请求,允许访问验证通过读卡器输入PIN号码插入IC卡读取用户信息获得用户信息基于基于IC卡卡+PIN码的身份认证码的身份认证鉴别交换机制鉴别
15、交换机制(3)用户证书服务器证书开始安全通讯基于基于CA证书的身份认证证书的身份认证鉴别交换机制鉴别交换机制(4)通信业务填充机制通信业务填充机制 通信业务填充机制能用来提供各种不同级别的通信业务填充机制能用来提供各种不同级别的通信业务填充机制能用来提供各种不同级别的通信业务填充机制能用来提供各种不同级别的保护,对抗保护,对抗保护,对抗保护,对抗通信业务分析通信业务分析通信业务分析通信业务分析。这种机制只有在通信业务填充受到这种机制只有在通信业务填充受到这种机制只有在通信业务填充受到这种机制只有在通信业务填充受到机密服务保机密服务保机密服务保机密服务保护护护护是才是有效的。是才是有效的。是才是
16、有效的。是才是有效的。路由选择机制路由选择机制终端某时刻前,路由为A-B-D服务器某时刻后,路由为A-C-D路由器B路由器A路由器C路由器D公证机制公证机制CA中心证书发布服务器证书签发服务器用户证书服务器证书开始数字证书签名验证开始数字证书签名验证查找共同可信的CA查询黑名单验证都通过查找共同可信的CA 查询黑名单验证通过开始安全通讯n可信功能度n安全标记n事件检测n安全审计跟踪n安全恢复普遍性安全机制普遍性安全机制安全服务与安全机制的关系安全服务与安全机制的关系服务机 制加密数字签名访问控制数据完整性鉴别交换通信业务填充路由控制公证对等实体鉴别YYYY数据源发鉴别YYY访问控制服务YY连接
17、机密性YY无连接机密性Y选择字段机密性Y通信业务流机密性YY带恢复的连接完整性YY不带恢复的连接完整性YY选择字段连接完整性YY无连接完整性YYY选择字段无连接完整性YYY带数据源发证明的抗抵赖YYY带数交付证明的抗抵赖YYYOSI层中的服务配置层中的服务配置安全服务协 议 层1234567对等实体鉴别YYY数据源发鉴别YYY访问控制服务YYY连接机密性YYYYYY无连接机密性YYYYY选择字段机密性Y通信业务流机密性YYY带恢复的连接完整性YY不带恢复的连接完整性YY选择字段连接完整性YYY无连接完整性Y选择字段无连接完整性YYY带数据源发证明的抗抵赖Y带数交付证明的抗抵赖YOSI安全体系的
18、安全管理安全体系的安全管理-系统安全管理系统安全管理n总体安全策略管理n与别的管理功能的相互作用n安全服务管理和安全机制管理的交互作用n事件处理n安全审计管理n安全恢复管理OSI安全体系的安全管理安全体系的安全管理-安全服务管理安全服务管理n为服务决定与指派安全防护的目标n用以选取安全机制n与管理者协商安全机制的使用n安全机制管理功能调用安全机制n安全服务和安全机制管理功能的交互作用OSI安全体系的安全管理安全体系的安全管理-安全机制管理安全机制管理n密钥管理n加密管理n数字签名管理n访问控制管理n数据完整性管理n鉴别管理n通信业务填充管理n路由选择控制管理n公证管理OSI安全体系的安全管理安
19、全体系的安全管理-OSI管理的安全管理的安全n管理功能的安全n管理信息的通信安全OSI安全体系的安全管理安全体系的安全管理-特定的系统安全管理活动特定的系统安全管理活动n事件处理管理n安全审计管理n安全恢复管理OSI安全体系框架安全体系框架OSI安全体系框架安全体系框架-技术体系技术体系协议层次协议层次协议层次协议层次应用层应用层应用层应用层传输层传输层传输层传输层网络层网络层网络层网络层链路层链路层链路层链路层物理层物理层物理层物理层安全服务安全服务安全服务安全服务(安全机制)(安全机制)(安全机制)(安全机制)安安全全管管理理安安全全管管理理数数 字字 签签 名名数数 字字 签签 名名访访
20、 问问 控控 制制访访 问问 控控 制制数数 据据 完完 整整 性性数数 据据 完完 整整 性性数数 据据 交交 换换数数 据据 交交 换换业业 务务 流流 填填 充充业业 务务 流流 填填 充充路路 由由 控控 制制路路 由由 控控 制制公公证证公公证证系统构成单元系统构成单元系统构成单元系统构成单元物理环境物理环境物理环境物理环境系统平台系统平台系统平台系统平台通信平台通信平台通信平台通信平台网络平台网络平台网络平台网络平台应用平台应用平台应用平台应用平台安安安安全全全全管管管管理理理理加加密密加加密密电电磁磁辐辐射射控控制制电电磁磁辐辐射射控控制制抗抗 电电 磁磁 干干 扰扰抗抗 电电
21、磁磁 干干 扰扰鉴鉴别别鉴鉴别别访访 问问 控控 制制访访 问问 控控 制制数数 据据 完完 整整 性性数数 据据 完完 整整 性性数数 据据 保保 密密 性性数数 据据 保保 密密 性性抗抗抵抵赖赖抗抗抵抵赖赖审审计计审审计计可可靠靠性性可可用用性性可可靠靠性性可可用用性性安安全全管管理理安安全全管管理理OSI安全体系框架安全体系框架-组织机构体系组织机构体系n机构决策层管理层执行层n岗位(不是具体的机构)管理机构设定人事机构管理n人事机构素质教育业绩考核安全监督OSI安全体系框架安全体系框架-管理体系管理体系n法律管理n制度管理n培训管理1.信息安全体系建立的流程2.OSI安全体系3.互联
22、网安全体系二二.信息安全体系信息安全体系nOSI安全体系到TCP/IP的映射n因特网安全体系结构IPSec协议3.互联网安全体系互联网安全体系OSI安全体系到安全体系到TCP/IP的映射的映射安全服务协 议 层网络接口层IP层传输层应用层对等实体鉴别YYY数据源发鉴别YYY访问控制服务YYY连接机密性YYYY无连接机密性YYYY选择字段机密性Y通信业务流机密性YYY带恢复的连接完整性YY不带恢复的连接完整性YYY选择字段连接完整性Y无连接完整性YYY选择字段无连接完整性Y带数据源发证明的抗抵赖Y带数交付证明的抗抵赖Y因特网安全体系结构因特网安全体系结构-IPSec协议协议nInternet 协
23、议(Interent Protocol)安全结构nIP验证头(Authentication Header,AH)nIP封装安全负载ESP(IP Encapsulating Security Payload)nInternet密钥交换nESP DES-CBC变换nESP和AH中HMAC-MD5-96的采用nESP和AH中HMAC-SHA-1-96的采用nNULL机密算法(NULL Encryption Algorithm)及其在IPSec中的应用1信息安全及其特征信息安全及其特征2信息安全体系信息安全体系3信息安全保障体系信息安全保障体系主题主题1.安全体系的特点安全体系的特点2.建立安全保障体
24、系的目的建立安全保障体系的目的3.安全保障体系的定义安全保障体系的定义4.信息安全保障体系的建立信息安全保障体系的建立三三.信息安全保障体系信息安全保障体系n没考虑安全服务n没有谈及管理标准n没有评测手段n安全系统实施无法监控n1.安全体系的特点安全体系的特点n信息安全防护能力n隐患发现能力n网络应急反应能力n信息对抗能力2.建立安全保障体系的目的建立安全保障体系的目的n狭义的n广义的3.安全保障体系的定义安全保障体系的定义组织组织管理管理技术技术保障保障基础基础设施设施产业产业支撑支撑人材人材培养培养环境环境建设建设国家信息安全保障体系框架国家信息安全保障体系框架广义信息安全保证体系广义信息
25、安全保证体系-国家层面国家层面1、行政管理体制、行政管理体制n国家领导层国家领导层n国家协调层国家协调层n国家执行层国家执行层n地区和部委层地区和部委层2、技术咨询体制、技术咨询体制n信息化专家咨询委员会信息化专家咨询委员会n法规、标准、资质认可法规、标准、资质认可等委员会等委员会n技术研究与工程开发队伍建设技术研究与工程开发队伍建设n学会与产业协会学会与产业协会组织管理体系组织管理体系3、信息系统安全管理准则、信息系统安全管理准则n管理策略管理策略n组织与人员组织与人员n资产分类与安全控制资产分类与安全控制n配置与运行配置与运行n网络信息安全域与通信安全网络信息安全域与通信安全n异常事件与审
26、计异常事件与审计n信息标记与文档信息标记与文档n物理与环境物理与环境n开发与维护开发与维护n作业连续性保障作业连续性保障n符合性符合性1、加强自主研发与创新、加强自主研发与创新n组建研发国家队与普遍推动相结合组建研发国家队与普遍推动相结合n推动自主知识产权与专利推动自主知识产权与专利n建设技术工程中心与加速产品孵化建设技术工程中心与加速产品孵化n加大技术研发专项基金加大技术研发专项基金n全面推动与突出重点的技术研发全面推动与突出重点的技术研发基础类:风险控制、体系结构、协议工程、有效评估、工程方法基础类:风险控制、体系结构、协议工程、有效评估、工程方法关键类:密码、安全基、内容安全、抗病毒、关
27、键类:密码、安全基、内容安全、抗病毒、RBAC、IDS、VPN、强审计、强审计系统类:系统类:PKI、PMI、DRI、KMI、网络预警、集成管理、网络预警、集成管理应用类:应用类:EC、EG、NB、NS、NM、WF、XML、CSCW物理与环境类:物理与环境类:TEMPEX、物理识别、物理识别前瞻类:免疫技术、量子密码、漂移技术、语义理解识别前瞻类:免疫技术、量子密码、漂移技术、语义理解识别技术保障体系技术保障体系2、建立纵深防御体系、建立纵深防御体系n网络信息安全域的划分与隔离控制网络信息安全域的划分与隔离控制n内部网安全服务与控制策略(内部网安全服务与控制策略(Intranet)n外部网安全
28、服务与控制策略(外部网安全服务与控制策略(Extranet)n互联网安全服务与控制策略(互联网安全服务与控制策略(Internet)n公共干线的安全服务与控制策略(有线、无线、卫星)公共干线的安全服务与控制策略(有线、无线、卫星)n计算环境的安全服务机制计算环境的安全服务机制n多级设防与科学布署策略多级设防与科学布署策略n全局安全检测、集成管理、联动控制与恢复(全局安全检测、集成管理、联动控制与恢复(PDR)纵深防御体系的安全控制机制纵深防御体系的安全控制机制公众服务层公众服务层信息交换层信息交换层防火墙防火墙业务处理层业务处理层防火墙防火墙VPN安全网关安全网关关键业务层关键业务层WWW服务
29、器服务器WWW服务器服务器WWW服务器服务器IntranetInternetExtranet3、推动信息系统安全工程(、推动信息系统安全工程(ISSE)的控制方法)的控制方法n安全需求挖掘安全需求挖掘n安全功能定义安全功能定义n安全要素设计安全要素设计n全程安全控制全程安全控制n风险管理风险管理n有效评估(有效评估(CC/TCSEC/IATF)威胁级别(威胁级别(Tn)资产价值等级(资产价值等级(Vn)安全机制强度等级(安全机制强度等级(SMLn)安全技术保障强壮性级别(安全技术保障强壮性级别(IATRn)理解信息保护需求(服务)描述风险情况的特征执行决策决定将做什么描述可以做什么理解任务目标
30、风险管理周期风险管理周期风风风风 险险险险 管管管管 理理理理 过过过过 程程程程比较和对比可用攻击研究敌方行为理论开创任务影响理论比较和对比各种行为行动决策对策识别与特征描述任务关键性参数权衡脆弱性与攻击的识别与特征描述威胁的识别与特征描述任务影响的识别与描述基础研究与事件分离基础研究与事件分离系统改进系统改进风险分析风险分析风风 险险 决决 策策 流流 程程保障技术保障技术保保 障障评评 估估拥有者拥有者确确 信信对对 策策风风 险险资资 产产给出证据产生需要减少到系统有效评估流程系统有效评估流程信息信息价值价值威胁级别T1T2T3T4T5T6T7V1SML1EAL1SML1EAL1SML
31、1EAL1SML1EAL2SML1EAL2SML1EAL2SML1EAL2V2SML1EAL1SML1EAL1SML1EAL1SML2EAL2SML2EAL2SML2EAL3SML2EAL3V3SML1EAL1SML1EAL2SML1EAL2SML2EAL3SML2EAL3SML2EAL4SML2EAL4V4SML2EAL1SML2EAL2SML2EAL3SML3EAL4SML3EAL5SML3EAL5SML3EAL6V5SML2EAL2SML2EAL3SML3EAL4SML3EAL5SML3EAL6SML3EAL6SML3EAL7强强 建建 性性 程程 度(度(IATF)4、安全技术产品与系
32、统互操作性策略、安全技术产品与系统互操作性策略n体系结构体系结构n安全协议安全协议n产品标准产品标准n安全策略与协定安全策略与协定n安全基础设施安全基础设施1、大力推动国家信息安全基础的建设、大力推动国家信息安全基础的建设n基础性、支撑性、服务性、公益性基础性、支撑性、服务性、公益性n国家专项基金启动国家专项基金启动n建立资质认证机制建立资质认证机制n建立监理机制建立监理机制n形成社会化服务和行政监管体系形成社会化服务和行政监管体系基础设施基础设施2、社会公共服务类、社会公共服务类n基于数字证书的信任体系(基于数字证书的信任体系(PKI/CA)n信息安全测评与评估体系信息安全测评与评估体系(C
33、C/TCSEC/IATF)n应急响应与支援体系(应急响应与支援体系(CERT)n计算机病毒防治与服务体系(计算机病毒防治与服务体系(A-Virus)n灾难恢复基础设施(灾难恢复基础设施(DRI)n密钥管理基础设施(密钥管理基础设施(KMI)3、信息安全执法类、信息安全执法类n网上信息内容安全监控体系网上信息内容安全监控体系n网络犯罪监察与防范体系网络犯罪监察与防范体系n电子信息保密监管体系电子信息保密监管体系n网络侦控与反窃密体系网络侦控与反窃密体系n网络预警与网络反击体系网络预警与网络反击体系n推动安全产业发展,支撑安全保障体系建设推动安全产业发展,支撑安全保障体系建设n掌握安全产品的自主权
34、、自控权掌握安全产品的自主权、自控权n建设信息安全产品基地建设信息安全产品基地n形成信息安全产品配套的产业链形成信息安全产品配套的产业链n造就出世界品牌的安全骨干企业造就出世界品牌的安全骨干企业n安全产品制造业、集成业、服务业全面发展安全产品制造业、集成业、服务业全面发展n尽快配套信息安全产业管理政策尽快配套信息安全产业管理政策n保护密码为代表的国内安全产品市场保护密码为代表的国内安全产品市场产业支撑产业支撑n创建一个具有一批高级信息安全人材、雄厚的安全技创建一个具有一批高级信息安全人材、雄厚的安全技术队伍、普及安全意识和技术的人材大环境术队伍、普及安全意识和技术的人材大环境n学历教育:学历教
35、育:专业设置、课程配套专业设置、课程配套n高级人材培养:高级人材培养:研究生学院、博士后流动站研究生学院、博士后流动站n职业和技能培训:职业和技能培训:上岗和在职培训、考核认证制度上岗和在职培训、考核认证制度n信息安全意识提升:信息安全意识提升:学会、协会、论坛、媒体学会、协会、论坛、媒体n网上教育:网上教育:信息安全课件、网上课堂信息安全课件、网上课堂n信息安全出版物信息安全出版物人才培养人才培养1、强力推动信息安全标准化工作、强力推动信息安全标准化工作n加强信息安全标准化技术委员会工作加强信息安全标准化技术委员会工作n积极参予国际信息安全标准制订活动积极参予国际信息安全标准制订活动n注意采
36、用国际与国外先进标准注意采用国际与国外先进标准n抓紧制订国家标准和协调行业标准抓紧制订国家标准和协调行业标准n重视强制性和保护性(重视强制性和保护性(TBT)标准的制订)标准的制订n推动信息安全产品标准互操性的测试和认证推动信息安全产品标准互操性的测试和认证n兼容性和可扩展性的需要兼容性和可扩展性的需要n公平、公正、公开机制公平、公正、公开机制环境建设环境建设-标准与法规标准与法规2、加强信息安全标准的研发、评审、审批、加强信息安全标准的研发、评审、审批n密码算法、密钥管理及应用类、密码算法、密钥管理及应用类、PKI/PMI类类n信息安全评估和保障等级类信息安全评估和保障等级类n电子证据类电子
37、证据类n内容安全分级及标识类内容安全分级及标识类n信息安全边界控制及传输安全类信息安全边界控制及传输安全类n身份识别及鉴别协议类身份识别及鉴别协议类n网络应急响应与处理类网络应急响应与处理类n入侵检测框架类入侵检测框架类n信息安全管理类信息安全管理类n资源访问控制类资源访问控制类n安全体系结构与协议类安全体系结构与协议类n安全产品接口与集成管理类安全产品接口与集成管理类n信息系统安全工程实施规范类信息系统安全工程实施规范类nXML、CSCW、Web安全应用类安全应用类3、加快信息安全法规的制订、加快信息安全法规的制订n建立和加强国家信息安全法规咨询委员会的工作建立和加强国家信息安全法规咨询委员
38、会的工作n规划先行,急用先上规划先行,急用先上n借鉴国外先进经验,结合我国国情借鉴国外先进经验,结合我国国情n采取措施缩短需求与立法的时间差采取措施缩短需求与立法的时间差4、相关法规需求、相关法规需求n电子文档与数字签章类电子文档与数字签章类n数据保密与公开类数据保密与公开类n网络信息内容安全监管类网络信息内容安全监管类n网络信息犯罪与惩治类网络信息犯罪与惩治类n个人数据保密类(隐私法)个人数据保密类(隐私法)n数字内容产品版权保护类数字内容产品版权保护类n电子商务运营监管类(电子商务运营监管类(EC、NB、NS)n网上交易税法类网上交易税法类n网络信息企业市场准入类网络信息企业市场准入类n密
39、码研制、生产与应用管理类密码研制、生产与应用管理类n网络媒体监管类网络媒体监管类n网上娱乐活动监管类网上娱乐活动监管类n网上通信联络监管类网上通信联络监管类狭义信息安全保障体系狭义信息安全保障体系-单位层面单位层面信息系统使命信息系统使命信息系统建模,。信息系统建模,。GB 18336 idt ISO/IEC 15408信息技术安全性评估准则信息技术安全性评估准则IATF 信息保障技术框架信息保障技术框架ISSE 信息系统安全工程信息系统安全工程SSE-CMM系统安全工程能力成熟度模型系统安全工程能力成熟度模型BS 7799,ISO/IEC 17799信息安全管理实践准则信息安全管理实践准则其
40、他相关标准、准则其他相关标准、准则例如:例如:ISO/IEC 15443,COBIT。系统认证和认可标准和实践系统认证和认可标准和实践例如:美国例如:美国DITSCAP,中国信息安全产品测评认证中心中国信息安全产品测评认证中心相关文档和系统测评认证实践相关文档和系统测评认证实践技术准则技术准则(信息技术系统评估准则)(信息技术系统评估准则)管理准则管理准则(信息系统管理评估准则)(信息系统管理评估准则)过程准则过程准则(信息系统安全工程评估准则)(信息系统安全工程评估准则)信息信息系统系统安全安全性评性评估准估准则则安全工程过程和能力成熟度模型安全工程过程和能力成熟度模型安全工程过程和能力成熟
41、度模型安全工程过程和能力成熟度模型信息安全管理和管理能力成熟度模型信息安全管理和管理能力成熟度模型信息安全管理和管理能力成熟度模型信息安全管理和管理能力成熟度模型将将将将GB 18336GB 18336从产品和产品系统扩展到信息技术系统安全性评估从产品和产品系统扩展到信息技术系统安全性评估从产品和产品系统扩展到信息技术系统安全性评估从产品和产品系统扩展到信息技术系统安全性评估信息系统相关基础知识信息系统相关基础知识信息系统相关基础知识信息系统相关基础知识传统传统传统传统C&AC&A信息系统认证认可和实践信息系统认证认可和实践信息系统认证认可和实践信息系统认证认可和实践4.一个组织的信息安全保障
42、体系的建立一个组织的信息安全保障体系的建立DDNDDNFRFR中心机房中心机房中心机房中心机房中心机房中心机房中心机房中心机房MAILMAILDominoDominoDataDataDataDataDataDataDataDataDataData分支机构分支机构分支机构分支机构 A A分支机构分支机构分支机构分支机构 B B办事处办事处办事处办事处 A A办事处办事处办事处办事处 B B网络结构网络结构网络结构网络结构1.1.若干个分支机构若干个分支机构若干个分支机构若干个分支机构2.2.若干个办事处若干个办事处若干个办事处若干个办事处Modem Modem 池池池池InternetInter
43、netExtranetExtranetPSTN/ISDNPSTN/ISDNERPERPCRMCRM 网络结构网络结构网络结构网络结构 网络资源网络资源网络资源网络资源 网络服务网络服务网络服务网络服务系统信息现状分析系统信息现状分析安全需求安全需求攻击分析攻击分析DMZDMZ?E-Mail?E-Mail?File Transfer?File Transfer?HTTP?HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继安安安安 全全全全 隐隐隐隐 患患患患外部外部/个体个体外部外部/组织组织内
44、部内部/个体个体内部内部/组织组织关闭安全维护关闭安全维护“后门后门”更改缺省的更改缺省的系统口令系统口令添加所有添加所有操作系统操作系统PatchModem数据文件加密数据文件加密安装认证安装认证&授权授权用户安全培训用户安全培训授权复查授权复查入侵检测入侵检测实时监控实时监控安全需求举例安全需求举例安全需求举例安全需求举例系统安全模型系统安全模型系统安全模型系统安全模型PMRRDManagement 安全管理Protect 安全保护Detection入侵检测Reaction安全响应Recovery安全恢复安全模型安全模型MPDRR访问控制机制访问控制机制访问控制机制访问控制机制入侵检测机制
45、入侵检测机制入侵检测机制入侵检测机制安全响应机制安全响应机制安全响应机制安全响应机制备份与恢复机制备份与恢复机制备份与恢复机制备份与恢复机制安全管理安全管理安全管理安全管理机制机制机制机制$dollars$dollars$dollarsDetection 入侵检测Protect 安全保护Reaction 安全响应Recovery 安全备份Management Management 安全管理安全管理安全管理安全管理统一管理、协调PDRR之间的行动系统安全体系系统安全体系系统安全体系系统安全体系InternetInternetDDNDDNFRFR中心机房中心机房中心机房中心机房中心机房中心机房中心
46、机房中心机房DominoDominoMAILMAILDataDataDataDataDataDataExtranetExtranetDataDataDataData分支机构分支机构分支机构分支机构 A A分支机构分支机构分支机构分支机构 B B办事处办事处办事处办事处 A A办事处办事处办事处办事处 B B1.1.防火墙系统的部署防火墙系统的部署防火墙系统的部署防火墙系统的部署2.2.VPNVPN系统的部署系统的部署系统的部署系统的部署3.3.入侵检测系统的部署入侵检测系统的部署入侵检测系统的部署入侵检测系统的部署4.4.防病毒系统的部署防病毒系统的部署防病毒系统的部署防病毒系统的部署5.5.
47、灾难恢复系统的部署灾难恢复系统的部署灾难恢复系统的部署灾难恢复系统的部署6.6.安全评估系统的部署安全评估系统的部署安全评估系统的部署安全评估系统的部署7.7.安全管理和策略安全管理和策略安全管理和策略安全管理和策略8.8.Modem Modem 池池池池PSTN/ISDNPSTN/ISDN安全建议方案安全建议方案安全建议方案安全建议方案备份带库备份带库备份带库备份带库集团公司集团公司集团公司集团公司病毒管理机病毒管理机病毒管理机病毒管理机省市公司省市公司省市公司省市公司A A病毒管理机病毒管理机病毒管理机病毒管理机省市公司省市公司省市公司省市公司B B病毒管理机病毒管理机病毒管理机病毒管理机
48、地市公司地市公司地市公司地市公司A A病毒管理机病毒管理机病毒管理机病毒管理机地市公司地市公司地市公司地市公司B B病毒管理机病毒管理机病毒管理机病毒管理机地市公司地市公司地市公司地市公司C C病毒管理机病毒管理机病毒管理机病毒管理机地市公司地市公司地市公司地市公司D D病毒管理机病毒管理机病毒管理机病毒管理机地市公司地市公司地市公司地市公司E E病毒管理机病毒管理机病毒管理机病毒管理机地市公司地市公司地市公司地市公司F F病毒管理机病毒管理机病毒管理机病毒管理机1.1.统一控管统一控管统一控管统一控管a)a)杀毒策略统一制定杀毒策略统一制定杀毒策略统一制定杀毒策略统一制定b)b)病毒代码统一
49、更新病毒代码统一更新病毒代码统一更新病毒代码统一更新c)c)统一病毒扫描统一病毒扫描统一病毒扫描统一病毒扫描d)d)2.2.分布式结构分布式结构分布式结构分布式结构3.3.网关防毒网关防毒网关防毒网关防毒4.4.工作站防毒工作站防毒工作站防毒工作站防毒5.5.服务器防毒服务器防毒服务器防毒服务器防毒i.i.邮件服务器防毒邮件服务器防毒邮件服务器防毒邮件服务器防毒ii.ii.文件服务器防毒文件服务器防毒文件服务器防毒文件服务器防毒iii.iii.Notes Notes 服务器防毒服务器防毒服务器防毒服务器防毒病毒防护病毒防护中心网络中心网络中心网络中心网络一级节点一级节点一级节点一级节点 A A
50、一级节点一级节点一级节点一级节点 B B移动用户移动用户移动用户移动用户 A A同意同意 2000 元成交元成交5000移动用户移动用户移动用户移动用户 B B联网点联网点联网点联网点 A AIntranet Intranet 病毒防护病毒防护病毒更新站点病毒更新站点总部主升级服务器总部主升级服务器总行客户端总行客户端分部分部主升级服务器主升级服务器代理服务器代理服务器总行服务器总行服务器客户端客户端服务器服务器总行分部分部主升级服务器主升级服务器客户端客户端服务器服务器分发分发分发分发下载下载分发分发/登录登录分发分发分发分发/登录登录分发分发分发分发/登录登录分发分发分发分发整体病毒升级策