《[精选]信息安全保障体系课件36509.pptx》由会员分享,可在线阅读,更多相关《[精选]信息安全保障体系课件36509.pptx(48页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全概论信息安全概论2015-2016-1任课教师:刘宏月任课教师:刘宏月任课教师:刘宏月任课教师:刘宏月电电电电 话:话:话:话:1862371705818623717058课程邮箱:课程邮箱:课程邮箱:课程邮箱:复习与回顾复习与回顾信息安全基本概念和范畴信息安全基本概念和范畴信息及信息系统面临的安全威胁信息及信息系统面临的安全威胁安全事件的分类安全事件的分类2023/3/172第第2章章 信息安全保障体系信息安全保障体系学习目标学习目标信信息息安安全全涉涉及及范范畴畴、安安全全属属性性需需求求以以及及信信息息安安全全保保障体系结构障体系结构动态和可适应的信息安全防御模型动态和可适应的信
2、息安全防御模型风险评估、等级保护、安全测评的内容与方法风险评估、等级保护、安全测评的内容与方法 本章介绍信息安全保障体系的建立,信息系统主动防本章介绍信息安全保障体系的建立,信息系统主动防本章介绍信息安全保障体系的建立,信息系统主动防本章介绍信息安全保障体系的建立,信息系统主动防御模型,以及信息安全风险评估、等级保护的相关标准规御模型,以及信息安全风险评估、等级保护的相关标准规御模型,以及信息安全风险评估、等级保护的相关标准规御模型,以及信息安全风险评估、等级保护的相关标准规范和内容范和内容范和内容范和内容。主要包括:主要包括:主要包括:主要包括:2023/3/174目目 录录2.1 信息安全
3、保障体系信息安全保障体系2.2 信息安全防御模型信息安全防御模型2.3 风险评估与等级保护风险评估与等级保护2023/3/175如何构架全面的信息安全保障?如何构架全面的信息安全保障?IS IS Assurance?Assurance?范畴属性体系结构2.1 信息安全保障体系信息安全保障体系2023/3/1762.1.1 信息安全范畴信息安全范畴信息自身信息自身信息自身信息自身文本、图形、图像、音频、视频、动画等。文本、图形、图像、音频、视频、动画等。文本、图形、图像、音频、视频、动画等。文本、图形、图像、音频、视频、动画等。信息载体信息载体信息环境信息环境信息环境信息环境信息载体信息载体信息
4、环境信息环境信息环境信息环境2023/3/1772.1.1 信息安全范畴信息安全范畴信息自身信息自身信息自身信息自身信息载体信息载体信息环境信息环境信息环境信息环境物理平台物理平台计算芯片:计算芯片:CPU、控制芯片、专用处理芯片、控制芯片、专用处理芯片等。等。存储介质:内存、磁盘、光盘、存储介质:内存、磁盘、光盘、U盘、磁带盘、磁带等。等。通信介质:双绞线、同轴电缆、光纤、无线通信介质:双绞线、同轴电缆、光纤、无线电波、微波、红外线等。电波、微波、红外线等。系统设备系统设备:计算机:包括个人计算机、服务计算机:包括个人计算机、服务器、小型机、智能终端等各类器、小型机、智能终端等各类计算机;打
5、印机、扫描仪、数计算机;打印机、扫描仪、数字摄像机、智能手机等硬件设字摄像机、智能手机等硬件设备。备。2023/3/1782.1.1 信息安全范畴信息安全范畴信息自身信息自身信息自身信息自身信息载体信息载体信息载体信息载体信息环境信息环境信息环境信息环境软件软件平台平台系统平台:操作系统、数据库系统等系系统平台:操作系统、数据库系统等系统软件。统软件。通信平台:通信协议及其软件。通信平台:通信协议及其软件。网络平台:网络协议及其软件。网络平台:网络协议及其软件。应用平台:各种应用软件。应用平台:各种应用软件。2023/3/1792.1.1 信息安全范畴信息安全范畴信息自身信息自身信息自身信息自
6、身信息载体信息载体信息环境信息环境信息环境信息环境硬环境硬环境 机机房房、电电力力、照照明明、温温控控、湿湿控控、防防盗盗、防防火火、防防震震、防防水水、防防雷雷、防防电电磁辐射、抗电磁干扰等设施。磁辐射、抗电磁干扰等设施。软环境软环境 国国家家法法律律、行行政政法法规规、部部门门规规章章、政政治治经经济济、社社会会文文化化、思思想想意意识识、教教育育培培训训、人人员员素素质质、组组织织机机构构、监监督督管管理理、安全认证等方面。安全认证等方面。2023/3/17102.1.2 信息安全属性信息安全属性如何刻画信息及信息系统的安全性?如何刻画信息及信息系统的安全性?IS IS Attribut
7、es?Attributes?2023/3/17112.1.2 信息安全属性信息安全属性n保密性(也称机密性,保密性(也称机密性,Confidentiality)保证信息与信息系统不被非授权者所获取或利用。保密性包保证信息与信息系统不被非授权者所获取或利用。保密性包含数据的保密性和访问控制等方面内容。含数据的保密性和访问控制等方面内容。n完整性(完整性(Integrity)保证信息与信息系统正确和完备,不被冒充、伪造或篡改,保证信息与信息系统正确和完备,不被冒充、伪造或篡改,包括数据的完整性、系统的完整性等方面。包括数据的完整性、系统的完整性等方面。2023/3/17122.1.2 信息安全属性
8、信息安全属性n鉴别性(也称可认证性,鉴别性(也称可认证性,Authentication)保证信息与信息系统真实,包括实体身份的真实性、数保证信息与信息系统真实,包括实体身份的真实性、数据的真实性、系统的真实性等方面。据的真实性、系统的真实性等方面。n不可否认性(不可抵赖性,不可否认性(不可抵赖性,Non-Repudiation)建立有效的责任机制,防止用户否认其行为,这一点在建立有效的责任机制,防止用户否认其行为,这一点在电子商务中极为重要。电子商务中极为重要。n可用性(可用性(Availability)保证信息与信息系统可被授权者在需要的时候能够访问保证信息与信息系统可被授权者在需要的时候能
9、够访问和使用。和使用。2023/3/17132.1.2 信息安全属性信息安全属性n可靠性(可靠性(Reliability)保证信息系统为合法用户提供稳定、正确的信息服务。保证信息系统为合法用户提供稳定、正确的信息服务。n可追究性(可追究性(Accountability)保证从一个实体的行为能够唯一地追溯到该实体,它支持保证从一个实体的行为能够唯一地追溯到该实体,它支持不可否认、故障隔离、事后恢复、攻击阻断等应用,具有不可否认、故障隔离、事后恢复、攻击阻断等应用,具有威慑作用,支持法律事务,其结果可以保证一个实体对其威慑作用,支持法律事务,其结果可以保证一个实体对其行为负责。行为负责。2023/
10、3/17142.1.2 信息安全属性信息安全属性n可控性(可控性(Controlability)指对信息和信息系统实施有效的安全监控管理,防止非法指对信息和信息系统实施有效的安全监控管理,防止非法利用信息和信息系统利用信息和信息系统n保障(保障(Assurance)为在具体实现和实施过程中,保密性、完整性、可用性和为在具体实现和实施过程中,保密性、完整性、可用性和可追究性等得到足够满足提供信心基础,这种信心基础主可追究性等得到足够满足提供信心基础,这种信心基础主要通过认证和认可来实现。要通过认证和认可来实现。2023/3/17152.1.3 信息安全保障体系结构信息安全保障体系结构如何构建如何
11、构建全面的全面的信息安全保障体系?信息安全保障体系?IS IS Assurance?Assurance?2023/3/17162.1.3 信息安全保障体系结构信息安全保障体系结构n信信息息安安全全保保障障包包括括人人、政政策策(包包括括法法律律、法法规规、制制度度、管理)和管理)和技术技术三大要素三大要素n主主要要内内涵涵是是实实现现上上述述保保密密性性、鉴鉴别别性性、完完整整性性、可可用用性性等各种安全属性等各种安全属性n保证信息和信息系统的安全性目的。保证信息和信息系统的安全性目的。2023/3/17172.1.3 信息安全保障体系结构信息安全保障体系结构技技技技 术术术术 体体体体 系系
12、系系机制机制机制机制加加加加密密密密、数数数数字字字字签签签签名名名名、访访访访问问问问控控控控制制制制、数数数数据据据据完完完完整整整整性性性性、鉴鉴鉴鉴别别别别交交交交换换换换、通通通通信信信信业业业业务务务务填填填填充充充充、路路路路由由由由选选选选择择择择控控控控制制制制、公公公公证证证证、可可可可信信信信功功功功能能能能度度度度、安安安安全全全全标标标标记记记记、事事事事件件件件检检检检测测测测、安安安安全全全全审审审审计计计计跟跟跟跟踪踪踪踪、安安安安全全全全恢复、电磁辐射控制、抗电磁干扰等。恢复、电磁辐射控制、抗电磁干扰等。恢复、电磁辐射控制、抗电磁干扰等。恢复、电磁辐射控制、抗
13、电磁干扰等。服务服务服务服务鉴鉴鉴鉴别别别别/身身身身份份份份认认认认证证证证、访访访访问问问问控控控控制制制制、数数数数据据据据机机机机密密密密性性性性、数数数数据据据据完完完完整性、抗抵赖、可靠性、可用性、安全审计等。整性、抗抵赖、可靠性、可用性、安全审计等。整性、抗抵赖、可靠性、可用性、安全审计等。整性、抗抵赖、可靠性、可用性、安全审计等。管理管理管理管理技技技技术术术术管管管管理理理理策策策策略略略略、系系系系统统统统安安安安全全全全管管管管理理理理、安安安安全全全全机机机机制制制制管管管管理理理理、安安安安全服务管理、安全审计管理、安全恢复管理等。全服务管理、安全审计管理、安全恢复管
14、理等。全服务管理、安全审计管理、安全恢复管理等。全服务管理、安全审计管理、安全恢复管理等。标准标准标准标准 上述安全技术的实现依据、交互接口和评估准则。上述安全技术的实现依据、交互接口和评估准则。上述安全技术的实现依据、交互接口和评估准则。上述安全技术的实现依据、交互接口和评估准则。2023/3/17182.1.3 信息安全保障体系结构信息安全保障体系结构组织体系组织体系组织体系组织体系机构机构机构机构决策层:明确总体目标、决定重大事宜。决策层:明确总体目标、决定重大事宜。决策层:明确总体目标、决定重大事宜。决策层:明确总体目标、决定重大事宜。管管管管理理理理层层层层:根根根根据据据据决决决决
15、策策策策层层层层的的的的决决决决定定定定全全全全面面面面规规规规划划划划、制制制制定定定定策策策策略略略略、设置岗位、协调各方、处理事件等。设置岗位、协调各方、处理事件等。设置岗位、协调各方、处理事件等。设置岗位、协调各方、处理事件等。执执执执行行行行层层层层:按按按按照照照照管管管管理理理理层层层层的的的的要要要要求求求求和和和和规规规规定定定定执执执执行行行行某某某某一一一一个个个个或或或或某某某某几个特定安全事务。几个特定安全事务。几个特定安全事务。几个特定安全事务。岗位岗位岗位岗位负责某一个或某几个特定安全事务的职位。负责某一个或某几个特定安全事务的职位。负责某一个或某几个特定安全事务
16、的职位。负责某一个或某几个特定安全事务的职位。人事人事人事人事负责岗位上人员管理的部门。负责岗位上人员管理的部门。负责岗位上人员管理的部门。负责岗位上人员管理的部门。2023/3/17192.1.3 信息安全保障体系结构信息安全保障体系结构管理体系管理体系管理体系管理体系法律法律法律法律根根根根据据据据国国国国家家家家法法法法律律律律和和和和行行行行政政政政法法法法规规规规,强强强强制制制制性性性性约约约约束束束束相相相相关关关关主主主主体体体体的的的的行为。行为。行为。行为。制度制度制度制度依依依依据据据据部部部部门门门门的的的的实实实实际际际际安安安安全全全全需需需需求求求求,具具具具体体
17、体体化化化化法法法法律律律律法法法法规规规规,制制制制定定定定规章制度,规范相关主体的行为。规章制度,规范相关主体的行为。规章制度,规范相关主体的行为。规章制度,规范相关主体的行为。培训培训培训培训培培培培训训训训相相相相关关关关主主主主体体体体的的的的法法法法律律律律法法法法规规规规、规规规规章章章章制制制制度度度度、岗岗岗岗位位位位职职职职责责责责、操操操操作作作作规规规规范范范范、专专专专业业业业技技技技术术术术等等等等知知知知识识识识,提提提提高高高高其其其其安安安安全全全全意意意意识识识识、安安安安全技能、业务素质等。全技能、业务素质等。全技能、业务素质等。全技能、业务素质等。202
18、3/3/17202.1.3 信息安全保障体系结构信息安全保障体系结构nGB/T9387.2-1995(ISO7498-2)信信息息系系统统-开开放放系系统统互连基本参考模型互连基本参考模型 第第2部分:安全体系结构部分:安全体系结构q安全服务安全服务mm安全审计服务安全审计服务安全审计服务安全审计服务mm可用性服务可用性服务可用性服务可用性服务mm可靠性服务可靠性服务可靠性服务可靠性服务mm抗否认性服务抗否认性服务抗否认性服务抗否认性服务mm数据完整性服务数据完整性服务数据完整性服务数据完整性服务mm数据保密性服务数据保密性服务数据保密性服务数据保密性服务mm访问控制服务访问控制服务访问控制服
19、务访问控制服务mm认证(鉴别)服务认证(鉴别)服务认证(鉴别)服务认证(鉴别)服务2023/3/17212.1.3 信息安全保障体系结构信息安全保障体系结构nGB/T9387.2-1995(ISO7498-2)信信息息系系统统-开开放放系系统统互连基本参考模型互连基本参考模型 第第2部分:安全体系结构部分:安全体系结构q安全机制安全机制mm公正机制公正机制公正机制公正机制mm路由选择控制机制路由选择控制机制路由选择控制机制路由选择控制机制mm业务流填充机制业务流填充机制业务流填充机制业务流填充机制mm鉴别交换机制鉴别交换机制鉴别交换机制鉴别交换机制mm数据完整性机制数据完整性机制数据完整性机制
20、数据完整性机制mm访问控制机制访问控制机制访问控制机制访问控制机制mm数字签名机制数字签名机制数字签名机制数字签名机制mm加密机制加密机制加密机制加密机制2023/3/1722目目 录录2.1 信息安全保障体系信息安全保障体系2.2 信息安全防御模型信息安全防御模型2.3 风险评估与等级保护风险评估与等级保护2023/3/17232.2 信息安全防御模型信息安全防御模型如何有效实现信息安全防御?如何有效实现信息安全防御?IS IS Defenses?Defenses?2023/3/17242.2 信息安全防御模型信息安全防御模型pp主动信息安全防御模型主动信息安全防御模型主动信息安全防御模型主
21、动信息安全防御模型EvaluationEvaluationPolicyPolicyProtectionProtectionRestorationRestorationDetectionDetectionReactionReaction2023/3/17252.2 信息安全防御模型信息安全防御模型1.风险评估风险评估(Evaluation)对对信信息息系系统统进进行行全全面面的的风风险险评评估估,这这需需要要对对信信息息系系统统应应用用需需求求、网网络络基基础础设设施施、外外部部内内部部环环境境、安安全全威威胁胁、人人员员、政政策策法法规规、安安全全技技术术等等具具有有全全面面的的了了解解,并并
22、善善于于应应用用各各种种方方法法、手手段段、工工具具对对系系统统风风险险进进行行人人工工和和自自动动分分析析,给给出出全全面面细致的风险评估。细致的风险评估。2023/3/17262.2 信息安全防御模型信息安全防御模型2.制定策略制定策略(Policy)q安安全全策策略略是是安安全全模模型型的的核核心心,防防护护、检检测测、响响应应和和恢恢复复各各个个阶阶段段都都是是依依据据安安全全策策略略实实施施的的,安安全全策策略略为为安安全全管管理提供管理方向和支持手段。理提供管理方向和支持手段。q策略体系的建立包括安全策略的制订、评估、执行等。策略体系的建立包括安全策略的制订、评估、执行等。2023
23、/3/17272.2 信息安全防御模型信息安全防御模型3.实施保护实施保护(Protection)n采用一切可能的方法、技术和手段防止信息及信息系统遭受采用一切可能的方法、技术和手段防止信息及信息系统遭受安全威胁,减少和降低遭受入侵和攻击的可能,实现保密性、安全威胁,减少和降低遭受入侵和攻击的可能,实现保密性、完整性、可用性、可控性和不可否认性等安全属性。完整性、可用性、可控性和不可否认性等安全属性。q提高边界防御能力提高边界防御能力q信息处理环节的保护信息处理环节的保护q信息传输保护信息传输保护2023/3/17282.2 信息安全防御模型信息安全防御模型4.监测监测(Detection)n
24、在在系系统统实实施施保保护护之之后后根根据据安安全全策策略略对对信信息息系系统统实实施施监监控控和和检测检测。q监监控控是是对对系系统统运运行行状状态态进进行行监监视视和和控控制制,发发现现异异常常,并并可能作出动态调整。可能作出动态调整。q检检测测是是对对已已部部署署的的系系统统及及其其安安全全防防护护进进行行检检查查测测量量,是是动动态态响响应应和和加加强强防防护护的的依依据据,是是强强制制落落实实安安全全策策略略的的手手段。段。2023/3/17292.2 2.2 信息安全防御模型信息安全防御模型5.响应响应(Reaction)已已知知一一个个攻攻击击(入入侵侵)事事件件发发生生之之后后
25、所所进进行行的的处处理理。把把系系统统调调整整到到安安全全状状态态;对对于于危危及及安安全全的的事事件件、行行为为、过过程程,及及时时做做出出处处理理,杜杜绝绝危危害害进进一一步步扩扩大大,力力求求系系统统保保持持提提供供正正常的服务。常的服务。2023/3/17302.2 2.2 信息安全防御模型信息安全防御模型6.恢复恢复(Restoration)q恢复可以分为系统恢复和信息恢复。恢复可以分为系统恢复和信息恢复。q系系统统恢恢复复是是指指修修补补安安全全事事件件所所利利用用的的系系统统缺缺陷陷,如如系系统统升级、软件升级和打补丁等方法去除系统漏洞或后门。升级、软件升级和打补丁等方法去除系统
26、漏洞或后门。q信息恢复是指恢复丢失的数据。信息恢复是指恢复丢失的数据。2023/3/1731目目 录录2.1 信息安全保障体系信息安全保障体系2.2 信息安全防御模型信息安全防御模型2.3 风险评估与等级保护风险评估与等级保护2023/3/17322.3 风险评估与等级保护风险评估与等级保护建设信息系统时,建设信息系统时,如何确定和规划安全保护?如何确定和规划安全保护?Protection?Protection?2023/3/17332.3 风险评估与等级保护风险评估与等级保护2.3.1 等级保护等级保护2.3.2 风险评估风险评估2.3.3 系统安全测评系统安全测评2.3.4 信息系统安全建
27、设实施信息系统安全建设实施2.3.5 信息安全原则信息安全原则2023/3/17342.3.1 等级保护等级保护类别级别名称主要特征AA1验证设计验证设计形形式式化化的的最最高高级级描描述述和和验验证证,形形式式化化的的隐藏通道分析,形式化的代码对应证明隐藏通道分析,形式化的代码对应证明BB3安全区域安全区域存取监控,高抗渗透能力存取监控,高抗渗透能力B2结构化保护结构化保护形形式式化化模模型型/隐隐通通道道约约束束、面面向向安安全全的的体系结构,较好的抗渗透能力体系结构,较好的抗渗透能力B1标识的安全保护标识的安全保护强制存取控制、安全标识强制存取控制、安全标识CC2受受控控制制的的存存取取
28、控控制制单独用户的可查性、广泛的审计跟踪单独用户的可查性、广泛的审计跟踪C1自主安全保护自主安全保护自主存取控制自主存取控制DD低级保护低级保护系系统统只只为为文文件件和和用用户户提提供供安安全全保保护护。最最普普通通的的形形式式是是本本地地操操作作系系统统,或或者者是是一一个完全没有保护的网络。个完全没有保护的网络。美国国防部可信计算机系统安全评价准则美国国防部可信计算机系统安全评价准则TCSEC2023/3/17352.3.1 等级保护等级保护nGB17859-1999计计算算机机信信息息系系统统安安全全保保护护等等级级划划分准则分准则qq第一级:用户自主保护级(相当于第一级:用户自主保护
29、级(相当于第一级:用户自主保护级(相当于第一级:用户自主保护级(相当于C1C1级)级)级)级)qq第二级:系统审计保护级(相当于第二级:系统审计保护级(相当于第二级:系统审计保护级(相当于第二级:系统审计保护级(相当于C2C2级)级)级)级)qq第三级:安全标记保护级(相当于第三级:安全标记保护级(相当于第三级:安全标记保护级(相当于第三级:安全标记保护级(相当于B1B1级)级)级)级)qq第四级:结构化保护级(相当于第四级:结构化保护级(相当于第四级:结构化保护级(相当于第四级:结构化保护级(相当于B2B2级)级)级)级)qq第五级:访问验证保护级(相当于第五级:访问验证保护级(相当于第五级
30、:访问验证保护级(相当于第五级:访问验证保护级(相当于B3B3A1A1级)级)级)级)2.3.1 等级保护等级保护n国家公安部制定的信息安全相关标准国家公安部制定的信息安全相关标准qqGA/T387-2002GA/T387-2002计算机信息系统安全等级保护网络技术要求计算机信息系统安全等级保护网络技术要求计算机信息系统安全等级保护网络技术要求计算机信息系统安全等级保护网络技术要求qqGA/T388-2002GA/T388-2002计计计计算算算算机机机机信信信信息息息息系系系系统统统统安安安安全全全全等等等等级级级级保保保保护护护护操操操操作作作作系系系系统统统统技技技技术术术术要要要要求求
31、求求qqGA/T389-2002GA/T389-2002计计计计算算算算机机机机信信信信息息息息系系系系统统统统安安安安全全全全等等等等级级级级保保保保护护护护数数数数据据据据库库库库管管管管理理理理系系系系统统统统技术要求技术要求技术要求技术要求qqGA/T390-2002GA/T390-2002计算机信息系统安全等级保护通用技术要求计算机信息系统安全等级保护通用技术要求计算机信息系统安全等级保护通用技术要求计算机信息系统安全等级保护通用技术要求qqGA/T391-2002GA/T391-2002计算机信息系统安全等级保护管理要求计算机信息系统安全等级保护管理要求计算机信息系统安全等级保护管
32、理要求计算机信息系统安全等级保护管理要求2.3.1 2.3.1 等级保护等级保护n国国家家四四局局办办200466号号关关于于信信息息安安全全等等级级保保护护工工作作的的实实施意见的通知施意见的通知等级等级等级等级安全功能安全功能安全功能安全功能保障保障保障保障/有效性有效性有效性有效性国家管理国家管理国家管理国家管理程度程度程度程度对象对象对象对象管理管理管理管理技术技术技术技术一级一级一级一级基本基本基本基本用户自主保护用户自主保护用户自主保护用户自主保护基本保障基本保障基本保障基本保障自主自主自主自主中小企业中小企业中小企业中小企业二级二级二级二级必要必要必要必要系统审计保护系统审计保护
33、系统审计保护系统审计保护计划跟踪计划跟踪计划跟踪计划跟踪指导指导指导指导一般信息系统一般信息系统一般信息系统一般信息系统三级三级三级三级体系化体系化体系化体系化安全标记保护安全标记保护安全标记保护安全标记保护良好定义良好定义良好定义良好定义监督监督监督监督基础信息网络、政府、基础信息网络、政府、基础信息网络、政府、基础信息网络、政府、大型企业大型企业大型企业大型企业四级四级四级四级结构化保护结构化保护结构化保护结构化保护持续改进持续改进持续改进持续改进强制强制强制强制国家机关重要部门信息国家机关重要部门信息国家机关重要部门信息国家机关重要部门信息系统系统系统系统五级五级五级五级验证保护验证保护
34、验证保护验证保护严格监控严格监控严格监控严格监控专控专控专控专控国家核心部门专用系统国家核心部门专用系统国家核心部门专用系统国家核心部门专用系统2.3.2 风险评估风险评估n风风险险评评估估是是安安全全建建设设的的出出发发点点,遵遵循循成成本本/效效益益平平衡衡原原则则,通通过过对对用用户户关关心心的的重重要要资资产产(如如信信息息、硬硬件件、软软件件、文文档档、代代码码、服服务务、设设备备、企企业业形形象象等等)的的分分级级,对对安安全全威威胁胁(如如人人为为威威胁胁、自自然然威威胁胁等等)发发生生的的可可能能性性及及严严重重性性分分析析,对对系系统统物物理理环环境境、硬硬件件设设备备、网网
35、络络平平台台、基基础础系系统统平平台台、业业务务应应用用系系统统、安安全全管管理理、运运行行措措施施等等方方面面的的安安全全脆脆弱弱性性(或或称称薄薄弱弱环环节节)分分析析,以以及及已已有有安安全全控控制制措措施施的的确确认认,借借助助定定量量、定定性性分分析析的的方方法法,推推断断出出用用户户关关心心的的重重要要资资产产当当前前的的安安全全风风险险,并并根根据据风风险险的的严严重重级别制定风险处理计划,确定下一步的安全需求方向。级别制定风险处理计划,确定下一步的安全需求方向。2023/3/1739风险评估要素风险评估要素风险评估要素风险评估要素关系图关系图关系图关系图2023/3/1740风
36、险分析原理图风险分析原理图风险分析原理图风险分析原理图2023/3/1741风险评估实施风险评估实施风险评估实施风险评估实施流程图流程图流程图流程图2023/3/17422.3.3 系统安全测评系统安全测评n系系统统安安全全测测评评是是指指由由具具备备检检验验技技术术能能力力和和政政府府授授权权资资格格的的权权威威机机构构(如如中中国国信信息息安安全全测测评评中中心心),依依据据国国家家标标准准、行行业业标标准准、地地方方标标准准或或相相关关技技术术规规范范,按按照照严严格格程程序序对对信信息息系系统统的的安安全全保保障障能能力力进进行行的的科科学学公公正正的的综综合合测测试试评评估估活活动动
37、,以以帮帮助助系系统统运运行行单单位位分分析析系系统统当当前前的的安安全全运运行行状状况况、查查找找存存在在的的安安全全问问题题,并并提提供供安安全全改改进进建建议议,从从而而最最大大程程度地降低系统的安全风险。度地降低系统的安全风险。2023/3/17432.3.4 信息系统安全建设实施信息系统安全建设实施n规划需求阶段:定级备案规划需求阶段:定级备案、风险评估。风险评估。n设设计计开开发发及及实实施施阶阶段段:系系统统安安全全体体系系结结构构及及详详细细实实施施方方案案的的设设计计,采采购购和和使使用用,建建设设安安全全设设施施,落落实实安安全全技技术术措措施。第三方机构评审。施。第三方机
38、构评审。n运行维护阶段:周期性的安全测评和安全认可。运行维护阶段:周期性的安全测评和安全认可。n废废弃弃阶阶段段:废废弃弃处处理理对对资资产产的的影影响响、对对信信息息/硬硬件件/软软件件的的废废弃弃处处置置方方面面威威胁胁、对对访访问问控控制制方方面面的的弱弱点点进进行行综综合合风风险评估。险评估。2023/3/17442.3.5 信息安全原则信息安全原则n安全是相对的,同时也是动态的,安全是相对的,同时也是动态的,没有绝对的安全没有绝对的安全!n安全是一个系统工程安全是一个系统工程!n信息安全技术原则信息安全技术原则q最小化原则最小化原则q分权制衡原则分权制衡原则q安全隔离原则安全隔离原则
39、2023/3/1745小小 结结本本章章从从信信息息安安全全范范畴畴、衡衡量量信信息息安安全全的的属属性性出出发发,介介绍绍了了信信息息安安全全保保障障体体系系,信信息息安安全全保保障障包包括括人人、政政策策和和技技术术工工程程方方法法,使使用用各各类类安安全全机机制制实实现现安安全全服服务务,满满足足安安全全功功能能需需求求。信信息息安安全全防防御御体体系系构构建建应应该该是是动动态态和和可可适适应应的的,以以策策略略为为核核心心,实实施施评评估估、保保护护、监监测测、响响应应和和恢恢复复等等环环节节的的闭闭环环管管理理。最最后后介介绍绍了了等等级级保保护护、风风险险评评估估和和安安全全测测
40、评评的的内内容容与与方方法法,以以及及它它们们之之间间的的关关系系。本本章章从从整整体体上上概概括括了了信信息息系系统统安全保障体系和实施的工程方法。安全保障体系和实施的工程方法。2023/3/1746Q&A2023/3/17479、静夜四无邻,荒居旧业贫。3月-233月-23Friday,March 17,202310、雨中黄叶树,灯下白头人。02:26:4302:26:4302:263/17/2023 2:26:43 AM11、以我独沈久,愧君相见频。3月-2302:26:4302:26Mar-2317-Mar-2312、故人江海别,几度隔山川。02:26:4302:26:4302:26F
41、riday,March 17,202313、乍见翻疑梦,相悲各问年。3月-233月-2302:26:4302:26:43March 17,202314、他乡生白发,旧国见青山。17 三月 20232:26:43 上午02:26:433月-2315、比不了得就不比,得不到的就不要。三月 232:26 上午3月-2302:26March 17,202316、行动出成果,工作出财富。2023/3/17 2:26:4302:26:4317 March 202317、做前,能够环视四周;做时,你只能或者最好沿着以脚为起点的射线向前。2:26:43 上午2:26 上午02:26:433月-239、没有失败
42、,只有暂时停止成功!。3月-233月-23Friday,March 17,202310、很多事情努力了未必有结果,但是不努力却什么改变也没有。02:26:4402:26:4402:263/17/2023 2:26:44 AM11、成功就是日复一日那一点点小小努力的积累。3月-2302:26:4402:26Mar-2317-Mar-2312、世间成事,不求其绝对圆满,留一份不足,可得无限完美。02:26:4402:26:4402:26Friday,March 17,202313、不知香积寺,数里入云峰。3月-233月-2302:26:4402:26:44March 17,202314、意志坚强的
43、人能把世界放在手中像泥块一样任意揉捏。17 三月 20232:26:44 上午02:26:443月-2315、楚塞三湘接,荆门九派通。三月 232:26 上午3月-2302:26March 17,202316、少年十五二十时,步行夺得胡马骑。2023/3/17 2:26:4402:26:4417 March 202317、空山新雨后,天气晚来秋。2:26:44 上午2:26 上午02:26:443月-239、杨柳散和风,青山澹吾虑。3月-233月-23Friday,March 17,202310、阅读一切好书如同和过去最杰出的人谈话。02:26:4402:26:4402:263/17/2023
44、 2:26:44 AM11、越是没有本领的就越加自命不凡。3月-2302:26:4402:26Mar-2317-Mar-2312、越是无能的人,越喜欢挑剔别人的错儿。02:26:4402:26:4402:26Friday,March 17,202313、知人者智,自知者明。胜人者有力,自胜者强。3月-233月-2302:26:4402:26:44March 17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 三月 20232:26:44 上午02:26:443月-2315、最具挑战性的挑战莫过于提升自我。三月 232:26 上午3月-2302:26March 17,202
45、316、业余生活要有意义,不要越轨。2023/3/17 2:26:4402:26:4417 March 202317、一个人即使已登上顶峰,也仍要自强不息。2:26:44 上午2:26 上午02:26:443月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉