西安电子科技大学：《信息系统安全》课程教学资源（PPT课件讲稿）第三章 信息安全保障体系、第四章 物理安全

彳 内容提要 31信息保障体系的基本概念 32信息保障体系的构成 321国家信息保障体系的构成 322信息保障体系模型 323信息安全保障体系框架 324信息保障体系设计和建设的基本原则 ●33信息系统安全等级保护 331等级保护建设的相关国际标准 332信息及信息系统的分级 3.3.3等级保护技术分级 334等级保护要素与实施过程 2183

2/83 内容提要  3.1 信息保障体系的基本概念  3.2 信息保障体系的构成 ⚫ 3.2.1 国家信息保障体系的构成 ⚫ 3.2.2 信息保障体系模型 ⚫ 3.2.3 信息安全保障体系框架 ⚫ 3.2.4 信息保障体系设计和建设的基本原则  3.3信息系统安全等级保护 ⚫ 3.3.1 等级保护建设的相关国际标准 ⚫ 3.3.2 信息及信息系统的分级 ⚫ 3.3.3 等级保护技术分级 ⚫ 3.3.4 等级保护要素与实施过程

彳 第三章信息安全保障体系 31信息保障体系的基本概念 3.1信息保障体系的基本概念 ≥当前的信息安全已经发展到信息保障时代(A, Information assurance) 信息保障的概念源自于美国,1996年美国国防 部(DoD)在国防部令S-600.1中对信息保障做 了如下定义: ●保护和防御信息及信息系统,确保其可用性、 完整性、保密性、可认证性和不可否认性等 特性。 3/83

3/83  当前的信息安全已经发展到信息保障时代 (IA, Information assurance)  信息保障的概念源自于美国， 1996年美国国防 部(DoD)在国防部令S－600.1中对信息保障做 了如下定义： ⚫ 保护和防御信息及信息系统，确保其可用性、 完整性、保密性、可认证性和不可否认性等 特性。 3.1 信息保障体系的基本概念 第三章 信息安全保障体系 3.1 信息保障体系的基本概念

彳 第三章信息安全保障体系 31信息保障体系的基本概念3值息保体系的基本概念 ●信息保障在内涵上包括在信息系统中融入保护 ( Protect)、检测 Detect)、反应(Reac和提供对 信息系统的恢复功能( Restore),它们构成以安全 策略为中心的PDRR动态信息保障模型 P-PDRR 保护 检测 Protect Detect 安全 策略 恢复 反应 Restore React 4/83

4/83 3.1 信息保障体系的基本概念  信息保障在内涵上包括在信息系统中融入保护 (Protect)、检测(Detect)、反应(React)和提供对 信息系统的恢复功能(Restore)，它们构成以安全 策略为中心的PDRR动态信息保障模型P-PDRR 第三章 信息安全保障体系 3.1 信息保障体系的基本概念 保护 Protect 检测 Detect 恢复 Restore 反应 React 安全 策略

彳 第三章信息安全保障体系 31信息保障体系的基本概念81价息障体系的基概 ●美国国家安全局(NSA)1998年制定《信息保障技术框架》 (ATF),提出了 主动防护 即在安全事件发生前对系统面临的威胁和风险、系统中存在的 漏洞进行主动的分析和检测,并针对问题进行及时的防护;同 时在事件发生时能够采取有效的应急手段将安全风险和损失降 到最小;事件发生后及时恢复 深度防御策略 ●即从物理网络,应用系统管理等各个层面综合防护 2002年9月,颁布《信息保障技术框架》31版本 信息保障已经成为国家战略 ●主动防护、纵深防御、 P-PDRR是信息保障的重要标志 5/83

5/83  美国国家安全局(NSA),1998年制定《信息保障技术框架》 (IATF),提出了 ⚫ 主动防护 ⚫ 即在安全事件发生前对系统面临的威胁和风险、系统中存在的 漏洞进行主动的分析和检测，并针对问题进行及时的防护；同 时在事件发生时能够采取有效的应急手段将安全风险和损失降 到最小；事件发生后及时恢复 ⚫ 深度防御策略 ⚫ 即从物理,网络,应用,系统,管理等各个层面综合防护  2002年9月，颁布《信息保障技术框架》3.1版本 ⚫ 信息保障已经成为国家战略  主动防护、纵深防御、P-PDRR是信息保障的重要标志 3.1 信息保障体系的基本概念 第三章 信息安全保障体系 3.1 信息保障体系的基本概念

彳 第三章信息安全保障体系 多31信息保障体系的基本概念信惠保牌体系的基本概念 ●在深度防御策略中,将信息系统安全划分为五个 层面进行综合防护,即 物理层安全、系统层安全、网络层安全、管理层安全、 应用层安全 ≥五个层面的递次关系为 ●首先是物理安全,保障基本设施层面的安全 然后在物理设备上运行的操作系统要安全可信 ●进一步保障系统内部和系统之间的网络传输的安全 在上述构建的基础信息网络环境下构建的应用的安全 最后要保障管理方面的安全 6/83

6/83  在深度防御策略中，将信息系统安全划分为五个 层面进行综合防护，即 ⚫ 物理层安全、系统层安全、网络层安全、管理层安全、 应用层安全  五个层面的递次关系为 ⚫ 首先是物理安全，保障基本设施层面的安全 ⚫ 然后在物理设备上运行的操作系统要安全可信 ⚫ 进一步保障系统内部和系统之间的网络传输的安全 ⚫ 在上述构建的基础信息网络环境下构建的应用的安全 ⚫ 最后要保障管理方面的安全 3.1 信息保障体系的基本概念 第三章 信息安全保障体系 3.1 信息保障体系的基本概念

彳 第三章信息安全保障体系 心321国家信息保障体系的构成 32信息保障体系的构成 ≥国家信息安全保障体系因国家而异,但如下的基 础设施和体系是不可或缺的 法律监管体系 提供法律保障,执法机关对信息安全的监管,如数字签名法 国务院147号令:信息安全保障方面的法规 《中华人民共和国计算机信息系统安全保护条例》 1997年修改的刑法中对计算机犯罪进行规定 基础网络设施安全保障体系 信任体系的建设 网络中的信任危机、信任抵赖如何解决 建立以密码技术为支撑的网上信任体系极为重要,如PK等 183

7/83 3.2.1国家信息保障体系的构成  国家信息安全保障体系因国家而异，但如下的基 础设施和体系是不可或缺的 ⚫ 法律监管体系 ⚫ 提供法律保障，执法机关对信息安全的监管，如数字签名法 ⚫ 国务院147号令：信息安全保障方面的法规 ▪ 《中华人民共和国计算机信息系统安全保护条例》 ⚫ 1997年修改的刑法中对计算机犯罪进行规定 ⚫ 基础网络设施安全保障体系 ⚫ 信任体系的建设 ⚫ 网络中的信任危机、信任抵赖如何解决 ⚫ 建立以密码技术为支撑的网上信任体系极为重要，如PKI等 第三章 信息安全保障体系 3.2 信息保障体系的构成

彳 第三章信息安全保障体系 心321国家信息保障体系的构成2息停牌体系的构成 应急响应体系建设 一个组织为了应对各种安全事件的发生而在事发前所 做的准备工作和在事件发生时及发生后所采取的紧急 措施 ●监督控制体系的建设 ●互联网有害信息内容的监督和控制 信息安全保障技术标准体系 ●涉及技术、产品、管理、服务方面的标准 ●军事战术环境的信息保障 8/83

8/83 ⚫ 应急响应体系建设 ⚫ 一个组织为了应对各种安全事件的发生而在事发前所 做的准备工作和在事件发生时及发生后所采取的紧急 措施 ⚫ 监督控制体系的建设 ⚫ 互联网有害信息内容的监督和控制 ⚫ 信息安全保障技术标准体系 ⚫ 涉及技术、产品、管理、服务方面的标准 ⚫ 军事战术环境的信息保障 3.2.1国家信息保障体系的构成 第三章 信息安全保障体系 3.2 信息保障体系的构成

彳 第三章信息安全保障体系 心321国家信息保障体系的构成 32信息保障体系的构成 人才教育培养体系 信息安全人才培养极为重要,有多种渠道 学历教育一信息安全专业 专业培训一各种认证 CISSP 职业培训一对相关人员的安全意识和常识的培训 招安:黑客 技术支撑队伍体系 各种从事信息安全的组织,需要多种类型 基础理论研究 新技术研究 产品研发 安全服务、外包 9/83

9/83 ⚫ 人才教育培养体系 ⚫ 信息安全人才培养极为重要，有多种渠道 ▪ 学历教育－信息安全专业 ▪ 专业培训－各种认证CISSP… ▪ 职业培训－对相关人员的安全意识和常识的培训 ▪ 招安：黑客 ⚫ 技术支撑队伍体系 ⚫ 各种从事信息安全的组织，需要多种类型 ▪ 基础理论研究 ▪ 新技术研究 ▪ 产品研发 ▪ 安全服务、外包 3.2.1国家信息保障体系的构成 第三章 信息安全保障体系 3.2 信息保障体系的构成

彳 第三章信息安全保障体系 心321国家信息保障体系的构成2息停牌体系的构成 组织内部信息安全保障体系 个国家中的社会由不同规模、职能、性质的 组织构成,不同的组织具有个性化特点,构成 不同层次的信息系统,一套安全解决方案不适 合所有的组织 ●整体解决组织(单位内部安全问题需要全面分析 安全需求,综合设计,组织内部的安全问题, 应该从构建信息安全保障体系思想解决 10/83

10/83  组织内部信息安全保障体系 ⚫ 一个国家中的社会由不同规模、职能、性质的 组织构成，不同的组织具有个性化特点， 构成 不同层次的信息系统，一套安全解决方案不适 合所有的组织 ⚫ 整体解决组织(单位)内部安全问题需要全面分析 安全需求，综合设计，组织内部的安全问题， 应该从构建信息安全保障体系思想解决 3.2.1国家信息保障体系的构成 第三章 信息安全保障体系 3.2 信息保障体系的构成

彳 第三章信息安全保障体系 心321国家信息保障体系的构成2息停牌体系的构成 ●信息保障在信息系统安全知识体系中的地位 TcB提供了信息系统安全的结构和范畴 ●安全控制是信息系统安全原理的核心 安全模型是策略描述与实现的依据 安全技术是安全控制的具体措施和功能 信息保障模型是安全实现的内在联系机制,是cc的原 理 11/83

11/83  信息保障在信息系统安全知识体系中的地位 ⚫ TCB提供了信息系统安全的结构和范畴 ⚫ 安全控制是信息系统安全原理的核心 ⚫ 安全模型是策略描述与实现的依据 ⚫ 安全技术是安全控制的具体措施和功能 ⚫ 信息保障模型是安全实现的内在联系机制，是CC的原 理 3.2.1国家信息保障体系的构成 第三章 信息安全保障体系 3.2 信息保障体系的构成