信息安全體系結構

1章概述根本概念體系構造:是系統(tǒng)整體體系構造的描述的一局部，應當包括一組相互依靠、協(xié)作的安全功能相關元素的最高層描述與配置，這些元素共同實施系統(tǒng)的安全策略。信息安全體系構造信息安全保障：是人類利用技術和閱歷來實現(xiàn)信息安全的一個過程。三要素人：包括信息安全保障目標的實現(xiàn)過程中的全部有關人員。技術：用于供給信息安全效勞和實現(xiàn)安全保障目標的技術。治理：對實現(xiàn)信息安全保障目標有責任的有管人員具有的治理職能。不行。作為一個信息安全工作者，應當遵循哪些道徳標準？1、不行使用計算機去做損害他人的事2、不要干擾他人使用計算機的工作3、不要窺視他人的計算機文件4、不要使用計算機進展偷竊。5、不要使用計算機來擔當為證6、不要使用沒有付款的專用軟件。2章信息安全體系構造規(guī)劃與設計網(wǎng)絡與信息系統(tǒng)總體構造初步分析信息安全需求分析物理安全：從外界環(huán)境、根底設施、運行硬件、介質等方而為信息系統(tǒng)安全運行供給根本的底層支持和保障。安全需求主要包括：物理位程的選擇、物理訪問把握、防盜竊和防破壞、防雷電、防火、防靜電。系統(tǒng)安全：供給安全的操作系統(tǒng)和安全的數(shù)據(jù)庫治理系統(tǒng)，以實現(xiàn)操作系統(tǒng)和數(shù)拯庫侵檢測、基于主機的漏洞掃描、基于主機的惡意代碼的檢測與防范、基于主機的文件完整性檢驗、容災、備份與恢復。網(wǎng)絡安全：為信息系統(tǒng)能夠在安全的網(wǎng)絡壞境中運行供給支持。安全需求包括：信息與響應安全需求。數(shù)據(jù)安全：目的：實現(xiàn)數(shù)據(jù)的機密性、完整性、可控性、不行否認性，并進展數(shù)據(jù)備份和恢復。應用安全：保障信息系統(tǒng)的各種業(yè)務的應用程序安全運行，苴安全需求主要涉及口令機制和關鍵業(yè)務系統(tǒng)的對外接口。治理、系統(tǒng)運行維護治理。信息安全體系構造的設計目標、指導思想與設計原則設訃目標：幫助承受該體系構造的用戶滿足其信息安全需求，從而對苴相關資產(chǎn)進展保護。指導思想：遵從國家有關信息安全的政策、法令和法規(guī)，依據(jù)業(yè)務應用的實際應用，結合信息安全技術與產(chǎn)品的爭論與開覺察狀、近期的進展目標和將來的進展趨勢，吸取國外的先進閱歷和成熟技術。設計原則：需求明確、代價平衡、標準優(yōu)先、技術成熟、治理跟進、綜合防護。2.4安全策略的制定與實施2.4.1安全策略：作用：表現(xiàn)治理層的意志、知道體系構造的規(guī)劃與設訃、知道相關產(chǎn)品的選擇和系統(tǒng)開發(fā)過程、保證應用系統(tǒng)安全的全都性和完整性、避開資源鋪張、以及盡可能的消2.4.3安全策略分類：治理性安全策略(內部人員安全策略、物理和環(huán)境安全策略、應用操3章信息安全技術支撐密碼效勞技術作用：為密碼的有效應用供給技術支持。別、完善的密鑰治理機制。組成：密碼芯片、密碼模塊、客戶端密碼效勞設備、效勞端密碼效勞設備。字信封。(CPI)：臺。主要任務：封裝硬件接口驅動。密鑰治理技術審計功能。體系構造：密鑰生成子系統(tǒng)、密鑰庫子系統(tǒng)、密鑰恢復子系統(tǒng)、密鑰治理子系統(tǒng)、治理終端。認證技術PKI(CA)、數(shù)字證書審核注冊中心(RA)、密鑰治理中心(KMC)、名目效勞系統(tǒng)、可信時間戳系統(tǒng)組成。CA是認證體系的核心、RACAi正的以及治理的合成體，效勞PKI技術。根本模型：樹狀模型、信任鏈模型、網(wǎng)狀模型CA：CA是穿插認證的一個特例。RARARA方式的效勞、證書/、證書治理效勞、證書撤銷治理列表效勞、安全治理證書撤銷列表、密碼效勞、數(shù)據(jù)治理效勞RA的功能要求：Web效勞治理策略的制左、密鑰生成與存儲、密鑰公布、密鑰查詢、密鑰恢復、密鑰備份、密鑰歸檔、密CRL公布功能、ACRL調整系統(tǒng)業(yè)務力氣、可以有效地締約各種攻擊行為?？尚艜r間戳的功能要求。證書査詢證效勞系統(tǒng)的功能要求。授權技術作用：為應用供給針對各種資源的授權治理和訪問把握效勞技術。體系構造與主要功能：集中式授權治理效勞系統(tǒng)基于相對固左的授權模型，供給集中式治理，通過在數(shù)字證書的擴展項增加增加用戶的屬性或權限信息，在效勞器端構建授權治理〔PAPM分布式授權治理效勞系統(tǒng)：客戶端授權模塊、應用資源效勞器、授權治理效勞器、密碼效勞系統(tǒng)、資源訪問授權、操作員治理、權限治理、日志治理。202316000500Mb/s.容災備份與故障恢復技術作用：確保應用系統(tǒng)、關鍵數(shù)據(jù)具有很強的穩(wěn)定性與牢靠性。體系構造：本地備份：數(shù)據(jù)備份〔完全備份、特別備份、增量備份〕復〔恢復的措施：群集配置、雙機熱配置、磁盤鏡像、故障恢復治理〕惡意代碼防范技術防范策略：集中把握、分級治理、多層防護功能要求：病毒查殺系統(tǒng)、網(wǎng)關防毒系統(tǒng)、群件防毒系統(tǒng)、集中治理系統(tǒng)入侵檢測技術作用：通過從計算機網(wǎng)絡或汁算機系統(tǒng)中的假設干關鍵點收集信息并對英進展分析,從中覺察網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象，同時做出相應。3.7.3分類：基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡的入侵檢測系統(tǒng)、基于代理的入侵檢測系統(tǒng)。安全接口與中間件技術/算機資源和網(wǎng)絡通信。382體系構造：安全模塊接入層、核心層、協(xié)議適配層、應用接口適配層3.8.3分類：安全效勞中間件、安全傳輸中間件、安全消息中間件、安全Web效勞中間件。無線網(wǎng)絡安全技術3.9.2〔WAP：—系列協(xié)議組成，用來標準化移動通信設備的網(wǎng)絡訪問效勞?！砏AP的安全構造由WTLS/XVIMAVPKIAVMLScript四局部組成。WTLS：治理有線網(wǎng)絡的在線通信。WIM：用來執(zhí)行安全層和應用層的安全功能。PKI：負責證書的發(fā)放，治理以及相關操作。WMLScript：而不引發(fā)到效勞器的來回。4章主要信息安全產(chǎn)品網(wǎng)絡邊界防護產(chǎn)品：入侵檢測系統(tǒng)缺乏、IDS產(chǎn)品沒有統(tǒng)一標準進展趨勢：智能關聯(lián)、告警泛濫抑制、告警融合、可信任防范模型網(wǎng)絡邊界防護產(chǎn)品：防火墻功能特點：嵌入式防火墻、軟件防火墻、硬件防火墻、應用程序防火墻422主要技術：靜態(tài)分組過濾、動態(tài)分組過濾、狀態(tài)過濾、代理效勞器部署：部署邊界防火墻、部署內部防火墻、局限性：不能防范不經(jīng)過防火墻的攻擊、不能解決來自網(wǎng)絡內部的攻擊和安全問題、不能防止策略配置不當或錯誤配置引起的安全威逼。進展趨勢：高速、多功能化、更安全網(wǎng)絡連接防護產(chǎn)品：安全路由器：優(yōu)點：適用于大規(guī)模網(wǎng)絡，簡潔的網(wǎng)絡擴譜構造，負載共4.3.2進展趨勢：速度更快、提升效勞質疑、治理更加智能化網(wǎng)絡連接防護產(chǎn)品：安全網(wǎng)關功能：內容過濾、郵件過濾、防病毒進展趨勢：結合專用操作系統(tǒng)、硬件化和芯片化、硬件平臺多樣化、基于通用CPU的x86架構網(wǎng)絡連接防護產(chǎn)品：VPN主要技術：IPSecSSLVPN進展趨勢：結合名目效勞功能、實現(xiàn)QoS、安全性本地環(huán)境保護產(chǎn)品：惡意代碼防范軟件國產(chǎn)產(chǎn)品的局限性的方式、基于信息渡船產(chǎn)品的方式背地環(huán)境保護產(chǎn)品：密碼機臺監(jiān)控進程布式密碼效勞機。根底設施安全產(chǎn)品：PKI/CA開發(fā)模式：面對產(chǎn)品的開發(fā)模式和而向效勞的開發(fā)模式進展趨勢：根底設施安全產(chǎn)品：可信計算平臺進展歷程進呈現(xiàn)狀進展方向4.10」安全效勞唱片綜述典型安全效勞產(chǎn)品：安全運營治理安全效勞產(chǎn)品進展趨勢5章信息安全標準國際信息安全標準現(xiàn)狀國際信息技術標準化組織ISO和IEC美國信息安全標準：由美國國家標準化協(xié)會(ANSI)、美國國家技術標準局(NIST)制定。英他興盛國家的信息安全標準中國信息安全標準現(xiàn)狀工作原則與組織機構6章信息安全治理關于風險評估概念步驟有關標準ISO/IEC27002621背景主要內容應用狀況信息安全等級保護國外信息安全等級保護我過信息安全等級保護國家信息安全等級保護制度國家信息安全等級保護的有關標準信息安全治理體系背景I