信息安全简介-许昌开普V1.00详解.pptx

信息安全 许昌开普检测技术有限公司 信息系统安全保障模型 国家标准：《GB/T 20274.1-2006 信息安全技术 信息系统安全保障评估框架 第一部分：简介和一般模型》 信息安全资质总览 对称密码算法（Symmetric cipher）：加密密钥和解密密钥相同，或实质上等同，即从一个易于推出另一个，又称传统密码算法（Conventional cipher)、秘密密钥算法或单密钥算法。 DES、3DES、IDEA、AES 非对称密码算法（Asymmetric cipher） ：加密密钥和解密密钥不同，从一个很难推出另一个，又叫公钥密码算法（Public-key cipher)。其中，对外公开的密钥，称为公开密钥（public key)，简称公钥；必须必威体育官网网址的密钥，称为私有密钥（private key)，简称私钥。 RSA、ECC、ElGamal 数字信封 先使用对称算法加密信息，然后用非对称算法加密对称密钥 4 Rick 明文 密文 公开密钥加密 对称密钥加密 密文 私有密钥解密 明文 对称密钥解密 数字信封 制作数字信封 解开数字信封 访问控制模型的分类** 强制访问控制模型 （MAC） 自主访问控制模型 （DAC） 访问矩阵模型 访问控制列表 （ACL） 权能列表 （Capacity List） Bell-Lapudula 模型 Biba 模型 Clark-Wilson 模型 Chinese Wall 模型 必威体育官网网址性 模型 完整性 模型 基于角色访问控制模型 （RBAC） 混合策 略模型 ISO/OSI七层模型结构 物理层 网络层 传输层 会话层 表示层 应用层 数据链路层 应用层（高） 数据流层 7 6 5 4 3 2 1 安全操作系统概念 操作系统安全 安全设置 安全增强 安全操作系统 可信计算机系统评价标准（Truested Computer Security Evaluation Critria，TCSEC）（橙皮书、橘皮书） 仅用于操作系统的安全性评估 四级七小类：D，C1，C2，B1，B2，B3，A1 可信操作系统 层层设防：防护体系建设（IATF） DB 各种应用 安全边界 查询引擎 DBMS选件 事务引擎 漏洞产生的原因 技术原因 软件系统复杂性提高，质量难于控制，安全性降低 公用模块的使用引发了安全问题 经济原因 “柠檬市场”效应 环境原因 从传统的封闭、静态和可控变为开放、动态和难控 攻易守难 安全缺陷 安全性缺陷是信息系统或产品自身“与生俱来”的特征，是其的固有成分 ARP欺骗的实现 bb:bb:bb:bb:bb cc:cc:cc:cc:cc aa:aa:aa:aa:aa 192.168.1.1 192.168.1.2 MAC cc:cc:cc:cc:cc is 192.168.1.1 收到，我会缓存！ 192.168.1.3 渗透测试 渗透测试： 通过模拟恶意黑客的攻击方法，来评估系统安全的一种评估方法 从攻击的角度测试软件系统是否安全 使用自动化工具或者人工的方法模拟黑客的输入，找出运行时刻目标系统所存在的安全漏洞 优点 找出来的问题都是真实的，也是较为严重的 缺点 只能到达有限的测试点，覆盖率较低 11 易于管理和维护的ISMS层次化文档结构 一级文件：方针性文件 二级文件：信息安全管控程序、管理规定性文件 三级文件：操作指南、作业指导书类 四级文件：体系运行的各种记录 下级文件应支持上级文件 《国家信息化领导小组关于加强信息安全保障工作的意见》 总体方针和要求 坚持积极防御、综合防范的方针 全面提高信息安全防护能力 重点保障基础信息网络和重要信息系统安全 创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全 主要原则 立足国情，以我为主，坚持技术与管理并重 正确处理安全和发展的关系，以安全保发展，在发展中求安全 统筹规划，突出重点，强化基础工作 明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系 13 风险评估工作形式 信息安全风险评估分为自评估、检查评估两种形式 自评估为主，自评估和检查评估相互结合、互为补充 自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持 14 自评估 信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估 15 由发起方实施 优点 有利于降低实施的费用 有利于必威体育官网网址 有利于发挥行业和部门内人员的业务特长 有利于提高相关人员的安全意识和评估能力 缺点 可能结果不够深入准确 客观性易受影响 由受委托方实施 优点 过程比较规范 客观性比较好 缺点 对业务了解存在局限性 不利于必威体育官网网址 15 检查评估 信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估 16 优点 具权威性