第19讲 信息安全管理.ppt

第十九讲、信息安全管理 主要内容 信息安全含义 是指保护信息的必威体育官网网址性、完整性和可用性，另外也包括真实性、可核查性、不可抵赖性和可靠性 基本属性－必威体育官网网址性、完整性和可用性（信息安全三元组） 其他属性－真实性、可核查性、不可抵赖性和可靠性 必威体育官网网址性 是指信息不被泄漏给未授权的个人、实体和过程或不被其使用的特性 实现技术： 网络安全协议 网络认证服务 数据加密服务 可用性 指需要时，授权实体可以访问和使用的特性。 实现技术： 磁盘和系统的容错及其备份 可接受的登陆及进程性能 可靠的功能性的安全进程和机制 真实性 对信息的来源进行判断，能对伪造来源的信息予以鉴别。 可核查性 系统实体的行为可以被独一无二的追溯到该实体的特性。 不可抵赖性 是指建立有效的责任机制，防止用户否认其行为 可靠性 系统在规定的时间和给定的条件下，无故障完成规定功能的概率。 是指信息系统及其所存储、传输、和处理的信息的必威体育官网网址性、完整性和可用性的表征。 必威体育官网网址性 应用系统常用的必威体育官网网址技术 最小授权原则 防暴露 信息加密、物理必威体育官网网址 完整性 保障应用系统完整性的常用方法 协议 纠错编码 密码校验 数字签名 公证 1.3 信息安全（保障）系统 ???信息安全保障系统定义： “信息安全保障系统”是一个在网络上，集成各种硬件、软件和密码设备，以保障其他应用信息系统正常运行的信息应用系统，以及与之相关的岗位、人员、策略、制度和规程的总和。 信息系统的“安全空间”由OSI（开放式系统互连）网络参考模型、安全机制、安全服务三个维度组成。 这个空间具有 认证 权限 完整 加密 不可否认 五大要素，也叫做“安全空间”的五大“属性”。 (1) 安全机制 企业安全防范体系建立的核心是实现企业信息安全资源的综合管理，即 EISRM（Enterprise Information Security Resource Management）。使其发挥以下六项能力： 预警（Warn） 保护（Protect） 检测（Detect） 反应（Response） 恢复（Recover） 反击（Counter-attack） 六个环节，即综合的 WPDRRC 信息安全保障体系。 (2) 安全服务 1. 对等实体认证服务??2. 数据必威体育官网网址服务??3. 数据完整性服务??4. 数据源点认证服务??5. 禁止否认服务??6. 犯罪证据提供服务 信息安全系统架构体系 MIS+S：Management Information System + Security 系统为“初级信息安全保障系统”或“基本信息安全保障系统”。??? ?S-MIS：Security - Management Information System 系统为“标准信息安全保障系统”。 S2-MIS：Super Security Management Information System 系统为“超安全的信息安全保障系统”。 确定系统安全方案主要内容 1）首先确定采用 MIS+S、S-MIS 或 S2-MIS 系统架构。 2）确定业务和数据存储的方案。 3）网络拓扑结构。 4）基础安全设施和主要安全设备的选型。 5）信息应用系统的安全级别的确定。 6）系统资金和人员投入的档次。 二、信息安全管理体系 定义：信息安全管理体系（Information Security Management System，ISMS）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和手段所构成的体系；是信息安全管理活动的直接结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。 信息安全管理体系构成 信息安全管理的基本原则 一、总体原则 1、主要领导负责原则 2、规范定级原则 3、以人为本原则 4、适度安全原则 5、全面防范、突出重点原则 6、系统、动态原则 7、控制社会影响原则。 二、安全策略管理 1、分权制衡 2、最小特权 3、选用成熟技术 4、普遍参与。 信息安全管理的目标如下： 基于信息系统各个层次的安全管理 基于信息系统的各个层次，可相应在如下层次中开展信息安全管理： 环境和设备安全 网络和通信安全 主机和系统安全 应用和业务安全 数据安全 环境和设备安全也称为物理安全。主要是涉及信息系统和信息工作所在的环境安全，以及信息设备方面的安全。另外，文档和介质是存储数据的特殊载体