[精选]信息安全管理课件.pptx

《[精选]信息安全管理课件.pptx》由会员分享，可在线阅读，更多相关《[精选]信息安全管理课件.pptx（49页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全管理信息安全管理nInformation Security ManagementInformation Security Managementn2003级 曹炳文主要内容主要内容一一.信息安全理论信息安全理论 相关基本概念、理论体系、开展历史、信息安全标准体系、法律法规、部署与操作二二.信息安全管理信息安全管理 风险管理：OCTAVE 工程角度：SSE-CMM三三.研究现状与个人思考研究现状与个人思考四四.附录附录-2023/4/172信息安全概念信息安全概念l什么是信息安全？什么是信息安全？ISO:为数据处理系统建立的安全保护，保护计算机硬件、软件、数据不因偶然的或者恶意的原因而遭受

2、到破坏、更改和泄露；国内：计算机系统的硬件、软件、数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改和泄露以及系统连续正常运行。2023/4/173信息系统安全信息系统安全l信息系统安全 是为确保信息系统体系结构安全，以及与此相关的各种安全技术、安全效劳、安全管理的总和。l联系与区别 信息系统安全：更具有体系性、可设计性、可实现性和可操作性；信息安全：更广泛、概念化；不说明任何个体或系统2023/4/174信息的安全属性以及信息安全特性信息的安全属性以及信息安全特性信息的安全属性：信息的安全属性：保密性保密性Confidentiality完整性完整性Integrality可用性可用性Av

3、ailability可控性可控性Controllability不可否认性不可否认性Non-repudiation信息安全特性信息安全特性社会性全面性过程性或生命周期性动态性层次性相对性2023/4/175信息安全开展历史信息安全开展历史l通信保密阶段 SEC 标志标志：1949年Shannon发表的保密系统的信息理论；密码学；数据加密l计算机安全 PUSEC和信息安全INFSEC 标志标志：1977 标准局NBS发布的国家数据加密标准和1985年 国防部DoD公布的可信计算机系统评估准则l信息保障IA 标志标志：2000年9月NSA 家 发布的信息保障技术框架3.0版，2002年更新为3.1版

4、；国防部：第8500.1信息保障；第8500.2信息保障的实施2023/4/176信息安全信息安全理论体系结构理论体系结构2023/4/177信息安全理论基础信息安全理论基础n密码理论密码理论n数据加密对称算法：DES、AES；非对称算法：RSA、ECCn消息 n数字签名n密钥管理n安全理论安全理论身份认证Authentication授权和访问控制Authorization and Access control审计追踪安全协议2023/4/178信息安全应用研究信息安全应用研究l信息安全技术信息安全技术防火墙技术入侵检测技术漏洞扫描技术防病毒技术l平台安全平台安全物理安全网络安全系统安全数据安

5、全用户安全边界安全2023/4/179我国信息安全标准框架我国信息安全标准框架2023/4/1710信息标准内容信息标准内容l基础标准类基础标准类 信息安全术语、信息安全体系结构、信息安全框架、信息安全模型、安全技术l物理安全标准物理安全标准 物理环境和保障、安全产品、介质安全l系统与网络标准系统与网络标准 硬件应用平台安全、软件应用平台安全、网络安全、安全协议、安全信息交换语法规则、人机接口、业务应用平台l应用与工程标准应用与工程标准 安全工程和效劳、人员资质、行业标准l管理标准管理标准 管理基础、系统管理、测评认证2023/4/1711实例实例北京市信息安全标准体系北京市信息安全标准体系2

6、023/4/1712信息安全管理标准信息安全管理标准BS7799BS7799lBS7799与ISO17799 BS7799-1信息安全管理实施细则 BS7799-2信息安全管理体系标准lBS7799-2 包括两大要求：遵循PDCA这种持续改进管理模式 信息安全体系要求；信息安全控制要求2023/4/1713信息技术安全性评估准则信息技术安全性评估准则2023/4/1714法律法规法律法规l国家法律国家法律如：保守国家秘密法 标准化法、法 产品质量法、维护互联网安全的决定等；l行政法规行政法规如：计算机信息系统安全保护条例 计算机信息网络国际联网管理暂行规定 商用秘密管理条例等l部门规章及标准性

7、文件部门规章及标准性文件 计算机信息网络国际联网安全保护管理方法等；l行业性法规电信、银行等行业性法规电信、银行等2023/4/1715信息安全体系的设计流程信息安全体系的设计流程2023/4/1716主要内容主要内容一一.信息安全理论信息安全理论 相关基本概念、理论体系、开展历史、信息安全标准体系、法律法规、部署与操作二二.信息安全管理信息安全管理 风险管理：OCTAVE 工程角度：SSE-CMM三三.研究现状与个人思考研究现状与个人思考四四.附录附录-2023/4/1717信息安全管理方法信息安全管理方法2023/4/1718研究方法研究方法弱点评估弱点评估n弱点评估方法：侧重于技术方面弱

8、点评估方法：侧重于技术方面n弱点评估包括：弱点评估包括：使用特定的IT技术标准评估整个计算基础结构使用拥有的软件工具分析基础结构及其全部组件提供详细的分析，说明检测到的技术弱点，并且提供具体的建议2023/4/1719基于风险分析的信息安全管理基于风险分析的信息安全管理l风险分析的四要素 资产：物理计算机、信息资源等；脆弱性：系统或组织存在的弱点；威胁：不期望发生的事件；影响2023/4/1720基于风险管理的实施步骤l彻底地调查企业或组织的资产与资源；l标识可能出现或者潜在的威胁；要把人员的因素考虑进去；l定义每个威胁的可能性Ex;l定义每个威胁出现引起的损失因子Dx;l评估该威胁引起的风险

9、：Dx*Exl衡量损失与投入等，确定风险的优先级；l根据风险优先级，采取安全措施；2023/4/1721基于风险分析的几个问题基于风险分析的几个问题n资产如何识别？n如何识别和标识威胁？n威胁的可能性Ex如何确定？n损失因子Dx如何确定？n风险如何表示？才能确定其优先级？2023/4/1722确定资产以及要求的安全属性确定资产以及要求的安全属性n可能的资产：关键信息系统以及其支撑系统 书面的重要资料 网络 。n每个资产的安全属性要求：保密性 可用性 完整性 不可否认性2023/4/1723威胁树威胁树2023/4/1724风险分析方法及其问题风险分析方法及其问题n风险分析方法：AHP法 工程经

10、验数据方法 问讯表方法 技术性测评工具n存在问题：无法准确定义威胁的可能性因子Ex 无法准确定义损失因子Dx2023/4/1725OCTAVE ApproachOCTAVE:Operationally Critical Threat,Asset,and Vulnerability Evaluation从系统的、组织角度出发强调自主性；一系列讨论会可操作性2023/4/1726OCTAVE Approach 框架2023/4/1727OCTAVE method2023/4/1728OCTAVEOCTAVE的弱点以及基于安全需求的方法的弱点以及基于安全需求的方法nOCTAVE的弱点 1、基于风险管

11、理方法的固有弱点 2、基础数据完全依赖内部调查n基于安全需求的方法 原因：计算模式的变化 从以计算机为中心IT为中心信息为中心 安全需求的驱动：除资产外，业务要求、法律法规等2023/4/1729从工程角度研究信息安全n信息安全的特性n系统工程 开掘需求定义系统功能设计系统实施系统有效性评估n信息安全工程开展过程：n1994年，方发布信息系统安全工程手册1.0n借鉴CMM，1996年发布了SSE-CMM版本1.0n1999年4月，形成了SSE-CMM 2.0版本n2002年11月，SSE-CMM成为ISO标准，ISO/IEC218272023/4/1730信息系统安全工程ISSEn以时间维工程

12、过程为线索描述n参考信息系统安全工程手册1.0和信息系统安全工程学nISSE过程开掘信息保护需求机构、信息系统、信息保护策略定义信息保护系统信息保护目标、背景、信息保护需求、功能分析设计信息保护系统功能分配、概要设计、详细设计实施信息保护系统采购、建设、测试评估信息保护系统的有效性2023/4/1731信息安全工程信息安全工程SSE-CMM的体系结的体系结构构nSSE-CMM是面向过程的信息安全方法学nSSE-CMM的体系结构是其方法学的核心,该模型分为两维.n横轴定义了11个安全方面的关键过程域管理安全控制、评估影响、评估安全风险、评估威胁、评估脆弱性、建立保证论据、协调安全、监视安全、监视

13、安全态势、提供安全输入、确定安全需求、验证与确认安全n纵轴为0-5六个能力成熟度级别。每个级别的判定反映为一组共同特征CF,而每个共同特征通过一组确定的通用实践GP来描述；过程能力由GP来衡量。2023/4/1732SSE-CMM的体系结构2023/4/1733SSE-CMMSSE-CMM的安全完备性的安全完备性nSSE-CMM中的系统安全过程：工程过程、风险过程、保证过程n工程过程：PA10“确定安全需求、PA09“提供安全输入、PA01“管理安全控制、PA08“监视安全态势、PA07“协调安全n风险过程 PA04“评估威胁、PA05“评估脆弱性、PA02“评估影响、PA03“评估安全风险n

14、保证过程PA11“验证与确认安全、PA06“建立保证论据2023/4/1734主要内容主要内容一一.信息安全理论信息安全理论 相关基本概念、理论体系、开展历史、信息安全标准体系、法律法规、部署与操作二二.信息安全管理信息安全管理 风险管理：OCTAVE 工程角度：SSE-CMM三三.研究现状与个人思考研究现状与个人思考四四.附录附录-2023/4/1735研究现状国内研究现状国内l研究状况研究状况l研究热点研究热点1.对信息安全标准的研究：综述如：安全评估标准、技术2.从安全技术的角度：访问控制研究、入侵检测技术、PKI、安全协议3.网络信息安全4.从信息系统角度安全需求分析、安全体系结构、安

15、全度量、安全模型、信息系统安全度量与评估模型2023/4/1736应用应用l银行l电信l电子商务l电子政务l电力l.2023/4/1737个人思考个人思考l研究角度研究角度 安全需求Security Requirementl行业应用行业应用 结合具体行业电力行业l企业开展特殊时期企业开展特殊时期 EAI 企业应用集成2023/4/1738研究方法中的几个问题研究方法中的几个问题l风险分析的局限性l形式化描述l自下而上l可操作性2023/4/1739主要内容主要内容一一.信息安全理论信息安全理论 相关基本概念、理论体系、开展历史、信息安全标准体系、法律法规、部署与操作二二.信息安全管理信息安全管

16、理 风险管理：OCTAVE 工程角度：SSE-CMM三三.研究现状与个人思考研究现状与个人思考四四.附录附录-2023/4/1740附录一相关书n沈昌祥.信息安全工程导论.北京:电子工业出版社,2003.7n戴宗坤,罗万伯.信息系统安全.北京:电子工业出版社,2002n中国信息安全产品测评认证中心.北京:人民邮电出版社,2003.9n卿斯汉.信息系统的安全.北京:科学出版社,2003nChristopher M.King.安全体系结构的设计部署与操作.北京:清华大学出版社,2003nAlberts,C.;Dorofee,A.Managing Information Security Risks

17、.n段云所,魏仕民等.信息安全概论.北京:高等教育出版社,2003n关义章,戴宗坤.信息系统安全工程学.北京:电子工业出版社,20022023/4/1741附录二相关论文nRebcca T.Mercuri.On auditing audit trails.munication of ACM,2003,461:17-20nJeff Sutberland and Willem-Jan van den Heuvel.Enterprise application integration and plex adaptive system.munication of ACM,2002,4510:59-64

18、nRebcca T.Mercuri.puter security:Quality rather than quantity.munication of ACM,2003,461:17-20nMichael E.Whitman.Enemy at the gate:Threats to information security.munication of ACM,2003,468:91-95nJackie Rees,Subhajyoti Bandgopadhyay,and Eugene H.Spafford.PFIRES:A policy framework for information sec

19、urity.munication of ACM,2003,467:101-106nHuaiqing and Chen wang.Taxonomy of security considerations and software quality.munication of ACM,2003,466:75-782023/4/1742附录二相关论文nMarianna Gerber and Rossouw Von Solms.From risk analysis to security requirements.puter&Security 2001,207,577-584nDenis Trcek.An

20、 integral framework for information systems security management puter&Security 2003,224,337-360nChing-Yunlee.Model calculations to estimate the probability of secret reconstruction in puter environments.Information management&puter security 2001,91,13-20nInformation security-A multidimensional disci

21、pline.puter&Security 2001,206,504-508nA model for deriving information security control attribute profiles.puter&Security 2003,223,233-244nTrends in academic research:Vulnerabilities analysis and intrusion detection.puter&Security 2002,217,609-6122023/4/1743附录二相关论文n闫强,陈钟等.信息系统安全度量与评估模型.电子学报,20037,13

22、51-1355n李守鹏,孙红波.信息系统安全模型研究.电子学报,200310,1491-1495n李守鹏,孙红波.信息系统安全策略研究.电子学报,20037,977-980n访问控制研究综述.计算机工程,2004,302,1-2n基于SSE-CMM的信息系统安全工程模型.计算机工程,2003,2916,35-36n王茜,杨德礼.电子商务的安全体系结构及技术研究.计算机工程,2003,291,72-75n闫强,段云所等.信息安全评估标准、及其进展.计算机工程,2003,296,n金凤,蔡家楣等.电子商务系统基本安全问题的分析和描述.计算机工程.2003,297,110-112n蒋春芳,岳超源,陈

23、太一.信息系统安全体系结构的有关问题研究.计算机工程与应用,2004,401,138-1402023/4/1744附录二相关论文n蔡昱,张玉清等.安全评估标准综述.计算机工程与应用.2004,402,129-132n张友生.网络身份认证系统的设计与应用.计算机工程与应用.2003,3931,143-144n崔健双,李铁克.网络信息系统安全研究现状及热点分析.计算机工程与应用.2003,3927,180-186n卿斯汉.安全协议20年研究进展.软件学报,2003,1410,1740-1752n单智勇,孙玉芳.通用访问控制框架扩展研究.计算机研究与开展.2003,402,229-233n环境适应的

24、通用多安全政策支持框架研究.计算机研究与开展.2003,402,235-244n吴丹,王志英.CC与SSE-CMM结合的信息安全评估方法.计算机科学,2003,3011,152-154n曹阳,张维明.信息系统安全需求分析方法研究.计算机科学,2003,304,121-1242023/4/1745附录二相关论文n张原,史浩山.信息安全模型研究.小型微型计算机系统,2003,2410,1878-1881n邓冰.信息安全能力成熟度模型IS-CMM的建构.计算机工程,2003,2910,122-124n高速公路联网收费系统的信息安全.计算机工程,2003,2910,124-1262023/4/1746

25、附录三相关杂志与资料n核心类：核心类：软件学报 电子学报 计算机工程计算机研究与开展 计算机工程n应用类应用类信息安全与通信保密 计算机安全 信息技术与标准化中国电力 电力系统自动化 信息网络安全n博士论文博士论文基于角色-任务的安全模型的研究基于风险管理的信息安全保障的研究信息内容安全保护体系结构研究信息系统安全的工程化管理研究信息安全及模型与评估的几点新思路信息技术安全性评估准则研究2023/4/1747谢谢 谢！谢！2023/4/1748n9、静夜四无邻，荒居旧业贫。4月-234月-23Monday,April 17,2023n10、雨中黄叶树，灯下白头人。19:21:1319:21:1

26、319:214/17/2023 7:21:13 PMn11、以我独沈久，愧君相见频。4月-2319:21:1319:21Apr-2317-Apr-23n12、故人江海别，几度隔山川。19:21:1319:21:1319:21Monday,April 17,2023n13、乍见翻疑梦，相悲各问年。4月-234月-2319:21:1319:21:13April 17,2023n14、他乡生白发，旧国见青山。17 四月 20237:21:13 下午19:21:134月-23n15、比不了得就不比，得不到的就不要。四月 237:21 下午4月-2319:21April 17,2023n16、行动出成果

27、，工作出财富。2023/4/17 19:21:1319:21:1317 April 2023n17、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。7:21:13 下午7:21 下午19:21:134月-23n9、没有失败，只有暂时停止成功！。4月-234月-23Monday,April 17,2023n10、很多事情努力了未必有结果，但是不努力却什么改变也没有。19:21:1319:21:1319:214/17/2023 7:21:13 PMn11、成功就是日复一日那一点点小小努力的积累。4月-2319:21:1319:21Apr-2317-Apr-23n12、世间成事，不

28、求其绝对圆满，留一份缺乏，可得无限完美。19:21:1319:21:1319:21Monday,April 17,2023n13、不知香积寺，数里入云峰。4月-234月-2319:21:1319:21:13April 17,2023n14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 四月 20237:21:13 下午19:21:134月-23n15、楚塞三湘接，荆门九派通。四月 237:21 下午4月-2319:21April 17,2023n16、少年十五二十时，步行夺得胡马骑。2023/4/17 19:21:1319:21:1317 April 2023n17、空山新雨后，天气晚

29、来秋。7:21:13 下午7:21 下午19:21:134月-23n9、杨柳散和风，青山澹吾虑。4月-234月-23Monday,April 17,2023n10、阅读一切好书如同和过去最杰出的人谈话。19:21:1319:21:1319:214/17/2023 7:21:13 PMn11、越是没有本领的就越加自命非凡。4月-2319:21:1319:21Apr-2317-Apr-23n12、越是无能的人，越喜欢挑剔别人的错儿。19:21:1319:21:1319:21Monday,April 17,2023n13、知人者智，自知者明。胜人者有力，自胜者强。4月-234月-2319:21:13

30、19:21:13April 17,2023n14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 四月 20237:21:13 下午19:21:134月-23n15、最具挑战性的挑战莫过于提升自我。四月 237:21 下午4月-2319:21April 17,2023n16、业余生活要有意义，不要越轨。2023/4/17 19:21:1319:21:1317 April 2023n17、一个人即使已登上顶峰，也仍要自强不息。7:21:13 下午7:21 下午19:21:134月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉