信息安全技术交流

1、信息安全技术交流 信息安全概述信息安全概述 信息安全发展信息安全发展 完整项目过程完整项目过程 什么是“信息安全” ? v 信息信息安全基础安全基础 信息安全的目标 信息系统中数据与信息的安全与保密 信息系统自身的安全 v信息安全的目标信息安全的目标 内容的安全内容的安全 载体的安全载体的安全 信息安全的三个方面(bs7799/iso17799) 机密性（confidentiality） 完整性（integrity） 可用性（availability） v信息安全的经典定义信息安全的经典定义 不同环境、不同应用会有不同的侧重不同环境、不同应用会有不同的侧重 v安全工作的两个方面安全工作的两个方

2、面 面向数据和信息的安全 面向访问（人）的安全 客体安全客体安全 主体安全主体安全 v信息安全事件的模式信息安全事件的模式 攻击工具 攻击命令 攻击机制 目标网络 网络漏洞 目标系统 系统漏洞 攻击者 主体主体 客体客体攻击事件和过程攻击事件和过程 v信息安全威胁主体信息安全威胁主体 威胁来源威胁来源 内部人员（占绝大部分） 准内部人员 特殊身份人员 外部个人和小组（所谓黑客） 竞争对手和恐怖组织 敌对国家和军事组织 自然和不可抗力 v信息安全威胁的主体动机信息安全威胁的主体动机 威胁主体动机种类威胁主体动机种类 好奇的黑客（hacker） 可耻的小偷（phreaker） 可恶的破坏者（cra

3、cker） v人类的天性人类的天性 系统自身导致的脆弱性 原理性 bug 有意（恶意） 管理不当导致的脆弱性 环境安全脆弱性 v客体脆弱性产生的原因客体脆弱性产生的原因 v信息安全的特征信息安全的特征 信息安全的特点信息化信息安全 复杂性只多不少 难量化看不见摸不着 v通信工程 v综合布线 v机房设计 v信息模型 v网络建设 v应用开发 v物理 v数学 v通信 v材料 v计算机 v软件 v政治学 v社会学 v等 v网络吞吐量 v运算速度 v网络的带宽利用率 v数据库tpc指标 v应用程序的效率 v等性能问题 v“安全安全”（securitysecurity）的独特内涵）的独特内涵 “防范潜在的

4、危机” v信息安全的管理特性信息安全的管理特性 信息安全问题归根结底是 管理问题 v安全是相对的安全是相对的 权衡 可用性与安全性 易用性与安全性 经济性与安全性 有步骤分阶段 生命周期特性 只有相对的安全，没有绝对的安全 v信息安全标准介绍，什么是标准信息安全标准介绍，什么是标准 标准是对重复性事物和概念所作的统一规定。它标准是对重复性事物和概念所作的统一规定。它 以科学、技术和实践经验的综合成果为基础，经有关以科学、技术和实践经验的综合成果为基础，经有关 方面协商一致，由主管机构批准，以特定形式发布，方面协商一致，由主管机构批准，以特定形式发布， 作为共同遵守的准则和依据。作为共同遵守的准

5、则和依据。 “没有规矩，不成方圆” v主要的信息安全标准国际标准主要的信息安全标准国际标准 发布的机构发布的机构安全标准安全标准 1iso（国际标准组织）iso17799/iso27001/iso27002 iso/iec 15408 iso/iec 13335 iso/tr 13569 2isaca（信息系统审计与控制学会）cobit 4.1 3issea（国际系统安全工程协会）sse-cmm systems security engineering - capability maturity model 3.0 4issa（信息系统安全协会）gaisp version 3.0 5isf (

6、信息安全论坛）the standard of good practice for information security 6ietf （互联网工程任务小组）各种rfc （request for comments） v主要的信息安全标准国际标准主要的信息安全标准国际标准( (续）续） 发布的机构安全标准 7nist（国家标准和技术 研究所） nist 800系列 8dod (美国国防部)tcsec（可信计算机系统评测标准） 彩虹系列 9carnegie mellon software engineering institute (sei) operationally critical thre

7、at, asset, and vulnerability evaluation (octave) criteria version 2.0 10oecd（经济与贸易发展 组织） guidelines for the security of information systems and networks and associated implementation plan 11the open groupmanagers guide to information security 12itilsecurity management 除了上述标准，世界各国的官方机构和行业监管机构还有许多信息安全

8、方面的标准 、指引和建议的操作实践。 v主要的信息安全标准国内标准主要的信息安全标准国内标准 发布的机构发布的机构安全标准安全标准 1全国信息安全标准化技 术委员会 等级保护系列标准 信息安全技术 信息系统安全等级保护基本要求 信息安全技术 信息系统安全等级保护定级指南 信息安全技术 信息系统安全等级保护实施指南 其他信息安全标准 截至2007年底，共完成了国家标 准59项，还有56项国家标准在研制中。 2公安部、安全部、国家 保密局、国家密码管理 委员会等部门 一系列的信息安全方面的政策法规如： 计算机信息网络国际联网安全保护管理办法 互联网信息服务管理办法 计算机信息系统保密管理暂行规定

9、计算机软件保护条例 商用密码管理条例，等。 信息安全概述信息安全概述 信息安全发展信息安全发展 完整项目过程完整项目过程 vidcidc预测信息安全市场规模预测信息安全市场规模 年度年度全球全球中国中国 200720074004008.08.0 2008200848548510.710.7 2009200955055013.913.9 2010201062062017.817.8 2011201170070022.622.6 2012201278578528.428.4 cagrcagr 15%15%29%29% 单位：亿美元单位：亿美元 v中美信息安全厂商中美信息安全厂商top 5top 5

10、实力对比实力对比 销量单位：百万美元销量单位：百万美元 用户信息安全需求的三个阶段用户信息安全需求的三个阶段 v网络系统安全设计模型网络系统安全设计模型 p m r r d management 安全管理 protection 安全保护 detection 安全检测 reaction 安全响应 recovery 安全恢复 网络安全模型网络安全模型 mpdrr $dollars $dollars $dollars detection 安全检测 protection 安全保护 reaction 安全响应 recovery 安全恢复 统一管理、协调 pdrr之间的行动 v网络系统安全设计模型解析网络

11、系统安全设计模型解析 & 物理安全技术物理安全技术 & 系统安全技术系统安全技术 & 网络安全技术网络安全技术 & 应用安全技术应用安全技术 & 数据加密技术数据加密技术 & 认证授权技术认证授权技术 & 访问控制技术访问控制技术 & 扫描评估技术扫描评估技术 & 审计跟踪技术审计跟踪技术 & 病毒防护技术病毒防护技术 & 备份恢复技术备份恢复技术 & 安全管理技术安全管理技术 v信息安全技术信息安全技术 v信息安全技术信息安全技术 基础安全组件：基础安全组件： 防火墙（防火墙（fwfw） 传输加密系统（传输加密系统（ipsec/ssl vpnipsec/ssl vpn） 入侵检测系统（入侵检

12、测系统（idsids） 入侵防御系统（入侵防御系统（ipsips） 网络防病毒系统网络防病毒系统( (防病毒网关、网络版防病毒软件防病毒网关、网络版防病毒软件) ) 安全隔离与信息交换系统（网闸）安全隔离与信息交换系统（网闸） 内容安全审计系统内容安全审计系统 日志信息审计系统日志信息审计系统 内网安全管理系统内网安全管理系统 漏洞扫描系统漏洞扫描系统 数据库审计系统数据库审计系统 数据备份系统数据备份系统 webweb应用防火墙应用防火墙 (waf)(waf) 网页防篡改系统网页防篡改系统 安全管理平台（安全管理平台（socsoc） v信息安全技术信息安全技术 增强安全组件：增强安全组件： 等级保护政策法规等级保护政策法规 分级保护政策法规分级保护政策法规 应用解决方案库应用解决方案库管理解决方案库管理解决方案库 互联网 服务 业务受 理平台 业务 外联 纵向 级联 内部安 全域 虚拟 专网 移动 接入 网络安 全管理 终端安 全管理 业务安 全管理 v网御解决方案体系网御解决方案体系 信息安全概述信息安全概述 信息安全发展信息安全发展 完整项目过程完整项目过程 v