信息安全体系结构

1章概述根本概念体系构造:是系统整体体系构造的描述的一局部，应当包括一组相互依靠、协作的安全功能相关元素的最高层描述与配置，这些元素共同实施系统的安全策略。信息安全体系构造信息安全保障：是人类利用技术和阅历来实现信息安全的一个过程。三要素人：包括信息安全保障目标的实现过程中的全部有关人员。技术：用于供给信息安全效劳和实现安全保障目标的技术。治理：对实现信息安全保障目标有责任的有管人员具有的治理职能。不行。作为一个信息安全工作者，应当遵循哪些道徳标准？1、不行使用计算机去做损害他人的事2、不要干扰他人使用计算机的工作3、不要窥视他人的计算机文件4、不要使用计算机进展偷窃。5、不要使用计算机来担当为证6、不要使用没有付款的专用软件。2章信息安全体系构造规划与设计网络与信息系统总体构造初步分析信息安全需求分析物理安全：从外界环境、根底设施、运行硬件、介质等方而为信息系统安全运行供给根本的底层支持和保障。安全需求主要包括：物理位程的选择、物理访问把握、防盗窃和防破坏、防雷电、防火、防静电。系统安全：供给安全的操作系统和安全的数据库治理系统，以实现操作系统和数拯库侵检测、基于主机的漏洞扫描、基于主机的恶意代码的检测与防范、基于主机的文件完整性检验、容灾、备份与恢复。网络安全：为信息系统能够在安全的网络坏境中运行供给支持。安全需求包括：信息与响应安全需求。数据安全：目的：实现数据的机密性、完整性、可控性、不行否认性，并进展数据备份和恢复。应用安全：保障信息系统的各种业务的应用程序安全运行，苴安全需求主要涉及口令机制和关键业务系统的对外接口。治理、系统运行维护治理。信息安全体系构造的设计目标、指导思想与设计原则设讣目标：帮助承受该体系构造的用户满足其信息安全需求，从而对苴相关资产进展保护。指导思想：遵从国家有关信息安全的政策、法令和法规，依据业务应用的实际应用，结合信息安全技术与产品的争论与开觉察状、近期的进展目标和将来的进展趋势，吸取国外的先进阅历和成熟技术。设计原则：需求明确、代价平衡、标准优先、技术成熟、治理跟进、综合防护。2.4安全策略的制定与实施2.4.1安全策略：作用：表现治理层的意志、知道体系构造的规划与设讣、知道相关产品的选择和系统开发过程、保证应用系统安全的全都性和完整性、避开资源铺张、以及尽可能的消2.4.3安全策略分类：治理性安全策略(内部人员安全策略、物理和环境安全策略、应用操3章信息安全技术支撑密码效劳技术作用：为密码的有效应用供给技术支持。别、完善的密钥治理机制。组成：密码芯片、密码模块、客户端密码效劳设备、效劳端密码效劳设备。字信封。(CPI)：台。主要任务：封装硬件接口驱动。密钥治理技术审计功能。体系构造：密钥生成子系统、密钥库子系统、密钥恢复子系统、密钥治理子系统、治理终端。认证技术PKI(CA)、数字证书审核注册中心(RA)、密钥治理中心(KMC)、名目效劳系统、可信时间戳系统组成。CA是认证体系的核心、RACAi正的以及治理的合成体，效劳PKI技术。根本模型：树状模型、信任链模型、网状模型CA：CA是穿插认证的一个特例。RARARA方式的效劳、证书/、证书治理效劳、证书撤销治理列表效劳、安全治理证书撤销列表、密码效劳、数据治理效劳RA的功能要求：Web效劳治理策略的制左、密钥生成与存储、密钥公布、密钥查询、密钥恢复、密钥备份、密钥归档、密CRL公布功能、ACRL调整系统业务力气、可以有效地缔约各种攻击行为。可信时间戳的功能要求。证书査询证效劳系统的功能要求。授权技术作用：为应用供给针对各种资源的授权治理和访问把握效劳技术。体系构造与主要功能：集中式授权治理效劳系统基于相对固左的授权模型，供给集中式治理，通过在数字证书的扩展项增加增加用户的属性或权限信息，在效劳器端构建授权治理〔PAPM分布式授权治理效劳系统：客户端授权模块、应用资源效劳器、授权治理效劳器、密码效劳系统、资源访问授权、操作员治理、权限治理、日志治理。202316000500Mb/s.容灾备份与故障恢复技术作用：确保应用系统、关键数据具有很强的稳定性与牢靠性。体系构造：本地备份：数据备份〔完全备份、特別备份、增量备份〕复〔恢复的措施：群集配置、双机热配置、磁盘镜像、故障恢复治理〕恶意代码防范技术防范策略：集中把握、分级治理、多层防护功能要求：病毒查杀系统、网关防毒系统、群件防毒系统、集中治理系统入侵检测技术作用：通过从计算机网络或汁算机系统中的假设干关键点收集信息并对英进展分析,从中觉察网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时做出相应。3.7.3分类：基于主机的入侵检测系统、基于网络的入侵检测系统、基于代理的入侵检测系统。安全接口与中间件技术/算机资源和网络通信。382体系构造：安全模块接入层、核心层、协议适配层、应用接口适配层3.8.3分类：安全效劳中间件、安全传输中间件、安全消息中间件、安全Web效劳中间件。无线网络安全技术3.9.2〔WAP：—系列协议组成，用来标准化移动通信设备的网络访问效劳。〕WAP的安全构造由WTLS/XVIMAVPKIAVMLScript四局部组成。WTLS：治理有线网络的在线通信。WIM：用来执行安全层和应用层的安全功能。PKI：负责证书的发放，治理以及相关操作。WMLScript：而不引发到效劳器的来回。4章主要信息安全产品网络边界防护产品：入侵检测系统缺乏、IDS产品没有统一标准进展趋势：智能关联、告警泛滥抑制、告警融合、可信任防范模型网络边界防护产品：防火墙功能特点：嵌入式防火墙、软件防火墙、硬件防火墙、应用程序防火墙422主要技术：静态分组过滤、动态分组过滤、状态过滤、代理效劳器部署：部署边界防火墙、部署内部防火墙、局限性：不能防范不经过防火墙的攻击、不能解决来自网络内部的攻击和安全问题、不能防止策略配置不当或错误配置引起的安全威逼。进展趋势：高速、多功能化、更安全网络连接防护产品：安全路由器：优点：适用于大规模网络，简洁的网络扩谱构造，负载共4.3.2进展趋势：速度更快、提升效劳质疑、治理更加智能化网络连接防护产品：安全网关功能：内容过滤、邮件过滤、防病毒进展趋势：结合专用操作系统、硬件化和芯片化、硬件平台多样化、基于通用CPU的x86架构网络连接防护产品：VPN主要技术：IPSecSSLVPN进展趋势：结合名目效劳功能、实现QoS、安全性本地环境保护产品：恶意代码防范软件国产产品的局限性的方式、基于信息渡船产品的方式背地环境保护产品：密码机台监控进程布式密码效劳机。根底设施安全产品：PKI/CA开发模式：面对产品的开发模式和而向效劳的开发模式进展趋势：根底设施安全产品：可信计算平台进展历程进呈现状进展方向4.10」安全效劳唱片综述典型安全效劳产品：安全运营治理安全效劳产品进展趋势5章信息安全标准国际信息安全标准现状国际信息技术标准化组织ISO和IEC美国信息安全标准：由美国国家标准化协会(ANSI)、美国国家技术标准局(NIST)制定。英他兴盛国家的信息安全标准中国信息安全标准现状工作原则与组织机构6章信息安全治理关于风险评估概念步骤有关标准ISO/IEC27002621背景主要内容应用状况信息安全等级保护国外信息安全等级保护我过信息安全等级保护国家信息安全等级保护制度国家信息安全等级保护的有关标准信息安全治理体系背景I