信息安全基礎(chǔ)v3課件_第1頁
信息安全基礎(chǔ)v3課件_第2頁
信息安全基礎(chǔ)v3課件_第3頁
信息安全基礎(chǔ)v3課件_第4頁
信息安全基礎(chǔ)v3課件_第5頁
已閱讀5頁,還剩97頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

31十月20221第1章信息安全基礎(chǔ)v322十月20221第1章信息安全基礎(chǔ)v3中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息安全技術(shù)概述1.1WPDRRC與PDRR模型1.2信息安全保障對象1.3社會文明發(fā)展與信息通訊技術(shù)1.4信息安全發(fā)展過程中國信息安全認證中心信息安全的模型什么是模型模型是人們認識和描述客觀世界的一種方法安全模型用于描述信息系統(tǒng)的安全特征,以及用于解釋系統(tǒng)安全相關(guān)行為的理由安全模型的作用準確描述安全的重要方面與系統(tǒng)行為的關(guān)系提高對成功實現(xiàn)關(guān)鍵安全需求的理解層次中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息安全的模型什么是模型中國信息安全認證中心信息安全的模型在信息安全的研究和應(yīng)用中,采用的模型主要有哪些?PDR(保護、檢測和響應(yīng))PPDR(安全策略、保護、檢測和響應(yīng))、PDRR(保護、檢測、響應(yīng)和恢復(fù))MPDRR(管理、保護、檢測、響應(yīng)和恢復(fù))我國的WPDRRC(預(yù)警、保護、檢測、響應(yīng)、恢復(fù)、反擊)中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息安全的模型在信息安全的研究和應(yīng)用中,采用的模型主要有哪些PDR模型PDR的提出早期,安全技術(shù)上主要采取防護手段為主(如加密、防火墻技術(shù)的應(yīng)用)美國ISS公司提出,按照PDR模型的思想,一個完整的安全防護體系,不僅需要防護機制,而且需要檢測機制,在發(fā)現(xiàn)問題時還需要及時做出響應(yīng)PDR模型由防護(Protection)、檢測(Detection)、響應(yīng)(Response)三部分組成中國信息安全認證中心培訓(xùn)合作方徽標與名稱PDR模型PDR的提出中國信息安全認證中心PPDR模型基本思想策略是這個模型的核心,意味著網(wǎng)絡(luò)安全要達到的目標,決定各種措施的強度模型內(nèi)容安全策略(Policy)保護(Protection)檢測(Detection)響應(yīng)(Response)中國信息安全認證中心培訓(xùn)合作方徽標與名稱PPDR模型基本思想中國信息安全認證中心PDRR模型PDRR的提出安全的概念已經(jīng)從信息安全擴展到了信息保障,信息保障內(nèi)涵已超出傳統(tǒng)的信息安全保密,是保護(Protect)、檢測(Detect)、反應(yīng)(React)、恢復(fù)(Restore)的有機結(jié)合PDRR模型在系統(tǒng)被入侵后,要采取相應(yīng)的措施將系統(tǒng)恢復(fù)到正常狀態(tài),這樣使信息的安全得到全方位的保障。該模型強調(diào)的是自動故障恢復(fù)能力中國信息安全認證中心培訓(xùn)合作方徽標與名稱PDRR模型PDRR的提出中國信息安全認證中心WPDRRC安全模型WPDRRC的提出吸取了IATF需要通過人、技術(shù)和操作來共同實現(xiàn)組織職能和業(yè)務(wù)運作的思想在PDR模型的前后增加了預(yù)警和反擊功能WPDRRC模型有6個環(huán)節(jié)和3個要素。6個環(huán)節(jié):預(yù)警(W)、保護(P)、檢測(D)、響應(yīng)(R)、恢復(fù)(R)和反擊(C)3大要素:人員、策略和技術(shù)中國信息安全認證中心培訓(xùn)合作方徽標與名稱WPDRRC安全模型WPDRRC的提出中國信息安全認證中心WPDRRC

安全模型WPDRRC

安全模型1.1.1信息定義信息的定義信息是用以消除隨機不確定性的東西我們認為信息是一種實體對象,能夠通過信息系統(tǒng)進行處理。信息通過載體在一定環(huán)境中表現(xiàn)、存儲和傳輸。中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.1.1信息定義信息的定義中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息的表現(xiàn)形式中國信息安全認證中心信息系統(tǒng)從信息的角度來說,我們認為信息系統(tǒng)是為信息生命周期提供服務(wù)的各類軟硬件資源的總稱中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息系統(tǒng)從信息的角度來說,我們認為信息系統(tǒng)是為信息生命周期提中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息技術(shù)信息傳遞(通信)信息認知->信息再生(計算機)信息傳遞(通信)信息實效(控制)信息獲?。ǜ袦y)外部世界信息技術(shù)(IT:InformationTechnology)的內(nèi)涵IT=Computer+Communication+Control中國信息安全認證中心1.1.2安全定義“不出事或感覺不到要出事的威脅”安全關(guān)乎兩件事一件是已經(jīng)發(fā)生的事,即安全事件;另一件是未發(fā)生但可能引發(fā)安全事件的事,及安全威脅與脆弱性中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.1.2安全定義“不出事或感覺不到要出事的威脅”中國信息中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息安全的目標信息安全的目標將服務(wù)與資源的脆弱性降到最低限度。具有動態(tài)性和整體性。動態(tài)性:安全是相對的,沒有絕對的安全,安全程度隨著時間的變化而改變整體性:涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息安全的普遍定義所謂“信息安全”,在技術(shù)層次的含義就是保證在客觀上杜絕對信息安全屬性的威脅使得信息的主人在主觀上對其信息的本源性放心。中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息安全的特征信息安全的基本屬性有:1.可用性(availability)2.機密性(confidentiality)3.完整性(integrity)4.真實性(validity)5.不可否認性(non-repudiation)“信息安全”是指采用一切可能的辦法和手段,來保證信息的上述“五性”。中國信息安全認證中心1.1.3可用性可用性要求包括信息、信息系統(tǒng)和系統(tǒng)服務(wù)都可以被授權(quán)實體在適合的時間,要求的方式,及時、可靠的訪問,甚至是在信息系統(tǒng)部分受損或需要降級使用時,仍能為授權(quán)用戶提供有效服務(wù)。需要指出的是,可用性針對不同級別的用戶提供相應(yīng)級別的服務(wù)。具體對于信息訪問的級別及形式,由信息系統(tǒng)依據(jù)系統(tǒng)安全策略,通過訪問控制機制執(zhí)行中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.1.3可用性可用性中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.1.4完整性完整性

指信息在存儲或傳輸過程中保持不被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.1.5機密性機密性

是指信息不泄漏給非授權(quán)的個人和實體中國信息安全認證中心1.1.6真實性真實性能夠核實和信賴在一個合法的傳輸、消息或消息源的真實性的性質(zhì),以建立對其的信心真實性要求對用戶身份進行鑒別,對信息的來源進行驗證。而這些功能都離不開密碼學(xué)的支持。在非對稱密碼機制出現(xiàn)以前,這是一個很大的難題。非對稱密碼機制的出現(xiàn),使該項難題得到了解決中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.1.6真實性真實性中國信息安全認證中心1.1.7不可否認性不可否認性是保證信息的發(fā)送者提供的交付證據(jù)和接受者提供的發(fā)送者證據(jù)一致,使其以后不能否認信息過程不可否認性也稱為不可抵賴性,即所有參與者都不可能否認或抵賴曾經(jīng)完成的操作和承諾。發(fā)送方不能否認已發(fā)送的信息,接收方也不能否認已收到的信息中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.1.7不可否認性不可否認性是保證信息的發(fā)送者提供的交付1.1.8其他屬性可靠性是指與預(yù)想的行為和結(jié)果相一致的特性??煽匦允侵笇π畔⒌膫鞑ゼ皟?nèi)容具有控制能力的特性,授權(quán)機構(gòu)可以隨時控制信息的機密性,能夠?qū)π畔嵤┌踩O(jiān)控中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.1.8其他屬性可靠性是指與預(yù)想的行為和結(jié)果相一致的特性1.2信息安全保障對象信息安全保障的直接對象是信息,利用針對信息、載體及信息環(huán)境的相關(guān)安全技術(shù),實現(xiàn)對信息安全的保障,而信息安全保障的最終目的則是提供組織業(yè)務(wù)的連續(xù)性中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.2信息安全保障對象信息安全保障的直接對象是信息,利用針1.2.1本質(zhì)對象業(yè)務(wù)是一個組織的正常運轉(zhuǎn)的核心活動。業(yè)務(wù)的連續(xù)性直接關(guān)系到組織能否繼續(xù)履行其職能。組織業(yè)務(wù)的保障需要組織投入人力、物力和財力資源,來維持組織業(yè)務(wù)的開展。隨著信息化水平的提高,業(yè)務(wù)信息資源的依賴性愈來愈大,這對信息資源的安全提出了嚴格的要求,也使得信息安全保障成為信息化組織所必不可少的環(huán)節(jié)中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.2.1本質(zhì)對象業(yè)務(wù)是一個組織的正常運轉(zhuǎn)的核心活動。業(yè)務(wù)1.2.2實體對象1.2.2.1信息信息作為實體對象的一種,它通過載體以具體的某種形式來承載。這些形式在信息系統(tǒng)中可以具體到某種數(shù)字格式,如視頻、聲音、圖形等,續(xù)而具體到數(shù)據(jù)的具體存儲格式,即二進制字節(jié)、數(shù)據(jù)位。這樣,保證了具體數(shù)據(jù)的安全也就確保了其所承載的信息的安全中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.2.2實體對象1.2.2.1信息中國信息安全認證中心1.2.2.2載體載體是一種在信息傳播中攜帶信息的媒介,是信息賴以附載的物質(zhì)基礎(chǔ)。包括無形載體以能源和介質(zhì)為特征,運用聲波、光波、電波傳遞信息的無形載體有形載體以實物形態(tài)記錄為特征,運用紙張、膠卷、膠片、磁帶、磁盤等等存儲介質(zhì)來傳遞和貯存信息的有形載體中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.2.2.2載體載體是一種在信息傳播中攜帶信息的媒介,是1.2.2.3環(huán)境環(huán)境指信息的環(huán)境,即信息在整個生命周期中所涉及的軟硬件資源中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.2.2.3環(huán)境環(huán)境指信息的環(huán)境,即信息在整個生命周期中1.3社會文明發(fā)展與信息通訊技術(shù)信息通訊技術(shù)的發(fā)展史是人類文明發(fā)展史的一個部分。人類文明的發(fā)展促進了信息通訊技術(shù)的發(fā)展,二者密不可分中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.3社會文明發(fā)展與信息通訊技術(shù)信息通訊技術(shù)的發(fā)展史是人類1.4信息安全發(fā)展過程信息安全發(fā)展隨著通訊技術(shù)、計算機技術(shù)、互聯(lián)網(wǎng)技術(shù)發(fā)展,經(jīng)歷了數(shù)據(jù)通訊安全、計算機安全、網(wǎng)絡(luò)安全、信息安全及信息安全保障幾個階段中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.4信息安全發(fā)展過程信息安全發(fā)展隨著通訊技術(shù)、計算機技術(shù)1.4.1數(shù)據(jù)通訊安全1949年,Shannon發(fā)表了《保密通信的信息理論》1976年,Deffie與Hellman兩人發(fā)表的“密碼學(xué)的新方向”一文,提出了非對稱密碼體制1977年,美國國家標準局公布了DES數(shù)據(jù)加密標準中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.4.1數(shù)據(jù)通訊安全1949年,Shannon發(fā)表了《保1.4.2計算機安全保護對象為計算機系統(tǒng),即保護計算機的物理安全、系統(tǒng)安全、數(shù)據(jù)安全和運行程序安全等方面1983年,美國國防部公布了可信計算機系統(tǒng)評估準則(TCSEC),其對操作系統(tǒng)的安全等級進行了劃分,共A、B、C、D四類,分A1、B1、B2、B3、C1、C2、D七個等級,各個等級的安全強度依次遞減中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.4.2計算機安全保護對象為計算機系統(tǒng),即保護計算機的物1.4.3網(wǎng)絡(luò)安全網(wǎng)絡(luò)系統(tǒng)的應(yīng)用,對信息的機密性、真實性、完整性、可用性、不可否認性等方面提出了新的安全需求。針對上述問題的基于網(wǎng)絡(luò)的身份認證、訪問控制技術(shù)等也逐步應(yīng)用到了防火墻、入侵檢測、虛擬專用網(wǎng)絡(luò)等產(chǎn)品中信息安全評估通用標準(CC,CommonCriteria,ISO15408)及IPv6安全設(shè)計的提出中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.4.3網(wǎng)絡(luò)安全網(wǎng)絡(luò)系統(tǒng)的應(yīng)用,對信息的機密性、真實性、1.4.4信息安全經(jīng)過前面三個階段的發(fā)展,信息的載體及生存環(huán)境的安全問題得到了較好的解決,信息安全進入了全面發(fā)展階段中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.4.4信息安全經(jīng)過前面三個階段的發(fā)展,信息的載體及生存1.4.5信息安全保障信息安全技術(shù)進一步發(fā)展,進入全局統(tǒng)籌規(guī)劃管理的信息安全保障階段。1995年,美國國防部給出了PDR動態(tài)模型,后來增加為PDRR模型中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.4.5信息安全保障信息安全技術(shù)進一步發(fā)展,進入全局統(tǒng)籌中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息安全的分類信息安全技術(shù)信息加密、數(shù)字簽名、數(shù)據(jù)完整性、身份鑒別、訪問控制、安全數(shù)據(jù)庫、網(wǎng)絡(luò)安全、病毒、安全審計、業(yè)務(wù)填充、路由控制、公證機制等本課程劃分為:密碼學(xué)、訪問控制、網(wǎng)絡(luò)安全、平臺安全、應(yīng)用安全、數(shù)據(jù)安全、物理安全及IPv6共八個部分的內(nèi)容信息安全管理信息安全法律及法規(guī)中國信息安全認證中心安全服務(wù)安全服務(wù)是由參與通信的開放系統(tǒng)的某一層提供的服務(wù),它確保該系統(tǒng)或數(shù)據(jù)傳輸具有足夠的安全性ISO7498-2確定了五大類安全服務(wù)鑒別訪問控制數(shù)據(jù)保密性數(shù)據(jù)完整性不可否認。中國信息安全認證中心培訓(xùn)合作方徽標與名稱安全服務(wù)安全服務(wù)中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱安全機制安全機制用于發(fā)現(xiàn),防范攻擊以及從安全攻擊中恢復(fù)的機制每種安全服務(wù)由一種或多種安全機制實現(xiàn)沒有一種機制能夠提供所有的功能密碼技術(shù)為多種安全機制的基礎(chǔ)中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱安全機制ISO7498-2確定了八大類安全機制加密數(shù)據(jù)簽名機制訪問控制機制數(shù)據(jù)完整性機制鑒別交換機制業(yè)務(wù)填充機制路由控制機制公證機制中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱帶有安全屬性的OSI層次模型中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱安全服務(wù)、安全機制和OSI關(guān)系一種安全服務(wù)可以通過某種安全機制單獨提供,也可以通過多種安全機制聯(lián)合提供一種安全機制可用于提供一種或多種安全服務(wù)。ISO7498-2標準確定了上述安全服務(wù)和安全機制的相互關(guān)系及OSI參考模型內(nèi)部可以提供這些服務(wù)和機制的位置。中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱安全威脅安全威脅的定義對安全的一種潛在的侵害。威脅的實施稱為攻擊。威脅與攻擊的區(qū)別:威脅(Threat)威脅不一定會發(fā)生威脅是潛在的,因而在被利用前是很難發(fā)現(xiàn)的攻擊(Attack):任何危及到信息安全的行為攻擊一定是已經(jīng)發(fā)生攻擊的類型是多種多樣的,因而是難以預(yù)測的攻擊往往要利用一個或多個威脅中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱安全威脅的主要表現(xiàn)信息泄露:指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失。拒絕服務(wù):以非法手段竊得對數(shù)據(jù)的使用權(quán),刪除、修改、插入或重發(fā)某些重要信息,以取得有益于攻擊者的響應(yīng);惡意添加,修改數(shù)據(jù),以干擾用戶的正常使用。信息破壞:它不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進行干擾,改變其正常的作業(yè)流程,執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。

中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱安全威脅的來源自然因素包括溫度、濕度、灰塵、雷擊、靜電、水災(zāi)、火災(zāi)、地震,空氣污染和設(shè)備故障等因素。人為因素,又分無意和故意。例如由于誤操作刪除了數(shù)據(jù)的疏忽和過失,而人為故意的破壞如黑客行為。

人為錯誤----35%人為忽略----25%不滿意的雇員----15%外部攻擊----10%火災(zāi)、水災(zāi)----10%其他----5%中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱安全威脅的種類從來源上分內(nèi)部威脅:80%的計算機犯罪都和系統(tǒng)安全遭受損害的內(nèi)部攻擊有密切的關(guān)系。系統(tǒng)的合法用戶以非授權(quán)方式訪問系統(tǒng)。防止內(nèi)部威脅的保護方法包括審查、合理的軟、硬件安全策略和系統(tǒng)配制、審計等。外部威脅:外部威脅的實施也稱遠程攻擊。例如搭線、冒充、截取電磁輻射等。中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱安全威脅的種類從威脅造成的結(jié)果上分被動威脅:對信息的非授權(quán)泄露但是未篡改任何信息,并且系統(tǒng)的操作與狀態(tài)也不受改變。例:搭線竊聽、密碼破譯、信息流量分析等。主動威脅:對系統(tǒng)的狀態(tài)進行故意地非授權(quán)改變。包括:系統(tǒng)中信息、狀態(tài)或操作的篡改。比如:非授權(quán)的用戶改動路由選擇表、插入偽消息、病毒等。中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱安全威脅的種類從威脅動機上分偶發(fā)性威脅:指那些不帶預(yù)謀企圖的威脅,包括自然災(zāi)害、系統(tǒng)故障,操作失誤和軟件出錯。故意性威脅:指對計算機系統(tǒng)的有意圖、有目的的威脅。范圍可使用簡單的監(jiān)視工具進行隨意的檢測,或使用特別的系統(tǒng)知識進行精心的攻擊。一種故意的威脅如果實現(xiàn)就可認為是一種“攻擊”、“入侵”。中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱安全威脅的表現(xiàn)形式中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱安全攻擊的分類被動攻擊主要是收集信息而不是進行訪問,數(shù)據(jù)的合法用戶對這種活動一點也不會覺察到。被動攻擊包括嗅探、信息收集等攻擊方法。主動攻擊主動攻擊包含攻擊者訪問他所需信息的故意行為。中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息安全策略含義:什么是允許的,什么是不允許的兩種方法:凡是沒有被具體規(guī)定的,就是允許的凡是沒有被具體規(guī)定的,就是不允許的安全策略包括:制度技術(shù)管理三分技術(shù),七分管理中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息安全技術(shù)應(yīng)用方法風(fēng)險分析安全策略設(shè)計安全服務(wù)與安全機制設(shè)計安全服務(wù)與安全機制的關(guān)系安全服務(wù)配置策略是基礎(chǔ)中國信息安全認證中心31十月202252第1章信息安全基礎(chǔ)v322十月20221第1章信息安全基礎(chǔ)v3中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息安全技術(shù)概述1.1WPDRRC與PDRR模型1.2信息安全保障對象1.3社會文明發(fā)展與信息通訊技術(shù)1.4信息安全發(fā)展過程中國信息安全認證中心信息安全的模型什么是模型模型是人們認識和描述客觀世界的一種方法安全模型用于描述信息系統(tǒng)的安全特征,以及用于解釋系統(tǒng)安全相關(guān)行為的理由安全模型的作用準確描述安全的重要方面與系統(tǒng)行為的關(guān)系提高對成功實現(xiàn)關(guān)鍵安全需求的理解層次中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息安全的模型什么是模型中國信息安全認證中心信息安全的模型在信息安全的研究和應(yīng)用中,采用的模型主要有哪些?PDR(保護、檢測和響應(yīng))PPDR(安全策略、保護、檢測和響應(yīng))、PDRR(保護、檢測、響應(yīng)和恢復(fù))MPDRR(管理、保護、檢測、響應(yīng)和恢復(fù))我國的WPDRRC(預(yù)警、保護、檢測、響應(yīng)、恢復(fù)、反擊)中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息安全的模型在信息安全的研究和應(yīng)用中,采用的模型主要有哪些PDR模型PDR的提出早期,安全技術(shù)上主要采取防護手段為主(如加密、防火墻技術(shù)的應(yīng)用)美國ISS公司提出,按照PDR模型的思想,一個完整的安全防護體系,不僅需要防護機制,而且需要檢測機制,在發(fā)現(xiàn)問題時還需要及時做出響應(yīng)PDR模型由防護(Protection)、檢測(Detection)、響應(yīng)(Response)三部分組成中國信息安全認證中心培訓(xùn)合作方徽標與名稱PDR模型PDR的提出中國信息安全認證中心PPDR模型基本思想策略是這個模型的核心,意味著網(wǎng)絡(luò)安全要達到的目標,決定各種措施的強度模型內(nèi)容安全策略(Policy)保護(Protection)檢測(Detection)響應(yīng)(Response)中國信息安全認證中心培訓(xùn)合作方徽標與名稱PPDR模型基本思想中國信息安全認證中心PDRR模型PDRR的提出安全的概念已經(jīng)從信息安全擴展到了信息保障,信息保障內(nèi)涵已超出傳統(tǒng)的信息安全保密,是保護(Protect)、檢測(Detect)、反應(yīng)(React)、恢復(fù)(Restore)的有機結(jié)合PDRR模型在系統(tǒng)被入侵后,要采取相應(yīng)的措施將系統(tǒng)恢復(fù)到正常狀態(tài),這樣使信息的安全得到全方位的保障。該模型強調(diào)的是自動故障恢復(fù)能力中國信息安全認證中心培訓(xùn)合作方徽標與名稱PDRR模型PDRR的提出中國信息安全認證中心WPDRRC安全模型WPDRRC的提出吸取了IATF需要通過人、技術(shù)和操作來共同實現(xiàn)組織職能和業(yè)務(wù)運作的思想在PDR模型的前后增加了預(yù)警和反擊功能WPDRRC模型有6個環(huán)節(jié)和3個要素。6個環(huán)節(jié):預(yù)警(W)、保護(P)、檢測(D)、響應(yīng)(R)、恢復(fù)(R)和反擊(C)3大要素:人員、策略和技術(shù)中國信息安全認證中心培訓(xùn)合作方徽標與名稱WPDRRC安全模型WPDRRC的提出中國信息安全認證中心WPDRRC

安全模型WPDRRC

安全模型1.1.1信息定義信息的定義信息是用以消除隨機不確定性的東西我們認為信息是一種實體對象,能夠通過信息系統(tǒng)進行處理。信息通過載體在一定環(huán)境中表現(xiàn)、存儲和傳輸。中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.1.1信息定義信息的定義中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息的表現(xiàn)形式中國信息安全認證中心信息系統(tǒng)從信息的角度來說,我們認為信息系統(tǒng)是為信息生命周期提供服務(wù)的各類軟硬件資源的總稱中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息系統(tǒng)從信息的角度來說,我們認為信息系統(tǒng)是為信息生命周期提中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息技術(shù)信息傳遞(通信)信息認知->信息再生(計算機)信息傳遞(通信)信息實效(控制)信息獲?。ǜ袦y)外部世界信息技術(shù)(IT:InformationTechnology)的內(nèi)涵IT=Computer+Communication+Control中國信息安全認證中心1.1.2安全定義“不出事或感覺不到要出事的威脅”安全關(guān)乎兩件事一件是已經(jīng)發(fā)生的事,即安全事件;另一件是未發(fā)生但可能引發(fā)安全事件的事,及安全威脅與脆弱性中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.1.2安全定義“不出事或感覺不到要出事的威脅”中國信息中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息安全的目標信息安全的目標將服務(wù)與資源的脆弱性降到最低限度。具有動態(tài)性和整體性。動態(tài)性:安全是相對的,沒有絕對的安全,安全程度隨著時間的變化而改變整體性:涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息安全的普遍定義所謂“信息安全”,在技術(shù)層次的含義就是保證在客觀上杜絕對信息安全屬性的威脅使得信息的主人在主觀上對其信息的本源性放心。中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息安全的特征信息安全的基本屬性有:1.可用性(availability)2.機密性(confidentiality)3.完整性(integrity)4.真實性(validity)5.不可否認性(non-repudiation)“信息安全”是指采用一切可能的辦法和手段,來保證信息的上述“五性”。中國信息安全認證中心1.1.3可用性可用性要求包括信息、信息系統(tǒng)和系統(tǒng)服務(wù)都可以被授權(quán)實體在適合的時間,要求的方式,及時、可靠的訪問,甚至是在信息系統(tǒng)部分受損或需要降級使用時,仍能為授權(quán)用戶提供有效服務(wù)。需要指出的是,可用性針對不同級別的用戶提供相應(yīng)級別的服務(wù)。具體對于信息訪問的級別及形式,由信息系統(tǒng)依據(jù)系統(tǒng)安全策略,通過訪問控制機制執(zhí)行中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.1.3可用性可用性中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.1.4完整性完整性

指信息在存儲或傳輸過程中保持不被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.1.5機密性機密性

是指信息不泄漏給非授權(quán)的個人和實體中國信息安全認證中心1.1.6真實性真實性能夠核實和信賴在一個合法的傳輸、消息或消息源的真實性的性質(zhì),以建立對其的信心真實性要求對用戶身份進行鑒別,對信息的來源進行驗證。而這些功能都離不開密碼學(xué)的支持。在非對稱密碼機制出現(xiàn)以前,這是一個很大的難題。非對稱密碼機制的出現(xiàn),使該項難題得到了解決中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.1.6真實性真實性中國信息安全認證中心1.1.7不可否認性不可否認性是保證信息的發(fā)送者提供的交付證據(jù)和接受者提供的發(fā)送者證據(jù)一致,使其以后不能否認信息過程不可否認性也稱為不可抵賴性,即所有參與者都不可能否認或抵賴曾經(jīng)完成的操作和承諾。發(fā)送方不能否認已發(fā)送的信息,接收方也不能否認已收到的信息中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.1.7不可否認性不可否認性是保證信息的發(fā)送者提供的交付1.1.8其他屬性可靠性是指與預(yù)想的行為和結(jié)果相一致的特性??煽匦允侵笇π畔⒌膫鞑ゼ皟?nèi)容具有控制能力的特性,授權(quán)機構(gòu)可以隨時控制信息的機密性,能夠?qū)π畔嵤┌踩O(jiān)控中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.1.8其他屬性可靠性是指與預(yù)想的行為和結(jié)果相一致的特性1.2信息安全保障對象信息安全保障的直接對象是信息,利用針對信息、載體及信息環(huán)境的相關(guān)安全技術(shù),實現(xiàn)對信息安全的保障,而信息安全保障的最終目的則是提供組織業(yè)務(wù)的連續(xù)性中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.2信息安全保障對象信息安全保障的直接對象是信息,利用針1.2.1本質(zhì)對象業(yè)務(wù)是一個組織的正常運轉(zhuǎn)的核心活動。業(yè)務(wù)的連續(xù)性直接關(guān)系到組織能否繼續(xù)履行其職能。組織業(yè)務(wù)的保障需要組織投入人力、物力和財力資源,來維持組織業(yè)務(wù)的開展。隨著信息化水平的提高,業(yè)務(wù)信息資源的依賴性愈來愈大,這對信息資源的安全提出了嚴格的要求,也使得信息安全保障成為信息化組織所必不可少的環(huán)節(jié)中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.2.1本質(zhì)對象業(yè)務(wù)是一個組織的正常運轉(zhuǎn)的核心活動。業(yè)務(wù)1.2.2實體對象1.2.2.1信息信息作為實體對象的一種,它通過載體以具體的某種形式來承載。這些形式在信息系統(tǒng)中可以具體到某種數(shù)字格式,如視頻、聲音、圖形等,續(xù)而具體到數(shù)據(jù)的具體存儲格式,即二進制字節(jié)、數(shù)據(jù)位。這樣,保證了具體數(shù)據(jù)的安全也就確保了其所承載的信息的安全中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.2.2實體對象1.2.2.1信息中國信息安全認證中心1.2.2.2載體載體是一種在信息傳播中攜帶信息的媒介,是信息賴以附載的物質(zhì)基礎(chǔ)。包括無形載體以能源和介質(zhì)為特征,運用聲波、光波、電波傳遞信息的無形載體有形載體以實物形態(tài)記錄為特征,運用紙張、膠卷、膠片、磁帶、磁盤等等存儲介質(zhì)來傳遞和貯存信息的有形載體中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.2.2.2載體載體是一種在信息傳播中攜帶信息的媒介,是1.2.2.3環(huán)境環(huán)境指信息的環(huán)境,即信息在整個生命周期中所涉及的軟硬件資源中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.2.2.3環(huán)境環(huán)境指信息的環(huán)境,即信息在整個生命周期中1.3社會文明發(fā)展與信息通訊技術(shù)信息通訊技術(shù)的發(fā)展史是人類文明發(fā)展史的一個部分。人類文明的發(fā)展促進了信息通訊技術(shù)的發(fā)展,二者密不可分中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.3社會文明發(fā)展與信息通訊技術(shù)信息通訊技術(shù)的發(fā)展史是人類1.4信息安全發(fā)展過程信息安全發(fā)展隨著通訊技術(shù)、計算機技術(shù)、互聯(lián)網(wǎng)技術(shù)發(fā)展,經(jīng)歷了數(shù)據(jù)通訊安全、計算機安全、網(wǎng)絡(luò)安全、信息安全及信息安全保障幾個階段中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.4信息安全發(fā)展過程信息安全發(fā)展隨著通訊技術(shù)、計算機技術(shù)1.4.1數(shù)據(jù)通訊安全1949年,Shannon發(fā)表了《保密通信的信息理論》1976年,Deffie與Hellman兩人發(fā)表的“密碼學(xué)的新方向”一文,提出了非對稱密碼體制1977年,美國國家標準局公布了DES數(shù)據(jù)加密標準中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.4.1數(shù)據(jù)通訊安全1949年,Shannon發(fā)表了《保1.4.2計算機安全保護對象為計算機系統(tǒng),即保護計算機的物理安全、系統(tǒng)安全、數(shù)據(jù)安全和運行程序安全等方面1983年,美國國防部公布了可信計算機系統(tǒng)評估準則(TCSEC),其對操作系統(tǒng)的安全等級進行了劃分,共A、B、C、D四類,分A1、B1、B2、B3、C1、C2、D七個等級,各個等級的安全強度依次遞減中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.4.2計算機安全保護對象為計算機系統(tǒng),即保護計算機的物1.4.3網(wǎng)絡(luò)安全網(wǎng)絡(luò)系統(tǒng)的應(yīng)用,對信息的機密性、真實性、完整性、可用性、不可否認性等方面提出了新的安全需求。針對上述問題的基于網(wǎng)絡(luò)的身份認證、訪問控制技術(shù)等也逐步應(yīng)用到了防火墻、入侵檢測、虛擬專用網(wǎng)絡(luò)等產(chǎn)品中信息安全評估通用標準(CC,CommonCriteria,ISO15408)及IPv6安全設(shè)計的提出中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.4.3網(wǎng)絡(luò)安全網(wǎng)絡(luò)系統(tǒng)的應(yīng)用,對信息的機密性、真實性、1.4.4信息安全經(jīng)過前面三個階段的發(fā)展,信息的載體及生存環(huán)境的安全問題得到了較好的解決,信息安全進入了全面發(fā)展階段中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.4.4信息安全經(jīng)過前面三個階段的發(fā)展,信息的載體及生存1.4.5信息安全保障信息安全技術(shù)進一步發(fā)展,進入全局統(tǒng)籌規(guī)劃管理的信息安全保障階段。1995年,美國國防部給出了PDR動態(tài)模型,后來增加為PDRR模型中國信息安全認證中心培訓(xùn)合作方徽標與名稱1.4.5信息安全保障信息安全技術(shù)進一步發(fā)展,進入全局統(tǒng)籌中國信息安全認證中心培訓(xùn)合作方徽標與名稱信息安全的分類信息安全技術(shù)信息加密、數(shù)字簽名、數(shù)據(jù)完整性、身份鑒別、訪問控制、安全數(shù)據(jù)庫、網(wǎng)絡(luò)安全、病毒、安全審計、業(yè)務(wù)填充、路由控制、公證機制等本課程劃分為:密碼學(xué)、訪問控制、網(wǎng)絡(luò)安全、平臺安全、應(yīng)用安全、數(shù)據(jù)安全、物理安全及IPv6共八個部分的內(nèi)容信息安全管理信息安全法律及法規(guī)中國信息安全認證中心安全服務(wù)安全服務(wù)是由參與通信的開放系統(tǒng)的某一層提供的服務(wù),它確保該系統(tǒng)或數(shù)據(jù)傳輸具有足夠的安全性ISO7498-2確定了五大類安全服務(wù)鑒別訪問控制數(shù)據(jù)保密性數(shù)據(jù)完整性不可否認。中國信息安全認證中心培訓(xùn)合作方徽標與名稱安全服務(wù)安全服務(wù)中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱安全機制安全機制用于發(fā)現(xiàn),防范攻擊以及從安全攻擊中恢復(fù)的機制每種安全服務(wù)由一種或多種安全機制實現(xiàn)沒有一種機制能夠提供所有的功能密碼技術(shù)為多種安全機制的基礎(chǔ)中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱安全機制ISO7498-2確定了八大類安全機制加密數(shù)據(jù)簽名機制訪問控制機制數(shù)據(jù)完整性機制鑒別交換機制業(yè)務(wù)填充機制路由控制機制公證機制中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱帶有安全屬性的OSI層次模型中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱安全服務(wù)、安全機制和OSI關(guān)系一種安全服務(wù)可以通過某種安全機制單獨提供,也可以通過多種安全機制聯(lián)合提供一種安全機制可用于提供一種或多種安全服務(wù)。ISO7498-2標準確定了上述安全服務(wù)和安全機制的相互關(guān)系及OSI參考模型內(nèi)部可以提供這些服務(wù)和機制的位置。中國信息安全認證中心中國信息安全認證中心培訓(xùn)合作方徽標與名稱安全威脅安全威脅的定義對安全的一種潛在的侵害。威脅的實施稱為攻擊。威脅與攻擊的區(qū)別:威脅(Threat)威脅不一定會發(fā)生威脅是潛在的,因而在被利用前是很難發(fā)現(xiàn)的攻擊(Attack):任何危及到信息安全的行為攻擊一定是已經(jīng)發(fā)生攻擊的類型是多種多樣的,因而是難以預(yù)測的攻擊往往要利用一個或多個威脅中國信息安全認證中心中國信息安全

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論