中企航CISP培训笔记(3)
中企航C I S P培训笔
记(3)
信息安全保障基础
讲师陈阳怀
1基本安全属性CIA
1.1保密性
1.2完整性
1.3有效性
2信息安全特征
2.1系统的
2.2动态的
2.3无边界的
2.4非传统的
3安全范畴
3.1信息技术问题
3.2组织管理问题
3.3社会问题
3.4国家安全问题
4产生根源
4.1内因(三个复杂):
4.1.1结构复杂
4.1.2过程复杂
4.1.3应用复杂
4.2外因两个威胁
4.2.1人为威胁:重点是网络部队情报机构
4.2.2自然威胁
5信息安全发展阶段:
5.1COMSEC:通过加密解决搭线窃听
5.2COMPUSEC:操作系统访问控制解决身份认证、病毒破坏、
非法访问、恶意代码
5.3INFOSEC:
5.3.1C OMSEC+ COMPUSEC:通过防火墙、防病毒、漏洞扫
描、入侵检测、PKI、VPN等,防止网络入侵、病毒破
坏、信息对抗
5.4IA:人员、技术、管理、工程
5.5CS/IA:三位一体,防御、攻击、情报
6安全保障发展历史
6.1第一次定义:1996年美国国防部DoDD 5-3600.1
6.2中办发[2003]27号文《关于加强信息安全保障工作的意见》
信息安全保障概念和模型
1信息安全:数据安全
2信息系统安全:数据+计算机+网络安全
3信息安全保障:信息系统安全+人+工程+管理
4网络空间安全:
5信息安全保障三大模型
5.1P2DR模型:基于时间的
5.1.1策略、防护、检测、响应
5.1.2填充时间间隙
5.1.3整个生命周期都有防护
5.1.3.1如果Pt>Dt+Rt,那么S是安全的;
5.1.3.2如果Pt<Dt+Rt,那么Et=(Dt+Rt)-Pt
5.1.4策略:访问控制、加密通信、身份认证、备份恢复……
5.2IATF深度防御保障模型
5.2.1三个要素:人、技术、操作
5.2.2四个领域:三保护一支撑
5.2.2.1本地计算环境
5.2.2.2区域边界
5.2.2.3网络和基础设施
5.2.2.4支撑性基础设施
5.2.2.5UTM统一威胁管理
5.3信息系统安全保障模型
在信息系统的整个生命周期中,通过四要素,确保三特征,保障系统实现组织机构的使命。
信息安全保障实践
1关键基础设施是信息安全保障的最核心内容
2三道防线
2.1防御
2.2应对威胁
2.3加强安全环境
3中国现状
3.12001年启动,2006年落实
3.227号文九项内容
4具体内容
4.1标准化
TC260:“信安标委”--全国信息安全标准化技术委员会
(2002年)
4.2应急处理:
CNCERT/CC:计算机应急响应小组
4.3信息安全等级保护(5级)
4.4信息安全风险评估
4.4.12003年成立,2006年成熟
4.4.2每年一次
4.5灾难恢复
2004年9月启动
4.6人才队伍建设
5信息安全保障工作方法
5.1安全保障需求来自法规符合性、业务需求、风险评估
5.2ISPP:信息系统保护轮廓(用户提出)
5.3ISST:信息系统安全目标(厂商提出)
6信息系统建设(略)
7信息系统测评
7.1产品测评
7.1.1依据:CC标准(ISO/IEC 15408 GB/T18336最高标准)
7.1.25级,1级低、3级中、5级高(中国最高3级)
7.2系统测评(信息安全等级保护:工程、技术、管理)
7.2.1依据GB/T20274
7.2.25级,1级低、3级中、5级高(中国最高3级)
7.3工程测评
7.3.1依据:SSE-CMM(ISO/IEC21827)
7.3.25级,1级低、3级中、5级高(中国最高3级)
7.4厂商工程能力测评
7.4.1一级:基本执行级
7.4.2二级:计划跟踪级
7.4.3三级:充分定义级
7.4.4四级:量化控制级
7.4.5五级:连续改进级