中企航CISP培训笔记(3)

中企航C I S P培训笔

记(3)

信息安全保障基础

讲师陈阳怀

1基本安全属性CIA

1.1保密性

1.2完整性

1.3有效性

2信息安全特征

2.1系统的

2.2动态的

2.3无边界的

2.4非传统的

3安全范畴

3.1信息技术问题

3.2组织管理问题

3.3社会问题

3.4国家安全问题

4产生根源

4.1内因（三个复杂）：

4.1.1结构复杂

4.1.2过程复杂

4.1.3应用复杂

4.2外因两个威胁

4.2.1人为威胁：重点是网络部队情报机构

4.2.2自然威胁

5信息安全发展阶段：

5.1COMSEC：通过加密解决搭线窃听

5.2COMPUSEC：操作系统访问控制解决身份认证、病毒破坏、

非法访问、恶意代码

5.3INFOSEC：

5.3.1C OMSEC+ COMPUSEC：通过防火墙、防病毒、漏洞扫

描、入侵检测、PKI、VPN等，防止网络入侵、病毒破

坏、信息对抗

5.4IA：人员、技术、管理、工程

5.5CS/IA：三位一体，防御、攻击、情报

6安全保障发展历史

6.1第一次定义：1996年美国国防部DoDD 5-3600.1

6.2中办发[2003]27号文《关于加强信息安全保障工作的意见》

信息安全保障概念和模型

1信息安全：数据安全

2信息系统安全：数据+计算机+网络安全

3信息安全保障：信息系统安全+人+工程+管理

4网络空间安全：

5信息安全保障三大模型

5.1P2DR模型：基于时间的

5.1.1策略、防护、检测、响应

5.1.2填充时间间隙

5.1.3整个生命周期都有防护

5.1.3.1如果Pt＞Dt＋Rt，那么S是安全的；

5.1.3.2如果Pt＜Dt＋Rt，那么Et＝(Dt＋Rt)－Pt

5.1.4策略：访问控制、加密通信、身份认证、备份恢复……

5.2IATF深度防御保障模型

5.2.1三个要素：人、技术、操作

5.2.2四个领域：三保护一支撑

5.2.2.1本地计算环境

5.2.2.2区域边界

5.2.2.3网络和基础设施

5.2.2.4支撑性基础设施

5.2.2.5UTM统一威胁管理

5.3信息系统安全保障模型

在信息系统的整个生命周期中，通过四要素，确保三特征，保障系统实现组织机构的使命。

信息安全保障实践

1关键基础设施是信息安全保障的最核心内容

2三道防线

2.1防御

2.2应对威胁

2.3加强安全环境

3中国现状

3.12001年启动，2006年落实

3.227号文九项内容

4具体内容

4.1标准化

TC260：“信安标委”--全国信息安全标准化技术委员会

（2002年）

4.2应急处理：

CNCERT/CC：计算机应急响应小组

4.3信息安全等级保护（5级）

4.4信息安全风险评估

4.4.12003年成立，2006年成熟

4.4.2每年一次

4.5灾难恢复

2004年9月启动

4.6人才队伍建设

5信息安全保障工作方法

5.1安全保障需求来自法规符合性、业务需求、风险评估

5.2ISPP：信息系统保护轮廓（用户提出）

5.3ISST：信息系统安全目标（厂商提出）

6信息系统建设（略）

7信息系统测评

7.1产品测评

7.1.1依据：CC标准（ISO/IEC 15408 GB/T18336最高标准）

7.1.25级，1级低、3级中、5级高（中国最高3级）

7.2系统测评（信息安全等级保护：工程、技术、管理）

7.2.1依据GB/T20274

7.2.25级，1级低、3级中、5级高（中国最高3级）

7.3工程测评

7.3.1依据：SSE-CMM（ISO/IEC21827）

7.3.25级，1级低、3级中、5级高（中国最高3级）

7.4厂商工程能力测评

7.4.1一级：基本执行级

7.4.2二级：计划跟踪级

7.4.3三级：充分定义级

7.4.4四级：量化控制级

7.4.5五级：连续改进级