信息安全体系结构PPT文档格式.ppt

1、信息安全的保护机制包括电磁辐射、环境安全、计算机信息安全的保护机制包括电磁辐射、环境安全、计算机技术、网络技术等技术因素，还包括信息安全管理（含系统技术、网络技术等技术因素，还包括信息安全管理（含系统安全管理、安全服务管理和安全机制管理）、法律和心理因安全管理、安全服务管理和安全机制管理）、法律和心理因素等机制。素等机制。国际信息系统安全认证组织（国际信息系统安全认证组织（International International Information Systems Security ConsortiumInformation Systems Security Consortium，简称简称I

2、SC2ISC2）将信息安全划分为将信息安全划分为 5 5 重屏障共重屏障共 1010 大领域并给出了它大领域并给出了它们涵盖的知识结构 们涵盖的知识结构 42.1 2.1 信息安全的保护机制信息安全的保护机制 1、物理屏障：场地设备安全，含警卫、监控等 2、技术屏障：计算机技术、网络技术、通信技术等 3、管理屏障：人事、操作、设备等 4、法律屏障：民法、刑法等5、心理屏障：全民国防意识信息资源52.2 2.2 开放系统互连安全体系结构开放系统互连安全体系结构 ISO 7498-ISO 7498-2 2 1234567OSI 参考模型应用层表示层会话层传输层网络层数据链路层物理层安全机制加密数字

3、签名访问控制数据完整性鉴别交换业务流填充路由控制公证安全服务鉴别服务访问控制数据完整性数据保密性不可抵赖性6 安全服务安全服务就是加强数据处理系统和信息传输的就是加强数据处理系统和信息传输的安全性的一类服务，其目的在于利用一种或多种安安全性的一类服务，其目的在于利用一种或多种安全机制阻止安全攻击。全机制阻止安全攻击。安全机制安全机制是指用来保护系统免受侦听、阻止是指用来保护系统免受侦听、阻止安全攻击及恢复系统的机制。安全攻击及恢复系统的机制。2.2 2.2 开放系统互连安全体系结构开放系统互连安全体系结构 71 1、安全服务、安全服务2.2 2.2 开放系统互连安全体系结构开放系统互连安全体系

4、结构 1 1）鉴别服务鉴别服务。鉴别服务提供对通信中的对等实体和数据来源。鉴别服务提供对通信中的对等实体和数据来源的鉴别。的鉴别。2 2）访问控制访问控制。这种服务提供保护以对抗开放系统互连可访问。这种服务提供保护以对抗开放系统互连可访问资源的非授权使用。资源的非授权使用。3 3）数据保密性数据保密性。这种服务对数据提供保护使之不被非授权地。这种服务对数据提供保护使之不被非授权地泄漏。泄漏。4 4）数据完整性数据完整性。可以针对有连接或无连接的条件下，对数据。可以针对有连接或无连接的条件下，对数据进行完整性检验。在连接状态下，当数据遭到任何篡改、插入、删进行完整性检验。在连接状态下，当数据遭到

5、任何篡改、插入、删除时还可进行补救或恢复。除时还可进行补救或恢复。5 5）抗抵赖抗抵赖。对发送者来说，数据发送将被证据保留，并将这。对发送者来说，数据发送将被证据保留，并将这一证据提供给接收者，以此证明发送者的发送行为。同样，接收者一证据提供给接收者，以此证明发送者的发送行为。同样，接收者接收数据后将产生交付证据并送回原发送者，接收者不能否认收到接收数据后将产生交付证据并送回原发送者，接收者不能否认收到过这些数据。过这些数据。8访问控制策略有如下三种类型。访问控制策略有如下三种类型。1 1）基于身份的策略基于身份的策略。即根据用户或用户组对目标的访。即根据用户或用户组对目标的访问权限进行控制的

6、一种策略。形成“目标用户权限”或问权限进行控制的一种策略。形成“目标用户权限”或“目标用户组权限”的访问控制形式。“目标用户组权限”的访问控制形式。2 2）基于规则的策略基于规则的策略。是将目标按照某种规则（如重要。是将目标按照某种规则（如重要程度）分为多个密级层次，如绝密、秘密、机密、限制和无程度）分为多个密级层次，如绝密、秘密、机密、限制和无密级，通过分配给每个目标一个密级来操作。密级，通过分配给每个目标一个密级来操作。3 3）基于角色的策略基于角色的策略。基于角色的策略可以认为是基于。基于角色的策略可以认为是基于身份的策略和基于规则的策略的结合。身份的策略和基于规则的策略的结合。目的就是

7、保证信息的可用性，即可被授权实体访问并按目的就是保证信息的可用性，即可被授权实体访问并按需求使用，保证合法用户对信息和资源的使用不会被不正当需求使用，保证合法用户对信息和资源的使用不会被不正当地拒绝，同进不能被无权使用的人使用或修改、破坏。地拒绝，同进不能被无权使用的人使用或修改、破坏。2.2 2.2 开放系统互连安全体系结构开放系统互连安全体系结构 92 2、安全机制、安全机制2.2 2.2 开放系统互连安全体系结构开放系统互连安全体系结构 1 1）加密。加密既能为数据提供保密性，也能为通信业务流提供保密性，还）加密。加密既能为数据提供保密性，也能为通信业务流提供保密性，还为其它机制提供补充

8、。加密机制可配置在多个协议层次中。为其它机制提供补充。2 2）数字签名机制。可以完成对数据单元的签名工作，也可实现对已有签名）数字签名机制。可以完成对数据单元的签名工作，也可实现对已有签名的验证工作。数字签名必须不可伪造和不可抵赖。的验证工作。3 3）访问控制机制。按实体所拥有的访问权限对指定资源进行访问，对非授）访问控制机制。按实体所拥有的访问权限对指定资源进行访问，对非授权或不正当的访问应有一定的报警或审计跟踪方法。权或不正当的访问应有一定的报警或审计跟踪方法。4 4）数据完整性机制。发送端产生一个与数据单元相关的附加码，接收端通）数据完整性机制。发送端产生一个与数据单元相关的附加码，接收

9、端通过对数据单元与附加码的相关验证控制数据的完整性。过对数据单元与附加码的相关验证控制数据的完整性。5 5）鉴别交换机制。可以使用密码技术，由发送方提供，而由接收方验证来）鉴别交换机制。可以使用密码技术，由发送方提供，而由接收方验证来实现鉴别。通过特定的“握手”协议防止鉴别“重放”。实现鉴别。6 6）通信业务填充机制。业务分析，特别是基于流量的业务分析是攻击通信）通信业务填充机制。业务分析，特别是基于流量的业务分析是攻击通信系统的主要方法之一。通过通信业务填充来提供各种不同级别的保护。系统的主要方法之一。7 7）路由选择控制机制。针对数据单元的安全性要求，可以提供安全的路由）路由选择控制机制。

10、针对数据单元的安全性要求，可以提供安全的路由选择方法。选择方法。8 8）公证机制。通过第三方机构，实现对通信数据的完整性、原发性、时间）公证机制。通过第三方机构，实现对通信数据的完整性、原发性、时间和目的地等内容的公证。一般通过数字签名、加密等机制来适应公证机构提供的和目的地等内容的公证。一般通过数字签名、加密等机制来适应公证机构提供的公证服务。公证服务。102.3 2.3 信息安全体系框架 信息系统安全的总需求是物理安全、网络安全、信息信息系统安全的总需求是物理安全、网络安全、信息内容安全、应用系统安全的总和，安全的最终目标是确保信内容安全、应用系统安全的总和，安全的最终目标是确保信息的机密

11、性、完整性、可用性、可控性和抗抵赖性，以及信息的机密性、完整性、可用性、可控性和抗抵赖性，以及信息系统主体息系统主体（包括用户、团体、社会和国家包括用户、团体、社会和国家）对信息资源的对信息资源的控制。控制。完整的信息系统安全体系框架由技术体系、组织机构体完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建。系和管理体系共同构建。11系统安全OSI安全管理安全机制安全服务物理安全运行环境及系统安全技术OSI安全技术技术机制入侵监控安全策略与服务状态检测密钥管理审计技术管理机构岗位人事制度培训法律技术体系组织机构体系管理体系信息安全体系框架2.3 2.3 信息安全体系框架 122

12、.3 2.3 信息安全体系框架 技术体系技术体系 1 1）物理安全技术物理安全技术。信息系统的建筑物、机房条件及硬。信息系统的建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全；通过对电力供应件设备条件满足信息系统的机械防护安全；通过对电力供应设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择性措施达到相应的安全目的。物理安全技术运用于物理保障性措施达到相应的安全目的。物理安全技术运用于物理保障环境环境（含系统组件的物理环境含系统组件的物理环境）。2 2）系统安全技术系统安全技术。通过对信息系统与安全相关组件的。通过对信息系统与安全相

13、关组件的操作系统的安全性选择措施或自主控制，使信息系统安全组操作系统的安全性选择措施或自主控制，使信息系统安全组件的软件工作平台达到相应的安全等级，一方面避免操作平件的软件工作平台达到相应的安全等级，一方面避免操作平台自身的脆弱性和漏洞引发的风险，另一方面阻塞任何形式台自身的脆弱性和漏洞引发的风险，另一方面阻塞任何形式的非授权行为对信息系统安全组件的入侵或接管系统管理权的非授权行为对信息系统安全组件的入侵或接管系统管理权。132.3 2.3 信息安全体系框架 组织机构体系组织机构体系 组织机构体系是信息系统安全的组织保障系统，由机组织机构体系是信息系统安全的组织保障系统，由机构、岗位和人事三个模块构成一个体系。构、岗位和人事三个模块构成一个体系。机构的设置分为三个层次：决策层、管理层和执行层 机构的设置分为三个层次：决策层、管理层和执行层 岗位是信息系统安全管理机关根据系统安全需要设定岗位是信息系统安全管理机关根据系统安全需要设定的负责某一个或某几个安全事务的职位 的负责某一个或某几个安全事务的职位 人事机构是根据管理机构设定的岗位，对岗位上在职人事机构是根据管理机构设定的岗位，对岗位上在职、待职和离职的雇员进行素质教育、业绩考核和安全监管、待职和离职的雇员进行素质教育