第2讲安全.ppt

第1讲信息安全体系框架和保障;目的;;9.11事件对信息安全的反思;国内外安全状况;国内外安全状况;国内外安全现状;国内外安全现状;国内外安全现状;国内外安全现状;提出问题;问题在问什么？;安全体系框架;安全概述;关于安全的讨论;关于安全的讨论;关于安全的讨论;关于安全的讨论;安全概述;从历史看信息安全;第一阶段：通信必威体育官网网址;第二阶段：计算机安全;第三阶段：信息系统安全;第四阶段：信息安全保障;安全概述;安全的基本要求;安全概述;;安全体系框架;世界上第一例有案可查的涉计算机犯罪案例于1958年发生于美国的硅谷，但是直到1966年才被发现。中国第一例涉及计算机的犯罪（利用计算机贪污）发生于1986年，而被破获的第一例纯粹的计算机犯罪（该案为制造计算机病毒案）则是发生在1996年11月。 从首例计算机犯罪被发现至今，涉及计算机的犯罪无论从犯罪类型还是发案率来看都在逐年大幅度上升，方法和类型成倍增加，逐渐开始由以计算机为犯罪工具的犯罪向以计算机信息系统为犯罪对象的犯罪发展，并呈愈演愈烈之势，而后者无论是在犯罪的社会危害性还是犯罪后果的严重性等方面都远远大于前者。正如国外有的犯罪学家所言，“未来信息化社会犯罪的形式将主要是计算机犯罪，”同时，“计算机犯罪也将是未来国际恐怖活动的一种主要手段”。;安全背景趋势;安全背景趋势;安全背景趋势;安全背景趋势;◆黑客攻击技术和形态的发展;安全背景趋势;安全背景趋势;安全背景趋势;安全背景趋势;安全背景趋势;安全背景趋势;有线电视网的非法插播； 鑫诺卫星的破坏； 深圳证交所通信故障导致停市半天； 武汉外汇交易所的电子报价系统异常； 首都机场旅客进出港系统故障。;安全背景趋势;安全背景趋势;安全背景趋势;安全体系框架;;思 考;信息安全面临的威胁类型;总结;安全体系框架;安全防御体系;思考防御体系的6大模型;思考防御体系的6大模型;M1: 信息体系架构ITA;7个信息安全属性 必威体育官网网址性Confidentiality 完整性Integrity 可用性Availability 真实性Authenticity 不可否认性Non-Reputation 可追究性Accountability 可控性/可治理性Controllability Governability;M3: 管理和执行模型;管理模型;执行模型-Vita;宏观、中观和微观;宏观和微观的对比;M4: 动态安全模型;ISO13335以风险为核心的安全模型;M6: 基于生命周期的过程方法;安全防御体系;;身份认证技术是对进入系统或网络的用户身份进行验证，防止非法用户进入。 身份认证技术的实现有 ----智能卡 ----基于对称密钥体制的Keberos身份认证协议 ----基于非对称密钥体制证书机制 ;安全技术体系结构;安全技术体系结构;安全技术体系结构;安全技术体系结构;安全技术体系结构;◆加密技术;◆签名技术;安全技术体系结构;安全防御体系;安全工作的目的;安全防御体系;信息安全，我们应当期待什么效果;目前普遍应用的信息安全技术;信息安全的实施效果;使用安全技术的比例;信息安全的实施效果;使用安全技术的比例;信息安全的实施效果;信息安全问题的难点;最成熟的“工程”方法;回顾问题;安全体系框架;安全相关标准;标准定义;安全相关标准;互操作标准;安全相关标准;评估标准;ISO 15408 历史;ISO15408的结构;安全相关标准;SSE-CMM;为什么需要SSE-CMM;SSE-CMM项目结构;安全相关标准;IATF起源与发展;IATF基本思路;安全相关标准;信息安全管理标准;BS7799;BS7799 十大领域;BS7799的起源与发展;谁制定了BS7799标准;BS7799特点;ISO13335;ISO13335;AS/NZS 4360 ;安全相关标准;国内标准的特点; **公司承担了《计算机信息系统安全产品等级测评工具开发项目》 ，包括对七类信息产品的安全等级测评，简称《测评工具开发项目》。测评工具的开发包括七个部分： 1） 防火墙及应用网关安全保护等级评测工具 2） 系统评估与入侵检测安全保护等级评测工具 3） 操作系统安全保护等级评测工具 4） 路由器安全保护等级评测工具 5） 交换机安全保护等级评测工具 6） 网络服务软件安全保护等级评测工具 7） 数据库安全保护等级评测工具;信息安全测评中心认证;安全体系框架;信息安全管理体系方法;什么是ISMS;ISMS定义;;信息安全管理体系方法;ISMS的重要原则;信息安全管理体系方法;制订信息安全方针;总结;安全管理体系实践指导;安全管理设计参考原则;安全管理设计参考原则;安全管理设计参考原则;安全管理设计参考原则;安全管理设计参考原则;机构和部门要实现安全方案和管理应该具备“六有”