信息安全保障基础(知识)
-
什么是信息安全(定义)?
信息资产安全的保护,保护其机密性、完整性、可用性 -
什么是信息安全保障?
信息资产安全持续有效的保护 -
信息安全问题产生根源
内因: 信息系统复杂性导致漏洞
外因: 环境、人为 -
信息安全特征
系统性 (一个整体)
动态性
相对性 (任何行业、领做什么程度合适。相对安全)
无边界 -->信息安全-->其他安全(人身、财产、国家安全)
非传统 -->如信息内容(谣言),信息安全(网络安全)如国家主权
不是可见即所得 (安全不是以安全事故来判断而是通过安全风险来判断(发生安全事故概率),没出问题!=没问题)任何行业、领域、任何时候、任何工作应满足信息安全系统性,动态性,相对性三大特性。
-
威胁情报(大数据)
预知当前状态 -
态势感知
-
信息安全属性
-
基本属性
保密性 -->(=机密性 该给的必须给,不该给的不能给),而普通保密性就是不该给的不给。
完整性
可用性 -
其他属性
真实性
可问责性
不可否认性
可靠性 -
密码分类
国家 (秘密,机密,绝密)
国际( 公开,机密,秘密,绝密)
-
-
从不同角度看待信息安全保障工作
-
企业视角
对企业信息安全保障,业务风险降低 -
国家视角
网络战
国家关键基础设施保护
法律建设和标准化
-
graph LR
1996[ 1996 美国DOD]-->2003[2003 27号文件]
2003-->2007[ 2007 17大]
2007-->2008[2008 美国CNCI网络安全审议]
2008-->2010[2010 解密]
2010-->2015[ 2015 网络安全法草案]
2015-->2016[2016 网络安全法发布]
2016-->2017[2017 网络安全法实施]
-
信息安全发展阶段
- 通信安全
- 计算机安全 TCSEC
- 信息系统安全 计算机+网络+数据库等
- 信息安全保障 整个互联网持续有效保护(信息安全风险) 国家27号文件第一次提出信息安全保障
- 网络空间安全 物联网+互联网+.. 整体-->国家安全
-
信息安全保障新领域
(跳过)
信息安全保障框架
基于时间的PDR模型和PPDR模型
PDR-->PPDR-->PPDRR
-
PDR (D防 D 检测 R 响应)
无法应对动态变化- 核心思想
- PDR出发点
基于时间
-
PPDR (P 策略)
先整体策略,然后防御部署- PPDR核心思想
- 定义
ET= (DT + RT) -RT 小于0才正常有效 (ET暴露时间、DT检测时间、RT时间)
-
PPDRR (R恢复)
恢复到原来状态,如灾备。 -
IATF(信信息安全保障技术框架
- 核心思想
深度防御 - 三个要素
人、技术、操作 - (从技术方面)四个焦点领域
保护网络基础设施
保护无趣区域边界 (区域边界-->区域网络设备与其他网络设备的接入点)
保护计算环境
支持性基础设施
- 核心思想
信息安全保障评估框架
信息系统如何保障、保障如何做评估。
- 基本概念
- 信息系统
用于采集、处理、管理...机构人员和组件的总和 - 信息系统安全保障
在信息系统整个生命周期,通过风险分析,制定保障策略,从技术、管理、工程、人员这几方面提出信息安全保障要求,确保信息系统的CIA,保证分析降低到可接受程度,从而保障系统能够顺利实现组织机构的使命(系统本身业务)。
- 信息系统
2. 模型特点<br>
将风险和策略作为信息系统安全保障的基础和核心<br>
强调安全贯穿信息系统生命周期<br>
强调综合保障的观念<br>
3. 保障程度(评估保障)<br>
* ISSP(信息系统保护轮廓) (即通用要求、行业标准) --> ISSP评估
* ISST(信息系统安全目标) -->ISST评估
* STOE评估
* 技术保障<br>
TCML安全技术能力成熟度
* 管理保障<br>
MCML安全管理能力成熟度
* 工程保障<br>
ECML安全工程能力成熟度
* 信息系统安全保障评估方法--》TOE ST CIA...
4. ST如何制定
* 先确定TOE
* 需求分析
1. 需求识别
* 国家法律法规(如规定为二级标准) --> 调研
* 业务需求--> 调研
* 安全风险(客观存在),从专业角度进行风险评估
2. 分析
* 合规性(符合要求)
* 合理性(实际需要,如专业技术能力是否能达到)
3. 确定
甲方
5. 企业安全框架
* 概念
* 分层模型 -六个层级