【正文】 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? 手工評(píng)估對(duì)象 (續(xù) ) ? AH003主機(jī)信息 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? 手工評(píng)估對(duì)象 (續(xù) ) ? AH012主機(jī)信息 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? 手工評(píng)估對(duì)象 (續(xù) ) ? AH018主機(jī)信息 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? 手工評(píng)估對(duì)象 (續(xù) ) ? AH008主機(jī)信息 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? 手工評(píng)估對(duì)象 (續(xù) ) ? AH020主機(jī)信息 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? 手工評(píng)估對(duì)象 (續(xù) ) ? AH029主機(jī)信息 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? 手工評(píng)估對(duì)象 (續(xù) ) ? AN001主機(jī)信息 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? 手工評(píng)估對(duì)象 (續(xù) ) ? AN002主機(jī)信息 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? Solaris系統(tǒng) ? 補(bǔ)丁安裝情況 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? Solaris系統(tǒng) (續(xù) ) ? 賬號(hào)、口令策略 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? Solaris系統(tǒng) (續(xù) ) ? 文件系統(tǒng)加固 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? Red Hat Linux系統(tǒng) ? 補(bǔ)丁安裝情況 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? Red Hat Linux系統(tǒng) (續(xù) ) ? 賬號(hào)、口令策略 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? HPUX系統(tǒng) ? 補(bǔ)丁安裝情況 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? HPUX系統(tǒng) (續(xù) ) ? 賬號(hào)、口令策略 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? Windows系統(tǒng) ? 補(bǔ)丁安裝情況 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? Windows系統(tǒng) (續(xù) ) ? 網(wǎng)絡(luò)與服務(wù) 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? Windows系統(tǒng) (續(xù) ) ? 網(wǎng)絡(luò)與服務(wù) (續(xù) ) 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? Windows系統(tǒng) (續(xù) ) ? 網(wǎng)絡(luò)與服務(wù) (續(xù) ) 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 (續(xù) ) ? 風(fēng)險(xiǎn)控制 ? 鑒定已有措施 ? 組織安全策略的規(guī)范化 ? 安全需求補(bǔ)充 ? 技術(shù)和費(fèi)用衡量 ? 生成安全風(fēng)險(xiǎn)評(píng)估報(bào)告及系統(tǒng)安全策略 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 風(fēng)險(xiǎn)評(píng)估注意事項(xiàng) ? 可持續(xù)性要求 ? 建立安全信息庫(kù) 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 習(xí)題 1. 簡(jiǎn)要描述 BS77992的主要內(nèi)容？ 2. 描述 BS7799的 9個(gè)實(shí)施步驟？ 3. ISO 13335中定義了哪幾種風(fēng)險(xiǎn)評(píng)估方法？ 4. 描述風(fēng)險(xiǎn)的主要構(gòu)成元素。 5. 描述常見風(fēng)險(xiǎn)評(píng)估的步驟。 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 第 11章 安 全 體 系 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 教學(xué)重點(diǎn) ? 主流廠家的安全模型 ? 完整的安全體系結(jié)構(gòu) 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 網(wǎng)絡(luò)安全模型 ? Bell_LaPadula模型 ? 公開（ unclassified） ? 受限（ restricted） ? 秘密（ confidential） ? 機(jī)密（ secret） ? 高密（ Top Secret） 高密 不允許寫 不允許讀 秘密 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 網(wǎng)絡(luò)安全模型 (續(xù) ) ? ClarkWilson模型 ? 數(shù)據(jù)項(xiàng)約束 CDI ? 完整性檢測(cè)過程 ? 轉(zhuǎn)換過程 ? ChinaWall模型 ? 用戶必須選擇一個(gè)他可以訪問的區(qū)域 ? 用戶必須自動(dòng)拒絕來自其他與用戶所選區(qū)域的利益沖突區(qū)域的訪問 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 網(wǎng)絡(luò)安全模型 (續(xù) ) ? PDR、 P2DR模型和國(guó)內(nèi)安全廠家模型 ? FESS安全體系模型 評(píng)估 規(guī)劃 運(yùn)營(yíng) 培訓(xùn) 實(shí)施 安全目標(biāo) 安全需求 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 網(wǎng)絡(luò)安全模型 (續(xù) ) ? PDR、 P2DR模型和國(guó)內(nèi)安全廠家模型 (續(xù) ) ? 深度防御體系 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 網(wǎng)絡(luò)安全模型 (續(xù) ) ? PDR、 P2DR模型和國(guó)內(nèi)安全廠家模型 (續(xù) ) ? 綠盟科技的信息系統(tǒng)安全體系 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 網(wǎng)絡(luò)安全模型 (續(xù) ) ? PADIMEE?模型 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 安全體系結(jié)構(gòu)概述 ? 安全體系結(jié)構(gòu)的功能實(shí)體 ? 提供未定義環(huán)境的概念上的安全定義和結(jié)構(gòu) ? 在環(huán)境內(nèi)可以獨(dú)立設(shè)計(jì)安全組件 ? 說明安全獨(dú)立組件應(yīng)該如何集成在整體環(huán)境中 ? 保證完成后的環(huán)境符合最初建立的虛擬實(shí)體 ? 安全體系結(jié)構(gòu) 的要點(diǎn) ? 不依賴于系統(tǒng)的存在 ? 由一些構(gòu)件部件組成 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 ISO 74982 ? 安全服務(wù) ? 身份認(rèn)證 ? 授權(quán)控制 ? 通信加密 ? 數(shù)據(jù)完整性 ? 抗抵賴 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 ISO 74982(續(xù) ) ? 安全機(jī)制 ? 數(shù)據(jù)加密機(jī)制 ? 數(shù)據(jù)簽名機(jī)制 ? 訪問控制機(jī)制 ? 數(shù)據(jù)完整性機(jī)制 ? 鑒別交換機(jī)制 ? 業(yè)務(wù)填充機(jī)制 ? 路由控制機(jī)制 ? 公證機(jī)制 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 ISO 74982(續(xù) ) ? 安全機(jī)制 (續(xù) ) ? 8種機(jī)制和 5種安全服務(wù)的對(duì)應(yīng)關(guān)系 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 ISO 74982(續(xù) ) ? 安全機(jī)制 (續(xù) ) ? ISO 74982的安全體系結(jié)構(gòu) OSI 參考模型應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層1234567安全服務(wù)抗抵賴數(shù)據(jù)保密性數(shù)據(jù)完整性訪問控制鑒別服務(wù)安全機(jī)制加密數(shù)字簽名訪問控制數(shù)據(jù)完整性數(shù)據(jù)交換業(yè)務(wù)流填充路由控制公證全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 物理安全 ? 環(huán)境安全 ? 設(shè)備安全 ? 媒體安全 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 網(wǎng)絡(luò)安全 ? 內(nèi)外網(wǎng)隔離及訪問控制系統(tǒng) ? 內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制 ? 入侵偵測(cè) ? 審計(jì)與監(jiān)控 ? 防病毒 ? 容災(zāi)備份系統(tǒng) 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 信息安全 ? 鑒別 ? 口令機(jī)制 ? 智能卡 ? 主體特征鑒別 ? 數(shù)據(jù)傳輸安全系統(tǒng) ? 鏈路加密 ? 節(jié)點(diǎn)加密 ? 端到端加密 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 信息安全 (續(xù) ) ? 數(shù)據(jù)完整性鑒別技術(shù) ? 報(bào)文鑒別 ? 校驗(yàn)和 ? 加密校驗(yàn)和 ? 消息完整性編碼 MIC ? 防抵賴技術(shù) 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 信息安全 (續(xù) ) ? 數(shù)據(jù)存儲(chǔ)安全系統(tǒng) ? 數(shù)據(jù)庫(kù)安全 ? 終端安全 ? 信息內(nèi)容審計(jì)系統(tǒng) 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 安全管理 ? 安全管理原則 ? 多人負(fù)責(zé)原則 ? 任期有限原則 ? 職責(zé)分離原則 ? 安全管理的實(shí)現(xiàn) 全國(guó)信息化計(jì)算機(jī)應(yīng)用技術(shù)資格認(rèn)證管理中心 習(xí)題 1. BellLaPadula保密模型兩大主要原則是什么？ 2. PDR模型的構(gòu)成元素是什么？ 3. ISO 74982中描述了哪 5類安全服務(wù)？ 4. ISO 74982中描述的 8種安全機(jī)制是什么？ 5. 簡(jiǎn)單舉一個(gè)國(guó)內(nèi)安全廠家的安全服務(wù)模型。