信息安全体系结构与信息安全策略 课件

信息安全体系结构

和信息安全策略网络安全管理授课人：肖敏课时：专业：信息安全、网络工程年级：2010信息安全体系结构

和信息安全策略网络安全管理授课人：肖敏主要内容信息安全策略信息安全体系结构

信息安全体系结构规划与设计主要内容信息安全策略信息安全体系结构信息安全体系结构规划信息安全体系结构建立和应用安全体系结构的目的和意义信息安全体系建立的流程OSI安全体系信息安全体系结构建立和应用安全体系结构的目的和意义建立和应用安全体系结构的目的和意义将普遍性的系统科学和系统工程理论应用到信息系统安全的实际中，形成满足安全需求的安全体系，避免安全短板从管理、技术、组织等多个方面完整、准确地落实安全策略做到风险、安全及成本的平衡安全需求和安全策略应尽可能的制约所预见的系统风险及其变化，两个原则：将风险降低到可接受程度。威胁攻击信息系统的代价大于获得的利益。

为系统提供经济、有效的安全服务，保障系统安全运行建立和应用安全体系结构的目的和意义将普遍性的系统科学和系统工信息安全体系建立的流程

安全需求安全风险安全体系评估再进行对抗指导导出系统资源降低信息安全体系建立的流程

安全需求安全风险安全体系评估再进行对OSI参考模型7应用层6表示层5会话层4传输层3网络层2链路层1物理层安全机制加密数字签名访问控制数据完整性数据交换业务流填充路由控制公证安全服务鉴别服务访问控制数据完整性数据保密性抗抵赖OSI安全体系OSI参考模型7应用层6表示层5会话层4传输层3网络层2链路OSI安全体系结构五类安全服务安全机制安全服务和安全机制的关系OSI层中的服务配置安全体系的安全管理OSI安全体系框架技术体系组织机构体系管理体系OSI安全体系OSI安全体系结构OSI安全体系鉴别（或认证，authentication）对等实体鉴别

由（N）层提供这种服务时，将使（N+1）层实体确信与之打交道的对等实体正是他所需要的（N+1）层实体。这种服务在连接建立或在数据传送阶段的某些时刻提供使用，用以证实一个或多个实体的身份。使用这种服务可以确信(仅仅在使用时间内)一个实体此时没有试图冒充别的实体，或没有试图将先前的连接作非授权的重演。实施单向或双向对等实体鉴别是可能的，可以带有效期检验，也可以不带。这种服务能够提供各种不同程度的保护。OSI安全体系鉴别（或认证，authentication）OSI安全体系鉴别（或认证，authentication）数据原发性鉴别

确认所接收到数据的来源是所要求的。这种服务当由(N)层提供时，将使(N+1)实体确信数据来源正是所要求的对等(N+1)实体。数据源鉴别服务对数据单元的来源提供确认。这种服务对数据单元的重复篡改不提供保护。OSI安全体系鉴别（或认证，authentication）OSI安全体系访问控制针对越权使用资源和非法访问的防御措施。访问控制大体可分为自主访问控制和强制访问控制两类：其实现机制可以是基于访问控制属性的访问控制表(或访问控制路)，或基于“安全标签”、用户分类和资源分档的多级访问控制等。访问控制安全服务主要位于应用层、传输层和网络层。它可以放在通信源、通信目标或两者之间的某一部分。这种访问控制要与不同的安全策略协调一致。OSI安全体系访问控制OSI安全体系数据机密性针对信息泄露、窃听等被动威胁的防御措施。可细分为如下3种。

(1)信息保密信息保密指的是保护通信系统中的信息或网络数据库数据。而对于通信系统中的信息，又分为面向连接保密和无连接保密：连接机密性这种服务为一连接上的全部用户数据保证其机密性。无连接机密服务为单个无连接的SDU中的全部用户数据保证其机密性OSI安全体系数据机密性OSI安全体系数据机密性

(2)数据字段保密保护信息中被选择的部分数据段；这些字段或处于连接的用户数据中，或为单个无连接的SDU中的字段。

(3)业务流保密业务流保密指的是防止攻击者通过观察业务流，如信源、信宿、转送时间、频率和路由等来得到敏感的信息。OSI安全体系数据机密性OSI安全体系数据完整性针对非法地篡改和破坏信息、文件和业务流而设置的防范措施，以保证资源的可获得性。这组安全服务又细分为如下3种：(1)基于连接的数据完整性这种服务为连接上的所有用户数据提供完整性，可以检测整个SDU序列中的数据遭到的任何篡改、插人、删除或重放。同时根据是否提供恢复成完整数据的功能，区分为有恢复的完整性服务和无恢复的完整性服务。OSI安全体系数据完整性OSI安全体系数据完整性(2)基于数据单元的数据完整性这种服务当由(N)层提供时，对发出请求的(N+1)实体提供数据完整性保证。它是对无连接数据单元逐个进行完整性保护。另外，在一定程度上也能提供对重放数据的单元检测。

(3)基于字段的数据完整性这种服务为有连接或无连接通信的数据提供被选字段的完整性服务，通常是确定被选字段是否遭到了篡改。OSI安全体系数据完整性OSI安全体系抗抵赖针对对方进行抵赖的防范措施，可用来证实已发生过的操作。这组安全服务可细分为如下3种。

(1)数据源发证明的抗抵赖，它为数据的接收者提供数据来源的证据，这将使发送者谎称未发送过这些数据或否认他的内容的企图不能得逞。

(2)交付证明的抗抵赖，它为数据的发送者提供数据交付证据，这将使得接收者事后谎称未收到过这些数据或否认它的内容的企图不能得逞。

(3)通信双方互不信任，但对第三方(公证方)则绝对信任，于是依靠第三方来证实已发生的操作。OSI安全体系抗抵赖OSI安全体系为了实现上述5种安全服务，ISO7408-2中制定了支持安全服务的8种安全机制：

(1)加密机制(enciphermentmechanisms)。

(2)数字签名机制(digitalsignaturemechanisms)。

(3)访问控制机制(accesscontrolmechanisms)。

(4)数据完整性机制(dataintegritymechanisms)。(5)鉴别交换机制(authenticationmechanisms)。

(6)通信业务填充机制(trafficpaddingmechanisms)(7)路由控制机制(Routingcontrolmechanisms)。

(8)公证机制(notarizationmechanisms)。OSI安全体系为了实现上述5种安全服务，ISO7408-2中制定了支持安1100111001010001010010101001000100100100000100000011001110010100010100101010010001001001000001000000明文加密解密明文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@保证数据在传输途中不被窃取发起方接受方密文加密机制11001110011100111001明文加密解密明文·#BobAlice假冒的“Bob”假冒VPNinternet101011011110100110010100私钥签名验证签名，证实数据来源数字签名机制BobAlice假冒的“Bob”假冒VPNinternet1总部分支机构A分支机构B移动用户A移动用户B黑客100100101边界防护边界防护边界防护100100101Internet对网络的访问控制10100101访问控制机制总部分支机构A分支机构B移动用户A移动用户B黑客1001HostCHostDAccesslisttoAccessnattoanypassAccesstoblockAccessdefaultpass1010010101规则匹配成功基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间访问控制机制基于用户基于流量基于文件基于网址基于MAC地址HostCHostDAccesslist192.16发起方接受方1001000101010010100001000000110110001010100010101001000101010010100001000000110110001010HashHash100010101001000101010010100001000000110110001010是否一样？防止数据被篡改数据完整性机制发起方接受方100100011000101010010001UsernamePasswordPermission郭德纲123*abcRliweiy8990RWguli8668REyuhaibo8965RWEServerEnduserUsername=郭德纲Password=123*abc

发起访问请求验证用户名与口令回应访问请求，允许访问验证通过基于口令、用户名的身份认证鉴别交换机制（1）UsernamePasswordPermission郭德纲1UsernameFeaturePermissionchenaf1234Rliweiy8990RWguli8668REServerWorkstation传送特征信息，发起访问请求验证用户特征信息回应访问请求，允许访问验证通过指纹识别器读取特征信息获得特征信息基于主体特征的身份认证鉴别交换机制（2）UsernameFeaturePermissionchenaUsernameInformationPermissionchenaf1234Rliweiy8990RWguli8668REyuhaibo8965RWEServerWorkstation传送身份验证信息，发起访问请求验证用户身份回应访问请求，允许访问验证通过读卡器输入PIN号码插入IC卡读取用户信息获得用户信息基于IC卡+PIN码的身份认证鉴别交换机制（3）UsernameInformationPermission用户证书服务器证书开始安全通讯基于CA证书的身份认证鉴别交换机制（4）用户证书服务器证书开始安全通讯基于CA证书的身份认证鉴别交换通信业务填充机制

通信业务填充机制能用来提供各种不同级别的保护，对抗通信业务分析。这种机制只有在通信业务填充受到机密服务保护时才是有效的。通信业务填充机制通信业务填充机制能用来提供各路由选择机制终端某时刻前，路由为A-B-D服务器某时刻后，路由为A-C-D路由器B路由器A路由器C路由器D路由选择机制终端某时刻前，路由为A-B-D服务器某时刻后，路公证机制CA中心证书发布服务器证书签发服务器用户证书服务器证书开始数字证书签名验证开始数字证书签名验证查找共同可信的CA查找共同可信的CA验证通过开始安全通讯公证机制CA中心证书发布服务器证书签发服务器用户证书服务器证机制服务加密数字签名访问控制数据完整性鉴别交换通信业务填充路由控制公证对等实体鉴别YYY数据原发鉴别YY访问控制服务Y连接保密性YY无连接保密性YY选择字段保密性Y通信业务流保密性YYY带恢复的连接完整性YY不带恢复的连接完整性YY选择字段连接完整性YY无连接完整性YYY选择字段无连接完整性YYY有数据原发证明的抗抵赖YYY有交付证明的抗抵赖YYY机制加密数字签名访问控制数据完整性OSI层中的服务配置安全服务协议层1234567对等实体鉴别YYY数据源发鉴别YYY访问控制服务YYY连接机密性YYYYYY无连接机密性YYYYY选择字段机密性Y通信业务流机密性YYY带恢复的连接完整性YY不带恢复的连接完整性YY选择字段连接完整性YYY无连接完整性Y选择字段无连接完整性YYY带数据源发证明的抗抵赖Y带数交付证明的抗抵赖YOSI层中的服务配置安全服务协议层1234567对等OSI层中的服务配置——说明应用进程本身可以提供安全服务；表中各项的重要性存在相当大的差别；网络层中安全服务的位置对将被提供的服务的性质与范围有很大影响；表示层包含许多支持应用层提供安全服务的安全设施OSI层中的服务配置——说明应用进程本身可以提供安全服务；OSI层中的服务配置——加密位置的选取大多数应用将不要求在多个层上加密，加密层的选取主要取决于下述的几个主要问题：如果要求全通信业务流保密性，那么将选取物理层加密，或传输安全手段(例如,适当的扩频技术)。足够的物理安全，可信任的路由选择以及在中继上的类似机制能够满足所有的机密性要求。如果要求高粒度保护(即对每个应用联系可能提供不同的密钥)，和抗抵赖或选择字段保护，那么将选取表示层加密。在表示层中的加密能提供不带恢复的完整性，抗抵赖，以及所有的机密性。OSI层中的服务配置——加密位置的选取大多数应用将不要求在多OSI层中的服务配置——加密位置的选取大多数应用将不要求在多个层上加密，加密层的选取主要取决于下述的几个主要问题：如果希望的是所有端系统到端系统通信的简单块保护，或希望有一个外部的加密设备，那么将选取网络层加密。这也能够提供保密性与不带恢复的完整性。如果要求带恢复的完整性，同时又具有高粒度保护，那么将选取运输层加密。这能提供保密性，带恢复的完整性或不带恢复的完整性。不推荐在数据链路层上加密

OSI层中的服务配置——加密位置的选取大多数应用将不要求在多OSI安全管理OSI安全管理涉及与OSI体系的安全管理以及OSI管理的安全两个方面

OSI安全管理涉及到OSI安全服务的管理与安全机制的管理。这样的管理要求给这些服务与机制分配管理信息，并收集与这些服务和机制的操作有关的信息。例如，密钥的分配，设置行政管理强加的安全选择参数，报告正常的与异常的安全事件(审计跟踪)，以及服务的激活与停活等。OSI安全管理OSI安全管理涉及与OSI体系的安全管理以及OOSI安全管理安全管理信息库(SMIB)存储开放系统所需的与安全有关的全部信息，是一个分布式信息库。SMIB能有多种实现办法，如:数据表、文卷、嵌入实开放系统软件或硬件中的数据或规则等。管理协议，特别是安全管理协议，以及传送这些管理信息的通信信道存在着抗攻击的脆弱性。所以应加以特别关心以确保管理协议与信息受到保护，不致削弱为通常的通信实例提供的安全保护。

OSI安全管理安全管理信息库(SMIB)存储开放系统所需的与OSI安全管理OSI安全管理活动包括系统安全管理安全服务管理安全机制管理OSI管理的安全

OSI安全管理OSI安全管理活动包括系统安全管理涉及总的OSI环境安全方面的管理。属于这一类安全管理的典型活动包括：总体安全策略管理与别的管理功能的相互作用安全服务管理和安全机制管理的交互作用事件处理管理：远程报告安全事件，维护触发事件报告的阈值OSI安全管理系统安全管理涉及总的OSI环境安全方面的管理。属于这一类安全安全审计管理：选择需要记录和采集的事件；授予或取消对所选事件进行审计跟踪日志记录的能力；所选审计记录的远程采集；准备安全审计报告。安全恢复管理：维护对可能的安全事故作出反应的规则；远程报告对系统安全的明显违反；安全管理者的交互作用。OSI安全管理安全审计管理：选择需要记录和采集的事件；授予或取消对所选事件安全服务管理涉及特定安全服务的管理，可能执行的典型活动包括：为特定安全服务决定与指派目标安全保护；指定与维护选择规则，用以选取为提供所需的安全服务而使用的特定安全机制；对那些需要事先取得管理同意的可用安全机制进行协商通过适当的安全机制管理功能调用特定的安全机制；与别的安全服务管理功能和安全机制管理功能的交互作用。OSI安全管理安全服务管理涉及特定安全服务的管理，可能执行的典型活动包括：安全机制管理涉及的是特定安全机制的管理，典型的安全机制管理功能包括：密钥管理：包括密钥生成；密钥拷贝；密钥分发。加密管理：与密钥管理的交互作用；建立密码参数；密码同步。数字签名管理：与密钥管理的交互作用；建立密码参数与密码算法；在通信实体与可能有的第三方之间使用协议。OSI安全管理安全机制管理涉及的是特定安全机制的管理，典型的安全机制管理功访问控制管理：安全属性(包括口令)的分配；对访问控制表或权力表进行修改；在通信实体与其他提供访问控制服务的实体之间使用协议。数据完整性管理：与密钥管理的交互作用；建立密码参数与密码算法；在通信的实体间使用协议。认证管理：认证信息分配；在通信的实体与其他提供认证服务的实体之间使用协议。OSI安全管理访问控制管理：安全属性(包括口令)的分配；对访问控制表或权通信业务填充管理：维护通信业务填充规则，包括预定的数据率、指定随机数据率、指定报文特性、规则的改变。路由选择控制管理：确定那些按特定准则被认为是安全可靠或可信任的链路或子网络。公证管理：分配有关公证的信息、在公证方与通信的实体之间使用协议、与公证方的交互作用。

OSI安全管理通信业务填充管理：维护通信业务填充规则，包括预定的数据率、指所有OSI管理功能的安全以及OSI管理信息的通信安全是OSI安全的重要部分这一类安全管理将借助适当的OSI安全服务与机制以确保OSI管理协议与信息获得足够的保护。OSI安全管理所有OSI管理功能的安全以及OSI管理信息的通信安全是OSIOSI安全体系框架依据信息安全的多重保护机制，信息系统安全的总需求是物理安全、网络安全、信息内容安全、应用系统安全的总和，安全的最终目标是确保信息的机密性、完整性、可用性、可控性和抗抵赖性，以及信息系统主体(包括用户、团体、社会和国家)对信息资源的控制。OSI安全体系框架依据信息安全的多重保护机制，信息系统安全的OSI安全体系框架从信息系统安全总需求来看，其中的网络安全、信息内容安全等可以通过OSI安全体系提供的安全服务、安全机制及其管理获得，但所获得的这些安全特性只解决了与通信和互连有关的安全问题，而涉及与信息系统构成组件及其运行环境安全有关的其他问题(如物理安全、系统安全等)还需要从技术措施和管理措施两个方面来考虑解决方案。OSI安全体系框架从信息系统安全总需求来看，其中的网络安全、OSI安全体系框架完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建。

OSI安全体系框架完整的信息系统安全体系框架由技术体系、组织OSI安全体系框架管理体系法律制度培训培训组织体系机构岗位人事技术体系技术管理技术机制安全策略与服务密钥管理审计状态检测入侵检测OSI安全技术运行环境及系统安全技术OSI安全管理安全机制安全服务物理安全系统安全信息系统安全体系框架OSI安全体系框架管理体系法律制度培训培训组织体系机构岗OSI安全体系框架——技术体系技术体系是全面提供信息系统安全保护的技术保障系统。OSI安全体系通过技术管理将技术机制提供的安全服务，在OSI协议层上，为数据、信息内容、通信连接提供机密性、完整性和可用性保护，为通信实体、通信连接、通信进程提供身份鉴别、访问控制、审计和抗抵赖保护，这些安全服务分别作用在通信平台、网络平台和应用平台上。环境保障和系统运行的安全体系是与OSI安全体系不同的技术保障体系。该体系由物理安全技术和系统安全技术两类构成。OSI安全体系框架——技术体系技术体系是全面提供信息系统安全OSI安全体系框架——技术体系物理安全技术通过物理机械强度标准的控制使信息系统的建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全；通过对电力供应设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择性措施达到两个安全目的：一是信息系统组件具有抗击外界电磁辐射或噪声干扰能力而保持正常运行；二是控制信息系统组件电磁辐射造成的信息泄露，必要时还应从建筑物和机房条件的设计开始就采取必要措施，以使电磁辐射指标符合国家相应的安全等级要求。OSI安全体系框架——技术体系物理安全技术OSI安全体系框架——技术体系系统安全技术通过对信息系统与安全相关组件的操作系统的安全性选择措施或自主控制，使信息系统安全组件的软件工作平台达到相应的安全等级一方面避免操作平台自身的脆弱性和漏洞引发的风险另一方面阻塞任何形式的非授权行为对信息系统安全组件的入侵或接管系统管理权。

OSI安全体系框架——技术体系系统安全技术OSI安全体系框架-技术体系协议层次应用层传输层网络层链路层物理层安全服务（安全机制）安全管理数字签名访问控制数据完整性数据交换业务流填充路由控制公证系统构成单元物理环境系统平台通信平台网络平台应用平台安全管理加密电磁辐射控制抗电磁干扰鉴别访问控制数据完整性数据保密性抗抵赖审计可靠性可用性安全管理OSI安全体系框架-技术体系协议层次应用层传输层网络层链路层组织机构体系组织机构体系是信息系统安全的组织保障系统，由机构、岗位和人事三个模块构成一个体系。机构的设置分为三个层次：决策层、管理层和执行层。决策层是信息系统主体单位决定信息系统安全重大事宜的领导机构，由单位主管信息工作的负责人为首，有行使国家安全、公共安全、机要和保密职能的部门负责人和信息系统主要负责人参与组成。组织机构体系组织机构体系是信息系统安全的组织保障系统，由机组织机构体系管理层是决策层的日常管理机关，根据决策机构的决定全面规划并协调各方面力量实施信息系统的安全方案，制定、修改安全策略，处理安全事故，设置安全相关的岗位。执行层是在管理层协调下具体负责某一个或某几个特定安全事务的一个逻辑群体，这个群体分布在信息系统的各个操作层或岗位上。组织机构体系管理层是决策层的日常管理机关，根据决策机构的决组织机构体系岗位是信息系统安全管理机关根据系统安全需要设定的负责某一个或某几个安全事务的职位，岗位在系统内部可以是具有垂直领导关系的若干层次的一个序列，一个人可以负责一个或几个安全岗位，但一个人不得同时兼任安全岗位所对应的系统管理或具体业务岗位。因此，岗位并不是一个机构，它由管理机构设定，由人事机构管理。组织机构体系岗位是信息系统安全管理机关根据系统安全需要设定组织机构体系人事机构是根据管理机构设定的岗位，对岗位上在职、待职和离职的雇员进行素质教育、业绩考核和安全监管的机构。人事机构的全部管理活动在国家有关安全的法律、法规、政策规定范围内依法进行组织机构体系人事机构是根据管理机构设定的岗位，对岗位上在职管理体系

管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理三个部分组成。法律管理是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约束。法律管理具有对信息系统主体行为的强制性约束力，并且有明确的管理层次性。与安全有关的法律法规是信息系统安全的最高行为准则管理体系

管理是信息系统安全的灵魂。信息系统安全的管理体系管理体系

制度管理是信息系统内部依据系统必要的国家、团体的安全需求制定的一系列内部规章制度，主要内容包括：安全管理和执行机构的行为规范岗位设定及其操作规范岗位人员的素质要求及行为规范内部关系与外部关系的行为规范等制度管理是法律管理的形式化、具体化，是法律、法规与管理对象的接口。管理体系

制度管理是信息系统内部依据系统必要的国家、团体的管理体系

培训管理是确保信息系统安全的前提。培训管理的内容包括：法律法规培训内部制度培训岗位操作培训普遍安全意识与岗位相关的重点安全意识相结合的培训业务素质与技能技巧培训等培训的对象几乎包括信息系统有关的所有人员(不仅仅是从事安全管理和业务的人员)。

管理体系

培训管理是确保信息系统安全的前提。培训管理的内容应用层传输层网际层网络接口层认证服务访问控制数据完整性数据保密性不可抵赖性数据加密数字签名访问控制数据完整性实体认证流量填充路由控制安全机制TCP/IP参考模型安全服务TCP/IP安全体系应用层传输层网际层网络接口层认证服务访问控制数据完整性数据保OSI安全体系结构到TCP/IP协议层的映射

协议层安全服务网络接口层IP层传输层应用层鉴别对等实体鉴别YYY数据源发鉴别YYY访问控制访问控制服务YYY保密性连接机密性YYYY无连接机密性YYYY选择字段机密性Y通信业务流机密性YYY完整性带恢复的连接完整性YY不带恢复的连接完整性YYY选择字段连接完整性Y无连接完整性YYY选择字段无连接完整性Y抗抵赖带数据源发证明的抗抵赖Y带交付证明的抗抵赖YOSI安全体系结构到TCP/IP协议层的映射协议层网络接口协议层安全协议主要实现的安全策略应用层S-HTTP（安全超文本传输协议）信息加密、数字签名、数据完整性验证SET（安全电子交易）信息加密、身份认证、数字签名、数据完整性验证PGP（PrettyGoodPrivacy）信息加密、数字签名、数据完整性验证S/MIME（安全的多功能Internet电子邮件扩充）信息加密、数字签名、数据完整性验证Kerberos信息加密、身份认证SSH(安全外壳协议)信息加密、身份认证、数据完整性验证传输层SSL/TLS（安全套接字层/安全传输层）信息加密、身份认证、数据完整性验证SOCKS(防火墙安全会话转换协议)访问控制、穿透防火墙TCP／IP参考模型的安全协议分层协议层安全协议主要实现的安全策略应用层S-HTTP（安全超文协议层安全协议主要实现的安全策略网际层IPSec（IP层安全协议）信息加密、身份认证、数据完整性验证网络接口层PAP（密码认证协议）身份认证CHAP（挑战握手认证协议）身份认证PPTP（点对点隧道协议）传输隧道L2F（第二层转发协议）传输隧道L2TP（第二层隧道协议）传输隧道WEP（有线等效保密）信息加密、访问控制、数据完整性验证WPA（Wi-Fi网络保护访问）信息加密、身份认证、访问控制、数据完整性验证TCP／IP参考模型的安全协议分层协议层安全协议主要实现的安全策略网际层IPSec（IP层安信息安全策略信息安全策略的目的和意义什么是信息安全策略信息安全策略的层次信息安全策略的制定执行信息安全策略的过程信息安全策略的内容信息安全策略信息安全策略的目的和意义保证网络安全、保护工作的整体性、计划性及规范性保证各项措施和管理手段的正确实施，使网络系统信息数据的机密性、完整性及可用性受到全面、可靠的保护信息安全策略（InformationSecurityPolicy）是一个组织机构中解决信息安全问题最重要的部分。在一个小型组织内部，信息安全策略的制定者一般应该是该组织的技术管理者，在一个大的组织内部，信息安全策略的制定者可能是由一个多方人员组成的小组。信息安全策略的目的和意义保证网络安全、保护工作的整体性、计划性及规范性信息安全策略的什么是信息安全策略？信息安全策略是一组规则，它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。信息安全策略可以划分为两个部分：问题策略（issuepolicy）和功能策略（functionalpolicy）问题策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。功能策略描述如何解决所关心的问题，包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略什么是信息安全策略？信息安全策略是一组规则，它们定义了一个组什么是信息安全策略？信息安全策略必须有清晰和完全的文档描述，必须有相应的措施保证信息安全策略得到强制执行。在组织内部，必须有行政措施保证制定的信息安全策略被不打折扣地执行，管理层不能允许任何违反组织信息安全策略的行为存在另一方面，也需要根据业务情况的变化不断地修改和补充信息安全策略信息安全策略是原则性的和不涉及具体细节，对于整个组织提供全局性指导，为具体的安全措施和规定提供一个全局性框架。什么是信息安全策略？信息安全策略必须有清晰和完全的文档描述，什么是信息安全策略？信息安全策略的描述方式信息安全策略的描述语言应该是简洁的、非技术性的和具有指导性的。比如一个涉及对敏感信息加密的信息安全策略条目可以这样描述：

条目1“任何类别为机密的信息，无论存贮在计算机中，还是通过公共网络传输时，必须使用本公司信息安全部门指定的加密硬件或者加密软件予以保护。”

这个叙述没有谈及加密算法和密钥长度，所以当旧的加密算法被替换，新的加密算法被公布的时候，无须对信息安全策略进行修改。什么是信息安全策略？信息安全策略的描述方式信息安全策略的层次安全策略是指某个安全区域内用于所有与安全有关的活动的规则，分三级： 安全策略目标 机构安全策略 系统安全策略信息安全策略的层次安全策略是指某个安全区域内用于所有与安全有安全策略的制定制定安全策略的步骤制定安全策略的原则制定安全策略的思想方法安全策略的设计依据需要保护什么资源必须防范什么威胁需要什么级别的安全安全策略的制定制定安全策略的步骤制定安全策略的步骤进行安全需求分析对网络系统资源进行评估对可能存在的风险进行分析确定内部信息对外开放的种类及发布方式和访问方式明确网络系统管理人员的责任和义务确定针对潜在风险采取的安全保护措施的主要构成方面，制定安全存取、访问规则制定安全策略的步骤进行安全需求分析制定安全策略的原则适应性原则：在一种情况下实施的安全策略到另一环境下就未必适合动态性原则：用户在不断增加，网络规模在不断扩大，网络技术本身的发展变化也很快简单性原则：安全的网络是相对简单的网络系统性原则：应全面考虑网络上各类用户、各种设备、各种情况，有计划有准备地采取相应的策略最小特权原则：每个用户并不需要使用所有的服务；不是所有用户都需要去修改系统中的每一个文件；每一个用户并不需要都知道系统的根口令，每个系统管理见也没有必要都知道系统的根口令等制定安全策略的原则适应性原则：在一种情况下实施的安全策略到另制定安全策略的思想方法凡是没有明确表示允许的就要被禁止。凡是没有明确表示禁止的就要被允许。按照第一种方法，如果决定某一台机器可以提供匿名FTP服务，那么可以理解为除了匿名FTP服务之外的所有服务都是禁止的。按照第二种方法，如果决定某一台机器禁止提供匿名FTP服务，那么可以理解为除了匿名FTP服务之外的所有服务都是允许的。制定安全策略的思想方法凡是没有明确表示允许的就要被禁止。制定安全策略的思想方法这两种思想方法所导致的结果是不相同的。采用第一种思想方法所表示的策略只规定了允许用户做什么，而第二种思想方法所表示的策略只规定了用户不能做什么。网络服务类型很多，新的网络服务功能将逐渐出现。因此，在一种新的网络应用出现时，对于第一种方法，如允许用户使用，就将明确地在安全策略中表述出来；而按照第二种思想方法，如果不明确表示禁止，就意味着允许用户使用。制定安全策略的思想方法这两种思想方法所导致的结果是不相同的。制定安全策略的思想方法需要注意的是：在网络安全策略上，一般采用第一种方法，即明确地限定用户在网络中访问的权限与能够使用的服务。这符合于规定用户在网络访问的"最小权限"的原则，即给予用户能完成他的任务所"必要"的访问权限与可以使用的服务类型，这样将会便于网络的管理制定安全策略的思想方法需要注意的是：在网络安全策略上，一般采需要保护什么资源在完成网络安全策略制定的过程中，首先要对所有网络资源从安全性的角度去定义它所存在的风险。RFC1044列出了以下需要定义的网络资源：(1)硬件处理器、主板、键盘、终端、工作站、个人计算机、打印机、磁盘、通信数据、终端服务器与路由器。(2)软件操作系统、通信程序、诊断程序、应用程序与网管软件。需要保护什么资源在完成网络安全策略制定的过程中，首先要对所有需要保护什么资源(3)数据在线存储的数据、离线文档、执行过程中的数据、在网络中传输的数据、备份数据、数据库、用户登录。(4)用户普通网络用户、网络操作员、网络管理员(5)演示程序应用软件的演示程序、网络操作系统的演示程序、计算机硬件与网络硬件的演示程序与网络软件的演示程序。(6)支持设备磁带机与磁带、软盘、光驱与光盘。需要保护什么资源(3)数据在线存储的数据、离线文档、执行需要保护什么资源在设计网络安全策略时，第一步要分析在所要管理的网络中有哪些资源，其中哪些资源是重要的，什么人可以使用这些资源，哪些人可能会对资源构成威胁，以及如何保护这些资源。设计网络安全策略的第一步工作是研究这些问题，并将研究结果用网络资源调查表的形式记录下来。要求被保护的网络资源被定义之后，就需要对可能对网络资源构成威胁的因素下定义，以确定可能造成信息丢失和破坏的潜在因素，确定威胁的类型。只有了解了对网络资源安全构成威胁的来源与类型，才能针对这些问题提出保护方法。需要保护什么资源在设计网络安全策略时，第一步要分析在所要管理必须防范什么威胁安全威胁：威胁是有可能访问资源并造成破坏的某个人、某个地方或某个事物。为了保护计算机系统和网络必须对潜在的安全威胁提高警惕。如果理解了安全的确切定义，就能很敏感地对计算机系统和网络进行风险评估。要进行有效的安全评估，就必须明确安全威胁、漏洞的产生，以及威胁、安全漏洞和风险三者之间的关系必须防范什么威胁安全威胁：威胁是有可能访问资源并造成破坏的某威胁类型示例自然和物理的火灾、水灾、风暴、地震、停电无意的不知情的员工、不知情的顾客故意的攻击者、恐怖分子、工业间谍、政府、恶意代码对计算机环境的威胁网络中基本上存在者两种威胁偶然的威胁有意图的威胁被动的威胁主动的威胁必须防范什么威胁威胁类型示例自然和物理的火灾、水灾、风暴、地震、停安全漏洞：安全漏洞是资源容易遭受攻击的位置。它可以被视为是一个弱点。安全漏洞类型示例物理的未锁门窗自然的灭火系统失灵硬件和软件防病毒软件过期媒介电干扰通信未加密协议人为不可靠的技术支持对计算机环境中的漏洞必须防范什么威胁安全漏洞：安全漏洞类型示例物理的未锁门窗自主要威胁内部窃密和破坏窃听和截收非法访问(以未经授权的方式使用网络资源)破坏信息的完整性(通过篡改、删除和插入等方式破坏信息的完整性)冒充(攻击者利用冒充手段窃取信息、入侵系统、破坏网络正常通讯或欺骗合法主机和合法用户。)流量分析攻击(分析通信双方通信流量的大小，以期获得相关信息。)其他威胁(病毒、电磁泄漏、各种自然灾害、战争、失窃、操作失误等)必须防范什么威胁主要威胁内部窃密和破坏必须防范什么威胁需要什么级别的安全橘皮书(TrustedComputerSystemEvaluationCriteria—TCSEC)是计算机系统安全评估的第一个正式标准，具有划时代的意义。它于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC最初只是军用标准，后来延至民用领域。TCSEC将计算机系统的安全划分为四个等级、七个安全级别(从低到高依次为D、C1、C2、B1、B2、B3和A级)。需要什么级别的安全橘皮书(TrustedComputer需要什么级别的安全D级和A级暂时不分子级。每级包括它下级的所有特性，从最简单的系统安全特性直到最高级的计算机安全模型技术，不同计算机信息系统可以根据需要和可能选用不同安全保密程度的不同标准。需要什么级别的安全D级和A级暂时不分子级。每级包括它下级的所需要什么级别的安全

1)D级

D级是最低的安全形式，整个计算机是不信任的，只为文件和用户提供安全保护。D级系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。拥有这个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全不可信的。对于硬件来说，是没有任何保护措施的，操作系统容易受到损害，没有系统访问限制和数据限制，任何人不需要任何账户就可以进入系统，不受任何限制就可以访问他人的数据文件。需要什么级别的安全1)D级需要什么级别的安全A级也称为验证保护或验证设计(VerityDesign)级别，是当前的最高级别，它包括一个严格的设计、控制和验证过程。与前面提到的各级别一样，这一级别包含了较低级别的所有特性。设计必须是从数学角度上经过验证的，而且必须进行秘密通道和可信任分布的分析。可信任分布(TrustedDistribution)的含义是硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。可信计算机安全评价标准主要考虑的安全问题大体上还局限于信息的保密性，随着计算机和网络技术的发展，对于目前的网络安全不能完全适用。需要什么级别的安全A级也称为验证保护或验证设计(Verit需要什么级别的安全计算机信息系统安全保护等级划分准则(GB17859-1999)

本标准规定了计算机信息系统安全保护能力的五个等级，即：第一级:用户自主保护级；第二级:系统审计保护级；第三级:安全标记保护级；第四级:结构化保护级；第五级:访问验证保护级；本标准适用于计算机信息系统安全保护技术能力等级的划分.计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。需要什么级别的安全计算机信息系统安全保护等级划分准则(GB执行信息安全策略的过程确定应用范围获得管理支持进行安全分析会见关键人员制订策略草案开展策略评估发布安全策略随需修订策略执行信息安全策略的过程确定应用范围确定应用范围在制订安全策略之前一个必要的步骤是确认该策略所应用的范围，例如是在整个组织还是在某个部门。如果没有明确范围就制订策略无异于无的放矢。确定应用范围在制订安全策略之前一个必要的步骤是确认该策略所应获得管理支持事实上任何项目的推进都无法离开管理层的支持，安全策略的实施也是如此。先从管理层获得足够的承诺有很多好处，可以为后面的工作铺平道路，还可以了解组织总体上对安全策略的重视程度，而且与管理层的沟通也是将安全工作进一步导向更理想状态的一个契机。获得管理支持事实上任何项目的推进都无法离开管理层的支持，安全进行安全分析这是一个经常被忽略的工作步骤，同时也是安全策略制订工作中的一个重要步骤。这个步骤的主要目标是确定需要进行保护的信息资产，及其对组织的绝对和相对价值，在决定保护措施的时候需要参照这一步骤所获得的信息。进行这项工作时需要考虑的关键问题包括需要保护什么，需要防范哪些威胁，受到攻击的可能性，在攻击发生时可能造成的损失，能够采取什么防范措施，防范措施的成本和效果评估等等。进行安全分析这是一个经常被忽略的工作步骤，同时也是安全策略制会见关键人员通常来说至少应该与负责技术部门和负责业务部门的人员进行一些会议，在这些会议上应该向这些人员灌输在分析阶段所得出的结论并争取这些人员的认同。如果有其它属于安全策略应用范围内的业务单位，那么也应该让其加入到这项工作。会见关键人员通常来说至少应该与负责技术部门和负责业务部门的人制订策略草案一旦就应用范围内的采集的信息达成一致并获得了组织内部足够的支持，就可以开始着手建立实际的策略了。这个策略版本会形成最终策略的框架和主要内容，并作为最后的评估和确认工作的基准。制订策略草案一旦就应用范围内的采集的信息达成一致并获得了组织开展策略评估在之前已经与管理层及与安全策略执行相关的主要人员进行了沟通，而该部分工作在之前的基础上进一步与所有风险承担者一同对安全策略进行确认，从而最终形成修正后的正式的策略版本。在这个阶段会往往会有更多的人员参与进来，应该进一步争取所有相关人员的支持，至少应该获得足够的授权以保障安全策略的实施。开展策略评估在之前已经与管理层及与安全策略执行相关的主要人员发布安全策略当安全策略完成之后还需要在组织内成功的进行发布，使组织成员仔细阅读并充分理解策略的内容。可以通过组织主要的信息发布渠道对安全策略进行广泛发布，例如组织的内部信息系统、例会、培训活动等等。发布安全策略当安全策略完成之后还需要在组织内成功的进行发布，随需修订策略随着应用环境的变化，信息安全策略也必须随之变化和发展才能继续发挥作用。通常组织应该每季度进行一次策略评估，每年至少应该进行一次策略更新。随需修订策略随着应用环境的变化，信息安全策略也必须随之变化和安全策略的具体内容信息安全策略的制定者综合风险评估、信息对业务的重要性，管理考虑、组织所遵从的安全标准，制定组织的信息安全策略，可能包括下面的内容：加密策略----描述组织对数据加密的安全要求使用策略---描述设备使用、计算机服务使用和雇员安全规定、以保护组织的信息和资源安全。安全策略的具体内容信息安全策略的制定者综合风险评估、信息对业安全策略的具体内容线路连接策略---描述诸如传真发送和接收、模拟线路与计算机连接、拨号连接等安全要求。反病毒策略---给出有效减少计算机病毒对组织的威胁的一些指导方针，明确在哪些环节必须进行病毒检测应用服务提供策略---定义应用服务提供者必须遵守的安全方针。安全策略的具体内容线路连接策略---描述诸如传真发送和接收、安全策略的具体内容审计策略---描述信息审计要求，包括审计小组的组成、权限、事故调查、安全风险估计、信息安全策略符合程度评价、对用户和系统活动进行监控等活动的要求。电子邮件使用策略---描述内部和外部电子邮件接收、传递的安全要求。数据库策略-----描述存储、检索、更新等管理数据库数据的安全要求。安全策略的具体内容审计策略---描述信息审计要求，包括审计小安全策略的具体内容非武装区域策略----定义位于“非军事区域”（DemilitarizedZone）的设备和网络分区。第三方的连接策略---定义第三方接入的安全要求。敏感信息策略---对于组织的机密信息进行分级，按照它们的敏感度描述安全要求。安全策略的具体内容非武装区域策略----定义位于“非军事区域安全策略的具体内容内部策略---描述对组织内部的各种活动安全要求，使组织的产品服务和利益受到充分保护。Internet接入策略---定义在组织防火墙之外的设备和操作的安全要求。口令防护策略----定义创建，保护和改变口令的要求远程访问策略----定义从外部主机或者网络连接到组织的网络进行外部访问的安全要求。安全策略的具体内容内部策略---描述对组织内部的各种活动安全安全策略的具体内容路由器安全策略—定义组织内部路由器和交换机的最低安全配置。服务器安全策略---定义组织内部服务器的最低安全配置。VPN安全策略----定义通过VPN接入的安全要求。无线通讯策略----定义无线系统接入的安全要求。安全策略的具体内容路由器安全策略—定义组织内部路由器和交换机安全策略实例第五章电子邮件第二十五条电子邮件已成为常用的通信方式，但电子邮件导致病毒传播、数据泄露，垃圾邮件消耗系统资源、降低工作效率等安全问题日益严重，员工在使用电子邮件时应作好相应安全防范工作。第二十六条根据用途和数据安全等因素建立邮箱分类使用策略：1)收发公司业务数据时使用公司内部OA邮箱；2)公务处理和私人邮箱分开；3)

网站注册用户时提供不重要的邮箱作为联系邮箱等，

安全策略实例第五章电子邮件安全策略实例第二十七条为经常使用的邮箱和重要邮箱设置优质的密码，并定期修改，建议每季度修改一次。不同用途的邮箱设置不同的密码。

第二十八条防范电子邮件传播病毒的基本要求：

1)

在收发电子邮件前，应确认防病毒软件实时监控功能已开启；

2)

对每次收到的电子邮件，使用前均检查病毒；

3)

在收到来自公司内部员工发来的含有病毒的邮件，除自己进行杀毒外，还应及时通知对方杀毒；4)

不打开可疑邮件、垃圾邮件、不明来源邮件等提供的附件或网址，对这类邮件直接删除；安全策略实例第二十七条为经常使用的邮箱和重要邮箱设置优质的安全策略实例第二十九条防范垃圾邮件的基本要求：

1)

经常使用的邮箱，尤其是公司内部邮箱，应尽量避免在互联网上公开。例如：网上调查表填写、网站用户注册、BBS论坛中。

2)

不要回复可疑邮件、垃圾邮件、不明来源邮件。

第三十条防范数据泄露的基本要求：

1)

收发公司业务相关的邮件时，必须使用公司内部邮箱，并尽量要求对方使用对方公司内部邮箱。

2)

发送敏感数据时，应采用加密邮件方式发送。3)

不要在免费邮箱上保存敏感数据。安全策略实例第二十九条防范垃圾邮件的基本要求：

信息安全策略模板目录1.目的和范围2.术语和定义3.引用文件4.职责和权限5.信息安全策略5.1.信息系统安全组织5.2.资产管理5.3.人员信息安全管理5.4.物理和环境安全5.5.通信和操作管理5.6.信息系统访问控制5.7.信息系统的获取、开发和维护安全5.8.信息安全事故处理5.9.业务连续性管理5.10.符合性要求1附件信息安全策略模板目录5.信息安全策略网络与信息系统总体结构初步分析信息安全需求分析信息安全体系结构的设计目标、指导思想与设计原则安全策略的制定与实施信息安全体系结构规划与设计网络与信息系统总体结构初步分析信息安全体系结构规划与设计网络与信息系统总体结构初步分析校园网络的建设1、特点：由于用户规模的限制，这些网络属于中小型系统，以园区局域网为主。2网络结构图：网络与信息系统总体结构初步分析校园网络的建设1、特点：由于用信息安全需求分析1、贯穿在信息安全体系结构设计与实施的整个过程中，因此需求是非常之重要的一个环节。2、需求分析涉及的层面：物理安全、系统安全、网络安全、数据安全、应用安全和安全管理。信息安全需求分析1、贯穿在信息安全体系结构设计与实施的整个过信息安全需求分析1、什么是信息安全需求？2、信息安全需求来源3、信息安全需求分析信息安全需求分析1、什么是信息安全需求？什么是信息安全需求？信息安全需求是对抗和消除安全风险的必要方法和措施，安全需求是制定和实施安全策略的依据。通过安全需求分析明确需要保护哪些信息资产?需要投入多大力度?应该达到怎样的保护程度?

什么是信息安全需求？信息安全需求是对抗和消除安全风险的必要方2信息安全信息安全需求分析来源法律法规、合同条约的要求组织自身的信息安全要求风险评估的结果风险评估是获得信息安全需求的主要来源。

2信息安全信息安全需求分析来源法律法规、合同条约的要求风安全需求信息安全需求分析系把风险降低到可以接受的程度；威胁和/或攻击信息系统（如非法获取或修改数据）所花的代价大于入侵信息系统后所获得的现实的和潜在的信息系统资源的价值。

1.信息系统的脆弱性是安全风险产生的内因，威胁和攻击是安全风险产生的外因。2.人们对安全风险有一个认识过程，一般地，安全需求总是滞后于安全风险的发生。3.零风险永远是追求的极限目标，所以信息系统安全体系的成功标志是风险的最小化、收敛性和可控性，而不是零风险。安全需求信息安全需求分析系把风险降低到可以接受的程度；1.3信息安信息安全需求分析求分析物理安全系统安全网络安全数据安全应用安全安全管理3信息安信息安全需求分析求分析物理安全物理安全（基础）1、意义：从外界环境、基础设施、运行硬件、介质等方面为信息系统安全运行提供基本的底层支撑和保障。2.主要目的：保障存放计算机与网络设备的机房、信息系统设备和数据存储介质等免受物理环境、自然灾害以及人为操作失误和恶意操作等各种所产生的攻击。物理安全（基础）1、意义：从外界环境、基础设施、运行硬件、介物理安全物理安全需求描述物理位置选择考虑周围的外部环境以及所选物理位置能否为信息系统正常运行提供物理上的基本保障。物理访问控制控制内部授权用户和临时外部人员进出系统物理环境。防盗窃和破坏考虑机房内的设备、介质和通信线缆等的安全性，如设置监控报警装置。防雷电考虑雷电对设备造成的不利影响。防静电考虑静电对设备和人员造成的伤害。防火灾考虑防范火灾的措施。温度和湿度控制保证各种设备正常运行的温度和湿度范围。电力供应防止电源故障、电力波动范围过大的措施。电磁防护防止电磁辐射可能造成的信息泄漏或被窃取的措施。物理安全物理安全需求描述物理位置选择考虑周围的外部环境以及2.系统安全（中坚力量）1、含义：又称主机系统安全，主要是提供安全的操作系统和安全的数据库管理系统，以实现操作系统及数据库系统的安全运行。2、系统安全是保障信息系统安全的中坚力量。2.系统安全（中坚力量）1、含义：又称主机系统安全，主要是系统安全系统安全需求描述操作系统、数据库、服务器的安全需求根据信息系统的定级要求，选择满足相应级别的操作系统、数据库系统和服务器。基于主机的入侵检测检测针对主机的未授权使用、误用和滥用的情况。基于主机的漏洞扫描周期性运行以检测主机的脆弱性并评估其安全性的防御方法。基于主机的恶意代码检测与防范检测主机中的恶意代码并进行删除、报警等处理。基于主机的文件完整性检查周期性运行以检验文件的完整性以及文件更改的时间。容灾、备份与恢复确保系统对灾害、攻击和破坏具有一定的抵抗能力。系统安全系统安全需求描述操作系统、数据库、服务器的安全需求3.网络安全1、作用：为信息系统提供安全的网络运行环境。表现在两个方面：一是，确保网络系统安全运行，提供有效地网络服务；二是，确保在网上传输数据的机密性、完整性和可用性。2、安全需求：传输、网络边界防护、网络上的检查与响应安全需求3.网络安全1、作用：为信息系统提供安全的网络运行环境。表3.网络安全网络安全需求描述传输安全考虑传输线路上的信息泄露、搭线窃听、篡改和破坏等安全需求。网络边界防护安全限制外部非授权用户对内部网络的访问。基于网络的入侵检测检测针对网络的未授权使用、误用和滥用的情况。基于网络的恶意代码检测和防范检测网络中的恶意代码并进行删除、报警等处理。网络漏洞扫描周期性运行以检测网络的脆弱性并评估其安全性的防御方法。3.网络安全网络安全需求描述传输安全考虑传输线路上的信息数据安全1、关注对象：信息系统中存储、传输和处理等过程中的数据安全。2、安全需求数据机密性数据完整性数据可控性数据的不可否认性数据备份和恢复数据安全1、关注对象：信息系统中存储、传输和处理等过程中的数应用安全1、意义：主要保障信息系统的各种业务应用程序安全运行。2、安全需求:主要涉及口令机制和关键业务系统的对外接口 。对外接口包括：电子邮件、文件传输、语音通信、视屏点播、Web网站等3、相关技术：加密、数字签名、访问控制、认证、密钥恢复、网络监控管理和行政管理应用安全1、意义：主要保障信息系统的各种业务应用程序安全运行应用安全典型业务应用程序的安全需求1、电子邮件2、文件传输3、语音通信4、视屏会议与视屏点播5、Web网站应用安全典型业务应用程序的安全需求安全管理1、信息系统的生命周期主要包括五个阶段：初级阶段、采购/开发阶段、实施阶段、运行维护阶段、废弃阶段。安全管理主要基于三个原则:多人负责原则;任期有限原则;职责分离原则。2、安全管理的安全需求1）、安全管理制度2）、安全管理机构3）、人员安全管理4）、系统建设管理5）、系统维护管理安全管理1、信息系统的生命周期主要包括五个阶段：初级阶段、采信息安全体系结构的设计目标、指导思想与设计原则设计目标指导思想设计原则信息安全体系结构的设计目标、指导思想与设计原则设计目标设计目标针对所要保护的信息系统资源，假设资源攻击者及其攻击的目的、技术手段和造成的后果，分析系统所受到的已知的、可能的各种威胁，进行信息系统的安全风险分析，并形成信息系统的安全需求。安全需求和据此制定的安全策略应尽可能地抵抗所预见的安全风险。信息系统安全体系结构的目标就是从管理和技术上保证安全策略完整准确地得到实现，安全需求全面准确地得到满足，包括必需的安全服务、安全机制和技术管理的确定，以及它们在系统上的合理部署和配置。设计目标针对所要保护的信息系统资源，假设资源攻击者及其攻击的2.3.2指导思想遵从国家有关信息安全的政策、法令和法规，根据业务应用的实际需要，结合信息安全技术与产品的研究与研发现状、近期的发展目标和未来的发展趋势，吸取国内外的先进经验和成熟技术，采用科学的设计方法，力争在设计中融入具有自己知识产权的技术与产品，鼓励技术与产品创新。2.3.2指导思想遵从国家有关信息安全的政策、法令和法规，2.3.3设计原则

1、需求明确2、代价平衡3、标准优先4、技术成熟5、管理跟进6、综合防护2.3.3设计原则

1、需求明确作业某IT公司总部位于某省会城市的高新科技园区，并在四川、辽宁、河北、广东设有分公司。企业信息网络承载了企业的OA、财务管理系统、FTP服务和企业商务网站、邮件服务等数据通信业务。该网络拓扑如图

所示。作业某IT公司总部位于某省会城市的高新科技园区，并在四川、作业(1)企业总部局域网通过一台核心三层交换机实现各部门网络间数据的高速交换。(2)企业总部分别租用网通、电信线路连接到本地ISP，各分公司通过网通或电信ADSL线路连接到本地ISP，企业总部与分公司通过Internet实现网络互联。(3)企业总部Web服务器(内部地址:10.O.1.10/24。外部地址:0/28)、企业总部邮件服务器(内部地址:10.O.1.11/24。外部地址:1/28)可供内外网用户访问。企业总部FTP服务器（10.O.1.12/24)仅供企业内网用户访问。作业(1)企业总部局域网通过一台核心三层交换机实现各部门网络作业企业网络安全需求1.允许网管员远程访问网络设备查看配置，使用debug命令监视设备运行，但不能修改配置2.企业总部各部门都能访问网络中心服务器和Internet，外网不可以发起对内网的连接3.公司领导、财务部网络可以互访，但总部其他部门不能主动发起对这几个部门的连接请求4.在内网与外网之间过滤非法流量，并能进行常见网络攻击的监测与防护5.实现企业内部网络到外部网络的地址转换，使企业总部各部门都可以访问Internet资源，同时公网也能访问企业总部的Web、Mail服务器6.保护公司财务部与各分公司财务部的通信安全作业企业网络安全需求1.允许网管员远程访问网络设备查看配置，请为该企业网络设计一个整体的安全方案请为该企业网络设计一个整体的安全方案ThankYou!ThankYou!信息安全体系结构

和信息安全策略网络安全管理授课人：肖敏课时：专业：信息安全、网络工程年级：2010信息安全体系结构

和信息安全策略网络安全管理授课人：肖敏主要内容信息安全策略信息安全体系结构

信息安全体系结构规划与设计主要内容信息安全策略信息安全体系结构信息安全体系结构规划信息安全体系结构建立和应用安全体系结构的目的和意义信息安全体系建立的流程OSI安全体系信息安全体系结构建立和应用安全体系结构的目的和意义建立和应用安全体系结构的目的和意义将普遍性的系统科学和系统工程理论应用到信息系统安全的实际中，形成满足安全需求的安全体系，避免安全短板从管理、技术、组织等多个方面完整、准确地落实安全策略做到风险、安全及成本的平衡安全需求和安全策略应尽可能的制约所预见的系统风险及其变化，两个原则：将风险降低到可接受程度。威胁攻击信息系统的代价大于获得的利益。

为系统提供经济、有效的安全服务，保障系统安全运行建立和应用安全体系结构的目的和意义将普遍性的系统科学和系统工信息安全体系建立的流程

安全需求安全风险安全体系评估再进行对抗指导导出系统资源降低信息安全体系建立的流程

安全需求安全风险安全体系评估再进行对OSI参考模型7应用层6表示层5会话层4传输层3网络层2链路层1物理层安全机制加密数字签名访问控制数据完整性数据交换业务流填充路由控制公证安全服务鉴别服务访问控制数据完整性数据保密性抗抵赖OSI安全体系OSI参考模型7应用层6表示层5会话层4传输层3网络层2链路OSI安全体系结构五类安全服务安全机制安全服务和安全机制的关系OSI层中的服务配置安全体系的安全管理OSI安全体系框架技术体系组织机构体系管理体系OSI安全体系OSI安全体系结构OSI安全体系鉴别（或认证，authentication）对等实体鉴别

由（N）层提供这种服务时，将使（N+1）层实体确信与之打交道的对等实体正是他所需要的（N+1）层实体。这种服务在连接建立或在数据传送阶段的某些时刻提供使用，用以证实一个或多个实体的身份。使用这种服务可以确信(仅仅在使用时间内)一个实体此时没有试图冒充别的实体，或没有试图将先前的连接作非授权的重演。实施单向或双向对等实体鉴别是可能的，可以带有效期检验，也可以不带。这种服务能够提供各种不同程度的保护。OSI安全体系鉴别（或认证，authentication）OSI安全体系鉴别（或认证，authentication）数据原发性鉴别

确认所接收到数据的来源是所要求的。这种服务当由(N)层提供时，将使(N+1)实体确信数据来源正是所要求的对等(N+1)实体。数据源鉴别服务对数据单元的来源提供确认。这种服务对数据单元的重复篡改不提供保护。OSI安全体系鉴别（或认证，authentication）OSI安全体系访问控制针对越权使用资源和非法访问的防御措施。访问控制大体可分为自主访问控制和强制访问控制两类：其实现机制可以是基于访问控制属性的访问控制表(或访问控制路)，或基于“安全标签”、用户分类和资源分档的多级访问控制等。访问控制安全服务主要位于应用层、传输层和网络层。它可以放在通信源、通信目标或两者之间的某一部分。这种访问控制要与不同的安全策略协调一致。OSI安全体系访问控制OSI安全体系数据机密性针对信息泄露、窃听等被动威胁的防御措施。可细分为如下3种。

(1)信息保密信息保密指的是保护通信系统中的信息或网络数据库数据。而对于通信系统中的信息，又分为面向连接保密和无连接保密：连接机密性这种服务为一连接上的全部用户数据保证其机密性。无连接机密服务为单个无连接的SDU中的全部用户数据保证其机密性OSI安全体系数据机密性OSI安全体系数据机密性

(2)数据字段保密保护信息中被选择的部分数据段；这些字段或处于连接的用户数据中，或为单个无连接的SDU中的字段。

(3)业务流保密业务流保密指的是防止攻击者通过观察业务流，如信源、信宿、转送时间、频率和路由等来得到敏感的信息。OSI安全体系数据机密性OSI安全体系数据完整性针对非法地篡改和破坏信息、文件和业务流而设置的防范措施，以保证资源的可获得性。这组安全服务又细分为如下3种：(1)基于连接的数据完整性这种服务为连接上的所有用户数据提供完整性，可以检测整个SDU序列中的数据遭到的任何篡改、插人、删除或重放。同时根据是否提供恢复成完整数据的功能，区分为有恢复的完整性服务和无恢复的完整性服务。OSI安全体系数据完整性OSI安全体系数据完整性(2)基于数据单元的数据完整性这种服务当由(N)层提供时，对发出请求的(N+1)实体提供数据完整性保证。它是对无连接数据单元逐个进行完整性保护。另外，在一定程度上也能提供对重放数据的单元检测。

(3)基于字段的数据完整性这种服务为有连接或无连接通信的数据提供被选字段的完整性服务，通常是确定被选字段是否遭到了篡改。OSI安全体系数据完整性OSI安全体系抗抵赖针对对方进行抵赖的防范措施，可用来证实已发生过的操作。这组安全服务可细分为如下3种。

(1)数据源发证明的抗抵赖，它为数据的接收者提供数据来源的证据，这将使发送者谎称未发送过这些数据或否认他的内容的企图不能得逞。

(2)交付证明的抗抵赖，它为数据的发送者提供数据交付证据，这将使得接收者事后谎称未收到过这些数据或否认它的内容的企图不