32/30#初阶-信息系统安全和安全体系#30天专注橙长计划

安全空间

       信息安全保障系统是一个在网络上，集成各种硬件、软件和密码设备，以保障其他业务应用信息系统正常运行的专用的信息应用系统，以及与之相关的岗位、人员、策略、制度和规程的总和。

        从国外发展来看，积极打造以PKI/CA为核心的业务应用信息系统，使得PKI/CA不仅从技术发展越来越完善，实用化的程度也越来越广泛。而国际上知名的系统硬件和系统软件厂商，都在积极推出一代又一代支持PKI/CA及其应用规范的产品，更为这一发展趋势注入动力。比如微软从WIN2000就开始支持PKI/CA；ORACLE从8i版本就开始支持PKI/CA；CA公司积极打造支持PKI/CA的身份认证体统和业务运行管理系统。

        而国内发展却恰恰相反，基本上业务应用信息系统都处于MIS+S的阶段，基于PKI/CA开发的业务应用信息系统可以说是凤毛麟角，实用化信息安全保障系统发展缓慢，大大影响业务应用信息系统的蓬勃发展，对当前迅猛的电子政务、电子商务的发展来说，信息安全问题成为其向前发展的一大瓶颈。

1、“安全空间”

        如上图：X、Y、Z三个轴形成空间就是信息系统的“安全空间”，这个空间具有五个要素：认证、权限、完整、加密和不可否认。显然，每个“轴”上的内容越丰富，越深入，越科学，“安全空间”就越大，安全性越好。

Y轴：OSI（开放式系统互连）网络参考模型；

X轴：安全机制：

第一层：基础设施实体安全：机房安全、设施安全、动力系统安全、灾难预防与恢复；

第二层：平台安全：操作系统、网络设施、应用程序、安全产品；

第三层：数据安全：介质和载体安全、数据访问控制、数据完整性、数据可用性、数据监控和审计、数据存储和备份；

第四层：通信安全：

包括：

⊙通信线路和网络基础设施安全性测试与优化；

⊙安装网络机密设施；

⊙设置通信加密软件；

⊙设置身份鉴别机制；

⊙设置并测试安全通道；

⊙测试各项网络协议运行漏洞；

第五层：应用安全：安全性测试、防抵赖测试、安全验证测试、身份鉴别测试、恢复机制检查、保密性测试、可靠性测试、可用性测试；

第六层：运行安全：

包括：

⊙应急处置机制和配套服务；

⊙网络系统安全性检测；

⊙网络安全产品运行检测；

⊙定期检查和评估；

⊙系统升级和补丁提供；

⊙跟踪最新安全漏洞及通报；

⊙灾难恢复机制与预防；

⊙系统改造管理；

⊙网络安全专业技术咨询服务；

第七层：管理安全：

包括：人员管理、培训管理、应用系统管理，软件管理，设备管理，文档管理，文档管理、数据管理、操作管理、运行管理、机房管理；

第八层：授权和审计安全：

授权安全是指：以向用户和应用程序提供权限管理和授权服务为目标，主要负责向业务应用系统提供授权服务管理，提供用户身份到应用授权的映射功能，实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问机制。

审计安全是指：

⊙监控网络内部的用户活动；

⊙侦察系统中存在的潜在威胁；

⊙对日常运行状况的统计和分析；

⊙对突发案件和异常事件的事后分析；

⊙辅助侦破和取正；

安全审计是信息安全系统必须支持的功能特性。

第九层：安全防范体系：

核心：实现企业信息安全资源的综合管理，即EISRM

六项能力：预警、保护、检测、反应、恢复和反击；

WPDRRC能力模型：从人员、技术和政策三大要素来构成宏观的信息网络安全保障体系结构的框架；

Z轴：安全服务：

⊙对等实体认证服务；

⊙数据保密服务；

⊙数据完整性服务；

⊙数据源点认证服务；

⊙禁止否认服务；

⊙犯罪证据提供服务；

当今常用的安全技术：

1、加密技术：加密是确保数据安全性的基本方法；

2、数字签名技术：数字签名是确保数据真实性的基本方法；

3、访问控制技术：访问控制按照事先确定的规则决定主体对客体的访问是否合法。

4、数据完整性技术：包括数据单元的完整性和数据单元序列的完整性；

5、认证技术：主要有站点认证、报文认证、用户和进程认证等；多数认证过程采用密码技术和数字签名技术。

6、数据挖掘技术：数据挖掘技术是及早发现隐患、将犯罪扼杀在萌芽阶段并及时修补不健全的安全防范体系的重要技术。

2、信息安全保障系统的三种不同系统架构：

1）MIS+S系统架构：初级信息安全保障系统；

特点：

⊙业务应用系统基本不变；

⊙硬件和系统软件通用；

⊙安全设备基本不带密码；

2）S-MIS系统架构：标准信息安全保障系统；

特点：

⊙硬件和系统软件通用；

⊙PKI/CA安全保障系统必须带密码；

⊙业务应用系统必须根本改变；

⊙主要的通用的硬件、软件也要通过PKI/CA认证；

3）S²-MIS系统架构：超安全的信息安全保障系统；

⊙意见和系统软件都专用；

⊙PKI/CA安全基础设施必须带密码；

⊙业务应用系统必须根本改变；

⊙主要的硬件和系统软件需要PKI/CA认证。

        因此，保障我们的信息安全，才能更好的保障我们的“无形资产”！

打卡