《信息安全体系结构》PPT课件.pptx

信息安全体系结构
1
安全ppt
建立和应用安全体系结构的目的和意义
将普遍性的系统科学和系统工程理论应用到信息系统安全的实际中，形成满足安全需求的安全体系，避免安全短板
从管理、技术、组织等多个方面完整、准确地落实安全策略
做到风险、安全及成本的平衡
安全需求和安全策略应尽可能的制约所预见的系统风险及其变化，两个原则：
将风险降低到可接受程度。
威胁攻击信息系统的代价大于获得的利益。
为系统提供经济、有效的安全服务，保障系统安全运行
2
安全ppt
信息安全体系建立的流程
安全需求
安全风险
安全体系
评估
再进行
对抗
指导
导出
系统资源
降低
3
安全ppt
OSI参考模型
7
应用层
6
表示层
5
会话层
4
传输层
3
网络层
2
链路层
1
物理层
安全机制
加密
数字签名
访问控制
数据完整性
数据交换
业务流填充
路由控制
公证
安全服务
鉴别服务
访问控制
数据完整性
数据保密性
抗抵赖
OSI安全体系
4
安全ppt
OSI安全体系结构
五类安全服务
安全机制
安全服务和安全机制的关系
OSI层中的服务配置
安全体系的安全管理
OSI安全体系框架
技术体系
组织机构体系
管理体系
OSI安全体系
5
安全ppt
鉴别（或认证，authentication ）
对等实体鉴别
由（N）层提供这种服务时，将使（N+1）层实体确信与之打交道的对等实体正是他所需要的（N+1）层实体。
这种服务在连接建立或在数据传送阶段的某些时刻提供使用，用以证实一个或多个实体的身份。使用这种服务可以确信(仅仅在使用时间内)一个实体此时没有试图冒充别的实体，或没有试图将先前的连接作非授权的重演。实施单向或双向对等实体鉴别是可能的，可以带有效期检验，也可以不带。这种服务能够提供各种不同程度的保护。
OSI安全体系
6
安全ppt
鉴别（或认证，authentication ）
数据原发性鉴别
确认所接收到数据的来源是所要求的。这种服务当由(N)层提供时，将使(N+1)实体确信数据来源正是所要求的对等(N+1)实体。
数据源鉴别服务对数据单元的来源提供确认。这种服务对数据单元的重复篡改不提供保护。
OSI安全体系
7
安全ppt
访问控制
针对越权使用资源和非法访问的防御措施。
访问控制大体可分为自主访问控制和强制访问控制两类：其实现机制可以是基于访问控制属性的访问控制表(或访问控制路)，或基于“安全标签”、用户分类和资源分档的多级访问控制等。
访问控制安全服务主要位于应用层、传输层和网络层。它可以放在通信源、通信目标或两者之间的某一部分。
这种访问控制要与不同的安全策略协调一致。
OSI安全体系
8
安全ppt
数据机密性
针对信息泄露、窃听等被动威胁的防御措施。可细分为如下 3种。
(1)信息保密
信息保密指的是保护通信系统中的信息或网络数据库数据。
而对于通信系统中的信息，又分为面向连接保密和无连接保密：连接机密性这种服务为一连接上的全部用户数据保证其机密性。无连接机密服务为单个无连接的SDU中的全部用户数据保证其机密性
OSI安全体系
9
安全ppt
数据机密性
(2)数据字段保密
保护信息中被选择的部分数据段；这些字段或处于连接的用户数据中，或为单个无连接的SDU中的字段。
(3)业务流保密
业务流保密指的是防止攻击者通过观察业务流，如信源、信宿、转送时间、频率和路由等来得到敏感的信息。
OSI安全体系
10
安全ppt