税务系统网络与信息安全技术培训班.pptx
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 税务系统 网络 信息 安全技术 培训班
- 资源描述:
-
Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to Edit Master Title Style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to Edit Master Title Style,税务系统网络与信息安全技术培训班安全标准6月,税务系统网络与信息安全技术培训班,第1页,要 点,一、信息安全及标准化介绍,二、基础标准,三、技术机制安全标准,四、应用安全标准,五、管理类安全标准,六、信息安全标准对比,税务系统网络与信息安全技术培训班,第2页,一、信息安全及标准化介绍,信息安全概述,标准化基础知识,国际信息安全标准化组织,我国信息安全标准化归口单位,信息安全标准体系,税务系统网络与信息安全技术培训班,第3页,二十一世纪,国家经济与社会文化发展主要战略目标与技术产业动力,国家实现现代化基本途径,内容:,领域信息化,党政机关,国防军事,银行,证券,新闻,文化,社会基础设施(电力、航空、交通等),区域信息化(北京、上海、深圳等),社区信息化,企业信息化,家庭信息化,1.,信息安全概述,税务系统网络与信息安全技术培训班,第4页,性质:,信息技术以网络化方式应用于社会生活各方面时,对国家、社会、个人安全利益侵害与保护,关键点:,安全利益:国家、社会、个人生存和发展利益,信息技术:,侵害,信息、信息系统(网络化)以及信息和信息系统关联主体(国家、社会、个人)特定安全利益,保护,信息、信息系统(网络化)以及信息和信息系统关联主体(国家、社会、个人)特定安全利益,关键问题:,信息技术:特征和过程结果可侵害或保护国家、社会、个人安全利益,信息安全,税务系统网络与信息安全技术培训班,第5页,党十五届五中全会和第九届人大第六次会议决定建立国家信息安全保障体系,性质:,国家以国家意志和国家行为方式,在信息技术方面所形成用于保护其安全利益资源和能力,这种资源和能力表达为特定形态和过程技术结构、社会结构和人才结构,内容,技术资源,管理资源,人力资源,信息安全保障体系,税务系统网络与信息安全技术培训班,第6页,2.,标准化基础,标准:,标准是对重复性事物和概念所做统一要求。它以科学、技术和实践综合结果为基础,经相关方面协商一致,由主管部门同意,以特定方式公布,作为共同恪守准则和依据。,强制性标准:,保障人体健康、人身、财产安全标准和法律、行政法规要求强制执行标准;其它标准是,推荐性标准,。,我国家标准准分四级:,国家标准、行业标准、地方标准、企业标准。,税务系统网络与信息安全技术培训班,第7页,国家标准:,对需要在全国范围内统一技术要求(含标准样品制作)。,GB/T XXXX.X-200X GB XXXX-200X,行业标准:,没有国家标准,需要在全国某个行业范围内统一技术要求。,GA,SJ,地方标准:,没有国家标准、行业标准而又需要在省、自治区、直辖市范围内统一工业产品安全、卫生要求。,DBXX/T XXX-200X DBXX/XXX-200X,企业标准:,对企业范围内需要统一技术要求、管理要求和工作要求。,QXXX-XXX-200X,标准分类,税务系统网络与信息安全技术培训班,第8页,标准化定义,标准化:,为在一定范围内取得最正确秩序,对实际或潜在问题制订共同和重复使用规则活动,实质,:经过制订、公布和实施标准,到达统一。,目标,:取得最正确秩序和社会效益。,税务系统网络与信息安全技术培训班,第9页,标准化对象,标准化三维空间,国际级,区域级,国家级,行业级,地方级,企业级,人员,服务,系统,产品,过程,管理,应用,技术机制,体系、框架,术语,X,Y,Z,X,轴代表标准化对象,,Y,轴代表标准化内容,,Z,轴代表标准化级别。,税务系统网络与信息安全技术培训班,第10页,标准化原理,我国通行“标准化八字原理”:,“统一”原理,“简化”原理,“协调”原理,“最优”化原理,税务系统网络与信息安全技术培训班,第11页,采标,等同采取,idt(identical):,指技术内容相同,没有或仅有编辑性修改,编写方法完全相对应;,修改采取,MOD(modified):,与国际标准之间存在技术性差异,有编辑性修改,可能不采取部分条款,非等效采取,NEQ(not equivalent):,指技术内容有重大差异,只表示与国际标准相关。,税务系统网络与信息安全技术培训班,第12页,3.国际信息安全标准化组织,ISO,IEC,ITU,IETF,美国,欧洲,英国,加拿大,日本,韩国,税务系统网络与信息安全技术培训班,第13页,信息安全标准化组织,ISO,JTC1 SC27,,信息技术-安全技术,ISO/TC 68,银行和相关金融服务,SC2,,安全管理和通用银行运作;,SC4,,安全及相关金融工具;,SC6,,零售金融服务。,JTC1,其它分技术委员会:,SC6,系统间通信与信息交换,主要开发开放系统互连下四层安全模型和安全协议,如,ISO 9160、ISO/IEC 11557。,SC17,识别卡和相关设备,主要开发与识别卡相关安全标准,ISO 7816,SC18,文件处理及相关通信,主要开发电子邮件、消息处理系统等。,SC21,开放系统互连,数据管理和开放式分布处理,主要开发开放系统互连安全体系结构,各种安全框架,高层安全模型等标准,如:,ISO/IEC 7498-2、ISO/IEC 9594-1,至8。,SC22,程序语言,其环境及系统软件接口,也开发对应安全标准。,SC30,开放式电子数据交换,主要开发电子数据交换相关安全标准。如,ISO 9735-9、ISO 9735-10。,税务系统网络与信息安全技术培训班,第14页,信息安全标准化组织,IEC/ITU,IEC,TC56,可靠性;,TC74 IT,设备安全和功效;,TC77,电磁兼容;,CISPR,无线电干扰尤其委员会,ITU,前身是,CCITT,消息处理系统,目录系统(,X.400,系列、,X.500,系列),安全框架,安全模型等标准,税务系统网络与信息安全技术培训班,第15页,信息安全标准化组织,IETF,IETF(170,多个,RFC、12,个工作组),PGP,开发规范(,openpgp);,判别防火墙遍历(,aft);,通用判别技术(,cat);,域名服务系统安全(,dnssec);,IP,安全协议(,ipsec);,一次性口令判别(,otp);,X.509,公钥基础设施(,pkix);,S/MIME,邮件安全(,smime);,安全,Shell(secsh);,简单公钥基础设施(,spki);,传输层安全(,tls),Web,处理安全(,wts),税务系统网络与信息安全技术培训班,第16页,信息安全标准化组织美国,ANSI,NCITS-T4,制订,IT,安全技术标准,X9,制订金融业务标准,X12,制订商业交易标准,NIST,负责联邦政府非密敏感信息,FIPS-197,DOD,负责涉密信息,NSA,国防部指令(,DODDI)(,如,TCSEC),IEEE,SILS(LAN/WAN),安全,P1363,公钥密码标准,税务系统网络与信息安全技术培训班,第17页,信息安全标准化组织欧洲,ECMA(,欧洲计算机厂商协会),TC32“,通信、网络和系统互连”曾定义了开放系统应用层安全结构;,TC36“IT,安全”负责信息技术设备安全标准。,税务系统网络与信息安全技术培训班,第18页,信息安全标准化组织英、加、日、韩,英国,BS 7799,医疗卫生信息系统安全,加拿大,计算机安全管理,日本,JIS,国家标准,JISC,工业协会标准,韩国,KISA,负责,防火墙、,IDS、PKI,方面标准,税务系统网络与信息安全技术培训班,第19页,4.,我国家标准准工作归口单位,2010月11日成立国家标准化委员会,信息技术标准委员会,全国信息安全标准化技术委员会(简称信息安全标委会,TC260)于4月15日在北京正式成立。,税务系统网络与信息安全技术培训班,第20页,信息安全标委会工作组设置,信息安全标准体系与协调工作组(WG1),内容安全分级及标识工作组(WG2),PKI/PMI工作组(WG4),信息安全评定工作组(WG5),应急处理工作组(WG6),信息安全管理(含工程与开发)工作组(WG7),电子证据及处理工作组(WG8),身份标识与判别协议工作组(WG9),操作系统与数据库安全工作组(WG10),税务系统网络与信息安全技术培训班,第21页,信息安全标准体系与协调工作组,(WG1),研究信息安全标准体系;,跟踪国际信息安全标准发展动态;,研究、分析国内信息安全标准应用需求;,研究并提出新工作项目及设置新工作组提议;,各工作组项目标协调;,税务系统网络与信息安全技术培训班,第22页,PKI/PMI,工作组,(WG4),PKI,结构框架,PKI,技术模块,PKI,主要功效,PKI/CA,结构,PKI/,数字证书管理,PKI/CRL,管理,PKI/CA,间交叉认证,PKI/,数字证书查询,PKI,应用技术和应用模块,PKI,体系安全保护,PMI,结构框架,PMI,技术模块,PMI,主要功效,PMI,应用技术,PMI,管理机制,税务系统网络与信息安全技术培训班,第23页,信息安全评定工作组,(WG5),工作范围:与其它工作组协调,组织相关标准制订。,主要工作内容:,安全评定等级划分;,研究国内外信息安全测试、评定与认证标准;,对国内已经有测试、评定与认证标准进行统一协调;,提出我国当前急需信息安全测试、评定与认证标准目录。,税务系统网络与信息安全技术培训班,第24页,信息安全管理(含工程与开发)工作组,(WG7),工作范围:对信息安全行政、技术、人员等管理提出规范要求及指导指南,信息安全管理指南;,信息安全管理实施规范;,人员培训教育及录用要求;,信息安全社会化服务管理规范;,安全策略要求与指南;,税务系统网络与信息安全技术培训班,第25页,5.,标准体系,标准体系,:一定范围内标准按其内在联络形成科学有机整体,标准体系是含有层次,我国全国家标准准体系表可分成五个层次。,1,、,全国通用标准,4,、门类通用标准,3,、专业通用标准,2,、,行业通用标准,5,、产品、过程、服务、管理标准,第一层,第二层,第三层,第四层,第五层,全国家标准准体系,第一层,第二层,第三层,专业标准体系,第一层,第二层,第三层,第四层,行业标准体系,税务系统网络与信息安全技术培训班,第26页,信息安全标准体系,基础类标准,技术机制类标准,应用类标准,安全管理标准,税务系统网络与信息安全技术培训班,第27页,5.1,基础类标准,1,、信息技术安全词汇,2,、信息技术安全体系结构,3,、信息技术安全框架,4,、信息技术安全模型,税务系统网络与信息安全技术培训班,第28页,5.2 技术机制类标准,加密机制,署名机制,完整性机制,判别机制,访问控制机制,抗抵赖机制,路由选择控制机制,通信业务填充机制,公证机制,可信功效度,事件检测和报警,安全审计跟踪,安全标识,安全恢复,税务系统网络与信息安全技术培训班,第29页,5.3,应用类标准,应用基础,应用产品,应用系统,特殊行业,税务系统网络与信息安全技术培训班,第30页,5.4 管理类安全标准,管理基础,系统管理,测评认证,税务系统网络与信息安全技术培训班,第31页,小结(重点记忆),标准化基础,国家标准写法;,公安部标准写法;,等同采标写法;,修改采标含义;,标准化八字原理,国外信息安全标准化组织,我国信息安全标准化归口,我国信息安全标准化归口单位;,信息安全标准体系,税务系统网络与信息安全技术培训班,第32页,二、信息安全基础标准,词汇,安全体系结构,安全框架,安全模型,GB/T 5271.8-,信息技术 词汇 第8部分:安全,GB/T 9387.2-1995,开放系统互连 基本参考模型 第2部分:安全体系结构,ISO/IEC 10181-17,开放系统安全框架,GB/T 17965,高层安全模型,GB/T 18231,低层安全模型,ISO/IEC 15443-1 IT,安全保障框架,IATF,信息保障技术框架,ISO/IEC 11586-16,通用高层安全,网络层安全,GJB 2256-1994,军用计算机安全术语,RFC 2401,因特网安全体系结构,ISO/IEC7498-4,管理框架,传输层安全,税务系统网络与信息安全技术培训班,第33页,基础标准目录,1,、信息技术安全词汇,数据处理词汇,08,部分:控制、完整性和安全性(,GB/T 5271.8-1993,:,idt ISO 2382.8-1996,),计算机安全术语规范(,GJB 2256-94,),2,、信息技术安全体系结构,OSI,安全体系结构(,9387.2-1995 idt ISO 7498-2,),TCP/IP,安全体系结构,(RFC 1825),通用数据安全体系(,CDSA,),3,、信息技术安全框架,开放系统安全框架(,ISO 10181-1,),判别框架(,ISO 10181-2,),访问控制框架(,ISO 10181-3,),抗抵赖框架(,ISO 10181-4,),完整性框架(,ISO 10181-5,),保密性框架(,ISO 10181-6,),安全审计框架(,ISO 10181-7,),管理框架(,ISO 7498-4,),信息技术安全确保框架,(ISO/IEC WD 15443:1999),信息保障技术框架(,IATF,),4,、信息技术安全模型,高层安全模型(,ISO 10745,)(,3,层),通用高层安全,(ISO/IEC 11586),低层安全模型,(ISO/IEC 13594),(四层),传输层安全模型,网络层安全模型,税务系统网络与信息安全技术培训班,第34页,1.,基于,OSI,七层协议安全体系结构,OSI,参考模型,7 应用层,6 表示层,5 会话层,4 传输层,3 网络层,2 链路层,1 物理层,安全机制,公 证,路由选择控制,通信业务填充,判别交换,数据完整性,访问控制,数字署名,加 密,安全服务,判别服务,访问控制,数据完整性,数据机密性,抗抵赖,税务系统网络与信息安全技术培训班,第35页,五种安全服务,判别:,提供对通信中对等实体和数据起源判别。,访问控制:,提供保护以反抗开放系统互连可访问资源非授权使用。可应用于对资源各种不一样类型访问(比如,使用通信资源,读、写或删除信息资源,处理资源操作),或应用于对某种资源全部访问,数据机密性:,对数据提供保护使之不被非授权地泄露,数据完整性,:,对付主动威胁。在一次连接上,连接开始时使用对某实体判别服务,并在连接存活期使用数据完整性服务就能联合起来为在此连接上传送全部数据单元起源提供确证,为这些数据单元完整性提供确证。,抗抵赖,:,可取有数据原发证实抗抵赖、有交付证实抗抵赖两种形式,或二者之一。,税务系统网络与信息安全技术培训班,第36页,与网络各层相关,OSI,安全服务,安全服务,1,2,3,4,5,6,7,对等实体判别,数据源判别,访问控制服务,连接机密性,无连接机密性,选择字段机密性,流量机密性,有恢复功效连接完整性,无恢复功效连接完整性,选择字段连接完整性,无连接完整性,选择字段非连接完整性,源发方抗抵赖,接收方抗抵赖,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,税务系统网络与信息安全技术培训班,第37页,OSI,安全服务和安全机制之间关系,安全服务,加密,数字署名,访问控制,数据完整,判别交换,业务填塞,路由控制,公证,对等实体判别,数据源判别,访问控制服务,连接机密性,无连接机密性,选择字段机密性,流量机密性,有恢复功效连接完整性,无恢复功效连接完整性,选择字段连接完整性,无连接完整性,选择字段非连接完整性,源发方抗抵赖,接收方抗抵赖,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,税务系统网络与信息安全技术培训班,第38页,OSI,参考模型与,TCP/IP,对应关系,OSI,参考模型,TCP/IP,协议集模型,应用层,表示层,应用层,会话层,传输层,传输层,网络层,网络层,数据链路层,物理层,网络接口层,税务系统网络与信息安全技术培训班,第39页,2.,信息保障(,INFO-Assurance),技术框架,IATF-由美国国防部主持编写;,209月推出V3.0版本,推出V3.1,预计年推出V4.0。,IATF定义了对一个系统进行信息保障过程以及系统中硬件和软件部件安全需求。遵照这些标准,就能够对信息基础设施进行多层防护深度防御战略。,内容包含:,IA概念,攻击与对策,深度防御内涵,税务系统网络与信息安全技术培训班,第40页,2.1,信息安全保障概念,信息安全保障:,反应,Information Assurance,保护(,P,rotect),检测(,D,etect),反应(,R,eact),恢复(,R,estore),保护,Protect,检测,Detect,恢复,Restore,反应,React,IA,税务系统网络与信息安全技术培训班,第41页,信息保障几个主要方面,税务系统网络与信息安全技术培训班,第42页,人,技术,操作,培训,意识培养,物理安全,人事安全,系统安全管理,纵深保卫技术领域,安全标准,IT/IA,采购,风险评定,认证和认可,评定,监视,入侵检测,警告,响应,恢复,信息保障标准,税务系统网络与信息安全技术培训班,第43页,信,息,保,障,关,注,领,域,税务系统网络与信息安全技术培训班,第44页,2.2,技术上攻击与对策,IATF,作者充分认为,信息保障要同时依赖于技术和非技术对策。,知己知彼,敌人主要目标能够分为三大类:,非授权访问,非授权篡改,对授权访问拒绝,税务系统网络与信息安全技术培训班,第45页,国家,由政府主导,有很好组织和充分财力;利用国外服务引擎来搜集来自被认为是敌对国信息,黑客,攻击网络和系统以发觉在运行系统中弱点或其它错误一些个人,恐怖分子/计算机恐怖分子,代表使用暴力或威胁使用暴力以迫使政府或社会同意其条件恐怖分子或团伙,有组织犯罪,有协调犯罪行为,包含赌博、诈骗、泛毒和许多其它行为,其它犯罪团体,犯罪社团之一,普通没有好组织或财力。通常只有极少几个人,完全是一个人行为,国际媒体,向纸业和娱乐业媒体搜集并散发有时是非授权新闻组织。包含搜集任何时间关于任何一个人任意一件新闻,工业竞争者,在市场竞争中运行国内或国际企业常以企业间谍形式致力于非授权搜集关于竞争对手或外国政府信息,有怨言员工,怀有危害局域网络或系统想法生气、不满员工,潜在敌人,税务系统网络与信息安全技术培训班,第46页,攻击,描述,被动攻击,被动攻击包含分析通信流,监视未被保护通讯,解密弱加密通讯,获取判别信息(比如口令)。被动攻击可能造成在没有得到用户同意或通知用户情况下,将信息或文件泄露给攻击者。这么例子如泄露个人信用卡号码和医疗档案等。,主动攻击,主动攻击包含试图阻断或攻破保护机制、引入恶意代码、偷窃或篡改信息。主动进攻可能造成数据资料泄露和散播,或造成拒绝服务以及数据篡改改。,物理临近攻击,是指一未被授权个人,在物理意义上靠近网络、系统或设备,试图改变、搜集信息或拒绝他人对信息访问。,内部人员攻击,内部人员攻击能够分为恶意或无恶意攻击。前者指内部人员对信息恶意破坏或不妥使用,或使他人访问遭到拒绝;后者指因为粗心、无知以及其它非恶意原因而造成破坏。,软硬件装配分发攻击,指在工厂生产或分销过程中对硬件和软件进行恶意修改。这种攻击可能是在产品里引入恶意代码,比如后门。,定义了五类攻击,税务系统网络与信息安全技术培训班,第47页,攻击类型图例,税务系统网络与信息安全技术培训班,第48页,2.3,纵深防御战略内涵:,保卫网络和基础设施,保卫边界,保卫计算环境,为基础设施提供支持,税务系统网络与信息安全技术培训班,第49页,2.3.1,保卫网络和基础设施,在网络上,有三种不一样通信流:,用户通信流,-,是用户经过网络传输信息,控制通信流,-,是在网络组件之间传输、对建立用户连接非常主要信息,(如,SS7),管理通信流,-,是用来配置网络组件或表明网络组件状态信息,与其相关协议包含简单网络管理协议(,SNMP)、,公共管理信息协议(,CMIP)、,超文本传输协议(,HTTP),等,网络管理通信流对于确保网络组件没有被非授权用户改变是非常主要。,税务系统网络与信息安全技术培训班,第50页,主干网面临三类威胁:,可用带宽损耗;,网络管理通信破坏;,网络基础设施失控。,对主干网攻击伎俩可能有:,主动攻击、,被动攻击、,内部人员攻击、,和软硬件装配分发攻击。,潜在攻击和可能对策,税务系统网络与信息安全技术培训班,第51页,2.3.2,保卫边界/外部连接,一个区域边界之内通常包含多个局域网以及各种计算资源组件,比如用户平台、网络、应用程序、通信服务器、交换机等。边界环境是比较复杂,比如它能够包含很多物理上分离系统。,绝大多数边界环境都拥有通向其它网络外部连接。它与所连接网络能够在密级等方面有所不一样。,税务系统网络与信息安全技术培训班,第52页,边界保护框架图例,税务系统网络与信息安全技术培训班,第53页,对流入、流出边界数据流进行有效控制和监督。,有效地控制办法包含防火墙、门卫系统、,VPN、,标识和判别/访问控制等。,有效监督办法包含基于网络如今检测系统(,IDS)、,脆弱性扫描器、局域网上病毒检测器等。,这些机制能够单独使用,也能够结合使用,从而对边界内各类系统提供保护。,即使边界主要作用是预防外来攻击,但它也能够来对付一些恶意内部人员,这些内部人员有可能利用边界环境来发起攻击,和经过开放后门/隐蔽通道来为外部攻击提供方便,边界保护主要内容,税务系统网络与信息安全技术培训班,第54页,2.3.3,保卫计算环境,计算环境保护关注问题是:,在用户进入、离开或驻留于客户机与服务器情况下,采取信息保障技术保护其信息可用性、完整性与隐私。,保护计算硬件与软件免受攻击是对付恶意内部攻击者首道防线,也是对付外部攻击者最终一道防线。在这两种情况下,保护计算环境都是信息保障主要一环。,计算环境能够位于一个物理上受保护边界内部,也能够是一个移动用户主机平台。,计算环境包含主机或服务器应用,操作系统和客户机/服务器硬件。,当前,深层意义技术策略已经要求在客户机与服务器上安装安全应用与安全操作系统,以及基于主机监视。,税务系统网络与信息安全技术培训班,第55页,应用环境是由经验丰富系统管理员依据安全原理进行维护并正常运行,UNIX,或,Windows NT,操作系统。,许多应用程序含有商业性质,而且其所用编码语言会影响系统安全。,本节指出了,C、C+、,一些脚本语言(如,CGI、PERL、JavaScript,和,Microsoft Macro)、JAVA,和,ActiveX,对系统安全可能造成影响。,应用环境假定程序开发代码中没有漏洞。,应用环境,税务系统网络与信息安全技术培训班,第56页,操作系统提供用户共享硬件资源能力,也支持以某种编码语言完成软件在不一样平台上含有通用性。,对于操作系统应该向信息系统与应用安全提供基本机制与性能,桔皮书、通用运行环境(,COE),和,CC,中都有说明。,桔皮书等一些出版物要求操作系统安全功效由不含密码功效可信软件实现。最近,人们开始考虑在可信操作系统中加入密码功效。,操作系统环境,税务系统网络与信息安全技术培训班,第57页,2.3.4,支撑性基础设施,支撑性基础设施是一套相关联活动与能够提供安全服务基础设施综合。,当前深层策略定义了两种支撑基础设施,:,密钥管理基础设施/公钥基础设(,KMI/PKI);,检测、响应与恢复。,税务系统网络与信息安全技术培训班,第58页,KMI/PKI,包括网络环境各个步骤。密钥管理/公钥基础设施是密码服务基础。,当地,KMI/PKI,提供当地授权,,广域网范围,KMI/PKI,提供证书、目录,以及密钥产生与公布功效。,PKI,提供不一样级别信息保护。其主要特色之一是提供普遍意义互操作。,税务系统网络与信息安全技术培训班,第59页,检测与响应基础设施中组成部分提供攻击预警等功效。,构建检测与响应基础设施需要许多功效支持,当前技术处理方案无法自动实现这些功效。所以,许多功效只能由分析员、网络操作员与系统管理员负责实现。,税务系统网络与信息安全技术培训班,第60页,PKI,受到攻击有:,预谋破坏,通信干扰与篡改,设计与实施缺点,操作员错误,操作员伪装,操作员行为不轨或受到胁迫,能够采取保护办法包含,:,物理保护,对设计改良,测试,培训,强认证,访问控制,加密,意外事件计划/系统备份,多人控制,审计,个人选择与监视,潜在攻击和可能对策,税务系统网络与信息安全技术培训班,第61页,小结(重点记忆),OSI,安全体系,5,种服务;,服务以及机制在,7,层上实现;,与,TCP/IP,模型对应关系;,信息保障技术框架,信息保障内容,深度防御内涵,税务系统网络与信息安全技术培训班,第62页,三、技术机制类安全标准,1,、加密机制,算法注册,(ISO/IEC 9979:1999),64,位块加密算法操作方式(,GB/T 15277 idt ISO 8372,),n,位块加密算法操作方式(,GB/T 17964 idt ISO/IEC 10116,),随机比特生成,(ISO/IEC WD 18031:),素数生成,(ISO/IEC WD 18032:),密钥管理 第,1,部分:框架(,GB 17901-1:1999 idt ISO/IEC 11770.1:1996,),密钥管理 第,2,部分:使用对称技术机制,(ISO/IEC 11770.2:1998,),密钥管理 第,3,部分:使用非对称技术机制,(ISO/IEC 11770.3:1998,),2,、署名机制,带消息恢复数字署名方案,(GB/T 15852,:,1995 idt ISO/IEC 9796),带附录数字署名,(GB/T 17902 idt ISO/IEC 14888),散列函数(,ISO/IEC 10118,),税务系统网络与信息安全技术培训班,第63页,技术机制类安全标准续,3,、完整性机制,作密码校验函数数据完整性机制,(GB 15852:1995 idt ISO/IEC 9797),消息判别码(,ISO/IEC 9797,),校验字符系统,(ISO/IEC CD 7064:1999),4,、判别机制,实体判别(,GB/T 15843 idt ISO/IEC 9798,),目录判别框架,(ISO/IEC 9594-8:1997|ITU-T X.509),5,、访问控制机制,安全信息对象,(ISO/IEC FDIS 15816:1999),6,、抗抵赖机制,抗抵赖(,GB/T 17903:1999 idt ISO/IEC 13888,:,1998,),时间戳服务,(ISO/IEC WD 18014:),7,、路由选择控制机制,8,、通信业务填充机制,网络层安全协议(,GB/T 17963,:,idt ISO/IEC 11577,:,1995,),税务系统网络与信息安全技术培训班,第64页,技术机制类安全标准续,2,9,、公证机制,可信第三方服务管理指南,(ISO/IEC FDIS 14516:1999),可信第三方服务规范,(ISO/IEC FDIS 15945:1999),10,、可信功效度,11,、事件检测和报警,IT,入侵检测框架,(ISO/IEC PDTR 15947:1999),12,、安全审计跟踪,13,、安全标识,用户接口安全标识,数据管理安全标识,数据交换安全标识,数据通信安全标识,操作系统安全标识,14,、安全恢复,税务系统网络与信息安全技术培训班,第65页,四、应用类安全标准,应用基础,应用产品,应用系统,特殊行业,税务系统网络与信息安全技术培训班,第66页,1.应用基础安全标准,(,1,)物理环境和保障,计算机场地通用规范(,GB/T 2887,:,),计算机场地安全要求(,GB 9361,:,1988,),计算机机房用活动地板技术条件,(GB6650-1986),电子计算机机房设计规范,(GB50174-1993),计算机信息系统防雷保安器,(GA173-98),电磁泄露发射,电磁兼容,低压电气及电子设备发出谐波电流限值(设备每相输入电流,16A,),(GB 17625.1-1998),电磁兼容,-,限值,-,对额定电流小于,16A,设备在低压供电系统中产生电压波动和闪烁限制,(GB17625.2-1999),电磁干扰,信息技术设备无线电骚扰极限值和测量方法,(GB 9254-1998),信息技术设备抗扰度限值和测量方法,(GB 17618-1998),税务系统网络与信息安全技术培训班,第67页,1.1,物理环境,包括到标准:,计算站场地安全要求(,GB9361-88,),计算站场地技术要求(,GB2887-,),计算机信息系统防雷保安器(,GA173-98,),计算机机房用活动地板技术条件(,GB6650-86,),军用通信设备及系统安全要求(,GJZB663,),税务系统网络与信息安全技术培训班,第68页,计算站场地是计算机系统安置地点,计算机供电、空调以及该系统维修人员和工作人员工作场所。,(1,)计算机机房安全等级划分,A,类,有完善计算机机房安全办法,B,类,有较完善计算机机房安全办法,C,类,有基本计算机机房安全办法,税务系统网络与信息安全技术培训班,第69页,税务系统网络与信息安全技术培训班,第70页,应用基础标准续,1,(,2,)信息处理,应用软件安全,应用硬件安全(,GB 4843,:,1995,),应用平台安全,软件工程服务,(,接口,GSS-API/POSIX),操作系统安全,(,评定,GB 17859|TCSEC/,判别,/,分布式计算服务,),数据库安全,(ISO/IEC 9579:200),电子邮件安全,(S/MIME/PEM/PGP/X.400),WEB,安全(,SHTTP/SSL/PCT,),DNS,安全,TELNET,安全,文件传输系统,目录系统(,X.500,),文电处理系统,(X.400),税务系统网络与信息安全技术培训班,第71页,应用基础标准续,2,(,3,)信息传输,端系统安全,主机安全,(,服务器,),安全算法(序列,/,分组,/,公开),PKI/,证书管理体系,证书轮廓,(X.509),操作协议,(LDAP|RFC 2559/2587),交换格式,(PKCS#12),应用程序接口,(PKCS#11),密码算法,(PKCS#1/FIPS 46-3/FIPS 180-1/),网络安全,IT,网络安全(,ISO/IEC WD 18028:,),LAN,安全,LAN/WAN,安全,(SILS),Intranet,安全,Internet,安全,网络安全指南,网络管理(,SNMP,),IPSec,物理层安全(,GB 15278,:,1994,),链路层加密,应用层安全(,ISDN,安全,/CORBA,安全,/,),安全协议,安全数据交换协议,IEEE 802.10,密钥管理协议,IEEE 802.10c,消息安全协议,传输层安全协议(,ISO 10736,),应用层安全协议(,ISO 11577,),税务系统网络与信息安全技术培训班,第72页,应用基础标准续,3,(,4,)信息存放,媒体安全,场地安全,(,5,)人机接口,(,6,)计算机病毒防治,(,7,)安全工程和服务,(,8,)安全信息交换语法规则,税务系统网络与信息安全技术培训班,第73页,2.,应用产品安全标准,商用密码产品,防火墙,(GB 18019/GB 18020),保护轮廓(,PP,),应用代理服务器,(GB 17900),安全路由器,(GB 18018),电子商务,CA,智能卡,IC,卡,(ISO/IEC 7816/7813),安全服务器,话音保密设备,数据保密设备,传真保密设备,入侵检测产品安全,安全审计产品,安全交换机,安全,VPN,安全,PC,卡,网络转换设备,税务系统网络与信息安全技术培训班,第74页,3.,应用系统,电子商务,支付型,非支付型,电子政务,金融处理系统,证券交易系统,涉密系统,远程医疗,远程协作,EDI,税务系统网络与信息安全技术培训班,第75页,4.,特殊行业,(,1,)金融交易安全,ISO 8730:1990,ISO 8731-1:1987,ISO 10126-1,、,2:1991,ISO/TR 13569:1997,ISO 15782,ISO 10202,(,2,)金融服务安全标准,ANSI X9.8,ANSI X9.9-1986,ANSI X9.17-1995,ANSI X9.19-1996,ANSI X9.23-1995,(,3,)用于行政、商业和运输业电子数据交互(,GB/T 14805 idt ISO/IEC 9735,),(,4,)党政机关,(,5,)军队,(,6,)电信,税务系统网络与信息安全技术培训班,第76页,五、管理类安全标准,管理基础,安全产品分类编码,信息技术安全管理指南(,ISO/IEC 13335,),信息安全管理,(ISO/IEC TR 17799),系统管理,安全报警汇报功效(,GB 17143.7-1997 idt 10164.7-1992,),安全审计跟踪功效(,GB 17143.8-1997 idt 10164.8-1993,),访问控制对象和属性(,GB 17143.9-1997 idt 10164.9-1993,风险管理,测评认证,信息技术安全性评定准则(,ISO/IEC 15408:1999,)(,CC,),计算机信息系统安全保护等级划分准则,(GB 17859,:,1999),通用测评方法,(SC27 N2722|CEM),系统安全工程能力成熟模型,(SSE-CMM),税务系统网络与信息安全技术培训班,第77页,信息安全管理实施规则,code of practice for information security management,),ISO/IEC CD 17799,BS7799-1,BS7799-1,首次出版于,1995,年,专业性极强标准,一套综合最正确实施规则,控制范围、控制方法参考基准,欧洲和北美洲得,1999,年修订,ISO/IEC 17799,加入了符合性方面要求,1.,安全管理基础:,ISO/IEC 17799,税务系统网络与信息安全技术培训班,第78页,ISO/IEC 17799,1,、范围,2,、术语和定义,3,、安全策略,4,、安全组织,5,、资产分级与控制,6,、人员安全,7,、物理和环境安全,8,、通信和运行管理,9,、访问控制,10,、系统开发和维护,11,、商业连续性管理,12,、符合性,税务系统网络与信息安全技术培训班,第79页,BS 7799-2,BS 7799-2第1版出版于1998年,BS 7799-2第2版出版于,评定一个组织全方面或部分信息安全管理体系基础,,也能够作为一个正式认证方案基础。,税务系统网络与信息安全技术培训班,第80页,BS 7799-2,建立信息管理体系要求,总则,建立管理框架,实施,文档化,文档控制,统计,税务系统网络与信息安全技术培训班,第81页,BS 7799-2,控制细则,安全策略,安全组织,资产分展开阅读全文
咨信网温馨提示:1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。




税务系统网络与信息安全技术培训班.pptx



实名认证













自信AI助手
















微信客服
客服QQ
发送邮件
意见反馈



链接地址:https://www.zixin.com.cn/doc/11919040.html