彳 第三章信息安全保障体系 323信息保障体系框架 32信息保障体系的构成 启明星辰的信息保障体系框架 ●启明星辰理解信息安全保障的六大模型和思路 ∏TA信息体系架构:明确保护的对象(信息、威胁、资 产),理解需要保护的信息资产及其结构的典型方法就是 安全域(TcB所有安全功能的操作控制及其所涉及的主 体和客体) 2.CA信息安全属性。从信息安全保护目标机密性、完整 性和可用性)入手考虑信息安全保障体系建设 3.管理和执行模型:管理主要指建立MS(信息安全管理 体系),在BS7799框架基础上提出12-SMC框架。在 执行模型方面,提出包含决策层、运营层和运行层三个 执行层次的ⅥTA模型 ●安全防护措施由管理和技术两个方面组成,二者并重 17183
17/83 启明星辰的信息保障体系框架 启明星辰理解信息安全保障的六大模型和思路 1. ITA信息体系架构:明确保护的对象(信息、威胁、资 产),理解需要保护的信息资产及其结构的典型方法就是 安全域(TCB所有安全功能的操作控制及其所涉及的主 体和客体) 2. CIA信息安全属性。从信息安全保护目标(机密性、完整 性和可用性)入手考虑信息安全保障体系建设 3. 管理和执行模型:管理主要指建立ISMS(信息安全管理 体系),在BS7799框架基础上提出12-ISMC框架。在 执行模型方面,提出包含决策层、运营层和运行层三个 执行层次的VITA模型 ⚫ 安全防护措施由管理和技术两个方面组成,二者并重 3.2.3 信息保障体系框架 第三章 信息安全保障体系 3.2 信息保障体系的构成
彳 第三章信息安全保障体系 323信息保障体系框架 32信息保障体系的构成 4.以PDR(防护、检测、响应)代表的动态信息安全模型 从信息安全方面阐述,也有自己的 APPDRR模型,如 赵战生的 WPDRRC(预瞀 Warning、保护、检测、反应、 恢复和反击 counterattack) 5.风险管理方法:提供一种评价和决策的方法,其它类 似的方法还有业务连续性管理和投资汇报管理 启明星辰认为:信息安全的本质是风险管理,与风险管理密切 相关的是企业的资产、资产面临的威胁及采取的安全防护措施 6.基于生命周期的过程方法、工程方法 ●PDcA(策划、实施、检查、改进)方法Plan-Do- Check Action 20-80原则:用20%的资源解决80%的问题 18/83
18/83 4. 以PDR(防护、检测、响应)为代表的动态信息安全模型, 从信息安全方面阐述,也有自己的APPDRR模型,如 赵战生的WPDRRC(预警warning、保护、检测、反应、 恢复和反击counterattack) 5. 风险管理方法:提供一种评价和决策的方法,其它类 似的方法还有业务连续性管理和投资汇报管理 ⚫ 启明星辰认为:信息安全的本质是风险管理,与风险管理密切 相关的是企业的资产、资产面临的威胁及采取的安全防护措施 6. 基于生命周期的过程方法、工程方法: ⚫ PDCA(策划、实施、检查、改进)方法Plan-Do-Check- Action ⚫ 20-80原则:用20%的资源解决80%的问题 3.2.3 信息保障体系框架 第三章 信息安全保障体系 3.2 信息保障体系的构成
彳 第三章信息安全保障体系 323信息保障体系框架2倍息保障体系的构成 启明星辰信息安全保障体系总体框架 ⅤISAF 启明星辰信息安全保障总体框架 A资产 S防护措施 T威胁 M管理框架 T技术框架 P策略 I鉴别认证 O组织 A访问控制 O运作 A审计跟踪 R冗余恢复 O内容安全 19/83
19/83 启明星辰信息安全保障体系总体框架 VISAF 启明星辰信息安全保障总体框架 A 资产 S 防护措施 T 威胁 M 管理框架 T 技术框架 I 鉴别认证 A 访问控制 A 审计跟踪 R 冗余恢复 O 内容安全 P策略 O组织 O运作 3.2.3 信息保障体系框架 第三章 信息安全保障体系 3.2 信息保障体系的构成
彳 第三章信息安全保障体系 323信息保障体系框架 32信息保障体系的构成 三维信息系统安全保障体系模型 ≥对于一个组织应按下 图建立自己的信息安 全保障体系 用户层 应用层 数据库层 系统层 网络层 口口口口日口口口口口口口 物理层 规划启动设计开发实施运行维护废弃 朝斜手添朝器鄱易丐 信息保护 安全运行与维护 分等级安全技术要求 安全管理组织 安全管理制度 安全监督与检査 工程保障的强度要求 2083
20/83 三维信息系统安全保障体系模型 对于一个组织应按下 图建立自己的信息安 全保障体系 系 系 系 系 系 系 系 系 系 应用层 数据库层 系统层 网络层 物理层 安全技术保障 安全管理保障 用户层 系 系 系 系 系 系 规划启动 系 系 系 系 系 系 系 系 设计开发 系 系 系 系 系 系 实 施 系 系 系 系 系 系 系 运行维护 系 系 系 系 系 废 弃 信息保护 安全运行与维护 分等级安全技术要求 安全管理组织 安全管理制度 安全监督与检查 工程保障的强度要求 3.2.3 信息保障体系框架 第三章 信息安全保障体系 3.2 信息保障体系的构成
彳 第三章信息安全保障体系 323信息保障体系框架2倍息保障体系的构成 ●过程维 是与时间有关的过程,既反应了信息系统的生命周期, 也反应了在这个周期中的工程过程 ≥措施维 包括:安全技术保障、安全管理保障和安全工程保障 从三个方面构成了一个完整的信息系统安全保障体系。 当然不同安全等级其保障的强度是不一样的 三个保障体系是有机的整体 如风险评估即是安全运行维护的基本方法,也是工程保 障的基本方法,同时又是风险管理的基础 21/83
21/83 过程维 ⚫ 是与时间有关的过程,既反应了信息系统的生命周期, 也反应了在这个周期中的工程过程 措施维 ⚫ 包括:安全技术保障、安全管理保障和安全工程保障, 从三个方面构成了一个完整的信息系统安全保障体系。 当然不同安全等级其保障的强度是不一样的 三个保障体系是有机的整体 ⚫ 如风险评估即是安全运行维护的基本方法,也是工程保 障的基本方法,同时又是风险管理的基础 3.2.3 信息保障体系框架 第三章 信息安全保障体系 3.2 信息保障体系的构成