信息安全遵循的木桶原则

信息安全遵从“木桶原理”。这“木桶原理”正是系统论的思想在信息安全领域的体现。

对信息进行均衡、全面的防护，提高整个系统“安全最低点”的安全性能，这种安全原则被称为木桶原则。

美国国防部可信计算机系统评估系统TCSEC

访问控制系统实现的安全级别，分为四组七个等级：具体为D、C（C1、C2）、B（B1、B2、B3）和A，安全级别从左往右逐步提高，各级间向下兼容。

D级别是最低的安全级别，对系统提供最小的安全防护。

C级别有两个子系统，C1和C2。

C1级称为选择保护级（Discrtionary Security Portection）,可以实现自主安全防护。

C2级具有访问控制环境的权力，比C1的访问控制划分的更为详细，能够实现受控安全保护，个人账户管理，审计和资源隔离。

B级别包括B1、B2和B3三个级别，B级别能够提供强制性安全保护和多级安全。强制防护是指定义及保持标记的完整性，信息资源的拥有者不具有更改自身的权限，系统数据完全处于访问控制管理的监督下

B1级称为标识安全保护（Labeled Security Protection）。

B2级称为结构保护级别（Security Protection），要求访问控制的所有对象都有安全标签以实现低级别的用户不能访问敏感信息，对于设备、端口等也应标注安全级别。

B3级别称为安全域保护级别（Security Domain），这个级别使用安装硬件的方式来加强域的安全，比如用内存管理硬件来防止无授权访问。

A级别只有A1,这一级别，A级别称为验证设计级（Verity Design），是目前最高的安全级别，在A级别中，安全的设计必须给出形式化设计说明和验证，需要有严格的数学推导过程，同时应该包含秘密信道和可信分布的分析，也就是说要保证系统的部件来源有安全保证，例如对这些软件和硬件在生产、销售、运输中进行严密跟踪和严格的配置管理，以避免出现安全隐患。

可计算理论

本质上，密码破译就是求解一个数学难题，如果这个难题是理论不可计算的，则这个密码就是理论上安全的。如果虽然这个难题虽然是理论可计算的，但是由于计算复杂度太大而实际上是不可计算，则这个密码就是实际安全的，或计算上安全的。“一次一密”密码是理论上安全的密码，其余的密码都只能是计算上安全的密码。

信息安全的基本安全目标

保密性：确保信息仅被合法用户使用。

常用的保密技术：

防侦收

防辐射

数据加密

物理保密--如隔离

完整性：确保信息未经授权不能进行改变的特性。

影响完整性的因素：

设备故障

误码

人为攻击

病毒.......

可用性：信息可被授权实体访问并按需求使用的特性。

度量：正常使用时间/应该工作时间

信息安全的概念

保护系统的硬件、软件及相关数据，使之不因为偶然或恶意的侵犯而遭受破环、更改和泄露；

保证信息系统中信息的机密性、完整性、可用性等。

信息安全管理体系

信息安全管理体系是组织在整体或特定范围内建立的信息安全方阵，以及完成这些目标所采用的方法和手段所构成的体系。

密码管理

安全是建立在密码的安全上的，不是算法有多安全，无论算法有多优秀、多先进，都不是安全的。

商用密码管理原则-1996年27号文

统一领导，集中管理，定点研制，专控经营，满足使用

国家将商用密码技术列入国家秘密。

由国家密码管理局履行对全国的密码管理职能

我国第一个商用密码算法系列

对称密码算法：SMS4

签名算法：ECDSA

密钥协商算法：ECDH

杂凑算法：SHA-256

随机数生成算法;自行选择

其中ECDSA和ECDH密码算法必须使用国家密码管理局指定的椭圆曲线和参数

2006年，公布了“无线局域网产品必须使用的系列算法”。ECDH

网络管理

网络管理从功能讲，包括配置管理、性能管理、安全管理和故障管理等。

网络管理最突出的特点：对网络组成成分管理的统一性和远程性。

人员管理

国家信息安全等级保护

国家信息安全等级保护坚持自主定级、自主保护的原则。主要根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破环后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素决定。

《信息安全等级保护管理办法》将信息安全划分为五个安全保护等级。

GB17859-1999关于计算机系统安全保护能力的五个等级

用户自主保护级

通过隔离用户和数据，使用户具备自主安全保护的能力。

策略：自主访问控制、身份鉴别、自主完整性

适用范围：适用于普通内联网用户

系统审计保护级

支持自主保护；具有访问审计功能，记录与分析追查事故责任人，使所有用户对自己行为的合法性负责。

策略：+客体重用、审计、

适用范围：适用于通过内联网或国际网进行商务活动，需要保密的非重要单位

安全标记保护级

实施强制访问控制、对访问者和访问对象（进度、文件、段、设备等）制定不同安全标记。

策略：+强制访问控制、标记

适用范围：适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位

结构化保护级

要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。

策略：+强制访问控制、标记

适用范围：适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门

访问验证保护级

本级的计算机信息系统可信计算基满足访问监视器需求。访问监控器仲裁主体对客体的全部访问。

策略：+访问控制粒度是单个用户，能为客体制定命名用户和用户组，并规定访问模式；审计时，可直接报警；可信路径等。

适用范围：适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。

涉密信息系统安全分级保护

秘密级

一般的国家秘密，泄露会使国家的安全和利益遭受损害。

不低于国家信息安全等级保护三级要求。并且还必须符合分级保护的保密技术要求。

机密级

是重要的国家秘密，泄露会使国家的安全和利益遭受损害。

防护水平不低于国家信息安全等级保护四级要求。并且还必须符合分级保护的保密技术要求。

绝密级

是最重要的国家秘密，泄露会使国家的安全和利益遭受特别严重的损害。

不低于国家安全等级保护五级的要求。

增强型的机密级

信息系统的使用单位为副省级以上的党政首脑机关，以及国防、外交、国家安全、军工等要害部门；

信息系统中的机密级信息含量较高或数量较多；

信息系统使用单位对信息系统的依赖程度较高。

信息安全风险评估与管理

信息系统的安全风险：是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。

信息安全风险评估：是指依据有关信息安全技术标准，对信息系统及由其处理、传输和储存的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。

风险评估的主要任务：

识别组织面临的各种风险

评估风险概率和可能带来的负面影响

确定组织承受风险的能力

确定风险降低和控制的优先等级

推荐风险降低政策

风险评估流程

确定资产：明确资产的价值，包括有形和无形资产

脆弱性和威胁分析：发现资产的脆弱点及可能引发的威胁

制定及评估控制措施：研究消除、减轻、转移威胁风险的手段

对策：包括评估风险影响、排列风险、制定决策（接受、避免和转移风险）

沟通与交流：决策必须经领导层签字与批准，并于各方面就决策结论进行沟通

监督实施：监督安全措施的实施

风险评估的方法分类

定量的风险评估方法

定性的风险评估方法

定量与定性相结合的风险评估方法

风险评估方法