《可信安全体系》PPT课件.ppt
《《可信安全体系》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《可信安全体系》PPT课件.ppt(42页珍藏版)》请在三一文库上搜索。
1、可信安全体系 -结构性安全的基础和实践,2019年5月,目 录,结构性安全,可信安全体系,1,2,关键技术及产品,应用案例,3,4,信息的C.I.A,信息 安全 保障,计算机 系统,密码技术,TCSEC TCB,安全评估、监测、监控、容灾备份、运行安全,信息系统安全的发展,关注信息的CIA、用户授权、访问控制、审计,信息系统,防火墙、防病毒、入侵检测、漏洞扫描、IDS,40-70年代,70-80年代,90年代以来,从人员管理、环境安全、技术安全多视角关注,核心网络区域,信息系统现状,访问控制,交换,递交,脆弱性安全防护体系,技术路线 以对系统脆弱性的安全防护为出发点,通过采用不同的技术方案,实
2、现对系统脆弱性的修补、阻断或防范,以避免脆弱性被利用或触发,从而保障系统的正常运行。 2.现有方案 补漏洞补丁、升级 增加防护设备 防火墙 防病毒软件 入侵检测 漏洞扫描 。,脆弱性安全的特点,面向威胁的防护技术 以对系统脆弱性的安全防护为出发点 多样化的防护技术 软件、硬件 补丁、设备、规章制度、。 被动防御 新的攻击方式新的防护方案 各自为政 头痛医头,脚痛医脚 松散的防护体系 缺乏统筹、缺乏关联,a、被动式防御手段力不从心,现有信息系统的安全体系远没有达到人们预期的水平!,b、脆弱性安全防护模型越来越“脆弱” 漏洞越堵越多、防火墙越砌越高 策略越来越复杂 桌面系统越来越庞大 兼容性越来越
3、差,面临的问题,1、系统的问题 系统越来越庞大 访问控制越来越复杂 互操作性越来越差 运行效益低下 管理成本越来越高,2、安全的问题,技术原因,系统建设标准不一致,互操作性差 PC机软、硬件结构简化,导致资源可任意使用 通讯协议存在缺陷 对病毒木马的防护有滞后性缺陷 对合法的用户没有进行严格的访问控制,可以越权访问 脆弱性安全防护模型强调安全功能的多样性和安全保障的强度,而无法保证安全功能的有效性,致使安全机制本身存在被篡改或破坏的可能。,2005年(PITAC) :(Cyber Security :A Crisis of Prioritization) 报告中谈到如下的观点: PITAC认为
4、包括军队的信息系统(例如GIG)在内所有的可信信息系统和国家基础设施信息化系统处在广泛地危险之中,长期采用的打补丁和消除信息系统脆弱性的安全策略,不但没有改善信息系统的安全,而且脆弱性正在迅速地扩张。在广泛系统互联及其内外界限越来越模糊情况中,传统区分内外关系的边界防护测量得到了严重挑战。 必须要对信息化极其安全进行基础性、整体性的深入研究,探询根本上解决问题的方法,探询新安全理论、模型和方法。 PITAC提出十个方面的问题: 研究大范围、大规模的认证与鉴别技术 对网络世界基础设施进行安全再整理与再研究 在软件工程方面引入安全研究,建立新的软件工程学。 在系统整体上去解决安全问题(研究如何利用
5、可信与非可信部件来建立安全体系),加强总体学与体系结构研究 实现更加普遍和大范围的监管与监控(基于行为检测模型上网络行为监管与监控) 实现更有效地减灾和恢复 实现基于行为检测、取证打击网络犯罪 支持信息安全新技术实验与测试 支持开展信息安全测评认证工作 开展网络安全的非技术问题的广泛研究(包括社会与网络行为学研究),国际趋势,革新安全思路,从关注面向脆弱性安全到关注结构性安全。 从关注面向威胁到面向能力的建设。 从关注数据与系统安全防护到关注运营安全和可信秩序的建立。 安全思路:研究总体和体系结构,把安全建立在不信任和信任的互相怀疑的基本理念基础之上,采用结构性安全体系,解决整体系统安全。,信
6、息的C.I.A,结构性安全:建立网络虚拟世界可信有序环境,信息 安全 保障,计算机 系统,密码技术,TCSEC TCB,安全评估、监测、监控、容灾备份、运行安全,发展历程,关注信息的CIA、用户授权、访问控制、审计,信息系统,防火墙、防病毒、入侵检测、漏洞扫描、IDS,40-70年代,70-80年代,90年代以来,从人员管理、环境安全、技术安全多视角关注,基于可信计算、密码、鉴别认证、访问控制、审计、安全管理等技术构建结构性安全,不同于脆弱性安全,结构性安全不以对系统脆弱性的安全防护为出发点,而是从多个粒度入手,以主动的基础信任体系作为支撑,从整体的关联关系角度出发,定制安全基线,将脆弱性问题
7、的发生及危害程度限制在一定区域和范围,并能对其进行精准的捕获。 目的:将多种保护机制相互关联、相互支撑、相互制约、通过相互之间的结构性关系,提高健壮性。把计算机网络这个虚拟世界变成一个有序、可认证、可管理且可追踪控制的空间。,可信安全理念:结构性安全,13,体系化导向,变被动为主动 关注于多种保护机制的紧密关联、相互支撑、相互制约 基于数字标签划分安全域,实现细粒度访问控制 一体化安全管理 可信安全体系 体系化结构性安全的基础,体系化结构性安全,1.细粒度的访问控制 主体、客体、节点、网络可标识、可认证 2.强关联 相互配合,群体作战 3.高整体效益 体系化的结构性安全 4.可被验证的基础信任
8、体系 保障安全机制的有效性 5.精准的捕获能力 发现,定位、追踪、打击,实现目标,等级保护体系架构一个中心,三重防护 安全管理中心 安全计算环境 安全区域边界 安全通信网络,现有架构,目 录,结构性安全,可信安全体系,1,2,关键技术及产品,应用案例,3,4,可信安全体系以可信根为基础,致力于通过可信链的建立,通过标签技术,保障计算环境、区域边界和通信网络的安全,从而实现一个可信、有序、易管理的安全保护环境,为信息系统的安全功能和安全保证提供整体解决方案,从根本上提高系统的安全保护能力; 可信安全体系通过实现体系化结构性安全防护,将脆弱性行为限制在小的区域,限制脆弱性行为造成的安全危害;,可信
9、安全体系,可信安全体系,体系目标,可验证的基础信任体系基于可信技术,确保用户身份可信、平台可信、用户行为可信 细粒度的访问控制 主体、客体、节点、网络可标识、可认证。 用户分级、系统分域、网络分域、应用分域,可实现跨域访问控制。 可信网络连接 基于可信技术,集身份认证、数字标签和传输控制于一体,从底层开始, 实现端到端的统一安全标记,在机制上屏蔽了可能的各种未知恶意攻击 可信数据交换 基于数字标签是吸纳不同安全等级、不同级别的区域安全可控的互联互通。 一体化的安全管理,整体安全效应最大化 不同安全产品相互关联、相互支撑、相互制约,通过相互之间的结构性关系,来提供系统整体的安全性。,操作 系统,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 可信安全体系 可信 安全 体系 PPT 课件
链接地址:https://www.31doc.com/p-2767073.html