版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、(最新整理)工業(yè)互聯(lián)網(wǎng)安全體系建立與發(fā)展重點(diǎn)F12021/7/26工業(yè)互聯(lián)網(wǎng)安全體系建立與發(fā)展重點(diǎn)目錄一、工業(yè)互聯(lián)網(wǎng)內(nèi)涵二、工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)三、工業(yè)互聯(lián)網(wǎng)安全體系四、工業(yè)互聯(lián)網(wǎng)安全發(fā)展重點(diǎn)工業(yè)互聯(lián)網(wǎng)成為智能制造競(jìng)爭(zhēng)的新熱點(diǎn) 工業(yè)互聯(lián)網(wǎng)是實(shí)現(xiàn)制造業(yè)智能化的核心美國(guó):先進(jìn)制造戰(zhàn)略先進(jìn)制造戰(zhàn)略工業(yè)互聯(lián)網(wǎng)/CPS:先進(jìn)制造戰(zhàn)略的重要?jiǎng)?chuàng)新方向和基礎(chǔ)德國(guó):工業(yè)4.0戰(zhàn)略工業(yè)4.0戰(zhàn)略工業(yè)互聯(lián)網(wǎng)/CPS:工業(yè)4.0的核心基礎(chǔ)無論美德使用何種名詞,均將工業(yè)互聯(lián)網(wǎng)作為變革工業(yè)和確立競(jìng)爭(zhēng)新優(yōu)勢(shì)的技術(shù)基礎(chǔ),注重將頂層設(shè)計(jì)與優(yōu)勢(shì)企業(yè)主導(dǎo)相結(jié)合,突出數(shù)據(jù)在整個(gè)架構(gòu)中的核心作用,加快相關(guān)領(lǐng)域標(biāo)準(zhǔn)化進(jìn)程。德國(guó)重點(diǎn)是基于制
2、造裝備、工業(yè)自動(dòng)化、工業(yè)軟件等方面的領(lǐng)先地位,通過全工業(yè)體系的協(xié)同(研究機(jī)構(gòu)、協(xié)會(huì)、大學(xué)等),強(qiáng)化“硬制造”優(yōu)勢(shì),同時(shí)拓展“軟服務(wù)”能力。美國(guó)是利用基礎(chǔ)科學(xué)、工業(yè)、信息技術(shù)、互聯(lián)網(wǎng)等領(lǐng)域的綜合優(yōu)勢(shì),構(gòu)建全球性的生態(tài)體系組織,從大數(shù)據(jù)應(yīng)用等“軟服務(wù)”切入,帶動(dòng)工業(yè)全流程、全環(huán)節(jié)競(jìng)爭(zhēng)力的整體提升。(Industrial Internet)德國(guó)工業(yè)4.0:人機(jī)物信息互聯(lián)互通時(shí)間18世紀(jì)末工業(yè)1.0創(chuàng)造了機(jī)器工廠的“蒸汽時(shí)代”20世紀(jì)初電力廣泛應(yīng)用蒸汽機(jī)信息物聯(lián)系統(tǒng)1970年代初今天工業(yè)2.0將人類帶入分工明確、大批量生產(chǎn)的流水線模式和“電氣時(shí)代”工業(yè)3.0應(yīng)用電子信息技術(shù),進(jìn)一步提高生產(chǎn)自動(dòng)化水平自
3、動(dòng)化、信息化工業(yè)4.0開始應(yīng)用信息物理融合系統(tǒng)(CPS)復(fù)雜度目標(biāo):建立一個(gè)高度靈活的個(gè)性化、數(shù)字化產(chǎn)品與服務(wù)的生產(chǎn)模式關(guān)鍵點(diǎn):“原材料(物質(zhì))”=“信息”。智能工廠使用了含有信息的原材料,實(shí)現(xiàn)了“原材料(物質(zhì))”=“信息”,制造業(yè)終將成為信息產(chǎn)業(yè)的一部分。所以,工業(yè)4.0將成為最后一次工業(yè)革命。中國(guó)制造2025戰(zhàn)略規(guī)劃國(guó)家效益:20年3萬億美元GDP增量。企業(yè)效益:效率20%,成本20%,節(jié)能減排10%。4十大重點(diǎn)領(lǐng)域五大工程核心關(guān)鍵一條主線2015年中國(guó)制造2025+“1+X”實(shí)施方案和規(guī)劃體系+高端領(lǐng)域技術(shù)路線圖的綠皮書信息化與工業(yè)化深度融合創(chuàng)新驅(qū)動(dòng)、智能轉(zhuǎn)型國(guó)家制造業(yè)創(chuàng)新中心建設(shè)工程大
4、力推進(jìn)智能制造新一代信息技術(shù)高檔數(shù)控機(jī)床和機(jī)器人航空航天裝備海洋工程裝備及高技術(shù)船舶先進(jìn)軌道交通裝備智能制造網(wǎng)絡(luò)化、數(shù)字化、智能化工業(yè)強(qiáng)基工程綠色發(fā)展工程節(jié)能與新能源汽車電力裝備新材料生物醫(yī)藥及高性能醫(yī)療器械農(nóng)業(yè)機(jī)械裝備高端裝備創(chuàng)新工程已通過近期印發(fā)互聯(lián)網(wǎng)+什么是工業(yè)互聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系全球互聯(lián)智能制造基礎(chǔ)設(shè)施工業(yè)互聯(lián)網(wǎng)終端機(jī)器、物料、控制系統(tǒng)、信息系統(tǒng)、智能產(chǎn)品、人工業(yè)互聯(lián)網(wǎng)應(yīng)用智能制造模式、業(yè)態(tài)個(gè)性化定制網(wǎng)絡(luò)化協(xié)同服務(wù)化延伸工廠外網(wǎng)絡(luò)/全球互聯(lián)網(wǎng)絡(luò)工廠內(nèi)網(wǎng)絡(luò)IT網(wǎng)絡(luò)OT網(wǎng)絡(luò)云計(jì)算/邊緣計(jì)算云計(jì)算智能化生產(chǎn)端到端數(shù)據(jù)流動(dòng) 工業(yè)互聯(lián)網(wǎng)是互聯(lián)網(wǎng)和新一代信息技術(shù)與全球工業(yè)系統(tǒng)全方位深度融合集成
5、所形成的產(chǎn)業(yè)和應(yīng)用生態(tài),是工業(yè)智能化發(fā)展的關(guān)鍵綜合信息基礎(chǔ)設(shè)施工業(yè)互聯(lián)網(wǎng)是網(wǎng)絡(luò),實(shí)現(xiàn)機(jī)器、物品、控制系統(tǒng)、信息系統(tǒng)、人之間的泛在聯(lián)接工業(yè)互聯(lián)網(wǎng)是平臺(tái),通過工業(yè)云和工業(yè)大數(shù)據(jù)實(shí)現(xiàn)海量工業(yè)數(shù)據(jù)的集成、處理與分析工業(yè)互聯(lián)網(wǎng)是新模式新業(yè)態(tài),實(shí)現(xiàn)智能化生產(chǎn)、網(wǎng)絡(luò)化協(xié)同、個(gè)性化定制和服務(wù)化延伸工業(yè)互聯(lián)網(wǎng)與智能制造目標(biāo)質(zhì)量、效率、效益、創(chuàng)新、綠色特征戰(zhàn)略方向技術(shù)基礎(chǔ)戰(zhàn)略計(jì)劃外在:個(gè)性化定制、智能化生產(chǎn)、網(wǎng)絡(luò)化協(xié)同、服務(wù)化延伸外在:個(gè)性化定制、智能化生產(chǎn)、網(wǎng)絡(luò)化協(xié)同、服務(wù)化延伸智能制造工業(yè)互聯(lián)網(wǎng)(工業(yè)物聯(lián)網(wǎng)/工業(yè)CPS)+智能化設(shè)備+新材料+新工藝+德國(guó)工業(yè)4.0美國(guó)先進(jìn)制造/工業(yè)互聯(lián)網(wǎng)中國(guó)制造2025/互聯(lián)
6、網(wǎng)+/兩化深度融合工業(yè)互聯(lián)網(wǎng)的范疇先進(jìn)材料3D打印元器件工藝與整機(jī)生產(chǎn)設(shè)備本體傳感終端工業(yè)網(wǎng)絡(luò)制造管理平臺(tái)(實(shí)時(shí)監(jiān)測(cè)、系統(tǒng)控制)行業(yè)應(yīng)用工業(yè)云平臺(tái)+智能裝備泛在感知終端智能網(wǎng)連汽車智能家居個(gè)性化定制協(xié)同制造供應(yīng)鏈協(xié)作智能制造工業(yè)互聯(lián)網(wǎng)核心是基于全面互聯(lián)而形成數(shù)據(jù)驅(qū)動(dòng)的智能智能控制資產(chǎn)優(yōu)化虛擬仿真智能化生產(chǎn)服務(wù)化延伸設(shè)計(jì)協(xié)作供應(yīng)協(xié)作制造協(xié)作智能服務(wù)全面互聯(lián)端管云網(wǎng)絡(luò)化協(xié)同個(gè)性化定制C2B定制數(shù)據(jù)采集數(shù)據(jù)連接與傳輸數(shù)據(jù)計(jì)算與處理數(shù)據(jù)智能產(chǎn)品良率預(yù)測(cè)性運(yùn)維智能裝備機(jī)器人智能產(chǎn)品工廠/企業(yè)外互聯(lián)工廠/企業(yè)內(nèi)互聯(lián)信息/生產(chǎn)系統(tǒng)互聯(lián)工廠/企業(yè)內(nèi)專有云外部專有云/公有云先進(jìn)材料先進(jìn)工藝其它基礎(chǔ)行業(yè)經(jīng)驗(yàn)/知識(shí)
7、/技能基于數(shù)據(jù)自決策自執(zhí)行跨設(shè)備跨系統(tǒng)跨企業(yè)數(shù)據(jù)共享基于數(shù)據(jù)的建模與智能分析B2B定制智能制造智能管理工業(yè)/產(chǎn)業(yè)基礎(chǔ)現(xiàn)在的工廠生產(chǎn)模式根據(jù)市場(chǎng)數(shù)據(jù)經(jīng)驗(yàn)預(yù)測(cè)顧客選擇產(chǎn)品型號(hào)經(jīng)銷商人庫(kù)存企業(yè)主機(jī)交付有無訂單人1人2產(chǎn)品機(jī)器1機(jī)器2物料1物料2合作廠3合作廠1合作廠2信息交互指令(訂單)物的流向未來的智慧工廠生產(chǎn)模式智慧工廠市場(chǎng)大數(shù)據(jù)判斷顧客定制企業(yè)網(wǎng)絡(luò)人網(wǎng)絡(luò)交互產(chǎn)品機(jī)器1機(jī)器2物料1物料2合作廠3合作廠1合作廠2網(wǎng)絡(luò)交互指令(訂單)物的流向知道,我能在XXX時(shí)間完成交付知道,我可以按時(shí)完成交付知道,有點(diǎn)兒小困難,一定克服完成知道,訂單緊急,正在尋求其他資源,一定完成全程可視化信息我從哪里來,要到哪
8、里去?你來怎么操作在這里你要讓我達(dá)到質(zhì)量要求我是誰?我從哪來?要到哪去?要按什么時(shí)間、地點(diǎn)交付給誰?我們一起配合知道按程序1操作知道按程序2操作總體干得不錯(cuò)!XX機(jī)器下次需要修理,有些產(chǎn)品我們工廠可以做嗎?怎么做?未來的趨勢(shì)智慧大腦傳統(tǒng)互聯(lián)網(wǎng)移動(dòng)互聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)大數(shù)據(jù)云計(jì)算工業(yè)互聯(lián)網(wǎng)的發(fā)展與應(yīng)用第一:通過大數(shù)據(jù)和分析建立核心競(jìng)爭(zhēng)優(yōu)勢(shì);第二:通過云計(jì)算重新塑造企業(yè)業(yè)務(wù)模式;第三:通過移動(dòng)和社交技術(shù)構(gòu)建互動(dòng)參與體系。運(yùn)用新一代信息技術(shù)促使傳統(tǒng)企業(yè)向智慧企業(yè)轉(zhuǎn)型目錄一、工業(yè)互聯(lián)網(wǎng)內(nèi)涵二、工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)三、工業(yè)互聯(lián)網(wǎng)安全體系四、工業(yè)互聯(lián)網(wǎng)安全發(fā)展重點(diǎn)工業(yè)互聯(lián)網(wǎng)總體架構(gòu)三大智能化閉環(huán):智能生產(chǎn)
9、控制、智能運(yùn)營(yíng)決策優(yōu)化、消費(fèi)需求與生產(chǎn)制造精確對(duì)接智能化生產(chǎn)企業(yè)內(nèi)網(wǎng)絡(luò)化協(xié)同企業(yè)-企業(yè)個(gè)性化定制企業(yè)-用戶服務(wù)化延伸企業(yè)-產(chǎn)品應(yīng)用物理系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)安全設(shè)備安全數(shù)據(jù)安全控制安全應(yīng)用安全網(wǎng)絡(luò)互聯(lián)應(yīng)用支撐標(biāo)識(shí)解析產(chǎn)業(yè)視角互聯(lián)網(wǎng)視角產(chǎn)業(yè)數(shù)據(jù)采集交換生產(chǎn)反饋控制數(shù)據(jù)集成處理產(chǎn)業(yè)建模、仿真與分析車間/工廠/企業(yè)運(yùn)營(yíng)決策優(yōu)化網(wǎng)絡(luò)安全數(shù)據(jù):本質(zhì)是數(shù)據(jù)智能在工業(yè)中的全周期應(yīng)用,包括“采集交換-集成處理-建模分析-決策與控制”,形成優(yōu)化閉環(huán),驅(qū)動(dòng)工業(yè)智能化。網(wǎng)絡(luò):本質(zhì)是實(shí)現(xiàn)數(shù)據(jù)智能的網(wǎng)絡(luò)基礎(chǔ),包括網(wǎng)絡(luò)互聯(lián)、標(biāo)識(shí)解析、應(yīng)用支撐三大體系。安全:本質(zhì)是工業(yè)/產(chǎn)業(yè)互聯(lián)網(wǎng)各個(gè)領(lǐng)域和環(huán)節(jié)的安全保障,包括設(shè)備安全、控制安全、網(wǎng)
10、絡(luò)安全、應(yīng)用安全等??傮w架構(gòu)用戶(消費(fèi)者/企業(yè)用戶)開放、互聯(lián)、智能形勢(shì)下的工控安全挑戰(zhàn)工業(yè)云平臺(tái)工廠外網(wǎng)定制業(yè)務(wù)協(xié)同業(yè)務(wù)產(chǎn)品服務(wù)智能工廠協(xié)作企業(yè)工廠內(nèi)網(wǎng)工業(yè)云平臺(tái)ERPSCMCRMMESSCADA工程師/操作員站HMI智能傳感器工業(yè)機(jī)器人智能機(jī)械控制環(huán)境開放化使外部互聯(lián)網(wǎng)威脅滲透到工廠控制環(huán)境 控制安全 網(wǎng)絡(luò)安全 數(shù)據(jù)安全 網(wǎng)絡(luò)IP化、無線化以及組網(wǎng)靈活化給工廠網(wǎng)絡(luò)帶來更大的安全風(fēng)險(xiǎn)數(shù)據(jù)的開放、流動(dòng)和共享使數(shù)據(jù)和隱私保護(hù)面臨前所未有的挑戰(zhàn) 設(shè)備安全 設(shè)備智能化使生產(chǎn)裝備和產(chǎn)品暴露在網(wǎng)絡(luò)攻擊之下工業(yè)互聯(lián)網(wǎng)面臨的五大安全風(fēng)險(xiǎn)“兩化融合”“中國(guó)制造2025”工業(yè)互聯(lián)網(wǎng)漏洞劇增設(shè)備后門工業(yè)網(wǎng)絡(luò)病毒攻
11、擊趨易組織化威脅工藝信息泄漏商業(yè)信息泄漏產(chǎn)品質(zhì)量下降生產(chǎn)停頓安全事故社會(huì)動(dòng)蕩保密信息泄漏五大威脅漏洞劇增1552個(gè)工業(yè)控制軟硬件設(shè)備漏洞涉及123家工控廠商33%(516個(gè))沒有被修復(fù)90%漏洞披露于“震網(wǎng)”事件后465個(gè)漏洞為易利用的HMI漏洞2000年-2016年五大威脅外國(guó)設(shè)備后門帶入威脅 2013年底-2014年初,某軍工企業(yè)在廣州采購(gòu)了大批的高端數(shù)控機(jī)床運(yùn)到蘭州,到蘭州開機(jī)后卻無法運(yùn)行,被鎖住了,企業(yè)在與廣州的代理商溝通后,代理廠商質(zhì)疑機(jī)床采購(gòu)地點(diǎn)在廣州,操作使用地點(diǎn)在蘭州,需要報(bào)備申請(qǐng)才可以使用。五大威脅工業(yè)網(wǎng)絡(luò)病毒2011年2012年2014年2015年Stuxnet病毒精準(zhǔn)打擊
12、Duqu病毒戰(zhàn)術(shù)情報(bào)收集滲透潛伏Flame病毒戰(zhàn)略情報(bào)采集滲透潛伏Havex殺蟲戰(zhàn)略情報(bào)采集滲透潛伏“方程式組織”戰(zhàn)略情報(bào)采集滲透潛伏高技術(shù)含量的攻擊手段不斷出現(xiàn),病毒日趨復(fù)雜2010年五大威脅攻擊趨易發(fā)現(xiàn)工控系統(tǒng)越來越容易入侵事件時(shí)有發(fā)生組織化攻擊手段更隱蔽變種更多攻擊范圍更廣民間組織發(fā)起傳播速度更快針對(duì)工控網(wǎng)絡(luò)核心功能如何應(yīng)對(duì)建立主動(dòng)防護(hù)系統(tǒng)目錄一、工業(yè)互聯(lián)網(wǎng)內(nèi)涵二、工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)三、工業(yè)互聯(lián)網(wǎng)安全體系四、工業(yè)互聯(lián)網(wǎng)安全發(fā)展重點(diǎn)1 網(wǎng)絡(luò)安全屬性2 網(wǎng)絡(luò)安全保障體系3 網(wǎng)絡(luò)安全防御模型4 風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)1 網(wǎng)絡(luò)安全屬性1 保密性(也稱機(jī)密性,Confidentiality)保證信息與
13、信息系統(tǒng)不被非授權(quán)者所獲取或利用。保密性包含數(shù)據(jù)的保密性和訪問控制等方面內(nèi)容。2 完整性(Integrity) 保證信息與信息系統(tǒng)正確和完備,不被冒充、偽造或篡改,包括數(shù)據(jù)的完整性、系統(tǒng)的完整性等方面。3 鑒別性(也稱可認(rèn)證性,Authentication)保證信息與信息系統(tǒng)真實(shí),包括實(shí)體身份的真實(shí)性、數(shù)據(jù)的真實(shí)性、系統(tǒng)的真實(shí)性等方面。網(wǎng)絡(luò)安全屬性4 不可否認(rèn)性(不可抵賴性,Non-Repudiation) 建立有效的責(zé)任機(jī)制,防止用戶否認(rèn)其行為(如電子商務(wù))5 可用性(Availability) 保證信息與信息系統(tǒng)可被授權(quán)者在需要的時(shí)候能夠訪問和使用。6 可靠性(Reliability) 保
14、證信息系統(tǒng)為合法用戶提供穩(wěn)定、正確的信息服務(wù)。網(wǎng)絡(luò)安全屬性7 可追究性(Accountability)保證從一個(gè)實(shí)體的行為能夠唯一地追溯到該實(shí)體,它支持不可否認(rèn)、故障隔離、事后恢復(fù)、攻擊阻斷等應(yīng)用,具有威懾作用,支持法律事務(wù),其結(jié)果可以保證一個(gè)實(shí)體對(duì)其行為負(fù)責(zé)。8 可控性(Controlability)指對(duì)信息和信息系統(tǒng)實(shí)施有效的安全監(jiān)控管理,防止非法利用信息和信息系統(tǒng)9保障(Assurance)為在具體實(shí)現(xiàn)和實(shí)施過程中,保密性、完整性、可用性和可追究性等得到足夠滿足提供信心基礎(chǔ),這種信心基礎(chǔ)主要通過認(rèn)證和認(rèn)可來實(shí)現(xiàn)。1 網(wǎng)絡(luò)安全屬性2 網(wǎng)絡(luò)安全保障體系3 網(wǎng)絡(luò)安全防御模型4 風(fēng)險(xiǎn)評(píng)估與等級(jí)保
15、護(hù)2 網(wǎng)絡(luò)安全保障體系結(jié)構(gòu)網(wǎng)絡(luò)安全保障包括人、政策(包括法律、法規(guī)、制度、管理)和技術(shù)三大要素主要內(nèi)涵是實(shí)現(xiàn)上述保密性、鑒別性、完整性、可用性等各種安全屬性保證信息和信息系統(tǒng)的安全性目的。1 技 術(shù) 體 系機(jī)制加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、鑒別交換、通信業(yè)務(wù)填充、路由選擇控制、公證、可信功能度、安全標(biāo)記、事件檢測(cè)、安全審計(jì)跟蹤、安全恢復(fù)、電磁輻射控制、抗電磁干擾等。服務(wù)鑒別/身份認(rèn)證、訪問控制、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、抗抵賴、可靠性、可用性、安全審計(jì)等。管理技術(shù)管理策略、系統(tǒng)安全管理、安全機(jī)制管理、安全服務(wù)管理、安全審計(jì)管理、安全恢復(fù)管理等。標(biāo)準(zhǔn)上述安全技術(shù)的實(shí)現(xiàn)依據(jù)、交互接口和評(píng)估準(zhǔn)
16、則。2 組織體系機(jī)構(gòu)決策層:明確總體目標(biāo)、決定重大事宜。管理層:根據(jù)決策層的決定全面規(guī)劃、制定策略、設(shè)置崗位、協(xié)調(diào)各方、處理事件等。執(zhí)行層:按照管理層的要求和規(guī)定執(zhí)行某一個(gè)或某幾個(gè)特定安全事務(wù)。崗位負(fù)責(zé)某一個(gè)或某幾個(gè)特定安全事務(wù)的職位。人事負(fù)責(zé)崗位上人員管理的部門。3 管理體系法律根據(jù)國(guó)家法律和行政法規(guī),強(qiáng)制性約束相關(guān)主體的行為。制度依據(jù)部門的實(shí)際安全需求,具體化法律法規(guī),制定規(guī)章制度,規(guī)范相關(guān)主體的行為。培訓(xùn)培訓(xùn)相關(guān)主體的法律法規(guī)、規(guī)章制度、崗位職責(zé)、操作規(guī)范、專業(yè)技術(shù)等知識(shí),提高其安全意識(shí)、安全技能、業(yè)務(wù)素質(zhì)等。安全服務(wù)GB/T9387.2-1995(ISO7498-2)信息系統(tǒng)-開放系統(tǒng)
17、互連基本參考模型 第2部分:安全體系結(jié)構(gòu)安全服務(wù)(5項(xiàng))鑒別服務(wù)。訪問控制服務(wù)。數(shù)據(jù)完整性服務(wù)。數(shù)據(jù)保密性服務(wù)。 可審查性服務(wù)。網(wǎng)絡(luò)威脅安全服務(wù)假冒攻擊鑒別服務(wù)非授權(quán)侵犯訪問控制服務(wù)竊聽攻擊數(shù)據(jù)保密性服務(wù)完整性破壞數(shù)據(jù)完整性服務(wù)服務(wù)否認(rèn)可審查性服務(wù)拒絕服務(wù)鑒別服務(wù)、訪問控制服務(wù)和數(shù)據(jù)完整性服務(wù)等1. 身份認(rèn)證服務(wù)(又叫身份鑒別服務(wù)) 這是一個(gè)向其他人證明身份的過程,這種服務(wù)可防止實(shí)體假冒或重放以前的連接,即偽造連接初始化攻擊。 身份認(rèn)證是其它安全服務(wù),如授權(quán)、訪問控制和審計(jì)的前提。2.訪問控制服務(wù) 訪問控制是一種限制,控制那些通過通信連接對(duì)主機(jī)和應(yīng)用系統(tǒng)進(jìn)行訪問的能力。訪問控制服務(wù)的基本任務(wù)是
18、防止非法用戶進(jìn)入系統(tǒng)及防止合法用戶對(duì)系統(tǒng)資源的非法訪問使用。 訪問控制和身份認(rèn)證:在一個(gè)應(yīng)用進(jìn)程被授予權(quán)限訪問資源之前,它必須首先通過身份認(rèn)證。3. 數(shù)據(jù)機(jī)密性服務(wù) 數(shù)據(jù)機(jī)密性服務(wù)是指對(duì)數(shù)據(jù)提供安全保護(hù),防止數(shù)據(jù)被未授權(quán)用戶獲知。4. 數(shù)據(jù)完整性服務(wù) 數(shù)據(jù)完整性服務(wù)通過驗(yàn)證或維護(hù)信息的一致性,防止主動(dòng)攻擊,確保收到的數(shù)據(jù)在傳輸過程中沒有被修改、插入、刪除、延遲等。5.不可否認(rèn)服務(wù) 不可否認(rèn)服務(wù)主要是防止通信參與者事后否認(rèn)參與。OSI安全體系結(jié)構(gòu)定義了兩種不可否認(rèn)服務(wù):發(fā)送的不可否認(rèn)服務(wù);接收的不可否認(rèn)服務(wù)。安全機(jī)制GB/T9387.2-1995(ISO7498-2)信息系統(tǒng)-開放系統(tǒng)互連基本參
19、考模型 第2部分:安全體系結(jié)構(gòu)安全機(jī)制數(shù)字加密機(jī)制數(shù)字簽名機(jī)制數(shù)據(jù)完整性機(jī)制訪問控制機(jī)制鑒別交換機(jī)制業(yè)務(wù)流填充機(jī)制路由控制機(jī)制公證機(jī)制1.數(shù)據(jù)加密機(jī)制(Encryption Mechanisms)通過對(duì)數(shù)據(jù)進(jìn)行編碼來保證數(shù)據(jù)的機(jī)密性,以防數(shù)據(jù)在存儲(chǔ)或傳輸過程中被竊取。2.數(shù)字簽名機(jī)制(Digital Signature Mechanisms)發(fā)信人用自己的私鑰通過簽名算法對(duì)原始數(shù)據(jù)進(jìn)行數(shù)字簽名運(yùn)算得到數(shù)字簽名。收信人可以用發(fā)信人的公鑰及收到的數(shù)字簽名來校驗(yàn)收到的數(shù)據(jù)是否是由發(fā)信人發(fā)出的,是否被其它人修改過。3.訪問控制機(jī)制(Access Control Mechanisms)網(wǎng)絡(luò)安全防護(hù)的核心
20、策略,它的主要任務(wù)是按事先確定的規(guī)則決定主體對(duì)客體的訪問是否合法,以保護(hù)網(wǎng)絡(luò)系統(tǒng)資源不被非法訪問和使用。訪問控制信息庫(kù)鑒別信息權(quán)利安全標(biāo)記4.數(shù)據(jù)完整性機(jī)制(Data Integrity Mechanisms)數(shù)據(jù)完整性機(jī)制是指通過數(shù)字加密保證數(shù)據(jù)不被篡改。(1)單個(gè)數(shù)據(jù)單元或字段的完整性發(fā)送實(shí)體給數(shù)據(jù)單元附加一個(gè)量接收實(shí)體產(chǎn)生一個(gè)相應(yīng)的量(2)數(shù)據(jù)單元流或字段流的完整性還需要某種明顯的排序形式,如:順序號(hào)、時(shí)間標(biāo)記等5.認(rèn)證交換機(jī)制(Authentication Mechanisms)通過信息交換來確保實(shí)體身份的機(jī)制,即通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份,以及認(rèn)證數(shù)據(jù)在傳送過程中是
21、否被篡改;主要有站點(diǎn)認(rèn)證、報(bào)文認(rèn)證、用戶和進(jìn)程的認(rèn)證等方式。使用鑒別信息(如口令),由發(fā)送實(shí)體提供而由接收實(shí)體驗(yàn)證密碼技術(shù)使用該實(shí)體的特征或占有物6.通信流量填充機(jī)制(Traffic Padding Mechanisms) 由保密裝置在無數(shù)據(jù)傳輸時(shí),連續(xù)發(fā)出偽隨機(jī)序列,使得非法攻擊者不知哪些是有用數(shù)據(jù)、哪些是無用數(shù)據(jù),從而挫敗攻擊者在線路上監(jiān)聽數(shù)據(jù)并對(duì)其進(jìn)行數(shù)據(jù)流分析攻擊。用來提供各種不同級(jí)別的保護(hù),對(duì)抗通信業(yè)務(wù)分析只有在通信業(yè)務(wù)填充受到機(jī)制服務(wù)保護(hù)時(shí)才是有效的7.路由控制機(jī)制(Routing Control Mechanisms) 用于引導(dǎo)發(fā)送者選擇代價(jià)小且安全的特殊路徑,保證數(shù)據(jù)由源節(jié)點(diǎn)出
22、發(fā),經(jīng)最佳路由,安全到達(dá)目的節(jié)點(diǎn)。8.公證機(jī)制(Notarization Mechanisms) 指第三方(公證方)參與的簽名機(jī)制,主要用來對(duì)通信的矛盾雙方因事故和信用危機(jī)導(dǎo)致的責(zé)任糾紛進(jìn)行公證仲裁。公證機(jī)構(gòu)有適用的數(shù)字簽名、加密或完整性公證機(jī)制,當(dāng)實(shí)體相互通信時(shí),公證機(jī)構(gòu)就使用這些機(jī)制進(jìn)行公證。網(wǎng)絡(luò)安全層次模型及各層主要安全機(jī)制分布安全服務(wù)與安全機(jī)制的關(guān)系 協(xié)議層安全服務(wù)加密數(shù)字簽名訪問控制數(shù)據(jù)完整性認(rèn)證交換業(yè)務(wù)流填充公證提供該服務(wù)的層次鑒別對(duì)等實(shí)體鑒別3、4、6數(shù)據(jù)源發(fā)鑒別3、4、7訪問控制3、4、6、7數(shù)據(jù)保密性連接保密性1、2、3、4、6無連接保密性2、3、4、6選擇字段保密性7業(yè)務(wù)流
23、保密性1、3、7數(shù)據(jù)完整性可恢復(fù)的連接完整性4不可恢復(fù)的連接完整性3、4、6選擇字段的連接完整性6無連接完整性3、4、6選擇字段的無連接完整性6可審查性數(shù)據(jù)源發(fā)證明的可審查性6交付證明的可審查性61 網(wǎng)絡(luò)安全屬性2 網(wǎng)絡(luò)安全保障體系3 網(wǎng)絡(luò)安全防御模型4 風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)3 如何有效實(shí)現(xiàn)網(wǎng)絡(luò)安全防御?主動(dòng)網(wǎng)絡(luò)安全防御模型EvaluationPolicyProtectionRestorationDetectionReaction1. 風(fēng)險(xiǎn)評(píng)估(Evaluation)對(duì)信息系統(tǒng)進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估,這需要對(duì)信息系統(tǒng)應(yīng)用需求、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、外部?jī)?nèi)部環(huán)境、安全威脅、人員、政策法規(guī)、安全技術(shù)等具有全面的
24、了解,并善于應(yīng)用各種方法、手段、工具對(duì)系統(tǒng)風(fēng)險(xiǎn)進(jìn)行人工和自動(dòng)分析,給出全面細(xì)致的風(fēng)險(xiǎn)評(píng)估。2. 制定策略(Policy)安全策略是安全模型的核心,防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)各個(gè)階段都是依據(jù)安全策略實(shí)施的,安全策略為安全管理提供管理方向和支持手段。策略體系的建立包括安全策略的制訂、評(píng)估、執(zhí)行等。3. 實(shí)施保護(hù)(Protection)采用一切可能的方法、技術(shù)和手段防止信息及信息系統(tǒng)遭受安全威脅,減少和降低遭受入侵和攻擊的可能,實(shí)現(xiàn)保密性、完整性、可用性、可控性和不可否認(rèn)性等安全屬性。提高邊界防御能力信息處理環(huán)節(jié)的保護(hù)信息傳輸保護(hù)4. 監(jiān)測(cè)(Detection)在系統(tǒng)實(shí)施保護(hù)之后根據(jù)安全策略對(duì)信息系統(tǒng)實(shí)
25、施監(jiān)控和檢測(cè)。監(jiān)控是對(duì)系統(tǒng)運(yùn)行狀態(tài)進(jìn)行監(jiān)視和控制,發(fā)現(xiàn)異常,并可能作出動(dòng)態(tài)調(diào)整。檢測(cè)是對(duì)已部署的系統(tǒng)及其安全防護(hù)進(jìn)行檢查測(cè)量,是動(dòng)態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù),是強(qiáng)制落實(shí)安全策略的手段。6. 恢復(fù)(Restoration)恢復(fù)可以分為系統(tǒng)恢復(fù)和信息恢復(fù)。系統(tǒng)恢復(fù)是指修補(bǔ)安全事件所利用的系統(tǒng)缺陷,如系統(tǒng)升級(jí)、軟件升級(jí)和打補(bǔ)丁等方法去除系統(tǒng)漏洞或后門。信息恢復(fù)是指恢復(fù)丟失的數(shù)據(jù)。1 網(wǎng)絡(luò)安全屬性2 網(wǎng)絡(luò)安全保障體系3 網(wǎng)絡(luò)安全防御模型4 風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)4 風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)1 等級(jí)保護(hù)2 風(fēng)險(xiǎn)評(píng)估3 系統(tǒng)安全測(cè)評(píng)4 信息系統(tǒng)安全建設(shè)實(shí)施5 網(wǎng)絡(luò)安全原則美國(guó)國(guó)防部可信計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)準(zhǔn)則TCSEC類
26、別級(jí)別名稱主要特征AA1驗(yàn)證設(shè)計(jì)形式化的最高級(jí)描述和驗(yàn)證,形式化的隱藏通道分析,形式化的代碼對(duì)應(yīng)證明BB3安全區(qū)域存取監(jiān)控,高抗?jié)B透能力B2結(jié)構(gòu)化保護(hù)形式化模型/隱通道約束、面向安全的體系結(jié)構(gòu),較好的抗?jié)B透能力B1標(biāo)識(shí)的安全保護(hù)強(qiáng)制存取控制、安全標(biāo)識(shí)CC2受控制的存取控制單獨(dú)用戶的可查性、廣泛的審計(jì)跟蹤C(jī)1自主安全保護(hù)自主存取控制DD低級(jí)保護(hù)系統(tǒng)只為文件和用戶提供安全保護(hù)。最普通的形式是本地操作系統(tǒng),或者是一個(gè)完全沒有保護(hù)的網(wǎng)絡(luò)。GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則第一級(jí):用戶自主保護(hù)級(jí)(相當(dāng)于C1級(jí))第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí)(相當(dāng)于C2級(jí))第三級(jí):安全標(biāo)記保護(hù)級(jí)(相當(dāng)于B
27、1級(jí))第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)(相當(dāng)于B2級(jí))第五級(jí):訪問驗(yàn)證保護(hù)級(jí)(相當(dāng)于B3A1級(jí))1基礎(chǔ)類標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則 (GB 17859-1999)2信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 (GB/T 25058-2010)3應(yīng)用類定級(jí)標(biāo)準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 (GB/T 22240-2008) 4應(yīng)用類建設(shè)標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)基本要求 (GB/T 22239-2008)5信息系統(tǒng)通用安全技術(shù)要求 (GB/T 20271-2006)6信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求 (GB/T 25070-2010)7應(yīng)用類測(cè)評(píng)標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 (GB/T 28448-2012
28、)8信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南 (GB/T 28449-2012)9應(yīng)用類管理標(biāo)準(zhǔn)信息系統(tǒng)安全管理要求 (GB/T 20269-2006)100信息系統(tǒng)安全工程管理要求 (GB/T 20282-2006) 國(guó)家四局辦(公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室、國(guó)務(wù)院信息化工作辦公室) 200466號(hào)關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的實(shí)施意見的通知等級(jí)安全功能保障/有效性國(guó)家管理程度對(duì)象管理技術(shù)一級(jí)基本用戶自主保護(hù)基本保障自主中小企業(yè)二級(jí)必要系統(tǒng)審計(jì)保護(hù)計(jì)劃跟蹤指導(dǎo)一般信息系統(tǒng)三級(jí)體系化安全標(biāo)記保護(hù)良好定義監(jiān)督基礎(chǔ)信息網(wǎng)絡(luò)、政府、大型企業(yè)四級(jí)結(jié)構(gòu)化保護(hù)持續(xù)改進(jìn)強(qiáng)制國(guó)家機(jī)關(guān)重要部門信息系統(tǒng)五級(jí)驗(yàn)
29、證保護(hù)嚴(yán)格監(jiān)控專控國(guó)家核心部門專用系統(tǒng)4 風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)1 等級(jí)保護(hù)2 風(fēng)險(xiǎn)評(píng)估3 系統(tǒng)安全測(cè)評(píng)4 信息系統(tǒng)安全建設(shè)實(shí)施5 網(wǎng)絡(luò)安全原則風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估是安全建設(shè)的出發(fā)點(diǎn),遵循成本/效益平衡原則,通過對(duì)用戶關(guān)心的重要資產(chǎn)(如信息、硬件、軟件、文檔、代碼、服務(wù)、設(shè)備、企業(yè)形象等)的分級(jí)對(duì)安全威脅(如人為威脅、自然威脅等)發(fā)生的可能性及嚴(yán)重性分析,對(duì)系統(tǒng)物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)平臺(tái)、基礎(chǔ)系統(tǒng)平臺(tái)、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理、運(yùn)行措施等方面的安全脆弱性(或稱薄弱環(huán)節(jié))分析,以及已有安全控制措施的確認(rèn),借助定量、定性分析的方法推斷出用戶關(guān)心的重要資產(chǎn)當(dāng)前的安全風(fēng)險(xiǎn),并根據(jù)風(fēng)險(xiǎn)的嚴(yán)重級(jí)別制定風(fēng)險(xiǎn)處理計(jì)劃
30、,確定下一步的安全需求方向。4 風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)1 等級(jí)保護(hù)2 風(fēng)險(xiǎn)評(píng)估3 系統(tǒng)安全測(cè)評(píng)4 信息系統(tǒng)安全建設(shè)實(shí)施5 網(wǎng)絡(luò)安全原則系統(tǒng)安全測(cè)評(píng)系統(tǒng)安全測(cè)評(píng)是指由具備檢驗(yàn)技術(shù)能力和政府授權(quán)資格的權(quán)威機(jī)構(gòu)(如中國(guó)網(wǎng)絡(luò)安全測(cè)評(píng)中心),依據(jù)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)或相關(guān)技術(shù)規(guī)范,按照嚴(yán)格程序?qū)π畔⑾到y(tǒng)的安全保障能力進(jìn)行的科學(xué)公正的綜合測(cè)試評(píng)估活動(dòng),以幫助系統(tǒng)運(yùn)行單位分析系統(tǒng)當(dāng)前的安全運(yùn)行狀況、查找存在的安全問題,并提供安全改進(jìn)建議,從而最大程度地降低系統(tǒng)的安全風(fēng)險(xiǎn)。4 風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)1 等級(jí)保護(hù)2 風(fēng)險(xiǎn)評(píng)估3 系統(tǒng)安全測(cè)評(píng)4 信息系統(tǒng)安全建設(shè)實(shí)施5 網(wǎng)絡(luò)安全原則4 信息系統(tǒng)安全建設(shè)實(shí)施規(guī)劃需求階段:定級(jí)備案、風(fēng)險(xiǎn)評(píng)估。設(shè)計(jì)開發(fā)及實(shí)施階段:系統(tǒng)安全體系結(jié)構(gòu)及詳細(xì)實(shí)施方案的設(shè)計(jì),采購(gòu)和使用,建設(shè)安全設(shè)施,落實(shí)安全技術(shù)措施。第三方機(jī)構(gòu)評(píng)審。運(yùn)行維護(hù)階段:周期性的安全測(cè)評(píng)和安全認(rèn)可。廢棄階段:廢棄處理對(duì)資產(chǎn)的影響、對(duì)信息/硬件/軟件的廢棄處置方面威脅、對(duì)訪問控制方面的弱點(diǎn)進(jìn)行綜合風(fēng)險(xiǎn)評(píng)估。4 風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)1 等級(jí)
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025年度智能家居家居裝修服務(wù)合同范本3篇
- 月下繪館2025年度水泥銷售合同2篇
- 專業(yè)家具搬運(yùn)服務(wù)合同書(2024版)版
- 2025年度電梯門套安全檢測(cè)與隱患排查合同4篇
- 二零二五年度打字員與物流公司勞動(dòng)合同樣本4篇
- 2025年度茶藝表演人才培養(yǎng)與輸送合作協(xié)議4篇
- 二零二五年度公路路面混凝土施工安全協(xié)議范本3篇
- 二零二五年度體育場(chǎng)館設(shè)施維護(hù)承包合同4篇
- 2025版智能餐飲配送服務(wù)合同范本3篇
- 2025年度個(gè)人合伙餐飲業(yè)特許經(jīng)營(yíng)合同3篇
- 重大危險(xiǎn)源的風(fēng)險(xiǎn)評(píng)估模型
- 采購(gòu)支出管理制度
- 兒科護(hù)理安全警示教育課件
- 三年級(jí)下冊(cè)口算天天100題
- 國(guó)家中英文名稱及代碼縮寫(三位)
- 人員密集場(chǎng)所消防安全培訓(xùn)
- 液晶高壓芯片去保護(hù)方法
- 使用AVF血液透析患者的護(hù)理查房
- 拜太歲科儀文檔
- 2021年高考山東卷化學(xué)試題(含答案解析)
- 2020新譯林版高中英語(yǔ)選擇性必修一重點(diǎn)短語(yǔ)歸納小結(jié)
評(píng)論
0/150
提交評(píng)論