马建峰——信息安全保障.pptVIP

Information Assurance信息安全保障 马建峰 教授 西安电子科技大学计算机学院 计算机网络与信息安全教育部重点实验室 Email: jfma@ 提 纲 提 纲 信息安全发展历程（4个阶段） 信息安全发展历程（4个阶段） 提 纲 信息安全保障定义 DoD（美国国防部）的IA定义 信息保障是确保信息和信息系统具有有效性、完整性、可认证性、机密性和不可否认性的保护和防御体系，该体系还包含通过融合保护、检测和反应能力来提供信息系统的恢复功能 Wiki的IA定义 IA是与信息（数字和模拟）或数据的处理、存储、传输以及相关的系统和处理过程中的风险有关的管理体系。 信息安全保障定义 终端用户的IA定义 IA是用于保护信息系统中所存储、处理、传输的私人信息的完整性、机密性 、不可否认性的安全体系 信息系统开发者的IA定义 IA是由资深专业人士从需求分析、系统设计、实施、测试到交付用户使用的完善的开发过程开发出来的，可实现预期的信息存储、保护、传输和处理功能的系统 商业界的IA定义 IA是通过保护商业信息系统中所存储、处理、传输的商业及用户信息，避免在通信、信息共享和协同工作的过程中受到窃取、撰改、拒绝服务等攻击，并且与规章制度、道德、社会责任约束相关的安全体系 IA的本质 有效性、完整性、可认证性、机密性和不可否认性 保护对象范围广泛 策略多样性（人、技术、操作、管理） 我们的理解 IA是一套动态、自适应、可扩展的信息安全综合安全保障体系 该体系不仅包含传统信息安全技术范畴（如机密性、可用性、完整性等），还考虑可恢复性、可扩展性等安全措施，并将人力、技术、资源等融合为一体的制度型安全体系 该体系除了关注技术层面外，还考虑制度、操作、人员管理，重点解决可恢复、可重构等现阶段面临的安全特性，从而实现从信息安全防护战术级到信息安全保障战略级的跨越式发展。 提 纲 AFIT IA模型的关键技术 技术 策略 人员 传输 处理 存储 提 纲 UT Dallas 提供的与IA有关的课程 中国移动网络与信息安全保障体系 电子政务平台安全管理的“1+n+m”模型-上海市宝山区信息委 国内IA现状 成效 建设了一批信息安全基础设施 加强了互连网信息内容安全管理 为维护国家安全与社会稳定、保障和促进信息 化建设健康发展发挥了重要作用 国内IA现状 亟待解决的问题 网络与信息系统的防护水平不高 应急发现能力不强 信息安全管理和技术人才缺乏 关键技术整体上还比较落后 信息安全法律法规和标准不完善 全社会的信息安全保障意识不强 信息安全管理薄弱 展望 加强信息安全管理 加快IA教育培训步伐 发展IS关键技术 扩大IA应用领域 制定完善的信息安全法律法规和标准 提高社会的信息安全保障意识 提 纲 * 为什么在现有安全技术日趋完善、各种应用也日趋成熟的今天，信息安全问题反而日趋严重呢？（各种安全机制健全）美国911事件，墨西哥湾漏油事件国土安全受到威胁 * 国家安全：中国512汶川地震，舟曲县泥石流导致信息中断，国家财产、人员生命受到安全威胁。通过国内外灾害说明信息安全上升到国家安全战略高度 * * 我们主要从内因、外因两个方向来说明问题。我们认为，当前信息安全日趋严重的内存原因是由复杂性导致了信息系统受到更多、更深入的安全威胁。外因则是由于行业间、国家间对手间的激烈激烈竞争，利用不法手段来获取需要信息。另外还有外因是一些不可抗拒因素形成，如硬件故障、电力、自然灾害等。下面我们就内因、外因做下详细分析。 * * 通过这个图示，我们可以很直观的看到，信息系统组成由最早的单人间机，发展到现在包括网络资源、各个局域网络、各种媒介网络，还有各种服务商、运营商等待，涉及人、物、资源、应用、网络等各种资源的组成。目前，我们的信息系统已经渗透到各个行业、各个部门来处理各自独立又彼此相关的信息，由于各自安全策略的不统一、安全管理的不一致等导致的信息安全问题，通过现有人们形成的信息安全管理手段已无法解决。 * 另外，网络结构也日趋复杂：局域网、园区网、互联网、WLAN、3G、物联网等多种网络及网络之间要进行信息互联，如此不断扩大、异构的网络导致现有缺乏统一有效的信息安全防护手段。 软件太复杂：具不完全统计，现有应用于不同领域的各类操作系统的版本就有上万种，而运行在这些操作系统之上的系统、行业软件、应用软件等更是不计其数，此外，从质的角度考虑，为了支撑一个大型行业或服务，其一个软件的代码量都超过千万行。在如此庞大、设计原则、目的又不统一的情况下，进行信息的传输、