CISM信息安全保障基础.解读.pptxVIP

信息安全保障基础 中国信息安全测评中心 课程内容 2 信息安全 保障基础 信息安全 保障框架 国家信息安全 政策法规 知识体：信息安全保障框架 知识域：安全保障框架基础知识 理解信息安全的基本概念 理解信息安全问题产生的根源 掌握信息安全的三个基本要素 理解信息安全保障的定义和内涵 理解信息安全保障模型 了解IATF深度防御思想 理解信息系统面临的典型安全威胁 了解信息安全保障体系的基本要素 3 什么是信息安全？ 安全 Security：事物保持不受损害 4 什么是信息安全？ 不该知道的人，不让他知道！ 5 什么是信息安全？ 信息不能追求残缺美！ 6 什么是信息安全？ 信息要方便、快捷！ 7 什么是信息安全 信息本身的机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保持，即防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。 保密性：确保信息没有非授权的泄漏，不被非授权的个人、组织和计算机程序使用 完整性：确保信息没有遭到篡改和破坏 可用性：确保拥有授权的用户或程序可以及时、正常使用信息 8 为什么会有信息安全问题？ 因为有病毒吗？ 因为有黑客吗？ 因为有漏洞吗？ 这些都是原因， 但没有说到根源 9 信息系统安全问题产生的根源与环节 内因 复杂性导致脆弱性 过程复杂，结构复杂，使用复杂 外因 对手：威胁与破坏 10 内在复杂——过程 信息系统理论 冯-诺伊曼机，在程序与数据的区分上没有确定性的原则 设计 在设计时考虑的优先级中，安全性相对于易用性、代码大小、执行程度等因素被放在次要的位置 实现 由于人性的弱点和程序设计方法学的不完善，软件总是存在BUG 生产与集成 使用与运行维护 11 内在复杂——结构 12 内在复杂——使用 13 安全问题根源—外因来自对手的威胁 14 安全问题根源—外因来自自然的破坏 15 信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础 信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变 从单纯的技术性问题变成事关国家安全的全球性问题。 信息安全和信息安全保障适用于所有技术领域。 硬件 软件 军事计算机通讯指挥控制和情报(C4I)系统，制造工艺控制系统，决策支持系统，电子商务，电子邮件，生物医学系统和智能运输系统(ITS)。 信息安全的地位和作用 16 信息安全发展阶段 17 COMSEC：Communication Security 20世纪，40年代-70年代 核心思想： 通过密码技术解决通信保密，保证数据的保密性和完整性 主要关注传输过程中的数据保护 安全威胁：搭线窃听、密码学分析 安全措施：加密 标志 1949年：shannon发表《保密通信的信息理论》 1977年：美国国家标准局公布数据加密标准DES 1976年：Diffle和Hellman在“New Directions in Cryptography”一文中提出公钥密码体系 通信安全 18 COMPUSEC：Computer Security 20世纪，70-90年代 核心思想： 预防、检测和减小计算机系统（包括软件和硬件）用户（授权和未授权用户）执行的未授权活动所造成的后果。 主要关注于数据处理和存储时的数据保护 。 安全威胁：非法访问、恶意代码、脆弱口令等 安全措施：安全操作系统设计技术（TCB） 标志： 1985年，美国国防部的可信计算机系统评估保障（TCSEC，橙皮书），将操作系统安全分级（D、C1、C2、B1、B2、B3、A1）；后补充红皮书TNI（1987）和TDI（1991），发展为彩虹（rainbow）系列 计算机安全 19 INFOSEC：Information Security 20世纪，90年代后 核心思想： 综合通信安全和计算机安全安全 重点在于保护比“数据”更精炼的“信息”，确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏 。 安全威胁：网络入侵、病毒破坏、信息对抗等 安全措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等 标志 安全评估保障CC（ISO 15408，GB/T 18336） 信息技术安全 20 信息安全保障发展历史 第一次定义：在1996年美国国防部DoD指令5-3600.1（DoDD 5-3600.1）中，美国信息安全界第一次给出了信息安全保障的标准化定义 现在：信息安全保障的概念已逐渐被全世界信息安全领域所接受。 中国：中办发27号文《国家信息化领导小组关于加强信息安全保障工作的意见》，是信息安全保障工作的纲领性文件 信息安全保障发展历史 从通信安全（COMSEC）-〉计算机安全（COMPUSEC）-〉信息系统安全（INFOSEC）-〉信息安全保障（IA） -〉网络空