信息安全保障概述研讨.pptx

信息安全保障概述中国信息安全测评中心课程内容2信息安全保障概述信息安全保障框架国家信息安全政策法规知识体：信息安全保障框架知识域：安全保障框架基础知识理解信息安全的基本概念理解信息安全保障的意义和内涵；了解信息安全保障工作的总体思路和基本实践方法。知识域：信息安全保障基本实践了解我国信息安全保障工作发展阶段；我国信息安全保障基本原则；我国信息安全保障建设主要内容；我国信息安全保障工作的基本内容。3什么是安全？安全Security：事物保持不受损害4什么是信息安全？不该知道的人，不让他知道！5什么是信息安全？信息不能追求残缺美！6什么是信息安全？信息要方便、快捷！不能像某国首都二环早高峰，也不能像春运的火车站7什么是信息安全信息本身的机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保持，即防止防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。保密性：确保信息没有非授权的泄漏，不被非授权的个人、组织和计算机程序使用完整性：确保信息没有遭到篡改和破坏可用性：确保拥有授权的用户或程序可以及时、正常使用信息8为什么会有信息安全问题？因为有病毒吗？因为有黑客吗？因为有漏洞吗？这些都是原因，但没有说到根源9信息系统安全问题产生的根源与环节内因复杂性导致脆弱性：过程复杂，结构复杂，使用复杂外因对手:威胁与破坏10内在复杂——过程信息系统理论冯-诺伊曼机，在程序与数据的区分上没有确定性的原则设计从设计的角度看，在设计时考虑的优先级中安全性相对于易用性、代码大小、执行程度等因素被放在次要的位置实现由于人性的弱点和程序设计方法学的不完善，软件总是存在BUG生产与集成使用与运行维护11安全问题根源—内因系统越来越复杂12安全问题根源—内因我们使用的网络是开放的内在复杂——使用14安全问题根源—外因来自对手的威胁15安全问题根源—外因来自自然的破坏16信息安全的范畴信息技术问题——技术系统的安全问题组织管理问题——人+技术系统+组织内部环境社会问题——法制、舆论国家安全问题——信息战、虚拟空间17信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变从单纯的技术性问题变成事关国家安全的全球性问题。信息安全和信息安全保障适用于所有技术领域。硬件软件军事计算机通讯指挥控制和情报(C4I)系统，制造工艺控制系统，决策支持系统，电子商务，电子邮件，生物医学系统和智能运输系统(ITS)。信息安全的地位和作用18信息安全发展阶段19COMSEC：CommunicationSecurity20世纪，40年代-70年代核心思想：通过密码技术解决通信保密，保证数据的保密性和完整性主要关注传输过程中的数据保护安全威胁：搭线窃听、密码学分析安全措施：加密标志1949年：shannon发表《保密通信的信息理论》1977年：美国国家标准局公布数据加密标准DES1976年：Diffle和Hellman在“NewDirectionsinCryptography”一文中提出公钥密码体系通信安全20COMPUSEC：ComputerSecurity20世纪，70-90年代核心思想：预防、检测和减小计算机系统（包括软件和硬件）用户（授权和未授权用户）执行的未授权活动所造成的后果。主要关注于数据处理和存储时的数据保护。安全威胁：非法访问、恶意代码、脆弱口令等安全措施：安全操作系统设计技术（TCB）标志：1985年，美国国防部的可信计算机系统评估保障（TCSEC，橙皮书），将操作系统安全分级（D、C1、C2、B1、B2、B3、A1）；后补充红皮书TNI（1987）和TDI（1991），发展为彩虹（rainbow）系列计算机安全21INFOSEC：InformationSecurity20世纪，90年代后核心思想：综合通信安全和计算机安全安全重点在于保护比“数据”更精炼的“信息”，确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏。安全威胁：网络入侵、病毒破坏、信息对抗等安全措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等标志安全评估保障CC（ISO15408，GB/T18336）信息系统安全22信息安全保障发展历史第一次定义：在1996年美国国防部DoD指令5-3600.1（DoDD5-3600.1）中，美国信息安全界第一次给出了信息安全保障的标准化定义现在：信息安全保障的概念已逐渐被全世界信息安全领域所接受。中国：中办发27号文《国家信息化领导小组关于加强信息安全保障工作的意见》，是信息安全保障工作的纲领性文件信息安全保障发展历史从通信安全（COMSEC）-〉计算机安全（COMPUSEC）-〉信息系统安全（INFOSEC