CISP0101信息安全保障基本知识演示课件文.pptVIP

信息安全保障基本知识;课程内容;知识域：信息安全保障背景;信息技术发展阶段;信息技术的发展;早期的通信方式;电报电话技术;计算机与网络技术;网络化社会;对个人 人需要信息化还是信息化“绑架”人？ 对企事业单位和社会团体 组织依赖信息化还是信息化成就组织？ 对经济发展 经济发展带动了信息技术还是信息技术促进了经济发展？ 对社会稳定 信息化的发展对社会稳定的影响是正面的还是负面的？ 对国家安全 信息化是国家安全的利器还是祸害？ 没有标准答案，但值得思考;COMSEC：Communication Security 20世纪，40年代-70年代 核心思想： 通过密码技术解决通信保密，保证数据的保密性和完整性 主要关注传输过程中的数据保护 安全威胁：搭线窃听、密码学分析 安全措施：加密 标志 1949年：shannon发表《保密通信的信息理论》 1977年：美国国家标准局公布数据加密标准DES 1976年：Diffle和Hellman在“New Directions in Cryptography”一文中提出公钥密码体系;COMPUSEC：Computer Security 20世纪，70-90年代 核心思想： 预防、检测和减小计算机系统（包括软件和硬件）用户（授权和未授权用户）执行的未授权活动所造成的后果。 主要关注于数据处理和存储时的数据保护 。 安全威胁：非法访问、恶意代码、脆弱口令等 安全措施：安全操作系统设计技术（TCB） 标志： 1985年，美国国防部的可信计算机系统评估保障（TCSEC，橙皮书），将操作系统安全分级（D、C1、C2、B1、B2、B3、A1）；后补充红皮书TNI（1987）和TDI（1991），发展为彩虹（rainbow）系列;INFOSEC：Information Security 20世纪，90年代后 核心思想： 综合通信安全和计算机安全安全 重点在于保护比“数据”更精炼的“信息”，确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏 。 安全威胁：网络入侵、病毒破坏、信息对抗等 安全措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等 标志 安全评估保障CC（ISO 15408，GB/T 18336）;IA：Information Assurance 今天，将来…… 核心思想： 保障信息和信息系统资产，保障组织机构使命的执行； 综合技术、管理、过程、人员； 确保信息的保密性、完整性和可用性。 安??威胁：黑客、恐怖分子、信息战、自然灾难、电力中断等 安全措施：技术安全保障体系、安全管理体系、人员意识/培训/教育、认证和认可 标志： 技术：美国国防部的IATF深度防御战略 管理：BS7799/ISO 17799 系统认证：美国国防部DITSCAP;网络空间安全/信息安全保障;2008年1月，布什政府发布了国家网络安全综合倡议（CNCI），号称网络安全“曼哈顿项目”，提出威慑概念，其中包括爱因斯坦计划、情报对抗、供应链安全、超越未来（“Leap-Ahead”）技术战略 2009年5月29日发布了《网络空间政策评估：确保信息和通讯系统的可靠性和韧性》报告 2009年6月25日，英国推出了首份“网络安全战略”，并将其作为同时推出的新版《国家安全战略》的核心内容 2009年6月，美国成立网络战司令部 12月22日，奥巴马任命网络安全专家担任“网络沙皇” …;阶段;信息安全保障是一种立体保障;知识域：信息安全保障原理;信息安全是系统的安全 信息安全是动态的安全 信息安全是无边界的安全 信息安全是非传统的安全 ;;信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础 信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变 从单纯的技术性问题变成事关国家安全的全球性问题。 信息安全和信息安全保障适用于所有技术领域。 硬件 软件 军事计算机通讯指挥控制和情报(C4I)系统，制造工艺控制系统，决策支持系统，电子商务，电子邮件，生物医学系统和智能运输系统(ITS)。 ;信息安全保障作用;经济稳定和安全;;信息: 数据/信息流 计算机网络系统--信息技术系统 执行组织机构信息功能的用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的任何组合。 运行环境:包括人员、管理等系统综合的一个整体;ISO/IEC 15408（CC）中保障被定义为：实体满足其安全目的的信心基础（Grounds for confidence that an entity meets its security objectives)。 主观:信心 客观:性质（保密性、完整性、可用性） 从客观到主观: 能力与水平 ;组织需要针对信息系统面临的各种各样的风险，制定相应的