1-信息安全保障框架.pdf

信息安全保障框架 中国信息安全产品测评认证中心 编号：信息安全保障框架 版本：1.0 日期：2005年9月 目录 信息 1 信息安全保障历史和背景 信息 安全 安全 2 信息系统安全保障评估框架 保障 保障 框架 框架 3 信息系统安全保障建设和评估实践 信息安全保障历史和背景 中国信息安全产品测评认证中心 信息安全保障（IA）发展历史 COMSEC COMPUSEC 信息安全保障（IA） 发展历史 INFOSEC IA 信息安全保障（IA）发展历史 通信安全（COMSEC：Communication Security ） 20世纪，40年代-70年代 通过密码技术解决通信保密，保证数据的保密性和完 整性 安全威胁：搭线窃听、密码学分析 安全措施：加密 标志 • 1949年：shannon发表《保密通信的信息理论》 • 1977年：美国国家标准局公布数据加密标准DES • 1976年：Diffle和Hellman在“New Directions in Cryptography” 一文中提出公钥密码体系 参考资料：Bruce Schneier的“应用密码学-Applied Cryptography” 信息安全保障（IA）发展历史 计算机安全（COMPUSEC：Computer Security ） 20世纪，80-90年代 确保信息系统资产（包括硬件、软件、固件和 通信、存储和处理的信息）保密性、完整性和 可用性的措施和控制 安全威胁：非法访问、脆弱口令等 安全措施：安全操作系统设计技术（TCB ） 标志： • 1995年，美国国防部的可信计算机系统评估保障 （TCSEC，橙皮书），操作系统安全分级（D、 C1、C2、B1、B2、B3、A1 ）；后发展为彩虹 （rainbow）系列 信息安全保障（IA）发展历史 信息系统安全 （INFOSEC：Information System Security） 20世纪，90年代后 综合通信安全和信息系统安全 保护信息系统，确保信息在存储、处理和传输 过程中免受非授权的访问，防止授权用户的拒 绝服务，以及包括那些检测、记录和对抗此类 威胁的措施。 安全威胁：网络入侵、信息对抗等 安全措施：防火墙、防病毒、PKI、VPN等 标志 • 安全评估保障CC （ISO 15408，GB/T 18336 ） 信息安全保障（IA）发展历史 信息安全保障（IA：Information Assurance） 今天，将来。。。 保障信息和信息系统资产，保障组织机构使命的执 行；综合技术、管理、过程、人员；确保信息的保密 性、完整性和可用性。 安全威胁：黑客、恐怖分子、信息战、自然灾难、电 力中断等 安全措施：技术安全保障体系、安全管理体系、人员 意识/培训/教育、认证和认可 标志：