CISP0101信息安全保障.pptx

信息安全保障;课程内容;知识域：信息安全保障背景;;电报电话;COMSEC：Communication Security 20世纪，40年代-70年代 核心思想： 通过密码技术解决通信保密，保证数据的保密性和完整性 主要关注传输过程中的数据保护 安全威胁：搭线窃听、密码学分析 安全措施：加密 标志 1949年：shannon发表《保密通信的信息理论》 1977年：美国国家标准局公布数据加密标准DES 1976年：Diffle和Hellman在“New Directions in Cryptography”一文中提出公钥密码体系;COMPUSEC：Computer Security 20世纪，70-90年代 核心思想： 预防、检测和减小计算机系统（包括软件和硬件）用户（授权和未授权用户）执行的未授权活动所造成的后果。 主要关注于数据处理和存储时的数据保护 。 安全威胁：非法访问、恶意代码、脆弱口令等 安全措施：安全操作系统设计技术（TCB） 标志： 1985年，美国国防部的可信计算机系统评估保障（TCSEC，橙皮书），将操作系统安全分级（D、C1、C2、B1、B2、B3、A1）；后补充红皮书TNI（1987）和TDI（1991），发展为彩虹（rainbow）系列;INFOSEC：Information Security 20世纪，90年代后 核心思想： 综合通信安全和计算机安全安全 重点在于保护比“数据”更精炼的“信息”，确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏 。 安全威胁：网络入侵、病毒破坏、信息对抗等 安全措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等 标志 安全评估保障CC（ISO 15408，GB/T 18336）;网络化社会;IA：Information Assurance 今天，将来…… 核心思想： 保障信息和信息系统资产，保障组织机构使命的执行； 综合技术、管理、过程、人员； 确保信息的保密性、完整性和可用性。 安全威胁：黑客、恐怖分子、信息战、自然灾难、电力中断等 安全措施：技术安全保障体系、安全管理体系、人员意识/培训/教育、认证和认可 标志： 技术：美国国防部的IATF深度防御战略 管理：BS7799/ISO 17799 系统认证：美国国防部DITSCAP;网络空间安全/信息安全保障;信息安全保障发展历史;2008年1月，布什政府发布了国家网络安全综合倡议（CNCI），号称网络安全“曼哈顿项目”，提出威慑概念，其中???括爱因斯坦计划、情报对抗、供应链安全、超越未来（“Leap-Ahead”）技术战略 2009年5月29日发布了《网络空间政策评估：确保信息和通讯系统的可靠性和韧性》报告 2009年6月25日，英国推出了首份“网络安全战略”，并将其作为同时推出的新版《国家安全战略》的核心内容 2009年6月，美国成立网络战司令部 12月22日，奥巴马任命网络安全专家担任“网络沙皇” 2011年5月，美国发布《网络空间国际战略》，明确了针对网络攻击的指导原则 …;信息安全保障是一种立体保障;知识域：信息安全保障原理;信息安全特征 信息安全是系统的安全 信息安全是动态的安全 信息安全是无边界的安全 信息安全是非传统的安全 信息安全的范畴 信息技术问题——技术系统的安全问题 组织管理问题——人+技术系统+组织内部环境 社会问题——法制、舆论 国家安全问题——信息战、虚拟空间;信息化越重要，信息安全越重要 信息网络成为经济繁荣、社会稳定和国家发展的基础 信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变 从单纯的技术性问题变成事关国家安全的全球性问题 信息安全和信息安全保障适用于所有技术领域。 硬件 软件 军事计算机通讯指挥控制和情报(C4I)系统，制造工艺控制系统，决策支持系统，电子商务，电子邮件，生物医学系统和智能运输系统(ITS)。 ;;信息: 数据/信息流 计算机网络系统--信息技术系统 执行组织机构信息功能的用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的任何组合。 运行环境:包括人员、管理等系统综合的一个整体;ISO/IEC 15408（CC）中保障被定义为：实体满足其安全目的的信心基础（Grounds for confidence that an entity meets its security objectives)。 主观:信心 客观:性质（保密性、完整性、可用性） 从客观到主观:能力与水平 ;为什么会有信息安全问题？;内因，信息系统复杂性 过程复杂 结构复杂 应用复杂 外因：人为和环境 威胁与破坏 ;系统理论：在程序与数据上存在“不确定性” 设计：从设计的角度看，在设计时考虑的优先级中安全性相