信息安全保障技术原理与架构体系.pdf

信息安全保障技术原理与架构体系 知识域：信息安全保障原理 知识子域：信息安全的内涵和外延  理解信息安全的特征与范畴  理解信息安全的地位和作用  理解信息安全、信息系统和系统业务使命之间的关 系  理解信息安全的内因：信息系统的复杂性  理解信息安全的外因：人为和环境的威胁 2 信息安全的特征与范畴 信息安全特征  信息安全是系统的安全  信息安全是动态的安全  信息安全是无边界的安全  信息安全是非传统的安全 信息安全的范畴  信息技术问题——技术系统的安全问题  组织管理问题——人+技术系统+组织内部环境  社会问题——法制、舆论  国家安全问题——信息战、虚拟空间 3 信息安全的地位和作用 信息化越重要，信息安全越重要  信息网络成为经济繁荣、社会稳定和国家发展的基础  信息化深刻影响着全球经济的整合、国家战略的调整 和安全观念的转变  从单纯的技术性问题变成事关国家安全的全球性问题 信息安全和信息安全保障适用于所有技术领域。  硬件  软件  军事计算机通讯指挥控制和情报(C4I)系统，制造工 艺控制系统，决策支持系统，电子商务，电子邮件， 生物医学系统和智能运输系统(ITS)。 4 信息安全、系统及业务关系 使命 信息系统 保障 风险 策略 能力 脆弱性 威胁 模型 措施 5 对信息系统的理解 信息: 数据/信息流 计算机网络系统--信息技术系统  执行组织机构信息功能的用于采集、创建、通信、计 算、分发、处理、存储和/或控制数据或信息的计算 机硬件、软件和/或固件的任何组合。 运行环境:包括人员、管理等系统综合的一个整体 6 对保障的理解 ISO/IEC 15408 （CC）中保障被定义为：实体满 足其安全目的的信心基础（Grounds for confidence that an entity meets its security objectives)。 主观:信心 客观:性质（保密性、完整性、可用性） 从客观到主观:能力与水平 7 为什么会有信息安全问题？ 因为有病毒吗？ • 因为有漏洞吗？ 这些都是原因， 但没有说到根源 • 因为有黑客吗？ 8 信息安全问题产生根源 内因，信息系统复杂性  过程复杂  结构复杂  应用复杂 外因：人为和环境  威胁与破坏