CISP0101信息安全保障_v30.pptxVIP

信息安全保障版本：3.0发布日期：2014-12-1生效日期：2015-1-1讲师姓名：陈阳怀主办单位：中国信息安全测评中心培训单位：联系邮箱：chenyanghuai@信息安全保障信息安全问题根源信息系统安全保障模型信息技术与信息安全发展阶段信息系统安全保障信息安全保障相关模型信息安全内涵与外延课程内容信息安全保障背景信息安全保障基础信息安全保障概念与模型信息系统安全保障概念与模型知识子域知识域知识体知识域：信息安全保障背景知识子域：信息安全内涵和外延理解信息安全基本概念，理解信息安全基本属性：保密性、完整性和可用性理解信息安全的特征与范畴知识子域：信息安全问题根源理解信息安全问题产生的内因是信息系统自身存在脆弱性理解信息安全问题产生的外因是信息系统面临着众多威胁信息与信息安全信息: 数据/信息流信息安全保密性完整性可用性信息的以上三个基本安全属性习惯上简称为CIA（Confidentiality-Integrity-Availability）。信息安全的特征与范畴信息安全特征信息安全是系统的安全信息安全是动态的安全信息安全是无边界的安全信息安全是非传统的安全信息安全的范畴信息技术问题——技术系统的安全问题组织管理问题——人+技术系统+组织内部环境社会问题——法制、舆论国家安全问题——信息战、虚拟空间因为有病毒吗？因为有漏洞吗？这些都是原因，但没有说到根源因为有黑客吗？信息安全问题产生根源内因：信息系统自身存在脆弱性过程复杂结构复杂应用复杂外因：威胁与破坏人为和环境内在复杂-过程系统理论：在程序与数据上存在“不确定性”设计：从设计的角度看，在设计时考虑的优先级中安全性相对于易用性、代码大小、执行程度等因素被放在次要的位置实现：由于人性的弱点和程序设计方法学的不完善，软件总是存在BUG。使用、运行：人为的无意失误、人为的恶意攻击如：无意的文件删除、修改主动攻击：利用病毒、入侵工具实施的操作被动攻击：监听、截包维护 技术体系中安全设计和实现的不完整。 技术管理或组织管理的不完善，给威胁提供了机会。内在复杂-结构工作站中存在信息数据员工移动介质网络中其他系统网络中其他资源访问Internet访问其他局域网到Internet的其他路由电话和调制解调器开放的网络端口远程用户厂商和合同方的访问访问外部资源公共信息服务运行维护环境内在复杂-使用外因—人为的威胁外因—自然威胁知识域：信息安全保障背景知识子域：信息技术与信息安全发展阶段了解通信、计算机、网络和网络化社会等阶段信息技术的发展概况了解信息技术和网络对经济发展、社会稳定及国家安全等方面的影响了解通信安全、计算机安全、信息系统安全和信息安全保障等阶段信息安全的发展概况，了解各个阶段信息安全面临的主要威胁和防护措施信息安全保障网络空间安全/信息安全保障信息系统安全通信（电报\电话）COMSEC通信安全COMPUSEC计算机安全INFOSEC网络IACS/IA计算机网络化社会信息安全发展阶段解决传输数据安全斯巴达人的智慧：公元前500年，斯巴达人把一条羊皮螺旋形地缠在一个圆柱形棒上写数据现代人的智慧：20世纪，40年代-70年代通过密码技术解决通信保密，内容篡改通信安全COMSEC：Communication Security20世纪，40年代-70年代核心思想：通过密码技术解决通信保密，保证数据的保密性和完整性主要关注传输过程中的数据保护 安全威胁：搭线窃听、密码学分析安全措施：加密计算机安全COMPUSEC：Computer Security20世纪，70-90年代核心思想：预防、检测和减小计算机系统（包括软件和硬件）用户（授权和未授权用户）执行的未授权活动所造成的后果。主要关注于数据处理和存储时的数据保护 。安全威胁：非法访问、恶意代码、脆弱口令等安全措施：通过操作系统的访问控制技术来防止非授权用户的访问信息系统安全INFOSEC：Information Security20世纪，90年代后核心思想：综合通信安全和计算机安全安全重点在于保护比“数据”更精炼的“信息”，确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏 。安全威胁：网络入侵、病毒破坏、信息对抗等安全措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等网络化社会新世纪信息技术应用于人类社会的方方面面军事经济文化……现在人们意识到：技术很重要，但技术不是一切；信息系统很重要，只有服务于组织业务使命才有意义信息安全保障IA：Information Assurance今天，将来……核心思想：信息安全从技术扩展到管理，从静态扩展到动态通过技术、管理和工程等措施的综合融合，形成对信息、信息系统乃至业务使命的保障。安全威胁：黑客、恐怖分子、信息战、自然灾难、电力中断等安全措施：技术安全保障体系、安全管理体系