信息安全保障概述.ppt

信息平安保障概述;课程内容;知识体：信息平安保障框架;什么是平安？;什么是信息平安？;什么是信息平安？;什么是信息平安？;什么是信息平安;为什么会有信息平安问题？;信息系统平安问题产生的根源与环节;内在复杂——过程;平安问题根源—内因系统越来越复杂;平安问题根源—内因我们使用的网络是开放的;内在复杂——使用;平安问题根源—外因来自对手的威胁;平安问题根源—外因来自自然的破坏;信息平安的范畴;信息网络已逐渐成为经济繁荣、社会稳定和国家开展的根底

信息化深刻影响着全球经济的整合、国家战略的调整和平安观念的转变

从单纯的技术性问题变成事关国家平安的全球性问题。

信息平安和信息平安保障适用于所有技术领域。

硬件

软件

军事计算机通讯指挥控制和情报(C4I)系统，制造工艺控制系统，决策支持系统，电子商务，电子邮件，生物医学系统和智能运输系统(ITS)。;信息平安开展阶段;COMSEC：CommunicationSecurity

20世纪，40年代-70年代

核心思想：

通过密码技术解决通信保密，保证数据的保密性和完整性

主要关注传输过程中的数据保护

平安威胁：搭线窃听、密码学分析

平安措施：加密

标志

1949年：shannon发表?保密通信的信息理论?

1977年：美国国家标准局公布数据加密标准DES

1976年：Diffle和Hellman在“NewDirectionsinCryptography〞一文中提出公钥密码体系;COMPUSEC：ComputerSecurity

20世纪，70-90年代

核心思想：

预防、检测和减小计算机系统〔包括软件和硬件〕用户〔授权和未授权用户〕执行的未授权活动所造成的后果。

主要关注于数据处理和存储时的数据保护。

平安威胁：非法访问、恶意代码、脆弱口令等

平安措施：平安操作系统设计技术〔TCB〕

标志：

1985年，美国国防部的可信计算机系统评估保障〔TCSEC，橙皮书〕，将操作系统平安分级〔D、C1、C2、B1、B2、B3、A1〕；后补充红皮书TNI〔1987〕和TDI〔1991〕，开展为彩虹〔rainbow〕系列;INFOSEC：InformationSecurity

20世纪，90年代后

核心思想：

综合通信平安和计算机平安平安

重点在于保护比“数据〞更精炼的“信息〞，确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏??

平安威胁：网络入侵、病毒破坏、信息对抗等

平安措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等

标志

平安评估保障CC〔ISO15408，GB/T18336〕;信息平安保障开展历史;IA：InformationAssurance

今天，将来……

核心思想：

保障信息和信息系统资产，保障组织机构使命的执行；

综合技术、管理、过程、人员；

确保信息的保密性、完整性和可用性。

平安威胁：黑客、恐怖分子、信息战、自然灾难、电力中断等

平安措施：技术平安保障体系、平安管理体系、人员意识/培训/教育、认证和认可

标志：

技术：美国国防部的IATF深度防御战略

管理：BS7799/ISO17799

系统认证：美国国防部DITSCAP;网络空间平安/信息平安保障;2021年1月，布什政府发布了国家网络平安综合建议〔CNCI〕，号称网络平安“曼哈顿工程〞，提出威慑概念，其中包括爱因斯坦方案、情报对抗、供给链平安、超越未来〔“Leap-Ahead〞〕技术战略

2021年5月29日发布了?网络空间政策评估：确保信息和通讯系统的可靠性和韧性?报告

2021年6月25日，英国推出了首份“网络平安战略〞，并将其作为同时推出的新版?国家平安战略?的核心内容

2021年6月，美国成立网络战司令部

12月22日，奥巴马任命网络平安专家担任“网络沙皇〞

…;阶段;;信息安全保障作用;经济稳定和安全;信息平安保障是一种立体保障;信息系统平安保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的平安保障策略，从技术、管理、工程和人员等方面提出平安保障要求，确保信息系统的保密性、完整性和可用性，降低平安风险到可接受的程度，从而保障系统实现组织机构的使命。;国家标准：?GB/T20274.1-2006信息平安技术信息系统平安保障评估框架第一局部：简介和一般模型?;;平安保障的目标是支持业务;信息平安保障需要持续进行;;信息平安保障;个人信息可能面临的平安威胁;案例1;案例2;案例2〔续〕;单位信息系统面临的主要平安威胁;;案例1：违规上网造成重大失泄密;IIS存在unicode漏洞;案例3：网络故障造成航班延误和旅客滞留;什么是信息平安风险;什么是信息平安风险;什么是信息平安风险;什么是信息平安风险;信息系统平安