CISP0101信息安全保障.ppt

信息安全保障

课程内容

2

知识域：信息安全保障背景

v知识子域：信息安全发展阶段

§了解电报/电话、计算机、网络等阶段信息技术发

展概况及各阶段信息安全面临的主要威胁和防护措

施

§了解信息化和网络对个人、企事业单位和社会团体

、经济发展、社会稳定、国家安全等方面的影响及

信息安全保障的概念

3

信息安全发展阶段

通信

COMSEC通信安全

（电报\电话）

COMPUSEC计算机安全

计算机

信息系统安全

INFOSEC信息安全保障网络空间安全/信息安全保障

网络

IA网络化C社S会/IA

4

电报电话

v解决传输数据安全

§斯巴达人的智慧：公元前500年，斯巴达人把一

条羊皮螺旋形地缠在一个圆柱形棒上写数据

§现代人的智慧：20世纪，40年代-70年代通过密

码技术解决通信保密，内容篡改

5

通信安全

vCOMSEC：CommunicationSecurity

v20世纪，40年代-70年代

§核心思想：

•通过密码技术解决通信保密，保证数据的保密性和完整

性

•主要关注传输过程中的数据保护

§安全威胁：搭线窃听、密码学分析

§安全措施：加密

§标志

•1949年：shannon发表《保密通信的信息理论》

•1977年：美国国家标准局公布数据加密标准DES

•1976年：Diffle和Hellman在“NewDirectionsin

Cryptography”一文中提出公钥密码体系

6

计算机安全

vCOMPUSEC：ComputerSecurity

v20世纪，70-90年代

§核心思想：

•预防、检测和减小计算机系统（包括软件和硬件）用户

（授权和未授权用户）执行的未授权活动所造成的后果

。

•主要关注于数据处理和存储时的数据保护。

§安全威胁：非法访问、恶意代码、脆弱口令等

§安全措施：安全操作系统设计技术（TCB）

§标志：

•1985年，美国国防部的可信计算机系统评估保障（TCSEC

，橙皮书），将操作系统安全分级（D、C1、C2、B1、B2

、B3、A1）；后补充红皮书TNI（1987）和TDI（1991）

，发展为彩虹（rainbow）系列

7

信息系统安全

vINFOSEC：InformationSecurity

v20世纪，90年代后

§核心思想：

•综合通信安全和计算机安全安全

•重点在于保护比“数据”更精炼的“信息”，确保信息在存

储、处理和传输过程中免受偶然或恶意的非法泄密、转移或

破坏。

§安全威胁：网络入侵、病毒破坏、信息对抗等

§安全措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI

、VPN等

§标志

•安全评估保障CC（ISO15408，GB/T18336）

8

网络化社会

v新世纪信息技术应用于人类社会的方方面面

§军事

§经济

§文化

§……

v现在人们意识到：技术很重要，但技术不是一

切；信息系统很重要，只有服务于组织业务使

命才有意义

9

信息安全保障

vIA：InformationAssurance

v今天，将来……

§核心思想：

•保障信息和信息系统资产，保障组织机构使命的执行；

•综合技术、管理、过程、人员；

•确保信息的保密性、完整性和可用性。

§安全威胁：黑客、恐怖分子、信息战、自然灾难、电力中

断等

§安全措施：技术安全保障体系、安全管理体系、人