《信息安全保障概述》由会员分享,可在线阅读,更多相关《信息安全保障概述(97页珍藏版)》请在金锄头文库上搜索。
1、信息安全保障概述,中国信息安全测评中心,课程内容,2,信息安全保障概述,信息安全保障框架,国家信息安全政策法规,知识体:信息安全保障框架,知识域:安全保障框架基础知识理解信息安全的基本概念理解信息安全保障的意义和内涵;了解信息安全保障工作的总体思路和基本实践方法。知识域:信息安全保障基本实践了解我国信息安全保障工作发展阶段;我国信息安全保障基本原则;我国信息安全保障建设主要内容;我国信息安全保障工作的基本内容。,3,什么是安全?,安全 Security:事物保持不受损害,4,什么是信息安全?,保密!,不该知道的人,不让他知道!,5,什么是信息安全?,完整!,信息不能追求残缺美!,6,什么是信息
2、安全?,可用!,信息要方便、快捷!不能像某国首都二环早高峰,也不能像春运的火车站,7,什么是信息安全,信息本身的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持,即防止防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。,保密性:确保信息没有非授权的泄漏,不被非授权的个人、组织和计算机程序使用完整性:确保信息没有遭到篡改和破坏可用性:确保拥有授权的用户或程序可以及时、正常使用信息,8,为什么会有信息安全问题?,因为有病毒吗?,因为有黑客吗?,因为有漏洞吗?,这些都是原因,但没有说到根源,9,信息系统安全问题产
3、生的根源与环节,内因 复杂性导致脆弱性:过程复杂,结构复杂,使用复杂外因 对手: 威胁与破坏,10,内在复杂过程,信息系统理论冯-诺伊曼机,在程序与数据的区分上没有确定性的原则设计从设计的角度看,在设计时考虑的优先级中安全性相对于易用性、代码大小、执行程度等因素被放在次要的位置实现由于人性的弱点和程序设计方法学的不完善,软件总是存在BUG生产与集成使用与运行维护,11,安全问题根源内因系统越来越复杂,工作计算机,员工在使用,移动介质,内网中的其它系统,单位连接因特网,电话拨号上网,连接其它单位网络,无线网络,12,安全问题根源内因我们使用的网络是开放的,内在复杂使用,14,安全问题根源外因来自
4、对手的威胁,15,安全问题根源外因来自自然的破坏,16,信息安全的范畴,信息技术问题技术系统的安全问题组织管理问题人+技术系统+组织内部环境社会问题法制、舆论国家安全问题信息战、虚拟空间,17,信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变从单纯的技术性问题变成事关国家安全的全球性问题。信息安全和信息安全保障适用于所有技术领域。硬件软件军事计算机通讯指挥控制和情报(C4I)系统,制造工艺控制系统,决策支持系统,电子商务,电子邮件,生物医学系统和智能运输系统(ITS)。,信息安全的地位和作用,18,信息安全发展阶段,19,COM
5、SEC:Communication Security20世纪,40年代-70年代核心思想:通过密码技术解决通信保密,保证数据的保密性和完整性主要关注传输过程中的数据保护 安全威胁:搭线窃听、密码学分析安全措施:加密标志1949年:shannon发表保密通信的信息理论1977年:美国国家标准局公布数据加密标准DES1976年:Diffle和Hellman在“New Directions in Cryptography”一文中提出公钥密码体系,通信安全,20,COMPUSEC:Computer Security20世纪,70-90年代核心思想:预防、检测和减小计算机系统(包括软件和硬件)用户(授权
6、和未授权用户)执行的未授权活动所造成的后果。主要关注于数据处理和存储时的数据保护 。安全威胁:非法访问、恶意代码、脆弱口令等安全措施:安全操作系统设计技术(TCB)标志:1985年,美国国防部的可信计算机系统评估保障(TCSEC,橙皮书),将操作系统安全分级(D、C1、C2、B1、B2、B3、A1);后补充红皮书TNI(1987)和TDI(1991),发展为彩虹(rainbow)系列,计算机安全,21,INFOSEC:Information Security20世纪,90年代后核心思想:综合通信安全和计算机安全安全重点在于保护比“数据”更精炼的“信息”,确保信息在存储、处理和传输过程中免受偶然
7、或恶意的非法泄密、转移或破坏 。安全威胁:网络入侵、病毒破坏、信息对抗等安全措施:防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等标志安全评估保障CC(ISO 15408,GB/T 18336),信息系统安全,22,信息安全保障发展历史,第一次定义:在1996年美国国防部DoD指令5-3600.1(DoDD 5-3600.1)中,美国信息安全界第一次给出了信息安全保障的标准化定义现在:信息安全保障的概念已逐渐被全世界信息安全领域所接受。中国:中办发27号文国家信息化领导小组关于加强信息安全保障工作的意见,是信息安全保障工作的纲领性文件信息安全保障发展历史从通信安全(COMSEC)-计算机安
8、全(COMPUSEC)-信息系统安全(INFOSEC)-信息安全保障(IA) -网络空间安全/信息安全保障(CS/IA) 。,23,IA:Information Assurance今天,将来核心思想:保障信息和信息系统资产,保障组织机构使命的执行;综合技术、管理、过程、人员;确保信息的保密性、完整性和可用性。安全威胁:黑客、恐怖分子、信息战、自然灾难、电力中断等安全措施:技术安全保障体系、安全管理体系、人员意识/培训/教育、认证和认可标志:技术:美国国防部的IATF深度防御战略管理:BS7799/ISO 17799系统认证:美国国防部DITSCAP,信息安全保障,24,网络空间安全/信息安全保
9、障,CS/IA:Cyber Security/Information Assurance2009年,在美国带动下,世界各国信息安全政策、技术和实践等发生重大变革共识:网络安全问题上升到国家安全的重要程度核心思想:从传统防御的信息保障(IA),发展到“威慑”为主的防御、攻击和情报三位一体的信息保障/网络安全(IA/CS)的网空安全网络防御-Defense(运维)网络攻击-Offense(威慑)网络利用-Exploitation(情报),25,2008年1月,布什政府发布了国家网络安全综合倡议(CNCI),号称网络安全“曼哈顿项目”,提出威慑概念,其中包括爱因斯坦计划、情报对抗、供应链安全、超越未
10、来(“Leap-Ahead”)技术战略2009年5月29日发布了网络空间政策评估:确保信息和通讯系统的可靠性和韧性报告 2009年6月25日,英国推出了首份“网络安全战略”,并将其作为同时推出的新版国家安全战略的核心内容2009年6月,美国成立网络战司令部12月22日,奥巴马任命网络安全专家担任“网络沙皇”,26,网络空间安全/信息安全保障,从技术角度看信息安全,27,组织机构的使命/业务目标实现越来越依赖于信息系统信息系统成为组织机构生存和发展的关键因素信息系统的安全风险也成为组织风险的一部分为了保障组织机构完成其使命,必须加强信息安全保障,抵抗这些风险。,为什么需要信息安全保障,28,信息
11、安全保障的意义,29,信息安全保障的意义,30,信息安全保障是一种立体保障,31,信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。,信息安全保障定义,32,国家标准:GB/T 20274.1-2006 信息安全技术 信息系统安全保障评估框架 第一部分:简介和一般模型,信息系统安全保障模型-保障评估框架,33,信息系统安全保障模型-IATF,34,安全保障的目标是支持业务,信息安全保障是为了支撑业务
12、高效稳定运行要以安全促发展,在发展中求安全,35,信息安全保障需要持续进行,时时刻刻不放松,如钻石历久弥新,36,信息安全、系统及业务关系,37,信息安全保障,通信安全,数据安全,网络安全,现在人们意识到:技术很重要,但技术不是一切;信息系统很重要,只有服务于组织业务使命才有意义,个人信息可能面临的安全威胁,1、外部人员通过互联网利用木马等攻击手段窃取、篡改或破坏个人计算机中存放的敏感信息;2、外部人员非法接入税务系统内网或直接操作内网计算机窃取、篡改或破坏敏感信息;3、外部人员盗窃笔记本电脑、U盘等移动计算和存储设备窃取敏感信息;4、病毒通过网络或移动介质传播造成个人计算机无法正常使用或数据
13、破坏;5、内部工作人员由于误操作等过失行为导致敏感信息丢失或被破坏;6、内部工作人员由于利益驱使,利用工作之便窃取他人个人计算机中工作敏感信息。,39,案例1,国内最大的影音播放软件暴风影音爆出存在安全漏洞,该漏洞发生在暴风影音II的一个activex控件上,当安装了暴风影音II的用户在浏览黑客精心构造的包含恶意代码的网页后,会下载木马病毒,并以当前用户权限自动运行。 某公司员工违反规定在工作用计算机及上安装了“暴风影音”,上班时间上网浏览新闻。黑客利用木马窃取了该员工计算机及该公司局域网中的部分公司机密。,个人计算机作为税务信息系统的一个组成部分,如果出现安全漏洞,就可能成为信息安全防护的薄
14、弱环节,被窃密或破坏分子利用对整个系统造成破坏。,40,案例2,2001年初,查处了陈学军团伙虚开增值税专用发票案件。主犯套购增值税专用发票10900份,为数百家企业虚开增值税专用发票2800余份,虚开税款共计人民币3.93亿元。陈学军以虚开增值税专用发票罪被判处并已执行死刑;吴芝刚以虚开增值税专用发票罪、巨额财产来源不明罪两罪并罚,一审判处死刑,二审改判死刑缓期执行。,宣判现场,41,案例2(续),3名工作人员在案发过程中,由于思想疏忽大意,没有严格保护个人工作计算机和应用系统的密码和使用权限,为吴芝刚趁工作之便,非法获得计算机密码,为作案行提供了便利。这3名工作人员,因工作严重违规失职也受
15、到严厉的法律追究,根据情节轻重,分别被处以不同程度的刑事处罚。,42,单位信息系统面临的主要安全威胁,网络窃密系统故障、网络攻击和病毒造成系统运行中断系统故障或人为误操作造成数据丢失,43,电话线或其它非法外联,窃密者,个人办公用计算机或外网服务器,风险四:硬件故障或误操作造成数据丢失,风险一:通过互联网搜集我有价值的数据,风险三:病毒泛滥影响正常办公,风险二:利用非法外联或网络控制不严为跳板窃取核心机密,内部核心系统,信息系统面临的典型安全威胁,内往U盘接入互联网,44,案例1:违规上网造成重大失泄密,违规操作泄密,敌对势力窃密,互联网,部队失密案:2003年初,军队某参谋违反规定,使用涉密
16、计算机上因特网,一次窃走1000多份文档资料,影响和损失极为严重。,45,IIS存在unicode漏洞,穿过防火墙,外部网络,内部网络,案例2:某重要网络系统被控制,46,案例3:网络故障造成航班延误和旅客滞留,2006年10月10日13时32分,某公司运营的离港系统发生主机系统文件损坏,导致使用离港系统的航空公司和机场的正常运行产生不同程度影响。经过排查后故障系统于14时16分恢复正常。此次故障造成首都机场、广州机场、深圳机场等机场部分航班延误。,47,什么是信息安全风险,信息和其它资产一样是具有价值的,48,什么是信息安全风险,信息面临着外在的威胁,49,什么是信息安全风险,信息系统存在着脆弱性,50,什么是信息安全风险,外在威胁利用信息系统存在的脆弱性,致其损失或破坏对系统价值造成损害的可能性,
