《CISP0101信息安全保障基本知识》由会员分享,可在线阅读,更多相关《CISP0101信息安全保障基本知识(95页珍藏版)》请在金锄头文库上搜索。
1、信息安全保障基本知识中启航国际信息技术(北京)有限公司 秦俊 联系电话:13301325283 010-51319983课程内容2知识域:信息安全保障背景v知识子域:信息技术发展阶段 了解电报/电话、计算机、网络等阶段信息技术发 展概况 了解信息化和网络对个人、企事业单位和社会团体 、经济发展、社会稳定、国家安全等方面的影响: 3信息技术发展阶段网络化社会网络计算机通信 (电报电话)4信息技术的发展电报电话通信计算机加工存储网络互联时代5早期的通信方式 人类开始信息的通信,信息安全的历史就开始 了 公元前500年,斯巴达人用于加解密的一种军事设 备。发送者把一条羊皮螺旋形地缠在一个圆柱形 棒上
2、。6电报电话技术v20世纪,40年代-70年代 通过密码技术解决通信保密,内容篡改转轮密码机ENIGMA,1944年装备德国海 军以二战时 期真实历 史为背景 的,关于 电报密文 窃听和密 码破解的 故事7计算机与网络技术v20世纪,70-90年代后期,计算机和网络改变了一 切 确保信息在网络信息系统中的存储、处理和传输过 程中免受非授权的访问,防止授权用户的拒绝服务8网络化社会v新世纪信息技术应用于人类社会的方方面面 v军事 v经济 v文化 v。v现在人们意识到:技术很重要,但技术不是一切 ;信息系统很重要,只有服务于组织业务使命才 有意义9v 对个人 人需要信息化还是信息化“绑架”人? v
3、 对企事业单位和社会团体 组织依赖信息化还是信息化成就组织? v 对经济发展 经济发展带动了信息技术还是信息技术促进了经济发展? v 对社会稳定 信息化的发展对社会稳定的影响是正面的还是负面的? v 对国家安全 信息化是国家安全的利器还是祸害? v没有标准答案,但值得思考如何看待网络与信息化10知识域:信息安全保障背景v知识子域:信息安全发展阶段 了解通信保密、计算机安全和信息安全保障 了解各个阶段信息安全面临的主要威胁和防护措施11信息安全发展阶段COMSEC通信安全COMPUSEC计算机安全INFOSEC信息系统安全IA信息安全保障12CS/IA网络空间安全/信息安全保障信息安全保障发展历
4、史v 第一次定义:在1996年美国国防部DoD指令5-3600.1( DoDD 5-3600.1)中,美国信息安全界第一次给出了信息 安全保障的标准化定义 v 现在:信息安全保障的概念已逐渐被全世界信息安全领域 所接受。 v 中国:中办发27号文国家信息化领导小组关于加强信息 安全保障工作的意见,是信息安全保障工作的纲领性文 件 v 信息安全保障发展历史 从通信安全(COMSEC)-计算机安全(COMPUSEC)-信息 系统安全(INFOSEC)-信息安全保障(IA) -网络空间 安全/信息安全保障(CS/IA) 。13v COMSEC:Communication Security v 20世
5、纪,40年代-70年代 核心思想: 通过密码技术解决通信保密,保证数据的保密性和完整 性 主要关注传输过程中的数据保护 安全威胁:搭线窃听、密码学分析 安全措施:加密 标志 1949年:shannon发表保密通信的信息理论 1977年:美国国家标准局公布数据加密标准DES 1976年:Diffle和Hellman在“New Directions in Cryptography”一文中提出公钥密码体系通信安全14v COMPUSEC:Computer Security v 20世纪,70-90年代 核心思想: 预防、检测和减小计算机系统(包括软件和硬件)用户 (授权和未授权用户)执行的未授权活动
6、所造成的后果 。 主要关注于数据处理和存储时的数据保护 。 安全威胁:非法访问、恶意代码、脆弱口令等 安全措施:安全操作系统设计技术(TCB) 标志: 1985年,美国国防部的可信计算机系统评估保障(TCSEC ,橙皮书),将操作系统安全分级(D、C1、C2、B1、B2 、B3、A1);后补充红皮书TNI(1987)和TDI(1991) ,发展为彩虹(rainbow)系列计算机安全15v INFOSEC:Information Security v 20世纪,90年代后 核心思想: 综合通信安全和计算机安全安全 重点在于保护比“数据”更精炼的“信息”,确保信息在存 储、处理和传输过程中免受偶然
7、或恶意的非法泄密、转移或 破坏 。 安全威胁:网络入侵、病毒破坏、信息对抗等 安全措施:防火墙、防病毒、漏洞扫描、入侵检测、PKI 、VPN等 标志 安全评估保障CC(ISO 15408,GB/T 18336)信息系统安全16v IA:Information Assurance v 今天,将来 核心思想: 保障信息和信息系统资产,保障组织机构使命的执行; 综合技术、管理、过程、人员; 确保信息的保密性、完整性和可用性。 安全威胁:黑客、恐怖分子、信息战、自然灾难、电力中 断等 安全措施:技术安全保障体系、安全管理体系、人员意识/ 培训/教育、认证和认可 标志: 技术:美国国防部的IATF深度防
8、御战略 管理:BS7799/ISO 17799 系统认证:美国国防部DITSCAP信息安全保障17网络空间安全/信息安全保障v CS/IA:Cyber Security/Information Assurance v 2009年,在美国带动下,世界各国信息安全政策、技术和实践 等发生重大变革 共识:网络安全问题上升到国家安全的重要程度 核心思想:从传统防御的信息保障(IA),发展到“威慑”为主 的防御、攻击和情报三位一体的信息保障/网络安全(IA/CS)的 网空安全 网络防御-Defense(运维) 网络攻击-Offense(威慑) 网络利用-Exploitation(情报)18v 2008年
9、1月,布什政府发布了国家网络安全综合倡议(CNCI) ,号称网络安全“曼哈顿项目”,提出威慑概念,其中包括爱 因斯坦计划、情报对抗、供应链安全、超越未来(“Leap- Ahead”)技术战略 v 2009年5月29日发布了网络空间政策评估:确保信息和通讯 系统的可靠性和韧性报告 v 2009年6月25日,英国推出了首份“网络安全战略”,并将其 作为同时推出的新版国家安全战略的核心内容 v 2009年6月,美国成立网络战司令部 v 12月22日,奥巴马任命网络安全专家担任“网络沙皇” v 19网络空间安全/信息安全保障阶段阶段年代年代安全威胁安全威胁安全措施安全措施通信安全20世纪, 4070年
10、代搭线窃听、 密码学分析加密计算机安全20世纪, 70-90年代非法访问、 恶意代码、 脆弱口令等安全操作系统设计技术(TCB)信息系统安全20世纪, 90年代后网络入侵、 病毒破坏、 信息对抗等防火墙、防病毒、 漏洞扫描、 入侵检测、 PKI、VPN等信息安全保障今天,黑客、恐怖分子、 信息战、 自然灾难、 电力中断等技术安全保障体系、安全管理体 系、 人员意识/培训/教育、认证和认 可网络安全空间/信 息安全保障2009年开始国家安全的高度网络防御 网络攻击 网络利用从技术角度看信息安全20信息安全保障是一种立体保障21知识域:信息安全保障原理v知识子域:信息安全的内涵和外延 理解信息安全
11、的特征与范畴 理解信息安全的地位和作用 理解信息安全、信息系统和系统业务使命之间的关系22v信息安全是系统的安全 v信息安全是动态的安全 v信息安全是无边界的安全 v信息安全是非传统的安全信息安全的特征23“组织内部环境”信息系统安全问题通信安全数据安全技术系统安全问题网络安全社会环境信息安全的范畴v信息技术问题技术系统的安全问题 v组织管理问题人+技术系统+组织内部环境 v社会问题法制、舆论 v国家安全问题信息战、虚拟空间24v信息网络已逐渐成为经济繁荣、社会稳定和国家发展的 基础 v信息化深刻影响着全球经济的整合、国家战略的调整和 安全观念的转变 v从单纯的技术性问题变成事关国家安全的全球
12、性问题。 v信息安全和信息安全保障适用于所有技术领域。 硬件 软件 军事计算机通讯指挥控制和情报(C4I)系统,制造工艺控制系 统,决策支持系统,电子商务,电子邮件,生物医学系统和 智能运输系统(ITS)。信息安全的地位和作用25信息安 全保障 作用益处受益者基础设 施系统人类安 全免受偶然和恶意的 事故造成的死伤个人及家庭、制造商 、经销 商、操作者电信,电力,石油和 天然气,供水,运输 ,应急响应。 环境安 全使环境免受偶然的 和恶意的,永久的 或暂时 的破坏个人,社会,设施 的制造商,经销 商 和操作者电信,电力,石油和 天然气,供水,运输 ,应急响应,政府 财产 安 全使财产 免受偶然
13、的 和恶意的,永久的 或暂时 的损害和破 坏财产 所有者,财产 使用者,制造商, 经销 商电信,电力,石油和 天然气,供水,运输 ,应急响应。信息安全保障的意义26经济稳 定 和安全免受经济损 失,混乱, 物资和服务匮乏的困扰个人,社会,金融机 构,批发、零售企业 ,制造业,本地、全 国、全球贸易。电信,银行与金融,电力 ,石油和天然气,供水, 运输,应急响应,政府。社会稳定免受社会动乱,暴力, 断绝生路,个人安全的 困扰个人,社会电信,银行与金融,电力 ,石油和天然气,供水, 运输,应急响应,政府。隐私a. 个人b. 公司a. 免受身份被窃,财 务损失,隐私被侵犯, 人格损毁,知识产权 被
14、盗的困扰 b. 免受财务损 失,客 户流失,知识产权 被盗 的困扰a.个人,其家庭,其 雇主 b.公司雇员,股东, 业务伙伴电信,银行与金融,电力 ,石油和天然气,供水, 运输,应急响应,政府。国家安全保护对敏感的经济资产 及其他战略资产的获取 与披露个人,社会,相邻国 家,全球贸易伙伴, 跨国公司电信,银行与金融,电力 ,石油和天然气,供水, 运输,应急响应,政府。信息安全保障的意义27措施信息系统统保障风险风险脆弱性威胁胁使命能力策略模型信息安全、系统及业务关系28v信息: 数据/信息流v计算机网络系统-信息技术系统 执行组织机构信息功能的用于采集、创建、通信、计 算、分发、处理、存储和/
15、或控制数据或信息的计算 机硬件、软件和/或固件的任何组合。v运行环境:包括人员、管理等系统综合的一个整体对信息系统的理解29vISO/IEC 15408(CC)中保障被定义为:实体满足 其安全目的的信心基础(Grounds for confidence that an entity meets its security objectives)。 v主观:信心 v客观:性质(保密性、完整性、可用性) v从客观到主观:能力与水平对保障的理解信息安全保障的对 象是信息系统!30v组织需要针对信息系统面临的各种各样的风险,制 定相应的策略来抵抗这些风险 ,以保障组织机构 完成其使命。v风险是指威胁利用
16、资产或一组资产的脆弱性对组织 机构造成伤害的潜在可能。v信息系统安全风险是具体的风险,各个风险要针对 某一特定对象的风险,产生风险的因素主要有信息 系统自身存在的脆弱性和来自系统外部的威胁。对风险的理解31知识域:信息安全保障原理v知识子域:信息安全问题产生的根源 理解信息安全的内因:信息系统的复杂性 理解信息安全的外因:人为和环境的威胁32为什么会有信息安全问题?v因为有病毒吗? 因为有黑客吗? 因为有漏洞吗?这些都是原因, 但没有说到根源33v内因:信息系统复杂性:过程复杂,结构复杂,应用复 杂v外因:人为和环境: 威胁与破坏信息安全问题产生根源34v 系统理论:在程序与数据上存在“不确定性” v 设计:从设计的角度看,在设计时考虑的优先级中安全性 相对于易用性、
