《CISP全套培训课件(1740页)》由会员分享,可在线阅读,更多相关《CISP全套培训课件(1740页)(1740页珍藏版)》请在金锄头文库上搜索。
1、信息安全保障信息安全保障课程内容课程内容2知识域:信息安全保障背景知识域:信息安全保障背景v知识子域:信息安全发展阶段了解电报/电话、计算机、网络等阶段信息技术发展概况及各阶段信息安全面临的主要威胁和防护措施了解信息化和网络对个人、企事业单位和社会团体、经济发展、社会稳定、国家安全等方面的影响及信息安全保障的概念3网络化社会网络化社会网络网络计算机计算机通信通信(电报(电报电话)电话)信息安全发展阶段信息安全发展阶段4COMSEC通信安全COMPUSEC计算机安全INFOSEC信息系统安全IA信息安全保障CS/IA网络空间安全/信息安全保障电电报电话报电话v解决传输数据安全斯巴达人的智慧:公元
2、前500年,斯巴达人把一条羊皮螺旋形地缠在一个圆柱形棒上写数据现代人的智慧:20世纪,40年代-70年代通过密码技术解决通信保密,内容篡改5vCOMSEC:Communication Securityv2020世纪,世纪,4040年代年代-70-70年代年代核心思想:通过密码技术解决通信保密,保证数据的保密性和完整性主要关注传输过程中的数据保护 安全威胁:搭线窃听、密码学分析安全措施:加密标志1949年:shannon发表保密通信的信息理论1977年:美国国家标准局公布数据加密标准DES1976年:Diffle和Hellman在“New Directions in Cryptography”一
3、文中提出公钥密码体系通信安全通信安全6vCOMPUSEC:Computer Securityv2020世纪,世纪,70-9070-90年代年代核心思想:预防、检测和减小计算机系统(包括软件和硬件)用户(授权和未授权用户)执行的未授权活动所造成的后果。主要关注于数据处理和存储时的数据保护。安全威胁:非法访问、恶意代码、脆弱口令等安全措施:安全操作系统设计技术(TCB)标志:1985年,美国国防部的可信计算机系统评估保障(TCSEC,橙皮书),将操作系统安全分级(D、C1、C2、B1、B2、B3、A1);后补充红皮书TNI(1987)和TDI(1991),发展为彩虹(rainbow)系列计算机安全
4、计算机安全7vINFOSEC:Information Securityv2020世纪,世纪,9090年代后年代后核心思想:综合通信安全和计算机安全安全重点在于保护比“数据”更精炼的“信息”,确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏。安全威胁:网络入侵、病毒破坏、信息对抗等安全措施:防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等标志安全评估保障CC(ISO 15408,GB/T 18336)信息系统安全信息系统安全8网络化社会网络化社会v新世纪信息技术应用于人类社会的方方面面军事经济文化v现在人们意识到:技术很重要,但技术不是一切;信息系统很重要,只有服务于组织
5、业务使命才有意义9vIA:Information Assurancev今天,将来今天,将来核心思想:保障信息和信息系统资产,保障组织机构使命的执行;综合技术、管理、过程、人员;确保信息的保密性、完整性和可用性。安全威胁:黑客、恐怖分子、信息战、自然灾难、电力中断等安全措施:技术安全保障体系、安全管理体系、人员意识/培训/教育、认证和认可标志:技术:美国国防部的IATF深度防御战略管理:BS7799/ISO 17799系统认证:美国国防部DITSCAP信息安全保障信息安全保障10网络空间安全网络空间安全/信息安全保障信息安全保障vCS/IACS/IA:Cyber Security/Informa
6、tion Assurancev20092009年,在美国带动下,世界各国信息安全政策、技术和实践年,在美国带动下,世界各国信息安全政策、技术和实践等发生重大变革等发生重大变革共识:网络安全问题上升到国家安全的重要程度核心思想:从传统防御的信息保障(IA),发展到“威慑”为主的防御、攻击和情报三位一体的信息保障/网络安全(IA/CS)的网空安全网络防御-Defense(运维)网络攻击-Offense(威慑)网络利用-Exploitation(情报)11信息安全保障发展历史信息安全保障发展历史v第一次定义:第一次定义:在1996年美国国防部DoD指令5-3600.1(DoDD 5-3600.1)中
7、,美国信息安全界第一次给出了信息安全保障的标准化定义v现在:现在:信息安全保障的概念已逐渐被全世界信息安全领域信息安全保障的概念已逐渐被全世界信息安全领域所接受。所接受。v中国:中国:中办发27号文国家信息化领导小组关于加强信息安全保障工作的意见,是信息安全保障工作的纲领性文件v信息安全保障发展历史信息安全保障发展历史从通信安全(COMSEC)-计算机安全(COMPUSEC)-信息系统安全(INFOSEC)-信息安全保障(IA)-网络空间安全/信息安全保障(CS/IA)。12v2008年1月,布什政府发布了国家网络安全综合倡议(CNCI),号称网络安全“曼哈顿项目”,提出威慑概念,其中包括爱因
8、斯坦计划、情报对抗、供应链安全、超越未来(“Leap-Ahead”)技术战略v2009年5月29日发布了网络空间政策评估:确保信息和通讯系统的可靠性和韧性报告 v2009年6月25日,英国推出了首份“网络安全战略”,并将其作为同时推出的新版国家安全战略的核心内容v2009年6月,美国成立网络战司令部v12月22日,奥巴马任命网络安全专家担任“网络沙皇”v2011年5月,美国发布网络空间国际战略,明确了针对网络攻击的指导原则v13网络空间安全网络空间安全/信息安全保障信息安全保障信息安全保障是一种立体保障信息安全保障是一种立体保障14知识域:信息安全保障原理知识域:信息安全保障原理v知识子域:信
9、息安全的内涵和外延理解信息安全的特征与范畴理解信息安全的地位和作用理解信息安全、信息系统和系统业务使命之间的关系理解信息安全的内因:信息系统的复杂性理解信息安全的外因:人为和环境的威胁15v信息安全特征信息安全是系统的安全信息安全是动态的安全信息安全是无边界的安全信息安全是非传统的安全v信息安全的范畴信息技术问题技术系统的安全问题组织管理问题人+技术系统+组织内部环境社会问题法制、舆论国家安全问题信息战、虚拟空间信息安全的特征与范畴信息安全的特征与范畴16v信息化越重要,信息安全越重要信息网络成为经济繁荣、社会稳定和国家发展的基础信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变从
10、单纯的技术性问题变成事关国家安全的全球性问题v信息安全和信息安全保障适用于所有技术领域。硬件软件军事计算机通讯指挥控制和情报(C4I)系统,制造工艺控制系统,决策支持系统,电子商务,电子邮件,生物医学系统和智能运输系统(ITS)。信息安全的地位和作用信息安全的地位和作用17 措施措施信息系统信息系统保障保障风险风险脆弱性脆弱性威胁威胁使命使命能力能力策略策略 模型模型信息安全、系统及业务关系信息安全、系统及业务关系18v信息:数据/信息流v计算机网络系统-信息技术系统执行组织机构信息功能的用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的任何组合。v
11、运行环境:包括人员、管理等系统综合的一个整体对信息系统的理解对信息系统的理解19vISO/IEC 15408(CC)中保障被定义为:实体满足其安全目的的信心基础(Grounds for confidence that an entity meets its security objectives)。v主观:信心v客观:性质(保密性、完整性、可用性)v从客观到主观:能力与水平对保障的理解对保障的理解20为什么会有信息安全问题?为什么会有信息安全问题?v因为有病毒吗?因为有黑客吗?因为有黑客吗?因为有漏洞吗?因为有漏洞吗?这些都是原因,这些都是原因,但没有说到根源但没有说到根源21v内因,信息系统
12、复杂性过程复杂结构复杂应用复杂v外因:人为和环境威胁与破坏信息安全问题产生根源信息安全问题产生根源22v系统理论:在程序与数据上存在“不确定性”v设计:从设计的角度看,在设计时考虑的优先级中安全性相对于易用性、代码大小、执行程度等因素被放在次要的位置v实现:由于人性的弱点和程序设计方法学的不完善,软件总是存在BUG。v使用、运行:人为的无意失误、人为的恶意攻击如:无意的文件删除、修改主动攻击:利用病毒、入侵工具实施的操作被动攻击:监听、截包v维护技术体系中安全设计和实现的不完整。技术管理或组织管理的不完善,给威胁提供了机会。内在复杂内在复杂-过程过程23工作站中存在信息数据员工移动介质网络中其
13、他系统网络中其他资源访问Internet访问其他局域网到Internet的其他路由电话和调制解调器开放的网络端口远程用户厂商和合同方的访问访问外部资源公共信息服务运行维护环境内在复杂内在复杂-结构结构24内在复杂内在复杂-使用使用25外因外因人为的人为的威胁威胁26外因外因自然自然威胁威胁27知识域:信息安全保障原理知识域:信息安全保障原理v知识子域:信息安全保障体系理解安全保障需要贯穿系统生命周期理解保密性、可用性和完整性三个信息安全特征理解策略和风险是安全保障的核心问题理解技术、管理、工程过程和人员是基本保障要素理解业务使命实现是信息安全保障的根本目的28 信息系统安全保障是在信息系统的整
14、个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。信息安全保障定义信息安全保障定义29国家标准:GB/T20274.1-2006信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型信息系统安全保障模型信息系统安全保障模型30信息系统安全信息系统安全保障含义保障含义总结总结v出发点和核心在信息系统所处的运行环境里,以风险和策略为出发点,即从信息系统所面临的风险出发制定组织机构信息系统安全保障策略,v信息系统生命周期通过在信息
15、系统生命周期中从技术、管理、工程和人员等方面提出安全保障要求。31信息系统安全信息系统安全保障含义保障含义总结总结v确保信息的安全特征确保信息的保密性、完整性和可用性特征,从而实现和贯彻组织机构策略并将风险降低到可接受的程度,v保护资产达到保护组织机构信息和信息系统资产v最终保障使命从而保障组织机构实现其使命的最终目的 32信息安全保障体系建设信息安全保障体系建设v信息安全技术体系v信息安全管理体系v信息安全工程过程v高素质的人员队伍33装甲运输车装甲运输车安全保护安全保护的连接的连接真实世界真实世界物理安全物理安全传统的锁传统的锁安全摄像头安全摄像头和保安和保安指纹识别指纹识别安全办公室安全
16、办公室边界安全边界安全安全监视安全监视身份识别身份识别安全管理安全管理34虚拟世界虚拟世界信息安全信息安全Internet安全保护安全保护的连接的连接边界安全边界安全安全监视安全监视身份识别身份识别漏洞管理漏洞管理VPN防火墙防火墙入侵检入侵检测和扫测和扫描描PKI/CA主机和应用主机和应用系统加固系统加固35DMZDMZ?E-Mail?E-Mail?FileTransfer?FileTransfer?HTTP?HTTPIntranetIntranet信息网络信息网络业务处室业务处室行政部门行政部门财务门财务门人事部人事部路由路由InternetInternet中继中继安安安安 全全全全 隐隐隐隐 患患患患外部外部/个体个体外部外部/组织组织内部内部/个体个体内部内部/组织组织关闭安全维护关闭安全维护“后门后门”更改缺省的更改缺省的系统口令系统口令漏洞扫描漏洞扫描补丁管理补丁管理Modem数据文件加密数据文件加密访问控制访问控制审计系统审计系统入侵检测入侵检测实时监控实时监控病毒防护病毒防护36完善的信息安全技术体系完善的信息安全技术体系37有效的信息安全管理体系有效的信息安全管理体系
