1 / 95

信息安全保障基本知识

信息安全保障基本知识. 培训机构名称 讲师名字. 课程内容. 知识域:信息安全保障背景. 知识子域:信息技术发展阶段 了解电报 / 电话、计算机、网络等阶段信息技术发展概况 了解信息化和网络对个人、企事业单位和社会团体、经济发展、社会稳定、国家安全等方面的影响:. 通信 (电报 电话). 计算机. 网络. 网络化社会. 信息技术发展阶段. 信息技术的发展. 电报电话通信. 计算机加工存储. 网络互联时代. 早期的通信方式. 人类开始信息的通信,信息安全的历史就开始了

keanu
Download Presentation

信息安全保障基本知识

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 信息安全保障基本知识 培训机构名称 讲师名字

  2. 课程内容

  3. 知识域:信息安全保障背景 • 知识子域:信息技术发展阶段 • 了解电报/电话、计算机、网络等阶段信息技术发展概况 • 了解信息化和网络对个人、企事业单位和社会团体、经济发展、社会稳定、国家安全等方面的影响:

  4. 通信 (电报\电话) 计算机 网络 网络化社会 信息技术发展阶段

  5. 信息技术的发展 电报电话通信 计算机加工存储 网络互联时代

  6. 早期的通信方式 • 人类开始信息的通信,信息安全的历史就开始了 • 公元前500年,斯巴达人用于加解密的一种军事设备。发送者把一条羊皮螺旋形地缠在一个圆柱形棒上。

  7. 电报电话技术 20世纪,40年代-70年代 通过密码技术解决通信保密,内容篡改 以二战时期真实历史为背景的,关于电报密文窃听和密码破解的故事 转轮密码机ENIGMA,1944年装备德国海军

  8. 计算机与网络技术 20世纪,70-90年代后期,计算机和网络改变了一切 确保信息在网络信息系统中的存储、处理和传输过程中免受非授权的访问,防止授权用户的拒绝服务

  9. 网络化社会 • 新世纪信息技术应用于人类社会的方方面面 • 军事 • 经济 • 文化 • 。。。 • 现在人们意识到:技术很重要,但技术不是一切;信息系统很重要,只有服务于组织业务使命才有意义

  10. 如何看待网络与信息化 • 对个人 • 人需要信息化还是信息化“绑架”人? • 对企事业单位和社会团体 • 组织依赖信息化还是信息化成就组织? • 对经济发展 • 经济发展带动了信息技术还是信息技术促进了经济发展? • 对社会稳定 • 信息化的发展对社会稳定的影响是正面的还是负面的? • 对国家安全 • 信息化是国家安全的利器还是祸害? • 没有标准答案,但值得思考

  11. 知识域:信息安全保障背景 • 知识子域:信息安全发展阶段 • 了解通信保密、计算机安全和信息安全保障 • 了解各个阶段信息安全面临的主要威胁和防护措施

  12. 信息安全发展阶段 COMSEC 通信安全 COMPUSEC 计算机安全 信息系统安全 信息安全保障 网络空间安全/信息安全保障 INFOSEC IA CS/IA 12

  13. 信息安全保障发展历史 第一次定义:在1996年美国国防部DoD指令5-3600.1(DoDD 5-3600.1)中,美国信息安全界第一次给出了信息安全保障的标准化定义 现在:信息安全保障的概念已逐渐被全世界信息安全领域所接受。 中国:中办发27号文《国家信息化领导小组关于加强信息安全保障工作的意见》,是信息安全保障工作的纲领性文件 信息安全保障发展历史 从通信安全(COMSEC)-〉计算机安全(COMPUSEC)-〉信息系统安全(INFOSEC)-〉信息安全保障(IA) -〉网络空间安全/信息安全保障(CS/IA) 。

  14. 通信安全 • COMSEC:Communication Security • 20世纪,40年代-70年代 • 核心思想: • 通过密码技术解决通信保密,保证数据的保密性和完整性 • 主要关注传输过程中的数据保护 • 安全威胁:搭线窃听、密码学分析 • 安全措施:加密 • 标志 • 1949年:shannon发表《保密通信的信息理论》 • 1977年:美国国家标准局公布数据加密标准DES • 1976年:Diffle和Hellman在“New Directions in Cryptography”一文中提出公钥密码体系

  15. 计算机安全 • COMPUSEC:Computer Security • 20世纪,70-90年代 • 核心思想: • 预防、检测和减小计算机系统(包括软件和硬件)用户(授权和未授权用户)执行的未授权活动所造成的后果。 • 主要关注于数据处理和存储时的数据保护 。 • 安全威胁:非法访问、恶意代码、脆弱口令等 • 安全措施:安全操作系统设计技术(TCB) • 标志: • 1985年,美国国防部的可信计算机系统评估保障(TCSEC,橙皮书),将操作系统安全分级(D、C1、C2、B1、B2、B3、A1);后补充红皮书TNI(1987)和TDI(1991),发展为彩虹(rainbow)系列

  16. 信息系统安全 • INFOSEC:Information Security • 20世纪,90年代后 • 核心思想: • 综合通信安全和计算机安全安全 • 重点在于保护比“数据”更精炼的“信息”,确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏 。 • 安全威胁:网络入侵、病毒破坏、信息对抗等 • 安全措施:防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等 • 标志 • 安全评估保障CC(ISO 15408,GB/T 18336) 16

  17. 信息安全保障 • IA:Information Assurance • 今天,将来…… • 核心思想: • 保障信息和信息系统资产,保障组织机构使命的执行; • 综合技术、管理、过程、人员; • 确保信息的保密性、完整性和可用性。 • 安全威胁:黑客、恐怖分子、信息战、自然灾难、电力中断等 • 安全措施:技术安全保障体系、安全管理体系、人员意识/培训/教育、认证和认可 • 标志: • 技术:美国国防部的IATF深度防御战略 • 管理:BS7799/ISO 17799 • 系统认证:美国国防部DITSCAP

  18. 网络空间安全/信息安全保障 CS/IA:Cyber Security/Information Assurance 2009年,在美国带动下,世界各国信息安全政策、技术和实践等发生重大变革…… 共识:网络安全问题上升到国家安全的重要程度 核心思想:从传统防御的信息保障(IA),发展到“威慑”为主的防御、攻击和情报三位一体的信息保障/网络安全(IA/CS)的网空安全 网络防御-Defense(运维) 网络攻击-Offense(威慑) 网络利用-Exploitation(情报)

  19. 2008年1月,布什政府发布了国家网络安全综合倡议(CNCI),号称网络安全“曼哈顿项目”,提出威慑概念,其中包括爱因斯坦计划、情报对抗、供应链安全、超越未来(“Leap-Ahead”)技术战略2008年1月,布什政府发布了国家网络安全综合倡议(CNCI),号称网络安全“曼哈顿项目”,提出威慑概念,其中包括爱因斯坦计划、情报对抗、供应链安全、超越未来(“Leap-Ahead”)技术战略 2009年5月29日发布了《网络空间政策评估:确保信息和通讯系统的可靠性和韧性》报告 2009年6月25日,英国推出了首份“网络安全战略”,并将其作为同时推出的新版《国家安全战略》的核心内容 2009年6月,美国成立网络战司令部 12月22日,奥巴马任命网络安全专家担任“网络沙皇” … 网络空间安全/信息安全保障

  20. 从技术角度看信息安全 20

  21. 信息安全保障是一种立体保障

  22. 知识域:信息安全保障原理 • 知识子域:信息安全的内涵和外延 • 理解信息安全的特征与范畴 • 理解信息安全的地位和作用 • 理解信息安全、信息系统和系统业务使命之间的关系

  23. 信息安全的特征 • 信息安全是系统的安全 • 信息安全是动态的安全 • 信息安全是无边界的安全 • 信息安全是非传统的安全

  24. 技术系统安全问题 “组织内部环境” 信息系统安全问题 信息安全的范畴 • 信息技术问题——技术系统的安全问题 • 组织管理问题——人+技术系统+组织内部环境 • 社会问题——法制、舆论 • 国家安全问题——信息战、虚拟空间 通信安全 网络安全 数据安全 社会环境

  25. 信息安全的地位和作用 • 信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础 • 信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变 • 从单纯的技术性问题变成事关国家安全的全球性问题。 • 信息安全和信息安全保障适用于所有技术领域。 • 硬件 • 软件 • 军事计算机通讯指挥控制和情报(C4I)系统,制造工艺控制系统,决策支持系统,电子商务,电子邮件,生物医学系统和智能运输系统(ITS)。

  26. 信息安全保障的意义

  27. 信息安全保障的意义

  28. 信息安全、系统及业务关系 使命 信息系统 保障 风险 策略 能力 脆弱性 威胁 模型 措施

  29. 对信息系统的理解 • 信息: 数据/信息流 • 计算机网络系统--信息技术系统 • 执行组织机构信息功能的用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的任何组合。 • 运行环境:包括人员、管理等系统综合的一个整体

  30. 对保障的理解 • ISO/IEC 15408(CC)中保障被定义为:实体满足其安全目的的信心基础(Grounds for confidence that an entity meets its security objectives)。 • 主观:信心 • 客观:性质(保密性、完整性、可用性) • 从客观到主观: 能力与水平 信息安全保障的对象是信息系统!

  31. 对风险的理解 • 组织需要针对信息系统面临的各种各样的风险,制定相应的策略来抵抗这些风险 ,以保障组织机构完成其使命。 • 风险是指威胁利用资产或一组资产的脆弱性对组织机构造成伤害的潜在可能。 • 信息系统安全风险是具体的风险,各个风险要针对某一特定对象的风险,产生风险的因素主要有信息系统自身存在的脆弱性和来自系统外部的威胁。

  32. 知识域:信息安全保障原理 • 知识子域:信息安全问题产生的根源 • 理解信息安全的内因:信息系统的复杂性 • 理解信息安全的外因:人为和环境的威胁

  33. 为什么会有信息安全问题? 因为有病毒吗? • 因为有漏洞吗? 这些都是原因, 但没有说到根源 • 因为有黑客吗?

  34. 信息安全问题产生根源 • 内因: 信息系统复杂性:过程复杂,结构复杂,应用复杂 • 外因: 人为和环境: 威胁与破坏

  35. 内在复杂-过程 • 系统理论:在程序与数据上存在“不确定性” • 设计:从设计的角度看,在设计时考虑的优先级中安全性相对于易用性、代码大小、执行程度等因素被放在次要的位置 • 实现:由于人性的弱点和程序设计方法学的不完善,软件总是存在BUG。 • 使用、运行:人为的无意失误、人为的恶意攻击 • 如:无意的文件删除、修改 • 主动攻击:利用病毒、入侵工具实施的操作 • 被动攻击:监听、截包 • 维护 • 技术体系中安全设计和实现的不完整。 • 技术管理或组织管理的不完善,给威胁提供了机会。

  36. 内在复杂-结构 • 工作站中存在信息数据 • 员工 • 移动介质 • 网络中其他系统 • 网络中其他资源 • 访问Internet • 访问其他局域网 • 到Internet的其他路由 • 电话和调制解调器 • 开放的网络端口 • 远程用户 • 厂商和合同方的访问访问外部资源 • 公共信息服务 • 运行维护环境

  37. 内在复杂-使用

  38. 安全外因

  39. 知识域:信息安全保障原理 • 知识子域:信息安全保障体系 • 理解安全保障需要贯穿系统生命周期 • 理解保密性、可用性和完整性三个信息安全特征 • 理解策略和风险是安全保障的核心问题 • 理解技术、管理、工程过程和人员是基本保障要素 • 理解业务使命实现是信息安全保障的根本目的

  40. 信息安全保障定义 信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。

  41. 信息系统安全保障模型 国家标准:《GB/T 20274.1-2006 信息安全技术 信息系统安全保障评估框架 第一部分:简介和一般模型》

  42. 安全保障的目标是支持业务 • 信息安全保障是为了支撑业务高效稳定运行 • 要以安全促发展,在发展中求安全

  43. 信息安全保障需要持续进行 如钻石历久弥新 时时刻刻不放松

  44. 什么是安全? 安全 Security:事物保持不受损害

  45. 什么是信息安全? 保密! 不该知道的人,不让他知道!

  46. 什么是信息安全? 完整! 信息不能追求残缺美!

  47. 什么是信息安全? 可用! 信息要方便、快捷! 不能像某国首都二环早高峰,也不能像春运的火车站

  48. 什么是信息安全? 信息本身的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持,即防止防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。 保密性:确保信息没有非授权的泄漏,不被非授权的个人、组织和计算机程序使用 完整性:确保信息没有遭到篡改和破坏 可用性:确保拥有授权的用户或程序可以及时、正常使用信息

  49. 风险与策略 • 信息安全策略必须以风险管理为基础 • 安全不必是完美无缺、面面俱到的。但风险必须是能够管理的。 • 最适宜的信息安全策略就是最优的风险管理对策。 • 这是一个在有限资源前提下的最优选择问题: • 防范不足会造成直接的损失;防范过多又会造成间接的损失。 • 信息安全保障的问题就是安全的效用问题,在解决或预防信息安全问题时,要从经济、技术、管理的可行性和有效性上做出权衡和取舍。

  50. 信息系统安全保障含义总结 • 出发点和核心 • 在信息系统所处的运行环境里,以风险和策略为出发点,即从信息系统所面临的风险出发制定组织机构信息系统安全保障策略, • 信息系统生命周期 • 通过在信息系统生命周期中从技术、管理、工程和人员等方面提出安全保障要求。

More Related