【正文】 全保障 2022年開始 國(guó)家安全的高度 網(wǎng)絡(luò)防御 網(wǎng)絡(luò)攻擊 網(wǎng)絡(luò)利用 從技術(shù)角度看信息安全 19 知識(shí)域：信息安全保障原理 ?知識(shí)子域：信息安全的內(nèi)涵和外延 ? 理解信息安全的特征與范疇 ? 理解信息安全的地位和作用 ? 理解信息安全、信息系統(tǒng)和系統(tǒng)業(yè)務(wù)使命之間的關(guān)系 20 ?信息安全是系統(tǒng)的安全 ?信息安全是動(dòng)態(tài)的安全 ?信息安全是無(wú)邊界的安全 ?信息安全是非傳統(tǒng)的安全 信息安全的特征 21 “組織內(nèi)部環(huán)境” 信息系統(tǒng)安全問(wèn)題 通信安全 數(shù)據(jù)安全 技術(shù)系統(tǒng)安全問(wèn)題 網(wǎng)絡(luò)安全 社會(huì)環(huán)境 信息安全的范疇 ?信息技術(shù)問(wèn)題 —— 技術(shù)系統(tǒng)的安全問(wèn)題 ?組織管理問(wèn)題 —— 人 +技術(shù)系統(tǒng) +組織內(nèi)部環(huán)境 ?社會(huì)問(wèn)題 —— 法制、輿論 ?國(guó)家安全問(wèn)題 —— 信息戰(zhàn)、虛擬空間 22 ?信息安全已經(jīng)從單純的技術(shù)性問(wèn)題變成事關(guān)國(guó)家安全的全球性問(wèn)題。 ?信息安全和信息安全保障適用于所有信息技術(shù)領(lǐng)域 ? 軍事計(jì)算機(jī)通訊指揮控制和情報(bào) (C4I)系統(tǒng) ? 制造工藝控制系統(tǒng) ? 電子政務(wù) ? 電子商務(wù) ? 生物醫(yī)學(xué) ? 物聯(lián)網(wǎng)。 信息安全的地位和作用 23 信息安全保障作用 益處 受益者 基礎(chǔ)設(shè)施系統(tǒng) 人員安全 免受偶然和惡意的事故造成的死傷 個(gè)人及家庭、制造商、經(jīng)銷商、操作者 電力，石油和天然氣，供水，醫(yī)療衛(wèi)生、交通運(yùn)輸。 環(huán)境安全 使環(huán)境免受偶然的和惡意的，永久的或暫時(shí)的破壞 個(gè)人，社會(huì)，設(shè)施的制造商，經(jīng)銷商和操作者 能源，供水，政府。 財(cái)產(chǎn)安全 使財(cái)產(chǎn)免受偶然的和惡意的，永久的或暫時(shí)的損害和破壞 財(cái)產(chǎn)所有者，財(cái)產(chǎn)使用者，制造商，經(jīng)銷商 金融，證券、電子商務(wù)。 信息安全保障的意義 24 經(jīng)濟(jì)發(fā)展 免受經(jīng)濟(jì)損失，混亂，物資和服務(wù)匱乏的困擾 個(gè)人，社會(huì)，金融機(jī)構(gòu)，批發(fā)、零售企業(yè)，制造業(yè)，本地、全國(guó)、全球貿(mào)易。 電信，銀行與金融，能源，供水，運(yùn)輸。 社會(huì)穩(wěn)定 免受社會(huì)動(dòng)亂，暴力，斷絕生路，個(gè)人安全的困擾 個(gè)人，社會(huì) 銀行與金融，應(yīng)急響應(yīng)，政府。 隱私 a. 個(gè)人 b. 公司 a. 免受身份被竊，財(cái)務(wù)損失，隱私被侵犯，人格損毀，知識(shí)產(chǎn)權(quán)被盜的困擾 b. 免受財(cái)務(wù)損失，客戶流失，知識(shí)產(chǎn)權(quán)被盜的困擾 ，其家庭，其雇主 ，股東，業(yè)務(wù)伙伴 銀行與金融，醫(yī)療衛(wèi)生，政府。 國(guó)家安全 保護(hù)對(duì)敏感的經(jīng)濟(jì)資產(chǎn)及其他戰(zhàn)略資產(chǎn)的獲取與披露 個(gè)人，社會(huì)，相鄰國(guó)家，全球貿(mào)易伙伴，跨國(guó)公司 電信，銀行與金融，電力，能源，供水，運(yùn)輸，政府。 信息安全保障的意義 25 措施 信息系統(tǒng) 保障 風(fēng)險(xiǎn) 脆弱性 威脅 使命 能力 策略 模型 信息安全、系統(tǒng)及業(yè)務(wù)關(guān)系 26 ?信息 : 數(shù)據(jù) /信息流 ?計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng) 信息技術(shù)系統(tǒng) ? 執(zhí)行組織機(jī)構(gòu)信息功能的用于采集、創(chuàng)建、通信、計(jì)算、分發(fā)、處理、存儲(chǔ)和 /或控制數(shù)據(jù)或信息的計(jì)算機(jī)硬件、軟件和 /或固件的任何組合。 ?運(yùn)行環(huán)境 :包括人員、管理等系統(tǒng)綜合的一個(gè)整體 對(duì)信息系統(tǒng)的理解 27 ?ISO/IEC 15408（ CC）中保障被定義為：實(shí)體滿足其安全目的的信心基礎(chǔ)（ Grounds for confidence that an entity meets its security objectives)。 ?主觀 :信心 ?客觀 :性質(zhì)（保密性、完整性、可用性） ?從客觀到主觀 : 能力與水平 對(duì)保障的理解 信息安全保障的對(duì)象是信息系統(tǒng)！ 28 ?風(fēng)險(xiǎn)是指威脅利用資產(chǎn)或一組資產(chǎn)的脆弱性對(duì)組織機(jī)構(gòu)造成傷害的潛在可能。 ?組織需要針對(duì)信息系統(tǒng)面臨的各種各樣的風(fēng)險(xiǎn)，制定相應(yīng)的策略來(lái)抵抗這些風(fēng)險(xiǎn) ，以保障組織機(jī)構(gòu)完成其使命。 對(duì)風(fēng)險(xiǎn)的理解 29 知識(shí)域：信息安全保障原理 ?知識(shí)子域：信息安全問(wèn)題產(chǎn)生的根源 ? 理解信息安全的內(nèi)因：信息系統(tǒng)的復(fù)雜性 ? 理解信息安全的外因：人為和環(huán)境的威脅 30 為什么會(huì)有信息安全問(wèn)題？ ?因?yàn)橛胁《締幔? ? 因?yàn)橛泻诳蛦幔? ? 因?yàn)橛新┒磫幔? 這些都是原因， 但沒(méi)有說(shuō)到根源 31 ?內(nèi)因： 信息系統(tǒng)復(fù)雜性：過(guò)程復(fù)雜，結(jié)構(gòu)復(fù)雜，應(yīng)用復(fù)雜 ?外因： 人為和環(huán)境 : 威脅與破壞 信息安全問(wèn)題產(chǎn)生根源 32 ?系統(tǒng)理論：在程序與數(shù)據(jù)上存在 “ 不確定性 ” ?設(shè)計(jì)：從設(shè)計(jì)的角度看，在設(shè)計(jì)時(shí)考慮的優(yōu)先級(jí)中安全性相對(duì)于功能、易用性、代碼大小、執(zhí)行效率等因素被放在次要的位置 ?實(shí)現(xiàn)：由于人性的弱點(diǎn)和程序設(shè)計(jì)方法學(xué)的不完善，軟件中存在 BUG。 ?使用、運(yùn)行：人為的無(wú)意失誤、人為的惡意攻擊 ? 如：無(wú)意的文件刪除、修改 ? 主動(dòng)攻擊：利用病毒、入侵工具實(shí)施的操作 ? 被動(dòng)攻擊：監(jiān)聽、截包 ?維護(hù) ? 技術(shù)體系中安全設(shè)計(jì)和實(shí)現(xiàn)的不完整。 ? 技術(shù)管理或組織管理的不完善，給威脅提供了機(jī)會(huì)。 內(nèi)在復(fù)雜 過(guò)程 33 ?信息數(shù)據(jù) ?員工 ?移動(dòng)介質(zhì) ?網(wǎng)絡(luò)中其他系統(tǒng) ?訪問(wèn) Inter ?訪問(wèn)其他局域網(wǎng) ?電話和調(diào)制解調(diào)器 ?開放的網(wǎng)絡(luò)端口 ?遠(yuǎn)程用戶 ?廠商和合同方等外部資源 ?公共信息服務(wù) ?運(yùn)行維護(hù)環(huán)境 ?。 內(nèi)在復(fù)雜 結(jié)構(gòu) 34 內(nèi)在復(fù)雜 使用 35 國(guó)家 威脅 信息戰(zhàn)士 鞏固戰(zhàn)略優(yōu)勢(shì)，制造混亂，進(jìn)行目標(biāo)破壞 情報(bào)機(jī)構(gòu) 搜集政治、軍事，經(jīng)濟(jì)信息 組織 威脅 恐怖分子 破壞公共秩序，制造混亂，發(fā)動(dòng)政變 工業(yè)間諜 掠奪競(jìng)爭(zhēng)優(yōu)勢(shì)，恐嚇 犯罪團(tuán)伙 施行報(bào)復(fù)，實(shí)現(xiàn)經(jīng)濟(jì)目的， 破壞制度 個(gè)人 威脅 社會(huì)型黑客 攫取金錢，恐嚇，挑戰(zhàn)，獲取聲望 娛樂(lè)型黑客 以嚇人為樂(lè)，喜歡挑戰(zhàn) 安全外因 36 知識(shí)域：信息安全保障原理 ?知識(shí)子域：信息安全保障體系 ? 理解安全保障需要貫穿系統(tǒng)生命周期 ? 理解保密性、可用性和完整性三個(gè)信息安全特征 ? 理解策略和風(fēng)險(xiǎn)是安全保障的核心問(wèn)題 ? 理解技術(shù)、管理、工程過(guò)程和人員是基本保障要素 ? 理解業(yè)務(wù)使命實(shí)現(xiàn)是信息安全保障的根本目的 37 信息系統(tǒng)安全保障是在信息系統(tǒng)的整個(gè)生命周期中，通過(guò)對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)分析，制定并執(zhí)行相應(yīng)的安全保障策略，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風(fēng)險(xiǎn)到可接受的程度，從而保障系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的使命。 信息安全保障定義 38 技術(shù)工程管理人員保障要素開發(fā)采購(gòu)實(shí)施交付運(yùn)行維護(hù)完整性可用