【正文】 信息安全保障基礎(chǔ) 中國信息安全測評中心 版本： 課程內(nèi)容 2 信息 安全 保障 基礎(chǔ) 信息 安全保障 理論及實踐 信息安全 法規(guī)政策標準 信息 安全保障基礎(chǔ)知識 重點 信息安全政策解讀 信息 安全標準 知識 信息安全保障模型 我國信息安全 保障工作實踐 重點 信息安全 法律法規(guī)解讀 ?知識 域：信息安全保障基礎(chǔ)知識 ? 理解 信息安全的典型安全 威脅 ? 理解 信息 安全問題 產(chǎn)生的根源 ? 掌握 信息安全三個基本要素（保密性、完整性和可用性）的概念和含義 ? 了解 信息安全發(fā)展的階段及各階段主要特點 ? 理解 信息安全保障的概念和內(nèi)涵 3 信息和信息安全 ?信息 ? 消息，泛指 人類社會傳播的一切 內(nèi)容 ? 有意義的數(shù)據(jù) ? 在 計算機系統(tǒng)中，信息通常以文字、聲音、圖像或數(shù)據(jù)的形式展現(xiàn)出來，它是按一定方式排列起來的、有意義的符號 序列 ?信息 安全 ? 關(guān)注信息 自身的 安全 4 什么是信息安全 5 保持 信息的保密性、完整性和可用性， 即防止未經(jīng)授權(quán)使用信息、防止對信息的非法修改和破壞、確保及時可靠地使用 信息。（ CIA） 保密性 完整性 可用性 保密性 ?保密性 ? Confidentiality（ C） ? 也 稱 機密性 ? 確保 信息 沒有泄漏 ，不 被沒有授權(quán) 的個人、組織和計算機程序 使用 ?保密性需求舉例 ? 國家秘密 ? 企業(yè) 或研究機構(gòu)的核心 知識產(chǎn)權(quán) ? 銀行賬號 等個人 信息 6 完整性 ?完整性 ? Integrity（ I） ? 確保 信息沒有遭到 篡改或破壞 ? 信息保持原樣，未 受 損壞 ? 沒有 丟失、被 篡改 或被 破壞 ?完整性需求舉例 ? 通信數(shù)據(jù)原樣傳送到對方 ? 信息未被插入、增加、刪除、修改 7 可用性 ?可用性 ? Availability（ A） ? 確保 擁有授權(quán)的用戶或程序可以及時、正常使用信息 ?可用 性 需求舉例 ? 網(wǎng)站能支撐大量用戶訪問，正常提供服務(wù) ? 系統(tǒng)未受病毒影響，可以正常使用 ? 系統(tǒng)能防御攻擊者攻擊，穩(wěn)定可用 8 為什么會有信息安全問題？ ?為什么會有信息安全問題？ ? 總有 黑客來攻擊 ? 總有新病毒傳播 ? 某些軟件配置錯誤 ? 操作系統(tǒng)被發(fā)現(xiàn)了新的漏洞 ? 領(lǐng)導(dǎo)不重視，施工人員不認真 ? 寫代碼的程序員沒有獲得安全證書 ? ... 9 這些 都對，怎么才能羅列完全？ 根本原因是什么？ 信息系統(tǒng)安全問題產(chǎn)生 的根本原因 ?內(nèi)因 ? 系統(tǒng)自身的脆弱性 ?外因 ? 來自惡意攻擊者的 攻擊 ? 來自 自然災(zāi)害的破壞 10 安全問題根源 — 內(nèi)因 示例 ? 復(fù)雜性導(dǎo)致脆弱性 ? 凡是 人做的東西總會存在問題 11 安全問題根源 — 外因示例 國家 安全 威脅 信息戰(zhàn)士 減小 國 家 決策空間、戰(zhàn)略優(yōu)勢，制造混亂，進行目標破壞 情報機構(gòu) 搜集政治、軍事，經(jīng)濟信息 組織 威脅 恐怖分子 破壞公共秩序，制造混亂，發(fā)動政變 商業(yè)間諜 掠奪競爭優(yōu)勢，恐嚇 犯罪團伙 施行報復(fù)，實現(xiàn)經(jīng)濟目的， 破壞制度 局部 威脅 社會型黑客 攫取金錢，恐嚇，挑戰(zhàn)，獲取聲望 娛樂型黑客 以嚇人為樂，喜歡挑戰(zhàn) 12 安全問題根源 — 外因示例 ?來自大自然的威脅 ? 雷擊、地震、火災(zāi)和洪水等 自然災(zāi)害 ? 電力、 空調(diào) 等被 電磁脈沖 破壞 ? 信息系統(tǒng) 機房和設(shè)備遭受 破壞 13 信息安全的地位和作用 ?信息網(wǎng)絡(luò)已逐漸成為經(jīng)濟繁榮、社會穩(wěn)定和國家發(fā)展的基礎(chǔ) ?信息化深刻影響著全球經(jīng)濟的整合、國家戰(zhàn)略的調(diào)整和安全觀念的轉(zhuǎn)變 ?信息 安全適用于 所有信息技術(shù)領(lǐng)域 ? 學(xué)習(xí)、游戲、網(wǎng)絡(luò)購物、電子郵件 ? 信息化辦公、電子商務(wù) ? 電子政務(wù)、電力供應(yīng)、工業(yè)控制系統(tǒng) ? 核設(shè)施、軍事情報系統(tǒng) ?從單純的技術(shù)性問題變成事關(guān)國家安全的全球性問題 14 信息安全發(fā)展階段 COMSEC 通信安全 COMPUSEC 計算機安全 INFOSEC 信息 系統(tǒng) 安全 IA 信息安全保障 15 CS/IA 網(wǎng)絡(luò)空間安全 /信息安全保障 通信 安全 COMSEC ? Communication Security ? 20世紀， 40年代 70年代 核心思想 ? 通過密碼技術(shù)解決通信保密，保證數(shù)據(jù)的保密性和完整性 ? 主要關(guān)注傳輸過程中的數(shù)據(jù)保護 安全威脅 ? 搭線竊聽、密碼學(xué)分析 安全措施 ? 加密 16 計算機安全 17 信息系統(tǒng)安全 INFOSEC ? Information Systems Security ? 20世紀， 90年代后 核心思想 ? 確保信息在存儲、處理和傳輸過程中免受偶然或惡意的泄密、非法訪問或破壞 安全威脅 ? 網(wǎng)絡(luò)入侵、病毒破壞、信息對抗等 安全措施 ? 防火墻、防病毒、漏洞掃描、入侵檢測、 PKI、 VPN等 18 信息安全保障 IA ? Information Assurance ? 今天，將來 …… 核心思想 ?動態(tài)安全 ,保障信息系統(tǒng)的業(yè)務(wù)正常、穩(wěn)定的運行 ?綜合技術(shù)、管理、過程、人員 安全威脅 ? 黑客、恐怖分子、信息戰(zhàn)、自然災(zāi)難、電力中斷等 安全措施 ? 技術(shù)安全保障體系、安全管理體系、人員意識 /培訓(xùn) /教育 19 階段 年代 安全威脅 安全措施 通信安全 20世紀， 40— 70年代 搭線竊聽、 密碼學(xué)分析 加密 計算機安全 20世紀， 7090年代 非法訪問、 惡意代碼、 脆弱口令等 安全操作系統(tǒng)設(shè)計技術(shù)（ TCB） 信息系統(tǒng)安全 20世紀， 90年代后 網(wǎng)絡(luò)入侵、 病毒破壞、 信息對抗等 防火墻、防病毒、 漏洞掃描、 入侵檢測、 PKI、 VPN等 信息安全保障 今天， …… 黑客、恐怖分子、 信息戰(zhàn)、 自然災(zāi)難、 電力中斷等 技術(shù)安全保障體系 安全管理體系 人員意識 /培訓(xùn) /教育 信息安全發(fā)展各階段特點 20 信息安全 保障概念發(fā)展 ? 第一次定義 ? 1996年，美國國防部 DoD指令 （ DoDD ）中，給出了信息安全保障的定義 ? 中國 ? 中辦發(fā) 27號文 《 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見 》 ，是信息安全保障工作的綱領(lǐng)性文件 ? 目前，信息安全保障的概念已逐漸被全世界信息安全領(lǐng)域所 接受 ? 美國 ? 英國 ? 日本 ? … 21 信息安全保障含義 ?保障目標 ? 信息系統(tǒng)業(yè)務(wù)和使命 安全 ?保障措施 ? 防止 信息泄露、修改和 破壞 ? 檢測 入侵 行為，實施響應(yīng)和改進措施 ?同傳統(tǒng)信息 安全概念相比較 ? 強調(diào)檢測和響應(yīng)，強調(diào)動態(tài)安全 ? 注重對 信息系統(tǒng)進行全生命周期的保護 ? 關(guān)注技術(shù)、 管理 、規(guī)范等方面 ? 要求 實現(xiàn)風(fēng)險管控的 目標 22 新 階段 —— 網(wǎng)絡(luò)空間安全 /信息安全保障 ? CS/IA： Cyberspace Security/Information Assurance ? 威脅 ? 有組織網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)恐怖主義 、網(wǎng)絡(luò) 空間軍事 對抗、 APT ? 共識 ：網(wǎng)絡(luò)安全問題上升到國家安全的重要程度 ? 2023年，在美國帶動下，世界各國信息安全政策、技術(shù)和實踐等發(fā)生重大變革 …… ? 核心思想： 從傳統(tǒng)防御的信息保障（ IA），發(fā)展到“威懾”為主的防御、攻擊和情報三位一體的信息保障 /網(wǎng)絡(luò)安全（ IA/CS）的網(wǎng)空安全 ? 網(wǎng)絡(luò)防御 Defense（運維） ? 網(wǎng)絡(luò)攻擊 Offense（威懾） ? 網(wǎng)絡(luò)利用 Exploitation（情報） 23 知識體：信息安全保障理論及實踐 ?知 識域 ： 信息安全保障模型 ? 了解 信息系統(tǒng)、風(fēng)險、保障和使命之間的關(guān)系 ? 掌握 信息系統(tǒng)安全保障模型，理解其保障要素、 生命周期 和安全特征的內(nèi)容和含義 ? 理解 PDCA模型內(nèi)容和特點 ? 了解 信息保障技術(shù)框架（ IATF）的核心要素和焦點區(qū)域 24 信息系統(tǒng)、風(fēng)險、保障和使命 ?風(fēng)險 ? 可能導(dǎo)致信息安全問題 ? 影響信息系統(tǒng)業(yè)務(wù)使命 ?保障 ? 制定策略、執(zhí)行措施 ? 降低風(fēng)險、保障使命 ?使命 ? 信息系統(tǒng)業(yè)