【正文】 信息安全保障版本： 發(fā)布日期： 2023121生效日期： 202311講師姓名：陳陽懷主辦單位：中國信息安全測評中心培訓單位：聯(lián)系郵箱： 課程內(nèi)容信息安全保障基礎知識體 知識域信息安全保障背景信息安全保障概念與模型知識子域信息安全內(nèi)涵與外延信息安全問題根源信息安全保障信息技術與信息安全發(fā)展階段信息安全保障相關模型信息系統(tǒng)安全保障概念與模型信息系統(tǒng)安全保障信息系統(tǒng)安全保障模型知識域：信息安全保障背景v知識子域：信息安全內(nèi)涵和外延167。 理解信息安全基本概念，理解信息安全基本屬性：保密性、完整性和可用性167。 理解信息安全的特征與范疇v知識子域：信息安全問題根源167。 理解信息安全問題產(chǎn)生的內(nèi)因是信息系統(tǒng)自身存在脆弱性167。 理解信息安全問題產(chǎn)生的外因是信息系統(tǒng)面臨著眾多威脅3 3信息與信息安全v信息 : 數(shù)據(jù) /信息流v信息安全167。 保密性167。 完整性167。 可用性167。 信息的以上三個基本安全屬性習慣上簡稱為 CIA（ConfidentialityIntegrityAvailability）。v信息安全特征167。 信息安全是系統(tǒng)的安全167。 信息安全是動態(tài)的安全167。 信息安全是無邊界的安全167。 信息安全是非傳統(tǒng)的安全v信息安全的范疇167。 信息技術問題 —— 技術系統(tǒng)的安全問題167。 組織管理問題 —— 人 +技術系統(tǒng) +組織內(nèi)部環(huán)境167。 社會問題 —— 法制、輿論167。 國家安全問題 —— 信息戰(zhàn)、虛擬空間信息安全的特征與范疇6v因為有病毒嗎？? 因為有黑客嗎？? 因為有漏洞嗎？這些都是原因，但沒有說到根源6v內(nèi)因：信息系統(tǒng)自身存在脆弱性167。 過程復雜167。 結(jié)構復雜167。 應用復雜v外因：威脅與破壞167。 人為和環(huán)境信息安全問題產(chǎn)生根源v 系統(tǒng)理論：在程序與數(shù)據(jù)上存在 “不確定性 ”v 設計：從設計的角度看，在設計時考慮的優(yōu)先級中安全性相對于易用性、代碼大小、執(zhí)行程度等因素被放在次要的位置v 實現(xiàn)：由于人性的弱點和程序設計方法學的不完善，軟件總是存在 BUG。v 使用、運行：人為的無意失誤、人為的惡意攻擊167。 如：無意的文件刪除、修改167。 主動攻擊：利用病毒、入侵工具實施的操作167。 被動攻擊：監(jiān)聽、截包v 維護167。 技術體系中安全設計和實現(xiàn)的不完整。167。 技術管理或組織管理的不完善，給威脅提供了機會。內(nèi)在復雜 過程?工作站中存在信息數(shù)據(jù)?員工?移動介質(zhì)?網(wǎng)絡中其他系統(tǒng)?網(wǎng)絡中其他資源?訪問 Inter?訪問其他局域網(wǎng)?到 Inter的其他路由?電話和調(diào)制解調(diào)器?開放的網(wǎng)絡端口?遠程用戶?廠商和合同方的訪問訪問外部資源?公共信息服務?運行維護環(huán)境內(nèi)在復雜 結(jié)構內(nèi)在復雜 使用外因 — 人為的威脅外因 — 自然威脅知識域：信息安全保障背景v知識子域：信息技術與信息安全發(fā)展階段167。 了解通信、計算機、網(wǎng)絡和網(wǎng)絡化社會等階段信息技術的發(fā)展概況167。 了解信息技術和網(wǎng)絡對經(jīng)濟發(fā)展、社會穩(wěn)定及國家安全等方面的影響167。 了解通信安全、計算機安全、信息系統(tǒng)安全和信息安全保障等階段信息安全的發(fā)展概況，167。 了解各個階段信息安全面臨的主要威脅和防護措施網(wǎng)絡化社會網(wǎng)絡計算機通信（電報 \電話）信息安全發(fā)展階段COMSEC 通信安全COMPUSEC 計算機安全INFOSEC信息系統(tǒng)安全IA信息安全保障CS/IA網(wǎng)絡空間安全 /信息安全保障v解決傳輸數(shù)據(jù)安全167。 斯巴達人的智慧：公元前 500年，斯巴達人把一條羊皮螺旋形地纏在一個圓柱形棒上寫數(shù)據(jù)167。 現(xiàn)代人的智慧： 20世紀， 40年代 70年代通過密碼技術解決通信保密，內(nèi)容篡改通信安全v COMSEC： Communication Securityv 20世紀， 40年代 70年代167。 核心思想：? 通過密碼技術解決通信保密，保證數(shù)據(jù)的保密性和完整性? 主要關注傳輸過程中的數(shù)據(jù)保護 167。 安全威脅：搭線竊聽、密碼學分析167。 安全措施：加密計算機安全v COMPUSEC： Computer Securityv 20世紀， 7090年代167。 核心思想：? 預防、檢測和減小計算機系統(tǒng)（包括軟件和硬件）用戶（授權和未授權用戶）執(zhí)行的未授權活動所造成的后果。? 主要關注于數(shù)據(jù)處理和存儲時的數(shù)據(jù)保護 。167。 安全威脅：非法訪問、惡意代碼、脆弱口令等167。 安全措施：通過操作系統(tǒng)的訪問控制技術來防止非授權用戶的訪問信息系統(tǒng)安全v INFOSEC： Information Securityv 20世紀， 90年代后167。 核心思想：? 綜合通信安全和計算機安全安全? 重點在于保護比 “ 數(shù)據(jù) ” 更精煉的 “ 信息 ” ，確保信息在存儲、處理和傳輸過程中免受偶然或惡意的非法泄密、轉(zhuǎn)移或破壞 。167。 安全威脅：網(wǎng)絡入侵、病毒破壞、信息對抗等167。 安全措施：防火墻、防病毒、漏洞掃描、入侵檢測、 PKI、VPN等網(wǎng)絡化社會v新世紀信息技術應用于人類社會的方方面面167。 軍事167。 經(jīng)濟167。 文化167。 ……v現(xiàn)在人們意識到：技術很重要，但技術不是一切； 信息系統(tǒng)很重要，只有服務于組織業(yè)務使命才有意義信息安全保障v IA： Information Assurancev 今天，將來 ……167。 核心思想：? 信息安全從技術擴展到管理，從靜態(tài)擴展到動態(tài)? 通過技術、管理和工程等措施的綜合融合，形成對信息、信息系統(tǒng)乃至業(yè)務使命的保障。167。 安全威脅：黑客、恐怖分子、信息戰(zhàn)、自然災難、電力中斷等167。 安全措施：技術安全保障體系、安全管理體系、人員意識 /培訓 /教育、認證和認可v CS/IA： Cyber Security/Information Assurancev 2023年，在美國帶動下，世界各國信息安全政策、技術和實踐等發(fā)生重大變革 ……167。 共識： 網(wǎng)絡安全問題上升到國家安全的重要程度167。 核心思想： 從傳統(tǒng)防御的信息保障（ IA），發(fā)展到 “ 威懾 ” 為主的防御、攻擊和情報三位一體的信息保障 /網(wǎng)絡安全（ IA/CS）的網(wǎng)空安全? 網(wǎng)絡防御 Defense（運維）? 網(wǎng)絡攻擊 Offense（威懾）? 網(wǎng)絡利用 Exploitation（情報）信息安全保障發(fā)展歷史v 第一次定義： 在 1996年美國國防部 DoD指令 （DoDD ）中，美國信息安全界第一次給出了信息安全保障的標準化定義v 現(xiàn)在： 信息安全保障的概念已逐漸被全世界信息安全領域所接受。v 中國： 中辦發(fā) 27號文《國家信息化領導小組關于加強信息安全保障工作的意見》，是信息安全保障工作的綱領性文件v 信息安全保障發(fā)展歷史167。 從通信安全（ COMSEC） 〉計算機安全（ COMPUSEC） 〉信息系統(tǒng)安全（ INFOSEC） 〉信息安全保障（ IA） 〉網(wǎng)絡空間安全 /信息安全保障（ CS/IA）。網(wǎng)絡空間安全 /信息安全保障v 2023年 1月，布什政府發(fā)布了國家網(wǎng)絡安全綜合倡議（CNCI），號稱網(wǎng)絡安全 “ 曼哈頓項目 ” ，提出威懾概念，其中包括愛因斯坦計劃、情報對抗、供應鏈安全、超越未來（ “LeapAhead” ）技術戰(zhàn)略v 2023年 5月 29日發(fā)布了《網(wǎng)絡空間政策評估：確保信息和通訊系統(tǒng)的可靠性和韌性》報告 v 2023年 6月 25日，英國推出了首份 “ 網(wǎng)絡安全戰(zhàn)略 ” ，并將其作為同時推出的新版《國家安全戰(zhàn)略》的核心內(nèi)容v 2023年 6月，美國成立網(wǎng)絡戰(zhàn)司令部v 12月 22日，奧巴馬任命網(wǎng)絡安全專家擔任 “ 網(wǎng)絡沙皇 ”v 2023年 5月，美國發(fā)布《網(wǎng)絡空間國際戰(zhàn)略》，明確了針對網(wǎng)絡攻擊的指導原則v …信息安全保障是一種立體保障知識域：信息安全保障概念與模型v知識子域：信息安全保障167。 理解信息安全保障的概念167。 理解信息安全保障與信息安全、信息系統(tǒng)安全的區(qū)別信息安全保障定義v防止信息泄露、修改和破壞v檢測入侵行為，計劃和部署針對入侵行為的防御措施v采用安全措施和容錯機制在遭受攻擊的情況下保證機密性、私密性、完整性、抗抵賴性、真實性、可用性和可靠性v修復信息和信息系統(tǒng)所遭受的破壞與信息安全、信息系統(tǒng)安全的區(qū)別v信息安全保障的概念更加廣泛。167。 信息安全的重點是保護和防御，而安全保障的重點 是保護、檢測和響應綜合167。 信息安全不太關注檢測和響應，但是信息安全保障非常關注這兩點167。 攻擊后的修復不在傳統(tǒng)信息安全概念的范圍之內(nèi)，但是它是信息安全保障的重要組成部分。167。 信息安全的目的是為了防止攻擊的發(fā)生，而信息安全保障的目的是為了保證信息系統(tǒng)始終