【正文】 ?為什么會(huì)有信息安全問(wèn)題？ ? 總有 黑客來(lái)攻擊 ? 總有新病毒傳播 ? 某些軟件配置錯(cuò)誤 ? 操作系統(tǒng)被發(fā)現(xiàn)了新的漏洞 ? 領(lǐng)導(dǎo)不重視，施工人員不認(rèn)真 ? 寫代碼的程序員沒有獲得安全證書 ? ... 9 這些 都對(duì)，怎么才能羅列完全？ 根本原因是什么？ 信息系統(tǒng)安全問(wèn)題產(chǎn)生 的根本原因 ?內(nèi)因 ? 系統(tǒng)自身的脆弱性 ?外因 ? 來(lái)自惡意攻擊者的 攻擊 ? 來(lái)自 自然災(zāi)害的破壞 10 安全問(wèn)題根源 — 內(nèi)因 示例 ? 復(fù)雜性導(dǎo)致脆弱性 ? 凡是 人做的東西總會(huì)存在問(wèn)題 11 安全問(wèn)題根源 — 外因示例 國(guó)家 安全 威脅 信息戰(zhàn)士 減小 國(guó) 家 決策空間、戰(zhàn)略優(yōu)勢(shì)，制造混亂，進(jìn)行目標(biāo)破壞 情報(bào)機(jī)構(gòu) 搜集政治、軍事，經(jīng)濟(jì)信息 組織 威脅 恐怖分子 破壞公共秩序，制造混亂，發(fā)動(dòng)政變 商業(yè)間諜 掠奪競(jìng)爭(zhēng)優(yōu)勢(shì)，恐嚇 犯罪團(tuán)伙 施行報(bào)復(fù)，實(shí)現(xiàn)經(jīng)濟(jì)目的， 破壞制度 局部 威脅 社會(huì)型黑客 攫取金錢，恐嚇，挑戰(zhàn)，獲取聲望 娛樂(lè)型黑客 以嚇人為樂(lè)，喜歡挑戰(zhàn) 12 安全問(wèn)題根源 — 外因示例 ?來(lái)自大自然的威脅 ? 雷擊、地震、火災(zāi)和洪水等 自然災(zāi)害 ? 電力、 空調(diào) 等被 電磁脈沖 破壞 ? 信息系統(tǒng) 機(jī)房和設(shè)備遭受 破壞 13 信息安全的地位和作用 ?信息網(wǎng)絡(luò)已逐漸成為經(jīng)濟(jì)繁榮、社會(huì)穩(wěn)定和國(guó)家發(fā)展的基礎(chǔ) ?信息化深刻影響著全球經(jīng)濟(jì)的整合、國(guó)家戰(zhàn)略的調(diào)整和安全觀念的轉(zhuǎn)變 ?信息 安全適用于 所有信息技術(shù)領(lǐng)域 ? 學(xué)習(xí)、游戲、網(wǎng)絡(luò)購(gòu)物、電子郵件 ? 信息化辦公、電子商務(wù) ? 電子政務(wù)、電力供應(yīng)、工業(yè)控制系統(tǒng) ? 核設(shè)施、軍事情報(bào)系統(tǒng) ?從單純的技術(shù)性問(wèn)題變成事關(guān)國(guó)家安全的全球性問(wèn)題 14 信息安全發(fā)展階段 COMSEC 通信安全 COMPUSEC 計(jì)算機(jī)安全 INFOSEC 信息 系統(tǒng) 安全 IA 信息安全保障 15 CS/IA 網(wǎng)絡(luò)空間安全 /信息安全保障 通信 安全 COMSEC ? Communication Security ? 20世紀(jì)， 40年代 70年代 核心思想 ? 通過(guò)密碼技術(shù)解決通信保密，保證數(shù)據(jù)的保密性和完整性 ? 主要關(guān)注傳輸過(guò)程中的數(shù)據(jù)保護(hù) 安全威脅 ? 搭線竊聽、密碼學(xué)分析 安全措施 ? 加密 16 計(jì)算機(jī)安全 17 信息系統(tǒng)安全 INFOSEC ? Information Systems Security ? 20世紀(jì)， 90年代后 核心思想 ? 確保信息在存儲(chǔ)、處理和傳輸過(guò)程中免受偶然或惡意的泄密、非法訪問(wèn)或破壞 安全威脅 ? 網(wǎng)絡(luò)入侵、病毒破壞、信息對(duì)抗等 安全措施 ? 防火墻、防病毒、漏洞掃描、入侵檢測(cè)、 PKI、 VPN等 18 信息安全保障 IA ? Information Assurance ? 今天，將來(lái) …… 核心思想 ?動(dòng)態(tài)安全 ,保障信息系統(tǒng)的業(yè)務(wù)正常、穩(wěn)定的運(yùn)行 ?綜合技術(shù)、管理、過(guò)程、人員 安全威脅 ? 黑客、恐怖分子、信息戰(zhàn)、自然災(zāi)難、電力中斷等 安全措施 ? 技術(shù)安全保障體系、安全管理體系、人員意識(shí) /培訓(xùn) /教育 19 階段 年代 安全威脅 安全措施 通信安全 20世紀(jì)， 40— 70年代 搭線竊聽、 密碼學(xué)分析 加密 計(jì)算機(jī)安全 20世紀(jì)， 7090年代 非法訪問(wèn)、 惡意代碼、 脆弱口令等 安全操作系統(tǒng)設(shè)計(jì)技術(shù)（ TCB） 信息系統(tǒng)安全 20世紀(jì)， 90年代后 網(wǎng)絡(luò)入侵、 病毒破壞、 信息對(duì)抗等 防火墻、防病毒、 漏洞掃描、 入侵檢測(cè)、 PKI、 VPN等 信息安全保障 今天， …… 黑客、恐怖分子、 信息戰(zhàn)、 自然災(zāi)難、 電力中斷等 技術(shù)安全保障體系 安全管理體系 人員意識(shí) /培訓(xùn) /教育 信息安全發(fā)展各階段特點(diǎn) 20 信息安全 保障概念發(fā)展 ? 第一次定義 ? 1996年，美國(guó)國(guó)防部 DoD指令 （ DoDD ）中，給出了信息安全保障的定義 ? 中國(guó) ? 中辦發(fā) 27號(hào)文 《 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見 》 ，是信息安全保障工作的綱領(lǐng)性文件 ? 目前，信息安全保障的概念已逐漸被全世界信息安全領(lǐng)域所 接受 ? 美國(guó) ? 英國(guó) ? 日本 ? … 21 信息安全保障含義 ?保障目標(biāo) ? 信息系統(tǒng)業(yè)務(wù)和使命 安全 ?保障措施 ? 防止 信息泄露、修改和 破壞 ? 檢測(cè) 入侵 行為，實(shí)施響應(yīng)和改進(jìn)措施 ?同傳統(tǒng)信息 安全概念相比較 ? 強(qiáng)調(diào)檢測(cè)和響應(yīng)，強(qiáng)調(diào)動(dòng)態(tài)安全 ? 注重對(duì) 信息系統(tǒng)進(jìn)行全生命周期的保護(hù) ? 關(guān)注技術(shù)、 管理 、規(guī)范等方面 ? 要求 實(shí)現(xiàn)風(fēng)險(xiǎn)管控的 目標(biāo) 22 新 階段 —— 網(wǎng)絡(luò)空間安全 /信息安全保障 ? CS/IA： Cyberspace Security/Information Assurance ? 威脅 ? 有組織網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)恐怖主義 、網(wǎng)絡(luò) 空間軍事 對(duì)抗、 APT ? 共識(shí) ：網(wǎng)絡(luò)安全問(wèn)題上升到國(guó)家安全的重要程度 ? 2023年，在美國(guó)帶動(dòng)下，世界各國(guó)信息安全政策、技術(shù)和實(shí)踐等發(fā)生重大變革 …… ? 核心思想： 從傳統(tǒng)防御的信息保障（ IA），發(fā)展到“威懾”為主的防御、攻擊和情報(bào)三位一體的信息保障 /網(wǎng)絡(luò)安全（ IA/CS）的網(wǎng)空安全 ? 網(wǎng)絡(luò)防御 Defense（運(yùn)維） ? 網(wǎng)絡(luò)攻擊 Offense（威懾） ? 網(wǎng)絡(luò)利用 Exploitation（情報(bào)） 23 知識(shí)體：信息安全保障理論及實(shí)踐 ?知 識(shí)域 ： 信息安全保障模型 ? 了解 信息系統(tǒng)、風(fēng)險(xiǎn)、保障和使命之間的關(guān)系 ? 掌握 信息系統(tǒng)安全保障模型，理解其保障要素、 生命周期 和安全特征的內(nèi)容和含義 ? 理解 PDCA模型內(nèi)容和特點(diǎn) ? 了解 信息保障技術(shù)框架（ IATF）的核心要素和焦點(diǎn)區(qū)域 24 信息系統(tǒng)、風(fēng)險(xiǎn)、保障和使命 ?風(fēng)險(xiǎn) ? 可能導(dǎo)致信息安全問(wèn)題 ? 影響信息系統(tǒng)業(yè)務(wù)使命 ?保障 ? 制定策略、執(zhí)行措施 ? 降低風(fēng)險(xiǎn)、保障使命 ?使命 ? 信息系統(tǒng)業(yè)務(wù)使命 ? 貫穿整個(gè)生命周期 25 什么是信息安全風(fēng)險(xiǎn) ?外在威脅利用信息系統(tǒng)存在的脆弱性，致其損失或破壞對(duì)系統(tǒng)價(jià)值造成損害的可能性 信息系統(tǒng) 威脅 防護(hù)措施 脆弱性 風(fēng)險(xiǎn) 利用 對(duì)抗 導(dǎo)致 增加 減少 作用于 26 信息系統(tǒng)為什么需要安全保障 ?組織機(jī)構(gòu)的使命 /業(yè)務(wù)目標(biāo)實(shí)現(xiàn)越來(lái)越依賴于信息系統(tǒng) ?信息系統(tǒng)成為組織機(jī)構(gòu)生存和發(fā)展的關(guān)鍵因素 ?信息系統(tǒng)的安全風(fēng)險(xiǎn)也成為組織風(fēng)險(xiǎn)的一部分 ?為了保障組織機(jī)構(gòu)完成其使命，必須加強(qiáng)信息安全保障，抵抗這些 風(fēng)險(xiǎn) 27 信息系統(tǒng)安全 保障定義 信息系統(tǒng)安全保障是在信息系統(tǒng)的 整個(gè)生命周期 中，通過(guò)對(duì)信息系統(tǒng)的 風(fēng)險(xiǎn)分析 ，制定并執(zhí)行相應(yīng)的安全保障策略，從 技術(shù)、管理、工程和人員 等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性 ，降低安全風(fēng)險(xiǎn)到可接受的程度，從而保障系統(tǒng)實(shí)現(xiàn) 組織機(jī)構(gòu)的使命 。 28 技術(shù)工程管理人員保障要素開發(fā)采購(gòu)實(shí)施交付運(yùn)行維護(hù)完整性可用性廢棄保密性安全特征計(jì)劃組織生命周期《 信息 安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架 第一部分：簡(jiǎn)介和一般模型 》 (GB/T ) 信息系統(tǒng)安全保障模 型 保障評(píng)估框架 29 信息系統(tǒng)安全保障 模型 特點(diǎn) ?安全特征 ? 保證 其所創(chuàng)建、傳輸、存儲(chǔ)和處理信息的保密性、完整性和可用性。 PDCA循環(huán) ?PDCA ? 也稱“戴明環(huán)”，由美國(guó)質(zhì)量管理專家戴明提出 ? P（ Plan）： 計(jì)劃 ? 確定 方針和目標(biāo)，確定活動(dòng)計(jì)劃 ? D（ Do）： 實(shí)施 ? 實(shí)際 去做，實(shí)現(xiàn)計(jì)劃中的內(nèi)容 ? C（ Check）： 檢查 ? 總結(jié) 執(zhí)行計(jì)劃的結(jié)果 ，找出 問(wèn)題 ? A（ Act）： 改進(jìn) ? 采取 糾正和預(yù)防措施進(jìn)一步提高過(guò)程質(zhì)量 45 PDCA循環(huán)的特點(diǎn) ? 特點(diǎn)一 ? 循序漸進(jìn)，周而復(fù)始 ? 按順序進(jìn)行，它靠組織的力量來(lái)推動(dòng)，像車輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán) ? 特點(diǎn)二 ? 層層循環(huán)，環(huán)環(huán)相扣 ? 組織中的每個(gè)部分