【正文】 ra 信息網(wǎng)絡(luò) 業(yè)務(wù)處室 行政部門 財(cái)務(wù)門 人事部 路由 Inter 中繼 安 全 隱 患 外部 /個(gè)體 外部 /組織 內(nèi)部 /個(gè)體 內(nèi)部 /組織 關(guān)閉安全維護(hù) “后門” 更改缺省的 系統(tǒng)口令 漏洞掃描 補(bǔ)丁管理 Modem 數(shù)據(jù)文件加密 訪問(wèn)控制 審計(jì)系統(tǒng) 入侵檢測(cè) 實(shí)時(shí)監(jiān)控 病毒防護(hù) 55 完善的信息安全技術(shù)體系 信息安全規(guī)劃管理( M S P )信息系統(tǒng)生命周期規(guī)劃組織 開(kāi)發(fā)采購(gòu) 實(shí)施交付 運(yùn)行維護(hù) 廢棄信息系統(tǒng)生命周期規(guī)劃組織 開(kāi)發(fā)采購(gòu) 實(shí)施交付 運(yùn)行維護(hù) 廢棄系統(tǒng)開(kāi)發(fā)管理( M S D)運(yùn)行管理 ( M OP )應(yīng)急響應(yīng)管理 ( M E R)業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)管理 ( M BD )信息安全策略 ( M S P )風(fēng)險(xiǎn)管理 ( M RM )物理和環(huán)境安全(MPE)符合性管理 ( M CM )資產(chǎn)管理(MAM)人員安全(MPS)信息安全組織機(jī)構(gòu)(MSO)56 有效的信息安全管理體系 策略體系 風(fēng)險(xiǎn)管理 系統(tǒng)測(cè)評(píng) /風(fēng)險(xiǎn)評(píng)估 生命周期安全管理 對(duì)手，動(dòng)機(jī) 和攻擊 國(guó)家 /業(yè)務(wù) /機(jī)構(gòu) 策略，規(guī)范， 標(biāo)準(zhǔn) 使命要求 組織體系建設(shè) 業(yè)務(wù)持續(xù)性管理 應(yīng)急響應(yīng)管理 意識(shí)培訓(xùn)和教育 策略 標(biāo)準(zhǔn) 流程，指導(dǎo)方針 amp。 49 信息系統(tǒng)安全 保障含義 總結(jié) ?出發(fā)點(diǎn)和核心 ? 在信息系統(tǒng)所處的運(yùn)行環(huán)境里，以風(fēng)險(xiǎn)和策略為出發(fā)點(diǎn)，即從信息系統(tǒng)所面臨的風(fēng)險(xiǎn)出發(fā)制定組織機(jī)構(gòu)信息系統(tǒng)安全保障策略， ?信息系統(tǒng)生命周期 ? 通過(guò)在信息系統(tǒng)生命周期中從技術(shù)、管理、工程和人員等方面提出安全保障 要求。 ? 這是一個(gè)在有限資源前提下的最優(yōu)選擇問(wèn)題： ? 防范不足會(huì)造成直接的損失；防范過(guò)多又會(huì)造成間接的損失。但風(fēng)險(xiǎn)必須是能夠管理的。 信息安全保障定義 40 技術(shù)工程管理人員保障要素開(kāi)發(fā)采購(gòu)實(shí)施交付運(yùn)行維護(hù)完整性可用性廢棄保密性安全特征計(jì)劃組織生命周期國(guó)家標(biāo)準(zhǔn)： 《 GB/T 信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架 第一部分：簡(jiǎn)介和一般模型 》 信息系統(tǒng)安全保障模型 41 安全保障的目標(biāo)是支持業(yè)務(wù) ?信息安全保障是為了支撐業(yè)務(wù)高效穩(wěn)定運(yùn)行 ?要以安全促發(fā)展，在發(fā)展中求安全 42 信息安全保障需要持續(xù)進(jìn)行 43 什么是安全？ 安全 Security：事物保持不受損害 44 什么是信息安全？ 不該知道的人，不讓他知道！ 45 什么是信息安全？ 信息不能追求殘缺美！ 46 什么是信息安全？ 信息要方便、快捷！ 不能像某國(guó)首都二環(huán)早高峰，也不能像春運(yùn)的火車站 47 什么是信息安全？ 秘密保密性（ Confid e nt ia li t y ）完整性（ In te grit y ）可用性（ A v a il a bi li t y ）信息本身的機(jī)密性（ Confidentiality）、完整性（ Integrity）和可用性（ Availability）的保持，即防止防止未經(jīng)授權(quán)使用信息、防止對(duì)信息的非法修改和破壞、確保及時(shí)可靠地使用信息。 ? 技術(shù)管理或組織管理的不完善，給威脅提供了機(jī)會(huì)。 對(duì)風(fēng)險(xiǎn)的理解 31 知識(shí)域：信息安全保障原理 ?知識(shí)子域：信息安全問(wèn)題產(chǎn)生的根源 ? 理解信息安全的內(nèi)因：信息系統(tǒng)的復(fù)雜性 ? 理解信息安全的外因：人為和環(huán)境的威脅 32 為什么會(huì)有信息安全問(wèn)題？ ?因?yàn)橛胁《締幔? ? 因?yàn)橛泻诳蛦幔? ? 因?yàn)橛新┒磫幔? 這些都是原因， 但沒(méi)有說(shuō)到根源 33 ?內(nèi)因： 信息系統(tǒng)復(fù)雜性：過(guò)程復(fù)雜，結(jié)構(gòu)復(fù)雜，應(yīng)用復(fù)雜 ?外因： 人為和環(huán)境 : 威脅與破壞 信息安全問(wèn)題產(chǎn)生根源 34 ?系統(tǒng)理論：在程序與數(shù)據(jù)上存在 “ 不確定性 ” ?設(shè)計(jì)：從設(shè)計(jì)的角度看，在設(shè)計(jì)時(shí)考慮的優(yōu)先級(jí)中安全性相對(duì)于易用性、代碼大小、執(zhí)行程度等因素被放在次要的位置 ?實(shí)現(xiàn)：由于人性的弱點(diǎn)和程序設(shè)計(jì)方法學(xué)的不完善，軟件總是存在 BUG。 ?風(fēng)險(xiǎn)是指威脅利用資產(chǎn)或一組資產(chǎn)的脆弱性對(duì)組織機(jī)構(gòu)造成傷害的潛在可能。 ?運(yùn)行環(huán)境 :包括人員、管理等系統(tǒng)綜合的一個(gè)整體 對(duì)信息系統(tǒng)的理解 29 ?ISO/IEC 15408（ CC）中保障被定義為：實(shí)體滿足其安全目的的信心基礎(chǔ)（ Grounds for confidence that an entity meets its security objectives)。 國(guó)家安全 保護(hù)對(duì)敏感的經(jīng)濟(jì)資產(chǎn)及其他戰(zhàn)略資產(chǎn)的獲取與披露 個(gè)人，社會(huì)，相鄰國(guó)家，全球貿(mào)易伙伴，跨國(guó)公司 電信，銀行與金融，電力，石油和天然氣，供水，運(yùn)輸，應(yīng)急響應(yīng)，政府。 社會(huì)穩(wěn)定 免受社會(huì)動(dòng)亂，暴力，斷絕生路，個(gè)人安全的困擾 個(gè)人，社會(huì) 電信，銀行與金融，電力，石油和天然氣，供水，運(yùn)輸，應(yīng)急響應(yīng)，政府。 信息安全保障的意義 26 經(jīng)濟(jì)穩(wěn)定和安全 免受經(jīng)濟(jì)損失，混亂，物資和服務(wù)匱乏的困擾 個(gè)人，社會(huì)，金融機(jī)構(gòu)，批發(fā)、零售企業(yè)，制造業(yè)，本地、全國(guó)、全球貿(mào)易。 信息安全的地位和作用 25 信息安全保障作用 益處 受益者 基礎(chǔ)設(shè)施系統(tǒng) 人類安全 免受偶然和惡意的事故造成的死傷 個(gè)人及家庭、制造商、經(jīng)銷商、操作者 電信，電力，石油和天然氣，供水，運(yùn)輸，應(yīng)急響應(yīng)。 ?信息安全和信息安全保障適用于所有技術(shù)領(lǐng)域。 ? 安全威脅：網(wǎng)絡(luò)入侵、病毒破壞、信息對(duì)抗等 ? 安全措施：防火墻、防病毒、漏洞掃描、入侵檢測(cè)、 PKI、 VPN等 ? 標(biāo)志 ? 安全評(píng)估保障 CC（ ISO 15408， GB/T 18336） 信息系統(tǒng)安全 16 ?IA： Information Assurance ?今天，將來(lái) …… ? 核心思想： ? 保障信息和信息系統(tǒng)資產(chǎn)，保障組織機(jī)構(gòu)使命的執(zhí)行； ? 綜合技術(shù)、管理、過(guò)程、人員； ? 確保信息的保密性、完整性和可用性。 ? 主要關(guān)注于數(shù)據(jù)處理和存儲(chǔ)時(shí)的數(shù)據(jù)保護(hù) 。 ? 中國(guó)： 中辦發(fā) 27號(hào)文 《 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn) 》 ，是信息安全保障工作的綱領(lǐng)性文件 ? 信息安全保障發(fā)展歷史 ? 從通信安全（ COMSEC） 〉 計(jì)算機(jī)安全（ COMPUSEC） 〉 信息系統(tǒng)安全（ INFOSEC） 〉 信息安全保障（ IA） 〉 網(wǎng)絡(luò)空間安全 /信息安全保障（ CS/IA） 。 6 電報(bào)電話技術(shù) ?20世紀(jì)， 40年代 70年代 ? 通過(guò)密碼技術(shù)解決通信保密，內(nèi)容篡改 轉(zhuǎn)輪密碼機(jī) ENIGMA， 1944年裝備德國(guó)海軍 以二戰(zhàn)時(shí)期真實(shí)歷史為背景的，關(guān)于電報(bào)密文竊聽(tīng)和密碼破解的故事 7 計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù) ?20世