信息安全保障概述课程内容知识体：信息安全保障框架什么是安全？什么是信息安全？什么是信息安全？什么是信息安全？什么是信息安全为什么会有信息安全问题？信息系统安全问题产生的根源与环节内在复杂——过程安全问题根源—内因系统越来越复杂安全问题根源—内因我们使用的网络是开放的内在复杂——使用安全问题根源—外因来自对手的威胁安全问题根源—外因来自自然的破坏信息安全的范畴信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础 信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变 从单纯的技术性问题变成事关国家安全的全球性问题。 信息安全和信息安全保障适用于所有技术领域。 硬件 软件 军事计算机通讯指挥控制和情报(C4I)系统，制造工艺控制系统，决策支持系统，电子商务，电子邮件，生物医学系统和智能运输系统(ITS)。 信息安全发展阶段COMSEC：CommunicationSecurity 20世纪，40年代-70年代 核心思想： 通过密码技术解决通信保密，保证数据的保密性和完整性 主要关注传输过程中的数据保护 安全威胁：搭线窃听、密码学分析 安全措施：加密 标志 1949年：shannon发表《保密通信的信息理论》 1977年：美国国家标准局公布数据加密标准DES 1976年：Diffle和Hellman在“NewDirectionsinCryptography”一文中提出公钥密码体系COMPUSEC：ComputerSecurity 20世纪，70-90年代 核心思想： 预防、检测和减小计算机系统（包括软件和硬件）用户（授权和未授权用户）执行的未授权活动所造成的后果。 主要关注于数据处理和存储时的数据保护。 安全威胁：非法访问、恶意代码、脆弱口令等 安全措施：安全操作系统设计技术（TCB） 标志： 1985年，美国国防部的可信计算机系统评估保障（TCSEC，橙皮书），将操作系统安全分级（D、C1、C2、B1、B2、B3、A1）；后补充红皮书TNI（1987）和TDI（1991），发展为彩虹（rainbow）系列INFOSEC：InformationSecurity 20世纪，90年代后 核心思想： 综合通信安全和计算机安全安全 重点在于保护比“数据”更精炼的“信息”，确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏。 安全威胁：网络入侵、病毒破坏、信息对抗等 安全措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等 标志 安全评估保障CC（ISO15408，GB/T18336）信息安全保障发展历史IA：InformationAssurance 今天，将来…… 核心思想： 保障信息和信息系统资产，保障组织机构使命的执行； 综合技术、管理、过程、人员； 确保信息的保密性、完整性和可用性。 安全威胁：黑客、恐怖分子、信息战、自然灾难、电力中断等 安全措施：技术安全保障体系、安全管理体系、人员意识/培训/教育、认证和认可 标志： 技术：美国国防部的IATF深度防御战略 管理：BS7799/ISO17799 系统认证：美国国防部DITSCAP网络空间安全/信息安全保障2008年1月，布什政府发布了国家网络安全综合倡议（CNCI），号称网络安全“曼哈顿项目”，提出威慑概念，其中包括爱因斯坦计划、情报对抗、供应链安全、超越未来（“Leap-Ahead”）技术战略 2009年5月29日发布了《网络空间政策评估：确保信息和通讯系统的可靠性和韧性》报告 2009年6月25日，英国推出了首份“网络安全战略”，并将其作为同时推出的新版《国家安全战略》的核心内容 2009年6月，美国成立网络战司令部 12月22日，奥巴马任命网络安全专家担任“网络沙皇” …阶段信息安全保障作用经济稳定和安全信息安全保障是一种立体保障信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。国家标准：《GB/T20274.1-2006信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型》安全保障的目标是支持业务信息安全保障需要持续进行信息安全保障个人信息可能面临的安全威胁案例1案例2案例2（续）单位信息系统面临的主要安全威胁案例1：违规上网造成重大失泄密IIS存在unicode漏洞案例3：网络故障造成航班延误和旅客滞留什么是信息安全风险什么是信息安全风险什么是信息安全风险什么是信息安全风险信息系统安全保障含义总结信息系统安全保障含义总结如何保障信息安全？信息安全保障体系构成的要素策略体系科学的信息安全工程过程参见：中国信息安全产品测评认证中心的“国家信息安