预览加载中,请您耐心等待几秒...
1/10
2/10
3/10
4/10
5/10
6/10
7/10
8/10
9/10
10/10

亲,该文档总共97页,到这已经超出免费预览范围,如果喜欢就直接下载吧~

如果您无法下载资料,请参考说明:

1、部分资料下载需要金币,请确保您的账户上有足够的金币

2、已购买过的文档,再次下载不重复扣费

3、资料包下载后请先用软件解压,在使用对应软件打开

信息安全保障概述课程内容知识体:信息安全保障框架什么是安全?什么是信息安全?什么是信息安全?什么是信息安全?什么是信息安全为什么会有信息安全问题?信息系统安全问题产生的根源与环节内在复杂——过程安全问题根源—内因系统越来越复杂安全问题根源—内因我们使用的网络是开放的内在复杂——使用安全问题根源—外因来自对手的威胁安全问题根源—外因来自自然的破坏信息安全的范畴信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变从单纯的技术性问题变成事关国家安全的全球性问题。信息安全和信息安全保障适用于所有技术领域。硬件软件军事计算机通讯指挥控制和情报(C4I)系统制造工艺控制系统决策支持系统电子商务电子邮件生物医学系统和智能运输系统(ITS)。信息安全发展阶段COMSEC:CommunicationSecurity20世纪40年代-70年代核心思想:通过密码技术解决通信保密保证数据的保密性和完整性主要关注传输过程中的数据保护安全威胁:搭线窃听、密码学分析安全措施:加密标志1949年:shannon发表《保密通信的信息理论》1977年:美国国家标准局公布数据加密标准DES1976年:Diffle和Hellman在“NewDirectionsinCryptography”一文中提出公钥密码体系COMPUSEC:ComputerSecurity20世纪70-90年代核心思想:预防、检测和减小计算机系统(包括软件和硬件)用户(授权和未授权用户)执行的未授权活动所造成的后果。主要关注于数据处理和存储时的数据保护。安全威胁:非法访问、恶意代码、脆弱口令等安全措施:安全操作系统设计技术(TCB)标志:1985年美国国防部的可信计算机系统评估保障(TCSEC橙皮书)将操作系统安全分级(D、C1、C2、B1、B2、B3、A1);后补充红皮书TNI(1987)和TDI(1991)发展为彩虹(rainbow)系列INFOSEC:InformationSecurity20世纪90年代后核心思想:综合通信安全和计算机安全安全重点在于保护比“数据”更精炼的“信息”确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏。安全威胁:网络入侵、病毒破坏、信息对抗等安全措施:防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等标志安全评估保障CC(ISO15408GB/T18336)信息安全保障发展历史IA:InformationAssurance今天将来……核心思想:保障信息和信息系统资产保障组织机构使命的执行;综合技术、管理、过程、人员;确保信息的保密性、完整性和可用性。安全威胁:黑客、恐怖分子、信息战、自然灾难、电力中断等安全措施:技术安全保障体系、安全管理体系、人员意识/培训/教育、认证和认可标志:技术:美国国防部的IATF深度防御战略管理:BS7799/ISO17799系统认证:美国国防部DITSCAP网络空间安全/信息安全保障2008年1月布什政府发布了国家网络安全综合倡议(CNCI)号称网络安全“曼哈顿项目”提出威慑概念其中包括爱因斯坦计划、情报对抗、供应链安全、超越未来(“Leap-Ahead”)技术战略2009年5月29日发布了《网络空间政策评估:确保信息和通讯系统的可靠性和韧性》报告2009年6月25日英国推出了首份“网络安全战略”并将其作为同时推出的新版《国家安全战略》的核心内容2009年6月美国成立网络战司令部12月22日奥巴马任命网络安全专家担任“网络沙皇”…阶段信息安全保障作用经济稳定和安全信息安全保障是一种立体保障信息系统安全保障是在信息系统的整个生命周期中通过对信息系统的风险分析制定并执行相应的安全保障策略从技术、管理、工程和人员等方面提出安全保障要求确保信息系统的保密性、完整性和可用性降低安全风险到可接受的程度从而保障系统实现组织机构的使命。国家标准:《GB/T20274.1-2006信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型》安全保障的目标是支持业务信息安全保障需要持续进行信息安全保障个人信息可能面临的安全威胁案例1案例2案例2(续)单位信息系统面临的主要安全威胁案例1:违规上网造成重大失泄密IIS存在unicode漏洞案例3:网络故障造成航班延误和旅客滞留什么是信息安全风险什么是信息安全风险什么是信息安全风险什么是信息安全风险信息系统安全保障含义总结信息系统安全保障含义总结如何保障信息安全?信息安全保障体系构成的要素策略体系科学的信息安全工程过程参见:中国信息安全产品测评认证中心的“国家信息安全测评认证”2004年第2期P6-P14高素质的人员队伍知识体:信息安全保障框架636465666768