CISP0101信息安全保障_v3.0.pptx

信息安全保障,培训机构名称讲师姓名,版本：3.0发布日期：2014-12-1生效日期：2015-1-1,课程内容,信息安全保障基础,知识体,知识域,信息安全保障背景,信息安全保障概念与模型,知识子域,信息系统安全保障概念与模型,知识域：信息安全保障背景,知识子域：信息安全内涵和外延理解信息安全基本概念，理解信息安全基本属性：保密性、完整性和可用性理解信息安全的特征与范畴知识子域：信息安全问题根源理解信息安全问题产生的内因是信息系统自身存在脆弱性理解信息安全问题产生的外因是信息系统面临着众多威胁,3,信息与信息安全,信息:数据/信息流信息安全保密性完整性可用性信息的以上三个基本安全属性习惯上简称为CIA（Confidentiality-Integrity-Availability）。,4,信息安全特征信息安全是系统的安全信息安全是动态的安全信息安全是无边界的安全信息安全是非传统的安全信息安全的范畴信息技术问题技术系统的安全问题组织管理问题人+技术系统+组织内部环境社会问题法制、舆论国家安全问题信息战、虚拟空间,信息安全的特征与范畴,5,信息安全问题产生根源,6,因为有病毒吗？,因为有黑客吗？,因为有漏洞吗？,这些都是原因，但没有说到根源,内因：信息系统自身存在脆弱性过程复杂结构复杂应用复杂外因：威胁与破坏人为和环境,信息安全问题产生根源,7,系统理论：在程序与数据上存在“不确定性”设计：从设计的角度看，在设计时考虑的优先级中安全性相对于易用性、代码大小、执行程度等因素被放在次要的位置实现：由于人性的弱点和程序设计方法学的不完善，软件总是存在BUG。使用、运行：人为的无意失误、人为的恶意攻击如：无意的文件删除、修改主动攻击：利用病毒、入侵工具实施的操作被动攻击：监听、截包维护技术体系中安全设计和实现的不完整。技术管理或组织管理的不完善，给威胁提供了机会。,内在复杂-过程,8,工作站中存在信息数据员工移动介质网络中其他系统网络中其他资源访问Internet访问其他局域网到Internet的其他路由电话和调制解调器开放的网络端口远程用户厂商和合同方的访问访问外部资源公共信息服务运行维护环境,内在复杂-结构,9,内在复杂-使用,10,外因人为的威胁,11,外因自然威胁,12,知识域：信息安全保障背景,知识子域：信息技术与信息安全发展阶段了解通信、计算机、网络和网络化社会等阶段信息技术的发展概况了解信息技术和网络对经济发展、社会稳定及国家安全等方面的影响了解通信安全、计算机安全、信息系统安全和信息安全保障等阶段信息安全的发展概况，了解各个阶段信息安全面临的主要威胁和防护措施,13,信息安全发展阶段,14,解决传输数据安全斯巴达人的智慧：公元前500年，斯巴达人把一条羊皮螺旋形地缠在一个圆柱形棒上写数据现代人的智慧：20世纪，40年代-70年代通过密码技术解决通信保密，内容篡改,15,通信安全,COMSEC：Communication Security20世纪，40年代-70年代核心思想：通过密码技术解决通信保密，保证数据的保密性和完整性主要关注传输过程中的数据保护 安全威胁：搭线窃听、密码学分析安全措施：加密,16,计算机安全,COMPUSEC：Computer Security20世纪，70-90年代核心思想：预防、检测和减小计算机系统（包括软件和硬件）用户（授权和未授权用户）执行的未授权活动所造成的后果。主要关注于数据处理和存储时的数据保护。安全威胁：非法访问、恶意代码、脆弱口令等安全措施：通过操作系统的访问控制技术来防止非授权用户的访问,17,信息系统安全,INFOSEC：Information Security20世纪，90年代后核心思想：综合通信安全和计算机安全安全重点在于保护比“数据”更精炼的“信息”，确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏。安全威胁：网络入侵、病毒破坏、信息对抗等安全措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等,18,网络化社会,新世纪信息技术应用于人类社会的方方面面军事经济文化现在人们意识到：技术很重要，但技术不是一切；信息系统很重要，只有服务于组织业务使命才有意义,19,信息安全保障,IA：Information Assurance今天，将来核心思想：信息安全从技术扩展到管理，从静态扩展到动态通过技术、管理和工程等措施的综合融合，形成对信息、信息系统乃至业务使命的保障。安全威胁：黑客、恐怖分子、信息战、自然灾难、电力中断等安全措施：技术安全保障体系、安全管理体系、人员意识/培训/教育、认证和认可,20,CS/IA：Cyber Security/Information Assurance2009年，在美国带动下，世界各国信息安全政策、技术和实践等发生重大变革共识：网络安全问题上升到国家安全的重要程度核心思想：从传统防御的信息保障（IA），发展到“威慑”为主的防御、攻击和情报三位一体的信息保障/网络安全（IA/CS）的网空安全网络防御-Defense（运维）网络攻击-Offense（威慑）网络利用-Exploitation（情报）,21,信息安全保障发展历史,第一次定义：在1996年美国国防部DoD指令5-3600.1（DoDD 5-3600.1）中，美国信息安全界第一次给出了信息安全保障的标准化定义现在：信息安全保障的概念已逐渐被全世界信息安全领域所接受。中国：中办发27号文国家信息化领导小组关于加强信息安全保障工作的意见，是信息安全保障工作的纲领性文件信息安全保障发展历史从通信安全（COMSEC）-计算机安全（COMPUSEC）-信息系统安全（INFOSEC）-信息安全保障（IA）-网络空间安全/信息安全保障（CS/IA）。,22,网络空间安全/信息安全保障,2008年1月，布什政府发布了国家网络安全综合倡议（CNCI），号称网络安全“曼哈顿项目”，提出威慑概念，其中包括爱因斯坦计划、情报对抗、供应链安全、超越未来（“Leap-Ahead”）技术战略2009年5月29日发布了网络空间政策评估：确保信息和通讯系统的可靠性和韧性报告 2009年6月25日，英国推出了首份“网络安全战略”，并将其作为同时推出的新版国家安全战略的核心内容2009年6月，美国成立网络战司令部12月22日，奥巴马任命网络安全专家担任“网络沙皇”2011年5月，美国发布网络空间国际战略，明确了针对网络攻击的指导原则,23,信息安全保障是一种立体保障,24,知识域：信息安全保障概念与模型,知识子域：信息安全保障理解信息安全保障的概念理解信息安全保障与信息安全、信息系统安全的区别,25,信息安全保障定义,26,防止信息泄露、修改和破坏检测入侵行为，计划和部署针对入侵行为的防御措施采用安全措施和容错机制在遭受攻击的情况下保证机密性、私密性、完整性、抗抵赖性、真实性、可用性和可靠性修复信息和信息系统所遭受的破坏,与信息安全、信息系统安全的区别,信息安全保障的概念更加广泛。信息安全的重点是保护和防御，而安全保障的重点 是保护、检测和响应综合信息安全不太关注检测和响应，但是信息安全保障非常关注这两点攻击后的修复不在传统信息安全概念的范围之内，但是它是信息安全保障的重要组成部分。信息安全的目的是为了防止攻击的发生，而信息安全保障的目的是为了保证信息系统始终能保证维持特定水平的可用性、完整性、真实性、机密性和抗抵赖性。,27,知识域：信息安全保障概念与模型,知识子域：信息安全保障相关模型理解P2DR模型的基本原理：策略、防护、检测及响应，以及P2DR公式所表达的安全目标理解P2DR数学公式所表达的安全目标理解IATF的深度防御思想，及其将信息系统在技术层面的防御划分为本地计算环境、区域边界、网络基础设施和支撑性基础设施四个方面，理解每一方面的安全需求及基本实现方法,28,什么是信息安全模型通过建模的思想来解决网络安全管理问题，有效抵御外部攻击，保障网络安全安全模型用于精确和形式地描述信息系统的安全特征，解释系统安全相关行为。为什么需要安全模型能准确地描述安全的重要方面与系统行为的关系。能提高对成功实现关键安全需求的理解层次。从中开发出一套安全性评估准则，和关键的描述变量,安全模型的概念,29,思想：承认漏洞，正视威胁，适度防护，加强检测，落实反应，建立威慑出发点：任何防护措施都是基于时间的，是可以被攻破的核心与本质：给出攻防时间表固定防守、测试攻击时间；固定攻击手法，测试防守时间缺点：难于适应网络安全环境的快速变化,基于时间的PDR模型,30,攻击者,基于PDR的安全架构,31,PDR模型强调落实反应P2DR模型则更强调控制和对抗，即强调系统安全的动态性以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全特别考虑人为的管理因素,