01-CISP-2013-信息安全保障

信息安全保障培训机构培训讲师课程内容2知识域：信息安全保障背景知识子域：信息安全发展阶段了解电报/电话、计算机、网络等阶段信息技术发展概况及各阶段信息安全面临的主要威胁和防护措施了解信息化和网络对个人、企事业单位和社会团体、经济发展、社会稳定、国家安全等方面的影响及信息安全保障的概念3网络化社会网络计算机通信（电报\电话）信息安全发展阶段4COMSEC通信安全COMPUSEC计算机安全INFOSEC信息系统安全IA信息安全保障CS/IA网络空间安全/信息安全保障电报电话解决传输数据安全斯巴达人的智慧：公元前500年，斯巴达人把一条羊皮螺旋形地缠在一个圆柱形棒上写数据现代人的智慧：20世纪，40年代-70年代通过密码技术解决通信保密，内容篡改5COMSEC：CommunicationSecurity20世纪，40年代-70年代核心思想：•通过密码技术解决通信保密，保证数据的保密性和完整性•主要关注传输过程中的数据保护安全威胁：搭线窃听、密码学分析安全措施：加密标志•1949年：shannon发表《保密通信的信息理论》•1977年：美国国家标准局公布数据加密标准DES•1976年：Diffle和Hellman在“NewDirectionsinCryptography”一文中提出公钥密码体系通信安全6COMPUSEC：ComputerSecurity20世纪，70-90年代核心思想：•预防、检测和减小计算机系统（包括软件和硬件）用户（授权和未授权用户）执行的未授权活动所造成的后果。•主要关注于数据处理和存储时的数据保护。安全威胁：非法访问、恶意代码、脆弱口令等安全措施：安全操作系统设计技术（TCB）标志：•1985年，美国国防部的可信计算机系统评估保障（TCSEC，橙皮书），将操作系统安全分级（D、C1、C2、B1、B2、B3、A1）；后补充红皮书TNI（1987）和TDI（1991），发展为彩虹（rainbow）系列计算机安全7INFOSEC：InformationSecurity20世纪，90年代后核心思想：•综合通信安全和计算机安全安全•重点在于保护比“数据”更精炼的“信息”，确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏。安全威胁：网络入侵、病毒破坏、信息对抗等安全措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等标志•安全评估保障CC（ISO15408，GB/T18336）信息系统安全8网络化社会新世纪信息技术应用于人类社会的方方面面军事经济文化……现在人们意识到：技术很重要，但技术不是一切；信息系统很重要，只有服务于组织业务使命才有意义9IA：InformationAssurance今天，将来……核心思想：•保障信息和信息系统资产，保障组织机构使命的执行；•综合技术、管理、过程、人员；•确保信息的保密性、完整性和可用性。安全威胁：黑客、恐怖分子、信息战、自然灾难、电力中断等安全措施：技术安全保障体系、安全管理体系、人员意识/培训/教育、认证和认可标志：•技术：美国国防部的IATF深度防御战略•管理：BS7799/ISO17799•系统认证：美国国防部DITSCAP信息安全保障10网络空间安全/信息安全保障CS/IA：CyberSecurity/InformationAssurance2009年，在美国带动下，世界各国信息安全政策、技术和实践等发生重大变革……共识：网络安全问题上升到国家安全的重要程度核心思想：从传统防御的信息保障（IA），发展到“威慑”为主的防御、攻击和情报三位一体的信息保障/网络安全（IA/CS）的网空安全•网络防御-Defense（运维）•网络攻击-Offense（威慑）•网络利用-Exploitation（情报）11信息安全保障发展历史第一次定义：在1996年美国国防部DoD指令5-3600.1（DoDD5-3600.1）中，美国信息安全界第一次给出了信息安全保障的标准化定义现在：信息安全保障的概念已逐渐被全世界信息安全领域所接受。中国：中办发27号文《国家信息化领导小组关于加强信息安全保障工作的意见》，是信息安全保障工作的纲领性文件信息安全保障发展历史从通信安全（COMSEC）-〉计算机安全（COMPUSEC）-〉信息系统安全（INFOSEC）-〉信息安全保障（IA）-〉网络空间安全/信息安全保障（CS/IA）。122008年1月，布什政府发布了国家网络安全综合倡议（CNCI），号称网络安全“曼哈顿项目”，提出威慑概念，其中包括爱因斯坦计划、情报对抗、供应链安全、超越未来（“Leap-Ahead”）技术战略2009年5月29日发布了《网络空间政策评估：确保信息和通讯系统的可靠性和韧性》报告2009年6月25日，英国推出了首份“网络安全战略”，并将其作为同时推出的新版《国家安全战略》的核心内容2009年6月，美国成立网络战司令部12月22日，奥巴马任命网络安全专家担任“网络沙皇”2011年5月，美国发布《网络空间国际战略》，明确了针对网络攻击的指导原则…13网络空间安全/信息安全保障信息安全保障是一种立体保障14知识域：信息安全保障原理知识子域：信息安全的内涵和外延理解信息安全的特征与范畴理解信息安全的地位和作用理解信息安全、信息系统和系统业务使命之间的关系理解信息安全的内因：信息系统的复杂性理解信息安全的外因：人为和环境的威胁15信息安全特征信息安全是系统的安全信息安全是动态的安全信息安全是无边界的安全信息安全是非传统的安全信息安全的范畴信息技术问题——技术系统的安全问题组织管理问题——人+技术系统+组织内部环境社会问题——法制、舆论国家安全问题——信息战、虚拟空间信息安全的特征与范畴16信息化越重要，信息安全越重要信息网络成为经济繁荣、社会稳定和国家发展的基础信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变从单纯的技术性问题变成事关国家安全的全球性问题信息安全和信息安全保障适用于所有技术领域。硬件软件军事计算机通讯指挥控制和情报(C4I)系统，制造工艺控制系统，决策支持系统，电子商务，电子邮件，生物医学系统和智能运输系统(ITS)。信息安全的地位和作用17措施信息系统保障风险脆弱性威胁使命能力策略模型信息安全、系统及业务关系18信息:数据/信息流计算机网络系统--信息技术系统执行组织机构信息功能的用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的任何组合。运行环境:包括人员、管理等系统综合的一个整体对信息系统的理解19ISO/IEC15408（CC）中保障被定义为：实体满足其安全目的的信心基础（Groundsforconfidencethatanentitymeetsitssecurityobjectives)。主观:信心客观:性质（保密性、完整性、可用性）从客观到主观:能力与水平对保障的理解20为什么会有信息安全问题？因为有病毒吗？•因为有黑客吗？•因为有漏洞吗？这些都是原因，但没有说到根源21内因，信息系统复杂性过程复杂结构复杂应用复杂外因：人为和环境威胁与破坏信息安全问题产生根源22系统理论：在程序与数据上存在“不确定性”设计：从设计的角度看，在设计时考虑的优先级中安全性相对于易用性、代码大小、执行程度等因素被放在次要的位置实现：由于人性的弱点和程序设计方法学的不完善，软件总是存在BUG。使用、运行：人为的无意失误、人为的恶意攻击如：无意的文件删除、修改主动攻击：利用病毒、入侵工具实施的操作被动攻击：监听、截包维护技术体系中安全设计和实现的不完整。技术管理或组织管理的不完善，给威胁提供了机会。内在复杂-过程23•工作站中存在信息数据•员工•移动介质•网络中其他系统•网络中其他资源•访问Internet•访问其他局域网•到Internet的其他路由•电话和调制解调器•开放的网络端口•远程用户•厂商和合同方的访问访问外部资源•公共信息服务•运行维护环境内在复杂-结构24内在复杂-使用25外因—人为的威胁国家安全威胁信息战士减小国家决策空间、战略优势，制造混乱，进行目标破坏情报机构搜集政治、军事，经济信息共同威胁恐怖分子破坏公共秩序，制造混乱，发动政变商业间谍掠夺竞争优势，恐吓犯罪团伙施行报复，实现经济目的，破坏制度局部威胁社会型黑客攫取金钱，恐吓，挑战，获取声望娱乐型黑客以吓人为乐，喜欢挑战26外因—自然威胁27知识域：信息安全保障原理知识子域：信息安全保障体系理解安全保障需要贯穿系统生命周期理解保密性、可用性和完整性三个信息安全特征理解策略和风险是安全保障的核心问题理解技术、管理、工程过程和人员是基本保障要素理解业务使命实现是信息安全保障的根本目的28信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。信息安全保障定义29技术工程管理人员保障要素开发采购实施交付运行维护完整性可用性废弃保密性安全特征计划组织生命周期国家标准：《GB/T20274.1-2006信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型》信息系统安全保障模型30信息系统安全保障含义总结出发点和核心在信息系统所处的运行环境里，以风险和策略为出发点，即从信息系统所面临的风险出发制定组织机构信息系统安全保障策略，信息系统生命周期通过在信息系统生命周期中从技术、管理、工程和人员等方面提出安全保障要求。31信息系统安全保障含义总结确保信息的安全特征确保信息的保密性、完整性和可用性特征，从而实现和贯彻组织机构策略并将风险降低到可接受的程度，保护资产达到保护组织机构信息和信息系统资产最终保障使命从而保障组织机构实现其使命的最终目的32信息安全保障体系建设信息安全技术体系信息安全管理体系信息安全工程过程高素质的人员队伍33装甲运输车安全保护的连接真实世界—物理安全传统的锁安全摄像头和保安指纹识别安全办公室边界安全安全监视身份识别安全管理34虚拟世界—信息安全Internet安全保护的连接边界安全安全监视身份识别漏洞管理VPN防火墙入侵检测和扫描PKI/CA主机和应用系统加固35DMZ?E-Mail?FileTransfer?HTTPIntranet信息网络业务处室行政部门财务门人事部路由Internet中继安全隐患外部/个体外部/组织内部/个体内部/组织关闭安全维护“后门”更改缺省的系统口令漏洞扫描补丁管理Modem数据文件加密访问控制审计系统入侵检测实时监控病毒防护36完善的信息安全技术体系信息安全规划管理(MSP)信息系统生命周期规划组织开发采购实施交付运行维护废弃信息系统生命周期规划组织开发采购实施交付运行维护废弃系统开发管理(MSD)运行管理(MOP)应急响应管理(MER)业务持续性和灾难恢复管理(MBD)信息安全策略(MSP)风险管理(MRM)物理和环境安全(MPE)符合性管理(MCM)资产管理(MAM)人员安全(MPS)信息安全组织机构(MSO)37有效的信息安全管理体系策略体系风险管理系统测评/风险评估生命周期安全管理对手，动机和攻击国家/业务/机构策略，规范，标准使命要求组织体系建设业务持续性管理应急响应管理意识培训和教育策略标准流程，指导方针&实践信息安全保障管理体系建设38相关方信息安全需求&期待设计和实施ISMS改进ISMSPlan计划Do实施Act改进Check检查开发、维护&改进循环相关方管理的信息安全Plan计划（建立ISMS环境）根据组织机构的整体策略和目标，建立同控制风险和改进信息安全相关的安全策略、目的、目标、过程和流程以交付结果。Do做（设计&实施）实施和操