《信息安全工程与管理(第二版)》 课件 第1章-信息安全工程概述

信息安全工程与管理主要内容第1章、信息安全工程概述第2章、ISSE过程第3章、SSE-CMM工程第4章、信息安全工程与等级保护第5章、信息安全管理概述第6章、信息安全管理控制规范（自学）第7章、信息安全管理体系第8章、信息安全风险评估第9章、信息安全策略第1章、信息安全工程概述本章目录1.1信息安全的相关概念1.2信息安全保障体系1.3信息安全保障与信息安全工程1.1信息安全的相关概念1949年，克劳德·香农《通信的数学理论》：“信息是能够用来消除随机不确定性的东西”。同年，诺伯特·维纳《控制论》：“信息就是信息，既非物质，也非能量”。信息的实质是通过信号、指令等实现对物质和能量的调节与控制。

——信息安全已成为国家安全、社会安全和人民生活安全的重要组成部分。信息的定义1.1信息安全的相关概念信息资源：各种资源化的信息。信息价值：信息资源优势的反映。信息作用：信息实现价值过程中对环境或自身的影响或改变。信息损失：信息价值的损失（量度）。信息载体：记录、传输和保存信息的媒介。信息环境：与信息活动有关的外部环境集合。信息优势：利用信息做出更明智、更及时的决策并领先于对手，是围绕信息环境作战的状态。其核心是，在信息传播之前收集、处理大量数据并将其融合为可操作的情报。1.1.1

信息安全的基本范畴信息安全工程：研究如何建立能够面对错误、攻击和灾难的可靠信息系统。与软件工程的区别：“能提供pdf格式文档的报表输出”“要提供pdf格式文档的防拷贝功能”信息安全工程，需要考虑到特定信息系统的安全保护需求、可能存在的安全隐患以及相应的解决方法。1.1信息安全的相关概念1.1.2

信息安全的工程概念软件工程信息安全工程例一：银行1.1信息安全的相关概念1.1.2

信息安全的工程概念记帐系统保险箱银行ATM网上银行例二：机场1.1信息安全的相关概念1.1.2

信息安全的工程概念安检系统航班信息与显示系统航空指挥系统例三：家庭1.1信息安全的相关概念1.1.2

信息安全的工程概念家庭上网智能家具控制系统家庭理财系统在工程上，信息安全是与风险相联系的概念，通过风险管理与控制来实现。信息安全风险是信息资源价值、系统脆弱性和系统威胁等三个变量的函数。信息安全工程:采用SE的概念、原理、技术和方法，来研究、设计、开发、实施、管理、维护和评估信息系统的安全，是将实践流程、管理技术和当前能够得到的最好的技术方法相结合的过程。1.1信息安全的相关概念1.1.2

信息安全的工程概念本章目录1.1信息安全的相关概念1.2信息安全保障体系1.3信息安全保障与信息安全工程1.2信息安全保障体系1.2.1

信息保障是信息安全的新发展信息保障,强调信息安全的保护能力，同时重视提高系统的入侵检测能力、事件响应能力和快速恢复能力，关注的是信息系统整个生命周期的保护、检测、响应和恢复等安全机制，即PDRR安全模型。1.2信息安全保障体系1.2.2

信息保障的构成及其空间特性深度防御的信息保障战略。1.2信息安全保障体系1.2.2

信息保障的构成及其空间特性信息安全保障体系,是通过改善防御空间的同步效果、提高感知能力、加快响应速度、增强防御能力和生存能力等行为，从而提升系统整体的信息保障效能。1.2信息安全保障体系1.2.3

信息安全保障模型信息安全保障体系,由管理控制、运行控制和技术控制组合而成，包括三种基本要素：组织要素、内容要素和技术要素。1.2信息安全保障体系1.2.4

信息安全保障体系的架构基于组成要素，信息安全保障体系的架构1.2信息安全保障体系1.2.5

信息安全保障体系的建设——国外情况序号时期授权发布战略标志特征主要内容1萌芽期克林顿总统美国白宫2000年1月，《保护美国的网络空间：国家信息系统保护计划V1.0》第一个针对关键信息基础设施的保护计划，维护网络安全的第一份纲领性文件确定2项总目标，制定联邦政府关键基础设施保护计划，以及私营部门、州和地方政府的关键基础设施保障框架2形成期小布什总统美国白宫2003年2月，《确保网络空间安全的国家战略》强调社会力量参与信息网络安全保障，重视人才的培养和公民的网络安全意识教育突出国家层面的战略任务，进一步明确网络安全的3项总体战略目标和5项重点优先建设任务3成熟期奥巴马总统美国白宫2009年5月，《网络空间政策评估——保障可信和强健的信息和通信基础设施》强调美国21世纪的经济繁荣将依赖于网络空间安全，数字基础设施被视为国家战略资产对信息基础设施有关的任务和活动进行评估，就未来如何实现拥有可靠、有韧性和值得信赖的数字基础设施进行说明1.2信息安全保障体系1.2.5

信息安全保障体系的建设——国外情况序号时期授权发布战略标志特征主要内容4发展期特朗普总统美国白宫2018年9月，《国家网络战略》首份全面阐述美国国家网络战略的顶层战略，“美国优先”、“网络威慑”的新思路，以“泛网络安全化”服务“大国竞争”从保护美国人民、国土和美国生活方式，促进美国繁荣，以实力维护和平，提升美国影响力等方面，提出美国国家网络战略的四大核心支柱及措施5完善期拜登总统美国白宫2021年5月，《改善国家网络安全的行政令》打造“全政府”网络安全模式，是美国网络安全管理的一个里程碑，也是美国网络安全保障体系发展的风向标通过保护联邦网络、改善政府与私营部门间信息共享以及增强美国对事件的响应能力，提高美国国家网络安全防御能力2022年10月，新版《国家安全战略》美国国家安全战略植根于其国家利益，创新盟友和伙伴关系，构筑“太空网络安全”新举措利用“决定性的十年”促进美国重要利益，在战略上制胜美方想定的地缘政治竞争对手俄罗斯接入互联网时间较晚，但在国家安全观指引下，从顶层设计、重点举措和组织保障等方面展开了体系化建设，形成了比较完善的网络空间安全整体部署。俄罗斯通过一系列国家战略规划文件和法律法规的颁布和实施，形成了具有俄罗斯特色的网络空间安全战略，反映出俄罗斯在国家层面维护信息网络安全的整体布局和基本思路。俄罗斯国家信息网络安全体系建设包括持续完善战略规划、建设主权互联网、发展信息战能力、加强网络治理、实现国产替代、开展网络外交等领域。1.2信息安全保障体系1.2.5

信息安全保障体系的建设——国外情况1.2信息安全保障体系1.2.5

信息安全保障体系的建设——国外情况序号时期主要牲征主要措施、*标志时间1战略萌芽出台信息安全战略，信息安全政策从日本IT战略中独立出来《信息安全政策指导方针》2000年7月在内阁成立“IT战略本部”，全面推进“IT立国”2000年7月《信息安全总体战略》，信息安全提至国家安全层面2003年10月“IT战略本部”下成立信息安全政策委员会（ISPC）2005年5月发布首个《国家信息安全战略——创建一个值得信赖的社会》，旨在为日本的信息安全制定一个系统的中长期计划，强调预防措施2006年2月发布《第二版国家信息安全战略——在IT时代建立强大的“个人”和社会》，提出要建立一套稳定可靠的快速反应机制来应对网络威胁2009年2月*《保护国家信息安全战略》，强调确保物联网（IoT）设备安全、医疗和教育领域信息安全的必要性，推广隐私保护技术等2010年5月2战略确立制订网络安全战略，网络安全政策从信息安全政策中独立出来*《网络安全战略》第一版，目标是建设世界领先的、有韧性的、充满活力的网络空间，强调外交和国防2013年6月《国家安全保障战略》，在亚太安保方面，公将矛头指向朝鲜与中国2013年12月《网络安全基本法》，首次从法律上定义了“网络安全”2014年11月3战略发展网络安全战略及组织机构的双升级发展*将信息安全政策委员会升级为获得法律授权的“网络安全战略本部”2015年1月*《网络安全战略》第二版，明确建立自由、公平和安全的网络空间2015年9月《网络安全战略》第三版，在威胁环境、新兴技术、政策方法等方面计划与措施2018年7月4战略深化实施“积极网络防御”《网络安全战略》第四版（草案），首次称中国、俄罗斯和朝鲜构成所谓“网络威胁”2021年7月*《国家安全保障战略》修订版（草案），放宽“防卫装备转移三原则”以能够向受到“军事入侵的国家及地区”提供弹药物资、将中国上调为“重大威胁”，把俄罗斯上调为“现实性威胁”等内容；授权政府在非战争状态下实施网络入侵、解析可疑通信等2022年4月以“合作伙伴”的身份正式加入北约网络防御中心，日本防卫省与北约之间已经建立起“网络防御相关职员会谈”机制，实现同北约在网络安全领域的利益捆绑2022年11月我国信息网络安全的顶层组织或机构1.2信息安全保障体系1.2.5

信息安全保障体系的建设——我国情况时间组织/机构组建、构成或职能1993年12月中央保密委员会办公室（中央保密办）一个机构两块牌子，中共中央直属机关的下属机构国家保密局2001年8月国家信息化领导小组由中共中央、国务院重新组建国家信息化专家咨询委员会负责就我国信息化发展中的重大问题向国家信息化领导小组提出建议2001年12月国务院信息化工作办公室是信息化领导小组的办事机构2008年3月国家工业和信息化部（工信部）国家大部制改革，信息化工作办公室纳入，是信息化领导小组的新的办事机构2013年11月中央国家安全委员会统筹协调涉及国家安全的重大事项和重要工作，加强对国家安全工作的领导2014年2月中央网络安全和信息化领导小组统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题，研究制定网络安全和信息化发展战略、宏观规划和重大政策2018年3月中央网络安全和信息化委员会由中央网络安全和信息化领导小组改组而成中央网络安全和信息化委员会办公室一个机构两块牌子，中央网络安全和信息化委员会的办事机构我国信息网络安全的其他国家级组织或机构（部分）1.2信息安全保障体系1.2.5

信息安全保障体系的建设——我国情况组织/机构组建、构成或职能中国互联网络信息中心（CNNIC）工信部直属单位，行使国家互联网络信息中心职责国家计算机网络应急技术处理协调中心（即国家互联网应急中心）（CNCERT/CC）非政府非盈利的网络安全技术协调组织国家计算机病毒应急处理中心（CVERC）原国信办于2001年批复成立，中国唯一的负责计算机病毒应急处理专门机构中央密码工作领导小组办公室一个机构两块牌子，中共中央直属机关的下属机构国家密码管理局中国国家信息安全漏洞库（CNNVD）由CNITSEC建设运维的国家信息安全漏洞库国家信息安全漏洞共享平台（CNVD）由CNCERT/CC牵头建立的信息安全漏洞共享知识库工信部网络安全威胁和漏洞信息共享平台（CSTIS平台）由中国信息通信研究院牵头建设中国信息安全测评中心（CNITSEC）中央批准成立的国家信息安全权威测评机构中国网络安全审查技术与认证中心（CCRC）（原中国信息安全认证中心ISCCC）国家认证认可监督管理委员会批准的对提供信息安全服务机构的信息安全服务资质进行评价国家保密科技测评中心中央保密办、国家保密局直属单位，检测涉密系统公安部第三研究所主要从事网络安全与智慧警务科研创新与技术支撑国家信息技术安全研究中心中央网信办所属单位，履行信息保障和科研攻关职能国家信息安全工程技术研究中心受科技部领导，从事信息安全工程技术研究的机构国家工业信息安全发展研究中心工信部直属单位，工业领域信息安全研究与推进机构全国信息安全标准化技术委员会组织开展国内信息安全有关的标准化技术工作我国信息安全相关的法律法规及政策（部分）1.2信息安全保障体系1.2.5

信息安全保障体系的建设——我国情况时间组建、构成或职能1988年9月5日《保守国家秘密法》，2010年4月29日修订1994年2月18日《计算机信息系统安全保护条例》2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见（中办发〔2003〕27号）》2005年4月1日《电子签名法》，首部“真正意义上的信息化法律”，2019年4月第二次修正2007年6月22日《信息安全等级保护管理办法（公通字〔2007〕43号）》2009年12月26日《侵权责任法》,2020年5月28日通过《民法典》，同时废止《侵权责任法》2012年5月5日《“十二五”国家政务信息化工程建设规划（发改高技〔2012〕1202号）》2016年6月28日《移动互联网应用程序信息服务管理规定》，2022年6月14日修订2016年11月7日《网络安全法》2016年12月27日《国家网络空间安全战略》2017年12月12日《工业控制系统信息安全行动计划（2018—2020年）》2019年10月26日《密码法》2021年6月10日《数据安全法》2021年8月17日《关键信息基础设施安全保护条例》2021年8月20日《个人信息保护法》2022年1月12日《“十四五”数字经济发展规划》2022年9月2日《反电信网络诈骗法》我国信息安全保障工作存在的问题：信息安全保障监管工作存在缺陷，组织管理与运行体制缺乏统一协调。

网络与信息系统的防护技术水平不高，依赖国外进口存在安全隐患。全社会的信息安全意识不强，信息安全专业人才匮乏。网上有害信息传播、病毒入侵和网络攻击日趋严重。1.2信息安全保障体系1.2.5

信息安全保障体系的建设——我国情况信息安全保障建设工作的要求：健全国家信息网络安全法律法规和制度标准。加强网络安全基础设施建设。构建和完善信息安全组织管理体制。强化国家信息安全技术防护体系。从国家战略高度来加强网络安全宣传教育和人才培养。1.2信息安全保障体系1.2.5

信息安全保障体系的建设——我国情况本章目录1.1信息安全的相关概念1.2信息安全保障体系1.3信息安全保障与信息安全工程信息安全保障过程需要实施信息安全工程，这是由信息安全的特性决定的。1.3信息安全保障与信息安全工程1.3.1

为什么需要信息安全工程社会性信息安全全面性必然性过程性动态性相对性层次性《新唐书·魏知古传》记载：“会造金仙、玉真观，虽盛夏，工程严促。”《元史·韩性传》记载：“（性）所著有《读书工程》，国子监以颁示郡邑校官，为学者式。”《古今小说·蒋兴哥重会珍珠衫》：“买卖不成，担误工程。”十八世纪，欧洲创造了“工程”一词，其本来含义是兵器制造、军事目的的各项劳作，并扩展到许多领域，如建筑屋宇、制造机器、架桥修路等。1.3信息安全保障与信息安全工程1.3.2

信息安全工程的发展狭义“工程”：以某组设想的目标为依据，应用有关的科学知识和技术手段，通过一群人的有组织活动将某个（或某些）现有实体（自然的或人造的）转化为具有预期使用价值的人造产品过程。广义“工程”：由一群人为达到某种目的，在一个较长时间周期内进行协作活动的过程。工程是一种过程，各种工程都具有各自生命周期过程的规律。由于信息安全的特性，信息安全工程的方法是用来满足各方面的任务安全要求，与系统工程方法紧密相关。1.3信息安全保障与信息安全工程1.3.2

信息安全工程的发展早期的信息安全工程方法理论来自于系统工程（SE）过程的方法。1.3信息安全保障与信息安全工程1.3.2

信息安全工程的发展在SE基础上，美国军方提出了信息系统安全工程（ISSE），在1994年2月28日发布《信息系统安全工程手册v1.0》。1987年，卡内基·梅隆大学软件研究所提出了软件过程能力成熟度模型（CMM），1991年推出1.0版。1993年5月，美国家安全局采用CMM方法学，针对安全方面的特殊需求，首次提出信息安全工程能力成熟度模型（SSE-CMM）。1996年8月，公共系统安全工程（FPSSE）CMM工作组公布SSE-CMM第1个版本，1997年4月SSE-CMM评估方法。1999年4月SSE-CMMv2.0和SSE-CMM评定方法v2.0。2002年3月,SSE-CMMv2.0被接受为ISO/IEC21827:2002《信息技术-系统安全工程-能力成熟度模型》，在2008年10月，替换为ISO/IEC

21827:2008《信息技术—系统安全工程—能力成熟度模型》。1.3信息安全保障与信息安全工程1.3.2

信息安全工程的发展在我国，信息安全工程的实施是基于等级保护制度。1994年2月，《中华人民共和国计算机信息系统安全保护条例》。1999年9月，GB17859-1999《计算机信息系统安全保护等级划分准则》。《国家信息化领导小组关于加强信息安全保障工作的意见（中办发[2003]27号）》。2004年9月，《关于信息安全等级保护工作的实施意见》。2007年6月，《信息安全等级保护管理办法》。1.3信息安全保障与信息安全工程1.3.2

信息安全工程的发展在我国，信息安全工程的实施是基于等级保护制度。我国在ISO/IEC21827:2002《信息技术—系