信息安全保障概述

1、信息安全保障概述,中国信息安全测评中心,课程内容,2,信息安全保障概述,信息安全保障 框架,国家信息安全 政策法规,知识体：信息安全保障框架,知识域：安全保障框架基础知识 理解信息安全的基本概念 理解信息安全保障的意义和内涵； 了解信息安全保障工作的总体思路和基本实践方法。 知识域：信息安全保障基本实践 了解我国信息安全保障工作发展阶段； 我国信息安全保障基本原则； 我国信息安全保障建设主要内容； 我国信息安全保障工作的基本内容。,3,什么是安全？,安全 Security：事物保持不受损害,4,什么是信息安全？,保密！,不该知道的人，不让他知道！,5,什么是信息安全？,完整！,信息不能追求残缺

2、美！,6,什么是信息安全？,可用！,信息要方便、快捷！ 不能像某国首都二环早高峰，也不能像春运的火车站,7,什么是信息安全,信息本身的机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保持，即防止防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。,保密性：确保信息没有非授权的泄漏，不被非授权的个人、组织和计算机程序使用 完整性：确保信息没有遭到篡改和破坏 可用性：确保拥有授权的用户或程序可以及时、正常使用信息,8,为什么会有信息安全问题？,因为有病毒吗？,因为有黑客吗？,因为有漏洞吗？,这些都是原因， 但没有说到

3、根源,9,信息系统安全问题产生的根源与环节,内因 复杂性导致脆弱性：过程复杂，结构复杂，使用复杂 外因 对手: 威胁与破坏,10,内在复杂过程,信息系统理论 冯-诺伊曼机，在程序与数据的区分上没有确定性的原则 设计 从设计的角度看，在设计时考虑的优先级中安全性相对于易用性、代码大小、执行程度等因素被放在次要的位置 实现 由于人性的弱点和程序设计方法学的不完善，软件总是存在BUG 生产与集成 使用与运行维护,11,安全问题根源内因系统越来越复杂,工作计算机,员工在使用,移动介质,内网中的其它系统,单位连接因特网,电话拨号上网,连接其它单位网络,无线网络,12,安全问题根源内因我们使用的网络是开放

4、的,内在复杂使用,14,安全问题根源外因来自对手的威胁,15,安全问题根源外因来自自然的破坏,16,信息安全的范畴,信息技术问题技术系统的安全问题 组织管理问题人+技术系统+组织内部环境 社会问题法制、舆论 国家安全问题信息战、虚拟空间,17,信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础 信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变 从单纯的技术性问题变成事关国家安全的全球性问题。 信息安全和信息安全保障适用于所有技术领域。 硬件 软件 军事计算机通讯指挥控制和情报(C4I)系统，制造工艺控制系统，决策支持系统，电子商务，电子邮件，生物医学系统和智能运输系统(ITS)

5、。,信息安全的地位和作用,18,信息安全发展阶段,19,COMSEC：Communication Security 20世纪，40年代-70年代 核心思想： 通过密码技术解决通信保密，保证数据的保密性和完整性 主要关注传输过程中的数据保护 安全威胁：搭线窃听、密码学分析 安全措施：加密 标志 1949年：shannon发表保密通信的信息理论 1977年：美国国家标准局公布数据加密标准DES 1976年：Diffle和Hellman在“New Directions in Cryptography”一文中提出公钥密码体系,通信安全,20,COMPUSEC：Computer Security 20世

6、纪，70-90年代 核心思想： 预防、检测和减小计算机系统（包括软件和硬件）用户（授权和未授权用户）执行的未授权活动所造成的后果。 主要关注于数据处理和存储时的数据保护 。 安全威胁：非法访问、恶意代码、脆弱口令等 安全措施：安全操作系统设计技术（TCB） 标志： 1985年，美国国防部的可信计算机系统评估保障（TCSEC，橙皮书），将操作系统安全分级（D、C1、C2、B1、B2、B3、A1）；后补充红皮书TNI（1987）和TDI（1991），发展为彩虹（rainbow）系列,计算机安全,21,INFOSEC：Information Security 20世纪，90年代后 核心思想： 综合通

7、信安全和计算机安全安全 重点在于保护比“数据”更精炼的“信息”，确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏 。 安全威胁：网络入侵、病毒破坏、信息对抗等 安全措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等 标志 安全评估保障CC（ISO 15408，GB/T 18336）,信息系统安全,22,信息安全保障发展历史,第一次定义：在1996年美国国防部DoD指令5-3600.1（DoDD 5-3600.1）中，美国信息安全界第一次给出了信息安全保障的标准化定义 现在：信息安全保障的概念已逐渐被全世界信息安全领域所接受。 中国：中办发27号文国家信息化领导小组关

8、于加强信息安全保障工作的意见，是信息安全保障工作的纲领性文件 信息安全保障发展历史 从通信安全（COMSEC）-计算机安全（COMPUSEC）-信息系统安全（INFOSEC）-信息安全保障（IA） -网络空间安全/信息安全保障（CS/IA） 。,23,IA：Information Assurance 今天，将来 核心思想： 保障信息和信息系统资产，保障组织机构使命的执行； 综合技术、管理、过程、人员； 确保信息的保密性、完整性和可用性。 安全威胁：黑客、恐怖分子、信息战、自然灾难、电力中断等 安全措施：技术安全保障体系、安全管理体系、人员意识/培训/教育、认证和认可 标志： 技术：美国国防部的

9、IATF深度防御战略 管理：BS7799/ISO 17799 系统认证：美国国防部DITSCAP,信息安全保障,24,网络空间安全/信息安全保障,CS/IA：Cyber Security/Information Assurance 2009年，在美国带动下，世界各国信息安全政策、技术和实践等发生重大变革 共识：网络安全问题上升到国家安全的重要程度 核心思想：从传统防御的信息保障（IA），发展到“威慑”为主的防御、攻击和情报三位一体的信息保障/网络安全（IA/CS）的网空安全 网络防御-Defense（运维） 网络攻击-Offense（威慑） 网络利用-Exploitation（情报）,25,2

10、008年1月，布什政府发布了国家网络安全综合倡议（CNCI），号称网络安全“曼哈顿项目”，提出威慑概念，其中包括爱因斯坦计划、情报对抗、供应链安全、超越未来（“Leap-Ahead”）技术战略 2009年5月29日发布了网络空间政策评估：确保信息和通讯系统的可靠性和韧性报告 2009年6月25日，英国推出了首份“网络安全战略”，并将其作为同时推出的新版国家安全战略的核心内容 2009年6月，美国成立网络战司令部 12月22日，奥巴马任命网络安全专家担任“网络沙皇” ,26,网络空间安全/信息安全保障,从技术角度看信息安全,27,组织机构的使命/业务目标实现越来越依赖于信息系统 信息系统成为组织

11、机构生存和发展的关键因素 信息系统的安全风险也成为组织风险的一部分 为了保障组织机构完成其使命，必须加强信息安全保障，抵抗这些风险。,为什么需要信息安全保障,28,信息安全保障的意义,29,信息安全保障的意义,30,信息安全保障是一种立体保障,31,信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。,信息安全保障定义,32,国家标准：GB/T 20274.1-2006 信息安全技术 信息系统安全保障

12、评估框架 第一部分：简介和一般模型,信息系统安全保障模型-保障评估框架,33,信息系统安全保障模型-IATF,34,安全保障的目标是支持业务,信息安全保障是为了支撑业务高效稳定运行 要以安全促发展，在发展中求安全,35,信息安全保障需要持续进行,时时刻刻不放松,如钻石历久弥新,36,信息安全、系统及业务关系,37,信息安全保障,通信安全,数据安全,网络安全,现在人们意识到：技术很重要，但技术不是一切；信息系统很重要，只有服务于组织业务使命才有意义,个人信息可能面临的安全威胁,1、外部人员通过互联网利用木马等攻击手段窃取、篡改或破坏个人计算机中存放的敏感信息； 2、外部人员非法接入税务系统内网或

13、直接操作内网计算机窃取、篡改或破坏敏感信息； 3、外部人员盗窃笔记本电脑、U盘等移动计算和存储设备窃取敏感信息； 4、病毒通过网络或移动介质传播造成个人计算机无法正常使用或数据破坏； 5、内部工作人员由于误操作等过失行为导致敏感信息丢失或被破坏； 6、内部工作人员由于利益驱使，利用工作之便窃取他人个人计算机中工作敏感信息。,39,案例1,国内最大的影音播放软件暴风影音爆出存在安全漏洞，该漏洞发生在暴风影音II的一个activex控件上，当安装了暴风影音II的用户在浏览黑客精心构造的包含恶意代码的网页后，会下载木马病毒，并以当前用户权限自动运行。 某公司员工违反规定在工作用计算机及上安装了“暴风

14、影音”，上班时间上网浏览新闻。 黑客利用木马窃取了该员工计算机及该公司局域网中的部分公司机密。,个人计算机作为税务信息系统的一个组成部分，如果出现安全漏洞，就可能成为信息安全防护的薄弱环节，被窃密或破坏分子利用对整个系统造成破坏。,40,案例2,2001年初，查处了陈学军团伙虚开增值税专用发票案件。主犯套购增值税专用发票10900份，为数百家企业虚开增值税专用发票2800余份，虚开税款共计人民币3.93亿元。陈学军以虚开增值税专用发票罪被判处并已执行死刑；吴芝刚以虚开增值税专用发票罪、巨额财产来源不明罪两罪并罚，一审判处死刑，二审改判死刑缓期执行。,宣判现场,41,案例2（续）,3名工作人员在

15、案发过程中，由于思想疏忽大意，没有严格保护个人工作计算机和应用系统的密码和使用权限，为吴芝刚趁工作之便，非法获得计算机密码，为作案行提供了便利。这3名工作人员，因工作严重违规失职也受到严厉的法律追究，根据情节轻重，分别被处以不同程度的刑事处罚。,42,单位信息系统面临的主要安全威胁,网络窃密 系统故障、网络攻击和病毒造成系统运行中断 系统故障或人为误操作造成数据丢失,43,电话线或其它非法外联,窃密者,个人办公用计算机或外网服务器,风险四：硬件故障或误操作造成数据丢失,风险一：通过互联网搜集我有价值的数据,风险三：病毒泛滥影响正常办公,风险二：利用非法外联或网络控制不严为跳板窃取核心机密,内部

16、核心系统,信息系统面临的典型安全威胁,内往U盘接入互联网,44,案例1：违规上网造成重大失泄密,违规操作泄密,敌对势力窃密,互联网,部队失密案：2003年初，军队某参谋违反规定，使用涉密计算机上因特网，一次窃走1000多份文档资料，影响和损失极为严重。,45,IIS存在unicode漏洞,穿过防火墙,外部网络,内部网络,案例2：某重要网络系统被控制,46,案例3：网络故障造成航班延误和旅客滞留,2006年10月10日13时32分，某公司运营的离港系统发生主机系统文件损坏，导致使用离港系统的航空公司和机场的正常运行产生不同程度影响。经过排查后故障系统于14时16分恢复正常。此次故障造成首都机场、

17、广州机场、深圳机场等机场部分航班延误。,47,什么是信息安全风险,信息和其它资产一样 是具有价值的,48,什么是信息安全风险,信息面临着外在的威胁,49,什么是信息安全风险,信息系统存在着脆弱性,50,什么是信息安全风险,外在威胁利用信息系统存在的脆弱性，致其损失或破坏对系统价值造成损害的可能性,51,信息系统安全保障含义总结,出发点和核心 在信息系统所处的运行环境里，以风险和策略为出发点，即从信息系统所面临的风险出发制定组织机构信息系统安全保障策略， 信息系统生命周期 通过在信息系统生命周期中从技术、管理、工程和人员等方面提出安全保障要求。,52,信息系统安全保障含义总结,确保信息的安全特征

18、 确保信息的保密性、完整性和可用性特征，从而实现和贯彻组织机构策略并将风险降低到可接受的程度， 保护资产 达到保护组织机构信息和信息系统资产， 最终保障使命 从而保障组织机构实现其使命的最终目的。,53,如何保障信息安全？,信息是依赖与承载它的信息技术系统存在的 需要在技术层面部署完善的控制措施,信息系统是由人来建设使用和维护的 需要通过有效的管理手段约束人,今天系统安全了明天未必安全 需要贯穿系统生命周期的工程过程,信息安全的对抗，归根结底是人员知识、技能和素质的对抗 需要建设高素质的人才队伍,信息安全保障体系构成的要素,信息安全技术体系 信息安全管理体系 信息安全工程过程 高素质的人员队伍

19、,55,Modem,56,完善的信息安全技术体系,策略体系,风险管理,系统测评/风险评估,生命周期安全管理,对手，动机 和攻击,国家/业务/机构 策略，规范，标准,使命要求,组织体系建设,业务持续性管理,应急响应管理,意识培训和教育,57,信息安全保障管理体系建设,相关方,信息安全需求遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,91,关于信息安全等级保护工作的实施意见（公字通200466号）2,实施要求 完善标准,分类指导（管理规范和技术标准） 科学定级,严格备案（专家评审委员会。三级以上系统备案） 建设整改,落实措施（信息系统：已有、新建、改建、扩建

20、） 自查自纠,落实要求（运营、 使用单位及其主管部门） 建立制度,加强管理（运营、 使用单位及其主管部门） 监督检查,完善保护（公安机关重点对第三、第四级系统） 其他等级要求 国家对信息安全产品的使用实行分等级管理 信息安全事件实行分等级响应、处置的制度,92,关于印发的通知（公字通200743号）,通知是政策，管理办法属于法律法规 四部委联合发文：公安部、保密局、密码管理局、原国信办 国家信息安全等级保护坚持“自主定级、自主保护”的原则 信息系统的安全保护等级分为五级 实施与管理 具体实施等级保护工作 参照标准：信息系统安全等级保护实施指南 确定安全保护等级 参照标准：信息系统安全等级保护定级指南 系统建设 参照标准：信息系统安全等级保护基本要求等 等级测评 参照标准：信息系统安全等级保护测评要求 二级以上系统的备案要求（由公安机关颁发备案证明） 三级以上系统的定期自查、测评和检查要求 三级以上系统的信息安全产品选择使用要求 三级以上系统等级保护测评机构的选择要求 涉密信息系统按分级保护管理（略） 对信息安全等级保护的密码实行分类分级管理（略）,93,国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）1,意义 标志着我国信息安全保障工作有了总体纲领 提出要在5年内建设中国信息安全保障体系 总体要求 坚持积极防