信息安全保障
课程内容
2
知识域:信息安全保障背景
v知识子域:信息安全发展阶段
§了解电报/电话、计算机、网络等阶段信息技术发
展概况及各阶段信息安全面临的主要威胁和防护措
施
§了解信息化和网络对个人、企事业单位和社会团体
、经济发展、社会稳定、国家安全等方面的影响及
信息安全保障的概念
3
信息安全发展阶段
通信
COMSEC通信安全
(电报\电话)
COMPUSEC计算机安全
计算机
信息系统安全
INFOSEC信息安全保障网络空间安全/信息安全保障
网络
IA网络化C社S会/IA
4
电报电话
v解决传输数据安全
§斯巴达人的智慧:公元前500年,斯巴达人把一
条羊皮螺旋形地缠在一个圆柱形棒上写数据
§现代人的智慧:20世纪,40年代-70年代通过密
码技术解决通信保密,内容篡改
5
通信安全
vCOMSEC:CommunicationSecurity
v20世纪,40年代-70年代
§核心思想:
?通过密码技术解决通信保密,保证数据的保密性和完整
性
?主要关注传输过程中的数据保护
§安全威胁:搭线窃听、密码学分析
§安全措施:加密
§标志
?1949年:shannon发表《保密通信的信息理论》
?1977年:美国国家标准局公布数据加密标准DES
?1976年:Diffle和Hellman在“NewDirectionsin
Cryptography”一文中提出公钥密码体系
6
计算机安全
vCOMPUSEC:ComputerSecurity
v20世纪,70-90年代
§核心思想:
?预防、检测和减小计算机系统(包括软件和硬件)用户
(授权和未授权用户)执行的未授权活动所造成的后果
。
?主要关注于数据处理和存储时的数据保护。
§安全威胁:非法访问、恶意代码、脆弱口令等
§安全措施:安全操作系统设计技术(TCB)
§标志:
?1985年,美国国防部的可信计算机系统评估保障(TCSEC
,橙皮书),将操作系统安全分级(D、C1、C2、B1、B2
、B3、A1);后补充红皮书TNI(1987)和TDI(1991)
,发展为彩虹(rainbow)系列
7
信息系统安全
vINFOSEC:InformationSecurity
v20世纪,90年代后
§核心思想:
?综合通信安全和计算机安全安全
?重点在于保护比“数据”更精炼的“信息”,确保信息在存
储、处理和传输过程中免受偶然或恶意的非法泄密、转移或
破坏。
§安全威胁:网络入侵、病毒破坏、信息对抗等
§安全措施:防火墙、防病毒、漏洞扫描、入侵检测、PKI
、VPN等
§标志
?安全评估保障CC(ISO15408,GB/T18336)
8
网络化社会
v新世纪信息技术应用于人类社会的方方面面
§军事
§经济
§文化
§……
v现在人们意识到:技术很重要,但技术不是一
切;信息系统很重要,只有服务于组织业务使
命才有意义
9
信息安全保障
vIA:InformationAssurance
v今天,将来……
§核心思想:
?保障信息和信息系统资产,保障组织机构使命的执行;
?综合技术、管理、过程、人员;
?确保信息的保密性、完整性和可用性。
§安全威胁:黑客、恐怖分子、信息战、自然灾难、电力中
断等
§安全措施:技术安全保障体系、安全管理体系、人