信息安全保障發(fā)展背景

1、信息安全保障發(fā)展背景信息安全保障背景信息安全發(fā)展階段了解電報/電話、計算機、網(wǎng)絡等階段信息技術發(fā)展概況及各階段信息安全面臨的主要威脅和防護措施了解信息化和網(wǎng)絡對個人、企事業(yè)單位和社會團體、經(jīng)濟發(fā)展、社會穩(wěn)定、國家安全等方面的影響及信息安全保障的概念2網(wǎng)絡化社會網(wǎng)絡計算機通信（電報電話）信息安全發(fā)展階段3COMSEC通信安全COMPUSEC計算機安全INFOSEC信息系統(tǒng)安全IA信息安全保障CS/IA網(wǎng)絡空間安全/信息安全保障電報電話解決傳輸數(shù)據(jù)安全斯巴達人的智慧：公元前500年，斯巴達人把一條羊皮螺旋形地纏在一個圓柱形棒上寫數(shù)據(jù)現(xiàn)代人的智慧：20世紀，40年代-70年代通過密碼技術解決通信保密

2、，內(nèi)容篡改4COMSEC：Communication Security20世紀，40年代-70年代核心思想：通過密碼技術解決通信保密，保證數(shù)據(jù)的保密性和完整性主要關注傳輸過程中的數(shù)據(jù)保護 安全威脅：搭線竊聽、密碼學分析安全措施：加密標志1949年：shannon發(fā)表保密通信的信息理論1977年：美國國家標準局公布數(shù)據(jù)加密標準DES1976年：Diffle和Hellman在“New Directions in Cryptography”一文中提出公鑰密碼體系通信安全5COMPUSEC：Computer Security20世紀，70-90年代核心思想：預防、檢測和減小計算機系統(tǒng)（包括軟件和硬件）

3、用戶（授權和未授權用戶）執(zhí)行的未授權活動所造成的后果。主要關注于數(shù)據(jù)處理和存儲時的數(shù)據(jù)保護 。安全威脅：非法訪問、惡意代碼、脆弱口令等安全措施：安全操作系統(tǒng)設計技術（TCB）標志：1985年，美國國防部的可信計算機系統(tǒng)評估保障（TCSEC，橙皮書），將操作系統(tǒng)安全分級（D、C1、C2、B1、B2、B3、A1）；后補充紅皮書TNI（1987）和TDI（1991），發(fā)展為彩虹（rainbow）系列計算機安全6INFOSEC：Information Security20世紀，90年代后核心思想：綜合通信安全和計算機安全安全重點在于保護比“數(shù)據(jù)”更精煉的“信息”，確保信息在存儲、處理和傳輸過程中免受偶

4、然或惡意的非法泄密、轉(zhuǎn)移或破壞 。安全威脅：網(wǎng)絡入侵、病毒破壞、信息對抗等安全措施：防火墻、防病毒、漏洞掃描、入侵檢測、PKI、VPN等標志安全評估保障CC（ISO 15408，GB/T 18336）信息系統(tǒng)安全7網(wǎng)絡化社會新世紀信息技術應用于人類社會的方方面面軍事經(jīng)濟文化現(xiàn)在人們意識到：技術很重要，但技術不是一切；信息系統(tǒng)很重要，只有服務于組織業(yè)務使命才有意義8IA：Information Assurance今天，將來核心思想：保障信息和信息系統(tǒng)資產(chǎn)，保障組織機構使命的執(zhí)行；綜合技術、管理、過程、人員；確保信息的保密性、完整性和可用性。安全威脅：黑客、恐怖分子、信息戰(zhàn)、自然災難、電力中斷等安

5、全措施：技術安全保障體系、安全管理體系、人員意識/培訓/教育、認證和認可標志：技術：美國國防部的IATF深度防御戰(zhàn)略管理：BS7799/ISO 17799系統(tǒng)認證：美國國防部DITSCAP信息安全保障9網(wǎng)絡空間安全/信息安全保障CS/IA：Cyber Security/Information Assurance2009年，在美國帶動下，世界各國信息安全政策、技術和實踐等發(fā)生重大變革共識：網(wǎng)絡安全問題上升到國家安全的重要程度核心思想：從傳統(tǒng)防御的信息保障（IA），發(fā)展到“威懾”為主的防御、攻擊和情報三位一體的信息保障/網(wǎng)絡安全（IA/CS）的網(wǎng)空安全網(wǎng)絡防御-Defense（運維）網(wǎng)絡攻擊-Of

6、fense（威懾）網(wǎng)絡利用-Exploitation（情報）10信息安全保障發(fā)展歷史第一次定義：在1996年美國國防部DoD指令5-3600.1（DoDD 5-3600.1）中，美國信息安全界第一次給出了信息安全保障的標準化定義現(xiàn)在：信息安全保障的概念已逐漸被全世界信息安全領域所接受。中國：中辦發(fā)27號文國家信息化領導小組關于加強信息安全保障工作的意見，是信息安全保障工作的綱領性文件信息安全保障發(fā)展歷史從通信安全（COMSEC）-計算機安全（COMPUSEC）-信息系統(tǒng)安全（INFOSEC）-信息安全保障（IA） -網(wǎng)絡空間安全/信息安全保障（CS/IA） 。112008年1月，布什政府發(fā)布了國家網(wǎng)絡安全綜合倡議（CNCI），號稱網(wǎng)絡安全“曼哈頓項目”，提出威懾概念，其中包括愛因斯坦計劃、情報對抗、供應鏈安全、超越未來（“Leap-Ahead”）技術戰(zhàn)略2009年5月29日發(fā)布了網(wǎng)絡空間政策評估：確保信息和通訊系統(tǒng)的可靠性和韌性報告 2009年6月25日，英國推出了首份“網(wǎng)絡安全戰(zhàn)略”，并將其作為同時推出的新版國家安全戰(zhàn)略的核心內(nèi)容2009年6月，美國成立網(wǎng)