CISP培訓(xùn)課件01信息安全保障

信息安全保障版本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1講師姓名：課程內(nèi)容信息安全保障基礎(chǔ)知識(shí)體知識(shí)域信息安全保障背景信息安全保障概念與模型知識(shí)子域信息安全內(nèi)涵與外延信息安全問(wèn)題根源信息安全保障信息技術(shù)與信息安全發(fā)展階段信息安全保障相關(guān)模型信息系統(tǒng)安全保障概念與模型信息系統(tǒng)安全保障信息系統(tǒng)安全保障模型知識(shí)域：信息安全保障背景知識(shí)子域：信息安全內(nèi)涵和外延理解信息安全基本概念，理解信息安全基本屬性：保密性、完整性和可用性理解信息安全的特征與范疇知識(shí)子域：信息安全問(wèn)題根源理解信息安全問(wèn)題產(chǎn)生的內(nèi)因是信息系統(tǒng)自身存在脆弱性理解信息安全問(wèn)題產(chǎn)生的外因是信息系統(tǒng)面臨著眾多威脅3信息與信息安全信息:數(shù)據(jù)/信息流信息安全保密性完整性可用性信息的以上三個(gè)基本安全屬性習(xí)慣上簡(jiǎn)稱為CIA（Confidentiality-Integrity-Availability）。4信息安全特征信息安全是系統(tǒng)的安全信息安全是動(dòng)態(tài)的安全信息安全是無(wú)邊界的安全信息安全是非傳統(tǒng)的安全信息安全的范疇信息技術(shù)問(wèn)題——技術(shù)系統(tǒng)的安全問(wèn)題組織管理問(wèn)題——人+技術(shù)系統(tǒng)+組織內(nèi)部環(huán)境社會(huì)問(wèn)題——法制、輿論國(guó)家安全問(wèn)題——信息戰(zhàn)、虛擬空間信息安全的特征與范疇5信息安全問(wèn)題產(chǎn)生根源因?yàn)橛胁《締?？因?yàn)橛泻诳蛦?？因?yàn)橛新┒磫幔窟@些都是原因，但沒(méi)有說(shuō)到根源6內(nèi)因：信息系統(tǒng)自身存在脆弱性過(guò)程復(fù)雜結(jié)構(gòu)復(fù)雜應(yīng)用復(fù)雜

外因：威脅與破壞人為和環(huán)境信息安全問(wèn)題產(chǎn)生根源7系統(tǒng)理論：在程序與數(shù)據(jù)上存在“不確定性”設(shè)計(jì)：從設(shè)計(jì)的角度看，在設(shè)計(jì)時(shí)考慮的優(yōu)先級(jí)中安全性相對(duì)于易用性、代碼大小、執(zhí)行程度等因素被放在次要的位置實(shí)現(xiàn)：由于人性的弱點(diǎn)和程序設(shè)計(jì)方法學(xué)的不完善，軟件總是存在BUG。使用、運(yùn)行：人為的無(wú)意失誤、人為的惡意攻擊如：無(wú)意的文件刪除、修改主動(dòng)攻擊：利用病毒、入侵工具實(shí)施的操作被動(dòng)攻擊：監(jiān)聽(tīng)、截包維護(hù) 技術(shù)體系中安全設(shè)計(jì)和實(shí)現(xiàn)的不完整。 技術(shù)管理或組織管理的不完善，給威脅提供了機(jī)會(huì)。內(nèi)在復(fù)雜-過(guò)程8工作站中存在信息數(shù)據(jù)員工移動(dòng)介質(zhì)網(wǎng)絡(luò)中其他系統(tǒng)網(wǎng)絡(luò)中其他資源訪問(wèn)Internet訪問(wèn)其他局域網(wǎng)到Internet的其他路由電話和調(diào)制解調(diào)器開(kāi)放的網(wǎng)絡(luò)端口遠(yuǎn)程用戶廠商和合同方的訪問(wèn)訪問(wèn)外部資源公共信息服務(wù)運(yùn)行維護(hù)環(huán)境內(nèi)在復(fù)雜-結(jié)構(gòu)9內(nèi)在復(fù)雜-使用10外因—人為的威脅11外因—自然威脅12知識(shí)域：信息安全保障背景知識(shí)子域：信息技術(shù)與信息安全發(fā)展階段了解通信、計(jì)算機(jī)、網(wǎng)絡(luò)和網(wǎng)絡(luò)化社會(huì)等階段信息技術(shù)的發(fā)展概況了解信息技術(shù)和網(wǎng)絡(luò)對(duì)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定及國(guó)家安全等方面的影響了解通信安全、計(jì)算機(jī)安全、信息系統(tǒng)安全和信息安全保障等階段信息安全的發(fā)展概況，了解各個(gè)階段信息安全面臨的主要威脅和防護(hù)措施13網(wǎng)絡(luò)化社會(huì)網(wǎng)絡(luò)計(jì)算機(jī)通信（電報(bào)\電話）信息安全發(fā)展階段COMSEC通信安全COMPUSEC計(jì)算機(jī)安全I(xiàn)NFOSEC信息系統(tǒng)安全I(xiàn)A信息安全保障CS/IA網(wǎng)絡(luò)空間安全/信息安全保障14解決傳輸數(shù)據(jù)安全斯巴達(dá)人的智慧：公元前500年，斯巴達(dá)人把一條羊皮螺旋形地纏在一個(gè)圓柱形棒上寫(xiě)數(shù)據(jù)現(xiàn)代人的智慧：20世紀(jì)，40年代-70年代通過(guò)密碼技術(shù)解決通信保密，內(nèi)容篡改15通信安全COMSEC：CommunicationSecurity20世紀(jì)，40年代-70年代核心思想：通過(guò)密碼技術(shù)解決通信保密，保證數(shù)據(jù)的保密性和完整性主要關(guān)注傳輸過(guò)程中的數(shù)據(jù)保護(hù)安全威脅：搭線竊聽(tīng)、密碼學(xué)分析安全措施：加密16計(jì)算機(jī)安全COMPUSEC：ComputerSecurity20世紀(jì)，70-90年代核心思想：預(yù)防、檢測(cè)和減小計(jì)算機(jī)系統(tǒng)（包括軟件和硬件）用戶（授權(quán)和未授權(quán)用戶）執(zhí)行的未授權(quán)活動(dòng)所造成的后果。主要關(guān)注于數(shù)據(jù)處理和存儲(chǔ)時(shí)的數(shù)據(jù)保護(hù)。安全威脅：非法訪問(wèn)、惡意代碼、脆弱口令等安全措施：通過(guò)操作系統(tǒng)的訪問(wèn)控制技術(shù)來(lái)防止非授權(quán)用戶的訪問(wèn)17信息系統(tǒng)安全I(xiàn)NFOSEC：InformationSecurity20世紀(jì)，90年代后核心思想：綜合通信安全和計(jì)算機(jī)安全安全重點(diǎn)在于保護(hù)比“數(shù)據(jù)”更精煉的“信息”，確保信息在存儲(chǔ)、處理和傳輸過(guò)程中免受偶然或惡意的非法泄密、轉(zhuǎn)移或破壞。安全威脅：網(wǎng)絡(luò)入侵、病毒破壞、信息對(duì)抗等安全措施：防火墻、防病毒、漏洞掃描、入侵檢測(cè)、PKI、VPN等18網(wǎng)絡(luò)化社會(huì)新世紀(jì)信息技術(shù)應(yīng)用于人類社會(huì)的方方面面軍事經(jīng)濟(jì)文化……現(xiàn)在人們意識(shí)到：技術(shù)很重要，但技術(shù)不是一切；信息系統(tǒng)很重要，只有服務(wù)于組織業(yè)務(wù)使命才有意義19信息安全保障IA：InformationAssurance今天，將來(lái)……核心思想：信息安全從技術(shù)擴(kuò)展到管理，從靜態(tài)擴(kuò)展到動(dòng)態(tài)通過(guò)技術(shù)、管理和工程等措施的綜合融合，形成對(duì)信息、信息系統(tǒng)乃至業(yè)務(wù)使命的保障。安全威脅：黑客、恐怖分子、信息戰(zhàn)、自然災(zāi)難、電力中斷等安全措施：技術(shù)安全保障體系、安全管理體系、人員意識(shí)/培訓(xùn)/教育、認(rèn)證和認(rèn)可20CS/IA：CyberSecurity/InformationAssurance2009年，在美國(guó)帶動(dòng)下，世界各國(guó)信息安全政策、技術(shù)和實(shí)踐等發(fā)生重大變革……共識(shí)：網(wǎng)絡(luò)安全問(wèn)題上升到國(guó)家安全的重要程度核心思想：從傳統(tǒng)防御的信息保障（IA），發(fā)展到“威懾”為主的防御、攻擊和情報(bào)三位一體的信息保障/網(wǎng)絡(luò)安全（IA/CS）的網(wǎng)空安全網(wǎng)絡(luò)防御-Defense（運(yùn)維）網(wǎng)絡(luò)攻擊-Offense（威懾）網(wǎng)絡(luò)利用-Exploitation（情報(bào)）21信息安全保障發(fā)展歷史第一次定義：在1996年美國(guó)國(guó)防部DoD指令5-3600.1（DoDD5-3600.1）中，美國(guó)信息安全界第一次給出了信息安全保障的標(biāo)準(zhǔn)化定義現(xiàn)在：信息安全保障的概念已逐漸被全世界信息安全領(lǐng)域所接受。中國(guó)：中辦發(fā)27號(hào)文《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》，是信息安全保障工作的綱領(lǐng)性文件信息安全保障發(fā)展歷史從通信安全（COMSEC）-〉計(jì)算機(jī)安全（COMPUSEC）-〉信息系統(tǒng)安全（INFOSEC）-〉信息安全保障（IA）-〉網(wǎng)絡(luò)空間安全/信息安全保障（CS/IA）。22網(wǎng)絡(luò)空間安全/信息安全保障2008年1月，布什政府發(fā)布了國(guó)家網(wǎng)絡(luò)安全綜合倡議（CNCI），號(hào)稱網(wǎng)絡(luò)安全“曼哈頓項(xiàng)目”，提出威懾概念，其中包括愛(ài)因斯坦計(jì)劃、情報(bào)對(duì)抗、供應(yīng)鏈安全、超越未來(lái)（“Leap-Ahead”）技術(shù)戰(zhàn)略2009年5月29日發(fā)布了《網(wǎng)絡(luò)空間政策評(píng)估：確保信息和通訊系統(tǒng)的可靠性和韌性》報(bào)告2009年6月25日，英國(guó)推出了首份“網(wǎng)絡(luò)安全戰(zhàn)略”，并將其作為同時(shí)推出的新版《國(guó)家安全戰(zhàn)略》的核心內(nèi)容2009年6月，美國(guó)成立網(wǎng)絡(luò)戰(zhàn)司令部12月22日，奧巴馬任命網(wǎng)絡(luò)安全專家擔(dān)任“網(wǎng)絡(luò)沙皇”2011年5月，美國(guó)發(fā)布《網(wǎng)絡(luò)空間國(guó)際戰(zhàn)略》，明確了針對(duì)網(wǎng)絡(luò)攻擊的指導(dǎo)原則…23信息安全保障是一種立體保障24知識(shí)域：信息安全保障概念與模型知識(shí)子域：信息安全保障理解信息安全保障的概念理解信息安全保障與信息安全、信息系統(tǒng)安全的區(qū)別25信息安全保障定義防止信息泄露、修改和破壞檢測(cè)入侵行為，計(jì)劃和部署針對(duì)入侵行為的防御措施采用安全措施和容錯(cuò)機(jī)制在遭受攻擊的情況下保證機(jī)密性、私密性、完整性、抗抵賴性、真實(shí)性、可用性和可靠性修復(fù)信息和信息系統(tǒng)所遭受的破壞26與信息安全、信息系統(tǒng)安全的區(qū)別信息安全保障的概念更加廣泛。信息安全的重點(diǎn)是保護(hù)和防御，而安全保障的重點(diǎn)是保護(hù)、檢測(cè)和響應(yīng)綜合信息安全不太關(guān)注檢測(cè)和響應(yīng)，但是信息安全保障非常關(guān)注這兩點(diǎn)攻擊后的修復(fù)不在傳統(tǒng)信息安全概念的范圍之內(nèi)，但是它是信息安全保障的重要組成部分。信息安全的目的是為了防止攻擊的發(fā)生，而信息安全保障的目的是為了保證信息系統(tǒng)始終能保證維持特定水平的可用性、完整性、真實(shí)性、機(jī)密性和抗抵賴性。27知識(shí)域：信息安全保障概念與模型知識(shí)子域：信息安全保障相關(guān)模型理解P2DR模型的基本原理：策略、防護(hù)、檢測(cè)及響應(yīng)，以及P2DR公式所表達(dá)的安全目標(biāo)理解P2DR數(shù)學(xué)公式所表達(dá)的安全目標(biāo)理解IATF的深度防御思想，及其將信息系統(tǒng)在技術(shù)層面的防御劃分為本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和支撐性基礎(chǔ)設(shè)施四個(gè)方面，理解每一方面的安全需求及基本實(shí)現(xiàn)方法28什么是信息安全模型通過(guò)建模的思想來(lái)解決網(wǎng)絡(luò)安全管理問(wèn)題，有效抵御外部攻擊，保障網(wǎng)絡(luò)安全安全模型用于精確和形式地描述信息系統(tǒng)的安全特征，解釋系統(tǒng)安全相關(guān)行為。為什么需要安全模型能準(zhǔn)確地描述安全的重要方面與系統(tǒng)行為的關(guān)系。能提高對(duì)成功實(shí)現(xiàn)關(guān)鍵安全需求的理解層次。從中開(kāi)發(fā)出一套安全性評(píng)估準(zhǔn)則，和關(guān)鍵的描述變量安全模型的概念29思想：承認(rèn)漏洞，正視威脅，適度防護(hù)，加強(qiáng)檢測(cè)，落實(shí)反應(yīng)，建立威懾出發(fā)點(diǎn)：任何防護(hù)措施都是基于時(shí)間的，是可以被攻破的核心與本質(zhì)：給出攻防時(shí)間表固定防守、測(cè)試攻擊時(shí)間；固定攻擊手法，測(cè)試防守時(shí)間缺點(diǎn)：難于適應(yīng)網(wǎng)絡(luò)安全環(huán)境的快速變化

基于時(shí)間的PDR模型30系統(tǒng)審計(jì)、分析–入侵檢測(cè)–定時(shí)響應(yīng)（警告、拒絕服務(wù)）系統(tǒng)的第一道防線防止遠(yuǎn)程攻擊文件、數(shù)據(jù)安全應(yīng)用服務(wù)層安全系統(tǒng)服務(wù)層安全系統(tǒng)內(nèi)核安全物理安全系統(tǒng)的第二道防線防止內(nèi)部權(quán)限提升系統(tǒng)備份安全措施文件、數(shù)據(jù)安全應(yīng)用服務(wù)層安全系統(tǒng)服務(wù)層安全系統(tǒng)內(nèi)核安全物理安全漏洞分析檢測(cè)漏洞修補(bǔ)protectionReactionDetection攻擊者基于PDR的安全架構(gòu)31PDR模型強(qiáng)調(diào)落實(shí)反應(yīng)P2DR模型則更強(qiáng)調(diào)控制和對(duì)抗，即強(qiáng)調(diào)系統(tǒng)安全的動(dòng)態(tài)性以安全檢測(cè)、漏洞監(jiān)測(cè)和自適應(yīng)填充“安全間隙”為循環(huán)來(lái)提高網(wǎng)絡(luò)安全特別考慮人為的管理因素P2DR模型-分布式動(dòng)態(tài)主動(dòng)模型32P2DR：Policy策略模型的核心，所有的防護(hù)、檢測(cè)、響應(yīng)都是依據(jù)安全策略實(shí)施的。策略體系的建立包括安全策略的制定、評(píng)估與執(zhí)行等。策略包括：訪問(wèn)控制策略加密通信策略身份認(rèn)證策略備份恢復(fù)策略……P2DR的基本原理33P2DR：Protection

防護(hù)通過(guò)傳統(tǒng)的靜態(tài)安全技術(shù)和方法提高網(wǎng)絡(luò)的防護(hù)能力，主要包括：訪問(wèn)控制技術(shù)ACLFirewall信息加密技術(shù)身份認(rèn)證技術(shù)–一次性口令–X.509……P2DR的理解34P2DR：Detection

檢測(cè)利用檢測(cè)工具，監(jiān)視、分析、審計(jì)網(wǎng)絡(luò)活動(dòng)，了解判斷網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)。使安全防護(hù)從被動(dòng)防護(hù)演進(jìn)到主動(dòng)防御，是整個(gè)模型動(dòng)態(tài)性的體現(xiàn)。主要方法包括：實(shí)時(shí)監(jiān)控檢測(cè)報(bào)警P2DR的理解35P2DR：Response

反應(yīng)在檢測(cè)到安全漏洞和安全事件時(shí)，通過(guò)及時(shí)的響應(yīng)措施將網(wǎng)絡(luò)系統(tǒng)的安全性調(diào)整到風(fēng)險(xiǎn)最低的狀態(tài)。評(píng)估系統(tǒng)受到的危害與損失，恢復(fù)系統(tǒng)功能和數(shù)據(jù)，啟動(dòng)備份系統(tǒng)等。主要方法包括：關(guān)閉服務(wù)跟蹤反擊消除影響P2DR的理解36P2DR模型中的數(shù)學(xué)法則假設(shè)S系統(tǒng)的防護(hù)、檢測(cè)和反應(yīng)的時(shí)間關(guān)系如下：Pt=防護(hù)時(shí)間(有效防御攻擊的時(shí)間)，Dt=檢測(cè)時(shí)間（發(fā)起攻擊到檢測(cè)到的時(shí)間），Rt=反應(yīng)時(shí)間（檢測(cè)到攻擊到處理完成時(shí)間），Et=暴露時(shí)間，則該系統(tǒng)防護(hù)、檢測(cè)和反應(yīng)的時(shí)間關(guān)系如下：如果Pt＞Dt＋Rt，那么S是安全的；如果Pt＜Dt＋Rt，那么Et＝(Dt＋Rt)－Pt。

37P2DR模型的安全目標(biāo)依據(jù)P2DR模型構(gòu)筑的網(wǎng)絡(luò)安全體系在統(tǒng)一安全策略的控制下在綜合運(yùn)用防護(hù)工具基礎(chǔ)上利用檢測(cè)工具檢測(cè)評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)通過(guò)及時(shí)的響應(yīng)措施將網(wǎng)絡(luò)系統(tǒng)調(diào)整到風(fēng)險(xiǎn)最低的安全狀態(tài)38再看P2DR安全管理的持續(xù)性、安全策略的動(dòng)態(tài)性：以實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)活動(dòng)、發(fā)現(xiàn)威脅和弱點(diǎn)來(lái)調(diào)整和填補(bǔ)網(wǎng)絡(luò)漏洞?？蓽y(cè)即可控通過(guò)經(jīng)常對(duì)網(wǎng)絡(luò)系統(tǒng)的評(píng)估把握系統(tǒng)風(fēng)險(xiǎn)點(diǎn)，及時(shí)弱化甚至堵塞系統(tǒng)的安全漏洞。39IATF-深度防御保障模型信息保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）美國(guó)國(guó)家安全局（NSA）制定的，為保護(hù)美國(guó)政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南。IATF的代表理論為“深度防御（Defense-in-Depth）”。在關(guān)于實(shí)現(xiàn)信息保障目標(biāo)的過(guò)程和方法上，IATF論述了系統(tǒng)工程、系統(tǒng)采購(gòu)、風(fēng)險(xiǎn)管理、認(rèn)證和鑒定以及生命周期支持等過(guò)程，指出了一條較為清晰的建設(shè)信息保障體系的路子。40何謂“深度防御”？IATF強(qiáng)調(diào)人、技術(shù)、操作這三個(gè)核心要素，從多種不同的角度對(duì)信息系統(tǒng)進(jìn)行防護(hù)。IATF關(guān)注四個(gè)信息安全保障領(lǐng)域（三保護(hù)一支撐）本地計(jì)算環(huán)境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施在此基礎(chǔ)上，對(duì)信息信息系統(tǒng)就可以做到多層防護(hù)，實(shí)現(xiàn)組織的任務(wù)/業(yè)務(wù)運(yùn)作。這樣的防護(hù)被稱為“深度防護(hù)戰(zhàn)略（Defense-in-DepthStrategy）”。41技術(shù)操作深度防御戰(zhàn)略人

人通過(guò)技術(shù)進(jìn)行操作計(jì)算環(huán)境區(qū)域邊界網(wǎng)絡(luò)基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施密鑰管理檢測(cè)響應(yīng)成功的組織功能信息安全保障（IA）IATF框架42人（People）：信息保障體系的核心，是第一位的要素，同時(shí)也是最脆弱的?；谶@樣的認(rèn)識(shí)，安全管理在安全保障體系中愈顯重要，包括：意識(shí)培訓(xùn)、組織管理、技術(shù)管理、操作管理……技術(shù)（Technology）：技術(shù)是實(shí)現(xiàn)信息保障的重要手段。動(dòng)態(tài)的技術(shù)體系：防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)操作（Operation）：也叫運(yùn)行，構(gòu)成安全保障的主動(dòng)防御體系。是將各方面技術(shù)緊密結(jié)合在一起的主動(dòng)的過(guò)程，包括風(fēng)險(xiǎn)評(píng)估、安全監(jiān)控、安全審計(jì)跟蹤告警、入侵檢測(cè)、響應(yīng)恢復(fù)……IATF的三要素43IATF三要素人員技術(shù)操作培訓(xùn)深度防御技術(shù)框架域分析意識(shí)安全標(biāo)準(zhǔn)監(jiān)視物理安全獲得IA/TA入侵檢測(cè)人員安全風(fēng)險(xiǎn)分析警告系統(tǒng)安全管理證書(shū)與認(rèn)證恢復(fù)44IATF的安全需求劃分IATF定義了四個(gè)主要的技術(shù)焦點(diǎn)領(lǐng)域：本地計(jì)算環(huán)境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施。這四個(gè)領(lǐng)域構(gòu)成了完整的信息保障體系所涉及的范圍。在每個(gè)領(lǐng)域范圍內(nèi)，IATF都描述了其特有的安全需求和相應(yīng)的可供選擇的技術(shù)措施。

邊界區(qū)域

計(jì)算環(huán)境

網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施45目標(biāo)：使用信息保障技術(shù)確保數(shù)據(jù)在進(jìn)人、離開(kāi)或駐留客戶機(jī)和服務(wù)器時(shí)具有保密性、完整性和可用性。方法：使用安全的操作系統(tǒng),使用安全的應(yīng)用程序安全消息傳遞、安全瀏覽、文件保護(hù)等主機(jī)入侵檢測(cè)防病毒系統(tǒng)主機(jī)脆弱性掃描文件完整性保護(hù)保護(hù)計(jì)算環(huán)境46保護(hù)區(qū)域邊界什么是邊界？“域”指由單一授權(quán)通過(guò)專用或物理安全措施所控制的環(huán)境，包括物理環(huán)境和邏輯環(huán)境。區(qū)域的網(wǎng)絡(luò)設(shè)備與其它網(wǎng)絡(luò)設(shè)備的接入點(diǎn)被稱為“區(qū)域邊界”。目標(biāo)：對(duì)進(jìn)出某區(qū)域（物理區(qū)域或邏輯區(qū)域）的數(shù)據(jù)流進(jìn)行有效的控制與監(jiān)視。方法：病毒、惡意代碼防御防火墻人侵檢測(cè)邊界護(hù)衛(wèi)遠(yuǎn)程訪問(wèn)多級(jí)別安全47保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施目標(biāo)：網(wǎng)絡(luò)和支持它的基礎(chǔ)設(shè)施必須防止數(shù)據(jù)非法泄露防止受到拒絕服務(wù)的攻擊防止受到保護(hù)的信息在發(fā)送過(guò)程中的時(shí)延、誤傳或未發(fā)送。方法：骨干網(wǎng)可用性無(wú)線網(wǎng)絡(luò)安全框架系統(tǒng)高度互聯(lián)和虛擬專用網(wǎng)。48支撐性基礎(chǔ)設(shè)施建設(shè)目標(biāo)：為安全保障服務(wù)提供一套相互關(guān)聯(lián)的活動(dòng)與基礎(chǔ)設(shè)施密鑰管理功能檢測(cè)和響應(yīng)功能方法：密鑰管理優(yōu)先權(quán)管理證書(shū)管理入侵檢測(cè)、審計(jì)、配置信息調(diào)查、收集49遠(yuǎn)程用戶遠(yuǎn)程用戶遠(yuǎn)程用戶遠(yuǎn)程用戶

邊界保護(hù)（隔離器、防火墻等）遠(yuǎn)程訪問(wèn)保護(hù)（VPN，加密等）邊界電信運(yùn)營(yíng)商公共電話網(wǎng)公共移動(dòng)網(wǎng)連接至其他邊界遠(yuǎn)程用戶專網(wǎng)密級(jí)網(wǎng)絡(luò)PBX公網(wǎng)(Internet)Internet服務(wù)供應(yīng)商電信運(yùn)營(yíng)商本地計(jì)算環(huán)境網(wǎng)絡(luò)基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施（PKI公鑰基礎(chǔ)設(shè)施、檢測(cè)和響應(yīng)基礎(chǔ)設(shè)施）帶密級(jí)網(wǎng)絡(luò)的邊界專用網(wǎng)絡(luò)的邊界公共網(wǎng)絡(luò)的邊界IATF框架50知識(shí)域：信息系統(tǒng)安全保障概念與模型知識(shí)子域：信息系統(tǒng)安全保障了解信息系統(tǒng)的概念及其包含的基本資源理解信息系統(tǒng)安全保障的概念，以及風(fēng)險(xiǎn)、業(yè)務(wù)使命等信息系統(tǒng)安全保障相關(guān)概念及其之間的關(guān)系知識(shí)子域：信息系統(tǒng)安全保障模型理解信息系統(tǒng)安全保障模型中生命周期、保障要素和安全特征的含義和內(nèi)容理解風(fēng)險(xiǎn)和策略是信息系統(tǒng)安全保障的核心問(wèn)題理解業(yè)務(wù)使命實(shí)現(xiàn)是信息安全保障的根本目的51信息系統(tǒng)52信息系統(tǒng)安全保障信息系統(tǒng)安全保障是在信息系統(tǒng)的整個(gè)生命周期中，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風(fēng)險(xiǎn)到可接受的程度，從而保障系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的使命。53

措施

信息系統(tǒng)保障風(fēng)險(xiǎn)脆弱性威脅使命能力策略

模型信息系統(tǒng)安全保障相關(guān)概念和關(guān)系54信息系統(tǒng)安全保障模型國(guó)家標(biāo)準(zhǔn)：《GB/T20274.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》55信息系統(tǒng)安全保障安全特征確保信息的安全特征確保信息的保密性、完整性和可用性特征，從而實(shí)現(xiàn)和貫徹組織機(jī)構(gòu)策略并將風(fēng)險(xiǎn)降低到可接受的程度保護(hù)資產(chǎn)達(dá)到保護(hù)組織機(jī)構(gòu)信息和信息系統(tǒng)資產(chǎn)最終保障業(yè)務(wù)使命從而保障組織機(jī)構(gòu)實(shí)現(xiàn)其業(yè)務(wù)使命的最終目的56信息系統(tǒng)安全保障生命周期57信息系統(tǒng)安全保障要素從技術(shù)、工程、管理和人員四個(gè)領(lǐng)域進(jìn)行綜合保障技術(shù)：密碼、訪問(wèn)控制、網(wǎng)絡(luò)安全、漏洞及惡意代碼防護(hù)等工程：信息系統(tǒng)安全工程、安全工程能力成熟度模型管理：安全管理體系、風(fēng)險(xiǎn)管理、應(yīng)急響應(yīng)與災(zāi)難恢復(fù)等人員：所有員工、信息系統(tǒng)崗位、安全專業(yè)人員58課程內(nèi)容信息安全保障實(shí)踐知識(shí)體知識(shí)域信息安全保障現(xiàn)狀我國(guó)信息安全保障工作主要內(nèi)容知識(shí)子域國(guó)外信息安全保障現(xiàn)狀信息安全標(biāo)準(zhǔn)化我國(guó)信息安全保障現(xiàn)狀信息安全應(yīng)急處理與信息通報(bào)信息安全保障工作方法確定信息安全需求信息安全測(cè)評(píng)信息安全等級(jí)保護(hù)信息安全風(fēng)險(xiǎn)評(píng)估災(zāi)難恢復(fù)人才隊(duì)伍建設(shè)設(shè)計(jì)并實(shí)施信息安全方案信息安全監(jiān)測(cè)與維護(hù)知識(shí)子域：國(guó)外信息安全保障情況了解發(fā)達(dá)國(guó)家信息安全狀況和信息安全保障的主要舉措了解發(fā)達(dá)國(guó)家信息安全方面主要?jiǎng)討B(tài)知識(shí)子域：我國(guó)信息安全保障現(xiàn)狀了解我國(guó)信息化與信息安全形勢(shì)了解我國(guó)信息安全保障發(fā)展階段理解我國(guó)信息安全保障基本思路了解我國(guó)信息安全保障目標(biāo)了解我國(guó)信息安全保障的整體規(guī)劃了解我國(guó)信息安全保障體系的框架知識(shí)域：信息安全保障現(xiàn)狀6060國(guó)外信息安全保障體系的最新趨勢(shì)戰(zhàn)略：發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評(píng)估報(bào)告、推進(jìn)計(jì)劃等文件組織：通過(guò)設(shè)立網(wǎng)絡(luò)安全協(xié)調(diào)機(jī)構(gòu)、設(shè)立協(xié)調(diào)官，強(qiáng)化集中領(lǐng)導(dǎo)和綜合協(xié)調(diào)軍事：陸續(xù)成立網(wǎng)絡(luò)戰(zhàn)司令部，開(kāi)展大規(guī)模攻防演練，招募網(wǎng)絡(luò)戰(zhàn)精英人才，加快軍事網(wǎng)絡(luò)和通信系統(tǒng)的升級(jí)改造，網(wǎng)絡(luò)戰(zhàn)成為熱門(mén)話題外交：信息安全問(wèn)題的國(guó)際交流與對(duì)話增多，美歐盟友之間網(wǎng)絡(luò)協(xié)同攻防傾向愈加明顯，信息安全成為國(guó)際多邊或雙邊談判的實(shí)質(zhì)性內(nèi)容科技：各國(guó)尋求走突破性跨越式發(fā)展路線推進(jìn)技術(shù)創(chuàng)新，力求在科技發(fā)展上保持和占據(jù)優(yōu)勢(shì)地位關(guān)鍵基礎(chǔ)設(shè)施仍然是信息安全保障的最核心內(nèi)容61美國(guó)信息安全保障戰(zhàn)略：

一個(gè)輪回三屆政府四個(gè)文件網(wǎng)絡(luò)空間國(guó)家安全戰(zhàn)略框架98年克林頓政府PDD6300年信息系統(tǒng)保護(hù)國(guó)家計(jì)劃01年布什政府PCIPB03年保護(hù)網(wǎng)際空間國(guó)家戰(zhàn)略1998年5月，克林頓政府發(fā)布了第63號(hào)總統(tǒng)令（PDD63）：《克林頓政府對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的政策》2000年1月，克林頓政府發(fā)布了《信息系統(tǒng)保護(hù)國(guó)家計(jì)劃V1.0》，提出了美國(guó)政府在21世紀(jì)之初若干年的網(wǎng)絡(luò)空間安全發(fā)展規(guī)劃。2001年10月16日，布什政府意識(shí)到了911之后信息安全的嚴(yán)峻性，發(fā)布了第13231號(hào)行政令《信息時(shí)代的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)》，宣布成立“總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)”，簡(jiǎn)稱PCIPB，代表政府全面負(fù)責(zé)國(guó)家的網(wǎng)絡(luò)空間安全工作2003年2月，在征求國(guó)民意見(jiàn)的基礎(chǔ)上，發(fā)布了《保護(hù)網(wǎng)際空間的國(guó)家戰(zhàn)略》的正式版本，對(duì)原草案版本做了大篇幅的改動(dòng)，重點(diǎn)突出國(guó)家政府層面上的戰(zhàn)略任務(wù)，這是一個(gè)非常大的跨越2010年3月2日，奧巴馬政府部分解密了CNCI，包括3個(gè)重要目標(biāo)，12個(gè)倡議62美國(guó)CNCI：網(wǎng)絡(luò)“曼哈頓計(jì)劃”2008年1月2日發(fā)布的國(guó)家安全總統(tǒng)令54/國(guó)土安全總統(tǒng)令23，建立了國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃(CNCI)。三道防線建立第一線防御：減少當(dāng)前漏洞和隱患，預(yù)防入侵；全面應(yīng)對(duì)各類威脅：增強(qiáng)反間能力，加強(qiáng)供應(yīng)鏈安全來(lái)抵御各種威脅；強(qiáng)化未來(lái)安全環(huán)境：增強(qiáng)研究、開(kāi)發(fā)和教育以及投資先進(jìn)的技術(shù)來(lái)構(gòu)建將來(lái)的環(huán)境。十二項(xiàng)提議可信互聯(lián)網(wǎng)連接（TIC）、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)、科技研發(fā)、態(tài)勢(shì)感知、網(wǎng)絡(luò)反間、增強(qiáng)涉密安全、加強(qiáng)網(wǎng)絡(luò)教育、“超越未來(lái)（LeapAhead）”技術(shù)研發(fā)、網(wǎng)絡(luò)威懾戰(zhàn)略、全球供應(yīng)鏈風(fēng)險(xiǎn)管理機(jī)制、公私協(xié)作63美國(guó)信息安全保障的重點(diǎn)對(duì)象關(guān)鍵基礎(chǔ)設(shè)施2001年美國(guó)出臺(tái)《美國(guó)愛(ài)國(guó)者法案》，定義“關(guān)鍵基礎(chǔ)實(shí)施”的含義；2003年12月發(fā)布《國(guó)土安全總統(tǒng)令/HSPD-7》確定了17個(gè)關(guān)鍵基礎(chǔ)設(shè)施；2008年3月國(guó)土安全部將關(guān)鍵制造業(yè)類為第18項(xiàng)關(guān)鍵基礎(chǔ)設(shè)施；目前美國(guó)關(guān)鍵基礎(chǔ)設(shè)施和主要資源部門(mén)（1）信息技術(shù)；（2）電信；（3）化學(xué)制品；（4）商業(yè)設(shè)施；（5）大壩；（6）商用核反應(yīng)堆、材料和廢棄物；（7）政府設(shè)施；（8）交通系統(tǒng)；（9）應(yīng)急服務(wù)；（10）郵政和貨運(yùn)服務(wù)；（11）農(nóng)業(yè)和食品；（12）飲用水和廢水處理系統(tǒng)；（13）公共健康和醫(yī)療；（14）能源；（15）銀行和金融；（16）國(guó)家紀(jì)念碑和象征性標(biāo)志；（17）國(guó)防工業(yè)基地；（18）關(guān)鍵制造業(yè)64美國(guó)信息安全保障組織機(jī)構(gòu)網(wǎng)絡(luò)安全協(xié)調(diào)官：負(fù)責(zé)領(lǐng)導(dǎo)白宮“網(wǎng)絡(luò)安全辦公室”，制定和發(fā)布國(guó)家信息安全政策首任網(wǎng)絡(luò)安全協(xié)調(diào)官霍華德·施密特，被喻為“網(wǎng)絡(luò)沙皇”國(guó)土安全部（DHS）、國(guó)家安全局（NSA）、國(guó)防部（DOD）、聯(lián)邦調(diào)查局（FBI）、中央情況報(bào)局（CIA）、國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）等6個(gè)機(jī)構(gòu)具體執(zhí)行不同的分管職責(zé)公私合作機(jī)構(gòu):國(guó)家基礎(chǔ)設(shè)施顧問(wèn)委員會(huì)（NIAC）、信息共享和分析中心（ISAC）、網(wǎng)絡(luò)安全全國(guó)聯(lián)盟（NCSA）等等65其他國(guó)家信息安全保障體系建設(shè)動(dòng)態(tài)英國(guó)全面緊跟美國(guó)，注重信息安全標(biāo)準(zhǔn)組織建設(shè)，注重標(biāo)準(zhǔn)向海外推廣，積極參見(jiàn)國(guó)際信息安全標(biāo)準(zhǔn)制定強(qiáng)化網(wǎng)絡(luò)監(jiān)控，警方、國(guó)家安全、稅務(wù)部門(mén)有權(quán)監(jiān)控網(wǎng)絡(luò)及電話德國(guó)第一個(gè)建立電子政務(wù)標(biāo)準(zhǔn)，注重基線安全防御法國(guó)強(qiáng)化四大安全目標(biāo)（領(lǐng)導(dǎo)通信、政府通信、反攻擊能力、信息安全納入安全政策范圍）俄羅斯注重測(cè)評(píng)分級(jí)管理66分析總結(jié)—重點(diǎn)保護(hù)對(duì)象關(guān)鍵基礎(chǔ)設(shè)施是保障重點(diǎn)各國(guó)之間歷史、國(guó)情、文化不同，具體的重點(diǎn)保護(hù)對(duì)象也有所差異，但共同特點(diǎn)是將與國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點(diǎn)；《國(guó)際關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)手冊(cè)（CIIPHandbook）2008/2009》顯示，所有國(guó)家最常被提到的關(guān)鍵部門(mén)都是現(xiàn)代化社會(huì)的核心部門(mén)，也是被破壞后可能造成極大規(guī)模災(zāi)害的部門(mén)；其中銀行和金融被全部24個(gè)接受CIIP調(diào)查的國(guó)家列為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施。67分析總結(jié)—信息安全組織機(jī)構(gòu)少數(shù)國(guó)家在中央政府一級(jí)設(shè)立機(jī)構(gòu)專門(mén)負(fù)責(zé)處理網(wǎng)絡(luò)信息安全問(wèn)題，如美國(guó)；大多數(shù)國(guó)家信息安全管理職能由不同政府部門(mén)的多個(gè)機(jī)構(gòu)和單位共同承擔(dān)；機(jī)構(gòu)單位的設(shè)立，以及機(jī)構(gòu)在信息安全管理中的影響力，受到民防傳統(tǒng)、資源配置、歷史經(jīng)驗(yàn)以及決策者對(duì)信息安全威脅總體認(rèn)識(shí)程度的影響；兩種觀念在機(jī)構(gòu)設(shè)置問(wèn)題上具有較大影響力：執(zhí)法機(jī)關(guān)強(qiáng)調(diào)信息安全屬于防范敵對(duì)勢(shì)力入侵及網(wǎng)絡(luò)犯罪的范疇經(jīng)營(yíng)基礎(chǔ)設(shè)施的部門(mén)將調(diào)信息安全屬于技術(shù)問(wèn)題或經(jīng)濟(jì)成本問(wèn)題在現(xiàn)實(shí)信息安全威脅性質(zhì)的決定下，前一種觀念在大多數(shù)國(guó)家成為主流68分析總結(jié)—基本做法將信息安全視為國(guó)家安全的重要組成部分是主流積極推動(dòng)信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè)是主流重視對(duì)基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的監(jiān)管和安全測(cè)評(píng)是主流普遍重視信息安全事件應(yīng)急響應(yīng)普遍認(rèn)識(shí)到公共私營(yíng)合作伙伴關(guān)系的重要性，一方面政府加強(qiáng)管理力度，一方面充分利用社會(huì)資源69了解我國(guó)信息安全保障發(fā)展階段理解我國(guó)信息安全保障基本思路了解我國(guó)信息安全保障目標(biāo)了解我國(guó)信息安全保障的整體規(guī)劃了解我國(guó)信息安全保障體系的框架我國(guó)信息安全保障總體情況7070我國(guó)信息安全保障工作發(fā)展階段階段主要工作2001-2002啟動(dòng)國(guó)家信息化小組重組；網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立2003-2005逐步展開(kāi)積極推進(jìn)國(guó)家出臺(tái)指導(dǎo)政策；召開(kāi)第一次全國(guó)信息安全保障會(huì)議；發(fā)布國(guó)家信息安全戰(zhàn)略；國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組召開(kāi)四次會(huì)議2006至今深化落實(shí)信息安全法律法規(guī)、標(biāo)準(zhǔn)化和人才培養(yǎng)工作取得新成果；信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估取得新進(jìn)展71以維護(hù)國(guó)家利益為根本出發(fā)點(diǎn)，服從和服務(wù)于國(guó)家發(fā)展和安全突出保障重點(diǎn)，推動(dòng)自主創(chuàng)新，為國(guó)家發(fā)展和社會(huì)建設(shè)提供有力支撐從法律、管理、技術(shù)和人才等多方面入手，采取多種安全措施動(dòng)員和組織全社會(huì)力量，共同構(gòu)建國(guó)家信息安全保障體系。我國(guó)信息安全保障基本思路7272我國(guó)信息安全保障目標(biāo)保障和促進(jìn)信息化發(fā)展維護(hù)企業(yè)與公民的合法權(quán)益構(gòu)建安全可信的網(wǎng)絡(luò)信息傳播秩序保護(hù)互聯(lián)網(wǎng)知識(shí)產(chǎn)權(quán)我國(guó)信息安全保障目標(biāo)7373我國(guó)信息安全保障的整體規(guī)劃戰(zhàn)略規(guī)劃2005年5月，國(guó)家信息化領(lǐng)導(dǎo)小組頒布《國(guó)家信息安全戰(zhàn)略報(bào)告》將信息安全分為基礎(chǔ)信息網(wǎng)絡(luò)安全、重要信息系統(tǒng)安全和信息內(nèi)容安全堅(jiān)持積極防御、綜合防范的方針，立足當(dāng)前，放眼長(zhǎng)遠(yuǎn)提高信息安全的法律保障能力加強(qiáng)信息安全內(nèi)容管理，提高網(wǎng)絡(luò)輿論宣傳的駕馭能力積極開(kāi)展國(guó)際合作，提高我國(guó)在國(guó)際信息安全領(lǐng)域的影響力2006年3月中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)《2006-2020年國(guó)家信息化戰(zhàn)略》堅(jiān)持積極防御、綜合防范堅(jiān)持立足國(guó)情，綜合平衡安全成本和風(fēng)險(xiǎn)，確保重點(diǎn)信息安全保障的六項(xiàng)工作政策規(guī)劃74我國(guó)信息安全保障體系75我國(guó)信息安全保障體系建立健全國(guó)家信息安全組織與管理體制機(jī)制，加強(qiáng)信息安全工作的組織保障建立健全信息安全法律法規(guī)體系，推進(jìn)信息安全法制建設(shè)建立完善信息安全標(biāo)準(zhǔn)體系，加強(qiáng)信息安全標(biāo)準(zhǔn)化工作建立信息安全技術(shù)體系，實(shí)現(xiàn)國(guó)家信息化發(fā)展的自主可控建設(shè)信息安全基礎(chǔ)設(shè)施，提供國(guó)家信息安全保障能力支撐建立信息安全人才培養(yǎng)體系，加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)76知識(shí)子域：信息安全標(biāo)準(zhǔn)化了解信息安全標(biāo)準(zhǔn)化的意義了解我國(guó)信息安全標(biāo)準(zhǔn)化工作的實(shí)踐情況知識(shí)子域：信息安全應(yīng)急處理與信息通報(bào)了解信息安全應(yīng)急處理與信息通報(bào)的意義了解我國(guó)信息安全應(yīng)急處理與信息通報(bào)工作的實(shí)踐情況知識(shí)子域：信息安全等級(jí)保護(hù)了解我國(guó)信息安全等級(jí)保護(hù)的意義了解我國(guó)信息安全等級(jí)保護(hù)工作的實(shí)踐情況知識(shí)子域：信息安全風(fēng)險(xiǎn)評(píng)估了解信息安全風(fēng)險(xiǎn)評(píng)估的意義了解我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作的實(shí)踐情況知識(shí)子域：災(zāi)難恢復(fù)了解災(zāi)難恢復(fù)的意義了解我國(guó)災(zāi)難恢復(fù)工作的實(shí)踐情況知識(shí)子域：人才隊(duì)伍建設(shè)了解人才隊(duì)伍建設(shè)的意義了解我國(guó)信息安全人才隊(duì)伍建設(shè)工作的實(shí)踐情況知識(shí)域：我國(guó)信息安全保障工作主要內(nèi)容7777意義政府進(jìn)行宏觀管理的重要依據(jù)，同時(shí)也是保護(hù)國(guó)家利益、促進(jìn)產(chǎn)業(yè)發(fā)展的重要手段之一解決信息安全產(chǎn)品和系統(tǒng)在設(shè)計(jì)、研發(fā)、生產(chǎn)、建設(shè)、使用、測(cè)評(píng)中的一致性、可靠性、可控性、先進(jìn)性和符合性的技術(shù)規(guī)范與依據(jù)實(shí)踐歷程2002年4月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡(jiǎn)稱“信安標(biāo)委”，委員會(huì)編號(hào)為T(mén)C260）正式成立形成我國(guó)信息安全標(biāo)準(zhǔn)體系框架，并以該標(biāo)準(zhǔn)體系框架作為指導(dǎo)我國(guó)配套標(biāo)準(zhǔn)的研究制定工作信息安全標(biāo)準(zhǔn)化7878信息安全應(yīng)急處理與信息通報(bào)意義有利于提高基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)的信息安全防范、保障能力助于加強(qiáng)國(guó)家網(wǎng)絡(luò)與信息安全應(yīng)急處置工作實(shí)踐歷程我國(guó)的應(yīng)急響應(yīng)機(jī)構(gòu)包括CNCERT/CC、中國(guó)教育和科研計(jì)算機(jī)網(wǎng)緊急響應(yīng)組（CCERT）、國(guó)家計(jì)算機(jī)