信息安全保障發(fā)展背景

1、信息安全保障發(fā)展背景信息安全保障背景信息安全發(fā)展階段了解電報/電話、計算機、網(wǎng)絡(luò)等階段信息技術(shù)發(fā)展概況及各階段信息安全面臨的主要威脅和防護措施了解信息化和網(wǎng)絡(luò)對個人、企事業(yè)單位和社會團體、經(jīng)濟發(fā)展、社會穩(wěn)定、國家安全等方面的影響及信息安全保障的概念2網(wǎng)絡(luò)化社會網(wǎng)絡(luò)計算機通信（電報電話）信息安全發(fā)展階段3COMSEC通信安全COMPUSEC計算機安全INFOSEC信息系統(tǒng)安全IA信息安全保障CS/IA網(wǎng)絡(luò)空間安全/信息安全保障電報電話解決傳輸數(shù)據(jù)安全斯巴達人的智慧：公元前500年，斯巴達人把一條羊皮螺旋形地纏在一個圓柱形棒上寫數(shù)據(jù)現(xiàn)代人的智慧：20世紀(jì)，40年代-70年代通過密碼技術(shù)解決通信保密

2、，內(nèi)容篡改4COMSEC：Communication Security20世紀(jì)，40年代-70年代核心思想：通過密碼技術(shù)解決通信保密，保證數(shù)據(jù)的保密性和完整性主要關(guān)注傳輸過程中的數(shù)據(jù)保護 安全威脅：搭線竊聽、密碼學(xué)分析安全措施：加密標(biāo)志1949年：shannon發(fā)表保密通信的信息理論1977年：美國國家標(biāo)準(zhǔn)局公布數(shù)據(jù)加密標(biāo)準(zhǔn)DES1976年：Diffle和Hellman在“New Directions in Cryptography”一文中提出公鑰密碼體系通信安全5COMPUSEC：Computer Security20世紀(jì)，70-90年代核心思想：預(yù)防、檢測和減小計算機系統(tǒng)（包括軟件和硬件）

3、用戶（授權(quán)和未授權(quán)用戶）執(zhí)行的未授權(quán)活動所造成的后果。主要關(guān)注于數(shù)據(jù)處理和存儲時的數(shù)據(jù)保護 。安全威脅：非法訪問、惡意代碼、脆弱口令等安全措施：安全操作系統(tǒng)設(shè)計技術(shù)（TCB）標(biāo)志：1985年，美國國防部的可信計算機系統(tǒng)評估保障（TCSEC，橙皮書），將操作系統(tǒng)安全分級（D、C1、C2、B1、B2、B3、A1）；后補充紅皮書TNI（1987）和TDI（1991），發(fā)展為彩虹（rainbow）系列計算機安全6INFOSEC：Information Security20世紀(jì)，90年代后核心思想：綜合通信安全和計算機安全安全重點在于保護比“數(shù)據(jù)”更精煉的“信息”，確保信息在存儲、處理和傳輸過程中免受偶

4、然或惡意的非法泄密、轉(zhuǎn)移或破壞 。安全威脅：網(wǎng)絡(luò)入侵、病毒破壞、信息對抗等安全措施：防火墻、防病毒、漏洞掃描、入侵檢測、PKI、VPN等標(biāo)志安全評估保障CC（ISO 15408，GB/T 18336）信息系統(tǒng)安全7網(wǎng)絡(luò)化社會新世紀(jì)信息技術(shù)應(yīng)用于人類社會的方方面面軍事經(jīng)濟文化現(xiàn)在人們意識到：技術(shù)很重要，但技術(shù)不是一切；信息系統(tǒng)很重要，只有服務(wù)于組織業(yè)務(wù)使命才有意義8IA：Information Assurance今天，將來核心思想：保障信息和信息系統(tǒng)資產(chǎn)，保障組織機構(gòu)使命的執(zhí)行；綜合技術(shù)、管理、過程、人員；確保信息的保密性、完整性和可用性。安全威脅：黑客、恐怖分子、信息戰(zhàn)、自然災(zāi)難、電力中斷等安

5、全措施：技術(shù)安全保障體系、安全管理體系、人員意識/培訓(xùn)/教育、認(rèn)證和認(rèn)可標(biāo)志：技術(shù)：美國國防部的IATF深度防御戰(zhàn)略管理：BS7799/ISO 17799系統(tǒng)認(rèn)證：美國國防部DITSCAP信息安全保障9網(wǎng)絡(luò)空間安全/信息安全保障CS/IA：Cyber Security/Information Assurance2009年，在美國帶動下，世界各國信息安全政策、技術(shù)和實踐等發(fā)生重大變革共識：網(wǎng)絡(luò)安全問題上升到國家安全的重要程度核心思想：從傳統(tǒng)防御的信息保障（IA），發(fā)展到“威懾”為主的防御、攻擊和情報三位一體的信息保障/網(wǎng)絡(luò)安全（IA/CS）的網(wǎng)空安全網(wǎng)絡(luò)防御-Defense（運維）網(wǎng)絡(luò)攻擊-Of

6、fense（威懾）網(wǎng)絡(luò)利用-Exploitation（情報）10信息安全保障發(fā)展歷史第一次定義：在1996年美國國防部DoD指令5-3600.1（DoDD 5-3600.1）中，美國信息安全界第一次給出了信息安全保障的標(biāo)準(zhǔn)化定義現(xiàn)在：信息安全保障的概念已逐漸被全世界信息安全領(lǐng)域所接受。中國：中辦發(fā)27號文國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見，是信息安全保障工作的綱領(lǐng)性文件信息安全保障發(fā)展歷史從通信安全（COMSEC）-計算機安全（COMPUSEC）-信息系統(tǒng)安全（INFOSEC）-信息安全保障（IA） -網(wǎng)絡(luò)空間安全/信息安全保障（CS/IA） 。112008年1月，布什政府發(fā)布了國家網(wǎng)絡(luò)安全綜合倡議（CNCI），號稱網(wǎng)絡(luò)安全“曼哈頓項目”，提出威懾概念，其中包括愛因斯坦計劃、情報對抗、供應(yīng)鏈安全、超越未來（“Leap-Ahead”）技術(shù)戰(zhàn)略2009年5月29日發(fā)布了網(wǎng)絡(luò)空間政策評估：確保信息和通訊系統(tǒng)的可靠性和韌性報告 2009年6月25日，英國推出了首份“網(wǎng)絡(luò)安全戰(zhàn)略”，并將其作為同時推出的新版國家安全戰(zhàn)略的核心內(nèi)容2009年6月，美國成立網(wǎng)