信息安全保障發(fā)展背景

1、信息安全保障發(fā)展背景信息安全保障背景信息安全發(fā)展階段了解電報(bào)/電話、計(jì)算機(jī)、網(wǎng)絡(luò)等階段信息技術(shù)發(fā)展概況及各階段信息安全面臨的主要威脅和防護(hù)措施了解信息化和網(wǎng)絡(luò)對(duì)個(gè)人、企事業(yè)單位和社會(huì)團(tuán)體、經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定、國(guó)家安全等方面的影響及信息安全保障的概念2網(wǎng)絡(luò)化社會(huì)網(wǎng)絡(luò)計(jì)算機(jī)通信（電報(bào)電話）信息安全發(fā)展階段3COMSEC通信安全COMPUSEC計(jì)算機(jī)安全I(xiàn)NFOSEC信息系統(tǒng)安全I(xiàn)A信息安全保障CS/IA網(wǎng)絡(luò)空間安全/信息安全保障電報(bào)電話解決傳輸數(shù)據(jù)安全斯巴達(dá)人的智慧：公元前500年，斯巴達(dá)人把一條羊皮螺旋形地纏在一個(gè)圓柱形棒上寫(xiě)數(shù)據(jù)現(xiàn)代人的智慧：20世紀(jì)，40年代-70年代通過(guò)密碼技術(shù)解決通信保密

2、，內(nèi)容篡改4COMSEC：Communication Security20世紀(jì)，40年代-70年代核心思想：通過(guò)密碼技術(shù)解決通信保密，保證數(shù)據(jù)的保密性和完整性主要關(guān)注傳輸過(guò)程中的數(shù)據(jù)保護(hù) 安全威脅：搭線竊聽(tīng)、密碼學(xué)分析安全措施：加密標(biāo)志1949年：shannon發(fā)表保密通信的信息理論1977年：美國(guó)國(guó)家標(biāo)準(zhǔn)局公布數(shù)據(jù)加密標(biāo)準(zhǔn)DES1976年：Diffle和Hellman在“New Directions in Cryptography”一文中提出公鑰密碼體系通信安全5COMPUSEC：Computer Security20世紀(jì)，70-90年代核心思想：預(yù)防、檢測(cè)和減小計(jì)算機(jī)系統(tǒng)（包括軟件和硬件）

3、用戶（授權(quán)和未授權(quán)用戶）執(zhí)行的未授權(quán)活動(dòng)所造成的后果。主要關(guān)注于數(shù)據(jù)處理和存儲(chǔ)時(shí)的數(shù)據(jù)保護(hù) 。安全威脅：非法訪問(wèn)、惡意代碼、脆弱口令等安全措施：安全操作系統(tǒng)設(shè)計(jì)技術(shù)（TCB）標(biāo)志：1985年，美國(guó)國(guó)防部的可信計(jì)算機(jī)系統(tǒng)評(píng)估保障（TCSEC，橙皮書(shū)），將操作系統(tǒng)安全分級(jí)（D、C1、C2、B1、B2、B3、A1）；后補(bǔ)充紅皮書(shū)TNI（1987）和TDI（1991），發(fā)展為彩虹（rainbow）系列計(jì)算機(jī)安全6INFOSEC：Information Security20世紀(jì)，90年代后核心思想：綜合通信安全和計(jì)算機(jī)安全安全重點(diǎn)在于保護(hù)比“數(shù)據(jù)”更精煉的“信息”，確保信息在存儲(chǔ)、處理和傳輸過(guò)程中免受偶

4、然或惡意的非法泄密、轉(zhuǎn)移或破壞 。安全威脅：網(wǎng)絡(luò)入侵、病毒破壞、信息對(duì)抗等安全措施：防火墻、防病毒、漏洞掃描、入侵檢測(cè)、PKI、VPN等標(biāo)志安全評(píng)估保障CC（ISO 15408，GB/T 18336）信息系統(tǒng)安全7網(wǎng)絡(luò)化社會(huì)新世紀(jì)信息技術(shù)應(yīng)用于人類社會(huì)的方方面面軍事經(jīng)濟(jì)文化現(xiàn)在人們意識(shí)到：技術(shù)很重要，但技術(shù)不是一切；信息系統(tǒng)很重要，只有服務(wù)于組織業(yè)務(wù)使命才有意義8IA：Information Assurance今天，將來(lái)核心思想：保障信息和信息系統(tǒng)資產(chǎn)，保障組織機(jī)構(gòu)使命的執(zhí)行；綜合技術(shù)、管理、過(guò)程、人員；確保信息的保密性、完整性和可用性。安全威脅：黑客、恐怖分子、信息戰(zhàn)、自然災(zāi)難、電力中斷等安

5、全措施：技術(shù)安全保障體系、安全管理體系、人員意識(shí)/培訓(xùn)/教育、認(rèn)證和認(rèn)可標(biāo)志：技術(shù)：美國(guó)國(guó)防部的IATF深度防御戰(zhàn)略管理：BS7799/ISO 17799系統(tǒng)認(rèn)證：美國(guó)國(guó)防部DITSCAP信息安全保障9網(wǎng)絡(luò)空間安全/信息安全保障CS/IA：Cyber Security/Information Assurance2009年，在美國(guó)帶動(dòng)下，世界各國(guó)信息安全政策、技術(shù)和實(shí)踐等發(fā)生重大變革共識(shí)：網(wǎng)絡(luò)安全問(wèn)題上升到國(guó)家安全的重要程度核心思想：從傳統(tǒng)防御的信息保障（IA），發(fā)展到“威懾”為主的防御、攻擊和情報(bào)三位一體的信息保障/網(wǎng)絡(luò)安全（IA/CS）的網(wǎng)空安全網(wǎng)絡(luò)防御-Defense（運(yùn)維）網(wǎng)絡(luò)攻擊-Of

6、fense（威懾）網(wǎng)絡(luò)利用-Exploitation（情報(bào)）10信息安全保障發(fā)展歷史第一次定義：在1996年美國(guó)國(guó)防部DoD指令5-3600.1（DoDD 5-3600.1）中，美國(guó)信息安全界第一次給出了信息安全保障的標(biāo)準(zhǔn)化定義現(xiàn)在：信息安全保障的概念已逐漸被全世界信息安全領(lǐng)域所接受。中國(guó)：中辦發(fā)27號(hào)文國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)，是信息安全保障工作的綱領(lǐng)性文件信息安全保障發(fā)展歷史從通信安全（COMSEC）-計(jì)算機(jī)安全（COMPUSEC）-信息系統(tǒng)安全（INFOSEC）-信息安全保障（IA） -網(wǎng)絡(luò)空間安全/信息安全保障（CS/IA） 。112008年1月，布什政府發(fā)布了國(guó)家網(wǎng)絡(luò)安全綜合倡議（CNCI），號(hào)稱網(wǎng)絡(luò)安全“曼哈頓項(xiàng)目”，提出威懾概念，其中包括愛(ài)因斯坦計(jì)劃、情報(bào)對(duì)抗、供應(yīng)鏈安全、超越未來(lái)（“Leap-Ahead”）技術(shù)戰(zhàn)略2009年5月29日發(fā)布了網(wǎng)絡(luò)空間政策評(píng)估：確保信息和通訊系統(tǒng)的可靠性和韌性報(bào)告 2009年6月25日，英國(guó)推出了首份“網(wǎng)絡(luò)安全戰(zhàn)略”，并將其作為同時(shí)推出的新版國(guó)家安全戰(zhàn)略的核心內(nèi)容2009年6月，美國(guó)成立網(wǎng)