信息安全保障及其關(guān)鍵技術(shù)-PPT課件

1、信息安全保障及其關(guān)鍵技術(shù)廣東理工2022/7/201內(nèi) 容一、網(wǎng)絡(luò)信息面臨的威脅 二、信息安全的概念和內(nèi)涵三、信息安全關(guān)鍵技術(shù)四、信息安全保障體系講座內(nèi)容2022/7/202一、網(wǎng)絡(luò)信息面臨的威脅2022/7/203信息與網(wǎng)絡(luò)空間信息：事物的運(yùn)動(dòng)的狀態(tài)和狀態(tài)變化的方式。-信息科學(xué)原理鐘義信教授 “客觀世界在認(rèn)知世界的映射和表示” ？數(shù)據(jù)：信息的載體，以不同形式、在不同的系統(tǒng)、載體上存在。網(wǎng)絡(luò)空間（cyberspace）：信息基礎(chǔ)設(shè)施相互依存的網(wǎng)絡(luò)，包括互聯(lián)網(wǎng)、電信網(wǎng)、電腦系統(tǒng)以及重要產(chǎn)業(yè)中的處理器和控制器。（美國第54號(hào)國家安全總統(tǒng)令暨第23號(hào)國土安全總統(tǒng)令）隨著網(wǎng)絡(luò)信息系統(tǒng)的普遍使用，信息安

2、全問題變得尤為突出。2019中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告截至 2009年12 月30 日，中國網(wǎng)民規(guī)模達(dá)到3.84 億人，年增長率為28.9%。中國寬帶網(wǎng)民規(guī)模達(dá)到 3.46億人。中國手機(jī)上網(wǎng)網(wǎng)民規(guī)模年增長1.2億，達(dá)到 2.33億人，占整體網(wǎng)民的60.8%。商務(wù)交易類應(yīng)用的用戶規(guī)模增長最快，平均年增幅68%。其中網(wǎng)上支付用戶年增幅80.9%，在所有應(yīng)用中排名第一。2009年全球網(wǎng)民大約15億（美國統(tǒng)計(jì)）。信息安全問題日益嚴(yán)重計(jì)算機(jī)系統(tǒng)集中管理著國家和企業(yè)的政治、軍事、金融、商務(wù)等重要信息。計(jì)算機(jī)系統(tǒng)成為不法分子的主要攻擊目標(biāo)。計(jì)算機(jī)系統(tǒng)本身的脆弱性和網(wǎng)絡(luò)的開放性，使得信息安全成為世人關(guān)注的社

3、會(huì)問題。當(dāng)前，信息安全的形勢(shì)是日益嚴(yán)重。典型案例病毒與網(wǎng)絡(luò)蠕蟲紅色代碼 2019年7月 ，直接經(jīng)濟(jì)損失超過26億美元2019年9月， 尼姆達(dá)蠕蟲，約5.9億美元的損失熊貓病毒”是2019年中國十大病毒之首。它通過多種方式進(jìn)行傳播，并將感染的所有程序文件改成熊貓舉著三根香的模樣，同時(shí)該病毒還具有盜取用戶游戲賬號(hào)、QQ賬號(hào)等功能 。2000年2月7日起的一周內(nèi)，黑客對(duì)美國的雅互等著名網(wǎng)站發(fā)動(dòng)攻擊，致使這些網(wǎng)站癱瘓，造成直接經(jīng)濟(jì)損失12億美元。我國的163網(wǎng)站也陷入困境。2019年5月1日前后，發(fā)生了一場(chǎng)網(wǎng)上“ 中美黑客大戰(zhàn)”，雙方互相攻擊對(duì)方的網(wǎng)站，雙方都有很大損失。這場(chǎng)網(wǎng)上大戰(zhàn)，給我們留下深刻的

4、思考。2019年12月31日 中國工商銀行被黑2019年8月底 清華網(wǎng)站被黑-捏造清華大學(xué)校長言論2019年8-10月，黑客侵入美國電子郵箱和選舉文件，獲得美國政策立場(chǎng)文件和選舉出行計(jì)劃。典型案例黑客入侵2019年05月21日 黑客篡改超市收銀記錄侵占397萬余元2019年11月16日 研究生侵入財(cái)務(wù)系統(tǒng)盜竊70萬2019年3月上海一市民網(wǎng)上銀行賬戶16萬元莫名丟失 2019年,黑客利用QQ騙取錢財(cái)2019-2019年網(wǎng)絡(luò)犯罪造成美國公民損失80億美元，公民的隱私受到侵犯、身份資料被盜取、正常生活被打亂、錢財(cái)被偷光。（奧巴馬）典型案例計(jì)算機(jī)犯罪95年美國提出信息作戰(zhàn)，成立指導(dǎo)委員會(huì)。美國在20

5、19年9月成立網(wǎng)絡(luò)司令部，核心任務(wù)是保證本國網(wǎng)絡(luò)安全和襲擊他國核心網(wǎng)絡(luò)，有攻也有防，被外界稱為“黑客”司令部，對(duì)我國信息安全形成了嚴(yán)重的威脅。2019年5月該網(wǎng)絡(luò)司令部已正式開始運(yùn)轉(zhuǎn)。2019年愛沙尼亞“世界首次網(wǎng)絡(luò)大戰(zhàn)”。2009年5月，美國：網(wǎng)絡(luò)空間政策評(píng)估報(bào)告國家之間的信息戰(zhàn)爭信息安全威脅的分類信息安全威脅 人為因素 非人為因素 無意失誤 惡意攻擊 操作失誤設(shè)計(jì)錯(cuò)誤 技術(shù)水平 中斷、篡改 病毒 黑客DoS攻擊內(nèi)部攻擊：蓄意破壞、竊取資料 外部攻擊 主動(dòng)攻擊 被動(dòng)攻擊：竊取、流量分析 自然災(zāi)害：雷電、地震、火災(zāi)等系統(tǒng)故障：硬件失效、電源故障 技術(shù)缺陷：操作系統(tǒng)漏洞、應(yīng)用軟件瑕疵等 產(chǎn)生信息

6、安全威脅的根源微機(jī)的安全結(jié)構(gòu)過于簡單操作系統(tǒng)存在安全缺陷網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)本身存在缺陷核心硬件和基礎(chǔ)軟件沒有自主知識(shí)產(chǎn)權(quán)網(wǎng)絡(luò)信息共享與信息交換需求使信息安全威脅加劇信息擁有者、使用者與信息的管理者不匹配我們的形勢(shì)極其嚴(yán)峻！計(jì)算機(jī)系統(tǒng)組成芯片操作系統(tǒng)應(yīng)用系統(tǒng)我們信息系統(tǒng)的現(xiàn)狀2022/7/2013二、信息安全的內(nèi)涵及其發(fā)展2022/7/2014信息安全：指保護(hù)信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞，為信息和信息系統(tǒng)提供保密性、完整性、可用性、可控性和不可否認(rèn)性。152022/7/202.1 信息安全內(nèi)涵機(jī)密性(Confidentiality):指保證信息不被非授權(quán)訪問。完整性

7、(Integrity):在信息生成、傳輸、存儲(chǔ)和使用過程中不應(yīng)發(fā)生人為或非人為的非授權(quán)篡改?？捎眯?Availability):指授權(quán)用戶在需要時(shí)能不受其他因素的影響，方便地使用所需信息?？煽匦?指信息在整個(gè)生命周期內(nèi)都可由合法擁有者加以安全的控制。不可抵賴性:指保障用戶無法在事后否認(rèn)曾經(jīng)對(duì)信息進(jìn)行的生成、簽發(fā)、接收等行為。162022/7/202.1 信息安全內(nèi)涵面向數(shù)據(jù)的安全需求與屬性：機(jī)密性、完整性、可用性和可控性；面向使用者的安全需求與屬性：真實(shí)性（可鑒別性）、授權(quán)、訪問控制、抗抵賴性和可服務(wù)性以及基于內(nèi)容的個(gè)人隱私、知識(shí)產(chǎn)權(quán)等的保護(hù)。面向系統(tǒng)的安全需求與屬性：可用性、可控性、可再生性

8、、可生存性172022/7/201718 目的 通信類型資源共享：機(jī)器機(jī)器信息共享：人 機(jī)器知識(shí)共享：人 人信息安全需求與屬性隨著信息系統(tǒng)發(fā)展而變化機(jī)密性、完整性、可用性真實(shí)性、授權(quán)、訪問控制抗抵賴、可控、隱私、知識(shí)產(chǎn)權(quán)、可恢復(fù)、整體性2.1 信息安全內(nèi)涵2022/7/201819 目的 通信類型資源共享：機(jī)器機(jī)器信息共享：人 機(jī)器知識(shí)共享：人 人通信保密信息安全信息安全保障2.1 信息安全內(nèi)涵2022/7/2019信息安全的概念隨著信息系統(tǒng)發(fā)展而變化2.2 信息安全服務(wù)安全服務(wù)包括：數(shù)據(jù)機(jī)密性服務(wù)、完整性服務(wù)、不可否認(rèn)服務(wù)、認(rèn)證服務(wù)和訪問控制服務(wù)。202022/7/202021機(jī)密性服務(wù)（保

9、密性服務(wù)）保護(hù)信息不被泄露或暴露給非授權(quán)的實(shí)體。 如密封的信件；兩種類型的機(jī)密性服務(wù)： 數(shù)據(jù)保密：防止攻擊者從某一數(shù)據(jù)項(xiàng)中推出敏感信息。 業(yè)務(wù)流保密：防止攻擊者通過觀察網(wǎng)絡(luò)的業(yè)務(wù)流來獲得敏感信息。2.2 信息安全服務(wù)2022/7/202122完整性服務(wù)保護(hù)數(shù)據(jù)以防止未經(jīng)授權(quán)的篡改：增刪、修改或替代。 如不能除掉的墨水、信用卡上的全息照相防止如下安全威脅：以某種違反安全策略的方式，改變數(shù)據(jù)的價(jià)值和存在。改變數(shù)據(jù)的價(jià)值：指對(duì)數(shù)據(jù)進(jìn)行修改和重新排序；改變數(shù)據(jù)的存在：意味著新增和刪除它。2.2 信息安全服務(wù)2022/7/2022不可否認(rèn)服務(wù)防止參與某次通信交換的一方事后否認(rèn)本次交換曾經(jīng)發(fā)生過。一是原發(fā)

10、證明，提供給信息接收者以證據(jù)；（發(fā)方不可否認(rèn)）二是交付證明，提供給信息發(fā)送者以證明。（收方不可否認(rèn)）不可否認(rèn)服務(wù)不能消除業(yè)務(wù)否認(rèn)。不可否認(rèn)服務(wù)在電子商務(wù)、電子政務(wù)、電子銀行中尤為重要。232.2 信息安全服務(wù)2022/7/202324認(rèn)證服務(wù)（驗(yàn)證服務(wù)、鑒別服務(wù)）提供某個(gè)實(shí)體（人或系統(tǒng)）的身份的保證。換句話說，這種服務(wù)保證信息使用者和信息服務(wù)者都是真實(shí)聲稱者，防止假冒和重放攻擊。如帶照片的身份卡、身份證等。2.2 信息安全服務(wù)2022/7/202425認(rèn)證用于一個(gè)特殊的通信過程，在此過程中需要提交人或物的身份： 對(duì)等實(shí)體認(rèn)證：身份是由參與某次通信連接或會(huì)話的遠(yuǎn)端的一方提交的； 數(shù)據(jù)源認(rèn)證：身份

11、是由聲稱它是某個(gè)數(shù)據(jù)項(xiàng)的發(fā)送者的那個(gè)人或物所提交的。2.2 信息安全服務(wù)2022/7/202526訪問控制服務(wù)保護(hù)資源以防止對(duì)它的非法使用和操縱，即非授權(quán)的訪問。非授權(quán)的訪問：包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀以及頒發(fā)指令等。訪問控制直接支持機(jī)密性、完整性、可用性以及合法使用的安全目標(biāo)。2.2 信息安全服務(wù)2022/7/2026 安全機(jī)制是信息安全服務(wù)的基礎(chǔ)。一種安全服務(wù)的實(shí)施可以使用不同的機(jī)制，或單獨(dú)使用，或組合使用，取決于該服務(wù)的目的以及使用的機(jī)制。 根據(jù)ISO7498-2標(biāo)準(zhǔn)，適合于數(shù)據(jù)通信環(huán)境的安全機(jī)制有加密機(jī)制、數(shù)據(jù)簽名機(jī)制、訪問控制機(jī)制、數(shù)據(jù)完整性機(jī)制、鑒別交換機(jī)制、業(yè)務(wù)流填充機(jī)

12、制、公證機(jī)制等。2.3 信息安全機(jī)制 2022/7/2027加密機(jī)制 加密機(jī)制是安全機(jī)制中的基礎(chǔ)和核心，其基本理論和技術(shù)是密碼學(xué)。加密是把可以理解的明文消息，利用密碼算法進(jìn)行變換，生成不可理解的密文的過程。解密是加密的逆操作。加密既能為數(shù)據(jù)提供機(jī)密性，也能為通信業(yè)務(wù)流信息提供機(jī)密性，并且還廣泛應(yīng)用于其它安全機(jī)制和服務(wù)中。2.3 信息安全機(jī)制2022/7/2028數(shù)字簽名機(jī)制 數(shù)字簽名是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所做的密碼變換，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護(hù)數(shù)據(jù)，防止被他人偽造。 數(shù)字簽名機(jī)制涉及兩個(gè)過程：對(duì)數(shù)據(jù)單元簽名和驗(yàn)證簽名過的

13、數(shù)據(jù)單元。2.3 信息安全機(jī)制2022/7/2029訪問控制機(jī)制 訪問控制機(jī)制是實(shí)施對(duì)資源訪問或操作加以限制的策略。這種策略把對(duì)資源的訪問只限于那些被授權(quán)的用戶。如果這個(gè)實(shí)體試圖使用非授權(quán)資源，或以不正當(dāng)方式使用授權(quán)資源，那么訪問控制機(jī)制將拒絕這一企圖，另外，還可能產(chǎn)生一個(gè)報(bào)警信號(hào)或記錄作為安全審計(jì)的一部分來報(bào)告這一事件。 2.3 信息安全機(jī)制2022/7/2030數(shù)據(jù)完整性機(jī)制 數(shù)據(jù)完整性有兩個(gè)方面，一是數(shù)據(jù)單元的完整性，一是數(shù)據(jù)單元序列的完整性。決定數(shù)據(jù)單元完整性包括兩個(gè)過程，一個(gè)在發(fā)送實(shí)體上，另一個(gè)在接收實(shí)體上。發(fā)送實(shí)體給數(shù)據(jù)單元附加一個(gè)鑒別信息，這個(gè)信息是該數(shù)據(jù)單元本身的函數(shù)。接收實(shí)體

14、產(chǎn)生相應(yīng)的鑒別信息，并與接收到的鑒別信息比較以決定該數(shù)據(jù)單元的數(shù)據(jù)是否在傳輸過程中被篡改過。2.3 信息安全機(jī)制2022/7/2031鑒別交換機(jī)制 鑒別是通過交換信息的方式來確定實(shí)體身份的機(jī)制。用于鑒別交換的方法主要有：使用鑒別信息，如，口令，由請(qǐng)求鑒別的實(shí)體發(fā)送，進(jìn)行驗(yàn)證的實(shí)體接收。密碼技術(shù)。交換的信息被加密，只有合法實(shí)體才能解密，得到有意義的信息。使用實(shí)體的特征或占有物。如，指紋、身份卡等。2.3 信息安全機(jī)制2022/7/2032業(yè)務(wù)流填充機(jī)制 是一種對(duì)抗通信業(yè)務(wù)分析的機(jī)制。通過偽造通信業(yè)務(wù)和將協(xié)議數(shù)據(jù)單元填充到一個(gè)固定的長度等方法能夠?yàn)榉乐雇ㄐ艠I(yè)務(wù)分析提供有限的保護(hù)。2.3 信息安全機(jī)

15、制2022/7/2033公證機(jī)制 在兩個(gè)或多個(gè)實(shí)體之間通信的數(shù)據(jù)的性質(zhì)（如它的完整性、數(shù)據(jù)源、時(shí)間和目的地等）能夠借助公證人利用公證機(jī)制來提供保證。公證人為通信實(shí)體所信任，并掌握必要信息以一種可證實(shí)方式提供所需保證。2.3 信息安全機(jī)制2022/7/2034安全服務(wù)機(jī)制加密數(shù)字簽名訪問控制數(shù)據(jù)完整性鑒別交換業(yè)務(wù)流填充公證鑒別服務(wù)YY-Y-訪問控制服務(wù)-Y-機(jī)密性服務(wù)Y-Y-完整性服務(wù)YY-Y-抗抵賴服務(wù)-Y-Y-Y安全機(jī)制與安全服務(wù)關(guān)系2.3 信息安全機(jī)制2022/7/2035三、信息安全關(guān)鍵技術(shù)2022/7/20363.1 信息安全基本技術(shù)安全五性需求 真實(shí)性 機(jī)密性 完整性 不可抵賴性 可

16、用性安全基本技術(shù)身份認(rèn)證加密保護(hù)數(shù)據(jù)完整性數(shù)字簽名訪問控制安全管理身份認(rèn)證：建立信任關(guān)系口令數(shù)字證書（采用公鑰） PKI（Public Key Infrastructure）主體生理特征（指紋、視網(wǎng)膜）3.1 信息安全基本技術(shù)信息加密：信息由可懂形式變?yōu)椴豢啥问絺鬏敾虼鎯?chǔ)信息明文已加密密文秘密密鑰密碼算法密碼分析者進(jìn)行破譯分析3.1 信息安全基本技術(shù)信息加密：對(duì)稱密鑰體制加密密碼算法解密密碼算法信息明文解密信息明文秘密密鑰秘密密鑰公開信道秘密信道密文密文3.1 信息安全基本技術(shù)數(shù)據(jù)完整性：兩種密鑰體制均可用正確解密的信息保持的信息在傳輸過程的完整性。消息認(rèn)證碼MAC(Message Auth

17、entication Code)：使用HASH函數(shù)計(jì)算信息的“摘要”，將它連同信息發(fā)送給接收方。接收方重新計(jì)算“摘要”，并與收到的“摘要”比較，以驗(yàn)證信息在傳輸過程中的完整性。HASH函數(shù)的特點(diǎn)任何兩個(gè)不同的輸入不會(huì)產(chǎn)生相同的輸出。因此一個(gè)被修改了的文件不可能有同樣的“摘要”。3.1 信息安全基本技術(shù)數(shù)據(jù)完整性（采用公鑰）摘要？摘要MAC摘要MAC摘要摘要摘要3.1 信息安全基本技術(shù)數(shù)字簽名：采用公鑰一般采用非對(duì)稱加密算法（RSA等），發(fā)送方對(duì)整個(gè)明文進(jìn)行加密變換，得到一個(gè)值，將其作為簽名。接收者使用發(fā)送者的公開密鑰對(duì)簽名進(jìn)行解密運(yùn)算，如其結(jié)果為明文，則簽名有效，證明對(duì)方的身份是真實(shí)的。簽名隨

18、文本而變化，并且與文本不可分。適合于身份認(rèn)證、密鑰分發(fā)、完整性檢驗(yàn)、防止抵賴等。3.1 信息安全基本技術(shù)訪問控制：保證系統(tǒng)資源不被非法訪問和使用對(duì)主體訪問客體的權(quán)限或能力的限制，以及限制進(jìn)入物理區(qū)域（出入控制）限制使用計(jì)算機(jī)系統(tǒng)資源（存取控制）3.1 信息安全基本技術(shù)安全管理：審計(jì)記錄用戶在系統(tǒng)中所有活動(dòng)的過程，也記錄攻擊者試圖攻擊系統(tǒng)的有關(guān)活動(dòng)，這是防止內(nèi)外攻擊者的攻擊、提高系統(tǒng)安全性的重要工具。它不僅能識(shí)別誰訪問了系統(tǒng)，還能指示系統(tǒng)正被怎樣的使用（或受到攻擊）。3.1 信息安全基本技術(shù)密鑰管理：記錄密鑰生成、分發(fā)、使用、更換、銷毀等全過程密鑰設(shè)備狀態(tài)管理涉密人員資料管理3.1 信息安全基本

19、技術(shù)473.2 信息安全技術(shù)的分類-按信息安全模型分類PDR防護(hù)、檢測(cè)、響應(yīng)防護(hù)、檢測(cè)、響應(yīng)、管理 防護(hù)、管理、基礎(chǔ)設(shè)施2022/7/203.2.1 安全防護(hù)技術(shù)物理安全防護(hù)：防電磁輻射、防光和聲輻射網(wǎng)絡(luò)安全防護(hù)：邊界防護(hù)、安全互連與接入：移動(dòng)安全接入、VPN（屬綜合安全技術(shù)，支持機(jī)密性、完整性、數(shù)據(jù)源認(rèn)證、防重放攻擊等）、訪問控制網(wǎng)管、網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)防毒墻、安全隔離、UTM網(wǎng)關(guān)主機(jī)安全防護(hù)：主機(jī)防病毒、主機(jī)防火墻、安全公文包、OS安全增強(qiáng)、數(shù)據(jù)庫安全增強(qiáng)、安全中間件（無縫嵌入終端、服務(wù)器等主機(jī)系統(tǒng)，實(shí)現(xiàn)所需的安全功能，安全、透明）、安全電子郵件應(yīng)用系統(tǒng)安全：安全認(rèn)證、授權(quán)與訪問控制、數(shù)字簽

20、名、電子印章2022/7/20483.2.2 安全管理技術(shù)風(fēng)險(xiǎn)管理：漏洞掃描、滲透測(cè)試、安全評(píng)估、抗攻擊測(cè)試（模擬黑客攻擊，檢驗(yàn)系統(tǒng)抗攻擊水平）。監(jiān)控管理：安全審計(jì)、入侵檢測(cè)、內(nèi)容與行為監(jiān)控（如BBS、聊天等站點(diǎn)監(jiān)控，以及瀏覽、郵件等）、內(nèi)容過濾、安全預(yù)警應(yīng)急響應(yīng)管理： 備份與恢復(fù)、系統(tǒng)容災(zāi)、容忍入侵、強(qiáng)生存技術(shù)設(shè)備與策略管理：安全設(shè)備管理（對(duì)全網(wǎng)安全設(shè)備的狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控、流量統(tǒng)計(jì)等）、安全策略管理（安全策略集中管理、安全策略的一致性和完整性的檢查等）。密碼管理：算法管理、密鑰管理2022/7/20493.2.3 信息安全基礎(chǔ)設(shè)施社會(huì)公共服務(wù)類基于PKI/PMI數(shù)字證書的信任和授權(quán)體系；基于

21、CC/TCSEC的信息安全產(chǎn)品和系統(tǒng)的測(cè)評(píng)與評(píng)估體系；計(jì)算機(jī)病毒防治與服務(wù)體系；網(wǎng)絡(luò)應(yīng)急響應(yīng)與支援體系；災(zāi)難恢復(fù)基礎(chǔ)設(shè)施； 基于KMI的密鑰管理基礎(chǔ)設(shè)施。2022/7/205051行政監(jiān)管執(zhí)法類 網(wǎng)絡(luò)信息內(nèi)容安全監(jiān)控體系； 網(wǎng)絡(luò)犯罪監(jiān)察與防范體系；電子信息保密監(jiān)管體系；網(wǎng)絡(luò)偵控與反竊密體系；網(wǎng)絡(luò)監(jiān)控、預(yù)警與反擊體系；知識(shí)產(chǎn)權(quán)保護(hù)相關(guān)技術(shù)（數(shù)字水印、信息隱藏、反拷貝技術(shù)、追蹤技術(shù)）。3.2.3 信息安全基礎(chǔ)設(shè)施2022/7/2052公鑰基礎(chǔ)設(shè)施PKI：解決網(wǎng)絡(luò)中數(shù)字證書的頒發(fā)管理，是網(wǎng)絡(luò)信任體系的基礎(chǔ)。解決“你是誰？”的問題授權(quán)管理基礎(chǔ)設(shè)施PMI：解決對(duì)信息系統(tǒng)訪問使用的權(quán)限管理問題，是訪問控制

22、的前提。解決“你能干什么？”的問題3.2.3 信息安全基礎(chǔ)設(shè)施2022/7/2053密鑰管理基礎(chǔ)設(shè)施KMI：主要解決在網(wǎng)絡(luò)安全中存儲(chǔ)加密、傳輸加密、安全認(rèn)證等密碼應(yīng)用的密鑰管理問題，是確保密碼安全的關(guān)鍵要素。解決密鑰產(chǎn)生、存儲(chǔ)、分發(fā)、銷毀等全生命周期的管理問題。2022/7/203.2.3 信息安全基礎(chǔ)設(shè)施3.3 信息安全技術(shù)的發(fā)展趨勢(shì)安全技術(shù) 一體化產(chǎn)品功能 綜合化安全保障 體系化2022/7/20543.3 信息安全技術(shù)的發(fā)展趨勢(shì)幾個(gè)重要的研究方向可信計(jì)算環(huán)境和可信網(wǎng)絡(luò)接入安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施（可信的下一代網(wǎng)絡(luò)體系結(jié)構(gòu)、協(xié)議、源地址驗(yàn)證、空天網(wǎng)絡(luò)信息安全等）；網(wǎng)絡(luò)環(huán)境下的信任體系信息安全系統(tǒng)

23、工程開發(fā)更安全的代碼，軟件確保匿名認(rèn)證與隱私保護(hù)網(wǎng)絡(luò)攻防技術(shù)建立信息安全保障體系.2022/7/2055四、信息安全保障體系2022/7/20564.1 信息安全保障體系發(fā)展經(jīng)歷了三代：通信保密（COMSEC）時(shí)代： 19世紀(jì)70年代前，重點(diǎn)是通過密碼技術(shù)解決通信保密問題，主要安全威脅是搭線竊聽和密碼分析，采用的保障措施就是加密，確保保密性和完整性。其時(shí)代標(biāo)志是1949年Shannon發(fā)表的保密通信的信息理論和1977年美國國家標(biāo)準(zhǔn)局公布的數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）。信息安全（INFOSEC）時(shí)代：20世紀(jì)7090年代，重點(diǎn)是確保計(jì)算機(jī)和網(wǎng)絡(luò)的硬件、軟件和傳輸、存儲(chǔ)和處理的信息的安全。主要安全威脅

24、是非法訪問、惡意代碼、網(wǎng)絡(luò)入侵、病毒破壞等。主要保障措施是安全操作系統(tǒng)(TCB)、防火墻、防病毒軟件、漏洞掃描、入侵檢測(cè)、PKI、VPN和安全管理等。其時(shí)代標(biāo)志是1985美國國防部公布的可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則（TCSEC）和ISO的安全評(píng)估準(zhǔn)則CC（ISO 15408）。 信息安全保障（IA）時(shí)代：90年代后期至今，不僅是對(duì)信息的保護(hù)，也包括信息系統(tǒng)的保護(hù)和防御，包括了對(duì)信息的保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)能力。信息保障強(qiáng)調(diào)信息系統(tǒng)整個(gè)生命周期的防御和恢復(fù)，同時(shí)安全問題的出現(xiàn)和解決方案也超越了純技術(shù)范疇。典型標(biāo)志是美國國家安全局制定的信息保障技術(shù)框架(IATF，美國國家安全局2019年發(fā)布），2019

25、年9月發(fā)布了3.1版。604.2 信息安全保障的內(nèi)涵 美國國防部關(guān)于信息保障的定義： “確保信息和信息系統(tǒng)的可用性、完整性、可認(rèn)證性、機(jī)密性和不可否認(rèn)性的保護(hù)和防范活動(dòng)。它包括了以綜合保護(hù)、檢測(cè)、反應(yīng)能力來提供信息系統(tǒng)的恢復(fù)。” -2019年美國國防部（ DoD）國防部令S-3600.12022/7/2061深入理解信息安全保障的內(nèi)涵-1 一個(gè)策略：縱深防御；二個(gè)對(duì)象：信息與信息系統(tǒng)；三個(gè)方面：技術(shù)、管理和人4.2 信息安全保障的內(nèi)涵2022/7/2062信息安全管理因素技術(shù)因素人的因素管理因素技術(shù)因素人的因素人的因素第一；管理是保證；技術(shù)是核心。4.2 信息安全保障的內(nèi)涵2022/7/206

26、3深入理解信息安全保障的內(nèi)涵-2四個(gè)層面：本地計(jì)算環(huán)境、邊界、網(wǎng)絡(luò)與基礎(chǔ)設(shè)施、支撐性信息安全基礎(chǔ)設(shè)施；五個(gè)狀態(tài)：產(chǎn)生、存儲(chǔ)、處理、傳輸、消亡；六個(gè)屬性：機(jī)密性、完整性、真實(shí)性、抗抵賴性、可用性、可控性；七個(gè)環(huán)節(jié)：策略、防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)、反擊、預(yù)警4.2 信息安全保障的內(nèi)涵2022/7/2064與傳統(tǒng)信息安全概念的主要變化系統(tǒng)工程思路：強(qiáng)調(diào)人、管理和技術(shù)，人是第一位的、管理是第二位的、技術(shù)是第三位的。整體安全技術(shù)：全面性、主動(dòng)性、動(dòng)態(tài)性、可再生性?？v深防御策略：層層設(shè)防、分級(jí)防護(hù)。4.2 信息安全保障的內(nèi)涵2022/7/2065縱深防御的技術(shù)層面，根據(jù)四個(gè)技術(shù)焦點(diǎn)域進(jìn)行保護(hù)。4.2 信息安

27、全保障的內(nèi)涵縱深防御體系2022/7/206566信息安全基礎(chǔ)設(shè)施信息安全技術(shù)保障體系信息安全服務(wù)體系信息安全政策法規(guī)標(biāo)準(zhǔn)體系信息安全人才保障體系信息安全組織管理體系國家信息基礎(chǔ)設(shè)施基礎(chǔ)關(guān)鍵保證核心準(zhǔn)繩保障4.3 信息安全保障體系的基本框架2022/7/2067第一位的因素信息系統(tǒng)是人建立的；信息系統(tǒng)是為人服務(wù)的；信息系統(tǒng)受人的行為影響。應(yīng)依靠專業(yè)人才保障安全涉及意識(shí)(what)、培訓(xùn)(how)、教育(why)安全意識(shí)、安全觀念是核心承認(rèn)系統(tǒng)漏洞客觀存在正視安全威脅和攻擊面對(duì)安全風(fēng)險(xiǎn)實(shí)施適度防護(hù)4.3.1 人是信息安全的第一位因素 4.3 信息安全保障體系的基本框架 2022/7/20684.3.2 管理是信息安全的保證 道德規(guī)范基礎(chǔ)促進(jìn)信息共享、尊重道德隱私、承擔(dān)社會(huì)責(zé)任國家利益為重、公共利益優(yōu)先政策指導(dǎo)技術(shù)應(yīng)用、社會(huì)管理科技發(fā)展、產(chǎn)業(yè)發(fā)展法