計算機信息安全講座

信息安全保障及其關(guān)鍵技術(shù)廣東理工2024/8/311內(nèi)容一、網(wǎng)絡(luò)信息面臨的威脅

二、信息安全的概念和內(nèi)涵三、信息安全關(guān)鍵技術(shù)四、信息安全保障體系講座內(nèi)容2024/8/312一、網(wǎng)絡(luò)信息面臨的威脅2024/8/313信息與網(wǎng)絡(luò)空間信息：事物的運動的狀態(tài)和狀態(tài)變化的方式。-----《信息科學原理》鐘義信教授“客觀世界在認知世界的映射和表示”？數(shù)據(jù)：信息的載體，以不同形式、在不同的系統(tǒng)、載體上存在。網(wǎng)絡(luò)空間（cyberspace）：信息基礎(chǔ)設(shè)施相互依存的網(wǎng)絡(luò)，包括互聯(lián)網(wǎng)、電信網(wǎng)、電腦系統(tǒng)以及重要產(chǎn)業(yè)中的處理器和控制器。（美國第54號國家安全總統(tǒng)令暨第23號國土安全總統(tǒng)令）隨著網(wǎng)絡(luò)信息系統(tǒng)的普遍使用，信息安全問題變得尤為突出。2010中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告截至2009年12月30日，中國網(wǎng)民規(guī)模達到3.84億人，年增長率為28.9%。中國寬帶網(wǎng)民規(guī)模達到3.46億人。中國手機上網(wǎng)網(wǎng)民規(guī)模年增長1.2億，達到2.33億人，占整體網(wǎng)民的60.8%。商務(wù)交易類應(yīng)用的用戶規(guī)模增長最快，平均年增幅68%。其中網(wǎng)上支付用戶年增幅80.9%，在所有應(yīng)用中排名第一。2009年全球網(wǎng)民大約15億（美國統(tǒng)計）。信息安全問題日益嚴重計算機系統(tǒng)集中管理著國家和企業(yè)的政治、軍事、金融、商務(wù)等重要信息。計算機系統(tǒng)成為不法分子的主要攻擊目標。計算機系統(tǒng)本身的脆弱性和網(wǎng)絡(luò)的開放性，使得信息安全成為世人關(guān)注的社會問題。當前，信息安全的形勢是日益嚴重。典型案例－病毒與網(wǎng)絡(luò)蠕蟲紅色代碼2001年7月，直接經(jīng)濟損失超過26億美元2001年9月，尼姆達蠕蟲，約5.9億美元的損失熊貓病毒”是2006年中國十大病毒之首。它通過多種方式進行傳播，并將感染的所有程序文件改成熊貓舉著三根香的模樣，同時該病毒還具有盜取用戶游戲賬號、QQ賬號等功能。2000年2月7日起的一周內(nèi)，黑客對美國的雅互等著名網(wǎng)站發(fā)動攻擊，致使這些網(wǎng)站癱瘓，造成直接經(jīng)濟損失12億美元。我國的163網(wǎng)站也陷入困境。2001年5月1日前后，發(fā)生了一場網(wǎng)上“中美黑客大戰(zhàn)”，雙方互相攻擊對方的網(wǎng)站，雙方都有很大損失。這場網(wǎng)上大戰(zhàn)，給我們留下深刻的思考。2006年12月31日中國工商銀行被黑2008年8月底清華網(wǎng)站被黑----捏造清華大學校長言論2008年8-10月，黑客侵入美國電子郵箱和選舉文件，獲得美國政策立場文件和選舉出行計劃。典型案例－黑客入侵2006年05月21日黑客篡改超市收銀記錄侵占397萬余元2006年11月16日研究生侵入財務(wù)系統(tǒng)盜竊70萬2007年3月上海一市民網(wǎng)上銀行賬戶16萬元莫名丟失2008年,黑客利用QQ騙取錢財2007-2008年網(wǎng)絡(luò)犯罪造成美國公民損失80億美元，公民的隱私受到侵犯、身份資料被盜取、正常生活被打亂、錢財被偷光。（奧巴馬）典型案例－計算機犯罪95年美國提出信息作戰(zhàn)，成立指導委員會。美國在2007年9月成立網(wǎng)絡(luò)司令部，核心任務(wù)是保證本國網(wǎng)絡(luò)安全和襲擊他國核心網(wǎng)絡(luò)，有攻也有防，被外界稱為“黑客”司令部，對我國信息安全形成了嚴重的威脅。2010年5月該網(wǎng)絡(luò)司令部已正式開始運轉(zhuǎn)。2007年愛沙尼亞“世界首次網(wǎng)絡(luò)大戰(zhàn)”。2009年5月，美國：《網(wǎng)絡(luò)空間政策評估報告》國家之間的信息戰(zhàn)爭信息安全威脅的分類信息安全威脅人為因素非人為因素無意失誤惡意攻擊操作失誤設(shè)計錯誤技術(shù)水平中斷、篡改病毒黑客DoS攻擊內(nèi)部攻擊：蓄意破壞、竊取資料外部攻擊主動攻擊被動攻擊：竊取、流量分析自然災(zāi)害：雷電、地震、火災(zāi)等系統(tǒng)故障：硬件失效、電源故障技術(shù)缺陷：操作系統(tǒng)漏洞、應(yīng)用軟件瑕疵等產(chǎn)生信息安全威脅的根源微機的安全結(jié)構(gòu)過于簡單操作系統(tǒng)存在安全缺陷網(wǎng)絡(luò)設(shè)計與實現(xiàn)本身存在缺陷核心硬件和基礎(chǔ)軟件沒有自主知識產(chǎn)權(quán)網(wǎng)絡(luò)信息共享與信息交換需求使信息安全威脅加劇信息擁有者、使用者與信息的管理者不匹配我們的形勢極其嚴峻！計算機系統(tǒng)組成芯片操作系統(tǒng)應(yīng)用系統(tǒng)我們信息系統(tǒng)的現(xiàn)狀2024/8/3113二、信息安全的內(nèi)涵及其發(fā)展2024/8/3114信息安全：指保護信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞，為信息和信息系統(tǒng)提供保密性、完整性、可用性、可控性和不可否認性。152024/8/312.1信息安全內(nèi)涵機密性(Confidentiality):指保證信息不被非授權(quán)訪問。完整性(Integrity):在信息生成、傳輸、存儲和使用過程中不應(yīng)發(fā)生人為或非人為的非授權(quán)篡改?？捎眯?Availability):指授權(quán)用戶在需要時能不受其他因素的影響，方便地使用所需信息?？煽匦?指信息在整個生命周期內(nèi)都可由合法擁有者加以安全的控制。不可抵賴性:指保障用戶無法在事后否認曾經(jīng)對信息進行的生成、簽發(fā)、接收等行為。162024/8/312.1信息安全內(nèi)涵面向數(shù)據(jù)的安全需求與屬性：機密性、完整性、可用性和可控性；面向使用者的安全需求與屬性：真實性（可鑒別性）、授權(quán)、訪問控制、抗抵賴性和可服務(wù)性以及基于內(nèi)容的個人隱私、知識產(chǎn)權(quán)等的保護。面向系統(tǒng)的安全需求與屬性：可用性、可控性、可再生性、可生存性172024/8/311718

目的通信類型資源共享：機器—機器信息共享：人—機器知識共享：人—人信息安全需求與屬性隨著信息系統(tǒng)發(fā)展而變化機密性、完整性、可用性真實性、授權(quán)、訪問控制抗抵賴、可控、隱私、知識產(chǎn)權(quán)、可恢復、整體性2.1信息安全內(nèi)涵2024/8/311819

目的通信類型資源共享：機器—機器信息共享：人—機器知識共享：人—人通信保密信息安全信息安全保障2.1信息安全內(nèi)涵2024/8/3119信息安全的概念隨著信息系統(tǒng)發(fā)展而變化2.2信息安全服務(wù)安全服務(wù)包括：數(shù)據(jù)機密性服務(wù)、完整性服務(wù)、不可否認服務(wù)、認證服務(wù)和訪問控制服務(wù)。202024/8/312021①機密性服務(wù)（保密性服務(wù)）保護信息不被泄露或暴露給非授權(quán)的實體。如密封的信件；兩種類型的機密性服務(wù)：

數(shù)據(jù)保密：防止攻擊者從某一數(shù)據(jù)項中推出敏感信息。業(yè)務(wù)流保密：防止攻擊者通過觀察網(wǎng)絡(luò)的業(yè)務(wù)流來獲得敏感信息。2.2信息安全服務(wù)2024/8/312122②完整性服務(wù)保護數(shù)據(jù)以防止未經(jīng)授權(quán)的篡改：增刪、修改或替代。如不能除掉的墨水、信用卡上的全息照相防止如下安全威脅：以某種違反安全策略的方式，改變數(shù)據(jù)的價值和存在。改變數(shù)據(jù)的價值：指對數(shù)據(jù)進行修改和重新排序；改變數(shù)據(jù)的存在：意味著新增和刪除它。2.2信息安全服務(wù)2024/8/3122③不可否認服務(wù)防止參與某次通信交換的一方事后否認本次交換曾經(jīng)發(fā)生過。一是原發(fā)證明，提供給信息接收者以證據(jù)；（發(fā)方不可否認）二是交付證明，提供給信息發(fā)送者以證明。（收方不可否認）不可否認服務(wù)不能消除業(yè)務(wù)否認。不可否認服務(wù)在電子商務(wù)、電子政務(wù)、電子銀行中尤為重要。232.2信息安全服務(wù)2024/8/312324④認證服務(wù)（驗證服務(wù)、鑒別服務(wù)）提供某個實體（人或系統(tǒng)）的身份的保證。換句話說，這種服務(wù)保證信息使用者和信息服務(wù)者都是真實聲稱者，防止假冒和重放攻擊。如帶照片的身份卡、身份證等。2.2信息安全服務(wù)2024/8/312425認證用于一個特殊的通信過程，在此過程中需要提交人或物的身份：對等實體認證：身份是由參與某次通信連接或會話的遠端的一方提交的；數(shù)據(jù)源認證：身份是由聲稱它是某個數(shù)據(jù)項的發(fā)送者的那個人或物所提交的。2.2信息安全服務(wù)2024/8/312526⑤訪問控制服務(wù)保護資源以防止對它的非法使用和操縱，即非授權(quán)的訪問。非授權(quán)的訪問：包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀以及頒發(fā)指令等。訪問控制直接支持機密性、完整性、可用性以及合法使用的安全目標。2.2信息安全服務(wù)2024/8/3126

安全機制是信息安全服務(wù)的基礎(chǔ)。一種安全服務(wù)的實施可以使用不同的機制，或單獨使用，或組合使用，取決于該服務(wù)的目的以及使用的機制。根據(jù)ISO7498-2標準，適合于數(shù)據(jù)通信環(huán)境的安全機制有加密機制、數(shù)據(jù)簽名機制、訪問控制機制、數(shù)據(jù)完整性機制、鑒別交換機制、業(yè)務(wù)流填充機制、公證機制等。2.3信息安全機制2024/8/3127①加密機制

加密機制是安全機制中的基礎(chǔ)和核心，其基本理論和技術(shù)是密碼學。加密是把可以理解的明文消息，利用密碼算法進行變換，生成不可理解的密文的過程。解密是加密的逆操作。加密既能為數(shù)據(jù)提供機密性，也能為通信業(yè)務(wù)流信息提供機密性，并且還廣泛應(yīng)用于其它安全機制和服務(wù)中。2.3信息安全機制2024/8/3128②數(shù)字簽名機制數(shù)字簽名是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所做的密碼變換，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者確認數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護數(shù)據(jù)，防止被他人偽造。數(shù)字簽名機制涉及兩個過程：對數(shù)據(jù)單元簽名和驗證簽名過的數(shù)據(jù)單元。2.3信息安全機制2024/8/3129③訪問控制機制

訪問控制機制是實施對資源訪問或操作加以限制的策略。這種策略把對資源的訪問只限于那些被授權(quán)的用戶。如果這個實體試圖使用非授權(quán)資源，或以不正當方式使用授權(quán)資源，那么訪問控制機制將拒絕這一企圖，另外，還可能產(chǎn)生一個報警信號或記錄作為安全審計的一部分來報告這一事件。

2.3信息安全機制2024/8/3130④數(shù)據(jù)完整性機制

數(shù)據(jù)完整性有兩個方面，一是數(shù)據(jù)單元的完整性，一是數(shù)據(jù)單元序列的完整性。決定數(shù)據(jù)單元完整性包括兩個過程，一個在發(fā)送實體上，另一個在接收實體上。發(fā)送實體給數(shù)據(jù)單元附加一個鑒別信息，這個信息是該數(shù)據(jù)單元本身的函數(shù)。接收實體產(chǎn)生相應(yīng)的鑒別信息，并與接收到的鑒別信息比較以決定該數(shù)據(jù)單元的數(shù)據(jù)是否在傳輸過程中被篡改過。2.3信息安全機制2024/8/3131⑤鑒別交換機制

鑒別是通過交換信息的方式來確定實體身份的機制。用于鑒別交換的方法主要有：使用鑒別信息，如，口令，由請求鑒別的實體發(fā)送，進行驗證的實體接收。密碼技術(shù)。交換的信息被加密，只有合法實體才能解密，得到有意義的信息。使用實體的特征或占有物。如，指紋、身份卡等。2.3信息安全機制2024/8/3132⑥業(yè)務(wù)流填充機制是一種對抗通信業(yè)務(wù)分析的機制。通過偽造通信業(yè)務(wù)和將協(xié)議數(shù)據(jù)單元填充到一個固定的長度等方法能夠為防止通信業(yè)務(wù)分析提供有限的保護。2.3信息安全機制2024/8/3133⑦公證機制在兩個或多個實體之間通信的數(shù)據(jù)的性質(zhì)（如它的完整性、數(shù)據(jù)源、時間和目的地等）能夠借助公證人利用公證機制來提供保證。公證人為通信實體所信任，并掌握必要信息以一種可證實方式提供所需保證。2.3信息安全機制2024/8/3134安全服務(wù)機制加密數(shù)字簽名訪問控制數(shù)據(jù)完整性鑒別交換業(yè)務(wù)流填充公證鑒別服務(wù)YY--Y--訪問控制服務(wù)--Y----機密性服務(wù)Y----Y-完整性服務(wù)YY-Y---抗抵賴服務(wù)-Y-Y--Y安全機制與安全服務(wù)關(guān)系2.3信息安全機制2024/8/3135三、信息安全關(guān)鍵技術(shù)2024/8/31363.1信息安全基本技術(shù)安全五性需求真實性機密性完整性不可抵賴性可用性安全基本技術(shù)身份認證加密保護數(shù)據(jù)完整性數(shù)字簽名訪問控制安全管理身份認證：建立信任關(guān)系口令數(shù)字證書（采用公鑰）

PKI（PublicKeyInfrastructure）主體生理特征（指紋、視網(wǎng)膜）3.1信息安全基本技術(shù)信息加密：信息由可懂形式變?yōu)椴豢啥问絺鬏敾虼鎯π畔⒚魑囊鸭用苊芪拿孛苊荑€密碼算法密碼分析者進行破譯分析3.1信息安全基本技術(shù)信息加密：對稱密鑰體制加密密碼算法解密密碼算法信息明文解密信息明文秘密密鑰秘密密鑰公開信道秘密信道密文密文3.1信息安全基本技術(shù)數(shù)據(jù)完整性：兩種密鑰體制均可用正確解密的信息保持的信息在傳輸過程的完整性。消息認證碼MAC(MessageAuthenticationCode)：使用HASH函數(shù)計算信息的“摘要”，將它連同信息發(fā)送給接收方。接收方重新計算“摘要”，并與收到的“摘要”比較，以驗證信息在傳輸過程中的完整性。HASH函數(shù)的特點——任何兩個不同的輸入不會產(chǎn)生相同的輸出。因此一個被修改了的文件不可能有同樣的“摘要”。3.1信息安全基本技術(shù)數(shù)據(jù)完整性（采用公鑰）摘要？摘要MAC摘要MAC摘要摘要摘要3.1信息安全基本技術(shù)數(shù)字簽名：采用公鑰一般采用非對稱加密算法（RSA等），發(fā)送方對整個明文進行加密變換，得到一個值，將其作為簽名。接收者使用發(fā)送者的公開密鑰對簽名進行解密運算，如其結(jié)果為明文，則簽名有效，證明對方的身份是真實的。簽名隨文本而變化，并且與文本不可分。適合于身份認證、密鑰分發(fā)、完整性檢驗、防止抵賴等。3.1信息安全基本技術(shù)訪問控制：保證系統(tǒng)資源不被非法訪問和使用對主體訪問客體的權(quán)限或能力的限制，以及限制進入物理區(qū)域（出入控制）限制使用計算機系統(tǒng)資源（存取控制）3.1信息安全基本技術(shù)安全管理：審計記錄用戶在系統(tǒng)中所有活動的過程，也記錄攻擊者試圖攻擊系統(tǒng)的有關(guān)活動，這是防止內(nèi)外攻擊者的攻擊、提高系統(tǒng)安全性的重要工具。它不僅能識別誰訪問了系統(tǒng)，還能指示系統(tǒng)正被怎樣的使用（或受到攻擊）。3.1信息安全基本技術(shù)密鑰管理：記錄密鑰生成、分發(fā)、使用、更換、銷毀等全過程密鑰設(shè)備狀態(tài)管理涉密人員資料管理3.1信息安全基本技術(shù)473.2信息安全技術(shù)的分類

---按信息安全模型分類PDR

防護、檢測、響應(yīng)

防護、檢測、響應(yīng)、管理

防護、管理、基礎(chǔ)設(shè)施2024/8/313.2.1安全防護技術(shù)物理安全防護：防電磁輻射、防光和聲輻射網(wǎng)絡(luò)安全防護：邊界防護、安全互連與接入：移動安全接入、VPN（屬綜合安全技術(shù)，支持機密性、完整性、數(shù)據(jù)源認證、防重放攻擊等）、訪問控制網(wǎng)管、網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)防毒墻、安全隔離、UTM網(wǎng)關(guān)主機安全防護：主機防病毒、主機防火墻、安全公文包、OS安全增強、數(shù)據(jù)庫安全增強、安全中間件（無縫嵌入終端、服務(wù)器等主機系統(tǒng)，實現(xiàn)所需的安全功能，安全、透明）、安全電子郵件應(yīng)用系統(tǒng)安全：安全認證、授權(quán)與訪問控制、數(shù)字簽名、電子印章2024/8/31483.2.2安全管理技術(shù)風險管理：漏洞掃描、滲透測試、安全評估、抗攻擊測試（模擬黑客攻擊，檢驗系統(tǒng)抗攻擊水平）。監(jiān)控管理：安全審計、入侵檢測、內(nèi)容與行為監(jiān)控（如BBS、聊天等站點監(jiān)控，以及瀏覽、郵件等）、內(nèi)容過濾、安全預警應(yīng)急響應(yīng)管理：備份與恢復、系統(tǒng)容災(zāi)、容忍入侵、強生存技術(shù)設(shè)備與策略管理：安全設(shè)備管理（對全網(wǎng)安全設(shè)備的狀態(tài)進行實時監(jiān)控、流量統(tǒng)計等）、安全策略管理（安全策略集中管理、安全策略的一致性和完整性的檢查等）。密碼管理：算法管理、密鑰管理2024/8/31493.2.3信息安全基礎(chǔ)設(shè)施①社會公共服務(wù)類基于PKI/PMI數(shù)字證書的信任和授權(quán)體系；基于CC/TCSEC的信息安全產(chǎn)品和系統(tǒng)的測評與評估體系；計算機病毒防治與服務(wù)體系；網(wǎng)絡(luò)應(yīng)急響應(yīng)與支援體系；災(zāi)難恢復基礎(chǔ)設(shè)施；基于KMI的密鑰管理基礎(chǔ)設(shè)施。2024/8/315051②行政監(jiān)管執(zhí)法類網(wǎng)絡(luò)信息內(nèi)容安全監(jiān)控體系；網(wǎng)絡(luò)犯罪監(jiān)察與防范體系；電子信息保密監(jiān)管體系；網(wǎng)絡(luò)偵控與反竊密體系；網(wǎng)絡(luò)監(jiān)控、預警與反擊體系；知識產(chǎn)權(quán)保護相關(guān)技術(shù)（數(shù)字水印、信息隱藏、反拷貝技術(shù)、追蹤技術(shù)）。3.2.3信息安全基礎(chǔ)設(shè)施2024/8/3152公鑰基礎(chǔ)設(shè)施PKI：解決網(wǎng)絡(luò)中數(shù)字證書的頒發(fā)管理，是網(wǎng)絡(luò)信任體系的基礎(chǔ)。解決“你是誰？”的問題授權(quán)管理基礎(chǔ)設(shè)施PMI：解決對信息系統(tǒng)訪問使用的權(quán)限管理問題，是訪問控制的前提。解決“你能干什么？”的問題3.2.3信息安全基礎(chǔ)設(shè)施2024/8/3153密鑰管理基礎(chǔ)設(shè)施KMI：主要解決在網(wǎng)絡(luò)安全中存儲加密、傳輸加密、安全認證等密碼應(yīng)用的密鑰管理問題，是確保密碼安全的關(guān)鍵要素。解決密鑰產(chǎn)生、存儲、分發(fā)、銷毀等全生命周期的管理問題。2024/8/313.2.3信息安全基礎(chǔ)設(shè)施3.3信息安全技術(shù)的發(fā)展趨勢安全技術(shù)

一體化產(chǎn)品功能

綜合化安全保障

體系化2024/8/31543.3信息安全技術(shù)的發(fā)展趨勢幾個重要的研究方向可信計算環(huán)境和可信網(wǎng)絡(luò)接入安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施（可信的下一代網(wǎng)絡(luò)體系結(jié)構(gòu)、協(xié)議、源地址驗證、空天網(wǎng)絡(luò)信息安全等）；網(wǎng)絡(luò)環(huán)境下的信任體系信息安全系統(tǒng)工程—開發(fā)更安全的代碼，軟件確保匿名認證與隱私保護網(wǎng)絡(luò)攻防技術(shù)建立信息安全保障體系......2024/8/3155四、信息安全保障體系2024/8/31564.1信息安全保障體系發(fā)展經(jīng)歷了三代：通信保密（COMSEC）時代：

19世紀70年代前，重點是通過密碼技術(shù)解決通信保密問題，主要安全威脅是搭線竊聽和密碼分析，采用的保障措施就是加密，確保保密性和完整性。其時代標志是1949年Shannon發(fā)表的《保密通信的信息理論》和1977年美國國家標準局公布的數(shù)據(jù)加密標準（DES）。信息安全（INFOSEC）時代：20世紀70－90年代，重點是確保計算機和網(wǎng)絡(luò)的硬件、軟件和傳輸、存儲和處理的信息的安全。主要安全威脅是非法訪問、惡意代碼、網(wǎng)絡(luò)入侵、病毒破壞等。主要保障措施是安全操作系統(tǒng)(TCB)、防火墻、防病毒軟件、漏洞掃描、入侵檢測、PKI、VPN和安全管理等。其時代標志是1985美國國防部公布的可信計算機系統(tǒng)評價準則（TCSEC）和ISO的安全評估準則CC（ISO15408）。信息安全保障（IA）時代：90年代后期至今，不僅是對信息的保護，也包括信息系統(tǒng)的保護和防御，包括了對信息的保護、檢測、反應(yīng)和恢復能力。信息保障強調(diào)信息系統(tǒng)整個生命周期的防御和恢復，同時安全問題的出現(xiàn)和解決方案也超越了純技術(shù)范疇。典型標志是美國國家安全局制定的《信息保障技術(shù)框架》(IATF，美國國家安全局1998年發(fā)布），2002年9月發(fā)布了3.1版。604.2信息安全保障的內(nèi)涵①美國國防部關(guān)于信息保障的定義：

“確保信息和信息系統(tǒng)的可用性、完整性、可認證性、機密性和不可否認性的保護和防范活動。它包括了以綜合保護、檢測、反應(yīng)能力來提供信息系統(tǒng)的恢復?！?/p>

-1996年美國國防部（DoD）國防部令S-3600.12024/8/3161②深入理解信息安全保障的內(nèi)涵-1一個策略：縱深防御；二個對象：信息與信息系統(tǒng)；三個方面：技術(shù)、管理和人4.2信息安全保障的內(nèi)涵2024/8/3162信息安全管理因素技術(shù)因素人的因素管理因素技術(shù)因素人的因素人的因素第一；管理是保證；技術(shù)是核心。4.2信息安全保障的內(nèi)涵2024/8/3163②深入理解信息安全保障的內(nèi)涵-2四個層面：本地計算環(huán)境、邊界、網(wǎng)絡(luò)與基礎(chǔ)設(shè)施、支撐性信息安全基礎(chǔ)設(shè)施；五個狀態(tài)：產(chǎn)生、存儲、處理、傳輸、消亡；六個屬性：機密性、完整性、真實性、抗抵賴性、可用性、可控性；七個環(huán)節(jié)：策略、防護、檢測、響應(yīng)、恢復、反擊、預警4.2信息安全保障的內(nèi)涵2024/8/3164③與傳統(tǒng)信息安全概念的主要變化系統(tǒng)工程思路：強調(diào)人、管理和技術(shù)，人是第一位的、管理是第二位的、技術(shù)是第三位的。整體安全技術(shù)：全面性、主動性、動態(tài)性、可再生性?？v深防御策略：層層設(shè)防、分級防護。4.2信息安全保障的內(nèi)涵2024/8/3165縱深防御的技術(shù)層面，根據(jù)四個技術(shù)焦點域進行保護。4.2信息安全保障的內(nèi)涵縱深防御體系2024/8/316566信息安全基礎(chǔ)設(shè)施信息安全技術(shù)保障體系信息安全服務(wù)體系信息安全政策法規(guī)標準體系信息安全人才保障體系信息安全組織管理體系國家信息基礎(chǔ)設(shè)施基礎(chǔ)關(guān)鍵保證核心準繩保障4.3信息安全保障體系的基本框架2024/8/3167①第一位的因素信息系統(tǒng)是人建立的；信息系統(tǒng)是為人服務(wù)的；信息系統(tǒng)受人的行為影響。②應(yīng)依靠專業(yè)人才保障安全涉及意識(what)、培訓(how)、教育(why)③安全意識、安全觀念是核心承認系統(tǒng)漏洞客觀存在正視安全威脅和攻擊面對安全風險實施適度防護 4.3.1人是信息安全的第一位因素4.3信息安全保障體系的基本框架2024/8/31684.3.2管理是信息安全的保證①道德規(guī)范——基礎(chǔ)促進信息共享、尊重道德隱私、承擔社會責任國家利益為重、公共利益優(yōu)先②政策——指導技術(shù)應(yīng)用、社會管理科技發(fā)展、產(chǎn)業(yè)發(fā)展③法律——準繩國