马建峰信息安全保障.ppt
- 文档编号:17460911
- 上传时间:2023-07-25
- 格式:PPT
- 页数:58
- 大小:7.60MB
马建峰信息安全保障.ppt
《马建峰信息安全保障.ppt》由会员分享,可在线阅读,更多相关《马建峰信息安全保障.ppt(58页珍藏版)》请在冰点文库上搜索。
InformationAssurance信息安全保障,马建峰教授西安电子科技大学计算机学院计算机网络与信息安全教育部重点实验室Email:
提纲,提纲,信息安全发展历程(4个阶段),阶段一20世纪,40年代-70年代,安全需求:
保密性、完整性标志1949年:
shannon发表保密通信的信息理论1977年:
美国国家标准局公布数据加密标准DES1976年:
Diffle和Hellman在“NewDirectionsinCryptography”一文中提出公钥密码体系,通信安全(COMSEC:
CommunicationSecurity),信息加密,窃听、密码学分析,信息安全发展历程(4个阶段),阶段二20世纪,70-90年代,安全需求:
确保信息系统资产(包括硬件、软件、固件和通信、存储和处理的信息)保密性、完整性和可用性的措施和控制标志:
1985年,美国国防部的可信计算机系统评估保障(TCSEC,橙皮书),操作系统安全分级(D、C1、C2、B1、B2、B3、A1);后发展为彩虹(rainbow)系列,计算机安全(COMPUSEC:
ComputerSecurity),非法访问脆弱口令,安全操作系统设计技术,安全威胁:
网络入侵、信息对抗等安全需求:
保护信息系统,确保信息在存储、处理和传输过程中免受非授权的访问,防止授权用户的拒绝服务,以及包括那些检测、记录和对抗此类威胁的措施安全措施:
防火墙、防病毒、PKI、VPN等安全特征:
综合通信安全和计算机系统安全标志:
安全评估保障CC(ISO15408,GB/T18336),信息系统安全(INFOSEC:
InformationSystemSecurity),阶段三20世纪,90年代后,信息安全发展历程(4个阶段),信息安全发展历程(4个阶段),2006-2010年上半年同期新增病毒数量对比,2009-2010年上半年截获各类病毒对比,2010年每月新增病毒数量,2010年每月各类病毒数量统计,当前信息系统面临的安全问题,2010年上半年恶意网站拦截统计,恶意网站分布比例,网站挂马分布统计,行业网站挂马分布统计,当前信息系统面临的安全问题,安全问题呈上升趋势,当前信息系统面临的安全问题,美国911事件,墨西哥湾漏油事件,全球安全事件频发,最先进的安全技术、最高级别的国家(企业)级安全保障,仍然发生了灾难人员安全意识,安全操作制度,安全技术,512汶川地震,舟曲县泥石流,全球安全事件频发,灾难发生时,通信、交通、电力等系统的可用和容灾恢复能力,内因外因对手:
威胁与破坏不可预料因素:
硬件故障、电力中断、自然灾害等,安全问题的思考,工作站中存在信息数据员工移动介质网络中其他系统网络中其他资源访问Internet访问其他局域网到Internet的其他路由电话和调制解调器开放的网络端口远程用户厂商和合同方的访问访问外部资源公共信息服务运行维护环境,内因:
复杂性,异构网络互联,种类繁杂、代码量不断增大,网格、云计算等新技术,内因:
复杂性,我们以许多的方式连接在一起-绝大多数不是我们期望的,内因:
复杂性,外因,IA,COMPUSEC,COMSEC,阶段一,阶段二,阶段三,阶段四(信息安全保障),信息安全发展历程(4个阶段),安全需求:
保障信息和信息系统资产,保障组织机构使命的执行;综合技术、管理、过程、人员;确保信息的保密性、完整性和可用性。
安全威胁:
黑客、恐怖分子、信息战、自然灾难、电力中断等,安全措施:
技术安全保障体系、安全管理体系、人员意识/培训/教育、认证和认可,标志:
技术:
美国国防部的IATF深度防御战略管理:
BS7799/ISO17799系统认证:
美国国防部DITSCAP,阶段四当前未来,信息安全保障(IA:
InformationAssurance),信息安全发展历程(4个阶段),GlobalEconomyGlobalInformationEnvironmentElectronicSecurityMustBeGlobalU.S.Cannot“Solve”ProblemUnilaterallyInternationalCooperationRequired,“美国的国家安全面临更加宽泛的挑战,美国将通过合作来提供安全”-摘自2010美国国家安全战略,信息安全&全球化网络,“mainfocuswillbeonbuildingthecapacity,thecapability,andthecriticalpartnershipsrequiredtosecureourmilitarysoperationalnetworks.notabouteffortstomilitarizecyberspace.safeguardingtheintegrityofourmilitaryscriticalinformationsystems.,CherylJ.RobyDoDCIO,InformationisourgreateststrategicassetMakeinformationavailableonanetworkdynamicsourcesofinformationtodefeattheenemytheenemyinformationadvantagesandexploitweaknesstosupportNetworkCentricWarfareandthetransformationofDoDprocesses.,Gen.KeithAlexander,USCYBERCOMCommande,确保部队关键信息系统的完整,信息是我们最具有战略意义的财产,利用有效的信息打击敌人。
发现敌方的信息优势和弱点,以支持DOD的网络中心战的转变,信息安全&全球化网络,2010年4月5日经胡锦涛主席批准,中央军委近日印发了关于加强新形势下军队信息安全保障工作的意见,构建信息安全保障体系2010.9,浪潮CEO孙丕恕新技术条件下构建我国信息安全保障体系2010.3,构建坚实的网络与信息安全保障架构2010.7,国家电网公司全面部署迎世博信息安全保障工作2010.4,信息安全保障“平安世博”2010.6,提纲,信息安全保障定义,DoD(美国国防部)的IA定义信息保障是确保信息和信息系统具有有效性、完整性、可认证性、机密性和不可否认性的保护和防御体系,该体系还包含通过融合保护、检测和反应能力来提供信息系统的恢复功能Wiki的IA定义IA是与信息(数字和模拟)或数据的处理、存储、传输以及相关的系统和处理过程中的风险有关的管理体系。
终端用户的IA定义IA是用于保护信息系统中所存储、处理、传输的私人信息的完整性、机密性、不可否认性的安全体系信息系统开发者的IA定义IA是由资深专业人士从需求分析、系统设计、实施、测试到交付用户使用的完善的开发过程开发出来的,可实现预期的信息存储、保护、传输和处理功能的系统商业界的IA定义IA是通过保护商业信息系统中所存储、处理、传输的商业及用户信息,避免在通信、信息共享和协同工作的过程中受到窃取、撰改、拒绝服务等攻击,并且与规章制度、道德、社会责任约束相关的安全体系,信息安全保障定义,IA的本质,有效性、完整性、可认证性、机密性和不可否认性保护对象范围广泛策略多样性(人、技术、操作、管理),综合的安全保障体系,IA是一套动态、自适应、可扩展的信息安全综合安全保障体系该体系不仅包含传统信息安全技术范畴(如机密性、可用性、完整性等),还考虑可恢复性、可扩展性等安全措施,并将人力、技术、资源等融合为一体的制度型安全体系该体系除了关注技术层面外,还考虑制度、操作、人员管理,重点解决可恢复、可重构等现阶段面临的安全特性,从而实现从信息安全防护战术级到信息安全保障战略级的跨越式发展。
我们的理解,IA与IS的区别,IA是在IS基础上的提升和跨越,纵深(宽度)防御技术框架安全标准风险分析等,提纲,美国AFIT提出的IA模型,AFIT信息保障(IA)模型,信息安全(IS)模型,AFITIA模型的关键技术,机密性CNSSI-4009:
确保信息不暴露给未授权的个体、进程或设备等完整性CNSSI-4009:
操作系统在信息安全方面的质量反映在逻辑上的正确性和可靠性硬件和软件实现保护机制在逻辑上的完整性数据结构和数据存储事件的一致性可用性CNSSI-4009:
为授权的用户提供及时可靠地数据访问和服务可认证性CNSSI-4009:
旨在建立一个保证传输、信息或发起人的安全措施,或者是一种方法以确定授权个体在其权限范围内的访问不可否认性CNSSI-4009:
为数据的发送者提供数据交付证明,以及为接收者提供数据发送者身份的证明,以此来确保其后双方无法否认进行数据处理的事实,安全服务,CNSSI:
CommitteeonNationalSecuritySystemsInstruction国家安全系统指导委员会,技术策略人员传输处理存储,安全对策,AFITIA模型的关键技术,Cyber安全培训信息系统操作、管理和维护的认证职业生涯管理与资深部门开展培训协作国家信息安全教育&培训计划信息安全精英培训,综合信息安全保障策略信息安全保障脆弱性警告处理计算机应急响应服务团队特别任务工作组计算机网络操作系统持续性脆弱性分析和评估方案保护、检测和反应能力实践测试,全方位信息安全保障解决方案全球性的、协作安全管理基础设施高保障性的产品和系统适时检测、数据收集、分析和可视化,信息状态,思考?
我们给出的IA理想模型,我们定义的IA现实模型,模型包含策略、对象、服务和时间四个维度。
根据不同时期的安全需求,从人员、技术和操作层面建立安全策略,针对保护对象(信息、系统、网络等)进行全方位的安全防护,从而确保安全服务要求。
关键技术1:
策略,安全问题的解决需要多维方法经过专业培训、具有强安全意识的人员技术范畴的扩展操作,传统的安全技术面向服务及组织形态等多层次多应用范畴的扩展,人对技术的更加规范的开发和使用,关键技术2:
对象,信息以适合于通信、存储或处理的形式来表示的知识或消息系统现有系统、虚拟系统、异构系统、系统中的系统等网络有线网络、无线网络、移动通信网络、无线传感器网络、无线自组织网络、异构无线网络融合等终端计算机终端、通信终端、各种手持终端、虚拟终端等,关键技术3:
服务,服务可恢复技术可恢复操作可恢复,人对服务、技术发展的适应技术对对象、环境、需求发展变化的适应操作对对象、环境变化的适应,任何情况下都能获取服务服务能够正常运转的技术保障人对服务的操作安全可行,机密性完整性可用性自适应性可恢复性,关键技术的可延续性,模型具有动态性未来发展,提纲,四信息安全保障应用领域,国外IA研究中心和培养计划国内发展现状展望,ITOC研究项目-http:
/www.itoc.usma.edu/research.html,ITOC整合了学校和军队的力量来解决理论与实际问题,研究领域:
信息保障,信息技术,教育。
美国国家信息安全保障培训和教育中心,NIATEC是学术,工业,和政府机构三方面的联合,目的是完善关于信息安全保障素养,意识,培养和教育标准。
美国海军陆战队,支持IA政策的实现和海军陆战队开发和应用实践,美国国防部8570.01-M号文件,美国国防部信息安全从业人员人力改进计划(IA培训)为培训,认证提供指导和制定流程,UTDallasErikJonssonSchoolofEngineeringandComputerScience,致力于IA研究与教育,以减少网络威胁和保卫国家信息资产,UTDallas提供的与IA有关的课程,研究生IA增强型课程:
计算机系统和网络的性能,多媒体数据挖掘,信息系统工程,移动计算机系统,分组交换网络工程,高级操作系统,远程通信网络管理,高级计算机网络,信息技术战略和控制,信息技术安全和审计。
UTDallas提供的与IA有关的课程:
研究生核心课程:
信息安全,隐私计算,基于语言的安全,数据与应用程序安全,密码学概论,数据挖掘与应用。
NortheasternUniversityCollegeofComputerandInformationScience,提供一个有关IA的硕士学位,NORWICHUNIVERSITY,提供一个有关IA的硕士学位,中国移动网络与信息安全保障体系,电子政务平台安全管理的“1+n+m”模型-上海市宝山区信息委,国内IA现状,成效建设了一批信息安全基础设施加强了互连网信息内容安全管理为维护国家安全与社会稳定、保障和促进信息化建设健康发展发挥了重要作用,国内IA现状,亟待解决的问题网络与信息系统的防护水平不高应急发现能力不强信息安全管理和技术人才缺乏关键技术整体上还比较落后信息安全法律法规和标准不完善全社会的信息安全保障意识不强信息安全管理薄弱,展望,加强信息安全管理加快IA教育培训步伐发展IS关键技术扩大IA应用领域制定完善的信息安全法律法规和标准提高社会的信息安全保障意识,提纲,IA面临的挑战,人的意识薄弱,培训、管理不完善技术的发展滞后于网络规模和架构的发展技术的发展落后于安全威胁的发展缺乏全球安全管理统一标准,ThankYou!
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 马建峰 信息 安全 保障