1、第1章 概述中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证主要内容基本概念信息安全发展历程CISAW信息安全保障模型信息安全保障对象资源管理信息对社会的影响相关标准及法律法规1.1 基本概念中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基本概念信息安全信息安全中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证信息定义信息的定义信息是用以消除随机不确定性的东西我们认为信息是一种对象,能够通过信息系统进行处理。信息通过载体在一定环境中表现、存储和传输。中国信息安全认证中心中国信息安全认证中心信息安全保
2、障人员认证信息安全保障人员认证信息的表现形式KBKB2 21010MBMB2 22020GBGB2 23030TBTB2 24040PBPB2 25050EBEB2 26060ZBZB2 27070YBYB2 28080中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证信息系统从信息的角度来说,我们认为信息系统是为信息生命周期提供服务的各类软硬件资源的总称中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证信息技术信息传递(通信)信息认知信息再生(计算机)信息传递(通信)信息实效(控制)信息获取(感测)外部世界信息技术(信息技术(ITI
3、T:Information TechnologyInformation Technology)的内涵)的内涵ITITComputerComputerCommunicationCommunicationControlControl中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证安全定义“不出事或感觉不到要出事的威胁”安全关乎两件事一件是已经发生的事,即安全事件;另一件是未发生但可能引发安全事件的事,即安全威胁与脆弱性中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基本概念安全脆弱性威胁安全风险安全事件对象预防防护中国信息安全认证中心
4、中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证信息安全的目标信息安全的目标将服务与资源的脆弱性降到最低限度,将损失降到最低。具有动态性和整体性。动态性:安全是相对的,没有绝对的安全,安全程度随着时间的变化而改变整体性:涉及物理层、网络层、系统层和应用层中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证信息安全定义GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系要求保持信息的机密性、完整性、可用性;另外也包括诸如真实性、可核查性、不可否认性和可靠性等中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障
5、人员认证信息安全的特征信息安全的基本属性有:1.可用性(availability)2.机密性(confidentiality)3.完整性(integrity)4.真实性(validity)5.不可否认性(non-repudiation)“信息安全”是指采用一切可能的办法和手段,来保证信息的上述“五性”。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证1.1.3 可用性可用性要求包括信息、信息系统和系统服务都可以被授权实体在适合的时间,要求的方式,及时、可靠的访问,甚至是在信息系统部分受损或需要降级使用时,仍能为授权用户提供有效服务。中国信息安全认证中心中国信息安
6、全认证中心信息安全保障人员认证信息安全保障人员认证1.1.4 完整性完整性 指信息在存储或传输过程中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证1.1.5 机密性机密性是指信息不泄漏给非授权的个人和实体中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证1.1.6 真实性真实性能够核实和信赖在一个合法的传输、消息或消息源的真实性的性质,以建立对其的信心真实性要求对用户身份进行鉴别,对信息的来源进行验证。而这些功能都离不开密码学的支持。在非对称密码机制出现以前,这是一个很
7、大的难题。非对称密码机制的出现,使该项难题得到了解决中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证1.1.7 不可否认性不可否认性是保证信息的发送者提供的交付证据和接受者提供的发送者证据一致,使其以后不能否认信息过程也称为不可抵赖性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。发送方不能否认已发送的信息,接收方也不能否认已收到的信息中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证1.1.8 其他属性可靠性是指与预想的行为和结果相一致的特性。可控性是指对信息的传播及内容具有控制能力的特性,授权机构可以随时控制信息的机密性,
8、能够对信息实施安全监控可追溯性通过记录标识的方法回溯某个实体的历史、用途和位置的能力”。我们认为这里的实体可理解为安全事件和威胁行为的相关实体1.2 信息安全的发展历程中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证信息安全发展过程数据通讯安全1976 Diffie&Hellman“密码学的新方向”1977 DES计算机安全TCSEC(橘皮书)网络安全CC(GB/T 18336)、IPV6安全信息安全保障1995 IATF从 PDR 到 WPDRRC中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证未来安全云计算安全大数据安全1.3
9、 CISAW信息安全保障模型中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证信息安全保障模型通常描述信息安全保障的模型PDRPPDRPDRRMPDRRWPDRRC中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证CISAW模型中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证CISAW模型业务中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证CISAW模型中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证CISAW模型中国信息安全认证中心中国信
10、息安全认证中心信息安全保障人员认证信息安全保障人员认证CISAW模型中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证CISAW模型中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证CISAW模型中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证CISAW模型1.4 保障对象中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证保障对象本质对象业务实体对象数据、载体、环境与边界生命周期数据对象载体对象环境与边界对象1.5 保障要素中国信息安全认证中心中国信息安全认证中心信息安全保
11、障人员认证信息安全保障人员认证资源1.6 信息安全管理中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证信息安全管理管理管理资源措施对象1.7 对社会的影响中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证对社会的影响数据通信安全阶段保密技术的应用计算机系统安全阶段系统安全的关注网络安全阶段计算机病毒传播1.8 标准及法律法规中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证标准及法律法规标准国际TCSECCCISO/IEC 27001国内GB17859-1999GB/T 22080-2008法律法规中华人民共和国国家安全法商用密码管理条例中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证谢谢!
