CIS信息安全保障-v

信息安全保障版本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1講師姓名：陳陽懷主辦單位：中國信息安全測評中心培訓單位：聯(lián)系郵箱：chenyanghuai@課程內(nèi)容信息安全保障基礎(chǔ)知識體知識域信息安全保障背景信息安全保障概念與模型知識子域信息安全內(nèi)涵與外延信息安全問題根源信息安全保障信息技術(shù)與信息安全發(fā)展階段信息安全保障相關(guān)模型信息系統(tǒng)安全保障概念與模型信息系統(tǒng)安全保障信息系統(tǒng)安全保障模型知識域：信息安全保障背景知識子域：信息安全內(nèi)涵和外延理解信息安全基本概念，理解信息安全基本屬性：保密性、完整性和可用性理解信息安全的特征與范疇知識子域：信息安全問題根源理解信息安全問題產(chǎn)生的內(nèi)因是信息系統(tǒng)自身存在脆弱性理解信息安全問題產(chǎn)生的外因是信息系統(tǒng)面臨著眾多威脅33信息與信息安全信息:數(shù)據(jù)/信息流信息安全保密性完整性可用性信息的以上三個基本安全屬性習慣上簡稱為CIA（Confidentiality-Integrity-Availability）。信息安全特征信息安全是系統(tǒng)的安全信息安全是動態(tài)的安全信息安全是無邊界的安全信息安全是非傳統(tǒng)的安全信息安全的范疇信息技術(shù)問題——技術(shù)系統(tǒng)的安全問題組織管理問題——人+技術(shù)系統(tǒng)+組織內(nèi)部環(huán)境社會問題——法制、輿論國家安全問題——信息戰(zhàn)、虛擬空間信息安全的特征與范疇6因為有病毒嗎？因為有黑客嗎？因為有漏洞嗎？這些都是原因，但沒有說到根源6內(nèi)因：信息系統(tǒng)自身存在脆弱性過程復雜結(jié)構(gòu)復雜應(yīng)用復雜

外因：威脅與破壞人為和環(huán)境信息安全問題產(chǎn)生根源系統(tǒng)理論：在程序與數(shù)據(jù)上存在“不確定性”設(shè)計：從設(shè)計的角度看，在設(shè)計時考慮的優(yōu)先級中安全性相對于易用性、代碼大小、執(zhí)行程度等因素被放在次要的位置實現(xiàn)：由于人性的弱點和程序設(shè)計方法學的不完善，軟件總是存在BUG。使用、運行：人為的無意失誤、人為的惡意攻擊如：無意的文件刪除、修改主動攻擊：利用病毒、入侵工具實施的操作被動攻擊：監(jiān)聽、截包維護 技術(shù)體系中安全設(shè)計和實現(xiàn)的不完整。 技術(shù)管理或組織管理的不完善，給威脅提供了機會。內(nèi)在復雜-過程工作站中存在信息數(shù)據(jù)員工移動介質(zhì)網(wǎng)絡(luò)中其他系統(tǒng)網(wǎng)絡(luò)中其他資源訪問Internet訪問其他局域網(wǎng)到Internet的其他路由電話和調(diào)制解調(diào)器開放的網(wǎng)絡(luò)端口遠程用戶廠商和合同方的訪問訪問外部資源公共信息服務(wù)運行維護環(huán)境內(nèi)在復雜-結(jié)構(gòu)內(nèi)在復雜-使用外因——人為為的威威脅外因——自然然威脅脅知識域域：信信息安安全保保障背背景知識子子域：：信息息技術(shù)術(shù)與信信息安安全發(fā)發(fā)展階階段了解通通信、、計算算機、、網(wǎng)絡(luò)絡(luò)和網(wǎng)網(wǎng)絡(luò)化化社會會等階階段信信息技技術(shù)的的發(fā)展展概況況了解信信息技技術(shù)和和網(wǎng)絡(luò)絡(luò)對經(jīng)經(jīng)濟發(fā)發(fā)展、、社會會穩(wěn)定定及國國家安安全等等方面面的影影響了解通通信安安全、、計算算機安安全、、信息息系統(tǒng)統(tǒng)安全全和信信息安安全保保障等等階段段信息息安全全的發(fā)發(fā)展概概況，，了解解各各個個階階段段信信息息安安全全面面臨臨的的主主要要威威脅脅和和防防護護措措施施網(wǎng)絡(luò)化社會網(wǎng)絡(luò)計算機通信（電報\電話）信息息安安全全發(fā)發(fā)展展階階段段COMSEC通信安全COMPUSEC計算機安全INFOSEC信息系統(tǒng)安全IA信息安全保障CS/IA網(wǎng)絡(luò)空間安全/信息安全保障解決決傳傳輸輸數(shù)數(shù)據(jù)據(jù)安安全全斯巴巴達達人人的的智智慧慧：：公公元元前前500年年，，斯斯巴巴達達人人把把一一條條羊羊皮皮螺螺旋旋形形地地纏纏在在一一個個圓圓柱柱形形棒棒上上寫寫數(shù)數(shù)據(jù)據(jù)現(xiàn)代代人人的的智智慧慧：：20世世紀紀，，40年年代代-70年年代代通通過過密密碼碼技技術(shù)術(shù)解解決決通通信信保保密密，，內(nèi)內(nèi)容容篡篡改改通信信安安全全COMSEC：CommunicationSecurity20世世紀紀，，40年年代代-70年年代代核心心思思想想：：通過過密密碼碼技技術(shù)術(shù)解解決決通通信信保保密密，，保保證證數(shù)數(shù)據(jù)據(jù)的的保保密密性性和和完完整整性性主要要關(guān)關(guān)注注傳傳輸輸過過程程中中的的數(shù)數(shù)據(jù)據(jù)保保護護安全全威威脅脅：：搭搭線線竊竊聽聽、、密密碼碼學學分分析析安全全措措施施：：加加密密計算算機機安安全全COMPUSEC：ComputerSecurity20世世紀紀，，70-90年年代代核心心思思想想：：預(yù)防防、、檢檢測測和和減減小小計計算算機機系系統(tǒng)統(tǒng)（（包包括括軟軟件件和和硬硬件件））用用戶戶（（授授權(quán)權(quán)和和未未授授權(quán)權(quán)用用戶戶））執(zhí)執(zhí)行行的的未未授授權(quán)權(quán)活活動動所所造造成成的的后后果果。。主要要關(guān)關(guān)注注于于數(shù)數(shù)據(jù)據(jù)處處理理和和存存儲儲時時的的數(shù)數(shù)據(jù)據(jù)保保護護。。安全全威威脅脅：：非非法法訪訪問問、、惡惡意意代代碼碼、、脆脆弱弱口口令令等等安全全措措施施：：通通過過操操作作系系統(tǒng)統(tǒng)的的訪訪問問控控制制技技術(shù)術(shù)來來防防止止非非授授權(quán)權(quán)用用戶戶的的訪訪問問信息息系系統(tǒng)統(tǒng)安安全全INFOSEC：InformationSecurity20世世紀紀，，90年年代代后后核心心思思想想：：綜合合通通信信安安全全和和計計算算機機安安全全安安全全重點點在在于于保保護護比比““數(shù)數(shù)據(jù)據(jù)””更更精精煉煉的的““信信息息””，，確確保保信信息息在在存存儲儲、、處處理理和和傳傳輸輸過過程程中中免免受受偶偶然然或或惡惡意意的的非非法法泄泄密密、、轉(zhuǎn)轉(zhuǎn)移移或或破破壞壞。。安全全威威脅脅：：網(wǎng)網(wǎng)絡(luò)絡(luò)入入侵侵、、病病毒毒破破壞壞、、信信息息對對抗抗等等安全全措措施施：：防防火火墻墻、、防防病病毒毒、、漏漏洞洞掃掃描描、、入入侵侵檢檢測測、、PKI、、VPN等等網(wǎng)絡(luò)絡(luò)化化社社會會新世世紀紀信信息息技技術(shù)術(shù)應(yīng)應(yīng)用用于于人人類類社社會會的的方方方方面面面面軍事事經(jīng)濟濟文化化………現(xiàn)在在人人們們意意識識到到：：技技術(shù)術(shù)很很重重要要，，但但技技術(shù)術(shù)不不是是一一切切；；信息息系系統(tǒng)統(tǒng)很很重重要要，，只只有有服服務(wù)務(wù)于于組組織織業(yè)業(yè)務(wù)務(wù)使使命命才才有有意意義義信息息安安全全保保障障IA：InformationAssurance今天天，，將將來來…………核心心思思想想：：信息息安安全全從從技技術(shù)術(shù)擴擴展展到到管管理理，，從從靜靜態(tài)態(tài)擴擴展展到到動動態(tài)態(tài)通過過技技術(shù)術(shù)、、管管理理和和工工程程等等措措施施的的綜綜合合融融合合，，形形成成對對信信息息、、信信息息系系統(tǒng)統(tǒng)乃乃至至業(yè)業(yè)務(wù)務(wù)使使命命的的保保障障。。安全威脅脅：黑客客、恐怖怖分子、、信息戰(zhàn)戰(zhàn)、自然然災(zāi)難、、電力中中斷等安全措施施：技術(shù)術(shù)安全保保障體系系、安全全管理體體系、人人員意識識/培訓訓/教育育、認證證和認可可CS/IA：CyberSecurity/InformationAssurance2009年，在在美國帶帶動下，，世界各各國信息息安全政政策、技技術(shù)和實實踐等發(fā)發(fā)生重大大變革………共識：網(wǎng)絡(luò)安全全問題上上升到國國家安全全的重要要程度核心思想想：從傳統(tǒng)防防御的信信息保障障（IA），發(fā)發(fā)展到““威懾””為主的的防御、、攻擊和和情報三三位一體體的信息息保障/網(wǎng)絡(luò)安安全（IA/CS）的的網(wǎng)空安安全網(wǎng)絡(luò)防御御-Defense（（運維））網(wǎng)絡(luò)攻擊擊-Offense（（威懾））網(wǎng)絡(luò)利用用-Exploitation（情情報）信息安全全保障發(fā)發(fā)展歷史史第一次定定義：在1996年美美國國防防部DoD指令令5-3600.1（（DoDD5-3600.1）中中，美國國信息安安全界第第一次給給出了信信息安全全保障的的標準化化定義現(xiàn)在：信息安全全保障的的概念已已逐漸被被全世界界信息安安全領(lǐng)域域所接受受。中國：中辦發(fā)27號文文《國家家信息化化領(lǐng)導小小組關(guān)于于加強信信息安全全保障工工作的意意見》，，是信息息安全保保障工作作的綱領(lǐng)領(lǐng)性文件件信息安全全保障發(fā)發(fā)展歷史史從通信安安全（COMSEC））-〉計計算機安安全（COMPUSEC）-〉信息息系統(tǒng)安安全（INFOSEC）-〉〉信息安安全保障障（IA）-〉網(wǎng)絡(luò)絡(luò)空間安安全/信信息安全全保障（（CS/IA））。網(wǎng)絡(luò)空間間安全/信息安安全保障障2008年1月月，布什什政府發(fā)發(fā)布了國國家網(wǎng)絡(luò)絡(luò)安全綜綜合倡議議（CNCI）），號稱稱網(wǎng)絡(luò)安安全“曼曼哈頓項項目”，，提出威威懾概念念，其中中包括愛愛因斯坦坦計劃、、情報對對抗、供供應(yīng)鏈安安全、超超越未來來（“Leap-Ahead”）技技術(shù)戰(zhàn)略略2009年5月月29日日發(fā)布了了《網(wǎng)絡(luò)絡(luò)空間政政策評估估：確保保信息和和通訊系系統(tǒng)的可可靠性和和韌性》》報告2009年6月月25日日，英國國推出了了首份““網(wǎng)絡(luò)安安全戰(zhàn)略略”，并并將其作作為同時時推出的的新版《《國家安安全戰(zhàn)略略》的核核心內(nèi)容容2009年6月月，美國國成立網(wǎng)網(wǎng)絡(luò)戰(zhàn)司司令部12月22日，，奧巴馬馬任命網(wǎng)網(wǎng)絡(luò)安全全專家擔擔任“網(wǎng)網(wǎng)絡(luò)沙皇皇”2011年5月月，美國國發(fā)布《《網(wǎng)絡(luò)空空間國際際戰(zhàn)略》》，明確確了針對對網(wǎng)絡(luò)攻攻擊的指指導原則則…信息安全全保障是是一種立立體保障障知識域：：信息安安全保障障概念與與模型知識子域域：信息息安全保保障理解信息息安全保保障的概概念理解信息息安全保保障與信信息安全全、信息息系統(tǒng)安安全的區(qū)區(qū)別信息安全全保障定定義防止信息息泄露、、修改和和破壞檢測入侵侵行為，，計劃和和部署針針對入侵侵行為的的防御措措施采用安全全措施和和容錯機機制在遭遭受攻擊擊的情況況下保證證機密性性、私密密性、完完整性、、抗抵賴賴性、真真實性、、可用性性和可靠靠性修復信息息和信息息系統(tǒng)所所遭受的的破壞與信息安安全、信信息系統(tǒng)統(tǒng)安全的的區(qū)別信息安全全保障的的概念更更加廣泛泛。信息安全全的重點點是保護護和防御御，而安安全保障障的重點點是是保護、、檢測和和響應(yīng)綜綜合信息安全全不太關(guān)關(guān)注檢測測和響應(yīng)應(yīng)，但是是信息安安全保障障非常關(guān)關(guān)注這兩兩點攻擊后的的修復不不在傳統(tǒng)統(tǒng)信息安安全概念念的范圍圍之內(nèi)，，但是它它是信息息安全保保障的重重要組成成部分。。信息安全全的目的的是為了了防止攻攻擊的發(fā)發(fā)生，而而信息安安全保障障的目的的是為了了保證信信息系統(tǒng)統(tǒng)始終能能保證維維持特定定水平的的可用性性、完整整性、真真實性、、機密性性和抗抵抵賴性。。知識域：：信息安安全保障障概念與與模型知識子域域：信息息安全保保障相關(guān)關(guān)模型理解P2DR模模型的基基本原理理：策略略、防護護、檢測測及響應(yīng)應(yīng)，以及及P2DR公式式所表達達的安全全目標理理解P2DR數(shù)數(shù)學公式式所表達達的安全全目標理解IATF的的深度防防御思想想，及其其將信息息系統(tǒng)在在技術(shù)層層面的防防御劃分分為本地地計算環(huán)環(huán)境、區(qū)區(qū)域邊界界、網(wǎng)絡(luò)絡(luò)基礎(chǔ)設(shè)設(shè)施和支支撐性基基礎(chǔ)設(shè)施施四個方方面，理理解每一一方面的的安全需需求及基基本實現(xiàn)現(xiàn)方法什么是信信息安全全模型通過建模模的思想想來解決決網(wǎng)絡(luò)安安全管理理問題，，有效抵抵御外部部攻擊，，保障網(wǎng)網(wǎng)絡(luò)安全全安全模型型用于精精確和形形式地描描述信息息系統(tǒng)的的安全特特征，解解釋系統(tǒng)統(tǒng)安全相相關(guān)行為為。為什么需需要安全全模型能準確地地描述安安全的重重要方面面與系統(tǒng)統(tǒng)行為的的關(guān)系。。能提高對對成功實實現(xiàn)關(guān)鍵鍵安全需需求的理理解層次次。從中開發(fā)發(fā)出一套套安全性性評估準準則，和和關(guān)鍵的的描述變變量安全模型型的概念念2929思想：承認漏洞洞，正視視威脅，，適度防防護，加加強檢測測，落實實反應(yīng)，，建立威威懾出發(fā)點：：任何防護護措施都都是基于于時間的的，是可可以被攻攻破的核心與本本質(zhì)：給出攻防防時間表表固定防守守、測試試攻擊時時間；固定攻擊擊手法，，測試防防守時間間缺點：難于適應(yīng)應(yīng)網(wǎng)絡(luò)安安全環(huán)境境的快速速變化基于時間間的PDR模型型系統(tǒng)審計、分析–入侵檢測–定時響應(yīng)（警告、拒絕服務(wù)）系統(tǒng)的第一道防線防止遠程攻擊文件、數(shù)據(jù)安全應(yīng)用服務(wù)層安全系統(tǒng)服務(wù)層安全系統(tǒng)內(nèi)核安全物理安全系統(tǒng)的第二道防線防止內(nèi)部權(quán)限提升系統(tǒng)備份安全措施文件、數(shù)據(jù)安全應(yīng)用服務(wù)層安全系統(tǒng)服務(wù)層安全系統(tǒng)內(nèi)核安全物理安全漏洞分析檢測漏洞修補protectionReactionDetection攻擊者基于PDR的安安全架構(gòu)構(gòu)PDR模模型強調(diào)調(diào)落實反反應(yīng)P2DR模模型型則則更更強強調(diào)調(diào)控控制制和和對對抗抗，，即即強強調(diào)調(diào)系系統(tǒng)統(tǒng)安安全全的的動動態(tài)態(tài)性性以安安全全檢檢測測、、漏漏洞洞監(jiān)監(jiān)測測和和自自適適應(yīng)應(yīng)填填充充“安全全間間隙隙”為循循環(huán)環(huán)來來提提高高網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全特別別考考慮慮人人為為的的管管理理因因素素P2DR模模型型-分分布布式式動動態(tài)態(tài)主主動動模模型型P2DR：：Policy策略略模型型的的核核心心，，所所有有的的防防護護、、檢檢測測、、響響應(yīng)應(yīng)都都是是依依據(jù)據(jù)安安全全策策略略實實施施的的。。策略略體體系系的的建建立立包包括括安安全全策策略略的的制制定定、、評評估估與與執(zhí)執(zhí)行行等等。。策略略包包括括：：訪問問控控制制策策略略加密密通通信信策策略略身份份認認證證策策略略備份份恢恢復復策策略略………P2DR的的基基本本原原理理P2DR：：Protection防護護通過過傳傳統(tǒng)統(tǒng)的的靜靜態(tài)態(tài)安安全全技技術(shù)術(shù)和和方方法法提提高高網(wǎng)網(wǎng)絡(luò)絡(luò)的的防防護護能能力力，，主主要要包包括括：：訪問問控控制制技技術(shù)術(shù)ACLFirewall信息息加加密密技技術(shù)術(shù)身份份認認證證技技術(shù)術(shù)–一次次性性口口令令–X.509………P2DR的的理理解解P2DR：：Detection檢測測利用用檢檢測測工工具具，，監(jiān)監(jiān)視視、、分分析析、、審審計計網(wǎng)網(wǎng)絡(luò)絡(luò)活活動動，，了了解解判判斷斷網(wǎng)網(wǎng)絡(luò)絡(luò)系系統(tǒng)統(tǒng)的的安安全全狀狀態(tài)態(tài)。。使安安全全防防護護從從被被動動防防護護演演進進到到主主動動防防御御，，是是整整個個模模型型動動態(tài)態(tài)性性的的體體現(xiàn)現(xiàn)。。主要要方方法法包包括括：：實時時監(jiān)監(jiān)控控檢測測報警警P2DR的的理理解解P2DR：Response反應(yīng)應(yīng)在檢檢測測到到安安全全漏漏洞洞和和安安全全事事件件時時，，通通過過及及時時的的響響應(yīng)應(yīng)措措施施將將網(wǎng)網(wǎng)絡(luò)絡(luò)系系統(tǒng)統(tǒng)的的安安全全性性調(diào)調(diào)整整到到風風險險最最低低的的狀狀態(tài)態(tài)。評估估系系統(tǒng)統(tǒng)受受到到的的危危害害與與損損失失，，恢恢復復系系統(tǒng)統(tǒng)功功能能和和數(shù)數(shù)據(jù)據(jù)，，啟啟動動備備份份系系統(tǒng)統(tǒng)等等。主要要方方法法包包括括：：關(guān)閉閉服服務(wù)務(wù)跟蹤蹤反擊擊消除除影影響響P2DR的的理理解解P2DR模模型型中中的的數(shù)數(shù)學學法法則則假設(shè)設(shè)S系系統(tǒng)統(tǒng)的的防防護護、、檢檢測測和和反反應(yīng)應(yīng)的的時時間間關(guān)關(guān)系系如如下下：：Pt=防防護護時時間間(有有效效防防御御攻攻擊擊的的時時間間)，，Dt=檢檢測測時時間間（（發(fā)發(fā)起起攻攻擊擊到到檢檢測測到到的的時時間間）），，Rt=反反應(yīng)應(yīng)時時間間（（檢檢測測到到攻攻擊擊到到處處理理完完成成時時間間）），，Et=暴暴露露時時間間，，則該系統(tǒng)防護護、檢測和反反應(yīng)的時間關(guān)關(guān)系如下：如果Pt＞Dt＋Rt，，那么S是安安全的；如果Pt＜Dt＋Rt，，那么Et＝＝(Dt＋Rt)－Pt。P2DR模型型的安全目標標依據(jù)P2DR模型構(gòu)筑筑的網(wǎng)絡(luò)安全全體系在統(tǒng)一安全策策略的控制下下在綜合運用防防護工具基礎(chǔ)礎(chǔ)上利用檢測工具具檢測評估網(wǎng)網(wǎng)絡(luò)系統(tǒng)的安安全狀態(tài)通過及時的響響應(yīng)措施將網(wǎng)網(wǎng)絡(luò)系統(tǒng)調(diào)整整到風險最低低的安全狀態(tài)態(tài)再看P2DR安全管理的持持續(xù)性、安全全策略的動態(tài)態(tài)性：以實時監(jiān)視網(wǎng)網(wǎng)絡(luò)活動、發(fā)發(fā)現(xiàn)威脅和弱弱點來調(diào)整和和填補網(wǎng)絡(luò)漏漏洞?？蓽y即可控通過經(jīng)常對網(wǎng)網(wǎng)絡(luò)系統(tǒng)的評評估把握系統(tǒng)統(tǒng)風險點，及及時弱化甚至至堵塞系統(tǒng)的的安全漏洞。。IATF-深深度防御保障障模型信息保障技術(shù)術(shù)框架（InformationAssuranceTechnicalFramework，，IATF））美國國家安全全局（NSA）制定的，，為保護美國國政府和工業(yè)業(yè)界的信息與與信息技術(shù)設(shè)設(shè)施提供技術(shù)術(shù)指南。IATF的代代表理論為““深度防御（（Defense-in-Depth）”。在關(guān)于實現(xiàn)信信息保障目標標的過程和方方法上，IATF論述了了系統(tǒng)工程、、系統(tǒng)采購、、風險管理、、認證和鑒定定以及生命周周期支持等過過程，指出了了一條較為清清晰的建設(shè)信信息保障體系系的路子。何謂“深度防防御”？IATF強調(diào)調(diào)人、技術(shù)、、操作這三個個核心要素，，從多種不同同的角度對信信息系統(tǒng)進行行防護。IATF關(guān)注注四個信息安安全保障領(lǐng)域域（三保護一一支撐）本地計算環(huán)境境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)設(shè)施支撐性基礎(chǔ)設(shè)設(shè)施在此基礎(chǔ)上，，對信息信息息系統(tǒng)就可以以做到多層防防護，實現(xiàn)組組織的任務(wù)/業(yè)務(wù)運作。。這樣的防護護被稱為““深度防護戰(zhàn)戰(zhàn)略（Defense-in-DepthStrategy）”。。技術(shù)操作深度防御戰(zhàn)略人

人通過技術(shù)進行操作計算環(huán)境區(qū)域邊界網(wǎng)絡(luò)基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施密鑰管理檢測響應(yīng)成功的組織功能信息安全保障（IA）IATF框架架人（People）：信息保障體系系的核心，是是第一位的要要素，同時也也是最脆弱的的?；谶@樣的認認識，安全管管理在安全保保障體系中愈愈顯重要，包包括：意識培訓、組組織管理、技技術(shù)管理、操操作管理……技術(shù)（Technology）：技術(shù)是實現(xiàn)信信息保障的重重要手段。動態(tài)的技術(shù)體體系：防護、檢測、、響應(yīng)、恢復復操作（Operation）：也叫運行，構(gòu)構(gòu)成安全保障障的主動防御御體系。是將各方面技技術(shù)緊密結(jié)合合在一起的主主動的過程，，包括風險評估、安安全監(jiān)控、安安全審計跟蹤告警、入入侵檢測、響響應(yīng)恢復……IATF的三三要素IATF三要要素IATF的安安全需求劃分分IATF定義義了四個主要要的技術(shù)焦點點領(lǐng)域：本地計算環(huán)境境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)設(shè)施支撐性基礎(chǔ)設(shè)設(shè)施。這四個領(lǐng)域構(gòu)構(gòu)成了完整的的信息保障體體系所涉及的的范圍。在每個領(lǐng)域范范圍內(nèi)，IATF都描述述了其特有的的安全需求和和相應(yīng)的可供供選擇的技術(shù)術(shù)措施。

邊界區(qū)域

計算環(huán)境

網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施目標：使用信息保障障技術(shù)確保數(shù)數(shù)據(jù)在進人、、離開或駐留留客戶機和服服務(wù)器時具有有保密性、完完整性和可用用性。方法：使用安全的操操作系統(tǒng),使用安全的應(yīng)應(yīng)用程序安全消息傳遞遞、安全瀏覽覽、文件保護護等主機入侵檢測測防病毒系統(tǒng)主機脆弱性掃掃描文件完整性保保護保護計算環(huán)境境保護區(qū)域邊界界什么是邊界？？“域”指由單單一授權(quán)通過過專用或物理理安全措施所所控制的環(huán)境境，包括物理理環(huán)境和邏輯輯環(huán)境。區(qū)域的網(wǎng)絡(luò)設(shè)設(shè)備與其它網(wǎng)網(wǎng)絡(luò)設(shè)備的接接入點被稱為為“區(qū)域邊界界”。目標：對進出某區(qū)域域（物理區(qū)域域或邏輯區(qū)域域）的數(shù)據(jù)流流進行有效的的控制與監(jiān)視視。方法：病毒、惡意代代碼防御防火墻人侵檢測邊界護衛(wèi)遠程訪問多級別安全保護網(wǎng)絡(luò)和基基礎(chǔ)設(shè)施目標：網(wǎng)絡(luò)和支持它它的基礎(chǔ)設(shè)施施必須防止數(shù)據(jù)非法法泄露防止受到拒絕絕服務(wù)的攻擊擊防止受到保護護的信息在發(fā)發(fā)送過程中的的時延、誤傳傳或未發(fā)送。。方法：骨干網(wǎng)可用性性無線網(wǎng)絡(luò)安全全框架系統(tǒng)高度互聯(lián)聯(lián)和虛擬專用用網(wǎng)。支撐性基礎(chǔ)設(shè)設(shè)施建設(shè)目標：為安全保障服服務(wù)提供一套套相互關(guān)聯(lián)的的活動與基礎(chǔ)礎(chǔ)設(shè)施密鑰管理功能能檢測和響應(yīng)功功能方法：密鑰管理優(yōu)先權(quán)管理證書管理入侵檢測、審計、配置信息調(diào)查、收收集遠程用戶遠程用戶遠程用戶遠程用戶

邊界保護（隔離器、防火墻等）遠程訪問保護（VPN，加密等）邊界電信運營商公共電話網(wǎng)公共移動網(wǎng)連接至其他邊界遠程用戶專網(wǎng)密級網(wǎng)絡(luò)PBX公網(wǎng)(Internet)Internet服務(wù)供應(yīng)商電信運營商本地計算環(huán)境網(wǎng)絡(luò)基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施（PKI公鑰基礎(chǔ)設(shè)施、檢測和響應(yīng)基礎(chǔ)設(shè)施）帶密級網(wǎng)絡(luò)的邊界專用網(wǎng)絡(luò)的邊界公共網(wǎng)絡(luò)的邊界IATF框架架知識域：信息息系統(tǒng)安全保保障概念與模模型知識子域：信信息系統(tǒng)安全全保障了解信息系統(tǒng)統(tǒng)的概念及其其包含的基本本資源理解信息系統(tǒng)統(tǒng)安全保障的的概念，以及及風險、業(yè)務(wù)務(wù)使命等信息息系統(tǒng)安全保保障相關(guān)概念念及其之間的的關(guān)系知識子域：信信息系統(tǒng)安全全保障模型理解信息系統(tǒng)統(tǒng)安全保障模模型中生命周周期、保障要要素和安全特特征的含義和和內(nèi)容理解風險和策策略是信息系系統(tǒng)安全保障障的核心問題題理解業(yè)務(wù)使命命實現(xiàn)是信息息安全保障的的根本目的信息系統(tǒng)信息系統(tǒng)安全全保障信息系統(tǒng)安全全保障是在信信息系統(tǒng)的整個生命周期期中，從技術(shù)、管理、、工程和人員員等方面提出安安全保障要求求，確保信息息系統(tǒng)的保密密性、完整性性和可用性，，降低安全風風險到可接受受的程度，從從而保障系統(tǒng)統(tǒng)實現(xiàn)組織機構(gòu)的使使命。

措施

信息系統(tǒng)保障風險脆弱性威脅使命能力策略

模型信息系統(tǒng)安全全保障相關(guān)概概念和關(guān)系信息系統(tǒng)安全全保障模型國家標準：《GB/T20274.1-2006信息安全技術(shù)術(shù)信息系統(tǒng)統(tǒng)安全保障評評估框架第第一部分：簡簡介和一般模模型》信息系統(tǒng)安全全保障安全特特征確保信息的安安全特征確保信息的保保密性、完整整性和可用性性特征，從而而實現(xiàn)和貫徹徹組織機構(gòu)策策略并將風險險降低到可接接受的程度保護資產(chǎn)達到保護組織織機構(gòu)信息和和信息系統(tǒng)資資產(chǎn)最終保障業(yè)務(wù)務(wù)使命從而保障組織織機構(gòu)實現(xiàn)其其業(yè)務(wù)使命的的最終目的信息系統(tǒng)安全全保障生命周周期信息系統(tǒng)安全全保障要素從技術(shù)、工程程、管理和人人員四個領(lǐng)域域進行綜合保保障技術(shù)：密碼、、訪問控制、、網(wǎng)絡(luò)安全、、漏洞及惡意意代碼防護等等工程：信息系系統(tǒng)安全工程程、安全工程程能力成熟度度模型管理：安全管管理體系、風風險管理、應(yīng)應(yīng)急響應(yīng)與災(zāi)災(zāi)難恢復等人員：所有員員工、信息系系統(tǒng)崗位、安安全專業(yè)人員員課程內(nèi)容信息安全保障障實踐知識體知識域信息安全保障現(xiàn)狀我國信息安全全保障工作主主要內(nèi)容容知識子域域國外信息安全保障現(xiàn)狀信息安全標準化我國信息安全保障現(xiàn)狀信息安全應(yīng)急處理與信息通報信息安全全保障工作方法法確定信息安全需求信息安全測評信息安全等級保護信息安全風險評估災(zāi)難恢復人才隊伍建設(shè)設(shè)計并實施信息安全方案信息安全監(jiān)測與維護60知識子域域：國外外信息安安全保障障情況了解發(fā)達達國家信信息安全全狀況和和信息安安全保障障的主要要舉措了解發(fā)達達國家信信息安全全方面主主要動態(tài)態(tài)知識子域域：我國國信息安安全保障障現(xiàn)狀了解我國國信息化化與信息息安全形形勢了解我國國信息安安全保障障發(fā)展階階段理解我國國信息安安全保障障基本思思路了解我國國信息安安全保障障目標了解我國國信息安安全保障障的整體體規(guī)劃了解我國國信息安安全保障障體系的的框架知識域：：信息安安全保障障現(xiàn)狀6060國外信息息安全保保障體系系的最新新趨勢戰(zhàn)略：發(fā)布網(wǎng)網(wǎng)絡(luò)安全全戰(zhàn)略、、政策評評估報告告、推進進計劃等等文件組織：通過設(shè)設(shè)立網(wǎng)絡(luò)絡(luò)安全協(xié)協(xié)調(diào)機構(gòu)構(gòu)、設(shè)立立協(xié)調(diào)官官，強化化集中領(lǐng)領(lǐng)導和綜綜合協(xié)調(diào)調(diào)軍事：陸續(xù)成成立網(wǎng)絡(luò)絡(luò)戰(zhàn)司令令部，開開展大規(guī)規(guī)模攻防防演練，，招募網(wǎng)網(wǎng)絡(luò)戰(zhàn)精精英人才才，加快快軍事網(wǎng)網(wǎng)絡(luò)和通通信系統(tǒng)統(tǒng)的升級級改造，，網(wǎng)絡(luò)戰(zhàn)戰(zhàn)成為熱熱門話題題外交：信息安安全問題題的國際際交流與與對話增增多，美美歐盟友友之間網(wǎng)網(wǎng)絡(luò)協(xié)同同攻防傾傾向愈加加明顯，，信息安安全成為為國際多多邊或雙雙邊談判判的實質(zhì)質(zhì)性內(nèi)容容科技：各國尋尋求走突突破性跨跨越式發(fā)發(fā)展路線線推進技技術(shù)創(chuàng)新新，力求求在科技技發(fā)展上上保持和和占據(jù)優(yōu)優(yōu)勢地位位關(guān)鍵基礎(chǔ)礎(chǔ)設(shè)施仍仍然是信信息安全全保障的的最核心心內(nèi)容美國信息息安全保保障戰(zhàn)略略：一一個輪回回三屆屆政府四四個文文件98年克林頓政府PDD6300年信息系統(tǒng)保護國家計劃01年布什政府PCIPB03年保護網(wǎng)際空間國家戰(zhàn)略1998年5月，克林林頓政府府發(fā)布了了第63號總統(tǒng)令令（PDD63）：《克林頓政政府對關(guān)關(guān)鍵基礎(chǔ)礎(chǔ)設(shè)施保保護的政政策》2000年1月，克林林頓政府府發(fā)布了了《信息系統(tǒng)統(tǒng)保護國國家計劃劃V1.0》，提出了了美國政政府在21世紀之初初若干年年的網(wǎng)絡(luò)絡(luò)空間安安全發(fā)展展規(guī)劃。。2001年10月16日，布什什政府意意識到了了911之后信息息安全的的嚴峻性性，發(fā)布布了第13231號行政令令《信息時代代的關(guān)鍵鍵基礎(chǔ)設(shè)設(shè)施保護護》，宣布成成立“總總統(tǒng)關(guān)鍵鍵基礎(chǔ)設(shè)設(shè)施保護護委員會會”，簡簡稱PCIPB，代表政政府全面面負責國國家的網(wǎng)網(wǎng)絡(luò)空間間安全工工作2003年2月，在征征求國民民意見的的基礎(chǔ)上上，發(fā)布布了《保護網(wǎng)際際空間的的國家戰(zhàn)戰(zhàn)略》的正式版版本，對對原草案案版本做做了大篇篇幅的改改動，重重點突出出國家政政府層面面上的戰(zhàn)戰(zhàn)略任務(wù)務(wù)，這是是一個非非常大的的跨越2010年3月2日，奧巴馬政府部分解密了CNCI，包括3個重要目標，12個倡議美國CNCI：：網(wǎng)絡(luò)““曼哈頓頓計劃””2008年1月月2日發(fā)發(fā)布的國國家安全全總統(tǒng)令令54/國土安安全總統(tǒng)統(tǒng)令23，建立立了國家家網(wǎng)絡(luò)安安全綜合合計劃(CNCI)。。三道防線線建立第一一線防御御：減少少當前漏漏洞和隱隱患，預(yù)預(yù)防入侵侵；全面應(yīng)對對各類威威脅：增增強反間間能力，，加強供供應(yīng)鏈安安全來抵抵御各種種威脅；；強化未來來安全環(huán)環(huán)境：增增強研究究、開發(fā)發(fā)和教育育以及投投資先進進的技術(shù)術(shù)來構(gòu)建建將來的的環(huán)境。。十二項提提議可信互聯(lián)聯(lián)網(wǎng)連接接（TIC）、、網(wǎng)絡(luò)入入侵檢測測系統(tǒng)、、網(wǎng)絡(luò)入入侵防護護系統(tǒng)、、科技研研發(fā)、態(tài)態(tài)勢感知知、網(wǎng)絡(luò)絡(luò)反間、、增強涉涉密安全全、加強強網(wǎng)絡(luò)教教育、““超越未未來（LeapAhead）”技技術(shù)研發(fā)發(fā)、網(wǎng)絡(luò)絡(luò)威懾戰(zhàn)戰(zhàn)略、全全球供應(yīng)應(yīng)鏈風險險管理機機制、公公私協(xié)作作美國信息息安全保保障的重重點對象象關(guān)鍵基礎(chǔ)礎(chǔ)設(shè)施2001年美國國出臺《《美國愛愛國者法法案》，，定義““關(guān)鍵基基礎(chǔ)實施施”的含含義；2003年12月發(fā)布布《國土土安全總總統(tǒng)令/HSPD-7》確定定了17個關(guān)鍵鍵基礎(chǔ)設(shè)設(shè)施；2008年3月月國土安安全部將將關(guān)鍵制制造業(yè)類類為第18項關(guān)關(guān)鍵基礎(chǔ)礎(chǔ)設(shè)施；；目前美國國關(guān)鍵基基礎(chǔ)設(shè)施施和主要要資源部部門（1）信信息技術(shù)術(shù)；（2）電信信；（3）化學學制品；；（4））商業(yè)設(shè)設(shè)施；（（5）大大壩；（（6）商商用核反反應(yīng)堆、、材料和和廢棄物物；（7）政府府設(shè)施；；（8））交通系系統(tǒng)；（（9）應(yīng)應(yīng)急服務(wù)務(wù)；（10）郵郵政和貨貨運服務(wù)務(wù)；（11）農(nóng)農(nóng)業(yè)和食食品；（（12））飲用水水和廢水水處理系系統(tǒng)；（（13））公共健健康和醫(yī)醫(yī)療；（（14））能源；；（15）銀行行和金融融；（16）國國家紀念念碑和象象征性標標志；（（17））國防工工業(yè)基地地；（18）關(guān)關(guān)鍵制造造業(yè)美國信息息安全保保障組織織機構(gòu)網(wǎng)絡(luò)安全全協(xié)調(diào)官官：負責責領(lǐng)導白白宮“網(wǎng)網(wǎng)絡(luò)安全全辦公室室”，制制定和發(fā)發(fā)布國家家信息安安全政策策首任網(wǎng)絡(luò)絡(luò)安全協(xié)協(xié)調(diào)官霍霍華德··施密特特，被喻喻為“網(wǎng)網(wǎng)絡(luò)沙皇皇”國土安全全部（DHS））、國家家安全局局（NSA）、、國防部部（DOD）、、聯(lián)邦調(diào)調(diào)查局（（FBI）、中中央情況況報局（（CIA）、國國家標準準技術(shù)研研究所（（NIST）等等6個機機構(gòu)具體體執(zhí)行不不同的分分管職責責公私合作作機構(gòu):國家基基礎(chǔ)設(shè)施施顧問委委員會（（NIAC）、、信息共共享和分分析中心心（ISAC））、網(wǎng)絡(luò)絡(luò)安全全全國聯(lián)盟盟（NCSA））等等其他國家家信息安安全保障障體系建建設(shè)動態(tài)態(tài)英國全面緊跟跟美國，，注重信信息安全全標準組組織建設(shè)設(shè)，注重重標準向向海外推推廣，積積極參見見國際信信息安全全標準制制定強化網(wǎng)絡(luò)監(jiān)監(jiān)控，警方方、國家安安全、稅務(wù)務(wù)部門有權(quán)權(quán)監(jiān)控網(wǎng)絡(luò)絡(luò)及電話德國第一個建立立電子政務(wù)務(wù)標準，注注重基線安安全防御法國強化四大安安全目標（（領(lǐng)導通信信、政府通通信、反攻攻擊能力、、信息安全全納入安全全政策范圍圍）俄羅斯注重測評分級管理分析總結(jié)——重點保護護對象關(guān)鍵基礎(chǔ)設(shè)設(shè)施是保障障重點各國之間歷歷史、國情情、文化不不同，具體體的重點保保護對象也也有所差異異，但共同同特點是將將與國家安安全、社會會穩(wěn)定和民民生密切相相關(guān)的關(guān)鍵鍵基礎(chǔ)設(shè)施施作為信息息安全保障障的重點；；《國際關(guān)鍵鍵信息基礎(chǔ)礎(chǔ)設(shè)施保護護手冊（CIIPHandbook）2008/2009》顯顯示，所有有國家最常常被提到的的關(guān)鍵部門門都是現(xiàn)代代化社會的的核心部門門，也是被被破壞后可可能造成極極大規(guī)模災(zāi)災(zāi)害的部門門；其中中銀銀行行和和金金融融被被全全部部24個個接接受受CIIP調(diào)調(diào)查查的的國國家家列列為為國國家家關(guān)關(guān)鍵鍵基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施。。分析析總總結(jié)結(jié)——信信息息安安全全組組織織機機構(gòu)構(gòu)少數(shù)數(shù)國國家家在在中中央央政政府府一一級級設(shè)設(shè)立立機機構(gòu)構(gòu)專專門門負負責責處處理理網(wǎng)網(wǎng)絡(luò)絡(luò)信信息息安安全全問問題題，，如如美美國國；；大大多多數(shù)數(shù)國國家家信信息息安安全全管管理理職職能能由由不不同同政政府府部部門門的的多多個個機機構(gòu)構(gòu)和和單單位位共共同同承承擔擔；；機構(gòu)構(gòu)單單位位的的設(shè)設(shè)立立，，以以及及機機構(gòu)構(gòu)在在信信息息安安全全管管理理中中的的影影響響力力，，受受到到民民防防傳傳統(tǒng)統(tǒng)、、資資源源配配置置、、歷歷史史經(jīng)經(jīng)驗驗以以及及決決策策者者對對信信息息安安全全威威脅脅總總體體認認識識程程度度的的影影響響；；兩種種觀觀念念在在機機構(gòu)構(gòu)設(shè)設(shè)置置問問題題上上具具有有較較大大影影響響力力：：執(zhí)法法機機關(guān)關(guān)強強調(diào)調(diào)信信息息安安全全屬屬于于防防范范敵敵對對勢勢力力入入侵侵及及網(wǎng)網(wǎng)絡(luò)絡(luò)犯犯罪罪的的范范疇疇經(jīng)營營基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施的的部部門門將將調(diào)調(diào)信信息息安安全全屬屬于于技技術(shù)術(shù)問問題題或或經(jīng)經(jīng)濟濟成成本本問問題題在現(xiàn)現(xiàn)實實信信息息安安全全威威脅脅性性質(zhì)質(zhì)的的決決定定下下，，前前一一種種觀觀念念在在大大多多數(shù)數(shù)國國家家成成為為主主流流分析析總總結(jié)結(jié)——基基本本做做法法將信信息息安安全全視視為為國國家家安安全全的的重重要要組組成成部部分分是是主主流流積極極推推動動信信息息安安全全立立法法和和標標準準規(guī)規(guī)范范建建設(shè)設(shè)是是主主流流重視視對對基基礎(chǔ)礎(chǔ)網(wǎng)網(wǎng)絡(luò)絡(luò)和和重重要要信信息息系系統(tǒng)統(tǒng)的的監(jiān)監(jiān)管管和和安安全全測測評評是是主主流流普遍遍重重視視信信息息安安全全事事件件應(yīng)應(yīng)急急響響應(yīng)應(yīng)普遍遍認認識識到到公公共共私私營營合合作作伙伙伴伴關(guān)關(guān)系系的的重重要要性性，，一一方方面面政政府府加加強強管管理理力力度度，，一一方方面面充充分分利利用用社社會會資資源源了解解我我國國信信息息安安全全保保障障發(fā)發(fā)展展階階段段理解解我我國國信信息息安安全全保保障障基基本本思思路路了解我國信息息安全保障目目標了解我國信息息安全保障的的整體規(guī)劃了解我國信息息安全保障體體系的框架我國信息安全全保障總體情情況70我國信息安全全保障工作發(fā)發(fā)展階段以維護國家利利益為根本出出發(fā)點，服從從和服務(wù)于國國家發(fā)展和安安全突出保障重點點，推動自主主創(chuàng)新，為國國家發(fā)展和社社會建設(shè)提供供有力支撐從法律、管理理、技術(shù)和人人才等多方面面入手，采取取多種安全措措施動員和組組織全社會力力量，共同構(gòu)構(gòu)建國家信息息安全保障體體系。我國信息安全全保障基本思思路72我國信息安全全保障目標保障和促進信信息化發(fā)展維護企業(yè)與公公民的合法權(quán)權(quán)益構(gòu)建安全可信信的網(wǎng)絡(luò)信息息傳播秩序保護互聯(lián)網(wǎng)知知識產(chǎn)權(quán)我國信息安全全保障目標73我國信息安全全保障的整體體規(guī)劃戰(zhàn)略規(guī)劃2005年5月，國家信信息化領(lǐng)導小小組頒布《國國家信息安全全戰(zhàn)略報告》》將信息安全分分為基礎(chǔ)信息息網(wǎng)絡(luò)安全、、重要信息系系統(tǒng)安全和信信息內(nèi)容安全全堅持積極防御御、綜合防范范的方針，立立足當前，放放眼長遠提高信息安全全的法律保障障能力加強信息安全全內(nèi)容管理，，提高網(wǎng)絡(luò)輿輿論宣傳的駕駕馭能力積極開展國際際合作，提高高我國在國際際信息安全領(lǐng)領(lǐng)域的影響力力2006年3月中共中央央辦公廳、國國務(wù)院辦公廳廳印發(fā)《2006-2020年國家家信息化戰(zhàn)略略》堅持積極防御御、綜合防范范堅持立足國情情，綜合平衡衡安全成本和和風險，確保保重點信息安全保障障的六項工作作政策規(guī)劃我國信息安全全保障體系我國信息安全全保障體系建立健全國家家信息安全組組織與管理體體制機制，加加強信息安全全工作的組織織保障建立健全信息息安全法律法法規(guī)體系，推推進信息安全全法制建設(shè)建立完善信息息安全標準體體系，加強信信息安全標準準化工作建立信息安全全技術(shù)體系，，實現(xiàn)國家信信息化發(fā)展的的自主可控建設(shè)信息安全全基礎(chǔ)設(shè)施，，提供國家信信息安全保障障能力支撐建立信息安全全人才培養(yǎng)體體系，加快信信息安全學科科建設(shè)和信息息安全人才培培養(yǎng)知識子域：信信息安全標準準化了解信息安全全標準化的意意義了解我國國信息安安全標準準化工作作的實踐踐情況知識子域域：信息息安全應(yīng)應(yīng)急處理理與信息息通報了解信息息安全應(yīng)應(yīng)急處理理與信息息通報的的意義了解我國國信息安安全應(yīng)急急處理與與信息通通報工作作的實踐踐情況知識子域域：信息息安全等等級保護護了解我國國信息安安全等級級保護的的意義了解我國國信息安安全等級級保護工工作的實實踐情況況知識子域域：信息息安全風風險評估估了解信息息安全風風險評估估的意義義了解我國國信息安安全風險險評估工工作的實實踐情況況知識子域域：災(zāi)難難恢復了解災(zāi)難難恢復的的意義了解我國國災(zāi)難恢恢復工作作的實踐踐情況知識子域域：人才才隊伍建建設(shè)了解人才才隊伍建建設(shè)的意意義了解我國國信息安安全人才才隊伍建建設(shè)工作作的實踐踐情況知識域：：我國信信息安全全保障工工作主要要內(nèi)容77意義政府進行行宏觀管管理的重重要依據(jù)據(jù)，同時時也是保保護國家家利益、、促進產(chǎn)產(chǎn)業(yè)發(fā)展展的重要要手段之之一解決信息息安全產(chǎn)產(chǎn)品和系系統(tǒng)在設(shè)設(shè)計、研研發(fā)、生生產(chǎn)、建建設(shè)、使使用、測測評中的的一致性性、可靠靠性、可可控性、、先進性性和符合合性的技技術(shù)規(guī)范范與依據(jù)據(jù)實踐歷程程2002年4月月，全國國信息安安全標準準化技術(shù)術(shù)委員會會（簡稱稱“信安安標委””，委員員會編號號為TC260）正式式成立形成我國國信息安安全標準準體系框框架，并并以該標標準體系系框架作作為指導導我國配配套標準準的研究究制定工工作信息安全全標準化化78信息安全全應(yīng)急處處理與信信息通報報意義有利于提提高基礎(chǔ)礎(chǔ)信息網(wǎng)網(wǎng)絡(luò)與重重要信息息系統(tǒng)的的信息安安全防范范、保障障能力助于加強強國家網(wǎng)網(wǎng)絡(luò)與信信息安全全應(yīng)急處處置工作作實踐歷程程我國的應(yīng)應(yīng)急響應(yīng)應(yīng)機構(gòu)包包括CNCERT/CC、中中國教育育和科研研計算機機網(wǎng)緊急急響應(yīng)組組（CCERT）、國國家計算算機病毒毒應(yīng)急處處理中心心、國家家計算機機網(wǎng)絡(luò)入入侵防范范中心、、國家863計計劃反計計算機入入侵和防防病毒研研究中心心根據(jù)“誰誰主管、、誰負責責；誰經(jīng)經(jīng)營，誰誰負責””的原則則，采用用分類、、分級的的處理方方式，規(guī)規(guī)范網(wǎng)絡(luò)絡(luò)與信息息安全的的預(yù)警和和通報工工作信息安全全等級保保護意義保障信息息安全與與信息化化建設(shè)相相協(xié)調(diào)重點保障障基礎(chǔ)信信息網(wǎng)絡(luò)絡(luò)和關(guān)系系國家安安全、經(jīng)經(jīng)濟命脈脈、社會會穩(wěn)定等等方面的的重要信信息系統(tǒng)統(tǒng)的安全全實踐歷程程制定準則則、規(guī)范范和標準準強化制度度基礎(chǔ)調(diào)研研組織試點點快速推進進信息安全全風險評評估意義信息安全全建設(shè)的的起點和和基礎(chǔ)信息安全全建設(shè)和和管理的的科學方方法倡導適度度安全實踐歷程程2003年，國國信辦成成立課題題組，啟啟動了信信息安全全風險評評估工作作2005年，國國務(wù)院信信息辦組組織開展展了國家家基礎(chǔ)信信息網(wǎng)絡(luò)絡(luò)和重要要信息系系統(tǒng)信息息安全風風險評估估試點工工作2006年起，，每年都都組織風風險評估估?？仃犼犖閷θ珖A(chǔ)礎(chǔ)信息網(wǎng)網(wǎng)絡(luò)和重重要信息息系統(tǒng)進進行檢查查災(zāi)難恢復復意義保持業(yè)務(wù)務(wù)連續(xù)運運作的需需要，長長期可持持續(xù)發(fā)展展的要求求對現(xiàn)有信信息系統(tǒng)統(tǒng)安全保保護的延延伸，是是信息安安全綜合合保障的的最后一一道防線線實踐歷程程2000年的““千年蟲蟲”事件件和2001年年的“9?11”事件件引發(fā)了了國內(nèi)對對信息系系統(tǒng)災(zāi)難難的關(guān)注注2004年9月月，國信信辦印發(fā)發(fā)了《關(guān)關(guān)于做好好重要信信息系統(tǒng)統(tǒng)災(zāi)難備備份工作作的通知知》（信信安通[2004]11號））人才隊伍伍建設(shè)意義人是最核核心、最最活躍的的因素，，信息安安全保障障工作最最終也是是通過人人來落實實的實踐歷程程1999年，高高校設(shè)立立信息安安全本科科專業(yè)信息安全全專業(yè)教教育已經(jīng)經(jīng)形成了了從?？瓶?、本科科、碩士士、博士士到博士士后的正正規(guī)高等等教育人人才培養(yǎng)養(yǎng)體系信息安全全專業(yè)人人才缺口口較大知識域：：信息安安全保障障工作方方法知識子域域：確定定信息安安全需求求了解確定定信息安安全保障障需求的的作用了解確定定信息安安全保障障需求的的方法和和原則84為什么要要提取信信息安全全需求信息安全全需求是是安全方方案設(shè)計計和安全全措施實實施的依依據(jù)準確地提提取安全全需求一方面可可以保證證安全措措施可以以全面覆覆蓋信息息系統(tǒng)面面臨的風風險，是是安全防防護能力力達到業(yè)業(yè)務(wù)目標標和法規(guī)規(guī)政策的的要求的的基礎(chǔ)另一方面面可以提提高安全全措施的的針對性性，避免免不必要要的安全全投入，，防止浪浪費“信息系統(tǒng)統(tǒng)安全保保障需求求描述””風險評估估確定信息息系統(tǒng)安安全保障障具體需需求如何制定定信息安安全保障障需求86法規(guī)符合合性業(yè)務(wù)需求求安全需求求的制定定流程$VISIOCORPORATION目標映射至要求安全策略系統(tǒng)現(xiàn)狀安全目標抵抗支持客戶審閱安全威脅系統(tǒng)環(huán)境

風險，策略,假設(shè)技術(shù)要求管理要求工程要求符合性聲明系統(tǒng)安全保障級別系統(tǒng)描述標準化的的安全保保障需求求文檔-ISPP信息系統(tǒng)統(tǒng)安全保保障的具具體需求求由信息系統(tǒng)統(tǒng)保護輪輪廓(ISPP)確定信息系統(tǒng)統(tǒng)保護輪輪廓（ISPP）是根根據(jù)組織織機構(gòu)使使命和所所處的運運行環(huán)境境，從組組織機構(gòu)構(gòu)的策略略和風險險的實際際情況出出發(fā)，對對具體信信息系統(tǒng)統(tǒng)安全保保障需求求和能力力進行具具體描述述。表達達一一類類產(chǎn)產(chǎn)品品或或系系統(tǒng)統(tǒng)的的安安全全目目的的和和要要求求。。ISPP是是從從信信息息系系統(tǒng)統(tǒng)的的所有有者者（（用用戶戶））的的角度度規(guī)規(guī)范范化化、、結(jié)結(jié)構(gòu)構(gòu)化化的的描描述述信信息息系系統(tǒng)統(tǒng)安安全全保保障障需需求求。。ISPP規(guī)范范化化保保障障需需求求ISPP引引言言信息息系系統(tǒng)統(tǒng)描描述述信息息系系統(tǒng)統(tǒng)安安全全環(huán)環(huán)境境安全全保保障障目目的的安全全保保障障要要求求ISPP應(yīng)應(yīng)用用注注解解符合合性性聲聲明明規(guī)范范化化、、結(jié)結(jié)構(gòu)構(gòu)化化信信息息系系統(tǒng)統(tǒng)安安全全保保障障具具體體需需求求知識識域域：：信信息息安安全全保保障障工工作作方方法法知識識子子域域：：設(shè)設(shè)計計并并實實施施信信息息安安全全方方案案了解解信信息息安安全全方方案案的的作作用用和和主主要要內(nèi)內(nèi)容容了解解制制定定信信息息安安全全方方案案的的主主要要原原則則了解解信信息息安安全全方方案案實實施施的的主主要要原原則則信息息安安全全保保障障解解決決方方案案制制定定的的原原則則以風風險險評評估估和和法法規(guī)規(guī)要要求求得得出出的的安安全全需需求求為為依依據(jù)據(jù)考慮慮系系統(tǒng)統(tǒng)的的業(yè)業(yè)務(wù)務(wù)功功能能和和價價值值考慮慮系系統(tǒng)統(tǒng)風風險險哪哪些些是是必必須須處處置置的的，，哪哪些些是是可可接接受受的的貼合合實實際際具具有有可可實實施施性性可接接受受的的成成本本合理理的的進進度度技術(shù)術(shù)可可實實現(xiàn)現(xiàn)性性組織織管管理理和和文文化化的的可可接接受受性性信息息系系統(tǒng)統(tǒng)安安全全目目標標（（ISST））是是根根據(jù)據(jù)信信息息系系統(tǒng)統(tǒng)保保護護輪輪廓廓（（ISPP））編編制制的的信信息息系系統(tǒng)統(tǒng)安安全全保保障障方方案案。。某一一特特定定產(chǎn)產(chǎn)品品或或系系統(tǒng)統(tǒng)的的安安全全需需求求。。ISST從從信信息息系系統(tǒng)統(tǒng)安安全全保保障障的的建設(shè)設(shè)方方（（廠廠商商））的的角度度制制定定的的信信息息系系統(tǒng)統(tǒng)安安全全保保障障方方案案。。信息息系系統(tǒng)統(tǒng)安安全全目目標標（（ISST）規(guī)范范化化、、結(jié)結(jié)構(gòu)構(gòu)化化信信息息系系統(tǒng)統(tǒng)安安全全保保障障方方案案92ISST的的結(jié)結(jié)構(gòu)構(gòu)和和內(nèi)內(nèi)容容ISST引引言言信息息系系統(tǒng)統(tǒng)描描述述信息息系系統(tǒng)統(tǒng)安安全全環(huán)環(huán)境境安全全保保障障目目的的安全全保保障障要要求求信息息系系統(tǒng)統(tǒng)概概要要規(guī)規(guī)范范ISPP聲聲明明符合合性性聲聲明明9394知識識域域：：信信息息安安全全保保障障工工作作方方法法94知識識子子域域：：信信息息安安全全測測評評了解解信信息息安安全全測測評評的的重重要要性性了解解國國內(nèi)內(nèi)外外信信息息安安全全測測評評概概況況了解解信信息息產(chǎn)產(chǎn)品品安安全全測測評評方方法法了解解信信息息系系統(tǒng)統(tǒng)安安全全測測評評方方法法了解解服服務(wù)務(wù)商商資資質(zhì)質(zhì)測測評評方方法法了解信息息安全人人員資質(zhì)質(zhì)測評方方法94信息安全全測評信息安全全測評依據(jù)相關(guān)關(guān)標準，，從安全全技術(shù)、、功能、、機制等等角度對對信息技技術(shù)產(chǎn)品品、信息息系統(tǒng)、、服務(wù)提提供商以以及人員員進行測測試和評評估測評對象象信息產(chǎn)品品安全測測評信息系統(tǒng)統(tǒng)安全測測評服務(wù)商資資質(zhì)測評評信息安全全人員資資質(zhì)測評評測評機構(gòu)構(gòu)對產(chǎn)品品的安全全性做出出的獨立立評價目的為產(chǎn)品認認證提供供證據(jù)，，增強用用戶對已已評估產(chǎn)產(chǎn)品安全全的信任任，向消消費者提提供信息息技術(shù)安安全產(chǎn)品品的采購購依據(jù)，，推動信信息技術(shù)術(shù)安全產(chǎn)產(chǎn)業(yè)的發(fā)發(fā)展、提提高信息息技術(shù)安安全科研研和生產(chǎn)產(chǎn)水平。。信息產(chǎn)品品安全測測評依據(jù)據(jù)的標準準是：CC信息安全全產(chǎn)品測測評96在信息系系統(tǒng)的生生命周期期內(nèi)，根根據(jù)組織織機構(gòu)的的要求在在信息系系統(tǒng)的安全技術(shù)術(shù)、安全全管理和和安全工工程領(lǐng)域內(nèi)對對信息系系統(tǒng)的安安全技術(shù)術(shù)控制措措施和技技術(shù)架構(gòu)構(gòu)能力、、安全管管理控制制和管理理能力以以及安全全工程實實施控制制措施和和工程實實施能力力進行評評估綜合合最終得出出信息系系統(tǒng)在其其運行環(huán)環(huán)境中安全保障障措施滿滿足其安安全保障障要求的的符合性性，以及信息系統(tǒng)統(tǒng)安全保保障能力力的評估信息系統(tǒng)統(tǒng)安全保保障評估估的內(nèi)容容97信息系統(tǒng)統(tǒng)安全測測評標準準信息系統(tǒng)統(tǒng)安全測測評標準準是GB/T20274《《信息系系統(tǒng)安全全保障評評估框架架》，它它為信息息系統(tǒng)安安全測評評提供了了思路框框架和操操作規(guī)范范98保障要素素生命周期期信息特征征98信息系統(tǒng)統(tǒng)的安全全保障能能力成熟熟度級管理能力力成熟度度等級（（MCML）：：MCML1、MCML2、MCML3、MCML4和MCML5工程能力力成熟度度等級（（PCML）：：PCML1、PCML2、PCML3、PCML4和PCML5技術(shù)體系系架構(gòu)成成熟度級級別（TCML）：：TCML1、TCML2、TCML3、TCML4、TCML5信息安全全服務(wù)資資質(zhì)評估估信息安全全服務(wù)資資質(zhì)測評評是對信信息安全全服務(wù)商商的技術(shù)術(shù)、資源源、管理理等方面面的能力力和穩(wěn)定定性、可可靠性進進行評估估目前中國國信息安安全測評評中心開開展的信信息安全全服務(wù)資資質(zhì)評估估包括3個類別別信息安全全工程類類信息安全全開發(fā)類類信息系統(tǒng)統(tǒng)災(zāi)難恢恢復類100信息安全全服務(wù)資資質(zhì)評估估主要內(nèi)內(nèi)容基本資格格獨立實體體——本本身合法法遵守國家家有關(guān)法法規(guī)———行為合合法基本能力力組織機構(gòu)構(gòu)外部協(xié)作作人員素質(zhì)質(zhì)資產(chǎn)規(guī)模模設(shè)施環(huán)境境業(yè)績101101信息安全全服務(wù)資資質(zhì)評估估主要內(nèi)內(nèi)容安全工程程過程能能力級別別是評定定信息系系統(tǒng)安全全服務(wù)組組織資質(zhì)質(zhì)的主要要依據(jù)，，標志著著服務(wù)組組織提供供給客戶戶的安全全服務(wù)專專業(yè)水平平和質(zhì)量量保證程程度信息系統(tǒng)統(tǒng)工程的的過程能能力級別別按成熟熟性排序序，表示示依次增增加的組組織能力力?！缎判畔⑾到y(tǒng)統(tǒng)安全服服務(wù)資質(zhì)質(zhì)評估準準則》將將信息系系統(tǒng)安全全服務(wù)組組織的工工程能力力分為五五個級別別：一級：基基本執(zhí)行行級二級：計計劃跟蹤蹤級三級：充充分定義義級四級：量量化控制制級五級：連連續(xù)改進進級信息安全全服務(wù)資資質(zhì)評估估主要內(nèi)內(nèi)容項目和組組織過程程能力包包括：1、質(zhì)量量保證；；2、管理理配置；；3、管理理項目風風險；4、監(jiān)控控技術(shù)活活動；5、規(guī)劃劃技術(shù)活活動；6、管理理系統(tǒng)工工程支持持環(huán)境；；7、提供供不斷