CISP培訓(xùn)課件01信息安全保障

信息安全保障版本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1講師姓名：課程內(nèi)容信息安全保障基礎(chǔ)知識體知識域信息安全保障背景信息安全保障概念與模型知識子域信息安全內(nèi)涵與外延信息安全問題根源信息安全保障信息技術(shù)與信息安全發(fā)展階段信息安全保障相關(guān)模型信息系統(tǒng)安全保障概念與模型信息系統(tǒng)安全保障信息系統(tǒng)安全保障模型知識域：信息安全保障背景知識子域：信息安全內(nèi)涵和外延理解信息安全基本概念，理解信息安全基本屬性：保密性、完整性和可用性理解信息安全的特征與范疇知識子域：信息安全問題根源理解信息安全問題產(chǎn)生的內(nèi)因是信息系統(tǒng)自身存在脆弱性理解信息安全問題產(chǎn)生的外因是信息系統(tǒng)面臨著眾多威脅3信息與信息安全信息:數(shù)據(jù)/信息流信息安全保密性完整性可用性信息的以上三個基本安全屬性習(xí)慣上簡稱為CIA（Confidentiality-Integrity-Availability）。4信息安全特征信息安全是系統(tǒng)的安全信息安全是動態(tài)的安全信息安全是無邊界的安全信息安全是非傳統(tǒng)的安全信息安全的范疇信息技術(shù)問題——技術(shù)系統(tǒng)的安全問題組織管理問題——人+技術(shù)系統(tǒng)+組織內(nèi)部環(huán)境社會問題——法制、輿論國家安全問題——信息戰(zhàn)、虛擬空間信息安全的特征與范疇5信息安全問題產(chǎn)生根源因為有病毒嗎？因為有黑客嗎？因為有漏洞嗎？這些都是原因，但沒有說到根源6內(nèi)因：信息系統(tǒng)自身存在脆弱性過程復(fù)雜結(jié)構(gòu)復(fù)雜應(yīng)用復(fù)雜

外因：威脅與破壞人為和環(huán)境信息安全問題產(chǎn)生根源7系統(tǒng)理論：在程序與數(shù)據(jù)上存在“不確定性”設(shè)計：從設(shè)計的角度看，在設(shè)計時考慮的優(yōu)先級中安全性相對于易用性、代碼大小、執(zhí)行程度等因素被放在次要的位置實現(xiàn)：由于人性的弱點和程序設(shè)計方法學(xué)的不完善，軟件總是存在BUG。使用、運行：人為的無意失誤、人為的惡意攻擊如：無意的文件刪除、修改主動攻擊：利用病毒、入侵工具實施的操作被動攻擊：監(jiān)聽、截包維護 技術(shù)體系中安全設(shè)計和實現(xiàn)的不完整。 技術(shù)管理或組織管理的不完善，給威脅提供了機會。內(nèi)在復(fù)雜-過程8工作站中存在信息數(shù)據(jù)員工移動介質(zhì)網(wǎng)絡(luò)中其他系統(tǒng)網(wǎng)絡(luò)中其他資源訪問Internet訪問其他局域網(wǎng)到Internet的其他路由電話和調(diào)制解調(diào)器開放的網(wǎng)絡(luò)端口遠(yuǎn)程用戶廠商和合同方的訪問訪問外部資源公共信息服務(wù)運行維護環(huán)境內(nèi)在復(fù)雜-結(jié)構(gòu)9內(nèi)在復(fù)雜-使用10外因—人為的威脅11外因—自然威脅12知識域：信息安全保障背景知識子域：信息技術(shù)與信息安全發(fā)展階段了解通信、計算機、網(wǎng)絡(luò)和網(wǎng)絡(luò)化社會等階段信息技術(shù)的發(fā)展概況了解信息技術(shù)和網(wǎng)絡(luò)對經(jīng)濟發(fā)展、社會穩(wěn)定及國家安全等方面的影響了解通信安全、計算機安全、信息系統(tǒng)安全和信息安全保障等階段信息安全的發(fā)展概況，了解各個階段信息安全面臨的主要威脅和防護措施13網(wǎng)絡(luò)化社會網(wǎng)絡(luò)計算機通信（電報\電話）信息安全發(fā)展階段COMSEC通信安全COMPUSEC計算機安全INFOSEC信息系統(tǒng)安全IA信息安全保障CS/IA網(wǎng)絡(luò)空間安全/信息安全保障14解決傳輸數(shù)據(jù)安全斯巴達(dá)人的智慧：公元前500年，斯巴達(dá)人把一條羊皮螺旋形地纏在一個圓柱形棒上寫數(shù)據(jù)現(xiàn)代人的智慧：20世紀(jì)，40年代-70年代通過密碼技術(shù)解決通信保密，內(nèi)容篡改15通信安全COMSEC：CommunicationSecurity20世紀(jì)，40年代-70年代核心思想：通過密碼技術(shù)解決通信保密，保證數(shù)據(jù)的保密性和完整性主要關(guān)注傳輸過程中的數(shù)據(jù)保護安全威脅：搭線竊聽、密碼學(xué)分析安全措施：加密16計算機安全COMPUSEC：ComputerSecurity20世紀(jì)，70-90年代核心思想：預(yù)防、檢測和減小計算機系統(tǒng)（包括軟件和硬件）用戶（授權(quán)和未授權(quán)用戶）執(zhí)行的未授權(quán)活動所造成的后果。主要關(guān)注于數(shù)據(jù)處理和存儲時的數(shù)據(jù)保護。安全威脅：非法訪問、惡意代碼、脆弱口令等安全措施：通過操作系統(tǒng)的訪問控制技術(shù)來防止非授權(quán)用戶的訪問17信息系統(tǒng)安全INFOSEC：InformationSecurity20世紀(jì)，90年代后核心思想：綜合通信安全和計算機安全安全重點在于保護比“數(shù)據(jù)”更精煉的“信息”，確保信息在存儲、處理和傳輸過程中免受偶然或惡意的非法泄密、轉(zhuǎn)移或破壞。安全威脅：網(wǎng)絡(luò)入侵、病毒破壞、信息對抗等安全措施：防火墻、防病毒、漏洞掃描、入侵檢測、PKI、VPN等18網(wǎng)絡(luò)化社會新世紀(jì)信息技術(shù)應(yīng)用于人類社會的方方面面軍事經(jīng)濟文化……現(xiàn)在人們意識到：技術(shù)很重要，但技術(shù)不是一切；信息系統(tǒng)很重要，只有服務(wù)于組織業(yè)務(wù)使命才有意義19信息安全保障IA：InformationAssurance今天，將來……核心思想：信息安全從技術(shù)擴展到管理，從靜態(tài)擴展到動態(tài)通過技術(shù)、管理和工程等措施的綜合融合，形成對信息、信息系統(tǒng)乃至業(yè)務(wù)使命的保障。安全威脅：黑客、恐怖分子、信息戰(zhàn)、自然災(zāi)難、電力中斷等安全措施：技術(shù)安全保障體系、安全管理體系、人員意識/培訓(xùn)/教育、認(rèn)證和認(rèn)可20CS/IA：CyberSecurity/InformationAssurance2009年，在美國帶動下，世界各國信息安全政策、技術(shù)和實踐等發(fā)生重大變革……共識：網(wǎng)絡(luò)安全問題上升到國家安全的重要程度核心思想：從傳統(tǒng)防御的信息保障（IA），發(fā)展到“威懾”為主的防御、攻擊和情報三位一體的信息保障/網(wǎng)絡(luò)安全（IA/CS）的網(wǎng)空安全網(wǎng)絡(luò)防御-Defense（運維）網(wǎng)絡(luò)攻擊-Offense（威懾）網(wǎng)絡(luò)利用-Exploitation（情報）21信息安全保障發(fā)展歷史第一次定義：在1996年美國國防部DoD指令5-3600.1（DoDD5-3600.1）中，美國信息安全界第一次給出了信息安全保障的標(biāo)準(zhǔn)化定義現(xiàn)在：信息安全保障的概念已逐漸被全世界信息安全領(lǐng)域所接受。中國：中辦發(fā)27號文《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》，是信息安全保障工作的綱領(lǐng)性文件信息安全保障發(fā)展歷史從通信安全（COMSEC）-〉計算機安全（COMPUSEC）-〉信息系統(tǒng)安全（INFOSEC）-〉信息安全保障（IA）-〉網(wǎng)絡(luò)空間安全/信息安全保障（CS/IA）。22網(wǎng)絡(luò)空間安全/信息安全保障2008年1月，布什政府發(fā)布了國家網(wǎng)絡(luò)安全綜合倡議（CNCI），號稱網(wǎng)絡(luò)安全“曼哈頓項目”，提出威懾概念，其中包括愛因斯坦計劃、情報對抗、供應(yīng)鏈安全、超越未來（“Leap-Ahead”）技術(shù)戰(zhàn)略2009年5月29日發(fā)布了《網(wǎng)絡(luò)空間政策評估：確保信息和通訊系統(tǒng)的可靠性和韌性》報告2009年6月25日，英國推出了首份“網(wǎng)絡(luò)安全戰(zhàn)略”，并將其作為同時推出的新版《國家安全戰(zhàn)略》的核心內(nèi)容2009年6月，美國成立網(wǎng)絡(luò)戰(zhàn)司令部12月22日，奧巴馬任命網(wǎng)絡(luò)安全專家擔(dān)任“網(wǎng)絡(luò)沙皇”2011年5月，美國發(fā)布《網(wǎng)絡(luò)空間國際戰(zhàn)略》，明確了針對網(wǎng)絡(luò)攻擊的指導(dǎo)原則…23信息安全保障是一種立體保障24知識域：信息安全保障概念與模型知識子域：信息安全保障理解信息安全保障的概念理解信息安全保障與信息安全、信息系統(tǒng)安全的區(qū)別25信息安全保障定義防止信息泄露、修改和破壞檢測入侵行為，計劃和部署針對入侵行為的防御措施采用安全措施和容錯機制在遭受攻擊的情況下保證機密性、私密性、完整性、抗抵賴性、真實性、可用性和可靠性修復(fù)信息和信息系統(tǒng)所遭受的破壞26與信息安全、信息系統(tǒng)安全的區(qū)別信息安全保障的概念更加廣泛。信息安全的重點是保護和防御，而安全保障的重點是保護、檢測和響應(yīng)綜合信息安全不太關(guān)注檢測和響應(yīng)，但是信息安全保障非常關(guān)注這兩點攻擊后的修復(fù)不在傳統(tǒng)信息安全概念的范圍之內(nèi)，但是它是信息安全保障的重要組成部分。信息安全的目的是為了防止攻擊的發(fā)生，而信息安全保障的目的是為了保證信息系統(tǒng)始終能保證維持特定水平的可用性、完整性、真實性、機密性和抗抵賴性。27知識域：信息安全保障概念與模型知識子域：信息安全保障相關(guān)模型理解P2DR模型的基本原理：策略、防護、檢測及響應(yīng)，以及P2DR公式所表達(dá)的安全目標(biāo)理解P2DR數(shù)學(xué)公式所表達(dá)的安全目標(biāo)理解IATF的深度防御思想，及其將信息系統(tǒng)在技術(shù)層面的防御劃分為本地計算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和支撐性基礎(chǔ)設(shè)施四個方面，理解每一方面的安全需求及基本實現(xiàn)方法28什么是信息安全模型通過建模的思想來解決網(wǎng)絡(luò)安全管理問題，有效抵御外部攻擊，保障網(wǎng)絡(luò)安全安全模型用于精確和形式地描述信息系統(tǒng)的安全特征，解釋系統(tǒng)安全相關(guān)行為。為什么需要安全模型能準(zhǔn)確地描述安全的重要方面與系統(tǒng)行為的關(guān)系。能提高對成功實現(xiàn)關(guān)鍵安全需求的理解層次。從中開發(fā)出一套安全性評估準(zhǔn)則，和關(guān)鍵的描述變量安全模型的概念29思想：承認(rèn)漏洞，正視威脅，適度防護，加強檢測，落實反應(yīng)，建立威懾出發(fā)點：任何防護措施都是基于時間的，是可以被攻破的核心與本質(zhì)：給出攻防時間表固定防守、測試攻擊時間；固定攻擊手法，測試防守時間缺點：難于適應(yīng)網(wǎng)絡(luò)安全環(huán)境的快速變化

基于時間的PDR模型30系統(tǒng)審計、分析–入侵檢測–定時響應(yīng)（警告、拒絕服務(wù)）系統(tǒng)的第一道防線防止遠(yuǎn)程攻擊文件、數(shù)據(jù)安全應(yīng)用服務(wù)層安全系統(tǒng)服務(wù)層安全系統(tǒng)內(nèi)核安全物理安全系統(tǒng)的第二道防線防止內(nèi)部權(quán)限提升系統(tǒng)備份安全措施文件、數(shù)據(jù)安全應(yīng)用服務(wù)層安全系統(tǒng)服務(wù)層安全系統(tǒng)內(nèi)核安全物理安全漏洞分析檢測漏洞修補protectionReactionDetection攻擊者基于PDR的安全架構(gòu)31PDR模型強調(diào)落實反應(yīng)P2DR模型則更強調(diào)控制和對抗，即強調(diào)系統(tǒng)安全的動態(tài)性以安全檢測、漏洞監(jiān)測和自適應(yīng)填充“安全間隙”為循環(huán)來提高網(wǎng)絡(luò)安全特別考慮人為的管理因素P2DR模型-分布式動態(tài)主動模型32P2DR：Policy策略模型的核心，所有的防護、檢測、響應(yīng)都是依據(jù)安全策略實施的。策略體系的建立包括安全策略的制定、評估與執(zhí)行等。策略包括：訪問控制策略加密通信策略身份認(rèn)證策略備份恢復(fù)策略……P2DR的基本原理33P2DR：Protection

防護通過傳統(tǒng)的靜態(tài)安全技術(shù)和方法提高網(wǎng)絡(luò)的防護能力，主要包括：訪問控制技術(shù)ACLFirewall信息加密技術(shù)身份認(rèn)證技術(shù)–一次性口令–X.509……P2DR的理解34P2DR：Detection

檢測利用檢測工具，監(jiān)視、分析、審計網(wǎng)絡(luò)活動，了解判斷網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)。使安全防護從被動防護演進到主動防御，是整個模型動態(tài)性的體現(xiàn)。主要方法包括：實時監(jiān)控檢測報警P2DR的理解35P2DR：Response

反應(yīng)在檢測到安全漏洞和安全事件時，通過及時的響應(yīng)措施將網(wǎng)絡(luò)系統(tǒng)的安全性調(diào)整到風(fēng)險最低的狀態(tài)。評估系統(tǒng)受到的危害與損失，恢復(fù)系統(tǒng)功能和數(shù)據(jù)，啟動備份系統(tǒng)等。主要方法包括：關(guān)閉服務(wù)跟蹤反擊消除影響P2DR的理解36P2DR模型中的數(shù)學(xué)法則假設(shè)S系統(tǒng)的防護、檢測和反應(yīng)的時間關(guān)系如下：Pt=防護時間(有效防御攻擊的時間)，Dt=檢測時間（發(fā)起攻擊到檢測到的時間），Rt=反應(yīng)時間（檢測到攻擊到處理完成時間），Et=暴露時間，則該系統(tǒng)防護、檢測和反應(yīng)的時間關(guān)系如下：如果Pt＞Dt＋Rt，那么S是安全的；如果Pt＜Dt＋Rt，那么Et＝(Dt＋Rt)－Pt。

37P2DR模型的安全目標(biāo)依據(jù)P2DR模型構(gòu)筑的網(wǎng)絡(luò)安全體系在統(tǒng)一安全策略的控制下在綜合運用防護工具基礎(chǔ)上利用檢測工具檢測評估網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)通過及時的響應(yīng)措施將網(wǎng)絡(luò)系統(tǒng)調(diào)整到風(fēng)險最低的安全狀態(tài)38再看P2DR安全管理的持續(xù)性、安全策略的動態(tài)性：以實時監(jiān)視網(wǎng)絡(luò)活動、發(fā)現(xiàn)威脅和弱點來調(diào)整和填補網(wǎng)絡(luò)漏洞。可測即可控通過經(jīng)常對網(wǎng)絡(luò)系統(tǒng)的評估把握系統(tǒng)風(fēng)險點，及時弱化甚至堵塞系統(tǒng)的安全漏洞。39IATF-深度防御保障模型信息保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）美國國家安全局（NSA）制定的，為保護美國政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南。IATF的代表理論為“深度防御（Defense-in-Depth）”。在關(guān)于實現(xiàn)信息保障目標(biāo)的過程和方法上，IATF論述了系統(tǒng)工程、系統(tǒng)采購、風(fēng)險管理、認(rèn)證和鑒定以及生命周期支持等過程，指出了一條較為清晰的建設(shè)信息保障體系的路子。40何謂“深度防御”？IATF強調(diào)人、技術(shù)、操作這三個核心要素，從多種不同的角度對信息系統(tǒng)進行防護。IATF關(guān)注四個信息安全保障領(lǐng)域（三保護一支撐）本地計算環(huán)境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施在此基礎(chǔ)上，對信息信息系統(tǒng)就可以做到多層防護，實現(xiàn)組織的任務(wù)/業(yè)務(wù)運作。這樣的防護被稱為“深度防護戰(zhàn)略（Defense-in-DepthStrategy）”。41技術(shù)操作深度防御戰(zhàn)略人

人通過技術(shù)進行操作計算環(huán)境區(qū)域邊界網(wǎng)絡(luò)基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施密鑰管理檢測響應(yīng)成功的組織功能信息安全保障（IA）IATF框架42人（People）：信息保障體系的核心，是第一位的要素，同時也是最脆弱的。基于這樣的認(rèn)識，安全管理在安全保障體系中愈顯重要，包括：意識培訓(xùn)、組織管理、技術(shù)管理、操作管理……技術(shù)（Technology）：技術(shù)是實現(xiàn)信息保障的重要手段。動態(tài)的技術(shù)體系：防護、檢測、響應(yīng)、恢復(fù)操作（Operation）：也叫運行，構(gòu)成安全保障的主動防御體系。是將各方面技術(shù)緊密結(jié)合在一起的主動的過程，包括風(fēng)險評估、安全監(jiān)控、安全審計跟蹤告警、入侵檢測、響應(yīng)恢復(fù)……IATF的三要素43IATF三要素人員技術(shù)操作培訓(xùn)深度防御技術(shù)框架域分析意識安全標(biāo)準(zhǔn)監(jiān)視物理安全獲得IA/TA入侵檢測人員安全風(fēng)險分析警告系統(tǒng)安全管理證書與認(rèn)證恢復(fù)44IATF的安全需求劃分IATF定義了四個主要的技術(shù)焦點領(lǐng)域：本地計算環(huán)境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施。這四個領(lǐng)域構(gòu)成了完整的信息保障體系所涉及的范圍。在每個領(lǐng)域范圍內(nèi)，IATF都描述了其特有的安全需求和相應(yīng)的可供選擇的技術(shù)措施。

邊界區(qū)域

計算環(huán)境

網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施45目標(biāo)：使用信息保障技術(shù)確保數(shù)據(jù)在進人、離開或駐留客戶機和服務(wù)器時具有保密性、完整性和可用性。方法：使用安全的操作系統(tǒng),使用安全的應(yīng)用程序安全消息傳遞、安全瀏覽、文件保護等主機入侵檢測防病毒系統(tǒng)主機脆弱性掃描文件完整性保護保護計算環(huán)境46保護區(qū)域邊界什么是邊界？“域”指由單一授權(quán)通過專用或物理安全措施所控制的環(huán)境，包括物理環(huán)境和邏輯環(huán)境。區(qū)域的網(wǎng)絡(luò)設(shè)備與其它網(wǎng)絡(luò)設(shè)備的接入點被稱為“區(qū)域邊界”。目標(biāo)：對進出某區(qū)域（物理區(qū)域或邏輯區(qū)域）的數(shù)據(jù)流進行有效的控制與監(jiān)視。方法：病毒、惡意代碼防御防火墻人侵檢測邊界護衛(wèi)遠(yuǎn)程訪問多級別安全47保護網(wǎng)絡(luò)和基礎(chǔ)設(shè)施目標(biāo)：網(wǎng)絡(luò)和支持它的基礎(chǔ)設(shè)施必須防止數(shù)據(jù)非法泄露防止受到拒絕服務(wù)的攻擊防止受到保護的信息在發(fā)送過程中的時延、誤傳或未發(fā)送。方法：骨干網(wǎng)可用性無線網(wǎng)絡(luò)安全框架系統(tǒng)高度互聯(lián)和虛擬專用網(wǎng)。48支撐性基礎(chǔ)設(shè)施建設(shè)目標(biāo)：為安全保障服務(wù)提供一套相互關(guān)聯(lián)的活動與基礎(chǔ)設(shè)施密鑰管理功能檢測和響應(yīng)功能方法：密鑰管理優(yōu)先權(quán)管理證書管理入侵檢測、審計、配置信息調(diào)查、收集49遠(yuǎn)程用戶遠(yuǎn)程用戶遠(yuǎn)程用戶遠(yuǎn)程用戶

邊界保護（隔離器、防火墻等）遠(yuǎn)程訪問保護（VPN，加密等）邊界電信運營商公共電話網(wǎng)公共移動網(wǎng)連接至其他邊界遠(yuǎn)程用戶專網(wǎng)密級網(wǎng)絡(luò)PBX公網(wǎng)(Internet)Internet服務(wù)供應(yīng)商電信運營商本地計算環(huán)境網(wǎng)絡(luò)基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施（PKI公鑰基礎(chǔ)設(shè)施、檢測和響應(yīng)基礎(chǔ)設(shè)施）帶密級網(wǎng)絡(luò)的邊界專用網(wǎng)絡(luò)的邊界公共網(wǎng)絡(luò)的邊界IATF框架50知識域：信息系統(tǒng)安全保障概念與模型知識子域：信息系統(tǒng)安全保障了解信息系統(tǒng)的概念及其包含的基本資源理解信息系統(tǒng)安全保障的概念，以及風(fēng)險、業(yè)務(wù)使命等信息系統(tǒng)安全保障相關(guān)概念及其之間的關(guān)系知識子域：信息系統(tǒng)安全保障模型理解信息系統(tǒng)安全保障模型中生命周期、保障要素和安全特征的含義和內(nèi)容理解風(fēng)險和策略是信息系統(tǒng)安全保障的核心問題理解業(yè)務(wù)使命實現(xiàn)是信息安全保障的根本目的51信息系統(tǒng)52信息系統(tǒng)安全保障信息系統(tǒng)安全保障是在信息系統(tǒng)的整個生命周期中，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風(fēng)險到可接受的程度，從而保障系統(tǒng)實現(xiàn)組織機構(gòu)的使命。53

措施

信息系統(tǒng)保障風(fēng)險脆弱性威脅使命能力策略

模型信息系統(tǒng)安全保障相關(guān)概念和關(guān)系54信息系統(tǒng)安全保障模型國家標(biāo)準(zhǔn)：《GB/T20274.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》55信息系統(tǒng)安全保障安全特征確保信息的安全特征確保信息的保密性、完整性和可用性特征，從而實現(xiàn)和貫徹組織機構(gòu)策略并將風(fēng)險降低到可接受的程度保護資產(chǎn)達(dá)到保護組織機構(gòu)信息和信息系統(tǒng)資產(chǎn)最終保障業(yè)務(wù)使命從而保障組織機構(gòu)實現(xiàn)其業(yè)務(wù)使命的最終目的56信息系統(tǒng)安全保障生命周期57信息系統(tǒng)安全保障要素從技術(shù)、工程、管理和人員四個領(lǐng)域進行綜合保障技術(shù)：密碼、訪問控制、網(wǎng)絡(luò)安全、漏洞及惡意代碼防護等工程：信息系統(tǒng)安全工程、安全工程能力成熟度模型管理：安全管理體系、風(fēng)險管理、應(yīng)急響應(yīng)與災(zāi)難恢復(fù)等人員：所有員工、信息系統(tǒng)崗位、安全專業(yè)人員58課程內(nèi)容信息安全保障實踐知識體知識域信息安全保障現(xiàn)狀我國信息安全保障工作主要內(nèi)容知識子域國外信息安全保障現(xiàn)狀信息安全標(biāo)準(zhǔn)化我國信息安全保障現(xiàn)狀信息安全應(yīng)急處理與信息通報信息安全保障工作方法確定信息安全需求信息安全測評信息安全等級保護信息安全風(fēng)險評估災(zāi)難恢復(fù)人才隊伍建設(shè)設(shè)計并實施信息安全方案信息安全監(jiān)測與維護知識子域：國外信息安全保障情況了解發(fā)達(dá)國家信息安全狀況和信息安全保障的主要舉措了解發(fā)達(dá)國家信息安全方面主要動態(tài)知識子域：我國信息安全保障現(xiàn)狀了解我國信息化與信息安全形勢了解我國信息安全保障發(fā)展階段理解我國信息安全保障基本思路了解我國信息安全保障目標(biāo)了解我國信息安全保障的整體規(guī)劃了解我國信息安全保障體系的框架知識域：信息安全保障現(xiàn)狀6060國外信息安全保障體系的最新趨勢戰(zhàn)略：發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評估報告、推進計劃等文件組織：通過設(shè)立網(wǎng)絡(luò)安全協(xié)調(diào)機構(gòu)、設(shè)立協(xié)調(diào)官，強化集中領(lǐng)導(dǎo)和綜合協(xié)調(diào)軍事：陸續(xù)成立網(wǎng)絡(luò)戰(zhàn)司令部，開展大規(guī)模攻防演練，招募網(wǎng)絡(luò)戰(zhàn)精英人才，加快軍事網(wǎng)絡(luò)和通信系統(tǒng)的升級改造，網(wǎng)絡(luò)戰(zhàn)成為熱門話題外交：信息安全問題的國際交流與對話增多，美歐盟友之間網(wǎng)絡(luò)協(xié)同攻防傾向愈加明顯，信息安全成為國際多邊或雙邊談判的實質(zhì)性內(nèi)容科技：各國尋求走突破性跨越式發(fā)展路線推進技術(shù)創(chuàng)新，力求在科技發(fā)展上保持和占據(jù)優(yōu)勢地位關(guān)鍵基礎(chǔ)設(shè)施仍然是信息安全保障的最核心內(nèi)容61美國信息安全保障戰(zhàn)略：

一個輪回三屆政府四個文件網(wǎng)絡(luò)空間國家安全戰(zhàn)略框架98年克林頓政府PDD6300年信息系統(tǒng)保護國家計劃01年布什政府PCIPB03年保護網(wǎng)際空間國家戰(zhàn)略1998年5月，克林頓政府發(fā)布了第63號總統(tǒng)令（PDD63）：《克林頓政府對關(guān)鍵基礎(chǔ)設(shè)施保護的政策》2000年1月，克林頓政府發(fā)布了《信息系統(tǒng)保護國家計劃V1.0》，提出了美國政府在21世紀(jì)之初若干年的網(wǎng)絡(luò)空間安全發(fā)展規(guī)劃。2001年10月16日，布什政府意識到了911之后信息安全的嚴(yán)峻性，發(fā)布了第13231號行政令《信息時代的關(guān)鍵基礎(chǔ)設(shè)施保護》，宣布成立“總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護委員會”，簡稱PCIPB，代表政府全面負(fù)責(zé)國家的網(wǎng)絡(luò)空間安全工作2003年2月，在征求國民意見的基礎(chǔ)上，發(fā)布了《保護網(wǎng)際空間的國家戰(zhàn)略》的正式版本，對原草案版本做了大篇幅的改動，重點突出國家政府層面上的戰(zhàn)略任務(wù)，這是一個非常大的跨越2010年3月2日，奧巴馬政府部分解密了CNCI，包括3個重要目標(biāo)，12個倡議62美國CNCI：網(wǎng)絡(luò)“曼哈頓計劃”2008年1月2日發(fā)布的國家安全總統(tǒng)令54/國土安全總統(tǒng)令23，建立了國家網(wǎng)絡(luò)安全綜合計劃(CNCI)。三道防線建立第一線防御：減少當(dāng)前漏洞和隱患，預(yù)防入侵；全面應(yīng)對各類威脅：增強反間能力，加強供應(yīng)鏈安全來抵御各種威脅；強化未來安全環(huán)境：增強研究、開發(fā)和教育以及投資先進的技術(shù)來構(gòu)建將來的環(huán)境。十二項提議可信互聯(lián)網(wǎng)連接（TIC）、網(wǎng)絡(luò)入侵檢測系統(tǒng)、網(wǎng)絡(luò)入侵防護系統(tǒng)、科技研發(fā)、態(tài)勢感知、網(wǎng)絡(luò)反間、增強涉密安全、加強網(wǎng)絡(luò)教育、“超越未來（LeapAhead）”技術(shù)研發(fā)、網(wǎng)絡(luò)威懾戰(zhàn)略、全球供應(yīng)鏈風(fēng)險管理機制、公私協(xié)作63美國信息安全保障的重點對象關(guān)鍵基礎(chǔ)設(shè)施2001年美國出臺《美國愛國者法案》，定義“關(guān)鍵基礎(chǔ)實施”的含義；2003年12月發(fā)布《國土安全總統(tǒng)令/HSPD-7》確定了17個關(guān)鍵基礎(chǔ)設(shè)施；2008年3月國土安全部將關(guān)鍵制造業(yè)類為第18項關(guān)鍵基礎(chǔ)設(shè)施；目前美國關(guān)鍵基礎(chǔ)設(shè)施和主要資源部門（1）信息技術(shù)；（2）電信；（3）化學(xué)制品；（4）商業(yè)設(shè)施；（5）大壩；（6）商用核反應(yīng)堆、材料和廢棄物；（7）政府設(shè)施；（8）交通系統(tǒng)；（9）應(yīng)急服務(wù)；（10）郵政和貨運服務(wù)；（11）農(nóng)業(yè)和食品；（12）飲用水和廢水處理系統(tǒng)；（13）公共健康和醫(yī)療；（14）能源；（15）銀行和金融；（16）國家紀(jì)念碑和象征性標(biāo)志；（17）國防工業(yè)基地；（18）關(guān)鍵制造業(yè)64美國信息安全保障組織機構(gòu)網(wǎng)絡(luò)安全協(xié)調(diào)官：負(fù)責(zé)領(lǐng)導(dǎo)白宮“網(wǎng)絡(luò)安全辦公室”，制定和發(fā)布國家信息安全政策首任網(wǎng)絡(luò)安全協(xié)調(diào)官霍華德·施密特，被喻為“網(wǎng)絡(luò)沙皇”國土安全部（DHS）、國家安全局（NSA）、國防部（DOD）、聯(lián)邦調(diào)查局（FBI）、中央情況報局（CIA）、國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）等6個機構(gòu)具體執(zhí)行不同的分管職責(zé)公私合作機構(gòu):國家基礎(chǔ)設(shè)施顧問委員會（NIAC）、信息共享和分析中心（ISAC）、網(wǎng)絡(luò)安全全國聯(lián)盟（NCSA）等等65其他國家信息安全保障體系建設(shè)動態(tài)英國全面緊跟美國，注重信息安全標(biāo)準(zhǔn)組織建設(shè)，注重標(biāo)準(zhǔn)向海外推廣，積極參見國際信息安全標(biāo)準(zhǔn)制定強化網(wǎng)絡(luò)監(jiān)控，警方、國家安全、稅務(wù)部門有權(quán)監(jiān)控網(wǎng)絡(luò)及電話德國第一個建立電子政務(wù)標(biāo)準(zhǔn)，注重基線安全防御法國強化四大安全目標(biāo)（領(lǐng)導(dǎo)通信、政府通信、反攻擊能力、信息安全納入安全政策范圍）俄羅斯注重測評分級管理66分析總結(jié)—重點保護對象關(guān)鍵基礎(chǔ)設(shè)施是保障重點各國之間歷史、國情、文化不同，具體的重點保護對象也有所差異，但共同特點是將與國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點；《國際關(guān)鍵信息基礎(chǔ)設(shè)施保護手冊（CIIPHandbook）2008/2009》顯示，所有國家最常被提到的關(guān)鍵部門都是現(xiàn)代化社會的核心部門，也是被破壞后可能造成極大規(guī)模災(zāi)害的部門；其中銀行和金融被全部24個接受CIIP調(diào)查的國家列為國家關(guān)鍵基礎(chǔ)設(shè)施。67分析總結(jié)—信息安全組織機構(gòu)少數(shù)國家在中央政府一級設(shè)立機構(gòu)專門負(fù)責(zé)處理網(wǎng)絡(luò)信息安全問題，如美國；大多數(shù)國家信息安全管理職能由不同政府部門的多個機構(gòu)和單位共同承擔(dān)；機構(gòu)單位的設(shè)立，以及機構(gòu)在信息安全管理中的影響力，受到民防傳統(tǒng)、資源配置、歷史經(jīng)驗以及決策者對信息安全威脅總體認(rèn)識程度的影響；兩種觀念在機構(gòu)設(shè)置問題上具有較大影響力：執(zhí)法機關(guān)強調(diào)信息安全屬于防范敵對勢力入侵及網(wǎng)絡(luò)犯罪的范疇經(jīng)營基礎(chǔ)設(shè)施的部門將調(diào)信息安全屬于技術(shù)問題或經(jīng)濟成本問題在現(xiàn)實信息安全威脅性質(zhì)的決定下，前一種觀念在大多數(shù)國家成為主流68分析總結(jié)—基本做法將信息安全視為國家安全的重要組成部分是主流積極推動信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè)是主流重視對基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的監(jiān)管和安全測評是主流普遍重視信息安全事件應(yīng)急響應(yīng)普遍認(rèn)識到公共私營合作伙伴關(guān)系的重要性，一方面政府加強管理力度，一方面充分利用社會資源69了解我國信息安全保障發(fā)展階段理解我國信息安全保障基本思路了解我國信息安全保障目標(biāo)了解我國信息安全保障的整體規(guī)劃了解我國信息安全保障體系的框架我國信息安全保障總體情況7070我國信息安全保障工作發(fā)展階段階段主要工作2001-2002啟動國家信息化小組重組；網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立2003-2005逐步展開積極推進國家出臺指導(dǎo)政策；召開第一次全國信息安全保障會議；發(fā)布國家信息安全戰(zhàn)略；國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組召開四次會議2006至今深化落實信息安全法律法規(guī)、標(biāo)準(zhǔn)化和人才培養(yǎng)工作取得新成果；信息安全等級保護和風(fēng)險評估取得新進展71以維護國家利益為根本出發(fā)點，服從和服務(wù)于國家發(fā)展和安全突出保障重點，推動自主創(chuàng)新，為國家發(fā)展和社會建設(shè)提供有力支撐從法律、管理、技術(shù)和人才等多方面入手，采取多種安全措施動員和組織全社會力量，共同構(gòu)建國家信息安全保障體系。我國信息安全保障基本思路7272我國信息安全保障目標(biāo)保障和促進信息化發(fā)展維護企業(yè)與公民的合法權(quán)益構(gòu)建安全可信的網(wǎng)絡(luò)信息傳播秩序保護互聯(lián)網(wǎng)知識產(chǎn)權(quán)我國信息安全保障目標(biāo)7373我國信息安全保障的整體規(guī)劃戰(zhàn)略規(guī)劃2005年5月，國家信息化領(lǐng)導(dǎo)小組頒布《國家信息安全戰(zhàn)略報告》將信息安全分為基礎(chǔ)信息網(wǎng)絡(luò)安全、重要信息系統(tǒng)安全和信息內(nèi)容安全堅持積極防御、綜合防范的方針，立足當(dāng)前，放眼長遠(yuǎn)提高信息安全的法律保障能力加強信息安全內(nèi)容管理，提高網(wǎng)絡(luò)輿論宣傳的駕馭能力積極開展國際合作，提高我國在國際信息安全領(lǐng)域的影響力2006年3月中共中央辦公廳、國務(wù)院辦公廳印發(fā)《2006-2020年國家信息化戰(zhàn)略》堅持積極防御、綜合防范堅持立足國情，綜合平衡安全成本和風(fēng)險，確保重點信息安全保障的六項工作政策規(guī)劃74我國信息安全保障體系75我國信息安全保障體系建立健全國家信息安全組織與管理體制機制，加強信息安全工作的組織保障建立健全信息安全法律法規(guī)體系，推進信息安全法制建設(shè)建立完善信息安全標(biāo)準(zhǔn)體系，加強信息安全標(biāo)準(zhǔn)化工作建立信息安全技術(shù)體系，實現(xiàn)國家信息化發(fā)展的自主可控建設(shè)信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐建立信息安全人才培養(yǎng)體系，加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)76知識子域：信息安全標(biāo)準(zhǔn)化了解信息安全標(biāo)準(zhǔn)化的意義了解我國信息安全標(biāo)準(zhǔn)化工作的實踐情況知識子域：信息安全應(yīng)急處理與信息通報了解信息安全應(yīng)急處理與信息通報的意義了解我國信息安全應(yīng)急處理與信息通報工作的實踐情況知識子域：信息安全等級保護了解我國信息安全等級保護的意義了解我國信息安全等級保護工作的實踐情況知識子域：信息安全風(fēng)險評估了解信息安全風(fēng)險評估的意義了解我國信息安全風(fēng)險評估工作的實踐情況知識子域：災(zāi)難恢復(fù)了解災(zāi)難恢復(fù)的意義了解我國災(zāi)難恢復(fù)工作的實踐情況知識子域：人才隊伍建設(shè)了解人才隊伍建設(shè)的意義了解我國信息安全人才隊伍建設(shè)工作的實踐情況知識域：我國信息安全保障工作主要內(nèi)容7777意義政府進行宏觀管理的重要依據(jù)，同時也是保護國家利益、促進產(chǎn)業(yè)發(fā)展的重要手段之一解決信息安全產(chǎn)品和系統(tǒng)在設(shè)計、研發(fā)、生產(chǎn)、建設(shè)、使用、測評中的一致性、可靠性、可控性、先進性和符合性的技術(shù)規(guī)范與依據(jù)實踐歷程2002年4月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（簡稱“信安標(biāo)委”，委員會編號為TC260）正式成立形成我國信息安全標(biāo)準(zhǔn)體系框架，并以該標(biāo)準(zhǔn)體系框架作為指導(dǎo)我國配套標(biāo)準(zhǔn)的研究制定工作信息安全標(biāo)準(zhǔn)化7878信息安全應(yīng)急處理與信息通報意義有利于提高基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)的信息安全防范、保障能力助于加強國家網(wǎng)絡(luò)與信息安全應(yīng)急處置工作實踐歷程我國的應(yīng)急響應(yīng)機構(gòu)包括CNCERT/CC、中國教育和科研計算機網(wǎng)緊急響應(yīng)組（CCERT）、國家計算機