本章概述了信息安全保障的相关内容。“信息安全保障背景”部分介绍了信息技术发展的各个阶段及其对社会产生的影响;“信息安全保障基础”部分讲述了信息安全发展阶段以及信息安全的含义、问题根源及其在社会中的地位和作用;“信息安全保障体系”部分讲解了信息安全保障基本体系框架,并详细阐述了典型的P2DR安全模型和IATF框架的基本原理;“信息安全保障基本实践”部分讲述了国内外实践概况和信息安全保障的基本工作内容
大纲要求
1.信息安全保障的内涵和意义
2.信息安全保障的总体思路和基本实践方法
目标:
1)了解信息技术发展各阶段的影响
2)了解信息安全发展各阶段的特征
3)理解信息安全的含义、问题根源及其所在国家和信息社会中的地位和作用
4)理解信息安全保障体系
5)理解P2DR模型的基本原理及其数学公式的含义
6)理解IATF纵深防御思想及其对信息系统技术4个方面的安全要求划分
7)了解国内外信息安全保障工作概况
8)理解信息安全保障工作的各部分内容及其主要原则
信息安全保障背景
信息技术及其发展阶段
什么是“信息”?
香农认为:信息是用来减少不确定性的东西。
我国信息论专家钟义信把信息定义为:事物运动状态和状态变化的方式。
下面比较分析信息与信息相关且容易混淆的概念:
信息与消息:信息是消息的外壳,消息则是信息的内核
消息与信号:信号是信息的载体,信息则是信号的承载内容
信息与数据:数据是记录信息的一种形式
数据和情报:情报是秘密的专门的一类信息,所有的情报都是信息,但信息并不一定是情报
信息与知识:知识是从信息中抽象出的产物,是信息的特殊子集
他们的关系如图所示
信息技术的定义
笼统的讲,信息技术是能够延伸或拓展人的信息能力的手段和方法
信息技术包括生产和应用两个方面。
信息技术的生产主要体现在信息技术产业,包括计算机软硬件、电信设备、电子生产等;
信息技术的应用则体现在信息技术的扩散上,包括信息服务、管理信息系统等。
在信息技术系统中,微电子技术、通信技术、计算机技术和网络技术可以称为信息技术的核心它们的发展进程体现了信息技术的发展过程。
信息技术的产生和发展:
信息技术的产生与发展,大致经历了如下3个阶段
第一阶段,电讯技术的发明。(可以追溯19世纪30年代电报电话的发明)
电讯技术的出现为信息技术的出现与发展奠定了基础。
第二阶段,计算机技术的发展。
1945年,现计算机之父冯·诺依曼等提出了“存储程序通用电子计算机方案”——EDVAC。1946年2月1日,世界上第一台现代电子计算机“埃尼阿克(ENIAC)”诞生于美国宾夕法尼亚大学。现代计算机一直沿用着冯·诺依曼体系结构,可见其对计算机技术发展的影响。
计算机技术的发展和应用,加快了人类奔向信息时代的步伐。
第三阶段,互联网技术的发展。
前两个阶段只有局部意义,影响有限。
20世纪60年代末,美国出现了第一个用于军事目的计算机网络ARPAnet。ARPAnet研究产生的一项非常重要的成果就是TCP/IP协议(Transmission Control Protocol/Internet Protocol),即传输控制协议/互联协议,使得连接到网络上的所有算机能够相互交流信息。
20世纪90年代,计算机网络发展成为全球性网络——因特网(Intnet),计算机网络技术和网络应用得到了迅猛的发展,这时段才把电信、电话、电视、计算机、互联网络等连接起来,实现多媒体传输。
信息技术的影响
积极影响
1)对社会发展的影响
科学是第一生产力
信息技术的广泛应用,引发了社会的深刻变革,加速了社会生产力的发展和人们生活质量的提高
信息资源继物质和能源之后将成信息化社会最主要的支柱之一。
减少地域差别和经济发展造成的差异
2)对科技进步的影响
极大地推动了科学技术的发展。
计算机技术的应用,帮助人门攻克了一个又一个科学难题。
便于验证各种科学假设。
带动了一批尖端技术的发展。
信息技术在基础学科中的应用及与其他学科的融合促进了新学科(如计算物理、计算化学等)和交叉学科(如人工智能、电子商务、大数据技术等)的产生发展。
消极影响
1)信息泛滥
信息量急剧增长,并且人们消耗大量的时间却找不到有用的信息
2)信息污染
一些错误信息、虚假信息、污秽信息等混杂在各种信息资源中,人们如果不加以分析,容易深受其害
3)信息犯罪
人们对信息技术的依赖程度越来越高,一些不法分子利用信息技术手段以及信息系统本身的安全漏洞进行犯罪活动,危害着正常的社会秩序。
信息安全保障基础
信息安全发展阶段
信息安全的发展大致经历了三个阶段:
信息保密阶段>计算机安全阶段>信息安全保障阶段
通信保密阶段
当代信息安全学起源于20世纪40年代的通信保密
香农以概率统计的方法对消息源、密钥源、接收和截获的消息进行数学描述和分析,用不确定性来度量密码体制的保密性阐明了密码系统、完善保密性、纯密码、理论保密性和实际保密性等重要概念,从而大大深化了人们对于信息保密和密码学的理解。
计算机安全阶段
1965年,美国率先提出了计算机安全(COMPUSEC)。人们对信息安全的关注扩大为“密性、访问控制与认证”。
在这一阶段,计算机主要的用途是军事和科研。访问制关注信息的机密性,这一时期提出了强制访问控制策略和自主访问控制策略。
其间进行的重要工作包括:1969年B.W.Lampson提出的访问控制矩阵,70年代 Harrison、Ruzzo和Ullman提出的HRU模型,1976年David Bell和Leonard LaPadula提出的BLP模型,以及1977年Biba提出的BIBA模型。其中,BLP模型是影响深远的强制访问控制模型;BIBA模型是提出较早的面向完整性的访问控制模型;HRU模型给出了形式化的访问控制矩阵的描述
在这一时期、密码学仍然得到了快速发展,最有影响的有两件大事件。
第一件是Diffie和Hellman首次证明了在发送者和接收者之间无密钥交换的保密通信是可能的,从而开创了公钥密码学的新纪元。
第二件是美国于1977年制定的数据加密标准 DES(Data Encryption Standard),它为加密算法的标准化奠定了基础。
信息安全保障阶段
20世纪90年代以后,开始倡导信息保障(Information Assurance,IA)。
1995年,在研究信息安全及网络战防御理论过程中,美国国防部提出了“信息安全保障体系”(IA)概念,并给出了“保护(Protection)—监测(Detection)一响应(Response)”三环节动态模型,即PDR模型。后来增加了恢复(Restore),变为PDRR模型。
BS 7799标准是由英国标准协会制定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准。该信息安全管理标准包括两个部分,即BS 7799-1:1999《信息安全管理实田则》和BS 7799-2:1999《信息安全管理体系规范》。其中 BS 7799-1标准已经于2000年正式换为ISO国际标准,即ISO 17799信息安全管理体系实施指南。2005年,修订后的ISO/IE 7799被集成到ISO 27000系列标淮中,标准号为ISO/IEC 27002,它综合了信息安全管理方面委的控制措施,可为各类组织和机构在信息安全方面提供建议性指南。BS 7799/ISO 17799主要章节包括范围、术语和定义、控制细则。BS 7799-2还包括了信!安全管理体系(Information Security Management System,ISMS)的概念,基本内容涉及信息安全
